Pull to refresh

Comments 117

Предвосхищая вопросы «а что, трафик все-таки хранится на серверах?»:

Павел Дуров:
С момента регистрации моего основного аккаунта трафика уже нигде нет. Речь о том, чтобы поставить на смартфон сниффер и зарегистрировать новый аккаунт, в переписке которого будет содержаться пароль для получения денег.

Мы сейчас продумываем детали этого конкурса.
Телеграм опубликовал правила конкурса:
Покровитель «Телеграма» Павел Дуров выплатит 200.000 долларов в BTC первому человеку, кто взломает зашифрованный протокол своего мессенджера. Начиная с сегодняшнего дня, Павел (+79112317383) ежедневно будет отправлять Николаю (+79218944725) сообщение, содержащее секретный адрес электронной почты. Для доказательства дешифровки протокола Телеграма и для востребования приза, вам потребуется послать письмо на этот секретный адрес.
Жаль у меня нет Квантового компьютера. А то я бы им показал как разобрать RSA :)
UFO just landed and posted this here
к сожалению это менее вероятный успех…
UFO just landed and posted this here
UFO just landed and posted this here
Просто это старая шутка, надо ещё немного подождать пока снова станет актуальна.
UFO just landed and posted this here
Вот зафигачили бы они туда эллиптику и sha-3 — цены бы им не было. Но и то что есть подойдет для 99% пользователей
зафигачили бы они туда эллиптику и sha-3

Зачем?
sha-3 неустойчив к length extension аттакам, а эллиптика тупо быстрее на несколько порядков
Во-первых, разве к этому протоколу применима данная атака? Во-вторых, оценка «тупо быстрее на несколько порядков» — видимо, с потолка, да?

Я не утверждаю, что ecc и sha3 хуже применимы в данном случае, но Ваш комментарий очень уж популистский: использовать все свежее и распиаренное. Распиаренное, замечу, NIST, который: а) не имеет четкого обоснования выбора магических чисел для некоторых ecc стандартов; б) вопреки мнению криптоэкспертов утверждает ослабленый вариант keccak в качестве стандарта SHA3. Опять же, больших проблем нет, но это стоит принимать во внимание при выборе между «хорошим и старым» и «прогрессивным и свежим»
Оно круче, чем OTR в jabber'е? Не понимаю смысла в проприентарных системах обмена сообщениями.
Крипто-котики? Интригует!
Ну, не OTR, скорее, а peer-to-peer GPG…
OTR для приватного общения лучше, так как обеспечивает perfect forward secrecy. То есть, если постоянный приватный ключ будет скомпрометирован, содержимое перехваченных в прошлом сообщений OTR, использующих этот ключ, не будет раскрыто атакующим. Телеграм использует протокол обмена ключами Диффи-Хеллмана для достижения того самого perfect forward secrecy.

А torchat ещё лучше, так как он ещё к тому же бессерверный и анонимный, но слово tor в названии почему-то народ пугает. Кстати, набор криптографических алгоритмов такой же, как в телеграм: AES, RSA, DH key exchange.
У OTR есть несколько проблем, не имеющих, строго говоря, отношения к теории криптопротокола, зато имеющих отношение к психологии, социнженирингу и банально к распространенности тех или иных технологий:

  • Несмотря на то, что исходная статья про OTR была опубликована в 2004, Google намеренно использовал термин в своем мессенджере для обозначения совершенно другой вещи. Учитывая, что Google Talk (нынче Hangouts) навязываются сотням миллионов владельцев Android во всем мире, эта простая штука здорово компрометирует технологию.
  • В GPG есть готовая и годами выработанная инфраструктура. Есть ключи, которые существуют отдельно от IM-приложения, которые можно пощупать руками и при желании вручную проверить. Сделанный еще раз на коленке DH key exchange ничего хорошего не несет — это, как минимум, значит, что все процессы подписывания и нарабатывания репутации надо начинать заново.
  • Perfect forward secrecy — красивый теоретический концепт, но в реальном мире его полезность существенно снижается за счет того, что банально передаваемые таким образом plain text сообщения клиент может умудриться записать на диск, пользователь — записать пароли на бумажку и оставить под клавиатурой и т.д.
  • Текущая поддержка OTR клиентами местами сильно странная — что зачастую опять же, влияет на то, что пользователи сами делают криптопротокол бесполезным, не понимая, что они делают.
Вот-вот, я тоже не понимаю, зачем нужны такие велосипеды, когда есть Jabber.
У него есть один фатальный недостаток…
Смысл ни сколько в безопасности, а я им пользуюсь только лишь потому, что в метро, когда ловит только EDGE сообщения отправляются и принимаются МГНОВЕННО! я и представить себе такого не мог, ведь в данной ситуации даже список сообщений вконтакте обновиться не может, не говоря уже о подгрузке сообщений и отправке нового.
И да возможно навлеку гнев на свою голову, но ведь я не ошибаюсь говоря что следующие утверждения истинны:

