Фото: REUTERS/Dado Ruvic
Сегодня Госудма во втором и третьем чтении проголосовала за принятие пакета поправок авторства депутатов Яровой и Озерова. Изменение законодательства, инициированное поправками, имеет далеко идущие последствия для телекоммуникационных компаний, работающих в России. В частности, теперь компании обязаны хранить все данные своих абонентов в течение многих месяцев. Мессенджеры и социальные сети по запросу властей должны предоставлять ключи декодирования к зашифрованной переписке пользователей.
Основатель соцсети «Вконтакте» и мессенджера Telegram Павел Дуров сегодня заявил, что не собирается выполнять это требование. Он сказал, что Telegram не будет выдавать данные или ключи шифрования третьим лицам, включая правительство, пишут «Известия». По его словам законы, которые принимаются в различных странах, никак не повлияют на это решение.
Что касается России, то за отказ от требования властей предоставить ключи декодирования предусмотрен штраф в размере до 1 млн рублей.
Тем не менее, законом не предусмотрено блокирование ресурса, который отказался предоставлять ключи. Об этом говорит независимый юрист Антон Богатов. Кроме того, он считает, что оштрафовать компанию, которая зарегистрирована не в России, практически невозможно. «С ним [с Павлом Дуровым — прим. ред.] будут вяло бороться и говорить, что он «нехороший человек» — и он сам, и Telegram», — заявил юрист.
При желании заблокировать сервис все же можно, но эксперты считают, что этим вряд ли будет кто-то заниматься. К примеру, для блокирования Telegram нужно будет внести в реестр запрещенных сайтов Роскомнадзора IP ресурсов Apple и Google. А именно — каталогов приложений, в которых размещается программа. В этом случае часть приложений на телефонах российских пользователей вообще перестанут работать. Если же потребовать у Apple или Google удалить Telegram из каталогов, корпорации могут просто не послушать власти, и не пойти на такой шаг.
На данный момент вся переписка пользователей Telegram шифруется. Данные хранятся на серверах сервиса только в зашифрованном виде. Есть и возможность прямого вида шифрования. Для включения этой опции пользователю нужно включить режим секретного чата, после чего сообщения будут передаваться между пользователями в зашифрованном виде напрямую, минуя сервер. И в этом случае Telegram не сможет передать расшифрованную переписку пользователей властям даже в том случае, если Павел Дуров все же решит сотрудничать с правоохранителями РФ.
Комментарии (183)
mediakotm
24.06.2016 19:27+2Вот и молодец!
severgun
27.06.2016 14:46Сказать не значит сделать.
Чтобы передать ключи или расшифрованную переписку не нужно писать об этом пресс релиз.
Anselm_nn
28.06.2016 12:39-1А между прочим whatsapp получше будет. получить старую переписку нельзя в принципе, шифрование на новых клиентов для всех чатов. Я знаю, что в гиктусовках очень моден ТГ, но надо признать, что он ни чем не лучше (функций меньше, безопасность ниже, тем более для неподготовленного пользователя).
А вообще это очень правильное решение корпораций шифровать все. Тот же гугл способствуя переводу сайтов на https значительно многим жизнь осложнил (включая недобросовестных провайдеров и слишком любопытных майоров).
EvilGenius18
24.06.2016 19:27+11Браво роскомнадзору и подобным регуляторам!
За кратчайшие сроки, подняли IT грамотность населения всей страны в отношении
— методов криптографии
— безопасных методов связи
— способов и инструментов туннелирования
— видов протоколов связи
Нет, серьезно, отличная работа, ребят!
Nekto_Habr
24.06.2016 19:43+7«Всей страны» — ну, спорно, спорно… Конечно, везде надо искать что-то хорошее. Но сдаётся мне — радоваться рано. И вряд ли можно будет.
ApplejackApple
24.06.2016 19:56+13Про всю страну загнули. Большей части страны насрать на безопасные способы связи, вконтакте с одноклассниками работают и ладно. А не будут работать, так что поделать, «жили без ентих интернетов и ничо, нормально жили!»
Runis
25.06.2016 13:29+1Я бы не сказал, что прям всей подняли, но многим уж точно.
severgun
27.06.2016 14:50В своем окружении имею 3х пользователей телеграмма. Ни один ничего не знает о шифровании и обходе блокировок.
EvilGenius18
27.06.2016 19:04Ну если основывать выборку на 3 людях, то да, конечно, же ничего не заметно. Забавно вы измеряете коэффициент изменения — набор полученных данных меньше погрешности в десятки раз. Way to go bro.
Runis
28.06.2016 14:42Если будете им об шифровании и прочем рассказывать, то начните с того, зачем это необходимо, а способы потом перечисляйте.
severgun
27.06.2016 14:48Выйдите на улицу. Там вроде как лето и нет радиоактивных осадков. Нет никакого подъема IT грамотности.
Баба Валя по прежнему жарит пирожки на кухне.
erebos
28.06.2016 12:43Поздравляю! Вы на Пикабу: pikabu.ru/story/bravo_roskomnadzoru_i_podobnyim_regulyatoram_4295069
п.с. Великолепный ресурс.EvilGenius18
28.06.2016 21:49Да уж, сколько же там людей, которые не поняли иронию ситуации :)
P.S.
Спасибо за оповещение, не думал, правда, что кто-либо будет комменты перепостить. Ладно перепост космологической статьи, которую обнаружил на десятках сайтах, после публикации на гиктаймс, но чтобы комменты, это что-то новое.
