Почему Telegram Passport — никакой не End to End

    Привет, %username%!



    В обсуждении новости про Passport разгорелись жаркие дискуссии на тему безопасности последней поделки от авторов Telegram.

    Давайте посмотрим, как он шифрует ваши персональные данные и поговорим о настоящем End-To-End.

    В двух словах, как работает Passport.

    • Вы локально с помощью пароля шифруете свои персональные данные (имя, email, скан паспорта, другие документы).
    • Зашифрованные данные + метаинформация загружаются в облако Telegram.
    • Когда нужно авторизоваться на сервисе, клиент скачивает данные из облака, расшифровывает их паролем, перешифровывает на публичный ключ того сервиса, который запросил информацию, и отправляет.

    Мы рассмотрим первую часть, которая касается шифрования и хранения персональных данных.

    End to End по мнению разработчиков заключается в том, что облако Telegram якобы не может расшифровать ваши персональные данные, а видит только «случайный шум».

    Давайте подробнее глянем на код алгоритма шифрования персональных данных из десктоп клиента, который находится тут и посмотрим, удовлетворяет ли результат его работы критериям End-To-End.

    Всё начинается с пароля. Вот место, где он превращается в промежуточный ключ шифрования.

    bytes::vector CountPasswordHashForSecret(
    		bytes::const_span salt,
    		bytes::const_span password) {
    	return openssl::Sha512(bytes::concatenate(
    		salt,
    		password,
    		salt));
    }
    

    Тут берётся случайная соль, дважды конкатенируется с паролем и прогоняется через хэш SHA-512. На первый взгляд ничего необычного. Но!

    На дворе 2018 год. На одном хорошем GPU можно перебирать примерно полтора миллиарда SHA-512 в секунду. 10 GPU переберут все возможные сочетания 8-значных паролей из 94х символьного словаря (англ буквы, цифры, спец символы) меньше чем за 5 дней.

    Давным давно существуют способы усложнить жизнь тем, кто перебирает пароли на GPU, но разработчики Telegram решили не утруждать себя их внедрением.

    Дальше. Хэшем из пароля шифруется еще один почти случайный ключ, который генерируется так:

    bytes::vector GenerateSecretBytes() {
    	auto result = bytes::vector(kSecretSize);
    	memset_rand(result.data(), result.size());
    	const auto full = ranges::accumulate(
    		result,
    		0ULL,
    		[](uint64 sum, gsl::byte value) { return sum + uchar(value); });
    	const auto mod = (full % 255ULL);
    	const auto add = 255ULL + 239 - mod;
    	auto first = (static_cast<uchar>(result[0]) + add) % 255ULL;
    	result[0] = static_cast<gsl::byte>(first);
    	return result;
    }
    

    и используется для шифрования данных вместе с еще одной штукой, о которой ниже.

    Случайный он «почти», потому что разработчики телеграма никогда не слышали о HMAC и AEAD и вместо того, чтобы использовать нормальные средства для проверки корректности расшифровки, они делают так, чтобы остаток от деления суммы байт ключа был равен 239, что при расшифровке и проверяют:

    bool CheckBytesMod255(bytes::const_span bytes) {
    	const auto full = ranges::accumulate(
    		bytes,
    		0ULL,
    		[](uint64 sum, gsl::byte value) { return sum + uchar(value); });
    	const auto mod = (full % 255ULL);
    	return (mod == 239);
    }
    

    Во-первых, этот массив байт получается не такой уж и случайный. Во вторых, при переборе хоть и будет много ложноположительных срабатываний, но посчитать сумму байтов после расшифровки гораздо проще чем HMAC, так что эта гениальная со всех сторон конструкция служит скорее ускорению брутфорса чем приносит пользу.

    Идём дальше. Непосредственно метод, шифрующий данные. Тут много букв, поэтому по кускам:

    EncryptedData EncryptData(
    		bytes::const_span bytes,
    		bytes::const_span dataSecret) {
    	constexpr auto kFromPadding = kMinPadding + kAlignTo - 1;
    	constexpr auto kPaddingDelta = kMaxPadding - kFromPadding;
    	const auto randomPadding = kFromPadding
    		+ (rand_value<uint32>() % kPaddingDelta);
    	const auto padding = randomPadding
    		- ((bytes.size() + randomPadding) % kAlignTo);
    	Assert(padding >= kMinPadding && padding <= kMaxPadding);
    
    	auto unencrypted = bytes::vector(padding + bytes.size());
    	Assert(unencrypted.size() % kAlignTo == 0);
    
    	unencrypted[0] = static_cast<gsl::byte>(padding);
    	memset_rand(unencrypted.data() + 1, padding - 1);
    	bytes::copy(
    		gsl::make_span(unencrypted).subspan(padding),
    		bytes);
    
    

    Тут к данным дописываются от 32 до 255 случайных байт. Делается это чтобы разнообразить
    переменную dataHash. Это хэш от незашифрованных данных, смешанных со случайными байтами.

    	const auto dataHash = openssl::Sha256(unencrypted);
    	const auto bytesForEncryptionKey = bytes::concatenate(
    		dataSecret,
    		dataHash);
    
    	auto params = PrepareAesParams(bytesForEncryptionKey);
    	return {
    		{ dataSecret.begin(), dataSecret.end() },
    		{ dataHash.begin(), dataHash.end() },
    		Encrypt(unencrypted, std::move(params))
    	};
    }
    

    Тут формируется ключ шифрования персональных данных. Он получается с помощью еще одного вызова SHA-512 от сгенерированного выше почти случайного ключа, сконкатеннированного с dataHash.

    Итог


    В облако передаются:

    1. Хэш от персональных данных, смешанных со случайными байтами
    2. Зашифрованный паролем почти случайный ключ
    3. Соль
    4. Зашифрованные данные

    Это далеко не «случайный шум», тут есть всё необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256).

    Так же большому сомнению подвергаются такие изобретённые авторами Telegram механизмы как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAC.

    Примерный алгоритм брутфорса:

    1. Берем пароль по порядку, генерируем хэш от него и соли (GPU)
    2. Пробуем расшифровать ключ (AES-NI)
    3. Смотрим на сумму байт и сразу отсеиваем почти все неверные пароли.
    4. Формируем ключ-кандидат на расшифровывание данных с помощью еще одного вызова SHA-512 (GPU)
    5. Пробуем расшифровать первый блок данных (AES-NI)
    6. Чтобы не тратить время на полное расшифровывание и еще один SHA-256, мы можем ускорить брутфорс, проверяя первый байт выравнивания так же как они сами это делают:

    if (padding < kMinPadding
    		|| padding > kMaxPadding
    		|| padding > decrypted.size()) {
    

    Итак, мы видим, что шифрование персональных данных критически зависит от сложности пароля. Все этапы перебора отлично ускоряются аппаратно. Либо с помощью GPU, либо с помощью инструкций AES-NI. Конечно, можно установить длинный, безопасный пароль и надеяться что прокатит. Но как вы сами думаете, какой процент из двухсот миллионов пользователей телеграма будет делать пароли длиннее восьми символов?

    Добавьте к этому сомнительные техники генерации ключей и проверки валидности расшифровываемой информации, которые не используют стандартные проверенные механизмы, а прямо нарушают принцип Don't roll your own crypto и станет ясно, что это не End-to-End, а сколоченная на коленке поделка от которой неприятно пахнет.

    Кстати, отсутствие цифровой подписи позволяет телеграму не только забрутфорсить личные данные пользователей, но и подменять их на любые другие, например террористов.

    Настоящий End-to-End


    E2E называется так, потому то позволяет показывать третьим лицам зашифрованные данные не опасаясь за их сохранность. Как мы увидели, это условие новым продуктом телеграма не выполняется.

    Но, к примеру, если правильно зашифровать данные не на хэш от пароля, а на публичный ключ, то никакой даже миллиардный кластер не сможет к ним и близко подобраться. Взгляните на Signal, другие мессенджеры на его основе (WhatsApp, etc). Весь мир уже давно и успешно использует современную асимметричную криптографию, алгоритмы, мешающие перебору паролей, стойкие стандартные криптографические конструкции.

