Фото: REUTERS/Dado Ruvic

Сегодня Госудма во втором и третьем чтении проголосовала за принятие пакета поправок авторства депутатов Яровой и Озерова. Изменение законодательства, инициированное поправками, имеет далеко идущие последствия для телекоммуникационных компаний, работающих в России. В частности, теперь компании обязаны хранить все данные своих абонентов в течение многих месяцев. Мессенджеры и социальные сети по запросу властей должны предоставлять ключи декодирования к зашифрованной переписке пользователей.

Основатель соцсети «Вконтакте» и мессенджера Telegram Павел Дуров сегодня заявил, что не собирается выполнять это требование. Он сказал, что Telegram не будет выдавать данные или ключи шифрования третьим лицам, включая правительство, пишут «Известия». По его словам законы, которые принимаются в различных странах, никак не повлияют на это решение.

Что касается России, то за отказ от требования властей предоставить ключи декодирования предусмотрен штраф в размере до 1 млн рублей.

Тем не менее, законом не предусмотрено блокирование ресурса, который отказался предоставлять ключи. Об этом говорит независимый юрист Антон Богатов. Кроме того, он считает, что оштрафовать компанию, которая зарегистрирована не в России, практически невозможно. «С ним [с Павлом Дуровым — прим. ред.] будут вяло бороться и говорить, что он «нехороший человек» — и он сам, и Telegram», — заявил юрист.

При желании заблокировать сервис все же можно, но эксперты считают, что этим вряд ли будет кто-то заниматься. К примеру, для блокирования Telegram нужно будет внести в реестр запрещенных сайтов Роскомнадзора IP ресурсов Apple и Google. А именно — каталогов приложений, в которых размещается программа. В этом случае часть приложений на телефонах российских пользователей вообще перестанут работать. Если же потребовать у Apple или Google удалить Telegram из каталогов, корпорации могут просто не послушать власти, и не пойти на такой шаг.

На данный момент вся переписка пользователей Telegram шифруется. Данные хранятся на серверах сервиса только в зашифрованном виде. Есть и возможность прямого вида шифрования. Для включения этой опции пользователю нужно включить режим секретного чата, после чего сообщения будут передаваться между пользователями в зашифрованном виде напрямую, минуя сервер. И в этом случае Telegram не сможет передать расшифрованную переписку пользователей властям даже в том случае, если Павел Дуров все же решит сотрудничать с правоохранителями РФ.
Поделиться с друзьями
-->

Комментарии (183)


  1. vconst
    24.06.2016 19:25
    +1

    Другого ответа и не ждали


  1. mediakotm
    24.06.2016 19:27
    +2

    Вот и молодец!


    1. severgun
      27.06.2016 14:46

      Сказать не значит сделать.
      Чтобы передать ключи или расшифрованную переписку не нужно писать об этом пресс релиз.


    1. Anselm_nn
      28.06.2016 12:39
      -1

      А между прочим whatsapp получше будет. получить старую переписку нельзя в принципе, шифрование на новых клиентов для всех чатов. Я знаю, что в гиктусовках очень моден ТГ, но надо признать, что он ни чем не лучше (функций меньше, безопасность ниже, тем более для неподготовленного пользователя).

      А вообще это очень правильное решение корпораций шифровать все. Тот же гугл способствуя переводу сайтов на https значительно многим жизнь осложнил (включая недобросовестных провайдеров и слишком любопытных майоров).


  1. EvilGenius18
    24.06.2016 19:27
    +11

    Браво роскомнадзору и подобным регуляторам!

    За кратчайшие сроки, подняли IT грамотность населения всей страны в отношении
    — методов криптографии
    — безопасных методов связи
    — способов и инструментов туннелирования
    — видов протоколов связи

    Нет, серьезно, отличная работа, ребят!




    1. Nekto_Habr
      24.06.2016 19:43
      +7

      «Всей страны» — ну, спорно, спорно… Конечно, везде надо искать что-то хорошее. Но сдаётся мне — радоваться рано. И вряд ли можно будет.


    1. ApplejackApple
      24.06.2016 19:56
      +13

      Про всю страну загнули. Большей части страны насрать на безопасные способы связи, вконтакте с одноклассниками работают и ладно. А не будут работать, так что поделать, «жили без ентих интернетов и ничо, нормально жили!»


      1. Urvin
        24.06.2016 22:25
        +2

        Да хосспаде, что за интернеты? Педофилы там одни? Так пусть запрещают и сажают! Мне корову доить, Вась, пойдем, хряпнем!


        1. PapaTramp
          25.06.2016 05:30

          Только непременно радио Радонеж послушать после дойки! О том, как приближается телепортация!


        1. severgun
          27.06.2016 14:49

          Водка без пива — деньги на ветер


    1. Runis
      25.06.2016 13:29
      +1

      Я бы не сказал, что прям всей подняли, но многим уж точно.


      1. severgun
        27.06.2016 14:50

        В своем окружении имею 3х пользователей телеграмма. Ни один ничего не знает о шифровании и обходе блокировок.


        1. EvilGenius18
          27.06.2016 19:04

          Ну если основывать выборку на 3 людях, то да, конечно, же ничего не заметно. Забавно вы измеряете коэффициент изменения — набор полученных данных меньше погрешности в десятки раз. Way to go bro.


        1. Runis
          28.06.2016 14:42

          Если будете им об шифровании и прочем рассказывать, то начните с того, зачем это необходимо, а способы потом перечисляйте.


    1. severgun
      27.06.2016 14:48

      Выйдите на улицу. Там вроде как лето и нет радиоактивных осадков. Нет никакого подъема IT грамотности.
      Баба Валя по прежнему жарит пирожки на кухне.


    1. erebos
      28.06.2016 12:43

      Поздравляю! Вы на Пикабу: pikabu.ru/story/bravo_roskomnadzoru_i_podobnyim_regulyatoram_4295069
      п.с. Великолепный ресурс.


      1. EvilGenius18
        28.06.2016 21:49

        Да уж, сколько же там людей, которые не поняли иронию ситуации :)

        P.S.
        Спасибо за оповещение, не думал, правда, что кто-либо будет комменты перепостить. Ладно перепост космологической статьи, которую обнаружил на десятках сайтах, после публикации на гиктаймс, но чтобы комменты, это что-то новое.