Een_Stemming
24.06.2016 19:29+3> Тем не менее, законом не предусмотрено блокирование ресурса, который отказался предоставлять ключи.
В поправках потом пофиксят.Tenebrius
24.06.2016 20:37+1Зачем фиксить, если штраф можно взымать периодически? Статья дохода, практически…
avost
24.06.2016 21:17+4А как взымать? Коллекторов будут посылать? А, ну ну.
Tenebrius
24.06.2016 21:20+1Вы только подумайте, сколько рабочих мест это создаст!
Но вообще, конечно, подобные последние законопроекты совсем не радуют.
Lotos
25.06.2016 22:59+1Как взымать? Ха! Это система способна на многое. Помню, как с Готтфрида Свартхольма, основателя The Pirate Bay, Мосгорсуд поставновил взыскать 4000 рублей :)
Совсем не удивлюсь, если его до сих пор ищут коллекторы,ищет пожарная, ищет милиция, чтобы взыскать эти деньги, плюс пени. А как же?!
ffs
27.06.2016 11:10Стихи, прямо.
А по поводу штрафа — действительно статья дохода, добавить в закон уточнение о взимании штрафа при каждом обнаружении факта нарушения и стричь хоть каждый день/чаc.
Lindon_cano
25.06.2016 00:47+2В каких поправках?
Пакет принят в последнем чтении, впереди утверждение СФ ФС РФ и подписание государем-императором.GSG9Bercut
25.06.2016 11:40+1Вы что, в первый раз видите, как у нас законы обычно принимаются? Примут хрень неработающую с кучей ошибок и потом в бешеном темпе правят, чтобы хоть как-то могло функционировать.
severgun
27.06.2016 14:53Вы в консультанте откройте любой закон и посмотрите в шапке по сколько правок внесено и когда.
TeraFluk
24.06.2016 20:09-4Может в мессенджеры добавят возможность отключения шифрования, тем самым переложив ответственность с организации на пользователя?
sumanai
24.06.2016 20:22+4Может не надо?
Может, лучше законы попросить сменить, а если те, у кого просим, не захотят, сменить их?TeraFluk
24.06.2016 22:04-1Я не правильно выразился, хотел спросить, могут ли мессенджеры таким образом попытаться избежать ответственности.
sumanai
24.06.2016 22:22+6А зачем им это? Кого из производителей защищённых мессенджеров интересует какая- то там отсталая тоталитарная страна?
I-denis
25.06.2016 14:31+1Простите, а как обстоят дела в штатах с правом гражданина на частную жизнь в период с 09.11?
severgun
27.06.2016 14:59Если верить последним разборкам с айфоном террориста… Шифруй сколько влезет, а там ногти в Гуантанамо вырвут и сам расскажешь. А если владелец труп, то договорятся с производителем.
ImKremen
24.06.2016 21:28+2Угу. И добавить в УК статью за шифрование переписки гражданами, даже аналоговой, даже алгоритмом цезаря.
hedgeven
24.06.2016 20:37+7>> К примеру, для блокирования Telegram нужно будет внести в реестр запрещенных сайтов Роскомнадзора IP ресурсов Apple и Google.
Разве не достаточно заблокировать серверы telegram?
Flat_line
24.06.2016 20:37-8Паша как всегда — говорит одно а делает другое. Не удивлюсь если он будет сдавать им вместо ключей уже открытый текст, напрямую со своих серверов.
MurzikFreeman
25.06.2016 00:48+4Зря минусуют. Пусть Паша сначала номер телефона требовать отучится, а потом рассказывает как он не отдаёт информацию по первому запросу левой пятки не понятно кого.
Alexey2005
25.06.2016 00:57+3Кстати да, номер телефона в текущих реалиях, когда мобильные операторы скомпрометированы — здоровенная дыра в безопасности. Товарищу майору никакой ключ не потребуется, просто зайдут как к себе домой и просмотрят историю.
Lindon_cano
25.06.2016 01:28+31. Используйте пароль, тогда даже перехватив смски они не получат доступа к истории, им придется сбросить полностью аккаунт.
2. На мобильниках используйте секретные чаты, они привязаны к девайсу и даже если и пароль подобрали их историю не получат.BigBeaver
25.06.2016 07:28-1а физическое изъятие телефона не позволит сменить пароль со всеми вытекающими (или как это работает в телеграме?)
gene4000
24.06.2016 20:50+15Кучка пидорасов просто держат сотню миллионов в заложниках.
exfizik
24.06.2016 23:36+5Тут скорее ваша собственная кучка считает, что сотне миллионов есть какое-то дело до законов об Интернете.