    Не первый год существуют и гораздо более серьезные системы защиты данных с помощью паролей, которые даже начать брутфорс не позволяют. Потому что у атакующего не будет для этого достаточного набора данных.

    Но Telegram пошел своим, особым путём переизобретения криптопримитивов и ослабления защиты. Ну а что, денег им отвалили, за последствия можно не беспокоиться.

    P.S. если есть желание посмотреть как работает чат с настоящим E2E, у VirgilSecurity есть демо проект, который можно скачать и поиграться.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Будете пользоваться Telegram Passport?
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 243
      +9
      Проголосовал «да», но имел в виду «буду, когда (если) его допилят до вменяемого состояния». Так-то идея неплоха.
        +23
        Так-то идея неплоха.

        А я вот как не понимал зачем, так и не понимаю. Какие такие персональные данные мне удобнее хранить в облаке, и куда это я буду их потом предоставлять? Свои имя/фамилию я и так помню, и ввести не обломаюсь, адрес для доставки — величина переменная, а номер паспорта/ИНН — это только для госуслуг, и никакого телеграма там никогда не будет и быть не должно.

          +3
          Ну, как минимум, мне приходилось пересылать скан паспорта на airbnb и на Хабр (для ППА). Два раза — это вроде не очень много, но чувствую, будет ещё. И было бы круто положить его один раз в какую-то центральную нычку, а остальные чтоб получали оттуда кукиш ответ в стиле «да, этот человек действительно Вадим Шевяков».
            +9
            Оба ваших примера спрашивают паспорт совсем не для подтверждения личности, им нужны конкретные реквизиты и номера документов для составления документов вроде аренды или оплаты услуг, которые впоследствии попадают в госорганы типа ФНС. Надеяться на интеграцию телеграмма в правительство какой-либо страны бессмысленно.

            (Ещё мне непонятно, как загруженный скан паспорта вообще подтверждает личность закачавшего, если он никем не проверяется. Ну вот закачает тот же арендодатель с Airbnb ваш паспорт вместо своего, как такое решается?)
              +1
              Для этого просят фото раскрытого паспорта рядом с физиономией. Хотя, и такие фото нетрудно купить.
                0

                Некоторые просят видео, в живую.

                  +7

                  А с Телеграм Паспорт можно будет их купить гораздо более удобным способом...

                    +1
                    А какая разница, откуда они утекли: из конторы, которая запросила их у юзера через Passport или из конторы, куда юзер их добровольно загрузил сам?

                    Более того, можно вообще ничему ниоткуда не утекать, а просто создаём видимость того, что набираем людей на удалённую работу, ездим им по ушам и добиваемся заветных фотографий…
                      0

                      Да никакой. Зато в телеграм паспорте все данные "надежно защищены", поэтому удобно что можно найти не только скан паспорта а еще много другой полезной информации.

                        0
                        Для одного паспорта нет разницы. Но… При прочих равных, откуда проще угнать 100 миллионов паспортов: из тысяч различных источников, которые хранят их кто во что горазд, или из одного?
                    0
                    Допустим, если вы хотите восстановить свой утерянный аккаунт у Blizzard (World of Warcraft и т.п.), вам придётся загрузить скан какого-то документа, подтверждающего личность, где будет видно, что данные соответствуют тем, которые вы вводили при создании аккаунта.
                      0
                      Когда я переезжал и нужно было изменить страну в профиле Близзарда, они попросили у меня скан ID, это верно. На вопрос «а как долго вы храните эти сканы?» они ответили — «Мы их вообще не храним, это строжайше запрещено, я посмотрел, убедился и стер его из системы».
                        0
                        Хранение это уже другой вопрос.

                        Кстати, я подозреваю, что даже такое «посмотрел и удалил» нарушает российский закон о локализации персональных данных. Что отчасти объясняет то, почему Blizzard молча утираются, когда им случайно прилетает привет от РКН в виде веерных блокировок, и раздают баны на форуме даже за слово «Роскомпозор». Им очень не хочется лишний раз привлекать к себе внимание.
                          0
                          Ох, форум у них да. В свое время людей банили за упоминание Эльфа-Торговца :)
                      0
                      Ну вот закачает тот же арендодатель с Airbnb ваш паспорт вместо своего, как такое решается?

                      Думаю им пофиг, это требование регулятора а требования решать "такое" там нет :)


                      Благодаря KYN почти все криптобиржи и недобанки хотят фотку с паспортом и никак не проверяют достоверность данных.

                    0

                    Кстати, про подтверждение личности сканом паспорта — в Москве уже 20 или более каршеринг компаний… И везде надо отослать одинаковые фотографии паспорта, ВУ, и т.п. После 3-его раза это ОЧЕНЬ надоедает.

                      0
                      У меня есть своё облако (nextCloud), в котором в одном из каталогов лежат сканы ряда документов (не всех), как раз для этой цели. Как раз с теми же целями, что и Tg Passport. Я понимаю, что везде могут быть дырки, но по крайней мере, я рискую только своими данными, и всё равно я меньше доверяю booking'у, чем моему облаку
                    0
                    Букмекерские конторы, например, просят фото паспорта. Затем реальный человек его смотрит и подтверждает аккаунт. А ждать всегда неприятно, согласитесь.
                      0
                      Сейчас даже хайп-проекты его просят.
                      Но опять же, а чем телегам паспорт поможет? Для этого он сначала должен стать настолько же популярным, насколько facebook или gmail, чтобы каждый второй владелец сервиса старался его внедрить.
                        0
                        Среди моего круга знакомых (в это по большей части студенты и программисты) им пользуются практически все. И аудитория Telegram растёт. 200млн — довольно много и, мне кажется, что через несколько лет будет больше миллиарда, а этого более, чем достаточно.
                          0
                          Вопрос в аудитории паспорта, а не чисто мессенджера.
                            0

                            Ну так когда будет TON будет и рост сервиса с паспортом

                        +1
                        И никак телеграмм в этом не поможет. Букмекерские конторы просят ваш паспорт потому что такое требование регулятора. Никто не будет верить частной конторке, хоть сколько миллиардов ей будут пользоваться.
                          0
                          А если телеграм сертифицируется у регулятора, то что?
                          Многие частные «конторки» имеют отдельные условия работы, пройдя необходимую бюрократию, включая даже лоббирование изменения законодательства.
                            0
                            Вот когда сертифицируется, тогда и поговорим (с)

                            Вы посмотрите как сделана аутентификация через госуслуги, и добавление документов туда. Государству и регулятору хранящему данные пользователей не нужны селфи на фоне паспорта, и данные которые никто не может расшифровать. Оно само является golden source для этих данных.

                            И это не говоря уже о том, что ни одно государство не разрешит хранить такие данные за пределами страны, что там потребуется специальный доступ для спецслужб и так далее.
                            А все это Дуров делать не будет.
                              0
                              Всегда можно разместить сервера в пределах нужного государства, если таково будет требование при сертификации.
                              Во всех странах эти процедуры существуют и могут быть пройдены частной компанией. Большинство банков — частные коммерческие структуры, и ничего — и документы хранят в электронном виде и так далее.

                              Еще раз скажу, что в СНГ с этим сложнее, так как злоупотребление властью — стандартная практика.
                                0
                                Но даже в СНГ всегда есть варианты.

                                Например, я работал в крупной медицинской компании, которая имела свои сертифицированные склады хранения медикаментов (включая и зоны для хранения веществ, подпадающих под наркотические). Компания самостоятельно разработала процедуру растаможки лекарственных средств, которая занимала в три раза меньше времени, чем обычная. Процедура была проверена экспертизой, и конкретно для нашей компании таможня дала добро. Понятно, что компания потратила на всю экспертизу и разработку много денег. Но прямые контракты поставщиков, которые проходя процедуру разтаможки за гораздо меньший срок (что очень критично для лекарств, у которых срок годности, например, месяц) — все расходы достаточно быстро покрыли.
                                И да, коммерческая компания выполняла работу, которая казалось бы должна принадлежать исключительно гос.службе (таможне). Но все было согласовано, законность соблюдена, все довольны.

