хз как в телеграмме, но в том же вотсапе вроде как чаты будут на другом устройстве только в том случае, если юзер забекапил их на флешку или на гуглдиск.
На этом ресурсе опровергать слова принято с пруфами. Я часто меняю телефоны, и если не бэкапить переписку - все чаты удаляются. Поправьте меня, что я делаю не так?
теоретически сгенерированные закрытые сессионные ключи могут из клиента телеграмма в процессе его работы сливаться куда-нибудь на серверсайд
Код протокола открыт
таки луч света в этой куче говна из "икспертов"
Массовости не будет так как фсб просит дать возможность такой функции для тех за кем установлено судебное разрешение на слежку
В данном случае это 6 человек. И информация о том, что на них вышли через телеграм никогда не будет открыта, так как это не выгодно самим спецслужбам
Оказалось всё проще - клиент в опенсурсе, и EFF (https://www.eff.org/) провели его аудит на предмет безопасности.
прочитайте про уязвимость человека по середине.
Единственное что реально может спасти, это сверка картинки между двумя клиентами, но если у них есть возможность сравнить эти картинки в реальности, то и нет смысле в секретном чате...
Ты спокойно можешь на новом телефоне скачать телегу, вписать номер к которому привязан аккаунт, вписать и получить весь доступ.
Орнул с диванного иксперда))) Вы, сука, хоть бы не позорились, что ли.
не надо путать, что это невъебеннокрутое шифрование работает только в секретных чатах, которые доступны только на тех устройствах, с которого они были начаты. Ключи обычных переписок само собой хранятся на сервере
Простите, что? При end-to-end слить ключи? Приехать, отжать мобилу, ломануть, вытащить ключ (лол) и слить? =)
Ты говоришь о ситуации когда надо получить доступ к уже зашифрованным данным.
А я говорю, что можно слить ключ в момент установки соединения между пользователями (в момент создания чата) и получать сообщения как будто находясь в этом чате.
Собственно доступ к этой функции фсб уже получило от вотсапа и пытается получить от телеграм
А набежало то "икспертов" не продохнуть
Собственно доступ к этой функции фсб уже получило от вотсапа
Отсюда поподробнее и со ссылками. Вацап внедрил в свой месседжер MITM и позволяет читать шифрованный трафик всем желающим, а про это никто ничего не написал и фирма не обанкротилась? Слабо верится, если честно.
Кто и где об этом писал? Я знаю, что у них там какие-то "особенности" со сменой ключа (точнее, это "особенность" протокола signal, который EFF признал самым безопасным мессенджером/протоколом среди популярных и который используется в вацапе), когда собеседник долго в офлайне или потерял телефон. Но эта "особенность" не позволяет читать уже доставленные сообщения.
да там нет ключей шифрования в прямом понимании, гораздо проще физически взломать телефон (поддельная смс от оператора для входа) , чем получить доступ при шифровании end-to-end
а в каком есть?
Основы сквозного шифрования или как вы изволите его называть end-to-end заложены полвека назад и с тех пор не менялись
ну для большинства - это выглядит как в сериалах по нтв, где в командной строке пишут зашифрованный код, потом вводят ключ и все становится ясно
уважаемый "иксперт" вам пора учить уроки.
Каким образом создается соединение между двумя пользователями?
Для дебилов: каким образом телефон другого пользователя получает информацию о том, что с ним хотят установить соединиение со сквозным соединение?
Пример атаки
Атака «человек посередине».
Предположим, что Алиса хочет передать Бобу некоторую информацию. Мэлори хочет перехватить сообщение и, возможно, изменить его так, что Боб получит неверную информацию.
Мэлори начинает свою атаку с того, что устанавливает соединение с Бобом и Алисой, при этом они не могут догадаться о том, что кто-то третий присутствует в их канале связи. Все сообщения, которые посылают Боб и Алиса, приходят Мэлори.
Алиса просит у Боба его открытый ключ. Мэлори представляется Алисе Бобом и отправляет ей свой открытый ключ. Алиса, считая, что это ключ Боба, шифрует им сообщение и отправляет его Бобу. Мэлори получает сообщение, расшифровывает, затем изменяет его, если нужно, шифрует его открытым ключом Боба и отправляет его ему. Боб получает сообщение и думает, что оно пришло от Алисы:
Алиса отправляет Бобу сообщение, которое перехватывает Мэлори:
Алиса «Привет, Боб, это Алиса. Пришли мне свой открытый ключ.» → Мэлори Боб
Мэлори пересылает сообщение Бобу; Боб не может догадаться, что это сообщение не от Алисы:
Алиса Мэлори «Привет, Боб, это Алиса. Пришли мне свой открытый ключ.» → Боб
Боб посылает свой ключ:
Алиса Мэлори ← [ключ Боба] Боб
Мэлори подменяет ключ Боба своим и пересылает сообщение Алисе:
Алиса ← [ключ Мэлори] Мэлори Боб
Алиса шифрует сообщение ключом Мэлори, считая, что это ключ Боба, и только он может расшифровать его:
Алиса «Встречаемся на автобусной остановке!» [зашифровано ключом Мэлори] → Мэлори Боб
Мэлори расшифровывает сообщение, читает его, модифицирует его, шифрует ключом Боба и отправляет его:
Алиса Мэлори «Жди меня у входа в музей в 18:00.» [зашифровано ключом Боба] → Боб
Боб считает, что это сообщение Алисы.
