Комментарии 205
Теперь вот следующий ожидаемый шаг.
Зато теперь Дуров может сказать "Мы такие все в белом, информацию предоставили, законы выполнили, шифрование расшифровать никак, а если заблокируете, то будете злобными борцами со свободой".
Жду такого исхода. Ну либо Рамзан позвонит и попросит не блокировать.
А Дуров — молодец.
А закон Яровой, в части расшифровки данных и/или их хранения, обязаны исполнять именно «организаторы распространения информации».
Таким образом, получается ерунда: Телеграм хоть и зарегистрирован в реестре, но никаких заявлений не подавал. Возможно, их юристы сыграют на этом, к примеру, что их внесли ошибочно или незаконно, а соответственно, никакой ответственности они не несут и никакого неисполнения закона не было.
Может, на первый раз и прокатит ;)
Возможно, их юристы сыграют на этомНе знаю как остальные, а я сильно сомневаюсь что их юристы будут связываться с российскими судами, роскомпозорами и ФСБуком
В прошлый раз Паша «не сдался», и аудитория телеги в РФ сильно подросла. Сейчас устроят еще одну массированную атаку и еще людей наберут. Нужно же выдавливать буржуйские решения, свои люди, должны под своим колпаком ходить.
Жду p2p мессенджер, который был бы удобен, быстр и имел хороший интерфейс.
Да и вообще с клиентом можно делать всё что угодно — исходники-то открыты. Какой ещё мессенджер может таким похвастаться?
Telegram хорош тем, чтоИзвините, для симметрии напомню, чем он плох. Тем, что с самого первого шага — регистрации — он деанонимизирует будущего пользователя, требуя от него ввести номер своей мобилы для авторизации. И это мессенджер, позиционируемый как «для параноиков»! Да он тем самым отсекает самую крутую часть своих возможных клиентов! Они ведь не знают, в чью базу данных складируются введённые номера.
Поэтому подождём, пока Дуров придумает другой способ авторизации. Судя по Токсу, такие способы есть.
А в корректность MtProto мне тоже тупо поверить или группу топ криптоаналитиков для анализа всех возможных атак нанимать?
все мастер ключи
А что такое — мастер ключ?
Мой внутренний параноик говорит о том, что телегу давно и успешно читают, все мастер ключи есть, никакой анонимности для наших силовых структур, конкретно в этом мессенджере нет
Я так полагаю, ваш внутренний параноик доказал узявимость протокола телеграмма (и существование для него такой сущности, как "мастер ключи")? Может быть он тогда поделится с общественностью математическим доказательством? Хоть какая-то польза была бы.
А, то есть вы просто, извините, ветры пустили. А я уж думал, что-то хотя бы не совсем идиотское будет…
Если по пунктам, то 1) бремя доказательства лежит на утверждающем 2) я ничего такого не утверждал 3) все (кроме одного) криптографические протоколы построены исходя из принципа грома и мужика.
3) Lo05? или вы имели в виду какой-то другой?
А все это представление, исключительно для PR.
Поясните, пожалуйста, это ФСБ пиарит Телеграмм, или Дуров ФСБ?
Сикрет чаты реализованы на клиенте, читайте исходники, проверяйте. А обычные чаты — это не для настоящих параноиков.
Расскажите, плиз: а как вы проверяли закрытый код сервераЗачем его проверять? Еще раз повторяю — Secret Chat реализован на клиенте, обмен ключами и шифрование идёт на устройстве пользователя. Сервер там используется только как канал передачи уже зашифрованного на девайсе траффика.
а Вы бы стали просто так выкидывать 12 миллионов долларов на содержание сервера ежегодно.Понятия не имею, у меня их нет.
У WhatsApp тоже не было финансовой модели много лет, только сейчас начали что-то про бизнес-чаты придумывать. Это не мешало им работать бесплатно и до покупки фейсбуком. Так что не аргумент.
