Команда Павла Дурова официально представила публике собственный сервис верификации и безопасной авторизации на сторонних ресурсах под названием Telegram Passport. Соответствующая запись была размещена в официальном блоге мессенджера Telegram. Доступ к сервису из сторонних платформ уже получил ресурс ePayments.com, в будущем ожидается значительное расширение этого списка.
Telegram Passport — унифицированный метод авторизации для сервисов, требующих персональную идентификацию пользователей. Загружайте ваши документы только один раз для того чтобы иметь постоянную возможность пользоваться сервисами, требующими реальные идентификационные данные (финансовые инструменты, ICO, и прочие).К идентификации принимаются не только классические данные в виде ФИО, номера телефона и скана/фото паспорта, но так же и водительские удостоверения, ID-карты, данные о прописке, данные о временной регистрации. Кроме этого система принимает селфи с документами для подтверждения того, что идентификацию проходит реальный человек, а не злоумышленник, который завладел персональными данными пользователя.
Первые упоминания сервиса были связаны с проектом TON, который в ходе закрытого ICO собрал, по разным данным, до $2 млрд. Тогда, после появления инсайда от журналиста «Ведомостей», который получил доступ к закрытым функциям Telegram, стало известно, что команда мессенджера занимается разработкой универсального метода идентификации и авторизации пользователей. Сервис был назван Telegram Passport и предназначался как для использования внутри экосистемы самого Telegram и TON, так и для получения доступа к функциям сторонних сервисов. В мае 2018 года Telegram Passport находился в стадии закрытого тестирования, а вся информация касательно разработки предоставлялась в виде анонимных комментариев от людей, «знакомых с разработчиками».
Ранее планировалось, что Telegram Passport будет базироваться на технологии блокчейн и напрямую связан с Telegram Open Network (TON). Однако текущий релиз сообщает, что основной способ защиты персональных данных — end-to-end шифрование, а каких-либо упоминаний о TON или хранении информации в блокчейне в релизе нет.
Сейчас подавляющее большинство финансовых сервисов в сети требуют полноценной идентификации пользователя для разблокировки функции вывода средств и снятия ряда жестких лимитов на ввод и хранение. Это справедливо как для классических систем, таких как Webmoney или Яндекс.денег, так и для менее популярных в наших широтах сервисов.
Кроме этого одна из потенциальных областей использования Telegram Passport, о чем заявлялось еще в мае — это прохождение процедуры KYC для ICO проектов. Сейчас KYC — одна из сложнейших операций для любого токенсейла (после сбора средств, само собой), а децентрализация, множественные биржи и способы ввода/вывода средств ситуацию не упрощают. Telegram Passport был заявлен как инструмент, который позволит проводить идентификацию пользователей в один клик, подгружая все его данные на целевой ресурс (ФИО, сканы документов, сведения о месте жительства, телефон) с закрытых серверов Telegram в зашифрованном виде.
Важно отметить, что разработчики понимают степень риска подключения к их системе через API всех желающих, поэтому в дальнейшем, для менее надежных и популярных в сети сервисов (например, для тех же ICO), будет внедрена функция подтверждения статуса пользователя без передачи его персональных данных. Фактически, это будет ответ вида «Пользователь идентифицирован и является тем, за кого себя выдает, а вот больше вам знать не нужно». Таким образом команда Telegram в дальнейшем берет на себя обязательства классического гаранта, не передавая и не распространяя персональные данные пользователей третьим лицам.
Данная система является крайне конкурентной и востребованной, так как особенности работы в разных регионах требуют проводить идентификацию пользователей в системе в рамках борьбы с мошенниками, кардерами и прочими злоумышленниками. До текущего момента какой-либо унифицированной системы аттестации не существовало, что значительно осложняло жизнь людям, активно пользующимся криптовалютами и электронными деньгами. При этом нельзя забывать о том, что прохождение аттестации, это не только затраты времени, а иногда и денег (как в случае с Webmoney или иностранцами в системе Яндекс.Деньги), но и вопрос доверия к сервису. Зачастую, причиной отказа пользования обменником или системой переводов является не то, что там нужно пройти идентификацию, а в то, что человек не до конца понимает, кому именно передает свои данные. Это же касается и криптовалютных бирж.
Создание системы, которая позволит пройти мгновенную идентификацию в один клик без «раздачи» своих персональных данных налево и направо всем желающим, значительно оздоровит цифровую и криптоэкономику.
Разработчики Telegram уверяют, что все данные будут загружаться на закрытые серверы компании в зашифрованном виде, а дополнительную степень защиты обеспечит пользовательский пароль, то есть сотрудники доступа к данным иметь не будут. Передача же персональных данных третьим сторонам будет производиться только с явного согласия и разрешения пользователя.
Подобной разработкой Telegram, ни много ни мало, заявил себя в качестве нового глобального идентификационного центра Сети. Подобная позиция мало понравится адептам децентрализации и анонимности, однако для рядовых пользователей сервис уровня Telegram Passport может оказаться так же полезен, как и когда-то созданная Google кнопка «Войти через Gmail». Весь вопрос заключается в том, как много популярных сервисов подключатся через API к Telegram Passport в дальнейшем и станет ли сервис по-настоящему массовым.
Комментарии (166)
Allineer
27.07.2018 13:08[ мимо ]riky
28.07.2018 00:52теперь понятно зачем была та войнушка с властями…
Ernillgeek
28.07.2018 00:55Вера в теорию заговора — признак психической болезни. Рекомендуется навестить лечащего психиатра.
riky
28.07.2018 01:06ну не заговор, а скорее договор. просто взаимовыгодное сотрудничество. одним пиар — другим идентификация.
Ernillgeek
28.07.2018 01:08Я повторю то, что я уже сегодня писал. Я уверен, что ложь о сотрудничестве Павла Дурова с российскими карательными органами распространяют сами сотрудники ФСБ и пригожинские тролли.
riky
28.07.2018 01:10признаюсь, далек от темы ТГ. а что они распространяют и где?
Ernillgeek
28.07.2018 01:11На d3, на Хабре, на пикабу, на куче простых форумов ложь о том, что «Да Дуров на ФСБ работает» пишут люди которых давно спалили, как платных прокремлевских троллей.
telobezumnoe
28.07.2018 11:19ни разу не получал денег от кремля, но как только прошел черный пиар по поводу мы не дадим вам ничего из переписки пользователей, вспомнилась история с яблоком, когда требовали расшифровать телефон террориста. по мне так это сообщение убедить аудиторию в безопасности, но мне почему то более вероятными кажутся сказки сноудена, чем отказ этих компаний сотрудничать с властью
ganqqwerty
28.07.2018 11:38ФБР же, а не ФСБ. Вроде бы у этой истории не было никакого публичного внятного продолжения, а в версию «Дуров объяснил ФБР, что он за свободу, и они сразу отстали, потому что они цивилизованные» поверить сложновато.
Scratch
27.07.2018 13:10+27Никакое там не end to end, там обычный пароль. Данные пользователей хранятся на серверах телеграма зашифрованные обычными паролями которые большинство делает простыми.