  1. Een_Stemming
    24.06.2016 19:29
    +3

    > Тем не менее, законом не предусмотрено блокирование ресурса, который отказался предоставлять ключи.

    В поправках потом пофиксят.


    1. Tenebrius
      24.06.2016 20:37
      +1

      Зачем фиксить, если штраф можно взымать периодически? Статья дохода, практически…


      1. avost
        24.06.2016 21:17
        +4

        А как взымать? Коллекторов будут посылать? А, ну ну.


        1. Tenebrius
          24.06.2016 21:20
          +1

          Вы только подумайте, сколько рабочих мест это создаст!

          Но вообще, конечно, подобные последние законопроекты совсем не радуют.


        1. Lotos
          25.06.2016 22:59
          +1

          Как взымать? Ха! Это система способна на многое. Помню, как с Готтфрида Свартхольма, основателя The Pirate Bay, Мосгорсуд поставновил взыскать 4000 рублей :)
          Совсем не удивлюсь, если его до сих пор ищут коллекторы, ищет пожарная, ищет милиция, чтобы взыскать эти деньги, плюс пени. А как же?!


      1. ffs
        27.06.2016 11:10

        Стихи, прямо.
        А по поводу штрафа — действительно статья дохода, добавить в закон уточнение о взимании штрафа при каждом обнаружении факта нарушения и стричь хоть каждый день/чаc.


        1. severgun
          27.06.2016 14:52

          И много состригли с зарубежных компаний?


          1. ffs
            27.06.2016 16:25

            Закон в силу вступил разве уже? Я вроде написал про потенциальную возможность.


            1. severgun
              27.06.2016 17:14

              Да я вообще про опыт взимания мзды и по другим законам.


    1. Lindon_cano
      25.06.2016 00:47
      +2

      В каких поправках?
      Пакет принят в последнем чтении, впереди утверждение СФ ФС РФ и подписание государем-императором.


      1. GSG9Bercut
        25.06.2016 11:40
        +1

        Вы что, в первый раз видите, как у нас законы обычно принимаются? Примут хрень неработающую с кучей ошибок и потом в бешеном темпе правят, чтобы хоть как-то могло функционировать.


      1. severgun
        27.06.2016 14:53

        Вы в консультанте откройте любой закон и посмотрите в шапке по сколько правок внесено и когда.


  1. TeraFluk
    24.06.2016 20:09
    -4

    Может в мессенджеры добавят возможность отключения шифрования, тем самым переложив ответственность с организации на пользователя?


    1. sumanai
      24.06.2016 20:22
      +4

      Может не надо?
      Может, лучше законы попросить сменить, а если те, у кого просим, не захотят, сменить их?


      1. TeraFluk
        24.06.2016 22:04
        -1

        Я не правильно выразился, хотел спросить, могут ли мессенджеры таким образом попытаться избежать ответственности.


        1. sumanai
          24.06.2016 22:22
          +6

          А зачем им это? Кого из производителей защищённых мессенджеров интересует какая- то там отсталая тоталитарная страна?


          1. I-denis
            25.06.2016 14:31
            +1

            Простите, а как обстоят дела в штатах с правом гражданина на частную жизнь в период с 09.11?


            1. NLO
              25.06.2016 17:51

              НЛО прилетело и опубликовало эту надпись здесь


              1. Humber
                28.06.2016 12:42

                Ну как бы есть небольшая разница, между тем, что тебе надо хакнуть кого-то, кто живет у тебя на заднем дворе или где-то там, за океаном.


                1. NLO
                  29.06.2016 14:40

                  НЛО прилетело и опубликовало эту надпись здесь


            1. severgun
              27.06.2016 14:59

              Если верить последним разборкам с айфоном террориста… Шифруй сколько влезет, а там ногти в Гуантанамо вырвут и сам расскажешь. А если владелец труп, то договорятся с производителем.


    1. ImKremen
      24.06.2016 21:28
      +2

      Угу. И добавить в УК статью за шифрование переписки гражданами, даже аналоговой, даже алгоритмом цезаря.


  1. hedgeven
    24.06.2016 20:37
    +7

    >> К примеру, для блокирования Telegram нужно будет внести в реестр запрещенных сайтов Роскомнадзора IP ресурсов Apple и Google.
    Разве не достаточно заблокировать серверы telegram?


    1. swelf
      24.06.2016 22:58
      +1

      Обновят клиент, в котором зашиты новые адреса серверов.


      1. YoMan
        25.06.2016 01:42
        +1

        Вроде Дурову россияне как пользователи Телеграма не интересны… Не думаю что начнут заморачиваться.


        1. herr_kaizer
          25.06.2016 10:02
          +1

          В России сидит 10% их аудитории.


          1. servermen
            25.06.2016 10:27
            +9

            Уже начали сажать за Телеграм?


        1. Anakros
          25.06.2016 14:25

          Вывод из отсутствия русека?


  1. Flat_line
    24.06.2016 20:37
    -8

    Паша как всегда — говорит одно а делает другое. Не удивлюсь если он будет сдавать им вместо ключей уже открытый текст, напрямую со своих серверов.


    1. servermen
      24.06.2016 21:16
      +1

      Англичанам — это уж точно.


    1. MurzikFreeman
      25.06.2016 00:48
      +4

      Зря минусуют. Пусть Паша сначала номер телефона требовать отучится, а потом рассказывает как он не отдаёт информацию по первому запросу левой пятки не понятно кого.


      1. Alexey2005
        25.06.2016 00:57
        +3

        Кстати да, номер телефона в текущих реалиях, когда мобильные операторы скомпрометированы — здоровенная дыра в безопасности. Товарищу майору никакой ключ не потребуется, просто зайдут как к себе домой и просмотрят историю.


        1. Lindon_cano
          25.06.2016 01:28
          +3

          1. Используйте пароль, тогда даже перехватив смски они не получат доступа к истории, им придется сбросить полностью аккаунт.
          2. На мобильниках используйте секретные чаты, они привязаны к девайсу и даже если и пароль подобрали их историю не получат.


          1. BigBeaver
            25.06.2016 07:28
            -1

            а физическое изъятие телефона не позволит сменить пароль со всеми вытекающими (или как это работает в телеграме?)


            1. N0Good
              25.06.2016 08:31
              +1

              При включённой двухфакторной авторизации — нет.


