Telegram проиграл ФСБ в Верховном суде: требование российской спецслужбы о предоставлении ключей дешифровки переписки в мессенджере признали законным. В том случае, если Telegram ими не поделится — его угрожают заблокировать в России. Но проблема в том, что для Telegram технически сложно чем либо поделиться.
Мессенджер Telegram основан российским программистом-предпринимателем Павлом Дуровым в 2013 году. В нём происходит не только общение (личное и групповое, в виде чатов), но и ведутся популярные «информационные каналы» на горячие темы политики, культуры, спорта и т.д. Среди их читателей и авторов довольно много хорошо информированных чиновников и политологов. В России ему угрожают блокировкой уже не в первый раз.
В частности, Роскомнадзор предупреждал о такой возможности Telegram в июне 2017 года за отсутствие регистрации в реестре организаторов распространения информации. Конфликт завершился неожиданно: Дуров дал ссылку на открытую информацию о мессенджере, и ведомство само внесло его в реестр.
Проверка на слежку
«В сентябре основатель Telegram Павел Дуров впервые рассказал о требовании ФСБ предоставить ключи для дешифровки переписки пользователей (» информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и обрабатываемых сообщений» ), — сообщает сайт tjournal.ru. — Telegram отказался сотрудничать с ФСБ и получил административный штраф в 800 тысяч рублей от суда Мещанского района Москвы. Тогда аппеляцию компании отклонили. В Верховном суде (ВС) представители Telegram требовали признать недействительным приказ ФСБ из-за превышения полномочий.
20 марта Верховный суд признал, что требование ФСБ получить ключи дешифровки законно и не нарушают тайну переписки. ФСБ официально заявляло, что секретным чатом в мессенджере пользовались боевики перед терактом в петербургском метро 3 апреля 2017 года. По данным СМИ, ФСБ хочет изучить переписку с участием аккаунтов, которые предположительно принадлежали подозреваемым в теракте».
Однако, тут в любом случае возникает техническая проблема — обычные чаты Telegram используют шифрование с участием ключа на сервере, «секретные» чаты — оконечное (end-to-end) шифрование, что означает, что ключи хранятся только на самих устройствах, и никто, даже администрация самого Telegram, не может получить доступ к переписке. Ещё в споре с Роскомнадзором минувшим летом Павел Дуров говорил , что предоставить ключи для расшифровки «секретных» чатов технически невозможно: «У владельцев мессенджеров нет и не может быть ключей для дешифрации. Эти ключи хранятся только на устройствах самих пользователей». К тому же они постоянно меняются — Telegram использует протокол MTProto 2.0 с функцией Perfect Forward Secrecy , который обеспечивает автоматическую смену ключей у каждого пользователя после каждых 100 сообщений или раз в неделю.
Теоретически получить доступ к авторизационным ключам и расшифровать переписку, наверное, возможно, но на практике пока этого никто не сделал: в конкурсах, запущенных Telegram в 2013 и 2014 годах с этой целью, до сих пор нет победителя.
ФСБ читает сообщения в телеграм? Спецслужбы узнали текст сообщения в телеге еще до изъятия телефона
«Безопасность мессенджеров оценивает Фонд электронных рубежей (EFF). В обновляемой таблице на его сайте секретные чаты Telegram уже несколько лет получают семь баллов из семи, тогда как стандартные — только четыре, — отмечает tjournal.ru. — Эксперты уверены: поскольку Telegram способна расшифровать сообщения в обычных чатах, то эта информация может попасть к посторонним лицам. Telegram утверждает, что никому данные не передаёт».
Также в Telegram говорят, что требование ФСБ предоставить ключи дешифровки нарушает тайну переписки и тайну связи. Позиция ФСБ — приказ не ограничивает права граждан на тайну переписки. Сами ключи для дешифровки — это не информация ограниченного доступа, а получить переписку ведомство сможет только по решению суда.
Источник: newizv.ru
ФСБ взломала Telegram? Объясняем, почему нет
В российских СМИ и блогах распространилась информация о взломе мессенджера Telegram сотрудниками Федеральной службы безопасности России, основанная на неподтверждённых и крайне сомнительных данных западных журналистов. Объясняем, что произошло и стоит ли волноваться.
Что случилось?
Американское издание BuzzFeed опубликовало очень сомнительный доклад о том, что у российских властей есть компромат на Дональда Трама. Он частично основан на выдумке, содержащиеся в нём сведения не подтверждены, известно, что некоторые авторитетные издания отказались от его публикации. Medialeaks подробно рассказывал о содержании этого доклада и о том, что с этим документом не так.
Но многие российские СМИ стали писать новости, основываясь на этом докладе. В нём, в том числе, утверждается, что мессенджер Telegram был взломан сотрудниками ФСБ.