Vinchi
25.06.2016 00:52Речь не только об интернете. Речь обо всех ваших разгоровах по сотовому, всех смс, сообщениях, постах, всех следах которые вы оставляете подключаясь к средствам связи. А учитывая, что пока непонятно как с разграничением доступа к этим бэкапам и их безопасностью, то есть вполне реальный риск, что любая информация оттуда может быть использована против кого-угодно из этих миллионов, разного рода мошенниками и госорганами. И никто не будет объяснять что это для защиты от терроризма, скорее для вымогательства, слежки. Вот например смс от сбербанка сообщает сколько у вас денег, сотовый где вы находитесь и ваш режим жизни. Видеокамеры на терминале записывают ваш пинкод. Далее дядя подстерегает вас, тюкает по голове, заибрает карту, идет к банкомату и снимает наличку. И таких сценариев можно придумать сотни. Когда это заработает в 2018ом году будет не смешно, готовьтесь.
serg65535
24.06.2016 20:53+1А мне вот интересно, как они хотя бы в теории собираются реализовывать сей закон? Этим дамам же явно кто-то давал экспертные советы (хотя бы по терминам) человек не мог не понимать, что whatsapp, telegram, imessage — все шифруют трафик и недосягаемы, ни для российских штрафов, ни для блокирования. Смс опсосы и так хранят. Скайп (MS) и так логи хранят и сотрудничают с органами. На кого этот закон направлен и как его собираются реализовывать? Правда интересно.
avost
24.06.2016 21:28Ну, кто давал советы, кто давал советы. Жаров или Ампелонский. А может и сам Никифоров. Понимания им ведь не требуется. Они это из раза в раз демонстрируют в своих некомпетентных высказываниях. Просто к демонизации википедии добавят демонизацию мессенжеров. Им за гавканье приплачивают, вот и нагавкаются от души.
smthgood
24.06.2016 21:29Вероятно что бы был повод заблокировать whatsapp, telegram, imessage, viber под предлогом который устроит обывателей.
ImKremen
24.06.2016 21:32А кому нужны эти бесовские whatsapp, telegram да imessage? Только исконно русские ICQ от Mail.Ru да вконтактик с однокласниками. Как в Китае.
Skycaptain
28.06.2016 12:41icq не то чтобы, особо, исконнорусский
ImKremen
30.06.2016 13:52Это был сарказм
MurzikFreeman
30.06.2016 17:31Сарказм не сарказм, а при регистрации асечки теперь тоже номер телефона вымогают.
vsb
25.06.2016 13:46-1С чего вы взяли, что недосягаемы? Отправят запрос в Play Store и AppStore, Telegram оттуда уберут (в лучшем случае только для россиян), вот и всё. Ну и серверы телеграма побанят, конечно.
Lindon_cano
25.06.2016 14:22Отправят запрос в Google и Apple, а те их отправят на хутор бабочек ловить.
Так будет точней.vsb
25.06.2016 15:29Значит россияне будут пользоваться Yandex.Store. Но я сомневаюсь, дураков терять такой большой рынок ни в Google, ни в Apple нет.
Lindon_cano
25.06.2016 16:11Вы переоцениваете важность российского рынка. Если Google отказался от китайского, где живет полтора миллиарда человек, то уж от российского с населением РФ в 138 миллионов и подавно откажется спокойно.
И это не помешает ставить Telegram из других источников. Я уж молчу про то, что помимо официального клиента для Telegram в маркете существует еще пяток альтернативных.
severgun
27.06.2016 15:08Причем тут рынок и гугл? Каталоги приложений региональные. Любое отдельное приложение может быть убрано из выдачи для конкретного региона или при попытке установить будет выдавать «Недоступно для вашего региона.»
Одно бесплатное приложение это не убытки.vsb
27.06.2016 15:15При том, что если гугл откажется выполнять законные требования властей, то его просто закроют (в этой стране), возможности для этого есть. И после этого убытки будут, да ещё какие.
То, что он не откажется, мне очевидно.
severgun
27.06.2016 15:06Нет не отправят. И гугл и аппле хорошо сотрудничают с органами. Убрать приложения из регионального каталога легче легкого. Полно приложений в американском аппсторе которые недоступны в русском.
Pavel_Develop
28.06.2016 12:41У меня ощущение, что они просто читают Хабр и Гиктаймс после принятия каждого закона.
NetBUG
24.06.2016 20:59+2Меня серьёзно пугает сам факт принятия законов, исполнение которых технически весьма затруднено.
И особенно пугает количество законодательной работы, которое понадобится для их нейтрализации.avost
24.06.2016 21:43+9Так понятно, что эти законы не для того, чтобы пресекать нарушения, а для того, чтобы сделать всех преступниками. Прямое воплощение в жизнь принципа — был бы человек, а статья найдётся.
bARmaleyKA
24.06.2016 23:38Похоже на то что затевается какая-то очередная стройка в Сибири за Магаданом. Вот готовят базу для спец контингента строителей. Наверное исконное Православие во льдах вечной мерзоты искать.
imwode
24.06.2016 21:12+2А зачем Телеграму вообще возможность доступа к ключам шифрования, если они их не собираются никому передавать?
Anakros
25.06.2016 14:28+1Потому что по умолчанию шифрование не end-to-end, а просто с передачей трафика по https и шифрованием этого дела ключом на сервере. Этот ключ у них есть.
trimtomato
28.06.2016 12:42Чтобы можно было без проблем синхронизировать чатики между вашими девайсами. Сообщения синхронизировать то не проблема, но вот как передать новому устройству ключ если его не хранить? я тоже считаю что могли бы уже что-нить и придумать. Хотя о чем говорить если десктопный клиент для винды вообще не поддерживает секретные чаты.
Но я где-то читал, что сервера с сообщениями и ключи шифрования к этим серверам принадлежат разным компаниям в разных юрисдикциях. Ну типа они стараются.
BelBES
24.06.2016 21:33Хм… а у Telegram достаточно популярности вне России, чтобы вот так лихо забивать на отечественный рынок?
ImKremen
24.06.2016 21:37+1Ну у него 100 млн. пользователей, а клиент даже на русский не переведён.