              1. vconst
                27.06.2016 12:01
                +1

                <img src="../images/comix.jpg" alt="картинка: бей его этим гаечным ключом за сто рублей, пока не скажет пароль">
                


  1. gene4000
    24.06.2016 20:50
    +15

    Кучка пидорасов просто держат сотню миллионов в заложниках.


    1. exfizik
      24.06.2016 23:36
      +5

      Тут скорее ваша собственная кучка считает, что сотне миллионов есть какое-то дело до законов об Интернете.


      1. Vinchi
        25.06.2016 00:52

        Речь не только об интернете. Речь обо всех ваших разгоровах по сотовому, всех смс, сообщениях, постах, всех следах которые вы оставляете подключаясь к средствам связи. А учитывая, что пока непонятно как с разграничением доступа к этим бэкапам и их безопасностью, то есть вполне реальный риск, что любая информация оттуда может быть использована против кого-угодно из этих миллионов, разного рода мошенниками и госорганами. И никто не будет объяснять что это для защиты от терроризма, скорее для вымогательства, слежки. Вот например смс от сбербанка сообщает сколько у вас денег, сотовый где вы находитесь и ваш режим жизни. Видеокамеры на терминале записывают ваш пинкод. Далее дядя подстерегает вас, тюкает по голове, заибрает карту, идет к банкомату и снимает наличку. И таких сценариев можно придумать сотни. Когда это заработает в 2018ом году будет не смешно, готовьтесь.


      1. gene4000
        25.06.2016 07:48

        А что, они принимают вредительские законы только про интернет?


        1. exfizik
          25.06.2016 08:10

          А про что еще?


          1. General_Failure
            25.06.2016 08:42
            +1

            Про ГМО например


  1. serg65535
    24.06.2016 20:53
    +1

    А мне вот интересно, как они хотя бы в теории собираются реализовывать сей закон? Этим дамам же явно кто-то давал экспертные советы (хотя бы по терминам) человек не мог не понимать, что whatsapp, telegram, imessage — все шифруют трафик и недосягаемы, ни для российских штрафов, ни для блокирования. Смс опсосы и так хранят. Скайп (MS) и так логи хранят и сотрудничают с органами. На кого этот закон направлен и как его собираются реализовывать? Правда интересно.


    1. Meklon
      24.06.2016 21:02
      +1

      Надо же сертифицированные хранилища продавать и места в государственных ЦОД заполнять. РосАтом грозился строить.


      1. serg65535
        24.06.2016 22:14

        А как строительство ЦОДов затронет заграничные мессенджеры?


        1. bARmaleyKA
          24.06.2016 23:27

          Ну как? РосАтом же.
          Понимаю, что связи никакой, кроме атомной)


    1. avost
      24.06.2016 21:28

      Ну, кто давал советы, кто давал советы. Жаров или Ампелонский. А может и сам Никифоров. Понимания им ведь не требуется. Они это из раза в раз демонстрируют в своих некомпетентных высказываниях. Просто к демонизации википедии добавят демонизацию мессенжеров. Им за гавканье приплачивают, вот и нагавкаются от души.


    1. smthgood
      24.06.2016 21:29

      Вероятно что бы был повод заблокировать whatsapp, telegram, imessage, viber под предлогом который устроит обывателей.


    1. ImKremen
      24.06.2016 21:32

      А кому нужны эти бесовские whatsapp, telegram да imessage? Только исконно русские ICQ от Mail.Ru да вконтактик с однокласниками. Как в Китае.


      1. Skycaptain
        28.06.2016 12:41

        icq не то чтобы, особо, исконнорусский


        1. ImKremen
          30.06.2016 13:52

          Это был сарказм


          1. MurzikFreeman
            30.06.2016 17:31

            Сарказм не сарказм, а при регистрации асечки теперь тоже номер телефона вымогают.


    1. vsb
      25.06.2016 13:46
      -1

      С чего вы взяли, что недосягаемы? Отправят запрос в Play Store и AppStore, Telegram оттуда уберут (в лучшем случае только для россиян), вот и всё. Ну и серверы телеграма побанят, конечно.


      1. Lindon_cano
        25.06.2016 14:22

        Отправят запрос в Google и Apple, а те их отправят на хутор бабочек ловить.
        Так будет точней.


        1. vsb
          25.06.2016 15:29

          Значит россияне будут пользоваться Yandex.Store. Но я сомневаюсь, дураков терять такой большой рынок ни в Google, ни в Apple нет.


          1. Lindon_cano
            25.06.2016 16:11

            Вы переоцениваете важность российского рынка. Если Google отказался от китайского, где живет полтора миллиарда человек, то уж от российского с населением РФ в 138 миллионов и подавно откажется спокойно.

            И это не помешает ставить Telegram из других источников. Я уж молчу про то, что помимо официального клиента для Telegram в маркете существует еще пяток альтернативных.


            1. Ilyasyakubov
              25.06.2016 18:26

              google не отказался от китайского рынка, его «отказались»


              1. hokum13
                28.06.2016 12:48

                Отказался в том смысле, что не стал исполнять решение китайского регулятора.


          1. severgun
            27.06.2016 15:08

            Причем тут рынок и гугл? Каталоги приложений региональные. Любое отдельное приложение может быть убрано из выдачи для конкретного региона или при попытке установить будет выдавать «Недоступно для вашего региона.»
            Одно бесплатное приложение это не убытки.


            1. vsb
              27.06.2016 15:15

              При том, что если гугл откажется выполнять законные требования властей, то его просто закроют (в этой стране), возможности для этого есть. И после этого убытки будут, да ещё какие.

              То, что он не откажется, мне очевидно.


        1. severgun
          27.06.2016 15:06

          Нет не отправят. И гугл и аппле хорошо сотрудничают с органами. Убрать приложения из регионального каталога легче легкого. Полно приложений в американском аппсторе которые недоступны в русском.


    1. Pavel_Develop
      28.06.2016 12:41

      У меня ощущение, что они просто читают Хабр и Гиктаймс после принятия каждого закона.


  1. NetBUG
    24.06.2016 20:59
    +2

    Меня серьёзно пугает сам факт принятия законов, исполнение которых технически весьма затруднено.
    И особенно пугает количество законодательной работы, которое понадобится для их нейтрализации.


