Comments 62
В чём-то Сноуден прав. Секретные чаты задвинуты куда-то в угол, я например в нативном приложении для десктопа вообще не могу найти как ими воспользоваться. А при групповых или обычных чатах, отсутствие секретности происходящего никак не обозначается перед пользователем.
В нативном десктопном приложении секретные чаты пока что доступны только для Mac-версии.
В трекере для десктопной версии есть несколько эпичных обсуждений на эту тему: пример.
Суть ответа разработчика: это не в высоком приоритете, когда сделаем — тогда сделаем (читай: о сроках реализации спрашивать у Господа Б-ога). Канал поддержки Telegram отвечает примерно так же: никаких оценок дать не можем. Когда-нибудь сделаем.
Секретные чаты поддерживаются модулем Telegram к libpurple. Т.е., можно поставить Pidgin и к нему Telegram-модуль. И будут секретные чаты.
Однако в десктоп-версиях поддерживается создание каналов, чего нет в Web-клиенте и упомянутом уже libpurple-модуле.
Словом, функциональность Telegram не на мобильных устройствах поддерживается весьма хаотично, и нет технической возможности использовать один клиент для всех случаев.
В трекере для десктопной версии есть несколько эпичных обсуждений на эту тему: пример.
Суть ответа разработчика: это не в высоком приоритете, когда сделаем — тогда сделаем (читай: о сроках реализации спрашивать у Господа Б-ога). Канал поддержки Telegram отвечает примерно так же: никаких оценок дать не можем. Когда-нибудь сделаем.
Секретные чаты поддерживаются модулем Telegram к libpurple. Т.е., можно поставить Pidgin и к нему Telegram-модуль. И будут секретные чаты.
Однако в десктоп-версиях поддерживается создание каналов, чего нет в Web-клиенте и упомянутом уже libpurple-модуле.
Словом, функциональность Telegram не на мобильных устройствах поддерживается весьма хаотично, и нет технической возможности использовать один клиент для всех случаев.
Сноуден прав ещё и в том смысле, что не существует градаций информационной безопасности: либо ты защищён, либо уязвим. Не бывает «достаточной безопасности». Фраза «наш продукт защищает от 99% атак» означает, что он не защищает вовсе.
Когда-нибудь до людей дойдёт, что мы живём в эре Big Data? В которой принцип «я ничего не нарушаю, поэтому мне нечего скрывать» безнадёжно устарел: когда все ваши данные будут просматриваться и автоматически анализироваться, обществом таких людей становится очень легко управлять. Эта лёгкость управления — соблазн, ведущий к злоупотреблениям даже в случае благополучных начальных условий общества с развитыми гражданскими институтами. Чего уж говорить, про другие начальные условия.
Когда-нибудь до людей дойдёт, что мы живём в эре Big Data? В которой принцип «я ничего не нарушаю, поэтому мне нечего скрывать» безнадёжно устарел: когда все ваши данные будут просматриваться и автоматически анализироваться, обществом таких людей становится очень легко управлять. Эта лёгкость управления — соблазн, ведущий к злоупотреблениям даже в случае благополучных начальных условий общества с развитыми гражданскими институтами. Чего уж говорить, про другие начальные условия.
Конечно существуют градации безопасности (а точнее защищённости, т.к. безопасность — это процесс). И показателем безопасности служит, например, стоимость взлома системы. Любую систему можно взломать: перебором, кейлоггером или гаечным ключом. Грубо говоря, уязвимы все, вопрос — перед кем: школьным читателем журнала «Хакер» или NSA с его ресурсами.
С высоты моего дивана мне кажется, что эти разговоры про анализ и управление — от нежелания признавать очевидный факт — государства уже имеют своих граждан как хотят и когда хотят. Им такой инструмент просто не нужен, они могут сформировать любое мнение с помощью СМИ, навязать любые законы и игнорировать любые права.
А вот всяким мошенникам, у которых нет грубой силы государства, возможность мониторить сообщения очень бы пригодилась, так что я тоже выступаю за шифрование всего и вся, потому как это резко увеличит цену мониторинга. Одно дело — перехватывать и разбирать редкие зашифрованные сообщения, совсем другое — угробить кучу сил и времени на то, чтобы получить типовую переписку пары школьников. Чем шире поток шифрованных данных, тем незаметнее в нем то, что реально следует защищать.
