Сегодня юристы Telegram уведомили Роскомнадзор, что предоставить ФСБ ключи для дешифровки переписки пользователей технически невозможно. Казалось бы, можно было просто дождаться окончания срока выдвинутого ультиматума, но «Telegram принял решение снова снизойти и разъяснить чиновникам, что указанные требования в принципе неисполнимы», — написал руководитель представляющей интересы мессенджера правозащитной группы «Агора» Павел Чиков.
В опубликованном ответе мессенджера на уведомление Роскомнадзора отмечается, что в Telegram есть два вида обмена сообщениями: облачные чаты и секретные чаты. «Сообщения, передаваемые через «секретные чаты», никогда не сохраняются на серверах Telegram. Переписка пользователей «облачных чатов» хранится в зашифрованном виде, распределяется между различными подсистемами и никогда не хранится в одном месте», — сказано в письме.
«Создание «секретных чатов» начинается с генерации авторизационного ключа, при этом используется асимметричное шифрование и алгоритм Диффи — Хеллмана, при котором из двух созданных частей ключа одна никогда не покидает пользовательского устройства и не передаётся по каналам связи. Ключи шифрования при этом регулярно обновляются, неактуальные ключи — уничтожаются автоматически, — объясняется в письме за подписью адвоката Динзе Д.В. — Таким образом, администратор сервиса в существующей архитектуре ни при каких условиях не имеет доступа к информации, дающей возможность декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых с его помощью электронных сообщений».
Никто не ожидал иного ответа от Telegram, потому что на требования Роскомнадзора ещё 20 марта ответил Павел Дуров.
«Угрозы заблокировать Telegram, если он не передаст частные данные пользователей, не принесут плодов. Telegram продолжит отстаивать свободу и неприкосновенность частной жизни»
UPD1. Однако письмо Telegram до Роскомнадзора почему-то не дошло.
«По данным на 13:00 2 апреля, Роскомнадзор не получал официального ответа на уведомление о необходимости исполнения обязанностей организатора распространения информации, которое было направлено 20 марта в адрес Telegram Messenger Limited. Ни по почте, ни на адреса электронной почты Роскомнадзора не поступало никаких писем ни от владельцев, ни от администраторов, ни от представителей компании», — ответила пресс-служба Роскомнадзора.
UPD2. Павел Чиков недоумевает, куда могло пропасть письмо, которое отправлено 30 марта (скриншот прилагается).
«Если ведомство свои аккаунты не проверяет, как туда что-то можно отправлять, будь то срам или ключи шифрования? — задаёт вопрос адвокат. — Вроде как со взрослыми, адекватными и ответственными людьми с ними пытаешься взаимодействовать. А оказывается детский сад».
Комментарии (268)
MooNDeaR
02.04.2018 14:45Никаких оправданий отсутствию здравого смысла у наших федеральных органов я не пытаюсь придумать, но чисто технически, никто не мешает создателям Telegram выпустить обновление, которое будет отсылать ключики (да и всю переписку) с устройства прямо на сервера ФСБ. Другое дело, что никто не будет им пользоваться после этого, но это уже органы не волнует.
Gurturok
02.04.2018 14:58+3Другое дело, что никто не будет им пользоваться после этого, но это уже органы не волнует.
Посмотри на vk и одноклассники, они давно в рабстве у роскомнадзора и копирастов, но народ хавает. И тут так будет, пара сотен параноиков убегут разве что.MooNDeaR
02.04.2018 16:29Может быть, я не отрицаю такой исход событий. Просто вряд ли все разом перестанут пользоваться телеграмом, но в долгосрочной перспективе это может доставить ему серьезных проблем. Ведь новость о том, что телеграм отдал ключи спецслужбам пролетит не только в России, а значит терять пользователей он начнет не только у нас.
Gurturok
02.04.2018 16:38Недавно пролетала новость, что tg хотят заблокировать в Иране(тыц)
MooNDeaR
02.04.2018 16:45Так если его заблокируют, то это лишь полетит в плюсы телеге — мол не прогнулись. Вот в случае, когда ради того, чтобы не заблокировали, они прогнутся под власти и выпустят «шпионский патч», это будет совершенно другая новость.
psylostlife
02.04.2018 23:22Жаль, что Иранские власти не в курсе о введении поддержки прокси в настройках tg пол года назад. Удачи им!
Gurturok
03.04.2018 09:01+1И какой % пользователей будет этим пользоваться и постоянно искать не сдохший SOCKS? Аудитория Whatsapp/viber/telegram большинстве своем нихрена не понимают чем они пользуются и как оно работает, сломается — перейдут на что-то другое.
Tenebrius
03.04.2018 10:46Кому надо, найдут. По моим наблюдениям, телеграмом пользуются те, кто хоть немного в теме понимает. А прочие использую вайбер и вацап.
Я прокси месяц назад на талефоне поставил. До сих пор проблем никаких не было.milten80
03.04.2018 13:04-1Согласен с тем, что среди пользователей телеги больше подкованных юзеров.