    1. avost
      24.06.2016 21:43
      +9

      Так понятно, что эти законы не для того, чтобы пресекать нарушения, а для того, чтобы сделать всех преступниками. Прямое воплощение в жизнь принципа — был бы человек, а статья найдётся.


      1. bARmaleyKA
        24.06.2016 23:38

        Похоже на то что затевается какая-то очередная стройка в Сибири за Магаданом. Вот готовят базу для спец контингента строителей. Наверное исконное Православие во льдах вечной мерзоты искать.


  1. imwode
    24.06.2016 21:12
    +2

    А зачем Телеграму вообще возможность доступа к ключам шифрования, если они их не собираются никому передавать?


    1. Anakros
      25.06.2016 14:28
      +1

      Потому что по умолчанию шифрование не end-to-end, а просто с передачей трафика по https и шифрованием этого дела ключом на сервере. Этот ключ у них есть.


    1. trimtomato
      28.06.2016 12:42

      Чтобы можно было без проблем синхронизировать чатики между вашими девайсами. Сообщения синхронизировать то не проблема, но вот как передать новому устройству ключ если его не хранить? я тоже считаю что могли бы уже что-нить и придумать. Хотя о чем говорить если десктопный клиент для винды вообще не поддерживает секретные чаты.
      Но я где-то читал, что сервера с сообщениями и ключи шифрования к этим серверам принадлежат разным компаниям в разных юрисдикциях. Ну типа они стараются.


  1. BelBES
    24.06.2016 21:33

    Хм… а у Telegram достаточно популярности вне России, чтобы вот так лихо забивать на отечественный рынок?


    1. ImKremen
      24.06.2016 21:37
      +1

      Ну у него 100 млн. пользователей, а клиент даже на русский не переведён.


      1. Urvin
        24.06.2016 22:28
        +3

        Как будто там есть, что переводить)


      1. ARkER
        25.06.2016 00:48
        -2

        Там есть русский язык. Пруф: www.youtube.com/watch?v=anoFVOm5WLc


        1. ImKremen
          30.06.2016 13:57

          Его там нет.
          Но можно установить, да.


      1. ViolyZerg
        25.06.2016 00:48
        +4

        Как не переведен? Хм… Проверил, действительно не переведен, я как-то и внимания не обратил.


      1. Anakros
        25.06.2016 14:28

        А зачем?


    1. sumanai
      24.06.2016 21:40
      -2

      Он изначально ориентировался на западный рынок, не понимаю, почему его вообще используют в России.


      1. DistortNeo
        24.06.2016 22:23
        +4

        А что нужно использовать в России?


        1. ViolyZerg
          25.06.2016 00:49
          +3

          Секретную азбуку «Криптобалалайка» и надзирающего наномедведя, который за бутылку водки отдает все ключи. Очередной повод распилить пару миллиардов на разработку.


        1. NLO
          25.06.2016 04:21

          НЛО прилетело и опубликовало эту надпись здесь


          1. ankh1989
            25.06.2016 07:56
            +1

            Это понятно, но более интересный вопрос: что потом делать будете? Ну представьте, что вы стали таким суперменом которого нельзя завалить. Как бы вы организовали имеющееся население, чтобы было не хуже чем в европах всяких? Причём работать всё это должно и без вас (опять же, не забываем, что есть много проходимцев которые только и ждут как прорваться наверх и стащить пару миллиардов).


            1. NLO
              25.06.2016 18:14

              НЛО прилетело и опубликовало эту надпись здесь


              1. ankh1989
                25.06.2016 22:40

                Ну тогда надо ждать пока придумают ИИ и подтянут роботехнику. Когда же это придумают и скажем дорогу на тыщу км сможет построить робот без участия человеков, то обнаружится, что техника такого класса не продаётся. Возникает тот же вопрос: как вы организуете население, чтобы оно смогло сделать такую технику?


                1. NLO
                  26.06.2016 02:26

                  НЛО прилетело и опубликовало эту надпись здесь


                  1. ankh1989
                    26.06.2016 09:24

                    Мм… это весь план?


                    1. NLO
                      27.06.2016 00:36

                      НЛО прилетело и опубликовало эту надпись здесь


                      1. ankh1989
                        27.06.2016 23:54

                        Минусы ставят наверно потому, что читают ваши комментарии и не видят в них ничего конкретного: много буков, запятые вроде на месте и предложения связаны, а смысла вроде как и нет. Мне это напоминает лекции по философии на мехмате: все тоже так сидели и офигевали от всей этой болтологии.


                        Кстати рейтинг в целом обречён на сползание в минус потому что по правилам сайта те у кого нет статей здесь могут ставить минусы, но не плюсы. У меня когда то при разделении хабра было 170-180 плюсов, а осталось 140. Лет через 15 будет вообще 0.


                        Что до темы разговора, то вы, как я сказал, много чего написали, но плана я так и увидел: какие то фантазии про роботов только. Прежде чем строить роботов надо добиться банального разделения трёх веток власти, как то победить коррупцию и т.д. Вот это мне было интересно услышать: как бы вы этого добились.


                        1. NLO
                          29.06.2016 14:44

                          НЛО прилетело и опубликовало эту надпись здесь


        1. sumanai
          25.06.2016 13:41

          Tox, свободный от этих политических игр.


    1. ImKremen
      24.06.2016 21:45

      Вот статистика от J’son & Partners Consulting.
      Грубый расчёт даёт что-то около 10% русской аудитории у Telegram.


    1. RussianNeuroMancer
      24.06.2016 22:13

      100 миллионов активных пользователей, вряд ли существенная часть этой цифры из России. (я должен был нажать кнопку обновления комментариев...)


      1. BelBES
        24.06.2016 23:45

        100 млн. активных пользователей выглядит довольно сомнительно для телеграма… хотя, учитывая, что WhatsApp за тотже срок собрали в ~3.5 раза больше активных пользователей… ну может быть и правда)


        1. Zverienish
          28.06.2016 12:40

          Ничего сомнительного. У меня, живущего в глубокой провинции, и то с десяток людей есть в телеграмме. Так что 100 по миру вполне реальная цифра.


  1. worldmind
    24.06.2016 21:41

    Вспомнилось http://www.vesti.ru/doc.html?id=517089


  1. BiTHacK
    24.06.2016 22:10
    +1

    >после чего сообщения будут передаваться между пользователями в зашифрованном виде напрямую, минуя сервер
    Это вряд ли. Насколько мне известно, сообщения будут идти через сервер.