Вы проверяли?Другие проверяли. Не в совке живём, чтобы для езды в машине нужно было разбираться в её устройстве.
Продавались стикеры, рекламные массовые рассылки, платные аккаунты.Вы поздновато пришли в Вазап. Вначале всё что там было – необязательная плата за использование, $1/год со второго года.
Кто-то её финансировал. Зачем?Вазап был продан за $1Г. Говоря вашими же словами, Вы бы стали выкидывать 12 миллионов долларов на содержание сервера ежегодно, если бы в перспективе маячила продажа вашего продукта за миллиард долларов? Даже если вам перепадёт только четверть, например?
Free Tier на AWS — целый год бесплатно.
Трафик будет слегка стоить. Но там копейки будут если не качать.
Я думаю имелось ввиду, out-the-box решение. Тоесть что-то типа AMI образа, с уже предустановленным софтом и минимальной админкой для пользоввателей которые не будут в этом разбираться.
Но все равно за 10$ выйти будет тяжедо без торрентов и просмотра netflix'a.
Free Tier на AWS — целый год бесплатноFree Tier на GCP — always free, если в США. Но трафик только 1GB (да и то за исключением некоторых регионов).
Free Tier на GCP — always free
Только для AppEngine и с жесткими ограничениями на открытие сокетов cloud.google.com/appengine/docs/standard/python/sockets
1 f1-micro instance per month (US regions only — Excluding Northern Virginia)
30 GB-months HDD, 5 GB-months snapshot
1 GB network egress from North America to all region destinations per month (excluding China and Australia)
Спасибо!
Добавить или убавить? :)
Не трогать. Так внушительнее.
вероятно, чтобы сократить накрутки среди своих
А раньше ковровые пермабаны без суда и следствия были. Либерализируется хабр.
От года до полугода назад три моих подряд зарегистрированных аккаунта забанили перманентно. Регистрация следующего акка происходила после блокировки пред идущего. Активный не забаненный акк был всегда один.По правилам так и быть должно. Более того, тебя вообще должны были перманентно забанить за генерацию множественных аккаунтов.
Пускай будет две кнопки «банан» и «выход».
Открытый исходный код не значит, что бинарник у вас собран именно по нему :) Так что доверять тайную переписку, получается, вообще никому нельзя.
Т.е. по сути пользоваться штучным продуктом, с необходимостью разбираться в его коде — ведь третьей стороне доверия нет.
Закрытый софт можно проанализировать только на уровне «в вайршарке ничего не понятно», журналисты говорят пользуются этой штукой.
Открытый же софт при большом доступе независимых экспертов осталяет очень малый шанс на закладки. Конечно он должен быть достаточно популярен, чтобы его периодически проверяли. А проверить, что экзешник не подменили не так сложно — подписи, хэши(в т.ч. независимых экспертов на независимых ресурсах).
У двух последовательно собранных экзешников разве не будут разные хэши из-за разных таймстампов? А уж если собирать на разных машинах, с чуточку различающимися настройками компилятора/линкера — вообще пиши пропало. Я хотел сказать лишь, что нельзя смело утверждать, что какой-то экзешник был собран именно с данными исходниками. А закладку в код можно внести и незаметно: много ли людей насторожилось бы, увидев в коде своего любимого мессенджера "=" вместо "=="? А тем не менее, попытка добавить такое в кернел была: http://lkml.iu.edu/hypermail/linux/kernel/0311.0/0627.html
Пусть блокируют, только в телеграме уже встроена встроена возможность подключения через прокси, так что даже те, кто не хочет использовать VPN и прочие подобные средства, смогут без особых проблем обойти блокировку, просто открыв настройки.
И передаются ЛЮБЫМ каналом.
Так что вся эта возня с блокировками — не более чем передел рынка а за одно контроль за политическими соперниками.
Иногда, при большом желании, могут и это использовать.