Общий смысл приведённого фрагмента такой: интерес ФСБ к Telegram основан на том, что в нём общаются политические активисты и оппозиционеры. Её сотрудникам каким-то образом удалось взломать мессенджер, и теперь там не безопасно.
Что говорит Дуров?
Создатель Telegram Павел Дуров в комментарии изданию TJ усомнился как в подлинности доклада, так и в информации о взломе Telegram. Он считает, что за формулировкой о взломе стоит история о перехвате авторизационных сообщений оппозиционеров.
Присоединяюсь к комментариям Дональда Трампа и WikiLeaks. Если доклад имел место (что вряд ли — Buzzfeed не является источником достоверной информации), формулировка «His/her understanding was that the FSB … had cracked this communication software», скорее всего, подразумевает перехват авторизационных SMS Козловского и Албурова в апреле 2016 года. Но если бы доклад был настоящим, он лежал бы в New York Times или Washington Post. Павел Дуров, создатель telegram
Что за история с перехватом SMS?
В апреле 2016 года оппозиционеры Георгий Албуров и Олег Козловский пожаловались на взлом их аккаунтов в Telegram. Это взволновало многих, так как мессенджер позиционировался как абсолютно защищённый.
Павел Дуров предположил, что злоумышленники могли сделать это, выпустив дубликат SIM-карты с номером, к которой привязан аккаунт.
Поддержка Telegram объяснила, что вход в аккаунт Албурова был произведён при помощи SMS, которое он не получал, так как кто-то временно отключил на его SIM-карте сервис доставки сообщений. Позже появились подозрения, что в этом мог быть замешан оператор сотовой связи МТС, якобы сотрудничавший со спецслужбами.
Может ли Telegram быть взломан?
Это вопрос постоянных дискуссий, но пока о таких случаях не известно. Сам Дуров позиционирует Telegram как самый безопасный из существующих мессенджеров и обещает 200 тысяч долларов тому, кому удастся взломать его или расшифровать трафик. В марте 2016 года главный юрисконсульт Apple назвал Telegram «абсолютно невзламываемым».
Однако создатели оговариваются, что не смогут уберечь вашу переписку в случае, если само устройство попадёт не в те руки: гарантии безопасности касаются только шифрования и передачи зашифрованных данных.
Так был ли он взломан?
Пока эксперты говорят, что верить сообщениям о взломе не стоит — слишком мало подробностей. Технический директор РосКомСвободы Станислав Шакиров рассказал «Открытой России», что согласен с Дуровым и речь в докладе, скорее всего, идёт о случае перехвата авторизационных сообщений оппозиционеров.
Если бы произошёл взлом, об этом были бы уже опубликованы отчёты, вся информация стала бы доступна общественности. Кроме того, не совсем понятно, что можно называть взломом. Если спецслужбы целиком взламывают инфраструктуру Павла Дурова, конечно, в этом случае, можно получить всю информацию, в том числе из секретных чатов.
Основная переписка хранится на серверах Telegram, но она зашифрована. Алгоритмы шифрования, которые используются в Telegram, взломать нельзя. Соответственно, и до секретных чатов добраться практически невозможно. Когда происходят атаки таких серверов, обычно взламывается какая-то инфраструктура, лежащая вокруг шифрования.
Обычно такие атаки сразу видны создателям и они пытаются немедленно их пресекать. Конечно, любые сервисы могут быть уязвимы, но в данный момент я не вижу причин, чтобы не пользоваться Telegram. Пока он нигде себя не скомпрометировал. Станислав Шакиров, Технический директор РосКомСвободы
Пользуйтесь 2-факторной аутентификацией и, если очень важно сохранить переписку конфиденциальной, секретными чатами: при общении в них трафик шифруется от устройства до устройства, сообщения не хранятся на серверах компании, кроме того, на них можно поставить таймер самоуничтожения.
Источник: medialeaks.ru
Сможет ли ФСБ читать переписку в мессенджерах?
Антитеррористические законы Ирины Яровой и Виктора Озерова уже одобрены Советом Федерации и ждут подписания президентом. Slon Magazine подробно разбирал основные положения этих документов – многие из них направлены на ужесточение контроля за любой перепиской в интернете.
Так, с 20 июля 2016 года провайдеров будут штрафовать, если они не предоставят ФСБ информацию, «необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений».
Эксперт британского Institute for State Ideologies Антон Меркуров рассказал о том, как эта мера коснется простых людей.
Каких популярных сервисов формально коснется закон?
Закон коснется всех российских компаний, которые так или иначе связаны с передачей и хранением информации. Это операторы сотовой связи, интернет-провайдеры, интернет-компании: от Tele2, о чьем существовании не знают профильные сенаторы, до почты Mail.ru, знакомой каждому. Любой бизнес, который признают организатором распространения информации.
Какое шифрование используется в повседневных средствах общения и как оно работает?
