Comments 117
Предвосхищая вопросы «а что, трафик все-таки хранится на серверах?»:
Павел Дуров:
Павел Дуров:
С момента регистрации моего основного аккаунта трафика уже нигде нет. Речь о том, чтобы поставить на смартфон сниффер и зарегистрировать новый аккаунт, в переписке которого будет содержаться пароль для получения денег.
Мы сейчас продумываем детали этого конкурса.
Телеграм опубликовал правила конкурса:
Покровитель «Телеграма» Павел Дуров выплатит 200.000 долларов в BTC первому человеку, кто взломает зашифрованный протокол своего мессенджера. Начиная с сегодняшнего дня, Павел (+79112317383) ежедневно будет отправлять Николаю (+79218944725) сообщение, содержащее секретный адрес электронной почты. Для доказательства дешифровки протокола Телеграма и для востребования приза, вам потребуется послать письмо на этот секретный адрес.
Жаль у меня нет Квантового компьютера. А то я бы им показал как разобрать RSA :)
Не вижу RSA на приведенной схеме.
Теперь достаточно и микофона. habrahabr.ru/post/206572/
Вот зафигачили бы они туда эллиптику и sha-3 — цены бы им не было. Но и то что есть подойдет для 99% пользователей
зафигачили бы они туда эллиптику и sha-3
Зачем?
sha-3 неустойчив к length extension аттакам, а эллиптика тупо быстрее на несколько порядков
Во-первых, разве к этому протоколу применима данная атака? Во-вторых, оценка «тупо быстрее на несколько порядков» — видимо, с потолка, да?
Я не утверждаю, что ecc и sha3 хуже применимы в данном случае, но Ваш комментарий очень уж популистский: использовать все свежее и распиаренное. Распиаренное, замечу, NIST, который: а) не имеет четкого обоснования выбора магических чисел для некоторых ecc стандартов; б) вопреки мнению криптоэкспертов утверждает ослабленый вариант keccak в качестве стандарта SHA3. Опять же, больших проблем нет, но это стоит принимать во внимание при выборе между «хорошим и старым» и «прогрессивным и свежим»
Я не утверждаю, что ecc и sha3 хуже применимы в данном случае, но Ваш комментарий очень уж популистский: использовать все свежее и распиаренное. Распиаренное, замечу, NIST, который: а) не имеет четкого обоснования выбора магических чисел для некоторых ecc стандартов; б) вопреки мнению криптоэкспертов утверждает ослабленый вариант keccak в качестве стандарта SHA3. Опять же, больших проблем нет, но это стоит принимать во внимание при выборе между «хорошим и старым» и «прогрессивным и свежим»
Оно круче, чем OTR в jabber'е? Не понимаю смысла в проприентарных системах обмена сообщениями.
Vendor lock-in же и котики.
Ну, не OTR, скорее, а peer-to-peer GPG…
OTR для приватного общения лучше, так как обеспечивает perfect forward secrecy. То есть, если постоянный приватный ключ будет скомпрометирован, содержимое перехваченных в прошлом сообщений OTR, использующих этот ключ, не будет раскрыто атакующим. Телеграм использует протокол обмена ключами Диффи-Хеллмана для достижения того самого perfect forward secrecy.
А torchat ещё лучше, так как он ещё к тому же бессерверный и анонимный, но слово tor в названии почему-то народ пугает. Кстати, набор криптографических алгоритмов такой же, как в телеграм: AES, RSA, DH key exchange.
А torchat ещё лучше, так как он ещё к тому же бессерверный и анонимный, но слово tor в названии почему-то народ пугает. Кстати, набор криптографических алгоритмов такой же, как в телеграм: AES, RSA, DH key exchange.
У OTR есть несколько проблем, не имеющих, строго говоря, отношения к теории криптопротокола, зато имеющих отношение к психологии, социнженирингу и банально к распространенности тех или иных технологий:
- Несмотря на то, что исходная статья про OTR была опубликована в 2004, Google намеренно использовал термин в своем мессенджере для обозначения совершенно другой вещи. Учитывая, что Google Talk (нынче Hangouts) навязываются сотням миллионов владельцев Android во всем мире, эта простая штука здорово компрометирует технологию.
