Фигак-фигак и в продакшн. Мы выпустили RegionSoft CRM 7.0

Фигак? Это типа как в фильме Крым?

Скриншот

Завещание Баффета или о чём молчат финконсультанты

ну, надо ведь не просто под подушку откладывать, а куда то людям деньги отдавать.

Завещание Баффета или о чём молчат финконсультанты

С какой суммы имеет смысл начинать этим заниматься?

Как купить иллюзию безопасности в виде детских смарт-часов

Мне кажется, они отключили TLS, потому что железка не тянет крипту. Если там RSA/DSA сертификаты, это может высаживать батарейку в ноль очень быстро, особенно если сессия не поддерживается

Почему Telegram Passport — никакой не End to End

не подтвердился, пришлось убрать

Почему Telegram Passport — никакой не End to End

я добавил в конце статьи бонус, это классическая MITM атака

Почему Telegram Passport — никакой не End to End

потому что проверка пароля происходит на клиенте, а не на сервере

Почему Telegram Passport — никакой не End to End

ничего

Почему Telegram Passport — никакой не End to End

расшифровка происходит локально на клиенте, а не в облаке, так что все эти блокировки лишь видимость защиты

Почему Telegram Passport — никакой не End to End

что не так с вотсапом? Синхронизация истории есть и на десктопе и в браузере

Почему Telegram Passport — никакой не End to End

а при чем тут OpenSSL? SHA-512 он и в африке SHA-512. Там есть разные варианты комбинаций, но картина в целом не будет сильно отличаться т.к. словари для перебора тоже не всегда из 256 символов состоят

Почему Telegram Passport — никакой не End to End

Вот, пожалуйста: www.blackhillsinfosec.com/hashcat-benchmarks-nvidia-gtx-1080ti-gtx-1070-hashcat-benchmarks

Hashtype: SHA-512

Speed.Dev.#1.....: 1511.9 MH/s (77.65ms)
Speed.Dev.#2.....: 1524.0 MH/s (77.04ms)
Speed.Dev.#3.....: 1487.6 MH/s (78.90ms)
Speed.Dev.#4.....: 1504.3 MH/s (78.05ms)
Speed.Dev.#*.....: 6027.8 MH/s


Одна карточка выдаёт полтора гигахэша в секунду

Почему Telegram Passport — никакой не End to End

Столько лет прошло с тех пор как люди буквально шифровали «на ключ», что я решил не уточнять. Но приятно видеть олдфагов)

Почему Telegram Passport — никакой не End to End

Под всеми возможными имеются в виду все 8байтовые комбинации, т.е. 256^8, в реальности, конечно, еще во много раз быстрее, я просто ограничил сверху

Почему Telegram Passport — никакой не End to End

Секретные чаты пока никто не взломал, но протокол там самопальный. А обычные чаты шифруют текст только до серверов облака, это общеизвестный факт. Проблема в том, что секретными чатами никто не пользуется

Почему Telegram Passport — никакой не End to End

Асимметричная криптография используется для генерации симметричных ключей. Шифруется в итоге всё равно тем же самым AES

Почему Telegram Passport — никакой не End to End

Ссылка в конце статьи уже заменена на гитхаб, правил она больше не нарушает. А доверять статье не надо, можете сами проверить все факты.
Основная переписка телеграма защищена по другому, там пароли не участвуют. Но она тоже не E2E, облако видит всю переписку

Почему Telegram Passport — никакой не End to End

Если так будут делать все, то да, если кто-то один — нет.

Почему Telegram Passport — никакой не End to End

«Настоящий» E2E видеокартами не взломать, т.к. ключ шифрования не зависит от сложности пароля и является результатом, например функции диффи-хэлмана

Почему Telegram Passport — никакой не End to End

Ок, попробуем по другому. Определение из википедии:

Сквозное шифрование (также оконечное шифрование; англ. end-to-end encryption) — способ передачи данных, в котором только пользователи, участвующие в общении, имеют доступ к сообщениям

Рассмотрим ситуацию:
Я использую пароль «1» и заливаю свои персональные данные в облако телеграма.
Получает облако доступ к моему «сообщению»? Да, конечно получает, миллисекунды через три оно будет расшифровано и полностью им доступно. Нарушается ли при этом принцип E2E? Конечно нарушается