Утверждение A: группа привилегированных людей не может получить доступ к ресурсу ЗНАЧИТ ЧТО группа не привилегированных людей не может получить доступ к ресурсу
Утверждение Б: группа НЕ привилегированных людей не может получить доступ к ресурсу НЕ ЗНАЧИТ ЧТО группа привилегированных людей не может получить доступ к ресурсу

А все корни уходят в те же сертификации в госструктурах. Никто не накладывает ограничения на алгоритмы шифрования, однако делаются закладки, о которых знают только привилегированные члены.
Закладки в основном сходятся к ограничениям на ключи, генераторы случайных чисел(об этом как то писали на хабре уже) и прочие вещи. Это ведет к сокрытию исходников генераторов ключей и прочих смежных систем.

Моё бы предложение к товарищам было следующее — дайте исходники всей экосистемы… хотя это тоже ничего не гарантирует… на боевых серверах могут стоять модифицированные приложения, или инъекции на уровне OS.

По моему скромному мнению:
«Знает один — знает один, знают два — знает и свинья; свинья скажет борову, а боров – всему городу»
Я это к тому, что даже если бы протокол был без шифрования, то с таким PR многие бы его использовали (ведь пользуют же вконтакт на мобилке, а там галочка про https не стоит по умолчанию) и не парились, в том числе я.

А все кто хотят мегасекретность — врядли доверятся общеставенной экосреде.
Важно, чтобы были открыты исходники клиентской части. А что делает сервер (если наличие такового предусмотрено системой) — его дело, всё равно пользователи не могут проконтролировать. Разумеется, это имеет смысл, лишь когда шифрование производится на стороне клиента.
Есть исходники клиентских библиотек с реализацией протокола, ссылки лежат на сайте мессенжера. Гарантии того что именно они пошли в продакшен нет, но таких гарантий нет и в случае с открытым исходным кодом самих приложений.
Совершенно верно! Потому и говорю: Знает один — знает один, знают два — знает и свинья.
UFO just landed and posted this here
Оно через сторы распространяется. Apple вас просто не пустит с опенсорсным приложением. Гугл пустит, но что, каждый будет заливать свой вариант? Остаются джайлбрейкнутые устройства, но они есть у меньшинства пользователей. Ну и десктопы, но это для данного мессенжера вовсе не основная аудитория.
Даже если Гугл не пустит, никто не мешает собрать apk самостоятельно.
А про Apple и другие платформы предпочли не отвечать?
На хабре опасно любое мнение про Apple. Но вообще ответ очевиден.
Разработчики обещают, что программа … никогда не будет показывать рекламу.