ViolyZerg
25.06.2016 00:48+4Как не переведен? Хм… Проверил, действительно не переведен, я как-то и внимания не обратил.
sumanai
24.06.2016 21:40-2Он изначально ориентировался на западный рынок, не понимаю, почему его вообще используют в России.
DistortNeo
24.06.2016 22:23+4А что нужно использовать в России?
ViolyZerg
25.06.2016 00:49+3Секретную азбуку «Криптобалалайка» и надзирающего наномедведя, который за бутылку водки отдает все ключи. Очередной повод распилить пару миллиардов на разработку.
NLO
25.06.2016 04:21НЛО прилетело и опубликовало эту надпись здесь
ankh1989
25.06.2016 07:56+1Это понятно, но более интересный вопрос: что потом делать будете? Ну представьте, что вы стали таким суперменом которого нельзя завалить. Как бы вы организовали имеющееся население, чтобы было не хуже чем в европах всяких? Причём работать всё это должно и без вас (опять же, не забываем, что есть много проходимцев которые только и ждут как прорваться наверх и стащить пару миллиардов).
NLO
25.06.2016 18:14НЛО прилетело и опубликовало эту надпись здесь
ankh1989
25.06.2016 22:40Ну тогда надо ждать пока придумают ИИ и подтянут роботехнику. Когда же это придумают и скажем дорогу на тыщу км сможет построить робот без участия человеков, то обнаружится, что техника такого класса не продаётся. Возникает тот же вопрос: как вы организуете население, чтобы оно смогло сделать такую технику?
NLO
26.06.2016 02:26НЛО прилетело и опубликовало эту надпись здесь
ankh1989
26.06.2016 09:24Мм… это весь план?
NLO
27.06.2016 00:36НЛО прилетело и опубликовало эту надпись здесь
ankh1989
27.06.2016 23:54Минусы ставят наверно потому, что читают ваши комментарии и не видят в них ничего конкретного: много буков, запятые вроде на месте и предложения связаны, а смысла вроде как и нет. Мне это напоминает лекции по философии на мехмате: все тоже так сидели и офигевали от всей этой болтологии.
Кстати рейтинг в целом обречён на сползание в минус потому что по правилам сайта те у кого нет статей здесь могут ставить минусы, но не плюсы. У меня когда то при разделении хабра было 170-180 плюсов, а осталось 140. Лет через 15 будет вообще 0.
Что до темы разговора, то вы, как я сказал, много чего написали, но плана я так и увидел: какие то фантазии про роботов только. Прежде чем строить роботов надо добиться банального разделения трёх веток власти, как то победить коррупцию и т.д. Вот это мне было интересно услышать: как бы вы этого добились.
ImKremen
24.06.2016 21:45Вот статистика от J’son & Partners Consulting.
Грубый расчёт даёт что-то около 10% русской аудитории у Telegram.
RussianNeuroMancer
24.06.2016 22:13100 миллионов активных пользователей, вряд ли существенная часть этой цифры из России. (я должен был нажать кнопку обновления комментариев...)
BelBES
24.06.2016 23:45100 млн. активных пользователей выглядит довольно сомнительно для телеграма… хотя, учитывая, что WhatsApp за тотже срок собрали в ~3.5 раза больше активных пользователей… ну может быть и правда)
Zverienish
28.06.2016 12:40Ничего сомнительного. У меня, живущего в глубокой провинции, и то с десяток людей есть в телеграмме. Так что 100 по миру вполне реальная цифра.
BiTHacK
24.06.2016 22:10+1>после чего сообщения будут передаваться между пользователями в зашифрованном виде напрямую, минуя сервер
Это вряд ли. Насколько мне известно, сообщения будут идти через сервер.ivan386
24.06.2016 23:20Ну это можно легко проверить посмотрев на ip на который полетят сообщения. Если это будет ip собеседника то прямо идут.
swelf
25.06.2016 00:14Сейчас минимум конечных девайсов, телефоны, ноутбуки, компьютеры сидят на реальном адресе в интернете, почти все за натом, либо провайдерским, либо за своим роутером, так что напрямую врятли что-то полетит.
ivan386
25.06.2016 00:23Программы уже давно научились открывать порты на роутере в автоматическом режиме.
BiTHacK
25.06.2016 01:17Только на UPnP мессенджеры не могут опираться, оно работает не везде, где должен работать мессенджер.
Mystray
25.06.2016 02:10+1Это никак не поможет сотням тысяч пользователей, сидящих за провайдерским натом, и далеко не у всех из этих провайдеров реализован полноценный endpoint independent CGNAT.
ivan386
25.06.2016 21:16Есть ещё UDP hole punching. Ну и для шифованного сообщения в принципе проксиком может быть любой участник сети.
Mystray
25.06.2016 21:56Ему все-же надо этот самый endpoint independent, а у многих тазики на линуксах с обычным iptables -j SNAT, который по факту symmetric.
А так да, в случае шифрованного сообщения вообще наплевать на транспорт, главное чтоб шифрование было end2end
Vespertilio
26.06.2016 12:38Вроде бы когда-то так работал Skype. И все же я надеюсь что такого нет/не будет, не хотелось бы работать проксиком на мобильном клиенте и тем более в общении каких-нибудь террористов.