Там даже не PBKDF с итерациями, не scrypt, bcrypt или Argon2, там просто тупо SHA512 с солью которая брутфорсится миллиардами в секунду.
Это просто обман людейsevergun
27.07.2018 14:24+6Тихо. Не пали контору.
PS с этой инновацией пиццу заказать не сможешь не передав неизвестному лицу свои паспортные данные.
x67
27.07.2018 14:55А что, sha512 уже устарел? Не забывайте, что это облачный сервис и все будет считаться в облаке. Всего амазона не хватит, чтобы обеспечить удобство пользователей при использовании pbkdf. И end-end в данном случае значит именно защиту передачи данных. И судя по всему, если обычный пароль утерян, то и данные утеряны(если телеграм не начнет их брутфорсить).
Я конечно понимаю, что вы хотите абсолютной защиты от всего, но зачем вам тогда третьи лица? Храните все в веракриптовском двойном контейнере, а пароли выкиньте и забудьте.
Паспорт судя по всему будет работать по схеме звезды — некий сервис обращается к телеграму с просьбой дать какие то данные, телеграм просит у вас разрешения и уже тогда передает или нет. В таком случае не вижу смысла сильно осложнять дешифровку самим себе. Можно было не жертвовать безопасностью, но пришлось бы пожертвовать удобством.
Я в теме профан и проблемы с производительностью — лишь догадки, если существуют бесплатные (каким скорее всего будет паспорт) или очень недорогие сервисы с облачным шифрованием, которые не обанкротились в течении 3-5 лет, использующие указанные выше технологии, буду признателен за наводку.Scratch
27.07.2018 15:03+6SHA-512 не устарел, просто его нельзя использовать для защиты паролей, вот и всё. Нет там никакого облачного шифрования, пользователь у себя на девайсе шифрует данные паролем и отправляет их в облако. А вот уже в облаке их пробрутфорсить не составит труда с их то ресурсами
Druu
28.07.2018 14:04Нет там никакого облачного шифрования, пользователь у себя на девайсе шифрует данные паролем и отправляет их в облако. А вот уже в облаке их пробрутфорсить не составит труда с их то ресурсами
Вас кто-то заставляет выбирать такой пароль, чтобы его можно было пробрутфорсить?
arandomic
27.07.2018 15:35+2Не, сами данные всё-таки шифруются вот этим в качестве ключа для AES:
bytes::vector GenerateSecretBytes() { auto result = bytes::vector(kSecretSize); memset_rand(result.data(), result.size()); const auto full = ranges::accumulate( result, 0ULL, [](uint64 sum, gsl::byte value) { return sum + uchar(value); }); const auto mod = (full % 255ULL); const auto add = 255ULL + 239 - mod; auto first = (static_cast<uchar>(result[0]) + add) % 255ULL; result[0] = static_cast<gsl::byte>(first); return result; }
Вопрос в том, где этот секрет хранится. Если только на клиенте — то end-to-end де-юре.
Я не смог проследить за перемещениями секрета — просто смотрел код глазами, продебажить возможности нет сейчас.
CountPasswordHashForSecret используется только в методе FormController::submitPassword
Что бы он ни делал — он не отправляет данные в облако
WaXe
27.07.2018 17:01Судя по руководству по интеграции
Уже с пользовательского устройства данные отправляются в сервис попутно шифруясь открытым ключом который указал сервис
Т.е. телеграм пока выступает в роли хранилища, а пароль нужен для доступа к этому хранилищу
- Пользователь нажимает «Войти в Telegram» на своем веб-сайте или в вашем приложении .
- Вы запрашиваете нужные данные .
- Пользователь принимает вашу политику конфиденциальности и соглашается поделиться своими данными.
- Приложение Telegram пользователя загружает и расшифровывает запрошенные вами данные из сквозного зашифрованного хранилища в Telegram.
- Если некоторые из запрошенных вами данных отсутствуют, пользователь может добавить их в свой Паспорт Telegram в этот момент.
- Приложение пользователя шифрует данные с помощью открытого ключа и отправляет его вам.
- Вы расшифровываете данные, проверяете их на наличие ошибок и повторно запрашиваете любую недостающую или недействительную информацию.
- Вы подписываете пользователя для своего обслуживания. Тада!
Scratch
27.07.2018 17:12Те данные, которые он загружет из облака(п.4), защищены только паролем и элементарно брутфорсятся
WaXe
27.07.2018 17:36Ну так со стороны клиента явно будут ограничения на количество попыток ввода этого пароля, чтобы получить доступ к данным
А со стороны сервера, если зашифрованные данные будут на руках, то и будет вариант подбирать, если алгоритм генерации ключа известен
Да и надо не забывать что там же на сервере хранятся и обычные чатыScratch
27.07.2018 18:32Вот, о чем и речь! E2E подразумевает защиту данных в том числе от злонамеренного сервера, а тут её особо то и нет, сервер может спокойно брутфорсить пароли, т.к. обладает всей необходимой информацией.
Про обычные чаты вообще молчу, к ним у телеграмовцев прямой доступx67
27.07.2018 23:57+1Ни что не мешает злонамеренному серверу красть данные другим образом. Тут приходится или доверять или лишаться функционала
Scratch
28.07.2018 07:58+2Если злонамеренный сервер может украсть ваши данные, то это не end to end, не надо об этом писать.
Druu
28.07.2018 14:07Если злонамеренный сервер может украсть ваши данные, то это не end to end, не надо об этом писать.
Я правильно понимаю, что в вашем определении end to end не может существовать без физической передачи одноразового блокнота из рук в руки?
Scratch
28.07.2018 15:42Конечно, ведь никакие другие технологии нам не доступны
Druu
28.07.2018 16:03Ну, для решения описанной задачи — не доступны. Брутфорсится абсолютно любое шифрование кроме одноразовых блокнотов.
Scratch
28.07.2018 22:24И много вы видели сбрутфорченных, к примеру, цифровых подписей? Диффи хэлманов?
Druu
29.07.2018 09:35Нет. А почему вы спрашиваете? Как это относится к тому, что ваше определение end-to-end шифрования бессмысленно?
Scratch
29.07.2018 11:29Какое именно определение? С одноразовыми блокнотами? Оно ваше, это был сарказм
Druu
29.07.2018 21:18Какое именно определение? С одноразовыми блокнотами?
Вот это:
Если злонамеренный сервер может украсть ваши данные, то это не end to end, не надо об этом писать.
можно было бы конечно предположить, что тут имеется ввиду что злонамеренный сервер не должен иметь возможности украсть ваши данные за разумные сроки, но ведь выше:
Вот, о чем и речь! E2E подразумевает защиту данных в том числе от злонамеренного сервера, а тут её особо то и нет, сервер может спокойно брутфорсить пароли, т.к. обладает всей необходимой информацией.
