Comments 30
Ссылку на теоретическое "доказательство" несовершенства MTProto у Telegram (https://eprint.iacr.org/2015/1177.pdf) можно встретить чуть ли не в каждой статье, посвященной этому мессенджеру. Если бы не одно "но".
Если бы он действительно был таким ужасным, почему до сих пор нет ни одного публично проведенного эксперимента, где берутся два устройства, создается секретный чат между ними, посылается тестовое сообщение, а третье устройство перехватывает и отображает то самое сообщение? Где практическая реализация атаки? Либо её не существует, что подтверждает защищенность мессенджера, либо атака требует огромных временнЫх ресурсов, что снижает её эффективность и целесообразность до малых значений.
Если бы он действительно был таким ужасным, почему до сих пор нет ни одного публично проведенного эксперимента, где берутся два устройства, создается секретный чат между ними, посылается тестовое сообщение, а третье устройство перехватывает и отображает то самое сообщение? Где практическая реализация атаки? Либо её не существует, что подтверждает защищенность мессенджера, либо атака требует огромных временнЫх ресурсов, что снижает её эффективность и целесообразность до малых значений.
Никто не говорит, что несовершенство ужасно. Как сказал эксперт в области криптографии, создание нестандартного шифрования для Telegram подобно изобретению "подводной лодки, в которой двери изготовлены и целлофановой плёнки. Полагаю, если применить достаточное количество плёнки, можно построить достаточно безопасную подлодку; это не означает, что она затонет. Но это означает, что она не является тем, чему я бы хотел доверить свою жизнь".
Протокол, на мой взгляд, не такой уж "взрослый", чтобы можно было клеймить его за нестандартность. В конце концов, все когда-то начинали.
По крайней мере, на странице Технический FAQ они объясняют, почему именно был создан свой протокол и что он всё-таки чем-то похож на существующие.
По крайней мере, на странице Технический FAQ они объясняют, почему именно был создан свой протокол и что он всё-таки чем-то похож на существующие.
А почему нет в сравнении BBM? В котором сквозное шифрование было уже лет 10 как?
Может, и было, но сейчас его нет
И потом, сквозное шифрование при закрытых исходниках — обещания… обещания…
Нету где и чего? Он есть на всех платформах, блакберри — это основной девайc почти во всех в форб-500 компаниях, почти всех федералах G7.
Многоmиллионое распространение конкурентов в беднейших странах типа африки не делает их более значимыми.
Табличка ваша неверна, она актуальна для сервиса BIS. Сервис BES (а его бесплатно можно поставить даже дома) криптуется с девайса на девайса и не доступен никому.
Подтверждение контактов — это самом деле частично сладкая ложь ибо верификационные контакты виртуально могут быть угнаны.
Клонов у блакберры не может быть (может быть еше у Аппл.) Но насколько я знаю верификацией девайса online занимается только Блакберри — поэтому фейка-клона в сети быть не может (самая высоконагруженная база Oracle в мире).
Про документацию дизайна тоже вранье — серфикацию блакбери делают не тока американские агенства но и французкие и российские агенства.
Тоже самое и про код-аудит — компания регулярно получает ISO — кто вообше составлял это вранье?
Многоmиллионое распространение конкурентов в беднейших странах типа африки не делает их более значимыми.
Табличка ваша неверна, она актуальна для сервиса BIS. Сервис BES (а его бесплатно можно поставить даже дома) криптуется с девайса на девайса и не доступен никому.
Подтверждение контактов — это самом деле частично сладкая ложь ибо верификационные контакты виртуально могут быть угнаны.
Клонов у блакберры не может быть (может быть еше у Аппл.) Но насколько я знаю верификацией девайса online занимается только Блакберри — поэтому фейка-клона в сети быть не может (самая высоконагруженная база Oracle в мире).
Про документацию дизайна тоже вранье — серфикацию блакбери делают не тока американские агенства но и французкие и российские агенства.