                                В общем если все идут друг другу навстречу — все будет.
                                  0
                                  Всегда можно

                                  Я разве спорю? Можно пройти, можно перенести сервера, можно все это сделать. Но я сомневаюсь что это будет делать Телеграмм. Вот и все.

                                  Большинство банков — частные коммерческие структуры, и ничего — и документы хранят в электронном виде и так далее.

                                  Вы к чему это? Банк хранит ваши данные да, но он не является провайдером паспорта. И внимание, те данные что он провайдит, он не проверяет у третьих контор, он сам это знает и так. Банк не просит вас сфотографироваться с картой и договором на фоне для того чтобы вам предоставить услуги.
                                    0
                                    банк не просит вас сфотографироваться с картой и договором на фоне для того чтобы вам предоставить услуги.


                                    Карту он мою и так знает, а что до фотографии… давно уже при заключении договора в банке в реальном времени фотографируют на веб-камеру.
                                      0
                                      Карту он мою и так знает,

                                      Именно. Поэтому телеграмм в его текущем виде никогда не будет провайдером паспортных данных для тех контор, от которых это требуют регуляторы.
                                        0
                                        Не факт. Регулятор может сознательно или случайно оставить место для подобных сервисов.
                                        0
                                        Обычно карта не ваша, а банка. И в смысле юридической собственности носителя, и в смысле продукта. Карта — это ключ к вашему счёту, который вам выдаёт банк. Собственно и счёт не ваш, и деньги на нём не ваши. Ваше лишь право требования к банку исполнить его обязательства перед вами, и то не безусловное.
                              0
                              Напоминаю, что ещё совсем недавно телеграм был одним из официальных каналов поддержки у многих госконтор
                            0
                            Это нужно, например, для прохождения KYC. Подобные проекты уже есть (например, kyc.legal), но у Telegram больше шансов сделать реально работающий продукт и интеграцию.
                              0
                              Сценарий: вы покупаете авиабилеты, авиакомпании просят паспортные данные, номер вашего мембершипа на который начисляются мили, + что-то еще.

                              Решение: заходя на сайт авиакомпании, сайт обращается к плагину хрома от телеграмма, и запрашивает нужные данные, плагин спрашивает у вас разрешение на шаринг этих данных с этим сайтом, вы соглашаетесь и вы автоматом залогинены и вся информация для покупки билетов уже считайте введена, осталось только выбрать направление, опции и оплатить.

                              То же самое с онлайн покупками где нужно вбивать адрес доставки.

                              Кстати некоторые криптовалютные проекты уже предоставляют такую функциональность, включая оплату, очень удобно.
                                0
                                Но это не KYC и не идентификация. Это просто ускорение заполнения данных.
                                  0
                                  Я слышал, что существуют плагины, которые помогают автозаполнять формы.
                                  0
                                  при покупке билетов ты логинишься на сайте и при вводе данных просто выбираешь пассажиров из своего личного кабинета, которых вводил ранее. для чего тут телеграм неясно
                                  0
                                  каршеринг, например
                                +8
                                У них интересно еще вот что в FAQ:
                                I found a bug, what do I do?
                                Please contact us via e-mail. Despite on there's no bug-bounty program (non-profit project), some problems may be rewarded.
                                  +11
                                  Судя по аналогичной ситуации с «секретными» чатами, наплевательский подход к безопасности на фоне усиленного пиара — это фича Дурова, а не баг.
                                    +3
                                    Despite on

                                    За такое издевательство над языком и правда надо канделябром.

                                      +5

                                      По моим наблюдениям, только в рунете любые ошибки на любом языке будут неминуемо пытаться исправить. Иностранцы, читая такие вещи, вежливо говорят, что оборот fairly rare, but understandable. Никто никого не бьёт.

                                        +3
                                        Это выливается в то что язык становится более-менее однородным. И что можно проехать пару тыс км и продолжить говорить «как дома». Что бывает если это не так можно посмотреть на примере английского.
                                          +1
                                          Смотря куда. Если хорошенько проехать по СНГ, то и русский язык, например, будет не просто разнообразным. Вы даже не подозреваете, насколько затейливо с ним можно обращаться :)
                                            0
                                            Я надысь хочев холодного кипятку глытнуть зыбского, да гляжу — тама чтось бултыхается. Я его студова споймал, шоб кипяток-то не портило.
                                              +1
                                              Вполне гармоничная фраза. Единственное неочевидное в этом пассаже — что кипятком называют не (недавно) кипящую воду, а просто кипяченую (когда-то кипевшую). Диалектизмы — да, не литературный язык — да. Но я не вижу реальных отступлений от вариантов русского языка, кроме неясного для меня слова «зыбский» (придется в ТСЖВЯ лезьть.
                                                0
                                                «Холодный кипяток» — вполне приятое (по крайней мере в некоторых местностях) выражение.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    0
                                                    Холодная кипячёная вода (кипяток — кипячёная вода, а не только кипящая). Имеет смысл разделять там, где просто воду пить небезопасно. Второе слово слышал последний раз лет 30 назад или давнее, что-то такое дворовое… я бы сказал что это синоним современных «крутой», «cool» и чуть более давнего «здоровский».
                                                      0
                                                      Зыбский..
                                                      image
                                                0
                                                Черт подери, что это за фраза, откуда она? мне гугл какую хрень предлагает при ее поиске, про «как залить видео на ютуб». А всего-то озадачился всерьез словом «зыбский».
                                                  0
                                                  Зачем гуглить?
                                                  Очевидно же: расслабляем мозг и произносим «зыбский».
                                                  Понимание слова само придёт.
                                                    0
                                                    Что-то вроде зыкинского, я правильно мозг расслабил?
                                                    +1
                                                    Все равно ничего не получилось.
                                                    Напомнило, как одна знакомая удивлялась слову «стрекать», «крапива стрекает». В ее краях так не говорили )
                                                      +1
                                                      Справедливости ради, жгучие клетки крапивы — называются «стрекательные» :)
                                                        +2
                                                        в школьном курсе биологии такие клетки упоминаются при обсуждении медуз
                                                        0
                                                        В моих тоже не говорили, но «подстрекать», «подстрекательство» вроде бы общеизвестные
                                                          0
                                                          Ну судя по словарю, корень у них все-таки разный.
                                                          +1
                                                          В моих краях так тоже не говорят.
                                                        +1
                                                        Зыбский — хороший.
                                                        «Зыбский пирог», например, это «вкусный пирог».
                                                    –3

                                                    Вот одну такую окраину не били, и к чему это привело?


                                                    Иностранцы, читая такие вещи, вежливо говорят, что оборот fairly rare, but understandable.

                                                    Мне тоже много чего understandable, но приятного от этого мало. Например, данное произведение вполне понятно, но от суржика, на котором говорит главгерой, ОЧЕНЬ корёжит и читать жутко сложно.

                                                      +2
                                                      А это зато получается как ж/д колея на восемь с половиной сантиметра шире: вроде то же в целом, а чужой споткнется и себя выдаст. (Сарказм)
                                                      на деле же английский как общепринятый язык международного общения имеет тяжкое обременение в виде размывания норм.
                                                  +9
                                                  E2E называется так, потому то позволяет показывать третьим лицам зашифрованные данные не опасаясь за их сохранность. Как мы увидели, это условие новым продуктом телеграма не выполняется.