- В GPG есть готовая и годами выработанная инфраструктура. Есть ключи, которые существуют отдельно от IM-приложения, которые можно пощупать руками и при желании вручную проверить. Сделанный еще раз на коленке DH key exchange ничего хорошего не несет — это, как минимум, значит, что все процессы подписывания и нарабатывания репутации надо начинать заново.
- Perfect forward secrecy — красивый теоретический концепт, но в реальном мире его полезность существенно снижается за счет того, что банально передаваемые таким образом plain text сообщения клиент может умудриться записать на диск, пользователь — записать пароли на бумажку и оставить под клавиатурой и т.д.
- Текущая поддержка OTR клиентами местами сильно странная — что зачастую опять же, влияет на то, что пользователи сами делают криптопротокол бесполезным, не понимая, что они делают.
Вот-вот, я тоже не понимаю, зачем нужны такие велосипеды, когда есть Jabber.
У него есть один фатальный недостаток…
Смысл ни сколько в безопасности, а я им пользуюсь только лишь потому, что в метро, когда ловит только EDGE сообщения отправляются и принимаются МГНОВЕННО! я и представить себе такого не мог, ведь в данной ситуации даже список сообщений вконтакте обновиться не может, не говоря уже о подгрузке сообщений и отправке нового.
И да возможно навлеку гнев на свою голову, но ведь я не ошибаюсь говоря что следующие утверждения истинны:
Утверждение A: группа привилегированных людей не может получить доступ к ресурсу ЗНАЧИТ ЧТО группа не привилегированных людей не может получить доступ к ресурсу
Утверждение Б: группа НЕ привилегированных людей не может получить доступ к ресурсу НЕ ЗНАЧИТ ЧТО группа привилегированных людей не может получить доступ к ресурсу
А все корни уходят в те же сертификации в госструктурах. Никто не накладывает ограничения на алгоритмы шифрования, однако делаются закладки, о которых знают только привилегированные члены.
Закладки в основном сходятся к ограничениям на ключи, генераторы случайных чисел(об этом как то писали на хабре уже) и прочие вещи. Это ведет к сокрытию исходников генераторов ключей и прочих смежных систем.
Моё бы предложение к товарищам было следующее — дайте исходники всей экосистемы… хотя это тоже ничего не гарантирует… на боевых серверах могут стоять модифицированные приложения, или инъекции на уровне OS.
По моему скромному мнению:
«Знает один — знает один, знают два — знает и свинья; свинья скажет борову, а боров – всему городу»
Я это к тому, что даже если бы протокол был без шифрования, то с таким PR многие бы его использовали (ведь пользуют же вконтакт на мобилке, а там галочка про https не стоит по умолчанию) и не парились, в том числе я.
А все кто хотят мегасекретность — врядли доверятся общеставенной экосреде.
Утверждение A: группа привилегированных людей не может получить доступ к ресурсу ЗНАЧИТ ЧТО группа не привилегированных людей не может получить доступ к ресурсу
Утверждение Б: группа НЕ привилегированных людей не может получить доступ к ресурсу НЕ ЗНАЧИТ ЧТО группа привилегированных людей не может получить доступ к ресурсу
А все корни уходят в те же сертификации в госструктурах. Никто не накладывает ограничения на алгоритмы шифрования, однако делаются закладки, о которых знают только привилегированные члены.
Закладки в основном сходятся к ограничениям на ключи, генераторы случайных чисел(об этом как то писали на хабре уже) и прочие вещи. Это ведет к сокрытию исходников генераторов ключей и прочих смежных систем.
Моё бы предложение к товарищам было следующее — дайте исходники всей экосистемы… хотя это тоже ничего не гарантирует… на боевых серверах могут стоять модифицированные приложения, или инъекции на уровне OS.
По моему скромному мнению:
«Знает один — знает один, знают два — знает и свинья; свинья скажет борову, а боров – всему городу»
Я это к тому, что даже если бы протокол был без шифрования, то с таким PR многие бы его использовали (ведь пользуют же вконтакт на мобилке, а там галочка про https не стоит по умолчанию) и не парились, в том числе я.
А все кто хотят мегасекретность — врядли доверятся общеставенной экосреде.
Важно, чтобы были открыты исходники клиентской части. А что делает сервер (если наличие такового предусмотрено системой) — его дело, всё равно пользователи не могут проконтролировать. Разумеется, это имеет смысл, лишь когда шифрование производится на стороне клиента.