Raegdan
25.06.2016 00:18+3Они идут через сервер, но при правильной организации OTR это может быть хоть прямо сервер ФСБ — на безопасность это не повлияет. Наверное, это и имелось в виду — сервер «минуется» не в смысле пути трафика, а в смысле его доступа к плейнтексту.
ealand
25.06.2016 00:48+1Вроде бы да, но в шифрованном виде, и сервер теоретически не будет иметь ключа для дешифровки
Necrozyablo
25.06.2016 00:20Дуров молодец. Могу пожелать ему только успехов, а сам буду рекомендовать его мессенджер всем друзьям и знакомым.
kozyabka
25.06.2016 00:48Выходит, что телеграм имеет доступ к ключам шифрования?! Я то думал, ключи знают только клиенты и сервера никакого отношения к этому не имеют. Особо не вникал в то как работает телеграм, но если сервер и правда знает/хранит ключи, то грош цена такому «защищённому» мессенджеру…
Lindon_cano
25.06.2016 00:55+2Сообщения идущие в обычных чатах таки имеют ключи для расшифровки, в этом отличие от секретных чатов, которые используют ключи на девайсах и привязаны к ним самим.
severgun
27.06.2016 15:17Чтобы ключей не было у третьих лиц(серверов) тебе нужно с каждым собеседником лично обменяться ключами безопасным способом. Иначе как ты расшифруешь полученное сообщение?
BigBeaver
27.06.2016 15:21для этого есть различные варианты алгоритма Диффи-Хеллмана, например
severgun
27.06.2016 17:17Ну да, разошли всем публичный ключ, чтобы товарищ майор писал тебе письма притворяясь Машей
BigBeaver
27.06.2016 17:56Разумеется, вы правы, но, в целом, установка подлинности адресата и обеспечение закрытости канала — разные задачи. Точно так же товарищ майор может сидеть за машиным компьютером (где уже есть все необходимые ключи), и с этим ничего нельзя сделать средствами протокола.
J_o_k_e_R
25.06.2016 01:17+14Пока код серверов не открыт, а сами они не децентрализованы: все шифрования телеграммов, скайпов, ватсапов и прочих виберов — яйца выеденного не стоят. Как только руководству мессенджера станет выгодно\страшно\по_приколу — протоколы будут изменены практически незаметно для пользователя, всем клиентам придется обновиться и потекут пользовательские данные туда, куда владельцам мессенджеров надо.
Собственно никаких других реальных причин, кроме возможности сливать данные на сторону, не открывать код серверов у мессенджеров нет.
Поэтому все эти клиентские шифрования, встроенные в протоколы мессенджеров — детские игрушки. Какую-то приватность дает только gpg\otr на клиентах, использующих открытые протоколы на децентрализованных серверах. Из стабильных это только email\xmpp.bazis13
25.06.2016 12:39-2«никаких других реальных причин, кроме возможности сливать данные на сторону, не открывать код серверов у мессенджеров нет.»
-сейчас, прям возьмут и откроют исходники, чтобы запилили 100500 клонов, вложились в рекламу и выдавили с рынка.
Послушав вас, большинство так и будет отправлять sms через СОРМ, что скомпрометировано уже давно, в отличии от мессенджеров.
Линуксовые вырвиглазные клиенты так и будут занимать пол процента, потому что большинству не нужно шифрование. Людям надо чтобы удобно и бесплатно.J_o_k_e_R
26.06.2016 14:47-1Да хоть личными сообщениями в одноклассниках пользуйтесь. Если не нужно шифрование, то зачем Вы комментируете в статье про (не)открытие ключей доступа?
bazis13
26.06.2016 19:39-1Мне нужно, но своими заявлениями вы распугиваете людей, которых telegram может приобщить хоть к какой-то безопасности. Tox и jabber они в жизни не поставят, остается сидеть в sms, раз во всех мессенджерах шифрование настолько дырявое.
Имхо, лучше пусть верят Паше Дурову, который мамой клянется, что всё приватно, чем опсосу, который открыто заявляет, что выдаст личную переписку по просьбе любого заместителя следователя Мухосранска безо всяких решений суда.
Vespertilio
26.06.2016 12:49Разве телеграмм не открыт? Сорцы клиентов лежат на гитхабе. Разве протокол не открыт? Детальные схемы и доки лежат на core.telegram.org. Что мешает написать сервер зная протокол и имея исходники? Как могут протоколы быть изменены незаметно в принципе если офф клиенты компилятся из гитхабовских исходников, если существуют десятки других клиентов. Плюс в Телеграмме есть end-to-end шифрование, в котором кроме как релея сервер не участвует.
J_o_k_e_R
26.06.2016 14:58-1Если б он был полностью открыт, там нельзя бы было по желанию Дурова удалять неугодных ботов\каналы.
Что мешает открыть исходники сервера, если итак уже якобы выложено достаточно? :) Очевидно, что выложено далеко не все.
Под незаметными изменением протоколов — я имею ввиду, что всем пофигу, что реально под капотом изменений клиентов. Исходники качают «красноглазики», большинство качают бинарниники, setup.exe, next-next-next.
Вообще, если мы говорим про ключи, которые Дуров вообще может выдать, а такие, судя по всему есть, раз он говорит, что не выдаст, то верить без децентрализованности и открытых серверов мы можем только ему на честное слово.