Этот пример демонстрирует необходимость использования методов для подтверждения того, что обе стороны используют правильные открытые ключи, то есть что у стороны А открытый ключ стороны Б, а у стороны Б — открытый ключ стороны А. В противном случае, канал может быть подвержен атаке «человек посередине».
*Когда ты не шаришь в чем-то, но усиленно лезешь в тред*
Суть открытого и закрытого ключа в следующем - есть некоторая математическая функция, которая при шифровании ОК может быть расшифрована только с помощью ЗК. ОК передается другим сторонам свободно, таким образом, зашифровать сообщение может кто угодно, а расшифровать - только владелец ЗК. На другой стороне есть своя пара ЗК и ОК.
Если не разбираешься в теме, промолчи, за умного сойдешь.
Тип шифрования данных часто используемый в почтовых сервисах, мессенджерах и т.п. Такой тип шифрования часто называют сквозным, т.к. читать сообщения могут лишь собеседники. Это обусловлено тем, что ключи шифрования находятся только на устройствах, с которых ведется обмен сообщениями. Использование данного способа шифрования не является гарантом безопасности, т.к. не исключается возможность реализации MITM-атаки для перехвата ключей. Еще одной причиной перехвата ключей может послужить небезопасность конечных собеседников, т.к. в случае заражения вирусом, вредоносное ПО может перехватывать ключи шифрования. Тем не менее такой способ шифрования используется во многих мессенджерах, таких как: Telegram, WhatsApp, iMessage, FaceTime (по состоянию на 2016 г.).
Шифрование с использованием симметричного ключа применяется для “блокировки” сообщения. Принцип метода основан на идее, что отправитель генерирует ключ для превращения сообщения в криптограмму, т.е. закодированную версию сообщения, а затем отправляет эту криптограмму получателю. Передача ключа получателю осуществляется по другому защищенному каналу, поэтому в конечном итоге получатель сможет расшифровать сообщение.
Для того, чтобы проиллюстрировать, как в действительности работает симметричная криптография, рассмотрим передачу сообщения с почтового адреса сервиса ProtonMail на адрес другого провайдера услуг электронной почты. В этом случае Вам нужно задать пароль на сообщение и передать его вашим получателям. Получатели получают сообщение, содержащее ссылку на страницу ProtonMail, где находится зашифрованный текст. Затем получатели вводят заданный отправителем пароль к сообщению, и сообщение расшифровывается на локальном компьютере. Таким образом, пароль никогда не покидает компьютер отправителя и не отправляется на сервера ProtonMail, поэтому никто посторонний не может расшифровать сообщение.
Главной проблемой использования симметричной криптографии является необходимость поиска канала для безопасного обмена ключа с получателем (если перехватчик получил криптограмму и ключ, сообщение будет рассекречено).
Ассиметричное шифрование отличается только тем, что пользователь сперва шифрует по некой математической модели открытый ключ который передается будущему отправителю, отправитель по этому открытому ключу шифрует сообщение и передает его получателю который имея на руках закрытый ключ может расшифровать сообщение.
Но шифрованием занимается само приложение телеграм и выяснив математическую модель или скрытно передавая третьим лицам получившийся закрытый ключ третье лицо спокойно может расшифровать сообщение.
Таким образом скомпромитированная программа которая создает закрытый ключ способна нарушить конфиденциальность сообщений
https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0...
в статье как раз о том как обходится эта "волшебная" технология.
на сайте web.telegram.org ввести номер телефона и запросить смс с паролем.
перехватить смс от телеграмма до телефона на уровне оператора сотовой связи.
бинго. у фсб есть все ваши данные.
Заебись, данные вида
Вася: вфаз дплызжд вбпиажздывбпиж ывлпаьрыдлвы впль!!!
Петя: выдап фвыадп ыв а.
Нужен только код из смс
Попробуй начать секретный чат, а потом зайти с другого устройства и посмотреть историю. А потом расскажи мешает тебе что-то или нет.
Ну ты всегда можешь найти дыру в исходном коде протокола или нерегламентированные функции. И даже получить деньги за это. Исходный код открыт.