Тоже самое и про код-аудит — компания регулярно получает ISO — кто вообше составлял это вранье?
По всей видимости, вы путаете BBM с BBM Protected, платной службой, предназначенной для предприятий. Но BES не требуется даже для BBM Protected.
Таблица использована та же, что и упоминается в статье — созданная Electronic Frontier Foundation.
Таблица использована та же, что и упоминается в статье — созданная Electronic Frontier Foundation.
Мне нечего путать — архитектура BES/BIS доступна свободнa на сайтe Блакберри.
— платной службой, предназначенной для предприятий.
Никто не мешает поставить его дома.
Я не верю в чьи-то бесплатные услуги. Когда сервер стоит y меня дома — у меня есть контроль над данными.
— Но BES не требуется даже для BBM Protected.
Одноразовый пароль для чат — ненамного лучше чем было. Это вскрывается за разумное время.
Только в BES у вас многоуровневое шифрование.
— платной службой, предназначенной для предприятий.
Никто не мешает поставить его дома.
Я не верю в чьи-то бесплатные услуги. Когда сервер стоит y меня дома — у меня есть контроль над данными.
— Но BES не требуется даже для BBM Protected.
Одноразовый пароль для чат — ненамного лучше чем было. Это вскрывается за разумное время.
Только в BES у вас многоуровневое шифрование.
Мне нравится то, как Телеграм шустро и резво работает, однако, печалит концепция при которой e2e шифрование только для секретных чатов. Ясное дело, что в группах его делать особого смысла не имеет, но обеспечить все диалоги — почему нет? Как может быть мессенджер "безопасным", но только наполовину? Я знаю о всех заверениях, что диски шифруются, серверы раскиданы по локациям и все такое, но у разработчиков есть плейнтекстовые дампы общения, это уже вызывает вопросы.
Еще не ясно, почему используется концепция регистрации исключительно через мобильник. Защита от спама? Смс активация стоит 6-10 рублей. Сделали бы отдельный стор, где можно было бы купить авторизующие хеш-суммы(как в Threema) и я уверен, что куча юзеров предпочла бы такую анонимную регистрацию за символическую сумму.
И дело не в параное, а в том, что в безопасности не должны быть полумер. А когда рекламят защищенный месенджер и оговариваются, что частично твои разговоры они вполне себе смогут прочитать и связать их с конкретным лицом с помощью мобильного номера… нуууу, даже не знаю, слабая аргументация.
Еще не ясно, почему используется концепция регистрации исключительно через мобильник. Защита от спама? Смс активация стоит 6-10 рублей. Сделали бы отдельный стор, где можно было бы купить авторизующие хеш-суммы(как в Threema) и я уверен, что куча юзеров предпочла бы такую анонимную регистрацию за символическую сумму.
И дело не в параное, а в том, что в безопасности не должны быть полумер. А когда рекламят защищенный месенджер и оговариваются, что частично твои разговоры они вполне себе смогут прочитать и связать их с конкретным лицом с помощью мобильного номера… нуууу, даже не знаю, слабая аргументация.
Согласен, никакая не паранойя! Начиная пользоваться мессенджером ты доверяешь ему (не только ему самому, а всей цепочке по которой проходит сообщение) все содержимое твоей переписки плюс метаданные. А тут еще вдобавок и телефонный номер, зарегистрированный на определенные (вероятно, твои) паспортные данные. По мне — так это перечеркивает массу других объективных достоинств, поскольку появляется возможность, связать воедино метаданные коммуникации с номером телефона, т. е. с паспортными данными.
Как я ниже уже написал, регистрация на телефон — это прекрасный задел сделанный именно для конторы, куда потом вся инфа сливаться будет, и, наверняка, давно уже сливается. Это еще один очень весомый аргумент, чтоб подозревать всю эту затею в подставе. Набирают глупых овец, а потом ведут на убой.