Электронные письма чаще всего передаются в незашифрованном виде, но иногда – по зашифрованным каналам. При этом для хранения на сервере сообщения шифруются. Но в России использование нелицензированных средств криптографии запрещено, значит, спецслужбы вполне могут получить к ним доступ через СОРМ-3. Это касается всех российских сервисов, а на зарубежные никак не влияет.
В мессенджерах все подходят к этому вопросу по-разному. Скажем, Telegram хранит чаты на сервере, это позволяет синхронизировать информацию в приложении между несколькими устройствами. Такое решение оправдано ради удобства. Но любое удобство – уязвимость.
Секретные чаты Telegram не сохраняются на сервере, там применяется шифрование end-to-end (англ., от одного конца до другого; как и в WhatsApp, iMessage, Signal). То есть ключ генерируется на абонентских устройствах при каждом разговоре. Это делает бессмысленными попытки сделать врезку между собеседниками и подслушать. Если не вдаваться в подробности, секретные чаты в Telegram и уж тем более в Google Hangouts наиболее безопасны. Google, например, сразу предупреждает о подозрительной активности, иногда даже указывая, что взлом пытаются осуществить хакеры, за которыми могут стоять государственные власти.
В каком виде и где хранятся ключи в этих сервисах?
Надо понимать, что ключ шифрования и пароль – не одно и то же. Пароль используется, чтобы определить, что в систему входит именно зарегистрированный пользователь. Ключ – один из элементов алгоритма шифрования уже внутри системы, никак не связанный с паролем. И обычно пароли не хранятся в открытом виде, они тоже отдельно зашифрованы.
Ключи, как описано выше, в секретных чатах находятся в устройствах пользователей. В обратном случае, если сообщения хранятся в зашифрованном виде на сервере, там же хранятся и ключи. Но это не всегда облегчает доступ к информации без идентификации абонента. Например, «взлом iCloud», когда утекали фотографии знаменитостей, был все-таки подбором пароля. Никто не взламывал шифрование Apple.
Важнее не то, где хранятся данные, а то, что в большинстве случаев доступ к зашифрованной информации получить нельзя. Если, например, данные удалось перехватить, то на взлом уйдут годы, даже у мощного компьютера.
Может ли владелец сервиса или провайдер сам достать ключ и расшифровать сообщение?
Нет. Получить доступ в большинстве случаев может только сам владелец данных. Если сервис правильно выстроил систему безопасности, то можно пойти только традиционным путем – поменять пароль и войти под видом пользователя. Но и там есть свои нюансы.
В целом, так как наших личных данных в Cети стало много: от почты и фотографий до медицинской карты и показателей трекера, – они стали хорошо защищаться. Ведь, по сути, поведение спецслужб сложно отличить от поведения киберпреступников.
Если сервис откажется давать ключи, то как будет выглядеть его блокировка, чтобы провайдеру не пришлось платить штраф?
Нужно наблюдать за реальной практикой применения закона. Если речь идет о региональном провайдере, то до блокировки, скорее всего, не дойдет – такие компании будут искать диалог со спецслужбами или прощаться с бизнесом в пользу других игроков. У зарубежных сервисов есть два пути. Либо пойти навстречу и сохранить лицо Роскомнадзору, как это делает условный Viber, который сразу перенес персональные данные россиян в Россию. Либо просто молча не соблюдать закон.
Можно ли будет обойти такую блокировку и как?
В законе нигде не сказано, что подобные сервисы будут блокироваться на территории России. А говоря о российских сервисах, единственный способ обойти блокировку – выполнить требования и пару раз сходить на поклон в контролирующие органы – там объяснят, что делать.
В Telegram уже заявили, что никому ключи не дадут. Значит, власти просто закроют доступ к адресу, через который приходят/уходят сообщения? И не важно, какая SIM-карта привязана к аккаунту, российская или зарубежная?
Во-первых, блокировать придется не один адрес, а множество. И количество адресов после этого начнет увеличиваться – технических возможностей для этого хватает.
Во-вторых, достаточно будет включить на телефоне VPN (передачу всех данных через посредника за границей), и все усилия по блокировкам окажутся бесполезными. Но это гипотетические размышления, не думаю, что будут реально блокировать.
Смогут ли сервисы или провайдеры придумать механизм, чтобы в Рунете их данные шифровались не так, как в остальном мире?
Количество зашифрованной информации растет, во многих случаях ее расшифровка невозможна либо бессмысленна. Особый русский путь возможен только внутри органов государственной власти и принадлежащих государству компаниях. То есть за пределами Госдумы и «Ростелекома» мир все также подчиняется земным законам. Истории про суверенный интернет к реальности никакого отношения не имеют.
Создать отдельную базу всех сообщений, которые отправили из России или получили в России, чтобы потом отдать ключ от этой базы ФСБ, просто невозможно
Источник: bloggerlj.livejournal.com