    1. ivan386
      24.06.2016 23:20

      Ну это можно легко проверить посмотрев на ip на который полетят сообщения. Если это будет ip собеседника то прямо идут.


      1. swelf
        25.06.2016 00:14

        Сейчас минимум конечных девайсов, телефоны, ноутбуки, компьютеры сидят на реальном адресе в интернете, почти все за натом, либо провайдерским, либо за своим роутером, так что напрямую врятли что-то полетит.


        1. ivan386
          25.06.2016 00:23

          Программы уже давно научились открывать порты на роутере в автоматическом режиме.


          1. BiTHacK
            25.06.2016 01:17

            Только на UPnP мессенджеры не могут опираться, оно работает не везде, где должен работать мессенджер.


          1. Mystray
            25.06.2016 02:10
            +1

            Это никак не поможет сотням тысяч пользователей, сидящих за провайдерским натом, и далеко не у всех из этих провайдеров реализован полноценный endpoint independent CGNAT.


            1. ivan386
              25.06.2016 21:16

              Есть ещё UDP hole punching. Ну и для шифованного сообщения в принципе проксиком может быть любой участник сети.


              1. Mystray
                25.06.2016 21:56

                Ему все-же надо этот самый endpoint independent, а у многих тазики на линуксах с обычным iptables -j SNAT, который по факту symmetric.
                А так да, в случае шифрованного сообщения вообще наплевать на транспорт, главное чтоб шифрование было end2end


              1. Vespertilio
                26.06.2016 12:38

                Вроде бы когда-то так работал Skype. И все же я надеюсь что такого нет/не будет, не хотелось бы работать проксиком на мобильном клиенте и тем более в общении каких-нибудь террористов.


    1. Raegdan
      25.06.2016 00:18
      +3

      Они идут через сервер, но при правильной организации OTR это может быть хоть прямо сервер ФСБ — на безопасность это не повлияет. Наверное, это и имелось в виду — сервер «минуется» не в смысле пути трафика, а в смысле его доступа к плейнтексту.


      1. NLO
        25.06.2016 04:24

        НЛО прилетело и опубликовало эту надпись здесь


    1. ealand
      25.06.2016 00:48
      +1

      Вроде бы да, но в шифрованном виде, и сервер теоретически не будет иметь ключа для дешифровки


  1. Necrozyablo
    25.06.2016 00:20

    Дуров молодец. Могу пожелать ему только успехов, а сам буду рекомендовать его мессенджер всем друзьям и знакомым.


  1. kozyabka
    25.06.2016 00:48

    Выходит, что телеграм имеет доступ к ключам шифрования?! Я то думал, ключи знают только клиенты и сервера никакого отношения к этому не имеют. Особо не вникал в то как работает телеграм, но если сервер и правда знает/хранит ключи, то грош цена такому «защищённому» мессенджеру…


    1. Lindon_cano
      25.06.2016 00:55
      +2

      Сообщения идущие в обычных чатах таки имеют ключи для расшифровки, в этом отличие от секретных чатов, которые используют ключи на девайсах и привязаны к ним самим.


    1. severgun
      27.06.2016 15:17

      Чтобы ключей не было у третьих лиц(серверов) тебе нужно с каждым собеседником лично обменяться ключами безопасным способом. Иначе как ты расшифруешь полученное сообщение?


      1. BigBeaver
        27.06.2016 15:21

        для этого есть различные варианты алгоритма Диффи-Хеллмана, например


        1. severgun
          27.06.2016 17:17

          Ну да, разошли всем публичный ключ, чтобы товарищ майор писал тебе письма притворяясь Машей


          1. BigBeaver
            27.06.2016 17:56

            Разумеется, вы правы, но, в целом, установка подлинности адресата и обеспечение закрытости канала — разные задачи. Точно так же товарищ майор может сидеть за машиным компьютером (где уже есть все необходимые ключи), и с этим ничего нельзя сделать средствами протокола.


  1. J_o_k_e_R
    25.06.2016 01:17
    +14

    Пока код серверов не открыт, а сами они не децентрализованы: все шифрования телеграммов, скайпов, ватсапов и прочих виберов — яйца выеденного не стоят. Как только руководству мессенджера станет выгодно\страшно\по_приколу — протоколы будут изменены практически незаметно для пользователя, всем клиентам придется обновиться и потекут пользовательские данные туда, куда владельцам мессенджеров надо.

    Собственно никаких других реальных причин, кроме возможности сливать данные на сторону, не открывать код серверов у мессенджеров нет.

    Поэтому все эти клиентские шифрования, встроенные в протоколы мессенджеров — детские игрушки. Какую-то приватность дает только gpg\otr на клиентах, использующих открытые протоколы на децентрализованных серверах. Из стабильных это только email\xmpp.


    1. bazis13
      25.06.2016 12:39
      -2

      «никаких других реальных причин, кроме возможности сливать данные на сторону, не открывать код серверов у мессенджеров нет.»
      -сейчас, прям возьмут и откроют исходники, чтобы запилили 100500 клонов, вложились в рекламу и выдавили с рынка.

      Послушав вас, большинство так и будет отправлять sms через СОРМ, что скомпрометировано уже давно, в отличии от мессенджеров.
      Линуксовые вырвиглазные клиенты так и будут занимать пол процента, потому что большинству не нужно шифрование. Людям надо чтобы удобно и бесплатно.


      1. J_o_k_e_R
        26.06.2016 14:47
        -1

        Да хоть личными сообщениями в одноклассниках пользуйтесь. Если не нужно шифрование, то зачем Вы комментируете в статье про (не)открытие ключей доступа?


        1. bazis13
          26.06.2016 19:39
          -1

          Мне нужно, но своими заявлениями вы распугиваете людей, которых telegram может приобщить хоть к какой-то безопасности. Tox и jabber они в жизни не поставят, остается сидеть в sms, раз во всех мессенджерах шифрование настолько дырявое.
          Имхо, лучше пусть верят Паше Дурову, который мамой клянется, что всё приватно, чем опсосу, который открыто заявляет, что выдаст личную переписку по просьбе любого заместителя следователя Мухосранска безо всяких решений суда.