Потом еще эта забавная история с тем, как они блокировали сотни террористических аккаунтов в Телеграм… очень интересная история, много говорящая о безопасности переписки…
И что самое обидное — страдают от этого в большинстве не преступники и террористы, которые умнее и гораздо осторожнее, а обычные граждане — тупые овцы, которых поймают «кто надо» на измене или прочих «грешках» и разуют…
Потом еще эта забавная история с тем, как они блокировали сотни террористических аккаунтов в Телеграм… очень интересная история, много говорящая о безопасности переписки…
И что самое обидное — страдают от этого в большинстве не преступники и террористы, которые умнее и гораздо осторожнее, а обычные граждане — тупые овцы, которых поймают «кто надо» на измене или прочих «грешках» и разуют…
но обеспечить все диалоги — почему нет
Все просто. При е2е шифровании всего пропадет синхронизация истории сообщений между клиентами на разных устройствах. Т.е. мой комп и телефон не будут иметь общую историю. Сейчас есть нормальный выбор — нужна полная секретность, включаем е2е шифрование; хочется удобства — пользуемся обычным режимом.
Все просто. При е2е шифровании всего пропадет синхронизация истории сообщений между клиентами на разных устройствах. Т.е. мой комп и телефон не будут иметь общую историю. Сейчас есть нормальный выбор — нужна полная секретность, включаем е2е шифрование; хочется удобства — пользуемся обычным режимом.
Все приложения с единым (или почти единым) сервером в погоне за наживой нарушают главный принцип сети — децентрализованность. И, соответственно, никогда не смогут обеспечить нормальную безопасность: даже если будет сложно перехватить и расшифровать сообщения, их просто закроют, как вполне справедливо и говорит Дуров.
Потому единственный правильный (и давно всем известный) вариант — это децентрализованные системы, фактически просто протоколы, типа электронной почты и, надеюсь, типа Tox.
Потому единственный правильный (и давно всем известный) вариант — это децентрализованные системы, фактически просто протоколы, типа электронной почты и, надеюсь, типа Tox.
ну, Дуров говорил, что хочет реализовать p2p. Будем посмотреть, чтож из этого получится. К плюсам телеграма можно отнести возможность выбора типа сетевого соединения и навешивания прокси by design. А с прокси, как мы знаем, можно обойти все.
Посмотрим, конечно. Но пока, лично у меня, сложилось очень устойчивое мнение, что Дуров играет роль провокатора — соберет баранов под разрекламированный «безопасный» Телеграм, а потом — «бац», все сообщения, оказывается сливались в контору «куда надо», как и с предыдущим проектом ВК. И никакие прокси тут никак не помогут, потому что есть единый центр, который может всех сдать.
А вот имея децентрализованную р2р систему даже без проксей можно уже быть более спокойным, на мой взгляд. Сложнее это все мониторить, перехватывать, расшифорвывать и уж вообще невозможно закрыть.
А вот имея децентрализованную р2р систему даже без проксей можно уже быть более спокойным, на мой взгляд. Сложнее это все мониторить, перехватывать, расшифорвывать и уж вообще невозможно закрыть.
>Приложения не имеют перевода на русский язык в исходном состоянии, что объясняется одним из разработчиков тем, что «перевод на русский не может быть выполнен грамматически правильно», а главой компании — тем, что перевод на русский язык — трата времени.
В Дурове поразительно сочетаются ум и жалкое говноедство. Плевать в лицо стольким пользователям из своей обиды, мне кажется, довольно глупо.
В Дурове поразительно сочетаются ум и жалкое говноедство. Плевать в лицо стольким пользователям из своей обиды, мне кажется, довольно глупо.
А как Вам такой вариант развития событий? (из серии "А почему бы и нет?")
Абстрагируемся от конкретных стран и предположим, что в приложении нет марсианского языка. Раз его нет "по умолчанию", соответственно, пользовательская база марсиан в мессенджере будет небольшой (всё равно отсеется большое количество существ, неспособных выполнить 3 элементарных действия по добавлению языка в программу). Раз пользователей с Марса мало, шанс, что марсианское правительство его заблокирует, меньше (не обратит внимания или посчитает вред несущественным).