А вот всяким мошенникам, у которых нет грубой силы государства, возможность мониторить сообщения очень бы пригодилась, так что я тоже выступаю за шифрование всего и вся, потому как это резко увеличит цену мониторинга. Одно дело — перехватывать и разбирать редкие зашифрованные сообщения, совсем другое — угробить кучу сил и времени на то, чтобы получить типовую переписку пары школьников. Чем шире поток шифрованных данных, тем незаметнее в нем то, что реально следует защищать.
Сноуден прав ещё и в том смысле, что не существует градаций информационной безопасности: либо ты защищён, либо уязвим.
Сноуден не утверждал ничего подобного.
И, строго говоря, да, существует лишь одна градация «уязвим». Вы ведь это имели в виду?
Возможен другой вариант:
Когда все ваши данные будут просматриваться и автоматически анализироваться и быть доступны всем в паблике.
Законы и моральные нормы тоже будут существенно другими.
Когда все ваши данные будут просматриваться и автоматически анализироваться и быть доступны всем в паблике.
Законы и моральные нормы тоже будут существенно другими.
Что мешает шифровать сообщения на клиенте и хранить их шифрованными на сервере если уж всем нужна синхронизация с облаками.
То что ключ шифрования не покидает девайс, так что на другом устройстве расшифровать сообщение будет нельзя. В целом, эту проблему нельзя решить легко. iMessage, например, шифрует и отправляет сообщение N раз для каждого устройства получателя, что приводит к увеличению трафика и объема данных в некоторых случаях.
Решается это довольно легко, делается аккаунт с паролем. SHA256 Пароля является ключом шифрования.
Дыряво, коряво, но параноикам сойдет. Можно даже соль добавить.
Дыряво, коряво, но параноикам сойдет. Можно даже соль добавить.
Сделать функцию копирования ключа на авторизованные девайсы?
Увеличение трафика не страшно, пока вы не пересылаете огромные файлы.
Шифрование паролей в гугл хроме, и сообщений pushbullet.
Все храниться на сервере, но расшифровывается локальным паролем.
Все храниться на сервере, но расшифровывается локальным паролем.
RSA для кого придумали?
пабликами обменялись, отпечатки ключей — друг другу в смс (другой канал связи) отправили, чтобы подмену ключа исключить.
и понеслась! 4096bit RSA можно генерировать отдельно, на компьютере, и перенести созданную пару в телефон, либо подождать минут 10 генерации ключа на телефоне.
пабликами обменялись, отпечатки ключей — друг другу в смс (другой канал связи) отправили, чтобы подмену ключа исключить.
и понеслась! 4096bit RSA можно генерировать отдельно, на компьютере, и перенести созданную пару в телефон, либо подождать минут 10 генерации ключа на телефоне.
Сообщение можно зашифровать однократно несколькими публичными ключами для нескольких устройств или получателей. Это увеличивает его размер но передать его нужно будет на сервер однократно.
В чем проблема использовать симметричное шифрование в дополнение к ассиметричному? Ассиметричным шифруем пароль для симметричного, передаем его один раз для каждого нового участника чата, сообщения шифруем симметричным ключом и передаем один раз.
UFO just landed and posted this here
В общем-то, предлагали бы при старте приложения выбор дефолтных чатов с плюсами и минусами. Было бы в самый раз.
Хм… а сам Сноуден чем нибудь примечателен кроме того, что спер на работе флешку с кучей информации? А то как-то многовато его последнее время в прессе…
Ну… он как минимум работал там, куда 99% обитателей ГТ никогда бы не взяли.
Ну, допустим 99% обитателей ГТ никогда бы не взяли в женскую сборную Австралии по фигурному катанию — это как-то автоматически делает её чем-то примечательным?
куда 99% обитателей ГТ никогда бы не взяли
По причине отсутствия гражданства США.
А еще он как минимум засрал себе репутацию нарушением NDA. Ну и что он из себя представляет как специалист — не понятно, т.к. о других результатах его работы ничего не известно, как и о каких либо оупэнсурсных проектах с его участием.