Так вот это реализация анекдота в реальности. С той тольо разницей, что Госдура предварительно приняла Закон, по которому поезд должен останавливаться по команде «прапорщика».
На групповые и несекретные чаты распространяется Perfect Forward Security, видимо
Но валидный сертификат — это не ключ шифрования, при PFS ключ шифрования генерируется на сессию и не компрометируется ключом сертификата, разве нет? Предлагаю не мешать в кучу разные понятия.
Для MITM нужен оригинальный сертификат с закрытым ключом (все ведь более-менее адекватные люди используют KEY Pinning?). Много сайтов уже слили свои ключи ФСБ? А иностранных сайтов?
Вам надо подтянуть теорию. ФСБ просят "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений" — ключ шифрования сообщений. При PFS для шифрования сообщений используется сессионный ключ, который невозможно восстановить, даже если злоумышленник доберётся до приватного ключа сертификата. А сертификат с пиннингами нужен для предотвращения MitM.
2. Паблик кей пиннинг нужен только для защиты от случаев когда к твоему домену выписывают еще один валидный сертификат недоверенному лицу, по ошибке или злому умыслу.
3. PF, HPKP в контексте этого запроса вообще не имеют никакого значения т.к. такой случай равносилен компрометации всей инфраструктуры смотрящей на клиента. Береги приватный ключ с молоду, etc.
ФСБ требует закрытый ключ телеграмма
Вы это где увидели? Я выше написал обратное.
End-to-end и прочие баззворды для них не значат совершенно ничего, это просто маркетинговый бульщит. Малейшие косяки в реализации протокола или алгоритма, банально слабый random() для ключей могут снизить стоимость перебора со штатных 2^128 или сколько там до каких-нибудь 2^40 — которые уже вполне подбираются на нормальном оборудовании.
«Указом Президента от 12.03.2007 №320 Федеральная служба по надзору в сфере связи и Федеральная служба по надзору за соблюдением законодательства в сфере массовых коммуникаций и охраны культурного наследия преобразованы в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Новая структура подчиняется напрямую Правительству РФ.»
«Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации»
1. Вождь всегда прав
2. Если вождь не прав, смотри пункт 1.
На этом прекращу, так как ресурс технический а не политический (к сожалению политика стала лезть и в технологии тоже)
Тогда почему первые пытаются говорить за вторых?
Дуров ответил отказом — молодец, но он именно отказался, а не написал, что требование невыполнимо. Означает ли это, что переписку всё-таки можно расшифровать?
Впрочем, то что он отказался вовсе не значит что это возможно — он выразил свою принципиальную позицию вне зависимости от того возможно ли это.
Шифровать данные всегда лучше peer-to-peer, когда вы уверены в подлинности получающей стороны, а все протоколы и, тем более, исходники открыты. При этом желательно не использовать никакие центральные сервера телеграма, так как это открывает хотя бы сам факт и время разговора между людьми (которые перед этим слили им свои номера телефонов). Но это для настоящих параноиков)
Представим, что закон Яровой выполняется на 100%, Телеграм передает ключи расшифровки спецслужбам. Приходит запрос: нужна переписка пользователя А за 1 сутки начиная с даты X.
1. Выяснить номер телефона А, под которыми он зарегистрирован в Телеграмме. Не факт, что поиск по фамилии найдет правильные намера.
2. Найти IP-адреса пользователя А и всех серверов Телеграм, с которыми он соединялся в дату X и сутки после. Точек выхода пользователя А может быть много: мобильный интернет (не факт, что по своей SIM-карте), домашний интернет, интернет на работе, соседский интернет, кафе, и т.д. При чем человек может за день начать общение в Телеграм из дома, продолжить по GSM пока едет на работу, потом с интернета на работе, потом опять GSM по дороге домой и WiFi из дома. При этом при каждом обрыве связи IP-адреса пользователя А и сервера Телеграм могут меняться. Если же человек использует прокси, то задача усложняется — нужно найти все цепочки А — прокси — Телеграм.