Набежало "технарей" которые вообще не понимаю как работает шифрование и давай минусить потому, что реальность отличается от их фантазии))))
Раз вы такой топовый технарь, зайдите в исходники телеграма на github и просто скиньте часть, где ключи секретных чатов улетают на сервер
что им мешает шифровать как обычные сообщения через серв?
чтото мне подсказывает что серт они через себя проверяют )
Вполне возможный вариант событий в руках того, кто заявляет что открытый исходный код клиента - не гарантия безопасности бинарника.
т.е. если я напишу программу-майнер, которая будет прикидываться, например, приложением соц. сетей
в открытый доступ выложу версию без модуля майнинга
то каким-то образом наличие исходного кода без майнера является гарантией того, что и в распространяемом приложении не будет майнера..?
какие данные телеграм при end-to-end шифровании может хоть кому-нибудь сливать?Чисто теоретически любая программа может параллельно с шифрованным трафиком передавать ещё один шифрованный поток для третьей стороны. При наличии фантазии в голове и СОРМ в провайдерах это может происходить даже с использованием тех же ip-адресов (которые используются для основного p2p-соединения), что будет существенно затруднять обнаружение такой атаки конечными пользователями.
передавать ещё один шифрованный поток для третьей стороны
Конечно же, я про теорию заговора. Самый простой вариант - две ветки исходников (одна - для проверки сообществом, вторая - для заливки в аппсторы). Я совсем не уверен, что для стороннего пользователя есть возможность доказать "та программа, которая стоит у меня на устройстве, собрана именно из этих исходников".
Ну и ещё одна теория - люди, которые смотрели исходники, не смогли в них увидеть заложенную уязвимость.
> не отменяет того, что невозможна расшифровка/MITM
Своей опечаткой вы сами ответили на свои вопросы.
И вы тоже, похоже, не понимаете о чем говорите. Даже если трафик шифрован, почему те же спецслужбы не могут его читать? Режим по-умолчанию в телеге не E2E.
Ну да, end-to-end только в секретных чатах
Даже если трафик шифрован, почему те же спецслужбы не могут его читать?
А как они его читать будут? Нет, прочитать то могут, но что даст им набор рандомных символов?
вы видимо не понимаете как спецслужбы "перехватывают" сообщения. Никому ничего взламывать не надо, намного проще перехватить уже расшифрованные сообщения с конечного устройства. Мало кто следит на security обновлениям гугля, например
Я даже не вижу смысла пытаться что-то объяснить т-щу @Wyon, если для него зашифрованный трафик и «набор рандомных символов» — это одно и то же. Не говоря уже о MITM, бекдорах, закладках и т.п.
Не подскажете, как спецслужба прочитает уже расшифрованное сообщение (хранимое на устройстве) на презираемом многими пикабушниками айфоне, например?
Это не даёт ни малейшей уверенности, что кто-то сидел и сверял код.
Пол года назад была новость на Хабре, что в по с доступным исходным кодом нашли backdoor.
Нашлась сугубо случайно когда какой-то гик решил полистать код.
Резко выкатили заплатку, но даже в том случае весь код до конца проверен не был.
И ты реально думаешь, что мессенджеры, который позиционируется как самый безопасный, никем посторонним не проверяли?
Да даже сраные покемоны вдоль и поперек исследовали
Вы не разбираетесь в том, о чем говорите. Они это предлагали, но с таким количеством анальных ограничений, что это никому не всралось, реверс инжиниринг так не делается. Плюс, нет никаких доказательств, что в продакшене именно тот клиент из тех старых сорцов, которые есть в опенсорс. Плюс, нет никаких доказательств, что никто не читает/не захочет читать вас на сервере.
Ну телеграм предложил неплохую премию тому, кто сможет взломать переписку, но чето как то никто не сделал это.
Никто этого не сделал или никто не выложил пост?
И ты реально думаешь, что мессенджеры, который позиционируется как самый безопасный, никем посторонним не проверяли?
Понимаю, что для тебя это просто набор текста на английском. Но по факту эта дыра размером с товарный поезд существовала более двух лет. Библиотекой OpenSSL использовалась сотнями тысяч компаний по всему миру. Не говоря уже о миллионах программистов и миллиардами конечных пользователей.
Дырку нашли только когда за дело взялась команда рукастых ребят и провела капитальную, заранее оплаченную, работу.
Причем здесь heartbleed?
>Никто этого не сделал или никто не выложил пост?
По "правилам", которые заявили Дуров и Ко я, полагаю, никто не сыграл, из-за кучи анальных ограничений вида "не делай то, не делай это". Потому что плохим ребятам все равно будет на твои правила.
При том, что дырка в безопасности открытой библиотеки существовала на виду у всех несколько лет. Не какие-то "сраные покемоны", а целая библиотека обеспечения безопасности её не обеспечивала.