кстати, если он позиционирует себя как борца за свободу слова и знатока глобальной слежки изнутри, то мог бы и свой протокол для защищенной коммуникации предложить, а не только рекламировать одни мессенджеры и критиковать другие…
Если бы каждый борец за свободу слова выложил свой протокол…
Ну так не каждый борец за свободу слова имеет опыт, который потенциально может быть у Сноудена…
А при чем тут опыт? Если вам (или любому другому айтишнику) дать возможность прочитать те 200к документов АНБ, то вы, при наличии интереса и мозга, всяко начнете хорошо разбираться в теме.
Вообще если человек видит что Телеграм очевидно в чем-то не безопасен, и говорит об этом, то ответом ему может быть только подтверждение обратного. Я прочитал новость, комменты и насколько понимаю подтверждения секурности в общем-то и нет — шифрованные чаты (главная фича) фактически не пашут, а то что Дуров говорит «ой, ну это юзеры не поймут, им все будет сложно, а весь текст мы честно-честно стираем как только так сразу», доверия не прибавляет.
Вообще если человек видит что Телеграм очевидно в чем-то не безопасен, и говорит об этом, то ответом ему может быть только подтверждение обратного. Я прочитал новость, комменты и насколько понимаю подтверждения секурности в общем-то и нет — шифрованные чаты (главная фича) фактически не пашут, а то что Дуров говорит «ой, ну это юзеры не поймут, им все будет сложно, а весь текст мы честно-честно стираем как только так сразу», доверия не прибавляет.
То у нас будет огромное число протоколов.
Так оно все равно сейчас так и происходит. Вотсапы, скайпы, телеграмы, вайберы и тд и тп каждый тянет одеяло на себя… а боле-мене унифицированный XMPP так и не стал популярным…
он не стал популярным по причине деревянного софта для работы с ним. Если бы было приложение с интерфейсом телеграмма, но пользовальзовало при этом xmpp, я вас уверяю, оно было бы адекватно поплуярным. А сейчас его используют в органиченном количестве случаев. В том числе знаю некоторых ребят, которые используют его для приватных разговоров.
Вот очень правильный вопрос. Не авторит он в этой области (по крайней мере, никаких доказательств его компетенции в этой области я не знаю).
Ну, вы можете найти неверные утверждения в его словах и представить их в качестве аргумента.
Так а в чем его утверждение состоит? В том, что дефолтные настройки, с его точки зрения, не правильные? Так это не проблема безопасности мессенджера… если он знает еще какие-то изъяны, то что-то не видно пруфов в виде способа атаки на протокол за авторством Сноудена…
Так а в чем его утверждение состоит? В том, что дефолтные настройки, с его точки зрения, не правильные?
Да. В том, что по его мнению эти настройки опасны для конфиденциальности. И не надо не пытаться ничего больше искать в этом утверждении. Он довольно очевидную вещь сказал, а вы о каких-то способах атаки.
Хм, судя по моей карме, тут много фанатов чувака, который знаменит тем, что нарушил NDA и теперь скрывается от возмездия (=
Например, если вы подписали NDA в духе «обещаю молчать о любых деталях внутренней кухни», а потом обнаружили что ваша фирма внутри тортиков перевозит героин. Сообщить об этом преступлении — нарушение NDA, не сообщить — соучастие в уголовно наказуемом деянии.
Соблюдение законов стоит выше NDA.
Соблюдение законов стоит выше NDA.
как специалист по ИБ — нет
Во-первых, он сообразил, какую именно информацию нужно спереть и собрал ее. А во-вторых, он до сих пор жив и даже пишет в Твиттере. Это чего-то стоит.
неуловимый джо
Во-первых, он сообразил, какую именно информацию нужно спереть и собрал ее.
Ну либо спер всё, до чего смог дотянуться.
А во-вторых, он до сих пор жив и даже пишет в Твиттере.
Да за ним не особо как и гоняются судя по всему, даже вокруг Ассанджа и то больше шума было на тему интереса со стороны властей США.
То, что в десктопной версии нет секретных чатов — дико странно. Даже интересно, как это работает. Со смартфона нельзя создать секретный чат с тем, кто сидит с десктопа? А что, если тот сидит одновременно и с десктопа, и со смартфона?
Ага, попался! geektimes.ru/post/267072
Only those users with full accounts are able to leave comments. Log in, please.
Сноуден раскритиковал безопасность мессенджера Telegram