Если мы говорим про end-to-end шифрование на клиенте, то при чем тут вообще телеграмм? Опять же otr \ gpg вполне работает как поверх oscar(icq), xmpp(jabber), да хоть тех же личных сообщений одноклассников, ибо end-to-end — абстракция над протоколом передачи сообщений и решается на клиенте вне зависимости от протокола. Поэтому телеграмм тут вообще ни при чем, вопреки тому как его пытаются впиарить.Vespertilio
26.06.2016 16:30Надо понимать что он все-таки коммерческий продукт, а не детище open source, это для начала. И серверная инфраструктура Телеграмма вполне может не вписываться в setup.exe с открытыми исходниками и вообще не применима для рядовых пользователей. Например жестко завязана на амазон сервисы с распределением всего и вся. В таком случае смысла от сорсов то и не много кроме академического интереса.
Тем не менее, как я писал выше, сам протокол Телеграмма открыт и даже документирован и в случае надобности думаю не составит труда написать свой сервер. XMPP, за который многие пишут это же тоже просто протокол, а уже серверов под него наклепали все кому не лень, как и клиентов.
>> Под незаметными изменением протоколов — я имею ввиду, что всем пофигу, что реально под капотом изменений клиентов. Исходники качают «красноглазики», большинство качают бинарниники, setup.exe, next-next-next.
Большинство именно так и поступают, однако бьют тревогу обычно те же «красноглазики», которые следят за кодом. А на гитхабе легко смотреть все изменения по коммитам. Я на днях сам собирал нативный клиент из исходников.
End-to-End я привел как крайний случай если нет доверия серверам. Да по сути любой контент в любом протоколе можно зашифровать, я не спорю, просто Телеграмм дает готовые протоколы, инфраструктуру, клиенты и совместимость между ними, хотя тут оговорка, тот же end-to-end работает только в нативных клиентах, а в мультиплатформенном Telegram Desktop нету.
NeuroHunter
28.06.2016 12:40Я, может, что-то путаю или чего-то не понимаю — как при наличии сервера можно говорить о «децентрализации»? Сервер — это же единая точка отказа.
Runis
25.06.2016 13:23-2Молодец Павел!
Ребят, может давайте будем делать что нибудь! Ну не знаю, петиции там составлять и подписывать. А то глядишь придёт время, и нас всех террористами будут называть!
SecExpert
25.06.2016 13:23-2Извините, не смог пройти мимо :-)
Telegramm ( и все остальное ), включая секретные чаты, прослушивается и спецслужбами и «специалистами» на раз-два, да и СОРМ — 4 скоро научат автоматически это делать :-)
Ради справедливости на отметить что да — Телеграмм прослушивается на порядок сложнее, xnj даст отличную защиту Вам от студентов, но сути это не меняет.
Статья — PR 100%. Но вот цель его — Ваша безопасность ли? Здесь есть вопрос.
Как известно, 99% компаний такого плана давно приХватизированы спецслужбами «за деньги» или «за так», а бОльшая половина из них и создана ими же для «Вашей же безопасности».
Я Вам так скажу — единственный безопасный на сегодня вариант, это тот вариант, где Вы лично себе устанавливаете ключи шифрования с независимого носителя, а тот же otr, pgp полезно положить вторым уровнем.Runis
25.06.2016 13:31Раз так, то какой тогда месседж посоветуете?
SecExpert
25.06.2016 17:24Публичных мессенджеров, обеспечивающих хорошую защиту не существует. Есть частные компании, защита информации которых есть их профиль работы. Ставится специальное ПО на Ваши гаджеты. Вот они могут обеспечить защищенную переписку, разговоры и так далее ( типа westenergy.lt ), используя многуровневые системы шифрования, с установкой Вам ключей с пересылаемых носителей.
Runis
25.06.2016 17:26-1Но такие не на массовость, лишь внутри кампании, хотя если в ней сотрудников на несколько миллионов, тогда ещё ладно)
Lindon_cano
25.06.2016 14:28Расскажите мне подробней, как именно спецслужбы из ваших фантазий прослушивают телеграм. Опишите что используется, каким именно образом проводится дешифровка.
lamoss
25.06.2016 15:42+1Каким образом прослушивается секретный чат? Если о необходимости прослушать конкретное устройство известно заранее, то да — возможно, вероятность есть, хоть и маленькая и очень сложно реализуемая технически, но после обмена ключами — как?
SecExpert
25.06.2016 17:27Да, Вы правы, уже после обмена ключами — действительно уже очень сложно и маловероятно. Но обычно же ставят не «разработку» заранее.
SecExpert
25.06.2016 17:35Конечно, если не найдено 0day уязвимостей, как это было несколько месяцев назад с SSL и не только, также было месяц назад, смешно признаться, но и с Российским признанным ГОСТ-ом официальным алгоритмом…
VenomBlood
26.06.2016 05:44-1Современные объемы памяти вполне позволяют использовать шифр Вернама даже для голосовой речи и передачи файлов, если уж станет так необходимо обеспечить абсолютную невзламываемость канала. Причем технически все это реализовать не трудно. Единственное что остается — 0day на клиентских устройствах, но даже в этом случае, если собеседники намеренно не сохраняли данные на своих устройствах — невозможно восстановить ничего что произошло до момента использования 0day. Но если у вас есть 0day с достаточными привилегиями — тут вообще не важно какие алгоритмы используются.