Да и многое можно описать одним вот этим диалогом (сейчас уже неактуален, но недавно телега официально не была переведена на русский)
— Поставь телеграм, можно сразу будет снести кучу приложений, типа погодных информеров (60-100 мб весом каждое) — т. к. в нем много полезных ботов. А еще он работает шустрее при нестабильном соединении, может шифровать чаты и еще пару полезных штук
— Ну ты што, там же РУССКОГО ЯЗЫКА НЕТ!
В мессенджере. Где максимум нужно уметь понимать слова Send/Copy/Forward.
urix
04.04.2018 13:27В том-то и дело, что удалять Вайбер-вацапп после установки Телеграма никто не хочет. «Потому что там мои друзья».
А уж про погодные боты… они умеют делать виджет на рабочий стол с иконками погоды, прогнозом на 3 дня, часами и будильником?milten80
04.04.2018 14:34Возможно, мне просто повезло — и уйти на телегу оказалось очень даже просто (у многих установлен не один мессенджер). Часть юзеров перешли в телегу сами по моей рекомендации.
Насчет ботов — никто не заставляет сразу отказываться от всего ПО и заменять ботами. Но подчистить хлам, занимающий сотню мегов оперативки, и при этом умеющем только показывать красивую картинку с солнышком — легко.
Это уже индивидуально под каждого. И для меня, как для любителя все заоптимизировать и подкосить лишние приложения — телега оказалось очень даже полезной.urix
04.04.2018 14:43>Хлам, занимающий сотню мегов оперативки
Погода M8 занимает 21 мег оперативки и выполняет ровно то, что я вам описал.
Плюс кастомизируется вообще как угодно. И нет, я не захочу отказываться от удобного виджета с погодой и часами.
В конце концов, я купил смартфон для того, чтобы он был «смарт», а не «дамб»milten80
04.04.2018 15:01:) да никто вас не заставляет удалять погодное приложение.
Вам дают возможность часть функционала перенести в мессенджер. Я нашел погоду, мониторинг билетов и еще пару полезных штук. Другой человек найдет что-то свое.
Это не обязаловка, это возможность.
urix
04.04.2018 13:21А по моим наблюдениям, Телеграмом пользуются просто многие люди, у которых есть смартфон и кто хочет избавиться от спама в Whatsapp/Viber («спонсируемые звонки», рассылки от всяких автоцентров-косметических салонов-Медиамарктов)
Alexey2005
03.04.2018 13:14Параноики просто пожмут плечами и продолжат пользоваться как и раньше. Ведь у них с самого начала было прикручено PGP-шифрование поверх мессенджера, чтобы не гадать лишний раз, где и что там на серверах хранится.
Aelliari
04.04.2018 20:37Недавно подсказали любопытный проект, работает поверх любой электронной почты, сервер которой поддерживает imap, мимикрирует по оформлению под современные месенджеры, можно прикреплять видео/музыку/картинки(естественно объём вложений на совести почтового сервера), умеет push-и. А главное умеет в e2e через pgp/autocrypt
Expelliamus
02.04.2018 16:40+1А каким интересно образом Вы узнаете, что вся Ваша переписка с ключиками вместе уже сливается в ФСБ?
MooNDeaR
02.04.2018 16:47-2Ну, разве что кому-нибудь будет не лень зареверсить Telegram, только так.
AllexIn
02.04.2018 18:38+2Зачем реверсить OpenSource?
Valle
02.04.2018 19:04+5Ну например для того, чтоб убедиться что исходники действительно те, из которых скомпилировано приложение. А кому действительно нужна безопасность, те собирают из исходников после аудита.
Grox
03.04.2018 01:36А можно провести аудит, собрать из исходников и сравнить с поставкой, а не заниматься реверсингом, без необходимости.
sumanai
03.04.2018 08:54Получить идентичные бинарники даже на той же машине при двух запусках подряд бывает не легко.
Да и толку ото всего этого, если беседа будет слита через собеседника.
amarao
03.04.2018 13:44+1Добро пожаловать в мир reproducible builds. Цель Дебиана на ближайшие несколько лет.
wiki.debian.org/ReproducibleBuilds
Alexeyslav
03.04.2018 10:56Тут может быть другая засада… например, ослабленная криптостойкость алгоритма генерации ключа которая позволит спецслужбам подобрать ключ за час-другой.
RomanKerimov
03.04.2018 14:07Но алгоритм генерации ключа можно проверить в исходниках клиента и собрать его самостоятельно.
mtex
02.04.2018 23:22+3Серверное ПО там далеко не OpenSource.
AllexIn
03.04.2018 08:34+1AFAIK серверное ПО в секретных чатах не участвует.
EvgeniyNuAfanasievich
03.04.2018 09:221.ну это еще надо проверить.