                                                  Мне кажется, что Вы не правы в том смысле, что E2E это принцип/механизм, а не гарантия
                                                    0
                                                    Какой смысл использовать принцип\механизм если он не дает никаких гарантий?
                                                    Люди видят «End-to-End» и в голове у них это бренд, который подразумевает безопасность.
                                                      +18
                                                      Я ведь немного о другом, система является E2E не потому что он что-то там гарантирует, а потому что она построена по данному принципу. Можно сделать надежный E2E, а можно не надежный E2E. В двух случая это E2E, но только один не надежный.
                                                        –2
                                                        Ок, попробуем по другому. Определение из википедии:
                                                        Сквозное шифрование (также оконечное шифрование; англ. end-to-end encryption) — способ передачи данных, в котором только пользователи, участвующие в общении, имеют доступ к сообщениям


                                                        Рассмотрим ситуацию:
                                                        Я использую пароль «1» и заливаю свои персональные данные в облако телеграма.
                                                        Получает облако доступ к моему «сообщению»? Да, конечно получает, миллисекунды через три оно будет расшифровано и полностью им доступно. Нарушается ли при этом принцип E2E? Конечно нарушается
                                                          +10
                                                          Ну давайте по такому, выше по тексту Вы пишите
                                                          10 GPU переберут все возможные сочетания 8 значных паролей за 80 дней

                                                          Если мерить видеокартами, какова должны быть надежность настоящего E2E в штуках? На основе чего вы предъявляете требования именно в таком количестве штук?
                                                            –6
                                                            «Настоящий» E2E видеокартами не взломать, т.к. ключ шифрования не зависит от сложности пароля и является результатом, например функции диффи-хэлмана
                                                              +5
                                                              А если вы используете бесконечно длинный пароль и время его взлома будет бесконечно велико, то это можно назвать «настоящим» E2E?
                                                                –1
                                                                Если так будут делать все, то да, если кто-то один — нет.
                                                                  0
                                                                  А если вы используете бесконечно длинный пароль и время его взлома будет бесконечно велико

                                                                  Надежность системы определяется самым слабым звеном, для данной системы наихудшим вариантом будет взлом AES-256.

                                                                  По поводу Е2Е с научной/инженерной/академической точки зрения Вы правы, но с обывательской — когда человек видит Е2Е, то считает что данные надёжно защищены, а в данном случае система и правда «дырявая»…
                                                                    +1
                                                                    С обывательской точки зрения если обычный человек видит E2E, то это ему вообще ни о чём не говорит, потому что он не знает что это такое.

                                                                    А технически подкованный человек и так знает о том что абсолютно защищенных систем не существует и стоит защищать себя самому, поэтому для него E2E тоже ничего не значит.
                                                                      –3
                                                                      если обычный человек видит E2E, то это ему вообще ни о чём не говорит

                                                                      Многие знают или хотя бы слышали термин и имеют ассоциацию с защитой данных, в немалой степени это заслуга РосКомПозора и недавней битвы с Telegram.
                                                                      абсолютно защищенных систем не существует

                                                                      В реальной жизни вообще ничего абсолютного не существует.
                                                                      стоит защищать себя самому

                                                                      Сделать всё самому, к сожалению, невозможно, довольно часто приходится обращаться за услугами к другим людям/организациям. Но ответственности за себя с человека этот факт, конечно, не снимает.
                                                        0
                                                        Мне кажется, что Вы не правы в том смысле, что E2E это принцип/механизм, а не гарантия

                                                        Справедливости ради, телеграм тоже назвал End-to-end-ом не совсем то, чего ожидаешь в таких случаях. Насколько я понял, закрытый ключ здесь всего у одного владельца, а Passport — просто хранилище зашифрованных данных, которые расшифровать можно только зная секрет. Нужно было в начале статьи разграничить понятия «End-to-end» и «хранилище зашифрованных данных без доступа» и после этого заявлять, что секрет можно сбрутить.

                                                        Без Proof of Concept, конечно, «восьмизначный пароль за 5 дней на GPU-кластере» — вывод так себе. Ежу ж ясно, что любой секрет можно гипотетически сбрутить в том случае, если этот секрет является достаточной информацией для расшифровки.
                                                        –7
                                                        Спасибо за детальный разбор, конечно же не понесу им свои персональные данные.

                                                        P.S мне все больше кажется что просто даже блокировка телеграмма была качественным маркетинговым ходом, чтобы сейчас люди начали вестись на подобные продукты от Telegram, потому как до сих пор работает как и работал…
                                                          +2
                                                          Ну а какие варианты по его выпиливанию существуют? приложения букмекерских контор отлично работают(клиент-сервер) скачал с сайта и пользуйся. Тут подобная история, просто решили поубивать адреса сервера, не получилось (ожидаемо)
                                                            –11
                                                            мы же взрослые люди, если бы речь шла действительно про запрещенные организации, то уже бы отработали Дурова по другому, и все спокойно бы закрыли, просто есть другие месенджеры которые тоже говорят про е2е и они работают как и работали, тут просто было смешно наблюдать когда все говорят про блокировки Телеграмма, и тут же по новостям от депутатов и чинов слышно: «мы организовали телеграмм группу/канал для быстрого реагирования», не говоря уже том что телеграм бот работает в госуслугах

                                                            P.S давайте не будем поднимать холивар на полит темы
                                                              +1
                                                              то уже бы отработали Дурова по другому
                                                              Силовыми методами? Или на родителей бы надавили, живущих в России?

                                                              По-моему, это дикость и варварство.
                                                                0
                                                                Напомнить, что стало с мамой Чичваркина?
                                                                  0

                                                                  Она поскользнулся?

                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    0
                                                                    Телеграм бот гос услуг не работает чуть ли не с самого начала блокировок
                                                                      0
                                                                      я им пользовался в момент блокировок когда получал загран паспорт
                                                                      +1
                                                                      > о уже бы отработали Дурова по другому

                                                                      И как? Потому как с запрещённми организациями особенно ничего поделать не могут. Даже победоносная войнушка не очень получилась (сначала на словах победили к выборам, а потом как-бу уже и не очень).
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                      +3

                                                                      Это определённая категория людей, у них кругом заговоры, фейки, постановы, и т.д.

                                                                        0
                                                                        И каждый человек, не важно из какой он категории имеет право высказывать свою точку зрения, даже если она не нравиться окружающим
                                                                          0
                                                                          А окружающие имеют право выразить, что они думают о вашей точке зрения.

                                                                          И рот вам никто не затыкает))
                                                                    –14
                                                                    Странно это, не может телеграмм так косячить…
                                                                      +12
                                                                      Если они тру зайки, то зайдут сюда и ответят по существу, ну или на других площадках.
                                                                        0
                                                                        Вы шутите?
                                                                        habr.com/post/206724
                                                                          0
                                                                          2013 год
                                                                          Это раз.

                                                                          Мокси Марлинспайк
                                                                          Серьёзно? Человек, который на голубом глазу убеждал, что их протокол используется в WhatsApp, а потом оказывается, что на самом деле там его "модификация" (а что ещё ожидать от Facebook?) вместо "чистого" OpenWhisper.
                                                                            +1
                                                                            2013 год

                                                                            И? Сильно важно, в каком именно году Дуровы начали непонятно зачем изобретать криптовелосипеды сомнительного качества?
                                                                            Серьёзно? Человек, который

                                                                            И? Давайте еще меня обсудим, это же так важно. Обсуждать, что команда Telegram уже не в первый раз занимается сомнительными с точки зрения криптографии вещами, мы, конечно, не будем.
                                                                        +13
                                                                        Update: пока составлял комментарий, рекламная ссылка из поста исчезла.

                                                                        Ссылка на ваш продукт в конце текста, во-первых, прямо противоречит первому пункту правил Хабра («запрещена реклама в обход правил»),

                                                                        а во-вторых, несколько подрывает доверие ко всему тексту: вы очень заинтересованы ругать чужую криптографию, если за счёт этого продаёте свою.

                                                                        Я человек простой, в криптографии глубоко не разбираюсь, и у меня два простых вопроса. Вы пишете, что в Telegram Passport не внедрили защиту от перебора с помощью GPU, и «на это уйдёт 80 дней». Вопросы такие:

                                                                        1. Правильно ли я понимаю, что такой защиты нет не только в Telegram Passport, но и в основной переписке Telegram?