Помню как аналогичные слова писал Дуров в 2006-ом про Вконтакте.
Можно ссылку или цитату?
Издеваетесь? 7 лет уже прошло. Но я это видел неоднократно лично, своими глазами, в различных обсуждениях на самом Вконтакте. Видел именно в 2006-ом, начале 2007-го.
Да я не с целью вас задеть. Просто, чтобы лично я, мог учитывать ваши слова, мне нужно подтверждение, иначе я не смогу оперировать этим как фактом.
Я и не говорю что с целью задеть. Просто понятно же, что спустя 7 лет ничего толком не найдёшь, если только не вносил в закладки специально, чтобы потом припомнить назло (а я не вносил).
Ну в таком случае, пардон, можно было и промолчать.
Дожились. Человека минусуют за требование подтверждающего факта.
Да нормально все :) Может кто-то неправильно меня понял.
Да. Я жалею, что не сделал тогда принтскрин. Меня удивляла столько очевидная публичная ложь. Вскоре появился pro.vkontakte.ru, про который мало кто знал, а сейчас тем более.
ruskar не совсем прав! Такое обещания действительно было, когда Вконтакте сделал домен vk.com. Они пообещали, что на этом домене никогда не будет рекламы. Но vkontakte.ru отключили… И на vk.com появилась реклама.
Дуров часто меняет своё мнение. И его слова теперь уже мало что стоят.
Помню, как он говорил, что никогда не прогнётся под правообладателей видео и музыки. Ан нет, всё-таки прогнулся.
А можно тоже цитату? Я помню только заявление об отсутствии прероллов в пользовательских видео.
Да пожалуйста: vk.com/wall-33393308_45798?reply=46005
«Поэтому правообладатели так часто повторяют, что стремятся не к удалению их контента из VK (еще бы!), а к его монетизации — чтобы пользователи каким-то чудесным образом начали им платить. Но я скорее, по выражению Джобса, „засуну голову себе в задницу“, чем начну стричь пользователей, как овец, в сговоре с кучкой этих работорговцев.»
Если честно, не вижу противоречия. Фраза-то относилась к монетизации, а не к удалению, и её как не было, так и нет.
Брать деньги с пользователей!=делиться деньгами с рекламы.
Да ну, и как они планировали зарабатывать? Есть цитата?
Вот и выросло поколение, которое зарегистрировались Вконтакте много позже его появления и не в курсе его истории.
Вы может все-же ссылкой бы поделились, а не высокопарными вразами про поколения разбрасывались.
Регистрировался я там действительно позже чем появился, и особо никогда и не пользовался. Извините меня за это.

А теперь, если можно, цитату в подтверждение ваших слов.
Справедливости ради, стоит заметить, что сейчас у Дурова гораздо меньше возможности влиять на развитие контакта, чем он мог предполагать 7 лет назад.
UFO just landed and posted this here
Я сомневаюсь, что ректотермальный криптоанализ будет в списке разрешенных методов взлома трафика.
UFO just landed and posted this here
Расскажите, как они придут и объяснят что-нибудь Райвесту, Шамиру и Адлеману. Или Диффи и Хеллману. Очень интересно было бы послушать.
UFO just landed and posted this here
Что значит — «в этом-то и дело»? Если приложение реализует endpoint-to-endpoint авторизацию и шифрование теми алгоритмами, которые заявлены разработчиками, то сотрудники ФСБ/АНБ/WTF могут пойти в сортир и там повеситься с горя. Оно реализует или нет?
UFO just landed and posted this here
А, так там ещё будет список разрешённых и запрещённых методов… Вон оно что…
Сотрудники ФСБ будут награждать)
Не могут, а в рамках рабочего задания
Мне кажется, MTProto не любят не за небезопасность, а за фатальный недостаток, как основную причину его создания. Протокол, конечно, не очень удобен для реализации, да и документация так себе, но ничего такого сверхкошмарного в нём не вижу.
Я думаю, что MTProto не доверяют из-за того, что он создан создателями социальной сети. А какое может быть доверие таким людям?
Кстати, тоже самое обещали с ВК:

Разработчики обещают, что программа навсегда останется бесплатной и никогда не будет показывать рекламу.
У вас Pop-up окна на весь экран выскакивают с требованием заплатить 200$ за разблокировку?
Вроде бы цивильная, неназойливая реклама. Вам же хочется кушать? Им тоже.
UFO just landed and posted this here
Если только идти на принципы.
Мы же все понимаем, что даже его обещание «не прогибаться под копирастов» было довольно-таки самонадеянным, учитывая наше законодательство. Но по сути сколько треков было, столько и осталось. Как я понял Vk предоставил инструмент для удаления контента правообладателям, а те тратили больше денег на такое «удаление» нежели получали хоть что-то. А народ любит это дело и льет треки/видео снова и снова.
Поправьте, если не прав.
UFO just landed and posted this here
Пруфлинк обещания есть?
Ну форкнут, ну напишут альтернативную реализацию. Протокол и исходники клиента открыты.
В чём вообще смысл всех этих наворотов с шифрованием, если обмен ключами всё-равно идёт через сервер и сервер всё-равно может расшифровать траффик, выдать его спецслужбам и т.д.? %тут_комикс_о_кластере_для_взлома_RSA_и_гаечном ключе_за_5_баксов%
В посте есть такой момент:
протокола обмена ключами Диффи-Хеллмана