Возникает дилемма: либо делать на Марсе этот сервис популярным и рисковать всей аудиторией, либо показательно отторгать большинство, давая свободу меньшинству пользоваться мессенджером без особых проблем.
Информация для размышления: та локализация, которая "трата времени", актуальна и расположена в официальном репозитории переводов Telegram)
Абстрагируемся от конкретных стран и предположим, что в приложении нет марсианского языка. Раз его нет "по умолчанию", соответственно, пользовательская база марсиан в мессенджере будет небольшой (всё равно отсеется большое количество существ, неспособных выполнить 3 элементарных действия по добавлению языка в программу). Раз пользователей с Марса мало, шанс, что марсианское правительство его заблокирует, меньше (не обратит внимания или посчитает вред несущественным).
Возникает дилемма: либо делать на Марсе этот сервис популярным и рисковать всей аудиторией, либо показательно отторгать большинство, давая свободу меньшинству пользоваться мессенджером без особых проблем.
Информация для размышления: та локализация, которая "трата времени", актуальна и расположена в официальном репозитории переводов Telegram)
И как блокировка на Марсе повлияет на остальных пользователей? Как-то парализует всю сеть? А вдруг какие-нибудь арабы с Венеры заблокируют? Арабский перевод удалят? И как неанглоязычный пользователь найдет этот самый официальный суппозиторий, если на главной телеграм нет на него даже ссылки? Только FAQ-Deeper questions. Это же так очевидно.
В общем, доводы в защиту какой-то детской обиды у вас так себе (даже для Марса).
В общем, доводы в защиту какой-то детской обиды у вас так себе (даже для Марса).
Собственно, я не защищаю, а предполагаю иной вариант, нежели приведённый Вами, не более того.
Блокировка на Марсе на не-марсиан не повлияет никак, очевидно.
Блокировка на Марсе на не-марсиан не повлияет никак, очевидно.
Тогда непонятно каким образом телеграм рискует остальной аудиторией в вашем примере. Если никаким, то это "смотрите как я обижен на ваше правительство" и ничего более.
Возможно, Вы меня неправильно поняли. Речь идет только о марсианах.
В случае, если Telegram станет популярным, его можно заблокировать и потерять всех марсиан.
Если специально усложнять им жизнь, то, возможно (!) его оставят в покое и та малая часть марсиан, что его использует, будет пользоваться им свободно, без всяких проблем.
Речь именно об этом.
В случае, если Telegram станет популярным, его можно заблокировать и потерять всех марсиан.
Если специально усложнять им жизнь, то, возможно (!) его оставят в покое и та малая часть марсиан, что его использует, будет пользоваться им свободно, без всяких проблем.
Речь именно об этом.
Галактика большая, и заблокировать его могут по чесанию правой пятки ноги, хоть на венере с плутоном. Почему тогда жизнь не усложняется для всей галактики?
Так она и не должна усложняться для всех. Речь шла только об одной конкретной планете
Не думаю что в этом есть много пользы, если правительство Марсиан видит в чём-то неудобства для себя — то оно попытается устранить их, и отсутствие востребованности приложения только сыграет на пользу. Пример: Правительство видит противоправный по их мнению материал, Правительство блокирует ресурс не смотря на каком он языке, на нём могло и не быть пользователей с Марса в принципе, и общественность это не будет беспокоить.
Я часто пользуюсь интерфейсом на английском: настроек там раз, два, да обчёлся, можно выучить, если уже совсем не знать языков, а компактность интерфейса присутствует всегда.
Если кому-то нужно, телеграм на русском можно сделать так — https://tlgrm.ru/faq/localization.html#tdesktop
Sign up to leave a comment.
Уголок пользователя ЭВМ: тайна переписки