3. Найти TCP-потоки в записанных данных. Вот я сейчас смотрю, и вижу, что только у ОДНОГО провайдера ОДИН аплинк загружен на 220 ГБит/с. И ведь не факт, что трафик КОНКРЕТНОЙ сессии пользователя А пошел именно по конкретному маршруту и по тому же самому маршруту вернулся обратно. А сессий много. И с разными IP с обеих сторон.
В итоге получается, что при подобном запросе оператор спецслужб получает жуткий геморой. Ему придется сделать кучу официальных запросов к провайдерам и длительных запросов к базе записанного интернет-трафика, чтобы получить все цепочки данных и, наконец, расшифровать переписку. И это в идеальном случае, если все ответят быстро и ничего не перепутают. Иначе время выполнение задачи увеличивается в разы. К моменту расшифровки данные станут неактуальны.
Теперь хотят от всех средств общения админку, в которой можно жмякнуть на кнопочку и спокойно почитать все сообщения/письма.
Цели такой глобальной слежки в том, чтобы иметь на всех компромат. При необходимости заставить человека сотрудничать, а при желании — отнять бизнес или заставить платить дань. Вовсе не все «подозреваемые» реально будут оппозиционерами, следить могут и за владетелями «вкусной» собственности, совершенно независимо от того, как эта собственность появилась.
Ну пусть берут. реальных доказательств-то не будет.
Почему не будет? Все будет.
Конечно, всё может скатиться в средневековье
если подавляющее большинство не перестанет вести себя так, как ведут себя (верить новостям, и прочим СМИ, да поддерживать тех кто у них забирает деньги), то именно это нас и ждет
против лома нет приема
есть способ, всем давно известный, но стоит ли эта игра свеч?
1. Находите номер телефона человека через базы мобильных операторов
2. Запрашиваете переписку из аккаунта Telegram по этому номеру
3. profit
Нельзя просто так взять и прекратить самодурство в этой стране.
IP-адрес ничего не решает, их целая куча у каждого человека и у серверов, и меняться они могут довольно часто. Плюс NAT с несколькими адресами выхода. Плюс маршруты трафика частенько меняются. А уж если человек использует прокси… Это надо расшифровывать и фильтровать всё и искать везде. Найти и скомпоновать можно, но на это уйдет куча времени и усилий, данные уже будут неактуальны.
там уже никаких вариантов прочесть переписку
Вы забываете про терморектальный криптоанализ.
Если есть возможность применить ректальный термоанализ, то переписка и не нужна. И голое фото сделать несложно и получить признание с подписью.
никто не запрещает пользоваться SIM-картами, зарегистрированными на другого человека
Вы таки не поверите, но…
Тут ещё вот какая проблема. «На другого человека» — это либо ваш знакомый, и это ничем не секурнее оформления на себя, либо «тот чувак из перехода», который оформляет стопицот симок на одного и того же бомжа. Но их сейчас активно гоняют, а симки заставляют или переоформлять, или блокируют.
Плюс NAT с несколькими адресами выхода. Плюс маршруты трафика частенько меняются. А уж если человек использует прокси
Да-да, а на другом конце линии сидит обычный ламер Боб, у которого пароль от гугла, в том числе на бэкапы с перепиской, 123.
А вообще, я в курсе где все эти системы ставят и как это работает у провайдеров. Там сплошной пофигизм и раздолбайство со всех сторон. И если эти системы реально потребуются, пользы от них не будет никакой. Как всегда потратят миллиарды, а выбивать признание продолжат дубинками и бутылками, при чем не факт, что из виновных. Страна такая.
Но их сейчас активно гоняют, а симки заставляют или переоформлять, или блокируют.
Да не особо. У меня одна симка для разговоров на чеченскую женщину зарегистрирована уже года 4, а вторая, для интернета — вообще с корпоративным тарифом и принадлежит неизвестной мне конторе… Этой меньше — год.