Так что там может быть хоть 10 серверов и кулхацкер Вася.
С другой стороны, сервер может реализовать MITM, но имхо такое скрыть будет сложнее. От пассивного слушателя вы защищены.
UFO just landed and posted this here
В принципе, вы можете потом поговорить с Алисой и проверить что она получила те-же открытый ключ и комбинацию ее открытого с вашим закрытым ключом.
Случай модификации сообщений описан в той же статье, под названием атаки «человек посередине».
UFO just landed and posted this here
Являются. Но факт изменения ключей можно распознать, используя тот же Wireshark на двух компах.
UFO just landed and posted this here
Да ни при чем.
Мне кстати, встречалось приложение для голосовой связи, в котором пользователи должны были после установления сеанса связи продиктовать друг другу пару чисел, связанных с ключами. Если числа не совпадали, то это однозначный MITM =)
Соглашусь, несколько поторопился с комментом и не учел mitm. С другой стороны:
  • ИМХО в любом мессенджере (а особенно — позиционирующим себя как суперзащищенный) должна решаться задача аутентификации. Если она не решена, то mitm-атаку может реализовать не только сервер, а это уже нежелательная ситуация для всех- и для пользователей, и для разработчиков, и для шпиёнов.
  • Если задача из п.1 решена (например, через PAKE) — значит, для атаки со стороны сервера нужна закладка на стороне клиента, которая заставить его закрыть глаза на ошибки аутентификации для ряда «доверенных» узлов.

Проблема в том, что Android-приложения вполне потрошатся и декомпилируются, и, на мой взгляд, надежно спрятать внутри что-то из списка выше довольно сложно.

Так что, на мой взгляд, если какие-то закладки и будут, то в самих алгоритмах генерации ключей/шифрования (слабые ключи, не совсем случайный рандом и так далее).
UFO just landed and posted this here
Мне показывали возможность показа клиенту картинки с ключем, и соответственно можно сравнить эти картинки с собеседником и таким образом убедиться что родной сервер не делает man in the middle.
UFO just landed and posted this here
Пости@Читай свою же ссылку@Фейспалмь@Беги исправлять свой коммент
Самонадеянно. Протокол-то может быть и хороший, но клиенты вполне могут быть дырявыми. Ну или переписку можно сливать с устройства, а не из дампа сети. Спуфим шлюз, дарим юзеру троян, он в свою очередь считывает хистори (если её может прочитать клиент, то шифрование обратимое, каких бы там ключей не понасовали) и отпрвляем её в нужное место (можно даже через этот же мтпрото), садимся на сапсан до питера и забираем 200к. Кто со мной? :)
Для режима Secret Chats вроде бы история не скачивается, ключи распределяются по DH (PFS) — см dev.stel.com/api/end-to-end и ru.wikipedia.org/wiki/Telegram_(приложение):
Режим «секретных» чатов (Secret Chats), доступный с 8 октября 2013 года, использует end-to-end шифрование с применением AES-256 в режиме IGE (англ. Infinite Garble Extension)[10]. При этом некоторые параметры ключей, например поле вычетов для DH, выбираются проприетарным сервером MTProto.
Если Telegram такой хороший и безопасный, почему он бесплатный?!
1. Сам мессенджер может быть и бесплатным, а вот социальные свистелки к нему в будущем могут стать платными. Ну, к примеру, адресная книга (для поиска контактов) — это ж почти готовая доска объявлений, т.к. искать можно не только по фио, но и например по полу-возрасту-статусу (знакомства), или по услугам (доска объявлений). У правильно реализованного криптоИМ есть серьезная бизнес-направленность, например. А как монетизировать популярные доски давно известно.
2. Думается, для людей типа Дурова потроллить спецслужбы — давняя голубая мечта.
Как бы там ни было, а хранить картинки и видео где-то нужно. Значит нужно арендовать серверы, следовательно, нужны деньги. А откуда их брать, если сервис полностью бесплатен и в нём нет никакой рекламы.
Думается у основателей вконтактика проблем с парочкой серверов не будет.
Ну, если телефон, например, выключен, тут P2P не поможет, однозначно нужен сервер где это всё хранить.
А почему Jabber бесплатный? Потому, что сервера могут быть разные. И тут также будет. Я надеюсь, по крайней мере, ибо если там всё завязано на их сервера, то это просто очередная ерунда, вне зависимости от открытости кода.
молодцы, достойный ответ на скепсис всяких снобов и троллей.