                                                                        2. Если это так, то почему никто не брутфорснул с помощью GPU переписку Павла Дурова, за расшифровку которой была обещана большая награда?
                                                                          +1
                                                                          Ссылка в конце статьи уже заменена на гитхаб, правил она больше не нарушает. А доверять статье не надо, можете сами проверить все факты.
                                                                          Основная переписка телеграма защищена по другому, там пароли не участвуют. Но она тоже не E2E, облако видит всю переписку
                                                                            +1
                                                                            Можете написать про это статью? Будет интересно почитать, многие считают что секретные чаты телеграма реально безопасны
                                                                              +3
                                                                              Секретные чаты пока никто не взломал, но протокол там самопальный. А обычные чаты шифруют текст только до серверов облака, это общеизвестный факт. Проблема в том, что секретными чатами никто не пользуется
                                                                                +9
                                                                                Возможно это проблема тех, кто ими не пользуется? И да, «никто» — по-умолчанию ложное заявление.
                                                                                  +17
                                                                                  В официальной десктопной программе поддержки нет, поэтому не пользуются.
                                                                                    +1
                                                                                    Нет, это проблема именно телеграма. Он пиарился, как «безопасный», но 1) в настольной версии безопасных чатов нет 2) они специально сделаны так, чтобы ими было неудобно пользоваться. например, общение возможно только между одним устройством и другим. по сравнению с omemo — прошлый век.
                                                                                      +5
                                                                                      Whatsapp точно так же работает между одним устройством и другим, что делает его неудобным для использования на сторонних устройствах в любых случаях. Телеграм дает выбор между удобной синхронизацией или e2e на одном устройстве. Добавление е2е в десктопный клиент потянет за собой вопросы начиная от «куда делись мои чаты?» до «как выбрать, на каком клиенте собеседника появится вновь созданный чат, не спалив чужих устройств?»
                                                                                      Не знаю, если честно, как это реализовано в сторонних клиентах, надо-бы попробовать.

                                                                                      Для себя лично я вижу ситуацию необходимости использования секретного чата именно с мобильного клиента, когда нужно быстро начеркать несколько очень важных слов. Или позвонить, ведь звонки так же е2е шифрованы.
                                                                                      Для разговоров с близкими о вечернем ужине я выберу более удобные обычные чаты, даже при наличии секретных на всех клиентах.
                                                                                        +1
                                                                                        Не знаю, если честно, как это реализовано в сторонних клиентах, надо-бы попробовать.

                                                                                        Я не зря omemo упомянул — там эта проблема успешно решена.

                                                                                          –4
                                                                                          что не так с вотсапом? Синхронизация истории есть и на десктопе и в браузере
                                                                                            +2
                                                                                            Любые клиенты вотсапа работают через телефон и не работают без него.
                                                                                            Подход вотсапа к бэкапу истории сообщений в большинстве случаев приводит к потере е2е при заливке бэкапа в гугл-драйв/другое. В телеграме секретные чаты не бэкапятся, т.е. всегда остаются е2е. Обычные чаты хранятся и синхронизируются серверами.
                                                                                              0
                                                                                              Вотсап бэкапит историю сообщений в открытом виде?
                                                                                                0
                                                                                                Не проверял, но это не важно в контексте обсуждения, т.к. расшифровка этого бэкапа на другом устройстве означает наличие сторонних ключей и потерю е2е.
                                                                                                  0
                                                                                                  Это важно, если расшифровка возможна только при вводе как минимум пароля пользователя, а еще лучше — его приватного ключа или сертификата (с приватным ключом). В этом случае, наличие зашифрованной информации на каком-либо устройстве или облаке не несет никаких рисков, кроме как потери этой информации.
                                                                                                    0
                                                                                                    Всегда есть риски подбора паролей/ключей. Современная типография не оперирует понятием «невозможно», она оперирует вероятностями, оценками среднего количества итераций и т. п.
                                                                                              0

                                                                                              Наверно тем, что при бэкапе она не зашифрована?

                                                                                              0
                                                                                              Добавление е2е в десктопный клиент потянет за собой вопросы начиная от «куда делись мои чаты?» до «как выбрать, на каком клиенте собеседника появится вновь созданный чат, не спалив чужих устройств?»

                                                                                              Поддержка «секретных чатов» (e2e) есть в десктопном клиенте для Mac, и да, из-за отсутствия синхронизации получается не очень удобно.
                                                                                                0
                                                                                                А я использую matrix.org — там e2e шифрование сделано вполне нормально, даже для групповых чатов!
                                                                                                  0
                                                                                                  «как выбрать, на каком клиенте собеседника появится вновь созданный чат, не спалив чужих устройств?»

                                                                                                  Возможно, по аналогии с SIP Proxy, активное устройство будет регистрировать свой ip.
                                                                                            0
                                                                                            Удваиваю просьбу
                                                                                            +1
                                                                                            Облако видит переписку потому что оно ее шифрует ключами, которые хочет РКН. E2E шифрованные секретные чаты облако не видит. Поправьте если я не прав.
                                                                                          +1

                                                                                          Сколько GPU-часов надо для взлома 20-значного пароля с алфавитом на 64 символа?

                                                                                            –6
                                                                                            Я думаю хаб Nicehash — справиться за считанные часы
                                                                                              +3
                                                                                              за считанные где-то 10^40 лет(пальцем в небо, но порядок примерно такой). это чуть больше, время жизни Вселенной и «считанные часы»
                                                                                                +1

                                                                                                Палец промахнулся раза в два по порядку, на самом деле там 10^19 лет, но это всё-равно более чем.

                                                                                                  +3
                                                                                                  Ох, я для 10-значного посчитал, признаю, был не прав.
                                                                                                  Для 20 — вероятно да, общая ёмкость криптовалютных вычислений такое скушает время большее жизни вселенной (10^20 лет примерно), это учитывая ASIC и всё остальное (хотя сейчас ASIC из SHA256 в SHA512 переделать нельзя, прикидка чисто по хешрейту). Но учитывая что SHA-512 2003 года выпуска, в 2008 нашли коллизии для 22 итераций, в 2016 для 27 (всего их 64 напомню). То я думаю что подбор такого пароля в итоге займёт времени значительно меньше времени жизни вселенной.
                                                                                              +3
                                                                                              На самом деле (ИМХО, конечно) любые такие сторонние сервисы лучше для хранения идентифицирующих документов, всё-таки, не использовать. Разве есть какой-то правовой статус у подобного хранилища? Identity theft никто не отменял.
                                                                                                +1
                                                                                                И как, интересно, правовой статус может защитить от identity theft? Что, паспорта не подделывают?
                                                                                                  0
                                                                                                  От правового статуса будут зависеть возможности по дальнейшему снижению эффекта случившегося, возвращению статуса кво и так далее. Identity theft просто будет проще или сложнее в зависимости от защищенности данных, вы правы, так и паспорт можно банально протерять и не успеть заявить в МВД о его недействительности…
                                                                                                    +1
                                                                                                    Правовой статус паспорт без его владельца нулевой. Риски ложноположительной идентификации несёт идентифицирующий. Хотя владельцу неприятные моменты может принести потеря или даже утечка сканов. Но никакой ответственности за действия третьих лиц с его паспортом он несёт.
                                                                                                +2
                                                                                                Ассиметричная криптография для шифрования данных? Серьёзно?! В плане криптостойкости, конечно, имеет место быть, но при относительно больших объёмах данных крайне неприемлемо по скорости.

                                                                                                В остальном согласен, есть HMAC, есть AEAD, а это какой-то совсем уж самопал. Ещё не совсем понятно зачем в облаке зашифрованный ключ, ведь криптография всё равно выполняется на стороне клиента и ключу незачем покидать пределы устройства.
                                                                                                  +6
                                                                                                  Асимметричная криптография используется для генерации симметричных ключей. Шифруется в итоге всё равно тем же самым AES
                                                                                                    0
                                                                                                    Ну, я конкретно придираюсь вот к этой формулировке:

                                                                                                    Но, к примеру, если правильно зашифровать данные не на хэш от пароля, а на публичный ключ, то никакой даже миллиардный кластер не сможет к ним и близко подобраться.