SecExpert
26.06.2016 14:02Да, вы абсолютно правы. Есть и другие хорошие протоколы, даже правильно доработанный ассиметричный старичек на эллиптических кривых чего стоит. Вот частные компании по обеспечению информационной безопастности и пользуются ими.
lamoss
25.06.2016 18:49В таком случае заранее не узнаешь кто преступник, а когда уже ведут оперативную работу какую-то, то уже понятно над кем её ведут и со всеми, с кем ему нужно было, он ключами уже обменялся.
То есть в теории можно прослушать, но на практике способ если и применим то в очень редких исключительных случаяхSecExpert
25.06.2016 19:56-1Не стоит забывать, есть же СОРМ — запись всего интернет трафика, телефонных разговоров 24/7. Здесь как раз-таки наоборот — можно ответить за то, что сделал, лет 2-10 назад ( все зависит от важности Вашей персоны ). Можно иметь козырей и выложить их в нужный момент, или не выложить вообще.
Lindon_cano
26.06.2016 13:02-1Да как же вы надоели со своим СОРМом. Есть СОРМ по которому слушают наземные телефоны, есть СОРМ-2 по которому слушают инет. Ну вот наловите вы моего трафика. У меня весь трафик представляет из себя ssh до одного сервера и все. Что вы там прочитете? «Эксперт» вы наш.
SecExpert
26.06.2016 13:55Да будет Вам известно, что именно 2-ой сорм уже затачивали для логирования интернет трафика, и именно его начинали «вживлять» каждому интернет провайдеру. На сегодня уже 4-ый сорм на подходе.
Вы считаете, что SSH это панацея? Не будьте наивны.
А вы знаете какой протокол шифрования использует Ваш SSH? И даже допустим, что у Вас «правильный» будет протокол, то Вы уверены, что первоначальный обмен ключиками, где Вы нажимали «принять» не залогирован?
P.S. Вот точно так же люди планеты земля думали про SSL, а как оказалось все пароли/кредитки и другие передаваемые данные можно перехватить в любое время.Lindon_cano
26.06.2016 14:34Скажите а вам платят за то, что вы пишите заведомую ложь о всемогуществе карательных органов или вы бесплатный дурак?
Давайте договоримся о простом эксперименте. Я записываю tcpdump суток моего юзания интернета и даю его вам. Вы через неделю даете мне извлеченный из него пароль к geektimes. Мы выбираем некоего арбитра, которому я заранее передаю этот пароль, что бы я не мог вас обманут и сказать, что вы предоставили неверный пароль, если пароль будет верным.
Если вы это сделаете, то я перевожу на ваш счет $1000, если вы этого сделать не сможете, то вы переводите на мой счет $1000.
Согласны?SecExpert
26.06.2016 18:52Да уж, сразу видно — молодо-зелено. За тысячу долларов Вы даже пароль на мыльник, насквозь проросший xss не купите. Дискутировать на эту тему в данном русле даже не собираюсь.
Искренне желаю, чтобы потом Вы не «кусали себя за локти», поражаясь всемогуществом «карательных органов».Lindon_cano
26.06.2016 18:59Дитятко, я занимаюсь информационной безопасностью 16 лет. А вы только комменты тут строчите.
Давайте поднимем сумму до $50000, мне терять нечего, а вот вам есть чего, потому что вы пишите заведомую чушь.
sumanai
26.06.2016 23:38Вы уверены, что первоначальный обмен ключиками, где Вы нажимали «принять» не залогирован?
Почитайте про асимметричные алгоритмы. Открытый ключ можно слать хоть сразу главе ФСБ, это им никак не поможет.
lamoss
26.06.2016 16:44Зачем нужен пункт в пакете Яровой в который входит обязательство операторов хранить все записи, если СОРМ и так хранит все записи телефонных разговоров?
bARmaleyKA
25.06.2016 23:48Если человек на карандаше, то, так сказать, бытовое шифрование не шибко и поможет, а тем более в плотной разработке. Как бы не поносили тихушников, но у них есть отработанные десятилетиями методики, аппаратура, власть и человеческие ресурсы (сексоты).
Помню, в своих статьях Бёрд Киви приводил примеры с конференций, когда закрытый трафик вскрывали по таким маркерам, как применение жаргонизмов в речи. Так же стоит помнить что у НИХ есть доступ к метаданным, обработка которых может многое поведать о клиенте.
dobergroup
28.06.2016 12:41>> прослушивается и спецслужбами и «специалистами» на раз-два
У Вас есть какая-то аргументация или это просто мнение?
>> Как известно, 99% компаний такого плана давно приХватизированы спецслужбами «за деньги» или «за так», а бОльшая половина из них и создана ими же для «Вашей же безопасности».
Такого плана — это какого? Мессенджеры? Игроки ИнфоСек?
Конкретно Телеграм — какой конкретно организацией контролируется?SecExpert
28.06.2016 12:55Нет, именно мессенджеры, которые заявляют о безопасности.
По поводу конкретно приХватизирования Телеграм — просто мнение, а вот по поводу прослушки мессенджеров — это однозначно и 100%.
Dementor
25.06.2016 16:56Т.е. по первому требованию властей Ирана были удалены неугодные боты и смайлики, а с властями России телеграмщики из принципа не будут общаться?
А как же реклама и прочие методы монетизации, о введении которых недавно говорил Дуров? Или все сервера и линии коммуникации будут оплачиваться исключительно добровольными пожертвованиями как Википедия? Вариант, что Телеграмм создан и спонсируеться правительством США для шпионажа за доверчивыми россиянами мы конечно не рассматриваем…Lindon_cano
25.06.2016 17:11-2Те кого вы называете «власти России» требуют нарушить Конституцию РФ.