И тот факт, что до того момента, как Солнце потухнет телеграм пароли сбрутфорсить не сможет, вас не смущает. С-но, для вас важна сама потенциальная возможность брутфорса (пусть и за миллион-другой лет).
x67
28.07.2018 22:54Вы занимаетесь популизмом:
1. Даже при end-end шифровании злонамеренный сервер может украсть ваши данные
2. end-end — характеристика канала или протокола передачи данных, а не сервера. Если один из концов — облачный сервис, то достаточно vpn канала с этим сервисом для обеспечения end-end шифрования. И, не смотря на это, он может оказаться злонамеренным.
3. Защищенность сервиса не определяется исключительно лычками «end-end зашифровано», «c использованием bcrypt», «хешируем только через sha9000» и тп. К примеру, есть сервис, использующий сквозное шифрование с убер мощными алгоритмами, благодаря чему скорость брутфорса на самом мощном суперкомпьютере будет составлять 2 пароля в секунду. Иии… внезапно… их приложение собирает «аналитику» нажатых клавиш, благодаря чему им не нужен брутфорс совсем. Или даже пусть у них будет опенсорсное приложение, которые вы лично проверили и скомпилили, но внезапно оказалось, что в нем есть уязвимость, позволяющая исполнять произвольный код, присланный прямо в сообщении. И этот этого заранее никак не защититься. Поэтому или доверять или не использовать. Выбирайте сами.
При том вы так и не ответили на мой вопрос про проблемы с производительностью, а раз этот вопрос не закрыт, не вижу смысла искать другие мотивы.Scratch
28.07.2018 23:38Вы сами сказали что в теме профан, а меня обвиняете в популизме.
Какие проблемы с производительностью если расшифровка происходит на клиенте? Облако тут вообще не при делах, оно только как хранилище данных работает.x67
29.07.2018 16:51Тогда пасспорт как таковой не нужен, достаточно недефолтного шелла к гуглодиску или дропбоксу. Но при этом теряется функционал — вам нужно скачивать доки, а сервис не может обратиться напрямую к телеграму, а взаимодействует с вами, что не всегда удобно и для этого случая опять таки паспорт не нужен вовсн
powerman
28.07.2018 11:37Не совсем так. Злонамеренный сервер может прислать в браузер модифицированный клиент, который сольёт пароль — это да. Но — это возможно заметить. Такие популярные приложения всегда находятся под наблюдением, рано или поздно, если сервер будет выкидывать такие фокусы, его на этом поймают. Да, это может произойти не сразу, и да, они могут попытаться всё списать на "баг" или злонамеренного разработчика внедрённого к ним ФСБ специально ради удара по репутации, но почти наверняка репутационный ущерб будет громадным, как и финансовые потери. Поэтому вряд ли они станут таким заниматься.
А вот подбирать пароли можно очень-очень тихо, на отдельном кластере, о котором вообще никто не знает и не может узнать. Выбор SHA512 вместо Argon2 выглядит как оптимизация вот такого тихого подбора паролей, что и вызывает вопросы.
moonware
27.07.2018 17:01-2Какой брутфорс оО. Учите матчасть. Т.е. перебирать вы конечно можете, только исход очевиден.
Scratch
27.07.2018 17:13+6конечно очевиден, большинство данных будут расшифрованы меньше чем за минуту
moonware
27.07.2018 19:10Может вспомните пример удачной атаки на sha512. Или вы просто о подборе пароля говорите?
Scratch
27.07.2018 19:32На дворе 2018 год, просто хэшировать пароли небезопасно, это знают все кто более-менее в теме. Не потому что SHA 512 уязвим, а потому что его можно перебирать со скоростью миллиард в секунду на одной видяхе. Но разработчикам телеграма зачем безопасность, у них уже есть миллиард баксов
moonware
27.07.2018 19:36-1Осталось раздобыть хэш и соль. Ну и надеяться на то что пароль со словаря. Дело за малым не так ли?
Scratch
27.07.2018 20:59+3И хэш и соль хранятся на серверах телеграма, что и позволяет Дурову, перебирать ваши паролики.
moonware
27.07.2018 23:54-1И как же нужно хранить данные и пароли пользователя по православному. Пространно не отвечайте — достаточно ссылки на описание.
ValdikSS
28.07.2018 12:20en.wikipedia.org/wiki/Key_derivation_function
Конкретные алгоритмы — PBKDF2, Argon2, scrypt.moonware
28.07.2018 13:12Вы сами хоть читали свою ссылку? Там в первом параграфе как один из видов кдф упоминается семейство sha.))
serf
28.07.2018 13:16Так все верно, KD функции это разновидность хэш функций, просто более устойчивые к брутфорсу. Точнее с более настраиваемым work factor, в Argon2 наример можно настраивать work factor как по CPU так и по памяти.
serf
28.07.2018 13:13Только вопрос был о хранении, а не KD функциях.
Но это очень очень странно что в наше время подобный сервис использует обычное хеширование вместо KD функций.
moonware
28.07.2018 13:18И вот к примеру атака на аргон2. https://eprint.iacr.org/2016/027.pdf довольно старая статья надо сказать.
ValdikSS
28.07.2018 13:26Пролистал документ, в нем говорится об уменьшении памяти без увеличения времени взлома. Т.е. атака на уменьшение количества памяти, нужной для взлома.
Ernillgeek
27.07.2018 23:56+1А я помню еще времена, когда бегали пропагандисты «надо всё русское» и призывали не пользоваться вражеской придумкой gmail'ом, который был в закрытой бете(году в 2004), а пользоваться только mail.ru, потому что если ты пользуешься gmail'ом, то Брин читает твою почту.
xeofus
27.07.2018 13:19+33Последнее, что я сделаю в интернете, так это отдам свои документы и всю подноготную третьему лицу.Может я и старомоден и вообще отстал от жизни, но мои доки это мои доки, и доступ к ним — святое.
Borz
27.07.2018 14:52а госуслуги это второе или третье для вас лицо?
xeofus
27.07.2018 15:03+20Паспорт мне выдало государство, и госуслуги предоставляет государство, они второе.
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности, и являются провайдерами/агрегаторами/телеграмами/любой другой термин.Areso
27.07.2018 15:20-1Государство — это люди.
ragequit
27.07.2018 15:22+10Государство — это социальный институт, которому обществом делегированы права по управлению активами и пассивами, выражению воли народа от лица государства, охрана государственных границ и поддержание правопорядка в соответствии с действующими в государстве УК, ГК и конституции (если есть).
Люди к государству в прямом смысле этого слова не имеют никакого отношения.sshmakov
29.07.2018 09:56-1Это функции правительства. Не стоит путать его с государством.
ragequit
29.07.2018 11:37Ваше понимание «государства» никак не связано с реальным научным определением данного термина, путь некоторые и не считают социологию наукой. Если обратиться к вики:
Госуда?рство — политическая форма организации общества на определённой территории, политико-территориальная суверенная организация публичной власти, обладающая аппаратом управления и принуждения, которому подчиняется всё население страны.
Фактически, государство является совокупностью социальных институтов, сформированных определенной народностью и\или населением территории, самоопределяемой этой народностью и\или населением как своя страна (ареал обитания).