                                                                                                    Написали бы про протокол Диффи-Хеллмана — таких вопросов бы не возникло.
                                                                                                      +1
                                                                                                      Столько лет прошло с тех пор как люди буквально шифровали «на ключ», что я решил не уточнять. Но приятно видеть олдфагов)
                                                                                                  +1

                                                                                                  если будете пользоваться Gram, то Telegram-у нужен будет ваш Passport, потому что Знай своего клиента, иначе Дуров пойдет за Винником.


                                                                                                  В компании обещают, что Telegram не будет иметь доступа к личным данным пользователей. Они будут переходить непосредственно к получателю.

                                                                                                  Меня больше волнует в каком виде Telegram будет раздавать наши паспорта: текстом "да, это он!" (т.е. вручную подтверждается личность с походом в какое-нибудь почтовое отделение) или солянка из скана, телефона и мыла… Потому что гладиолус GDPR. И я не хочу, чтобы у видео-салона "Рога и копыта" (или тот же "Fhloston Paradise" из image скриншота новости про Telegram Passportбыли мои паспортные данные с фоткой, мылом и телефоном — зачем им оно и куда они это будут сливать?
                                                                                                  На скриншоте показано, что некий сервис запрашивает мои личные данные, телефон и мыло. Абсолютному большинству всяких веб-сайтов нужно только мыло, которое я и так бы указал при входе или регистрации. Но вот сам интерфейс — сервис запросил личные данные и стрелка, которую никто в большинстве раскрывать не будет, а просто жмакать ОК (не все же параноики и продвинутые айтишники) — выглядит стремно. Т.е. лучше бы, если сервису нужно что-то помимо мыла, интерфейс изменить, чтобы пользователь явно подтвердил (проставил галочки как минимум), что он согласен отправить свой паспорт, вод./пенс.удостоверение и так далее этому сервису.

                                                                                                    +6
                                                                                                    есть хороша фраза которая описывает данный сервис: «Если человек не платит за сервис, значит он продукт этого сервиса»
                                                                                                    –4
                                                                                                    -
                                                                                                      +1
                                                                                                      Немного оффтоп, но всё же. Есть ли что-то похожее на этот паспорт, но локально? Хочется хранить основные документы не сканами, а в нормальном приложении с удобной навигацией? Нечто подобное видел у 1Password, но ооочень дорого.
                                                                                                        +1
                                                                                                        Храню много чего в Cherrytree, может, и вам подойдет?
                                                                                                          0
                                                                                                          Спасибо за вариант, но это всё-таки немного не то. Хочется нечто подобное — ВКармане
                                                                                                            +8
                                                                                                            Классные у приложения отзывы.
                                                                                                              0
                                                                                                              Именно поэтому я и написал, что нечто подобное. Суть то, что надо, а вот исполнение неудовлетворительное.
                                                                                                                +14
                                                                                                                Q: Как восстановить пропавшие при обновлении документы?
                                                                                                                A: К сожалению, никак. Потеря документов стала следствием необратимого технического сбоя. Мы сделали все возможное, чтобы избежать повторения ситуации в будущем.

                                                                                                                Q: Как синхронизировать документы с iCloud/Dropbox?
                                                                                                                A: Этот вид синхронизации больше не нужен, документы автоматически синхронизируются с нашим сервером. Ваши данные надежно защищены. Это было сделано, чтобы избежать повторения ситуации с потерей локально хранящихся данных. Возможность восстановления из резервной копии в iCloud или Dropbox сохранится до выхода новой версии ВКармане. Теперь все документы синхронизируются автоматически между всеми вашими устройствами.

                                                                                                                Q: Почему пропал офлайн-режим работы?
                                                                                                                A: Мы недооценили, насколько это важная функция для вас. Офлайн-доступ к документам обязательно вернется в следующей версии.

                                                                                                                Q: Короткий код доступа — это не безопасно. Как мне вернуть длинный пароль?
                                                                                                                A: Данная схема безопасна. Заданию короткого кода доступа предшествует авторизация по номеру телефона с кодом подтверждения из смс. Короткий код сбрасывается после трех неправильных попыток ввода. После этого требуется снова пройти полную авторизацию. Возможность задания длинного пароля вернется вместе с офлайн-режимом работы, где наличие длинного пароля необходимо для обеспечения безопасности.
                                                                                                                Вообще пушка, программа года.
                                                                                                                  +6
                                                                                                                  Конкретно с ВКармане всё гораздо интереснее — это было отличное приложение, я его купил и использовал, в один прекрасный день оно потребовало номер телефона без возможности отказаться, после разбирательства выяснилось что приложение было куплено структурами Тинькова с целью, как я понимаю, создать себе базу документов с привязанным номером телефона, никакого способа побороться с этими тварями, например, через Apple, я не нашёл, пришлось удалить. Короче, разработчики этого приложения и структуры Тинькова не самые лучшие люди, мягко говоря.
                                                                                                                    +1
                                                                                                                    Вряд ли разработчик виноват, что ему дали денег, а потом испортили приложение. Он скорее всего даже не знал, какие последуют изменения. «О, меня за 10 лимонов покупают, отлично!». А потом «что вы наделали, ироды», но поезд ушел.
                                                                                                                    0
                                                                                                                    > Q: Как восстановить пропавшие при обновлении документы?
                                                                                                                    > A: К сожалению, никак. Потеря документов стала следствием необратимого технического сбоя. Мы сделали все возможное, чтобы избежать повторения ситуации в будущем.

                                                                                                                    Напомнило печальную историю с одним из хостинг-провайдеров: «ребята, мы все случайно удалили, но больше такого не повторится, честно-пречестно».
                                                                                                            0
                                                                                                            Нечто подобное видел у 1Password

                                                                                                            Очевидный KeePass имеет функцию прикрепления любого файла и позволяет вводить любые поля с любыми данными. Просто залейте скан и забейте все поля. Поиск тоже есть.
                                                                                                              0
                                                                                                              Lastpass же, $1/мес
                                                                                                                0
                                                                                                                Активно юзаю, хочу гуй для документов…
                                                                                                              +2
                                                                                                              Интересно, а почему именно 239?
                                                                                                                +4
                                                                                                                Простое число размером в 1 байт. И состоит из 7 единиц.
                                                                                                                Но таки да, самодельная криптография это зло.
                                                                                                                  +2
                                                                                                                  Я долго вспоминал где же я видел это магические число. Вспомнил:
                                                                                                                  github.com/vk-com/kphp-kdb/blob/master/memcached/memcached-data.c#L50
                                                                                                                  github.com/vk-com/kphp-kdb/blob/master/copyexec/copyexec-commit.c#L147
                                                                                                                  github.com/vk-com/kphp-kdb/blob/master/KPHP/common.h#L135
                                                                                                                  github.com/vk-com/kphp-kdb/blob/master/text/text-data.c#L2543
                                                                                                                  Часто используется в kphp/kdb движках, особенно в функциях хэширования, одним из авторов которых является Николай Дуров.
                                                                                                                  Тогда я тоже задавался вопросом почему именно 239.
                                                                                                                    +3

                                                                                                                    А где он учился? Для ленинградцев, в детстве увлекавшихся математикой, число 239 очень-очень знакомо =)

                                                                                                                  +4
                                                                                                                  Прозреваю, автор кода учился в физико-математическом лицее №239 :-)
                                                                                                                    0
                                                                                                                    я был о лицее лучшего мнения хотя может он его недавно закончил
                                                                                                                    0
                                                                                                                    Еще замечу, что про лицей я подумал сразу, потому что я знаю людей, кто лепит число 239 во всё — в исходные коды, в номера телефонов, в емейлы, никнеймы и так далее. Ну и при покупке булочки за 23.90 обязательно скажет, что это знак.
                                                                                                                      0
                                                                                                                      Ну и при покупке булочки за 23.90 обязательно скажет, что это знак.

                                                                                                                      Я бы тоже подумал, что это знак, хотя в питере не учился.
                                                                                                                      +5
                                                                                                                      Существует культ выпускников физико-математического лицея №239 Санкт-Петербурга, эту константу очень часто можно увидеть в их коде.