Всё страннее и страннее…
Если на телегу завели, то на других не заводят, потому что они что-то предоставили или после телеги будет вазап, вайбер и так далее и останемся только со спутникачатом?
Сова приложила ухо к груди Буратино.
— Пациент скорее мертв, чем жив, — прошептала она и отвернула голову назад на сто восемьдесят градусов.
Жаба долго мяла влажной лапой Буратино. Раздумывая, глядела выпученными глазами сразу в разные стороны. Прошлепала большим ртом:
— Пациент скорее жив, чем мертв…
Народный лекарь Богомол сухими, как травинки, руками начал дотрагиваться до Буратино.
— Одно из двух, — прошелестел он, — или пациент жив, или он умер. Если он жив — он останется жив или он не останется жив. Если он мертв — его можно оживить или нельзя оживить.
Вотсап от фейсбука, с ним почему-то пока публично не ссорятся. Что с вайбером — хз. Плюс у Дурова уже отобрали ВК, возможно просто считают его более легкой целью по этой причине.
История несколько сюрреалистичная, что она и мне самой начинает казаться недостоверной, но её богу, это было на самом деле. Я тогда работала в одном системном интеграторе, который заигрывал с ФСБ (тендеры, откаты, наверное что-то в этом духе, меня это мало касалось). И вот однажды зовёт меня директор, говорит: надо нашим друзьям оказать одну услугу, это по твоей части (занималась сайтами, дизайном и т.п.).
Приезжаю куда-то в район Пречистенки. Там, её богу, конспиративная «квартира» ФСБ под прикрытием коммерческой фирмы. Звоню, захожу и охреневаю. Представьте холл, полумрак, по периметру всё сплошняком задрапировано чёрными шторами, рядом с которыми также по периметру помещения стоят торшеры с масляными светильниками или спиртовками, короче говоря с открытым огнём. Выглядит, как логово сатанистов или как минимум салон чёрной магии.
Из-за гардин появляется дядя и провожает меня. За шторами уже нормальные помещения. Идём куда-то в очень богато обставленный кабинет к какому-то начальнику, причём в одном из подземных этажей. И вот задание. У них были сканы каких-то бумаг плохого качества. Вернее сканы были нормальные, сами бумаги были чём-то перепачканы. Не удивлюсь, если это была кровь. Теперь держитесь. Задача в Фотошопе сделать так, чтобы их можно было прочесть.
Ну ладно, говорю, сделаю, что смогу (подниму там контрастность, посмотрю, что в каналах). Отвели меня в какое-то ещё более глубокое подвальное помещение типа серверной и оставили наедине (!) с Фотошопом.
Безопасность там была ну просто никакая. Я конечно поостереглась лазить, куда не следует, но будь желание, там по всей видимости, можно было много что натворить.
Ну а сама бумага — это был документ на красивом бланке какого швейцарского банка — сертификат каких-то золотых счётов. На нём было фото какого-то бородача с арабским именем, а дальше добрую половину занимал какой-то буквенно-цифровой шифр. Не спрашивайте что это, не знаю.
В общем привела скан в более приличный вид. Насколько помню, прочесть буквы-таки там при желании стало можно.
До сих пор не понимаю, чем была вся эта история, и какова моя роль в ней. Причём никаких подписок или слов, что мы тебя закопаем, если проговоришься, не было. Просто: помоги, пожалуйста.
Но если и в самом деле наши спецслужбы работают так… С представлением обо всём компьютерном на уровне: «ты же программист, ты сможешь»… То это звиздец. Дармоеды.
Посудите сами, вы работали в магазине А, а затем перешли в магазин Б напротив. Никто же не будет говорить, что это одно и тоже просто потому, что магазины находятся в одном ТЦ.
Павел, на заметку!
Как бороться с неподконтрольной компрессией в данном случае?
ФСБ составила протокол на компанию Telegram за отказ предоставить ключи шифрования