Если обратиться к определению «народ», то можно узнать о том, что он обладает определенной территорией, культурой, историей и отличительными признаками в виде языка и, чаще всего, страны обитания, границы которой определяют ареал народа. Народ или группа народов, проживающих в рамках одной территории (страны), в свою очередь, формирует общество, со своими традициями, устоями и привычками. Общество (социум), как структура стоящая над индивидуумом, создает так называемые социальные институты власти, совокупность которых (законодательная, исполнительная, судебная), а так же ряд социальных институтов, удовлетворяющих потребности социума в обеспечении безопасности и порядка для членов социума. В число этих социальных институтов власти входит и правительство, а так же силы правопорядка (полиция, для обеспечения внутренней безопасности), армия (для защиты границ ареала обитания членов социума), и спецслужбы (внутренняя и внешняя безопасность), что в совокупности дает нам ГОСУДАРСТВО.
Фактически, государство является основополагающей структурой существования общества, оказывая поддержку или регулируя деятельность других социальных институтов, таких как «институт семьи», «институт производства материальных и нематериальных благ», «институт передачи знаний» (образование) и «институт духовных потребностей» (культура, искусство, титульная религия, принятая социумом).
Правительство — лишь винтик в этой машине. Это тоже самое, что в биологической иерархии назвать семейство кошачьих отдельным царством.
Ernillgeek
27.07.2018 15:59+7А оператором «Госуслуг» является коммерческая контора с сомнительной репутацией ПАО «Ростелеком». А не «государство», что бы вы не имели в виду под этим словом.
saboteur_kiev
27.07.2018 17:27-1Паспорт мне выдало государство, и госуслуги предоставляет государство, они второе.
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности, и являются провайдерами/агрегаторами/телеграмами/любой другой термин.
То есть если в аэропорту оператор перед тем, как выдать вам билет, потребует паспорт, вы его пошлете и вызовете представителя государства?xeofus
27.07.2018 20:22+1Последнее, что я сделаю в интернете
Третьи лица для меня, все кто не имеет прямого отношения к моей юридической деятельности
Я ж купил у этого оператора билет, заплатил своими деньгами, предварительно понимая, что идентификационным документом они требуют паспорт. Конечно я предъявлю, я ж сам там нахожусь и собственными руками провожу операции с идентификацией себя, с юр.лицом которого выбрал сам, понятное дело, что они в этой ситуации второе лицо.
Вам не кажется, что ваш комментарий выглядит как буквоедство?Ernillgeek
27.07.2018 23:59Нам кажется, что вы там еще подписали пункт «Разрешаю передавать мои данные кому попало», когда связывались с шарашкой у которой репутация ниже плинтуса, а теперь выступаете против того, что бы доверить данные тем кто уважаем в мире и кто доказал свою честность
saboteur_kiev
27.07.2018 17:26-2Может я и старомоден и вообще отстал от жизни, но мои доки это мои доки, и доступ к ним — святое.
Может быть вы не очень знаете предназначение доков — это в основном удостоверение что вы есть вы. И доки нужны именно для третьих лиц/организаций/государства, а не для вас лично.
Хотя если вы коллекционер…Ernillgeek
27.07.2018 17:32Очевидно человек так же не пользуется сотовой связью и домашним интернетом, ведь и то, и другое в России только по паспорту который ты предоставляешь сторонней коммерческой организации.
xeofus
27.07.2018 20:35Последнее, что я сделаю в интернете
Вы ведь прочли это? Доки ведь вы предоставляете не третьим лицам, а тем, с кем взаимодействуете, для верификации вас, как резидента например РФ. Вы ведь если заключаете договор с провайдером интернета, не считаете их третьим лицом?
Третьим лицом будет тот, кому провайдер передаст ваши данные. Даже законодательство это запрещает, без вашего согласия.Ernillgeek
28.07.2018 00:00+2> Третьим лицом будет тот, кому провайдер передаст ваши данные. Даже законодательство это запрещает, без вашего согласия.
Договор-то читали? С провайдером? А то там согласие на передачу третьим лицам без ограничения и ваша подпись.
mat300
27.07.2018 23:25+1И вы абсолютно правы. Мне вот интересно, вообще, зачем это такие правильные и убежленные анархисты Дуровы затеяли эти пляски с документами, ID, паспортами? Это отход куда, к чему? И так банки держат всех за яйца, зачем множить эту гадость? Нужно менять финансовую модель — банки это прошлое, эксплуатация неэффективности действующий финансовой системы. Новая система, на то и новая, что должна быть свободна от прошлых недостатков, п Телеграм предлагает увязнуть поглубже в этом болоте.
В том то и дело, что надо наоборот отходить от этого всего — не ID нужны, а репутация кошельков. Да и для каких финансовых институтов там эти ID? Банков? Фискалов?
Еще раз говорю: банки это прошлое, а фискалы пусть работают напрямую с кошельками.
Больше ананонимности! И так все уже сидят заглотивши крючок — можно подсечь любого неугодного властям или корпорациям.
И, кроме того, у Дуровых лозунг — типа замегим там визу с мастеркардом. Зачем? Чтоб Дуровы начали хапать вместо визы? Переток бабла в другой карман? Нам то зачем в этом участвовать? Какой толк в их крипте в сравнении с фиатом? В фиате хотя бы кэш есть накрайняк, а в Дуровской крипте — без бумажки (ID) ты какашка. То есть будет еще хуже, чем сейчас. И никаких реальных новаций, чтоб внести полезные изменения в финансовую систему.
rustavelli
29.07.2018 12:28Документы — это всего лишь подобие клейма, которое раньше на рабов ставили. Теперь государство(шайка бандитов, которые захватили власть), вынуждает вас сделать себе это клеймо и носить с собой. Слишком трепетно вы к этой бандитской обязанности относитесь.
dumistoklus
27.07.2018 13:35+11Я думаю, что самое нужное — это «функция подтверждения статуса пользователя без передачи его персональных данных», которой еще нет.
А функция хранения паспортных данных видимо нужна была только для каких-то дальнейших планов телеграма, а не для решения реально существующей проблемы.Archon
27.07.2018 16:38+1Нужное (да и то под вопросом) с точки зрения пользователя, но сомнительное с точки зрения конечных сервисов. Сложно представить себе сервис, достаточно серьёзный для того, чтобы нуждаться в жёсткой идентификации пользователей, но при этом достаточно безобидный для того, чтобы обходиться без персональных данных в чистом виде.
Опять же, совершенно непонятно, может ли один человек завести себе на один комплект документов пачку подтверждённых профилей. Если может — такой сервис «идентификации» вообще бесполезен.AbstractGaze
27.07.2018 18:03Если я правильно понял, то этот сервис будет по аналогии ЭЦП, только в качестве удостоверяющего центра будет телеграмм. Фишка получается в том что данный «удостоверяющий центр» вне границ какого либо государства.
Так что данный сервис может быть уместен и даже полезен, но не на данный момент. С другой стороны создавать какой то сервис, где требуется чтобы пользователи были например 16+ — достаточно будет иметь только такую авторизацию с проверкой возраста и все, т.е. сами ПДн даже не надо будет хранить или обрабатывать что весьма удобно.AndrewShmig
27.07.2018 23:24вне границ какого либо государства.