Статья 23
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
И при чем требуют от тех, кто не находится вообще в их юрисдикции. Дуров, у которого эти же люди уже отжали один раз бизнес и который создал новый, сказал, что он не пойдет на фактическое преступление. Вы возмущаетесь.SecExpert
25.06.2016 17:40+1И еще плюшка для размышлений — официально оказывать услуги по шифрованию и защите информации с использование своих алгоритмов ( не ГОСТ ) в России запрещено… ну не только, конечно, в России
mediagenia
25.06.2016 23:34-2Коллеги из РФ, дело идёт к выборам. Хочу обратить ваше внимание, что партии КПРФ и ЛДПР проголосовали в 3-ем чтении против:
http://vote.duma.gov.ru/vote/95967
Есть предложение сделать из этого выводы.ankh1989
26.06.2016 06:23Какие именно выводы?
DanielKOcean
28.06.2016 12:43Ну как, какие? Размазать голоса по этим двум партиям, и того вместо результата «Пу»-49%, «Кто-то второй»-51, получаем «Пу»-49, ЛДПР-20, КПРФ-20, «Остальная шушера»-11%.
bARmaleyKA
26.06.2016 16:46А давайте никого не будем выбирать и старых тоже пошлём подальше. Так сказать, поживём немного раздельно. Для себя.
mediagenia
26.06.2016 17:31Так не получится. А вот консолидировать и дать решающий голос тем, кто будет самые одиозные законопроекты проводить — можно
ilyuxa
27.06.2016 11:14Хочу обратить ваше внимание, что партии КПРФ и ЛДПР — это та же ЕР, только в профиль. Они абсолютно ручные и голосуют, как им скажет начальство из ЕР.
mediagenia
27.06.2016 11:25И всё-таки, тут они голосовали против. Есть ещё вариант с «платформой» и «ростом», но я боюсь что их голоса при самых лучших раскладах не будут иметь никакого значения ещё очень и очень долго.
hp6812er
28.06.2016 12:38Задумка то чисто коммерческая. Придется отыграть кучу конкурсов и тендеров на поставку операторам связи и иже с ними «отечественного» по и железа. Свои люди уже наверняка в теме. Для того что бы «контролировать» колоссальный объем данных нужно будет увеличить штат компетентных органов, а это должности, звания, шире дыра в бюджете. Зато иллюзия контроля на лицо.
И как этот закон бьётся хотя бы с этим?
geektimes.ru/post/251202
swarggg
28.06.2016 12:39Не собирается он-то не собирается… но и VK он не собирался продавать. Посмотрим выстоит ли на этот раз.
Lindon_cano
28.06.2016 15:12VK у него был в РФ и сам он был в РФ. Сейчас он находится за территорией РФ и никто не сможет захватить его в заложники с целью захвата бизнеса.
w0call
28.06.2016 12:39Ставим Wickr me и наслаждаемся анонимонстью. есть на яблоке андроиде и много где еще. Номер телефона не просит. Сообщения удаляет через сутки с телефона. Фото видео тоже передает.
mantyr
28.06.2016 12:41С кем бы не говорил в обычной жизни об этих поправках — все вяло спрашивали «о чём речь» и «что за Яровая»? А когда узнавали — не имели собственного мнения на этот счёт. Так что, кажется, это интересует только айтишников и то далеко не всех.
MorivVV
28.06.2016 12:46А скоро нельзя будет шептаться на ухо. Попробуй только секретничать, сразу под суд. Все разговоры только в присутствии записывающих устройств.
Именно к этому все и ведет.sumanai
28.06.2016 16:12Все разговоры только в присутствии записывающих устройств.
Кроме разговоров в кабинетах чиновников, там записывающие устройства запрещены уже сейчас. А то им неудобно взятки брать.
SamoilowAlex
28.06.2016 12:47А давайте называть новости своими именами? «Павел Дуров вслед на Эппл освоил технику криптопиара своего поделья». В статье написана полнейшая чушь. Создатель полузакрытого протокола просит поверить, что не будет сливать данных, кончено пока не случится первого слива никто и не узнает сливал он потихому до этого или нет. Про удаления из магазинов приложений вообще маркетинговый буллшит, всегда можно разместить прямые ссылки на приложения(да пользователи ios без jailbreak в прилета, но ССЗБ) у себя на сайте, не говоря уже про наличие десктопных клиентов. Действенный способ заблокировать — убедить операторов связи не пропускать короткие сообщения от его сервиса на телефоны пользователей, может хоть тогда он осознает на сколько тупая эта идея и уберет привязку к телефону.
pit_art
28.06.2016 12:48Я бы вполне допустил использование нашими спецслужбами следующей тактики:
1. Выставляем на всеобщее обозрение некую подсадную личность, прилюдно вступаем с ней в конфронтацию. Причина — отказ этой личности предоставлять информацию.
2. «Добиваемся» увольнения фигуры с должности. Одна из причин увольнения — конфликт со спецслужбами.
3. Наша «Опальная личность» убегает из страны, попутно изрыгая хулу в сторону спецслужб, и конечно же, в своем новом проекте, ГАРАНТИРУЕТ сохранность любых данных от плохих дядек. Все, естественно верят и сопереживают.
4. profit
Я сейчас не говорю что Дуров плохой, просто фантазирую.
vconst
Другого ответа и не ждали