Тебе никто не мешает найти уязвимости и ими пользоваться никому об этом не озвучивая (кроме тщ майора конечно). Телеграму никто не мешает заявлять что он самый защищенный, на основании того, что постов с опровержением не было.
И все, заметь, довольны. Телеграм - клиенты, т-щ переписка, конечным пользователям - игра в шпионов.
эта премия как раз и придумалась для таких хомячков как вы. Подмена понятий. Если никто эту премию не получит, это не означает, что код чист
господин плюсатор, вы либо читать не умеете, либо не хотите. Наличие награды не говорит о том, что мессенджер невзламываемый, но это очень удачный маркетинговый трюк для таких как вы. Впрочем, продолжайте дальше пашку дурика кормить своими данными
Фантазия у тебя в голове точно есть. Вот только выводы ты делаешь тоже на основании своей фантазии. Ты и сам можешь перехватить свой трафик и посмотреть, что там передано. Свой то ключ ты же знаешь? Значит можешь просмотреть свой зашифрованный трафик.
И вообще, было бы неплохо, если бы ты знал, что теории заговора не работают.
сам можешь перехватить свой трафик и посмотреть, что там передано
Нет, не могу, я не разбираюсь в криптографии на должном уровне и не разбираюсь в структурах данных, которые отправляются клиентами-серверами телеграма.
теории заговора не работают
Да, конечно, я писал именно про теории заговора. Лично у меня нет уверенности, что теории заговора не работают в 100% случаев.
ну с учетом, что многие злодеи торчки (на них всем плевать), а другие взрываются ради своего выдуманного бога, то они тупые да.
Лол, можно себе целью поставить "обмазываться говном по утрам" и следовать ей. И говорить всем, что у тебя есть цель в жизни. И ты её достигаешь, каждый день.
И я достаточно охотно этому верю, так как глупости это все, что какой то мессенджер не передает, передают все, а если и не передают то и спрашивать их не будут.
Вот и я удивлялся россказням Дурова про то, как он то ли ЦРУ, то ли АНБ нахер послал, когда те затребовали доступы. Думаю что если бы эта была правда, то Дурова уже разыскивали бы за изнасилование горничной отеля в Швейцарии)
Так вот довелось мне работать в Самсунга на тот момент, как раз в сфере смартфонов. В общем ерунда все это полнейшая! Там когда шум от этой рекламы улегся, эти две фирмы до сих пор судились.
Судя по всему телеграмм разрабатывает компания Телеграф,что находится в том же здании где и главный офис в вк. Да и Дуров на самом деле в питере. Это факты которые всплыли после недавнего суда с программистом
сейчас точно не могу найти,погугли интервью с Антоном Розенбергом. Бывший программист который был уволен по личным причинам. На сайте medium есть
Ссылка https://bitsy.in/89EB36 . Конечно, можно этому не верить, но из-за этой статьи на автора подало в суд ООО Телеграф, так что очень правдоподобно.
"Из-за якобы недостоверности информации на автора подали в суд, поэтому считаю информацию достоверной", — я тут не собираюсь топить за безопасность мессенджеров, просто не мог не отметить, что из-за ллогики этой части твоего сообщения смеялся минуты 3-4 без почти остановки, а на сегодня это рекорд :D
Очень просто, штраф это предлог, потом перед компанией ставят выбор либо вы платите штраф либо вас блокируют
Все равно где зарегистрирован.
- штраф не выплатят - будет повод для запрета ПО. Ещё может и ярлык приклеют - зловредное, или террорестическое. А почему бы и нет?
- предпишут гуглу и эплу заблокировать на территории РФ клиент телеграма в своих маркетах. А может ещё и удалить его с клиентов - техническая возможность есть.
- те полтора школьника, что поставят клиент как неофициальный софт получат мессенджер без друзей
- а если затащат друзей, то автоматом все засветятся как подозрительные типы - зачем это им нужно прятаться от фсб, а?
- а если их ещё и на незаконном митинге поймают с телеграммом в сотовом, то приедут школьники качественно.
Мораль такова: пофиг где ты зарегестрирован, нужны пользователи в любой стране - нужно дружить с местными законами
подается на взыскание в органы тех стран, где зарегистрирован обладатель. если сильно мохнатой лапы у обладателя нет, то он попал.
>Нововведения в версии 4.4:
-Telegram теперь доступен на русском, украинском, французском и прочее блаблабла.
В РФ 23.2
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. >>>>>>>>Ограничение этого права допускается только на основании судебного решения.
В РБ более размыто:
Конституция РБ
Статья 28. Каждый имеет право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство.
Каким законом разрешается искать ломает.
я думаю что нельзя конфисковать домен или заблокировать его за долги.. Для блокировки домена / сайта нужна причина: запрещенный контент на этом сайте.