Есть исходники клиентских библиотек с реализацией протокола, ссылки лежат на сайте мессенжера. Гарантии того что именно они пошли в продакшен нет, но таких гарантий нет и в случае с открытым исходным кодом самих приложений.
Совершенно верно! Потому и говорю: Знает один — знает один, знают два — знает и свинья.
Разработчики обещают, что программа … никогда не будет показывать рекламу.
Помню как аналогичные слова писал Дуров в 2006-ом про Вконтакте.
Можно ссылку или цитату?
Издеваетесь? 7 лет уже прошло. Но я это видел неоднократно лично, своими глазами, в различных обсуждениях на самом Вконтакте. Видел именно в 2006-ом, начале 2007-го.
Да я не с целью вас задеть. Просто, чтобы лично я, мог учитывать ваши слова, мне нужно подтверждение, иначе я не смогу оперировать этим как фактом.
Да. Я жалею, что не сделал тогда принтскрин. Меня удивляла столько очевидная публичная ложь. Вскоре появился pro.vkontakte.ru, про который мало кто знал, а сейчас тем более.
ruskar не совсем прав! Такое обещания действительно было, когда Вконтакте сделал домен vk.com. Они пообещали, что на этом домене никогда не будет рекламы. Но vkontakte.ru отключили… И на vk.com появилась реклама.
Дуров часто меняет своё мнение. И его слова теперь уже мало что стоят.
Помню, как он говорил, что никогда не прогнётся под правообладателей видео и музыки. Ан нет, всё-таки прогнулся.
Помню, как он говорил, что никогда не прогнётся под правообладателей видео и музыки. Ан нет, всё-таки прогнулся.
А можно тоже цитату? Я помню только заявление об отсутствии прероллов в пользовательских видео.
Да пожалуйста: vk.com/wall-33393308_45798?reply=46005
«Поэтому правообладатели так часто повторяют, что стремятся не к удалению их контента из VK (еще бы!), а к его монетизации — чтобы пользователи каким-то чудесным образом начали им платить. Но я скорее, по выражению Джобса, „засуну голову себе в задницу“, чем начну стричь пользователей, как овец, в сговоре с кучкой этих работорговцев.»
«Поэтому правообладатели так часто повторяют, что стремятся не к удалению их контента из VK (еще бы!), а к его монетизации — чтобы пользователи каким-то чудесным образом начали им платить. Но я скорее, по выражению Джобса, „засуну голову себе в задницу“, чем начну стричь пользователей, как овец, в сговоре с кучкой этих работорговцев.»
Да ну, и как они планировали зарабатывать? Есть цитата?
Вот и выросло поколение, которое зарегистрировались Вконтакте много позже его появления и не в курсе его истории.
Справедливости ради, стоит заметить, что сейчас у Дурова гораздо меньше возможности влиять на развитие контакта, чем он мог предполагать 7 лет назад.
Я сомневаюсь, что ректотермальный криптоанализ будет в списке разрешенных методов взлома трафика.
Расскажите, как они придут и объяснят что-нибудь Райвесту, Шамиру и Адлеману. Или Диффи и Хеллману. Очень интересно было бы послушать.
А, так там ещё будет список разрешённых и запрещённых методов… Вон оно что…
Сотрудники ФСБ будут награждать)
Не могут, а в рамках рабочего задания
Мне кажется, MTProto не любят не за небезопасность, а за фатальный недостаток, как основную причину его создания. Протокол, конечно, не очень удобен для реализации, да и документация так себе, но ничего такого сверхкошмарного в нём не вижу.
Кстати, тоже самое обещали с ВК:
Разработчики обещают, что программа навсегда останется бесплатной и никогда не будет показывать рекламу.
Разработчики обещают, что программа навсегда останется бесплатной и никогда не будет показывать рекламу.
У вас Pop-up окна на весь экран выскакивают с требованием заплатить 200$ за разблокировку?
Вроде бы цивильная, неназойливая реклама. Вам же хочется кушать? Им тоже.
Вроде бы цивильная, неназойливая реклама. Вам же хочется кушать? Им тоже.
Если только идти на принципы.