Вне Земли? На Марсе сервера? Да еще и централизованный вариант… ну это же всё решаемо. :)AbstractGaze
28.07.2018 02:23Да смешно. Покажите мне международный сервис, не в юрисдикции России где можно авторизироваться по гостовским эцп и это будет иметь юридическую силу.
Sabubu
27.07.2018 14:23+14Мне одному кажется, что у Дурова какая-то нездоровая тяга к сбору персональных данных? Он и в ВК, и теперь в Телеграме пытается собрать как можно больше.
> Разработчики Telegram уверяют, что все данные будут загружаться на закрытые серверы компании в зашифрованном виде, а дополнительную степень защиты обеспечит пользовательский пароль, то есть сотрудники доступа к данным иметь не будут. Передача же персональных данных третьим сторонам будет производиться только с явного согласия и разрешения пользователя.
Если они хранятся в зашифрованном виде, то Телеграм не может их предоставить другим. Подозреваю, что возможность расшифровки для себя Дуров все-таки оставит.
> Сейчас подавляющее большинство финансовых сервисов в сети требуют полноценной идентификации пользователя для разблокировки функции вывода средств и снятия ряда жестких лимитов на ввод и хранение.
Надеюсь, появится хороший сервис для обхода этих неудобств без предоставления персональных данных. Ну или биткойн станет более юзабельным.
> особенности работы в разных регионах требуют проводить идентификацию пользователей в системе в рамках борьбы с мошенниками, кардерами и прочими злоумышленниками
Они по селфи будут определять, мошенник перед ними или нет? Шерлок Холмс бы позавидовал.
> Таким образом команда Telegram в дальнейшем берет на себя обязательства классического гаранта, не передавая и не распространяя персональные данные пользователей третьим лицам.
И какую она несет ответственность за утечку или неправомерное использование данных? Угадаю, никакой?ragequit
27.07.2018 15:19+11>Надеюсь, появится хороший сервис для обхода этих неудобств без предоставления персональных данных. Ну или биткойн станет более юзабельным.
Вы имеете весьма поверхностное представление о том, как работает современная банковская система, если надеетесь, что появится сервис, который не затребует ПД. Тут материала на целую статью, но попробую кратко.
Все очень просто: пока деньги в интернете, они являются так называемым «денежным» суррогатом, будь то WM или ЯД. Гарантом этого суррогата выступает банк-эмитент, который обслуживает данную платежную систему (в случае Яндекс.Денег это Сбербанк, например). Предположим, появится какой-нибудь elec-pay-ololo, который не будет требовать идентификации пользователя и его ПД, при этом он будет позволять выводить деньги на пластиковые карты и проворачивать крупные суммы.
В этот момент в действие вступят международные законы, локальные законы и акты антитеррора, которые автоматически сделают эти деньги «грязными». В этот момент Visa/Mastercard отключают банк или структуру, которая обслуживает наше elec-pay-ololo, от своей системы, выписывая пожизненный бан и параллельно возбуждая дела по расследованию, откуда деньги.
Даже если работать в обход этих мировых платежных систем (что автоматически исключает вывод средств из системы на 99% пластика в мире) и обратить взор на систему прямых банковских переводов, то там становится все еще жестче. В действие вступают региональные директивы, типа PSD 2.0, которые регулируют поведение банков и проведение ими транзакций и ни одна контора не примет такой перевод от ноу-нейм нарушителя. В итоге вы оказываетесь замкнуты в экосистеме нашего elec-pay-ololo: Visa и Mastercard не позволяют совершать операций по направлению к указанному суррогату (так, кстати, Mastercard поступил с BTC, блокируя переводы и организуя двойные списания по известным направлениям в сторону сервисов, торгующих криптой за бабло с кредиток), банки переводы из системы не получают и единственный путь: это барыги-менялы, которые будут давать вам или кэш за ваши суррогаты elec-pay-ololo, или слать вам в ручном или полуавтоматическом режиме на кошельки легальных электронных систем.
Прикол в том, что без идентификации в этих легальных системах, вы либо вообще не сможете вывести деньги, либо же получите ограничение на уровне 15 000 RUB в месяц или около того. Делается это, опять же, для борьбы с теневой экономикой и в рамках антитеррора.
Итог: предоставление ПД финансовым сервисам в текущей экономической парадигме не просто «прихоть», это, фактически, мировой закон для всех глобальных игроков рынка. В противном случае, если вы не принимаете правил игры, вас «бортуют» на обочину или в лапы к барыгам, которые берут минимум 10% комиссию без учета белых комиссий платежных систем. Я видел предложения и под 30-40%, это норма.
Так что тут, для честного человека, все упирается не в факт предоставления ПД (кому надо, все о вас знают), а о степени доверия к сервису. Тому же Яндексу, PayPal или Webmoney предоставить свои ПД не страшно. А вот на сервисе микрозаймов в WM (да, и такой есть), которые держит один-единственный ИП, оставлять свои паспортные данные уже стремновато и там надо взвешивать все за и против, читать правила системы и правила заключения договоров займа в ВМ.
Но системы, которая не будет требовать ПД, не будет никогда, пока жива текущая финансовая система и институт государства (в глобальном смысле), как таковой.
antanubis
27.07.2018 16:25> Если они хранятся в зашифрованном виде, то Телеграм не может их предоставить другим. Подозреваю, что возможность расшифровки для себя Дуров все-таки оставит.
Это не так. Они хранятся в зашифрованном пользовательским паролем виде. Когда пользователь предоставляет их какому-то другом сервису, он вводит пароль и ключ для расшифровки данных отправляется напрямую стороннему сервису, без участия серверов Телеграм. Сервис получает зашифрованные данные от сервера Телеграм и ключи для расшифровки от клиента Телеграм, где они были получены с использованием пользовательского пароля.
То, что официальные сборки клиентов ведут себя именно так, как описано, проверить снаружи нельзя (получается доверие команде Телеграм), однако при желании можно взять код этих клиентов, проверить что по коду они ведут себя именно так, собрать его самостоятельно и быть уверенным, что на сервера Телеграм данные уходят только зашифрованные, а ключи для расшифровки уходят только тому сервису, которому пользователь решил их предоставить.
maksym7
27.07.2018 17:01> Они по селфи будут определять, мошенник перед ними или нет? Шерлок Холмс бы позавидовал.
Я так понимаю твое селфи-фото должно совпадать с фото на паспорте. Проверять наверно будут люди
LazyTalent
27.07.2018 14:31+1А что делать при смене номера телефона — загружать все еще раз? А что будет с данными со старого акка — новый владелец телефонного номера сможет воспользоваться моими документами?
nikitos_2002
27.07.2018 14:40Думаю будет функция, что при неактивности в течении N дней уничтожать данные. Да и отвязать свой старый телефон от всех сервисов — это задача владельца этого телефона.
fundorin
27.07.2018 15:07Вот это сильно напрягает меня, как владельца n-ного количества аккаунтов, привязанных с номеру телефона. Мессенджеры, соцсети, тот же мобильный банк.