    1. Vespertilio
      26.06.2016 12:49

      Разве телеграмм не открыт? Сорцы клиентов лежат на гитхабе. Разве протокол не открыт? Детальные схемы и доки лежат на core.telegram.org. Что мешает написать сервер зная протокол и имея исходники? Как могут протоколы быть изменены незаметно в принципе если офф клиенты компилятся из гитхабовских исходников, если существуют десятки других клиентов. Плюс в Телеграмме есть end-to-end шифрование, в котором кроме как релея сервер не участвует.


      1. J_o_k_e_R
        26.06.2016 14:58
        -1

        Если б он был полностью открыт, там нельзя бы было по желанию Дурова удалять неугодных ботов\каналы.
        Что мешает открыть исходники сервера, если итак уже якобы выложено достаточно? :) Очевидно, что выложено далеко не все.

        Под незаметными изменением протоколов — я имею ввиду, что всем пофигу, что реально под капотом изменений клиентов. Исходники качают «красноглазики», большинство качают бинарниники, setup.exe, next-next-next.

        Вообще, если мы говорим про ключи, которые Дуров вообще может выдать, а такие, судя по всему есть, раз он говорит, что не выдаст, то верить без децентрализованности и открытых серверов мы можем только ему на честное слово.

        Если мы говорим про end-to-end шифрование на клиенте, то при чем тут вообще телеграмм? Опять же otr \ gpg вполне работает как поверх oscar(icq), xmpp(jabber), да хоть тех же личных сообщений одноклассников, ибо end-to-end — абстракция над протоколом передачи сообщений и решается на клиенте вне зависимости от протокола. Поэтому телеграмм тут вообще ни при чем, вопреки тому как его пытаются впиарить.


        1. Vespertilio
          26.06.2016 16:30

          Надо понимать что он все-таки коммерческий продукт, а не детище open source, это для начала. И серверная инфраструктура Телеграмма вполне может не вписываться в setup.exe с открытыми исходниками и вообще не применима для рядовых пользователей. Например жестко завязана на амазон сервисы с распределением всего и вся. В таком случае смысла от сорсов то и не много кроме академического интереса.

          Тем не менее, как я писал выше, сам протокол Телеграмма открыт и даже документирован и в случае надобности думаю не составит труда написать свой сервер. XMPP, за который многие пишут это же тоже просто протокол, а уже серверов под него наклепали все кому не лень, как и клиентов.

          >> Под незаметными изменением протоколов — я имею ввиду, что всем пофигу, что реально под капотом изменений клиентов. Исходники качают «красноглазики», большинство качают бинарниники, setup.exe, next-next-next.

          Большинство именно так и поступают, однако бьют тревогу обычно те же «красноглазики», которые следят за кодом. А на гитхабе легко смотреть все изменения по коммитам. Я на днях сам собирал нативный клиент из исходников.

          End-to-End я привел как крайний случай если нет доверия серверам. Да по сути любой контент в любом протоколе можно зашифровать, я не спорю, просто Телеграмм дает готовые протоколы, инфраструктуру, клиенты и совместимость между ними, хотя тут оговорка, тот же end-to-end работает только в нативных клиентах, а в мультиплатформенном Telegram Desktop нету.


    1. NeuroHunter
      28.06.2016 12:40

      Я, может, что-то путаю или чего-то не понимаю — как при наличии сервера можно говорить о «децентрализации»? Сервер — это же единая точка отказа.


  1. NLO
    25.06.2016 08:51

    НЛО прилетело и опубликовало эту надпись здесь


    1. dbanet
      26.06.2016 15:36

      Всё бы хорошо, осталось дождаться нормального XEP-а.

      То, что есть сейчас — не годится.


  1. Runis
    25.06.2016 13:23
    -2

    Молодец Павел!
    Ребят, может давайте будем делать что нибудь! Ну не знаю, петиции там составлять и подписывать. А то глядишь придёт время, и нас всех террористами будут называть!


  1. SecExpert
    25.06.2016 13:23
    -2

    Извините, не смог пройти мимо :-)

    Telegramm ( и все остальное ), включая секретные чаты, прослушивается и спецслужбами и «специалистами» на раз-два, да и СОРМ — 4 скоро научат автоматически это делать :-)
    Ради справедливости на отметить что да — Телеграмм прослушивается на порядок сложнее, xnj даст отличную защиту Вам от студентов, но сути это не меняет.
    Статья — PR 100%. Но вот цель его — Ваша безопасность ли? Здесь есть вопрос.
    Как известно, 99% компаний такого плана давно приХватизированы спецслужбами «за деньги» или «за так», а бОльшая половина из них и создана ими же для «Вашей же безопасности».

    Я Вам так скажу — единственный безопасный на сегодня вариант, это тот вариант, где Вы лично себе устанавливаете ключи шифрования с независимого носителя, а тот же otr, pgp полезно положить вторым уровнем.


    1. Runis
      25.06.2016 13:31

      Раз так, то какой тогда месседж посоветуете?


      1. SecExpert
        25.06.2016 17:24

        Публичных мессенджеров, обеспечивающих хорошую защиту не существует. Есть частные компании, защита информации которых есть их профиль работы. Ставится специальное ПО на Ваши гаджеты. Вот они могут обеспечить защищенную переписку, разговоры и так далее ( типа westenergy.lt ), используя многуровневые системы шифрования, с установкой Вам ключей с пересылаемых носителей.


        1. Runis
          25.06.2016 17:26
          -1

          Но такие не на массовость, лишь внутри кампании, хотя если в ней сотрудников на несколько миллионов, тогда ещё ладно)


      1. nathanael
        28.06.2016 12:41

        Не говорить о том за что могут привлечь в этой стране, гражданин.


    1. Lindon_cano
      25.06.2016 14:28

      Расскажите мне подробней, как именно спецслужбы из ваших фантазий прослушивают телеграм. Опишите что используется, каким именно образом проводится дешифровка.


    1. lamoss
      25.06.2016 15:42
      +1

      Каким образом прослушивается секретный чат? Если о необходимости прослушать конкретное устройство известно заранее, то да — возможно, вероятность есть, хоть и маленькая и очень сложно реализуемая технически, но после обмена ключами — как?


      1. SecExpert
        25.06.2016 17:27

        Да, Вы правы, уже после обмена ключами — действительно уже очень сложно и маловероятно. Но обычно же ставят не «разработку» заранее.