Мы же все понимаем, что даже его обещание «не прогибаться под копирастов» было довольно-таки самонадеянным, учитывая наше законодательство. Но по сути сколько треков было, столько и осталось. Как я понял Vk предоставил инструмент для удаления контента правообладателям, а те тратили больше денег на такое «удаление» нежели получали хоть что-то. А народ любит это дело и льет треки/видео снова и снова.
Поправьте, если не прав.
Мы же все понимаем, что даже его обещание «не прогибаться под копирастов» было довольно-таки самонадеянным, учитывая наше законодательство. Но по сути сколько треков было, столько и осталось. Как я понял Vk предоставил инструмент для удаления контента правообладателям, а те тратили больше денег на такое «удаление» нежели получали хоть что-то. А народ любит это дело и льет треки/видео снова и снова.
Поправьте, если не прав.
Пруфлинк обещания есть?
Ну форкнут, ну напишут альтернативную реализацию. Протокол и исходники клиента открыты.
В чём вообще смысл всех этих наворотов с шифрованием, если обмен ключами всё-равно идёт через сервер и сервер всё-равно может расшифровать траффик, выдать его спецслужбам и т.д.? %тут_комикс_о_кластере_для_взлома_RSA_и_гаечном ключе_за_5_баксов%
В посте есть такой момент:
Так что там может быть хоть 10 серверов и кулхацкер Вася.
С другой стороны, сервер может реализовать MITM, но имхо такое скрыть будет сложнее. От пассивного слушателя вы защищены.
протокола обмена ключами Диффи-Хеллмана
Так что там может быть хоть 10 серверов и кулхацкер Вася.
С другой стороны, сервер может реализовать MITM, но имхо такое скрыть будет сложнее. От пассивного слушателя вы защищены.
Являются. Но факт изменения ключей можно распознать, используя тот же Wireshark на двух компах.
Да ни при чем.
Мне кстати, встречалось приложение для голосовой связи, в котором пользователи должны были после установления сеанса связи продиктовать друг другу пару чисел, связанных с ключами. Если числа не совпадали, то это однозначный MITM =)
Мне кстати, встречалось приложение для голосовой связи, в котором пользователи должны были после установления сеанса связи продиктовать друг другу пару чисел, связанных с ключами. Если числа не совпадали, то это однозначный MITM =)
Вроде как в телеграмме есть подобное:
habrahabr.ru/post/206476/#comment_7113122
habrahabr.ru/post/206476/#comment_7113122
Соглашусь, несколько поторопился с комментом и не учел mitm. С другой стороны:
Проблема в том, что Android-приложения вполне потрошатся и декомпилируются, и, на мой взгляд, надежно спрятать внутри что-то из списка выше довольно сложно.
Так что, на мой взгляд, если какие-то закладки и будут, то в самих алгоритмах генерации ключей/шифрования (слабые ключи, не совсем случайный рандом и так далее).
- ИМХО в любом мессенджере (а особенно — позиционирующим себя как суперзащищенный) должна решаться задача аутентификации. Если она не решена, то mitm-атаку может реализовать не только сервер, а это уже нежелательная ситуация для всех- и для пользователей, и для разработчиков, и для шпиёнов.
- Если задача из п.1 решена (например, через PAKE) — значит, для атаки со стороны сервера нужна закладка на стороне клиента, которая заставить его закрыть глаза на ошибки аутентификации для ряда «доверенных» узлов.
Проблема в том, что Android-приложения вполне потрошатся и декомпилируются, и, на мой взгляд, надежно спрятать внутри что-то из списка выше довольно сложно.
Так что, на мой взгляд, если какие-то закладки и будут, то в самих алгоритмах генерации ключей/шифрования (слабые ключи, не совсем случайный рандом и так далее).
Самонадеянно. Протокол-то может быть и хороший, но клиенты вполне могут быть дырявыми. Ну или переписку можно сливать с устройства, а не из дампа сети. Спуфим шлюз, дарим юзеру троян, он в свою очередь считывает хистори (если её может прочитать клиент, то шифрование обратимое, каких бы там ключей не понасовали) и отпрвляем её в нужное место (можно даже через этот же мтпрото), садимся на сапсан до питера и забираем 200к. Кто со мной? :)
Для режима Secret Chats вроде бы история не скачивается, ключи распределяются по DH (PFS) — см dev.stel.com/api/end-to-end и ru.wikipedia.org/wiki/Telegram_(приложение):
Режим «секретных» чатов (Secret Chats), доступный с 8 октября 2013 года, использует end-to-end шифрование с применением AES-256 в режиме IGE (англ. Infinite Garble Extension)[10]. При этом некоторые параметры ключей, например поле вычетов для DH, выбираются проприетарным сервером MTProto.