Телефоном для исходящих звонков пользуюсь редко. На счету лежит дежурная сотня. В основном, входящие звонки.
Постоянно переживаю за то, что мой номер могут отдать кому-то другому и а) у меня не будет возможности восстановить аккаунты и б) посторонний человек получит доступ к моим данным.Mogwaika
27.07.2018 15:18Точно одна соцсеть и одна почта поддерживают fido u2f ключики для двухэтапной аутентификации…
Ernillgeek
27.07.2018 16:01> Мессенджеры, соцсети, тот же мобильный банк.
В том же Телеграме по дефолту стоит автоуничтожение аккаунта если им не пользуются 6 месяцев. При чем отключить оную автоматическую селф-дестракцию совсем нельзя в принципе, можно только менять срок неактивности через которую она произойдет.
23rd
27.07.2018 15:29Меняете у аккаунта номер телефона и всё остаётся на своих местах.
LazyTalent
27.07.2018 15:51Если бы было все так просто. Очень часто необходимо сменить номер телефона, когда у тебя уже нет доступа к старому и даже не возможно его вспомнить. А если учесть, что есть люди без определенной страны проживания и у которых телефонные номера меняются как перчатки.
WaXe
27.07.2018 17:22Вот тут не уверен, но возможно кто-то скажет, кто уже пользовался этой фичей
Там ведь, в последнее время, если начинаются какие-либо действия, то предлагается ввести код из СМС, либо код который был отправлен в другие авторизованные устройства через специальный канал.
+ Например, если делается Экспрот данных из телеграмма, то там рассылаются уведомления и делается задержка на 24 часа
Так что думаю мб они предусмотрели этот момент и помимо СМС на старый номер, еще приходит уведомление в сервисный канал
WaXe
27.07.2018 17:17Так ведь есть возможность смены номера — Settings > Info > Mobile — и если прямо на номер телефона нажать
А по поводу пользования чужими документами — там ведь при включении Telegram Passport включается Cloud Password — который типо «второй фактор»
Т.е. при следующей авторизации нового устройства, помимо SMS кода (или кода который придет среди нотификаций) понадобится еще ввод вот этого Cloud Password
This password will be asked when you log in on a new device in addition to the SMS code
Ну и никто не отменял Account self-desctruct — самоуничтожение аккаунта по таймауту от 1 месяца, до 1 года неиспользования
severgun
27.07.2018 14:40+5Мне одному кажется, что у Дурова какая-то нездоровая тяга к сбору персональных данных? Он и в ВК, и теперь в Телеграме пытается собрать как можно больше.
Вы вообще в курсе за счёт чего получают деньги соцсети, месенджеры и Гугл? Вас не смущает что все сервисы бесплатные, но находятся в топе компаний по баблу?
trimtomato
27.07.2018 17:38+1Telegram нельзя ставить в этот ряд, тут совершенно другая история. Сегодня Телега это личный эксперимент одного человека. В этом его уникальность, и это несет в себе как плюсы, так и минусы.
severgun
27.07.2018 17:48-1Какой к черту эксперимент? Телега появилась после успеха вотсапа. Сделал копию. Провел PR компанию. Надавил на жалость историей об отжиме ВК.
Ты на финансовые сводки то посмотри. Экспериментатор живёт на широкую ногу тоже просто так?
trimtomato
27.07.2018 18:04+1Ну и пусть живут. Что это меняет Ненавидите всех богатых? Все вами написанное не исключает того, что Telegram личный эксперимент одного человека.
Ernillgeek
27.07.2018 18:09+5> Провел PR компанию. Надавил на жалость историей об отжиме ВК.
Или все же предоставил прекрасное API, предоставил возможности которых нет в ВоцАппе(приложения для десктопа работающие независимо от того запущено ли на мобиле, например. Возможность использовать на неограниченном количестве устройств, например)?
Сравнивать ВоцАпп и Телеграм глупо. Они в разных категориях.
OKyJIucT
27.07.2018 14:51удалено
nikitos_2002
27.07.2018 14:52Я думаю, они сначала их проверяют, а потом шифруют. А может быть у них есть нейросети для проверки данных.
OKyJIucT
27.07.2018 14:57Удалил вопрос, поскольку выше он уже прозвучал, а я не обновил страницу. А в целом, я думал, что данные сначала шифруются, а потом уже передаются Телеграму на сервер.
nikitos_2002
27.07.2018 16:15Ну для этого я думаю используют E2E. Тут только надо надеяться на добросовестность сотрудников Telegram.
MicroSDA
27.07.2018 15:02+8За все время использования интернета мне пришлось передавать свои данные всего лишь три раза, получение аттестата от Webmoney, регистрация Apple ID, оформление карты в местном банке. Может со мной что-то не так и я не попадаю в список средне статистического пользователя, или технология, что-то там опережает. Ко всему прочему, как мне кажется, телеграм еще не обрел своего доверия для предоставления такого рода сервисов(сугубо моё отношение).
ivanych
27.07.2018 20:03Что, и билеты на поезд/самолет ни разу через интернет не покупали?
questor
27.07.2018 22:08При чем здесь билеты? Паспорт сличает проводник, сканы на РЖД не нужно загружать.
Я не понимаю связи с темой телеграма: даже если в цепочку вклинить телеграмму паспорт, то проводник все равно будет обязан сличить фейс, верно?ivanych
27.07.2018 23:01При покупке билетов через интернет передаются персональные данные. Скан там или не скан — дело десятое.
Ernillgeek
28.07.2018 00:02При покупке билета на поезд РЖД вы передаете ФИО, номер-серию паспорта, пол, дату и место рождения. То есть вообще ВСЕ данные о себе. Передаете конторе сотрудникам которой доверять нельзя в принципе, конторе которой долгие годы руководил откровенный мошенник и аферист, а сейчас в руководстве его наследники.
andrew8712
28.07.2018 09:47Какой эмоциональный бред. Покупка билетов у РЖД — единственный способ кататься на поездах у нас в стране. Так же и в Штатах (Amtrak). И так уж получилось, что для посадки на поезд требуется удостоверение личности, данные которого вы вводите на этапе покупки.
springimport
27.07.2018 15:57+1Отношение к данным пользователя уже для меня стало понятным когда после установки телеграмма не смог адекватно добавлять друзей без открытия контактов. И это бред.
ivanych
27.07.2018 20:05-1А куда он должен добавлять друзей без открытия контактов?
springimport
27.07.2018 20:15+1Еще раз, берем скайп, ищем и находим друга. После приглашения и его подтверждения в контактах появляется друг.
Берем телеграмм и делаем все тоже самое. По итогу в диалогах просто непонятный абонент которого нельзя добавить как друга. Буквально на кнопке «добавить» всплывает разрешение доступа к контактам.ivanych
27.07.2018 20:23Вы словом "контакты" какие-то разные контакты называете? Потому что если скайп добавил кого-то в контакты и потом показывает его, то это значит, что у него есть доступ к контактам.
springimport
27.07.2018 20:42Немного перемешались понятия. Контакты в скайпе или вк, например, это то чем бы хотелось нормально управлять в тм, контакты телефона хотелось бы только там и оставить.