        1. SecExpert
          25.06.2016 17:35

          Конечно, если не найдено 0day уязвимостей, как это было несколько месяцев назад с SSL и не только, также было месяц назад, смешно признаться, но и с Российским признанным ГОСТ-ом официальным алгоритмом…


          1. VenomBlood
            26.06.2016 05:44
            -1

            Современные объемы памяти вполне позволяют использовать шифр Вернама даже для голосовой речи и передачи файлов, если уж станет так необходимо обеспечить абсолютную невзламываемость канала. Причем технически все это реализовать не трудно. Единственное что остается — 0day на клиентских устройствах, но даже в этом случае, если собеседники намеренно не сохраняли данные на своих устройствах — невозможно восстановить ничего что произошло до момента использования 0day. Но если у вас есть 0day с достаточными привилегиями — тут вообще не важно какие алгоритмы используются.


            1. SecExpert
              26.06.2016 14:02

              Да, вы абсолютно правы. Есть и другие хорошие протоколы, даже правильно доработанный ассиметричный старичек на эллиптических кривых чего стоит. Вот частные компании по обеспечению информационной безопастности и пользуются ими.


        1. lamoss
          25.06.2016 18:49

          В таком случае заранее не узнаешь кто преступник, а когда уже ведут оперативную работу какую-то, то уже понятно над кем её ведут и со всеми, с кем ему нужно было, он ключами уже обменялся.
          То есть в теории можно прослушать, но на практике способ если и применим то в очень редких исключительных случаях


          1. SecExpert
            25.06.2016 19:56
            -1

            Не стоит забывать, есть же СОРМ — запись всего интернет трафика, телефонных разговоров 24/7. Здесь как раз-таки наоборот — можно ответить за то, что сделал, лет 2-10 назад ( все зависит от важности Вашей персоны ). Можно иметь козырей и выложить их в нужный момент, или не выложить вообще.


            1. Lindon_cano
              26.06.2016 13:02
              -1

              Да как же вы надоели со своим СОРМом. Есть СОРМ по которому слушают наземные телефоны, есть СОРМ-2 по которому слушают инет. Ну вот наловите вы моего трафика. У меня весь трафик представляет из себя ssh до одного сервера и все. Что вы там прочитете? «Эксперт» вы наш.


              1. SecExpert
                26.06.2016 13:55

                Да будет Вам известно, что именно 2-ой сорм уже затачивали для логирования интернет трафика, и именно его начинали «вживлять» каждому интернет провайдеру. На сегодня уже 4-ый сорм на подходе.
                Вы считаете, что SSH это панацея? Не будьте наивны.
                А вы знаете какой протокол шифрования использует Ваш SSH? И даже допустим, что у Вас «правильный» будет протокол, то Вы уверены, что первоначальный обмен ключиками, где Вы нажимали «принять» не залогирован?

                P.S. Вот точно так же люди планеты земля думали про SSL, а как оказалось все пароли/кредитки и другие передаваемые данные можно перехватить в любое время.


                1. Lindon_cano
                  26.06.2016 14:34

                  Скажите а вам платят за то, что вы пишите заведомую ложь о всемогуществе карательных органов или вы бесплатный дурак?
                  Давайте договоримся о простом эксперименте. Я записываю tcpdump суток моего юзания интернета и даю его вам. Вы через неделю даете мне извлеченный из него пароль к geektimes. Мы выбираем некоего арбитра, которому я заранее передаю этот пароль, что бы я не мог вас обманут и сказать, что вы предоставили неверный пароль, если пароль будет верным.
                  Если вы это сделаете, то я перевожу на ваш счет $1000, если вы этого сделать не сможете, то вы переводите на мой счет $1000.
                  Согласны?


                  1. SecExpert
                    26.06.2016 18:52

                    Да уж, сразу видно — молодо-зелено. За тысячу долларов Вы даже пароль на мыльник, насквозь проросший xss не купите. Дискутировать на эту тему в данном русле даже не собираюсь.
                    Искренне желаю, чтобы потом Вы не «кусали себя за локти», поражаясь всемогуществом «карательных органов».


                    1. Lindon_cano
                      26.06.2016 18:59

                      Дитятко, я занимаюсь информационной безопасностью 16 лет. А вы только комменты тут строчите.
                      Давайте поднимем сумму до $50000, мне терять нечего, а вот вам есть чего, потому что вы пишите заведомую чушь.


                1. sumanai
                  26.06.2016 23:38

                  Вы уверены, что первоначальный обмен ключиками, где Вы нажимали «принять» не залогирован?

                  Почитайте про асимметричные алгоритмы. Открытый ключ можно слать хоть сразу главе ФСБ, это им никак не поможет.


            1. lamoss
              26.06.2016 16:44

              Зачем нужен пункт в пакете Яровой в который входит обязательство операторов хранить все записи, если СОРМ и так хранит все записи телефонных разговоров?


        1. bARmaleyKA
          25.06.2016 23:48

          Если человек на карандаше, то, так сказать, бытовое шифрование не шибко и поможет, а тем более в плотной разработке. Как бы не поносили тихушников, но у них есть отработанные десятилетиями методики, аппаратура, власть и человеческие ресурсы (сексоты).
          Помню, в своих статьях Бёрд Киви приводил примеры с конференций, когда закрытый трафик вскрывали по таким маркерам, как применение жаргонизмов в речи. Так же стоит помнить что у НИХ есть доступ к метаданным, обработка которых может многое поведать о клиенте.


    1. dobergroup
      28.06.2016 12:41

      >> прослушивается и спецслужбами и «специалистами» на раз-два

      У Вас есть какая-то аргументация или это просто мнение?

      >> Как известно, 99% компаний такого плана давно приХватизированы спецслужбами «за деньги» или «за так», а бОльшая половина из них и создана ими же для «Вашей же безопасности».

      Такого плана — это какого? Мессенджеры? Игроки ИнфоСек?
      Конкретно Телеграм — какой конкретно организацией контролируется?


      1. SecExpert
        28.06.2016 12:55

        Нет, именно мессенджеры, которые заявляют о безопасности.
        По поводу конкретно приХватизирования Телеграм — просто мнение, а вот по поводу прослушки мессенджеров — это однозначно и 100%.