                                                                                                                      Как-то раз в конторе, где я работал, была проблема с очень странным поведением игрового персонажа. Выяснилось, что причиной этого был следующий код:
                                                                                                                      int random()
                                                                                                                      {
                                                                                                                          return 239;
                                                                                                                      }
                                                                                                                        +1
                                                                                                                        Это саботаж какой-то. За такое недолго и под зад коленом из конторы получить, вкупе с соответствующей записью в трудовой.
                                                                                                                        Хотите развлекаться культами — пожалуйста, но не надо примешивать сюда рабочие процессы.
                                                                                                                          +2
                                                                                                                          вкупе с соответствующей записью в трудовой
                                                                                                                          Уволен по ст. 239 ТК РФ
                                                                                                                    0
                                                                                                                    На одном хорошем GPU можно перебирать чуть больше миллиарда SHA-512 в секунду. 10 GPU переберут все возможные сочетания 8-значных паролей за 80 дней.

                                                                                                                    А что имеется в виду под сочетаниями 8-значных паролей? Вся таблица юникод что-ли?
                                                                                                                    Обычные пароли из латиницы, цифр, спецсимволов вскрываются гораздо быстрее.
                                                                                                                    На обычном домашнем компе с бюджетным джефорсом при помощи хешкета и при гораздо меньшем хешрейте ушло где-то часа 2. На 8 символов.
                                                                                                                      0
                                                                                                                      Под всеми возможными имеются в виду все 8байтовые комбинации, т.е. 256^8, в реальности, конечно, еще во много раз быстрее, я просто ограничил сверху
                                                                                                                      0
                                                                                                                      >На одном хорошем GPU можно перебирать чуть больше миллиарда SHA-512 в секунду.

                                                                                                                      Можете поделиться источником инфы про миллиард sha-512 в секунду? Интересно узнать, на каком оборудовании это делали и с помощью какого ПО.
                                                                                                                        0
                                                                                                                        Вот, пожалуйста: www.blackhillsinfosec.com/hashcat-benchmarks-nvidia-gtx-1080ti-gtx-1070-hashcat-benchmarks

                                                                                                                        Hashtype: SHA-512

                                                                                                                        Speed.Dev.#1.....: 1511.9 MH/s (77.65ms)
                                                                                                                        Speed.Dev.#2.....: 1524.0 MH/s (77.04ms)
                                                                                                                        Speed.Dev.#3.....: 1487.6 MH/s (78.90ms)
                                                                                                                        Speed.Dev.#4.....: 1504.3 MH/s (78.05ms)
                                                                                                                        Speed.Dev.#*.....: 6027.8 MH/s


                                                                                                                        Одна карточка выдаёт полтора гигахэша в секунду
                                                                                                                          0
                                                                                                                          Вы точно уверены, что здесь демонстрируется скорость перебора хэшей OpenSSL::SHA512? Потому как hashcat поддерживает несколько алгоритмов, называемых SHA512 и скорость их перебора различается значительно.
                                                                                                                            0
                                                                                                                            а при чем тут OpenSSL? SHA-512 он и в африке SHA-512. Там есть разные варианты комбинаций, но картина в целом не будет сильно отличаться т.к. словари для перебора тоже не всегда из 256 символов состоят
                                                                                                                              0
                                                                                                                              Пару лет назад я пытался хэшкэтом пароль от Debian пробрутфорсить. Насколько помню, там тоже используется какой-то из вариантов SHA512. Скорость перебора была ниже плинтуса.
                                                                                                                                +4
                                                                                                                                Почитал сейчас про пароли в современных Linux — для их хэширования SHA512 вызывается в цикле несколько тысяч раз. Вот почему скорость перебора была такой низкой. Так что вопрос снят.
                                                                                                                        0
                                                                                                                        Я вчера сменил пароль на учетную запись в Телеграме. Менял через десктопное приложение. Так вот, на телефоне мне даже не пришлось вводить этот новый пароль. Более того, данные хранящиеся в Passport успешно самостоятельно перешифровались новым паролем. При самой первой установке этого пароля я поставил галочку «возможность восстановления пароля». Все это выглядит так, как-будто сервер знает мой пароль. А данные Passport я не могу зашифровать через другой пароль. Или это нормально?
                                                                                                                          0
                                                                                                                          Я вчера сменил пароль на учетную запись в Телеграме. Так вот, на телефоне мне даже не пришлось вводить этот новый пароль.
                                                                                                                          Правильно, у приложения на телефоне есть токен и сессия остаётся валидной. Приложение на телефоне ведь не хранит ваш пароль, чтобы каждый раз авторизовываться. Оно при первом подключении (когда вы вводили логин-пароль), получило у сервера токен и авторизовывается по нему.

                                                                                                                          Это обычная практика. Позволяет легко отозвать доступ у какого-либо устройства, не меняя пароль. И повышает безопаность, потому что пароль не хранится на устройстве.
                                                                                                                            0
                                                                                                                            Теперь понятно на счет входа. Спасибо.
                                                                                                                            А что на счет того, что мои данные в Telegram Passport перешифровываются новым паролем? Я только что еще раз проверил. Меняю пароль через десктоп. Открываю приложение на телефоне, а в нем уже новый пароль на Passport. Как-то это не совсем похоже на End-to-End.
                                                                                                                              +1
                                                                                                                              В статье, которую мы сейчас комментируем, написано:
                                                                                                                              В облако передаются:

                                                                                                                              Хэш от персональных данных, смешанных со случайными байтами
                                                                                                                              Зашифрованный паролем почти случайный ключ
                                                                                                                              Соль
                                                                                                                              Зашифрованные данные

                                                                                                                              Когда вы поменяли пароль на десктопе, ваши данные перешифровались на том же десктопе (новым ключом, который защищён вашим новым паролем), залились в облако, откуда их подтянул смартфон. Соответственно, теперь у вас на смартфоне обновлённые зашифрованные данные, к которым подходит ваш новый пароль.

                                                                                                                              Точно так же, допустим, у меня в облачном хранилище Dropbox лежит зашифрованный паролем текстовый файл. Если я на десктопе перешифрую его с другим паролем, то файл автоматически зальётся в облако и будет доступен на других моих устройствах, где я смогу его расшифровать с новым паролем. Пароль, при этом, не уходит дальше моих устройств, где я выполняю шифрование и расшифровку.
                                                                                                                                0
                                                                                                                                Такое возможно. Странно только, что десктопное приложение не имеет функции Telegram Passport. И последнее обновление вышло 13 июля.
                                                                                                                                  0
                                                                                                                                  Имеет. Как раз версия от 13 июля точно имеет.

                                                                                                                                  core.telegram.org/passport/example

                                                                                                                                  страница перекидывает в десктопное приложение, которое запросит пароль и предложит загрузить документ
                                                                                                                                    +1
                                                                                                                                    Действительно есть. Теперь тогда все ясно. Спасибо.
                                                                                                                          –17
                                                                                                                          У Дурова явно мания величия и планы по захвату мира, но покажите мне хоть одну юрисдикцию, которая позволит какому-то Павлику подвинуть их экономику своими грамами и вообще пойдёт на поводу у подобного сервиса/компании сделав интеграцию с ним. Бизнес? Прям вижу сегодня, как бизнес в России и других странах охотно продаёт свои товары через ботов.
                                                                                                                          Есть операторы связи, с которыми человек заключает договор, предоставляя свои документы подтверждающие личность, есть организация GSMA, в которую входят эти самые операторы связи и есть протокол RCS, который вскоре заменит традиционные СМС. Google уже потеет над этим вопросом jibe.google.com
                                                                                                                          Так вот протокол RCS явно не будет стоять на месте и электронное правительство, бизнес и прочие скорее будут использовать этот вариант, а не поделия Павлика Морозова, который завтра может исчезнуть вместе со своим грамом по щючьему велению.
                                                                                                                            +1
                                                                                                                            Да оставьте вы Павлика Морозова в покое. Уже и в это его притянули!
                                                                                                                              –14
                                                                                                                              Во что я его притянул? Он сам себя притянул куда надо и теперь его натягивают где надо. Вас как пользователя этого продукта тоже натянут, не переживайте, всему своё время.
                                                                                                                                +2
                                                                                                                                Павлика и его брата (Павлику было, если правильно помню, 8 лет, а брату 6) зарезал родной дед, за то, что он подтвердил слова матери на суде.