Ernillgeek
28.07.2018 00:03Берем телеграмм и делаем все тоже самое. По итогу в диалогах просто непонятный абонент которого нельзя добавить как друга. Буквально на кнопке «добавить» всплывает разрешение доступа к контактам.
Что за вранье? Берете ник и добавляете по нему. Все, он у вас в списке. Без знания номера телефона, без доступа к адресной книге. Зачем врать?
thauquoo
27.07.2018 16:01+7Уже десяток лет каждый год выходит несколько новостей о громких взломах и сливах личной информации клиентов. Чаще всего от частных компаний.
Так что, пожалуй, пусть мои данные хранятся только у государства (это пока безальтернативно).
Проблема в том, что часто такие сервисы и алгоритмы не проходят прозрачный аудит с доступными для любого клиента результатами, пишутся наскоро, лишь бы заработало, «а потом доделаем как надо», сертификации безопасности и защиты решений обычно нет. В итоге это выливается в детские ошибки и огромные дыры.
И в довесок в пользовательских соглашениях они всячески сбрасывают ответственность за ущерб, который может принести утечка данных. Телеграм не первый и не последний.
В мире, где такие популярные решения пишут без должного контроля и знания матчасти, приходится быть динозавром и отстаивать классические старые способы верификации вплоть до личного посещения офиса с паспортом.
dr_begemot
27.07.2018 16:03-1А ничего, что на самом сайте этого Telegram Passport написано, что они не имеют никакого отношения ни к Телеграм, ни к его команде?
В свете этого, очень странно выглядит анонс Passport в официальном канале телеги.Ernillgeek
27.07.2018 16:28Насколько я понимаю есть некие мошенники с OAuth2 просто укравшие название и есть Telegram Passport официально анонсированный.
Это — разные сущности.SurPaul
27.07.2018 17:01Это не мошенники, а название у них такое ещё до официального Passport было, если я не ошибаюсь. Суть в том, что с помощью того ресурса можно замутить себе на сайте/в приложухе логин через телегу и всё. Ни о каких конфиденциальных данных (типа паспорта и других документов) речи не идёт.
Ernillgeek
27.07.2018 17:02-2Посторонние лица использующие зарегистрированное название Telegram по определению мошенники, которые пытаются выдать себя за Дурова
atamanenko
27.07.2018 19:08Там прям посреди их главной страницы «unofficial» написано, какие мошенники)
atamanenko
27.07.2018 19:08Ещё и вот это:
No, we are not affiliated with Telegram and Telegram team. But we use an official bot API and don't violate Terms of Service or any other rules.
Ernillgeek
27.07.2018 19:10+1Да. Что не помешало им взять чужое название в расчете на тех, кто не заметит.
chesterset
27.07.2018 20:35Не заметит что? «Easiest way to log in via Telegram» — уже из этого понятно, что речь не идёт про авторизацию где-либо (на сайтах, например) при помощи Телеграм. Написали дополнения/расширения для nodejs и laravel и всё это два года назад, когда ни о каком официальном Telegram Passport речи не шло. Название чужое они не брали, использовать название мессенжера для функции, которая завязана на этом мессенжере — вполне логично.
FreeManOfPeace
27.07.2018 16:43Лень, конечно двигатель прогресса.
Но в последнее время лень двигает прогресс куда то не туда…
Voltos
27.07.2018 17:01+1А потом ФСБ потребует доступ к данным пользователей, а РКН попытается заблокировать сервис, потому что все данные зашифрованы.
Ernillgeek
27.07.2018 17:03-1Ага. ФСБ направит требование в офис в Сент-Китс и Невисе, а оттуда получит «Чо?». На этом все закончится
IbhSvenssen
27.07.2018 17:57+2При условии что Дуров не связан с ФСБ. Что не доказано, так что у меня лично параноя прогрессирует. Даже государственные базы данных можно свободно купить в даркнете. Так что чем меньше отдавать своих данных, тем спокойнее жить.
Ernillgeek
27.07.2018 17:58+2Я вот глубоко убежден, что ложь о возможных связях Павла с ФСБ распространяют сами ФСБшники. У меня для этого есть все основания.
Chamie
27.07.2018 20:30+2При условии что Дуров не связан с ФСБ. Что не доказано
А это вообще доказуемо? Связи Дурова с ФСБ — это такой чайник Рассела. Невозможно доказать, что их нет.IbhSvenssen
27.07.2018 21:03И я про это. Нет доказательств сотрудничества, и есть даже прямые посылы в пешее эротическое через твиттер, но нет и гарантий что не сотрудничает. Его родители в России, а значит фактически в заложниках. Стоит только службам надавить, он сдаст всё.
ivanych
27.07.2018 20:19Государство (в лице ФСБ), выдавшее вам паспорт, потребует доступ к скану этого паспорта? Зачем?
rPman
27.07.2018 22:54+1Зачем?
Связать аккаунт в интересуемом сервисе с личностью его владельца.
Т.е. если раньше в каждому случае, для каждого сервиса спецслужбам любого госсударства необходимо было бы обращаться к каждому по отдельности (юридически и бюрократически сложно, но не невозможно, само собой), то после внедрения централизованного сервиса хранения типа этого Telegram Passport — достаточно спросить только их.ivanych
27.07.2018 23:07достаточно спросить только их.
Что спросить? Сформулируйте вопрос, который должна задать спецслужба.
rPman
27.07.2018 23:12Выдайте паспортные данные пользователя xxx на сервисе YYY
ivanych
27.07.2018 23:21"Мы не знаем, кто такой xxx — сервис yyy не передает нам никаких идетификаторов своих клиентов.
Более того, мы даже не знаем, что за сервис такой yyy — сервисы у нас не аутентифицируются, аутентифицируются наши пользователи.
Назовите паспортные данные пользователя — мы вам отправим скан его паспорта."
Voltos
28.07.2018 07:45Примерно такой диалог я и имел ввиду.
ФСБ может запросить, Телеграмм Паспорт не сможет выполнить их запрос.
Как следствие в сети появятся новые статьи про суды и блокировки.rPman
28.07.2018 08:14Вы бред несете, телеграм публично заявляет о том что он является посредником по передачи данных, сервис YYY заявляет (в интерфейсе) что они используют телеграм паспорт и прочее, после такого ответа, следующим будет повестка в суд (на самом деле к сервису YYY но они пошлют к телеграм либо сами начнут трясти все что нужно у них).
Voltos
28.07.2018 09:00Возможно конкретно данный пример не подходит под формат проведения оперативно розыскных мероприятий, но у такого масштабного проекта наверняка будет множество другой полезной для правоохранительных органов информации. И исключать их заинтересованность в этой информации я бы все же не стал.