Если Telegram такой хороший и безопасный, почему он бесплатный?!
1. Сам мессенджер может быть и бесплатным, а вот социальные свистелки к нему в будущем могут стать платными. Ну, к примеру, адресная книга (для поиска контактов) — это ж почти готовая доска объявлений, т.к. искать можно не только по фио, но и например по полу-возрасту-статусу (знакомства), или по услугам (доска объявлений). У правильно реализованного криптоИМ есть серьезная бизнес-направленность, например. А как монетизировать популярные доски давно известно.
2. Думается, для людей типа Дурова потроллить спецслужбы — давняя голубая мечта.
2. Думается, для людей типа Дурова потроллить спецслужбы — давняя голубая мечта.
Как бы там ни было, а хранить картинки и видео где-то нужно. Значит нужно арендовать серверы, следовательно, нужны деньги. А откуда их брать, если сервис полностью бесплатен и в нём нет никакой рекламы.
Думается у основателей вконтактика проблем с парочкой серверов не будет.
> а хранить картинки и видео где-то нужно
P2P?
P2P?
Ну, если телефон, например, выключен, тут P2P не поможет, однозначно нужен сервер где это всё хранить.
молодцы, достойный ответ на скепсис всяких снобов и троллей.
Надеюсь, еще Сноудена догадаются нанять (он же в Москве сейчас работает сисадмином), чтобы он пропиарил Телеграм как лучший инструмент, недоступный для прослушки ЦРУшниками.
Надеюсь, еще Сноудена догадаются нанять (он же в Москве сейчас работает сисадмином), чтобы он пропиарил Телеграм как лучший инструмент, недоступный для прослушки ЦРУшниками.
Что-то мне подсказывает, что всё это затеяно с основной целью — привлечь в Telegramm пользователей, — спровоцировать установки.
Разве в Telegramm p2p шифрование? Что защитит пользователя от недобросовестности самого разработчика и держателя серверов?
Я так понимаю, основная озабоченность сообщества в возможности MITM на серверной стороне, для всяких КГБ. Народ боится спецслужб, а не кулхацкеров, перехватывающих ваш халявный вайфай в Макдональсе.
Вот если бы они дали полный доступ к своим серверам и предложили перехватить трафик…
Я так понимаю, основная озабоченность сообщества в возможности MITM на серверной стороне, для всяких КГБ. Народ боится спецслужб, а не кулхацкеров, перехватывающих ваш халявный вайфай в Макдональсе.
Вот если бы они дали полный доступ к своим серверам и предложили перехватить трафик…
p2p в таком контексте — шифрование между узлами, известным только им двоим ключом. Нет, в Телеграмме шифруется только сообщение до сервера.
По дефолту шифрование до сервера, но есть «секретные чаты».
Вообще-то условия конкурса стоит объявлять более чётко.
Что значит «кто взломает?» У среднестатистического участника нет возможности встать man-in-the-middle и пытаться анализировать траффик Павла.
По-моему, правильным вариантом был бы примерно следующий:
Публикуется некий известный кусок трафика и программа, которая по имеющимся паролям-ключам юзера А и юзера Б расшифровывает этот трафик.
Потом публикуется кусок трафика и sha256 ( pass1 + pass2 ) и сообществу предлагается расшифровать переписку не зная паролей-ключей.
По прошествии какого-то времени (допустим, год) пароли pass1 и pass2 оглашаются и каждый может проверить что конкурс был честным.
Что значит «кто взломает?» У среднестатистического участника нет возможности встать man-in-the-middle и пытаться анализировать траффик Павла.
По-моему, правильным вариантом был бы примерно следующий:
Публикуется некий известный кусок трафика и программа, которая по имеющимся паролям-ключам юзера А и юзера Б расшифровывает этот трафик.
Потом публикуется кусок трафика и sha256 ( pass1 + pass2 ) и сообществу предлагается расшифровать переписку не зная паролей-ключей.