                                                                                                                                Вы же зачем-то притянули его к этой истории с телеграмом.
                                                                                                                                  –9
                                                                                                                                  А с чего Вы взяли, что я именно этого Павлика притянул? Это лишь Ваша фантазия и не более, моя работает иначе. Тем более Павликов Морозовых на одном только Вконтакте зарегистрировано более 14к и многие из них пока что живы.
                                                                                                                                    0
                                                                                                                                    Поиск по странице слова «Морозов» находит только ветку начавшуюся с вашего комментария.
                                                                                                                              +1

                                                                                                                              Старые системы уходят, новые приходят, что тут такого? RCS к слову, мертвая технология, она нужна только операторам и больше никому.

                                                                                                                                –6
                                                                                                                                Такая же мёртвая как и смс, которыми все пользуются и получают оповещения и не только от банков. Надо головой думать, а не жопой, Стас. Операторам только нужно говоришь? Может ты телеграмом пользуешься через спутник?
                                                                                                                                Это всё так же смешно, как новость про закрытое ICO Telegram и участие в нём хотя бы того же Сергей Солонина.
                                                                                                                                  +1

                                                                                                                                  Переход на личности? Мило.


                                                                                                                                  Я даже вам сюда не буду приносить картинку с % сообщений передающихся через SMS и мессенджеры, спойлер — у SMS менее 5%.


                                                                                                                                  Оператор в нынешне время — это труба для трафика, вполне понятно, что они хотят поднять прибыль за счёт дополнительных сервисов, но учесть RCS стать очередным internet explorer. Помните в 3G сетях были видео звонки? Прямо нативные, и что, где там они? Много кто использует?

                                                                                                                                    –1
                                                                                                                                    При чём тут передача пользователей друг другу всякого шлака? Речь идёт о хранении ваших документов, взаимодействии бизнеса с клиентом. Какое бы вы устройство не купили, клиент для смс/rcs вам устанавливать и скачивать не надо, все операторы зарегистрированные юридические лица на территориях предоставления своих услуг, когда как Telegram принадлежит одному лицу и никто, кроме чёрного рынка там работать не будет.
                                                                                                                                    Я ещё могу понять запуск шлюза в мессенджере с привязкой банковской карты, но не вот это вот всё.
                                                                                                                                      0

                                                                                                                                      Chrome тоже не входит в поставку OS по умолчанию и что?

                                                                                                                                        –1
                                                                                                                                        И что?
                                                                                                                                          0

                                                                                                                                          % chrome и iexplorer какой сейчас?

                                                                                                                                            –4
                                                                                                                                            какой?
                                                                                                                                          0
                                                                                                                                          Chrome можно поставить почти везде.
                                                                                                                                          Однако есть куча устройств, на которых SMS/RCS — единственный канал получения текстовой информации.
                                                                                                                                            0

                                                                                                                                            Пример устройства пожалуйста, где нельзя поставить мессенджер но есть RCS?

                                                                                                                                              0
                                                                                                                                              С учетом того, что RCS пока еще ограничен только свежим Android — корпоративные трубки. Выдали трубку на работе, там все, что по работе нужно, предустановлено, установка любых других приложений заблокирована.
                                                                                                                                              В перспективе — feature phones.
                                                                                                                                                0

                                                                                                                                                Для корпоративного общения есть Skype For B им пользуются 99.9% крупных компаний, RCS не обеспечит защищенность и интеграцию с Exchange. А ну и да, он ещё и на десктопах работает как там с этим у RCS?

                                                                                                                                                  0
                                                                                                                                                  RCS тоже работает на десктопах, через веб-морду.
                                                                                                                                                  Понятно, что RCS не используется в корпоративном общении. А вот для уведомлений (я изначально написал «получения информации») — вполне. Уведомления на почту, в особо критичных случаях — с дублем через оператора (RCS/SMS)
                                                                                                                                +2
                                                                                                                                Ну а что, денег им отвалили, за последствия можно не беспокоиться.

                                                                                                                                Разве? Если какой нибудь пользователь из евросоюза сохранит свои ПДн и они вдруг станут известны третьим лицам без его согласия, потому что кто то их достал из данного сервиса, сдается мне что прилетит хороший такой штраф (привет GDPR).
                                                                                                                                А так как, такая утечка будет вероятнее всего не одного пользователя — последствия будут весьма плачевные.
                                                                                                                                  0
                                                                                                                                  Хуже – если какие-то данные вдруг станут доступным третьим лицам без предварительного согласия – ценность ICO немного упадёт, а у инвесторов будет небольшие вопросы.
                                                                                                                                  –4
                                                                                                                                  Интересно, но заголовок слишком желтый. Стоит им заменить SHA512 при хэшировании пароля на что-нибудь в сто раз медленнее, и все ваши претензии рассыпятся.
                                                                                                                                    0

                                                                                                                                    Вопрос не в том, что текущий подход сложно обновить на использование нормальных алгоритмов, а в том, зачем вообще они использовали такие слабые алгоритмы — потому что единственное напрашивающееся объяснение это создание условий для дешёвого брутфорса паролей юзеров на их серверах.

                                                                                                                                      0
                                                                                                                                      Да ну какое это объяснение. Во-первых, в большинстве случаев за плохими решениями (да, выбор sha512 странный) стоит раздолбайство, а не хитрый умысел. Во-вторых, думаете, если бы они действительно хотели расшифровывать данные пользователей, то выбрали бы именно такой тупой способ облегчить себе задачу, что статьи об этом уже через несколько дней после анонса?

                                                                                                                                      Понимаете, чтобы вот так говорить, что у них не End-to-End, что они собираются расшифровывать данные пользователей и вообще сотрудничают с ФСБ, надо иметь какие-то более веские доказательства, чем неудачно выбранный алгоритм хэширования. Они завтра поменяют в одной строчке его на bscrypt/scrypt, и какие будут ваши аргументы?
                                                                                                                                        +2

                                                                                                                                        Раздолбайство — это действительно более частая причина. Но есть нюансы: телеграм уже довольно много работал со сложной криптографией (так что его разработчики гарантированно в теме), и обсуждаемый Passport позиционируется как продукт ориентированный на безопасность/E2E/все дела (так что раздолбайство на таком уровне при его разработке — это для репутации ещё хуже, или по крайней мере ничем не лучше). Всё это вместе вызывает сильные сомнения в том, что дело в раздолбайстве, хотя полностью такой вариант исключить тоже нельзя.

                                                                                                                                    +3
                                                                                                                                    Будете пользоваться Telegram Passport?

                                                                                                                                    Буду. У меня и без телеграма все пароли — случайные строки из 20+ символов. Удачной дешифровки)

                                                                                                                                      +2

                                                                                                                                      Дело не в сложности хэша, а в отношении к пользователям и их персональным данным.

                                                                                                                                        0
                                                                                                                                        А алфавит какой?
                                                                                                                                          +4
                                                                                                                                          Клингонский, я полагаю.
                                                                                                                                        +2
                                                                                                                                        и первый байт расшифрованного текста, который из-за использования JSON будет всегда "{" или "[".

                                                                                                                                        Вот это просто facepalm. Для повышения безопасности можно добавлять к каждому сообщению рандомные байты в начало, а при дешифровании сообщения они бы отметались. Например, первый байт = количество случайных байт, и далее случайные байты.

                                                                                                                                          0
                                                                                                                                          Такая себе мера. Знание этой закономерности наоборот упрощает проверку ключа. Чтобы не иметь проблем с блочными шифрами и всякими паддинг ораклами, надежнее всего использовать CTR-режимы блочных шифров (или же сразу GCM).

                                                                                                                                          Конкретно здесь самая большая проблема в выведении ключа из пароля. Если бы использовался PBKDF2 или argon с разумным количеством итераций, такой ключ был бы достаточно надежным (при условии, конечно, что пароль хотя бы не словарный).