Так же не стоит обделять вниманием внедрение в перспективе функции подтверждения статуса пользователя без передачи его персональных данных.
ver_nevas
27.07.2018 17:01+1Я считаю, что индекс доверия к телеграму слишком высокий. Каждый третий, считает данный месенджер чуть ли не самым безопасным. Не думаю, что сервис будет пользоваться популярностью на территории РФ, так как вряд ли отечественные компании согласятся с ним работать.
Ernillgeek
27.07.2018 17:04Телеграм не самый безопасный, но самый удобный. У какого-нибудь SafeUM нет прекрасного API, как у Телеграма, например. Но при этим SafeUM гораздо безопасней.
saboteur_kiev
27.07.2018 18:15+1Из существующих ПОПУЛЯРНЫХ мессенджеров, телеграм — вполне даже безопасный в тех рамках, в которых можно вообще предполагать безопасность для данной категории программ.
Но.
ВК — по дизайну и возможностям лучшая социальная сеть. Гораздо удобнее чем ФБ и для пользователей и для разработчиков, использующих API
Телеграм — по возможностям и функционалу — гораздо удобнее, чем подавляющее большинство мессенджеров. К Клиенту у меня есть претензии, и отмазка «API открыт пишите свой клиент» меня не слишком радует. Но продукт однозначно качественный.
На фоне этого к еще одному сервису Passport от телеграм возникает уважение больше, чем к некоторым «официальным государственным» онлайн сервисам. Просто потому что верится, что Дуров умеет создавать технически качественные продукты.
trimtomato
27.07.2018 17:25+1По сути, они запустили сервис по автоматическому заполнению форм. Ну или что-то вроде парольницы. Как автозаполнение в браузере, но через API. Еще, помимо стандартных полей, они добавили поля для картинок, в которые пользователь должен залить сканы своих документов (или фото котиков). Не могу понять зачем все это нужно кому-то, кроме самого Телеграма. Нет же никакой верификации этих данных.
Из полезностей: они могу верифицировать номер телефона (через СМС) и почтовый ящик (через письмо) — это может быт выгодно каким-то совсем мелким сервисам и сайтикам, которые хотят сэкономить на СМС-ках.
Мне кажется, не стоит рассматривать этот сервис как что-то выдающееся в том виде каком его представили сейчас. Нужно смотреть что они выкатят дальше.
… каких-либо упоминаний о TON или хранении информации в блокчейне в релизе нет.
Ну, кое-какие упоминания по ссылке из статьи все-таки есть:
In the future, all Telegram Passport data will move to a decentralized cloud.
Cheater
27.07.2018 17:33Ненужно. Не говоря уже про проблемы с безопасностью ПД при таком подходе. Организаций, требующих идентификацию реальными паспортными данными, — единицы, и отдавать эту идентификацию третьей стороне ни я, ни скорее всего они, не собираемся. Как правило, это крупные, часто государственные, организации с высоким уровнем доверия (инженерные службы, банки, полиция, налоговая ит.д.) и либо УЖЕ имеют отлаженную систему идентификации/авторизации (выдаваемые по паспорту логин-пароль для веба, USB токен, и т.д.), либо взаимодействуют с юзером/требуют от него идентификации крайне редко. Непонятно, зачем вообще им ещё один механизм идентификации.
Ernillgeek
27.07.2018 18:29> Организаций, требующих идентификацию реальными паспортными данными, — единицы, и отдавать эту идентификацию третьей стороне ни я, ни скорее всего они, не собираемся
В России это — провайдеры, ОПСОСы, РЖД, авиакомпании и далее. И в договорах со всеми есть пункт в котором вы разрешаете передавать данные третьим лицам. Даже «Госуслуги» и те предоставляются ПАО «Ростелеком», то есть вы отдаете вообще все о себе сторонней конторе с очень плохой репутацией.
Извините, но доверия к Дурову и его команде на порядок больше, чем ко всем упомянутым организациям.
forcam
27.07.2018 17:35+1К идентификации принимаются не только классические данные в виде ФИО, номера телефона и скана/фото паспорта, но так же и водительские удостоверения, ID-карты, данные о прописке, данные о временной регистрации. Кроме этого система принимает селфи с документами для подтверждения того, что идентификацию проходит реальный человек, а не злоумышленник, который завладел персональными данными пользователя.
Т.е. распечатать фотку и подсунуть как селфи уже из разряда нереальных технологий?
«Данные о временной регистрации» Серьезно что ли? Это распечатанная бумажка, с текстом, что в ней уникального? Кроме того, что точно такую же сделать — 5 минут фотошопа?
А если украли мобилу, подделали такую бумажку и знают пароль, то какой смысл в такой системе? Чем она будет отличаться от системы где просто требуется пароль? Только тем, что нужно еще в фотошопе повозиться? И все? Авторизируйся где хочешь?
Как по мне лучшего варианта чем аппаратный ключ пока не придумали, сделать только хитрую авторизацию для начала работы, по паролю, что бы без нее (авторизации) ключ невозможно было считать, если он уже пришел со включенной авторизацией, значит ключ скомпроминтирован и кто-то его уже считал.
viru0
27.07.2018 18:15+2Все это на самом деле пахнет криптой. Дело в том что на многих сервисах обмена в США(и не только) требуют верифицировать личность (многие финансовые регуляторы требуют KYC/AML механизмы).
И подобные механизмы либо реализуются in-house либо отдаютьс 3 сервисам (как например sumsub.com)
Telegram защел на этот рынок только и всегоlorc
28.07.2018 09:32Да. Комментаторы почему-то решили что Телеграм нацелился на рынок СНГ, хотя Дуров неоднократно заявлял обратное. И поэтому пытаются судить из своих реалий. Хотя, нужно смотреть на это с точки зрения жителей западных стран. Там, народ, конечно тоже беспокоится о приватности, но такой паранойи по поводу шаринга фотографии своего ИД у них нет и близко.
unwrecker
28.07.2018 08:46+1Эх, не то… Вот если б они сделали систему идентификации, не завязанную на персональные данные, и не копирующую существующие бумажные документы, и при этом на блокчейне — вот это было бы интересно.
cartmenez
29.07.2018 15:11Единственная компания, которой я бы слил свои доки — «пегий дудочник». Остальным не доверяю.
Afinogen
А где вариант — Я живу в России и нормально не смогу этим сервисом пользоваться? Думаю вряд ли телеграмм будет разворачивать сервера в России для хранения данных пользователей, как того требует закон. Так что у нас он тоже будет под запретом…
Allineer
… у Сбербанка и Госуслуг?
Silvatis
он будет так же «не работать» как и остальной телеграмм: в воображении чиновников.
severgun
Нет ну серьезно? Товарищ майор и так имеет доступ к вашей переписке и спокойно закроет глаза на сервера в Амазоне.
Вам дают возможность официально представиться и заранее заполнить анкету для возбуждения уголовного дела. Пользуйтесь на здоровье.
jazator
Ничего вам не будет, даже если вы свои персональные данные разместите на заборе Белого дома в Вашингтоне. Не трогайте чужих ПД, а со своими делайте что угодно.