По прошествии какого-то времени (допустим, год) пароли pass1 и pass2 оглашаются и каждый может проверить что конкурс был честным.
Публикуется некий известный кусок трафика и программа, которая по имеющимся паролям-ключам юзера А и юзера Б расшифровывает этот трафик.В таком случае невозможно будет произвести статистические (если куски маленькие) и активные атаки (chosen ciphertext/adaptive chosen ciphertext, например).
Потом публикуется кусок трафика и sha256 ( pass1 + pass2 ) и сообществу предлагается расшифровать переписку не зная паролей-ключей.
> В результате Telegram либо обнаружит и закроет лазейку для спецслужб, либо — что более вероятно — получит ещё одно доказательство нерушимости своего протокола
Постоянно натыкаюсь на неверность доказательства «от невозможности».
Скажем, что человек не курит, не докажешь. увидев, как он весь целый час не курил. Что человек алкоголик — если он весь рабочий день не пил. Что АЭС надежна — если она год не взрывалась…
Так и тут: если расшифровать не получится, то это лишь покажет, что эта команда с их удачей и их временем, ничего не нашла (да и то, не команда, а разобщенные «ломатели»: сумма такова, что уже есть из-за чего не делиться). Но отсутствие факта вскрытия кода отнюдь не будет доказательством, что в будущем, другие люди, с другой подготовкой (и другой удачей) не найдут ключи к этим дверям.
Вот если «взлом» кода удастся, то, да, будем считать, что протокол не то чтобы стал неуязвимее, а что он был слаб, и станет чуть защищеннее — но не абсолютно, поскольку это как раз останется не доказанным все равно.
Постоянно натыкаюсь на неверность доказательства «от невозможности».
Скажем, что человек не курит, не докажешь. увидев, как он весь целый час не курил. Что человек алкоголик — если он весь рабочий день не пил. Что АЭС надежна — если она год не взрывалась…
Так и тут: если расшифровать не получится, то это лишь покажет, что эта команда с их удачей и их временем, ничего не нашла (да и то, не команда, а разобщенные «ломатели»: сумма такова, что уже есть из-за чего не делиться). Но отсутствие факта вскрытия кода отнюдь не будет доказательством, что в будущем, другие люди, с другой подготовкой (и другой удачей) не найдут ключи к этим дверям.
Вот если «взлом» кода удастся, то, да, будем считать, что протокол не то чтобы стал неуязвимее, а что он был слаб, и станет чуть защищеннее — но не абсолютно, поскольку это как раз останется не доказанным все равно.
Telegram.by уже сломали)
Куда подойти за деньгами?
Давным-давно скайп тоже преподносили, как защищенный криптографией IM. И что мы видим сейчас? Даже сами спецслужбы не отрицают, что прослушивают скайп. Как это стало возможно? Я считаю, что дело в закрытом протоколе и исходниках. Это делает технологию и её пользователей заложниками владельцев сервиса. Даже если программа когда-то и была безопасной, владельцам сервиса ничто не мешает внедрить в клиент уязвимость, позволяющую им прослушивать людей. А люди ничего не могут с этим сделать: серверы компании внедряют прослушку, а установить свои серверы нельзя из-за закрытых исходников. Серверы могут перестать поддерживать старые или пропатченные версии клиента, не обеспечивающие прослушку.
Где гарантии, что то же не произойдёт с телеграм? Слова конкрентных людей? Нонсенс. Зачем кому-то верить на слово, когда есть удобные решения, которые позволяют обойтись без этого?
Где гарантии, что то же не произойдёт с телеграм? Слова конкрентных людей? Нонсенс. Зачем кому-то верить на слово, когда есть удобные решения, которые позволяют обойтись без этого?
А люди не дремлют:)
freelansim.ru/tasks/47196
freelansim.ru/tasks/47196
Конкурс ни о чем.
Чтоб доказать безопасность — необходимо, чтоб он был устойчив к MITM атакам, которые спец.службы могут провести без проблем.
Чтоб доказать безопасность — необходимо, чтоб он был устойчив к MITM атакам, которые спец.службы могут провести без проблем.
Sign up to leave a comment.
$200 000 любому, кто взломает IM-мессенджер Telegram