  1. Dementor
    25.06.2016 16:56

    Т.е. по первому требованию властей Ирана были удалены неугодные боты и смайлики, а с властями России телеграмщики из принципа не будут общаться?

    А как же реклама и прочие методы монетизации, о введении которых недавно говорил Дуров? Или все сервера и линии коммуникации будут оплачиваться исключительно добровольными пожертвованиями как Википедия? Вариант, что Телеграмм создан и спонсируеться правительством США для шпионажа за доверчивыми россиянами мы конечно не рассматриваем…


    1. Lindon_cano
      25.06.2016 17:11
      -2

      Те кого вы называете «власти России» требуют нарушить Конституцию РФ.

      Статья 23

      2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

      И при чем требуют от тех, кто не находится вообще в их юрисдикции. Дуров, у которого эти же люди уже отжали один раз бизнес и который создал новый, сказал, что он не пойдет на фактическое преступление. Вы возмущаетесь.


      1. SecExpert
        25.06.2016 17:40
        +1

        И еще плюшка для размышлений — официально оказывать услуги по шифрованию и защите информации с использование своих алгоритмов ( не ГОСТ ) в России запрещено… ну не только, конечно, в России


  1. mediagenia
    25.06.2016 23:34
    -2

    Коллеги из РФ, дело идёт к выборам. Хочу обратить ваше внимание, что партии КПРФ и ЛДПР проголосовали в 3-ем чтении против:
    http://vote.duma.gov.ru/vote/95967
    Есть предложение сделать из этого выводы.


    1. ankh1989
      26.06.2016 06:23

      Какие именно выводы?


      1. DanielKOcean
        28.06.2016 12:43

        Ну как, какие? Размазать голоса по этим двум партиям, и того вместо результата «Пу»-49%, «Кто-то второй»-51, получаем «Пу»-49, ЛДПР-20, КПРФ-20, «Остальная шушера»-11%.


    1. bARmaleyKA
      26.06.2016 16:46

      А давайте никого не будем выбирать и старых тоже пошлём подальше. Так сказать, поживём немного раздельно. Для себя.


      1. mediagenia
        26.06.2016 17:31

        Так не получится. А вот консолидировать и дать решающий голос тем, кто будет самые одиозные законопроекты проводить — можно


    1. ilyuxa
      27.06.2016 11:14

      Хочу обратить ваше внимание, что партии КПРФ и ЛДПР — это та же ЕР, только в профиль. Они абсолютно ручные и голосуют, как им скажет начальство из ЕР.


      1. mediagenia
        27.06.2016 11:25

        И всё-таки, тут они голосовали против. Есть ещё вариант с «платформой» и «ростом», но я боюсь что их голоса при самых лучших раскладах не будут иметь никакого значения ещё очень и очень долго.


  1. hp6812er
    28.06.2016 12:38

    Задумка то чисто коммерческая. Придется отыграть кучу конкурсов и тендеров на поставку операторам связи и иже с ними «отечественного» по и железа. Свои люди уже наверняка в теме. Для того что бы «контролировать» колоссальный объем данных нужно будет увеличить штат компетентных органов, а это должности, звания, шире дыра в бюджете. Зато иллюзия контроля на лицо.
    И как этот закон бьётся хотя бы с этим?
    geektimes.ru/post/251202


  1. swarggg
    28.06.2016 12:39

    Не собирается он-то не собирается… но и VK он не собирался продавать. Посмотрим выстоит ли на этот раз.


    1. Lindon_cano
      28.06.2016 15:12

      VK у него был в РФ и сам он был в РФ. Сейчас он находится за территорией РФ и никто не сможет захватить его в заложники с целью захвата бизнеса.


  1. w0call
    28.06.2016 12:39

    Ставим Wickr me и наслаждаемся анонимонстью. есть на яблоке андроиде и много где еще. Номер телефона не просит. Сообщения удаляет через сутки с телефона. Фото видео тоже передает.


  1. mantyr
    28.06.2016 12:41

    С кем бы не говорил в обычной жизни об этих поправках — все вяло спрашивали «о чём речь» и «что за Яровая»? А когда узнавали — не имели собственного мнения на этот счёт. Так что, кажется, это интересует только айтишников и то далеко не всех.


  1. MorivVV
    28.06.2016 12:46

    А скоро нельзя будет шептаться на ухо. Попробуй только секретничать, сразу под суд. Все разговоры только в присутствии записывающих устройств.
    Именно к этому все и ведет.


    1. sumanai
      28.06.2016 16:12

      Все разговоры только в присутствии записывающих устройств.

      Кроме разговоров в кабинетах чиновников, там записывающие устройства запрещены уже сейчас. А то им неудобно взятки брать.


  1. SamoilowAlex
    28.06.2016 12:47

    А давайте называть новости своими именами? «Павел Дуров вслед на Эппл освоил технику криптопиара своего поделья». В статье написана полнейшая чушь. Создатель полузакрытого протокола просит поверить, что не будет сливать данных, кончено пока не случится первого слива никто и не узнает сливал он потихому до этого или нет. Про удаления из магазинов приложений вообще маркетинговый буллшит, всегда можно разместить прямые ссылки на приложения(да пользователи ios без jailbreak в прилета, но ССЗБ) у себя на сайте, не говоря уже про наличие десктопных клиентов. Действенный способ заблокировать — убедить операторов связи не пропускать короткие сообщения от его сервиса на телефоны пользователей, может хоть тогда он осознает на сколько тупая эта идея и уберет привязку к телефону.


    1. SecExpert
      02.07.2016 18:27

      +100500, только я бы не назвал алгоритм даже полузакрытым.


  1. pit_art
    28.06.2016 12:48

    Я бы вполне допустил использование нашими спецслужбами следующей тактики:

    1. Выставляем на всеобщее обозрение некую подсадную личность, прилюдно вступаем с ней в конфронтацию. Причина — отказ этой личности предоставлять информацию.
    2. «Добиваемся» увольнения фигуры с должности. Одна из причин увольнения — конфликт со спецслужбами.
    3. Наша «Опальная личность» убегает из страны, попутно изрыгая хулу в сторону спецслужб, и конечно же, в своем новом проекте, ГАРАНТИРУЕТ сохранность любых данных от плохих дядек. Все, естественно верят и сопереживают.
    4. profit

    Я сейчас не говорю что Дуров плохой, просто фантазирую.