Надеюсь, еще Сноудена догадаются нанять (он же в Москве сейчас работает сисадмином), чтобы он пропиарил Телеграм как лучший инструмент, недоступный для прослушки ЦРУшниками.
Дуров же его приглашал уже, видимо не заинтересовался.
Что-то мне подсказывает, что всё это затеяно с основной целью — привлечь в Telegramm пользователей, — спровоцировать установки.
Разве в Telegramm p2p шифрование? Что защитит пользователя от недобросовестности самого разработчика и держателя серверов?
Я так понимаю, основная озабоченность сообщества в возможности MITM на серверной стороне, для всяких КГБ. Народ боится спецслужб, а не кулхацкеров, перехватывающих ваш халявный вайфай в Макдональсе.
Вот если бы они дали полный доступ к своим серверам и предложили перехватить трафик…
UFO just landed and posted this here
p2p в таком контексте — шифрование между узлами, известным только им двоим ключом. Нет, в Телеграмме шифруется только сообщение до сервера.
UFO just landed and posted this here
Ну да. В том смысле, что ключи шифрования реально знают только отправитель и получатель. А трафик может идти через любые, даже заведомо вражеские узлы.
Вообще-то условия конкурса стоит объявлять более чётко.
Что значит «кто взломает?» У среднестатистического участника нет возможности встать man-in-the-middle и пытаться анализировать траффик Павла.
По-моему, правильным вариантом был бы примерно следующий:
Публикуется некий известный кусок трафика и программа, которая по имеющимся паролям-ключам юзера А и юзера Б расшифровывает этот трафик.
Потом публикуется кусок трафика и sha256 ( pass1 + pass2 ) и сообществу предлагается расшифровать переписку не зная паролей-ключей.
По прошествии какого-то времени (допустим, год) пароли pass1 и pass2 оглашаются и каждый может проверить что конкурс был честным.
К сожалению, в топик не добавили следующий комментарий. Там есть фраза «Мы сейчас продумываем детали этого конкурса.». Думаю, что какие-то формальные условия обязательно появятся.
Публикуется некий известный кусок трафика и программа, которая по имеющимся паролям-ключам юзера А и юзера Б расшифровывает этот трафик.
Потом публикуется кусок трафика и sha256 ( pass1 + pass2 ) и сообществу предлагается расшифровать переписку не зная паролей-ключей.
В таком случае невозможно будет произвести статистические (если куски маленькие) и активные атаки (chosen ciphertext/adaptive chosen ciphertext, например).
> В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола

Постоянно натыкаюсь на неверность доказательства «от невозможности».

Скажем, что человек не курит, не докажешь. увидев, как он весь целый час не курил. Что человек алкоголик — если он весь рабочий день не пил. Что АЭС надежна — если она год не взрывалась…

Так и тут: если расшифровать не получится, то это лишь покажет, что эта команда с их удачей и их временем, ничего не нашла (да и то, не команда, а разобщенные «ломатели»: сумма такова, что уже есть из-за чего не делиться). Но отсутствие факта вскрытия кода отнюдь не будет доказательством, что в будущем, другие люди, с другой подготовкой (и другой удачей) не найдут ключи к этим дверям.

Вот если «взлом» кода удастся, то, да, будем считать, что протокол не то чтобы стал неуязвимее, а что он был слаб, и станет чуть защищеннее — но не абсолютно, поскольку это как раз останется не доказанным все равно.
Давным-давно скайп тоже преподносили, как защищенный криптографией IM. И что мы видим сейчас? Даже сами спецслужбы не отрицают, что прослушивают скайп. Как это стало возможно? Я считаю, что дело в закрытом протоколе и исходниках. Это делает технологию и её пользователей заложниками владельцев сервиса. Даже если программа когда-то и была безопасной, владельцам сервиса ничто не мешает внедрить в клиент уязвимость, позволяющую им прослушивать людей. А люди ничего не могут с этим сделать: серверы компании внедряют прослушку, а установить свои серверы нельзя из-за закрытых исходников. Серверы могут перестать поддерживать старые или пропатченные версии клиента, не обеспечивающие прослушку.

Где гарантии, что то же не произойдёт с телеграм? Слова конкрентных людей? Нонсенс. Зачем кому-то верить на слово, когда есть удобные решения, которые позволяют обойтись без этого?
Конкурс ни о чем.
Чтоб доказать безопасность — необходимо, чтоб он был устойчив к MITM атакам, которые спец.службы могут провести без проблем.
Only those users with full accounts are able to leave comments. Log in, please.

Articles