2. Возможно это нужно будет через месяц перепроверить.Oleg_Dolbik
03.04.2018 11:28Проверили — при падении серверов личные чаты тоже не работали…
Gurturok
03.04.2018 12:01+1А чего удивительного? Трафик всеравно идет через сервера, пусть и зашифрованный. Или вы p2p ждали?)
python273
03.04.2018 09:23+1Серверный код может быть закрыт, при этом все может быть безопасно. Даже если бы серверный код был открыт, то нельзя узнать действительно ли он запущен на серверах. Вся стойкость к взлому заложена в протокол шифрования.
mtex
03.04.2018 10:41при этом все может быть безопасно
Может быть, а может и не быть. Тут исключительно вопрос доверия. К ПО с открытым исходным кодом доверия больше — по крайней мере, там гораздо сложнее внедрять явные бэкдоры. А когда есть возможность скомпилировать и поднять свой собственный сервер — совсем замечательно.
Sadler
03.04.2018 12:11+1Тут исключительно вопрос доверия
Вовсе нет. Если закрытые ключи серверу не пересылаются, а алгоритм шифрования устойчив, то хоть ты разбейся на стороне сервера, а прочитать или подменить сообщение не сможешь, никакого доверия здесь не требуется вовсе. Если это, конечно, не MITM на этапе первичного обмена ключами, на этот случай надёжнее всего один раз сверить ключи без посредников, лично.mtex
03.04.2018 14:33Как было написано выше, десктопные версии не поддерживают секретные чаты, соответственно о способе передачи ключей и стойкости алгоритмов, говорить не приходится.
RomanKerimov
03.04.2018 14:50Только десктопные версии от Telegram в Windows и Lunux. В macOS секретные чаты есть. Но речь в любом случае о собственной сборке клиента, так что и секретные чаты туда можно добавить без помощи из Telegram.
ChymeNik
04.04.2018 02:53До сих пор интересно. Что им мешает сделать секретные чаты в десктопных версиях Windows и Linux?
RomanKerimov
04.04.2018 03:11+1Возможно, над версией Telegram для macOS работают те же люди, которые делают Telegram для iOS. Системы идентичны, за исключением GUI феймворков, поэтому остальной код наверняка общий.
erryox
03.04.2018 09:23+1Это не имеет никакого значения. Даже если бы сервер был OpenSource, как кто-либо мог бы проверить, действительно ли на серверах Telegram используется тот же код? Однако то что приложение OpenSource уже даёт гарантию, что данные из секретных чатов никуда не сольются (если собрать из исходников самому конечно).
vlivyur
03.04.2018 09:59Он opensourse-on-demand. Разработка ведётся локально, иногда какие-то исходники отдают.
svosin
03.04.2018 10:46У телеги из play store вроде есть некоторые блобы, в отличие от версии из F-Droid, которая собирается из исходников.
esc
02.04.2018 16:40а исходники клиентов все открыты? возможно, оно с самого начала так и работает
MooNDeaR
02.04.2018 16:48+1Возможно, я понятия не имею. Я ведь не говорю, что это не так, я лишь говорю о том, что фраза «технически невозможна» не совсем верна. Технически это сделать ну просто супер просто.
mickvav
02.04.2018 20:56Более того, никто не мешает ФСБ выпустить клиента для телеграмма, который будет вот-это-всё делать.
ukt
02.04.2018 22:21+2Мессенджерzerg59
02.04.2018 22:44Люди добровольно сдают всю свою адресную книгу ради возможности посмотреть, а как их обозвали у себя в адресной книге другие такие же любопытные. Куче народу на приватность вообще пофигу.
rustavelli
03.04.2018 14:49+1адресная книга — это номера телефонов в gsm сети, которой владеют монополисты-опсосы с СОРМ? Те самые, которые круглосуточно следят за каждым вашим перемещением и сливают чекистам по любому запросу? Вы про приватность этой системы переживаете?
zerg59
03.04.2018 15:23Не совсем. Это то, как вы у себя обозвали тот или иной контакт. tjournal.ru/66941-chto-takoe-prilozhenie-getcontact-i-bezopasno-li-uznavat-kak-ty-zapisan-v-chuzhih-kontaktah
psylostlife
02.04.2018 23:20Какой тогда смысл во всем этом шифровании, если ключи спокойно летят на обычные емейлы? Не проще ли в таком случае и вовсе убрать шифрование?
unclejocker
02.04.2018 23:52При Диффи-Хеллмане летят ключи, которыми ничего расшифровать нельзя, только зашифровать. А ключ для расшифровки остается у владельца.
Arqwer
03.04.2018 00:11Чуть поправлю вас, при Диффи-Хеллмане ключи никуда не летят вообще: с помощью ДХ на обоих устройствах генерируется одинаковый ключ, который затем используется для обычного симметричного шифрования. Разные ключи — это у RSA и ему подобных алгоритмов.
Sabubu
03.04.2018 09:23Авторизация в Телеграм (очень плохая и неудобная, так как нет логина/пароля) сделана через номер телефона, который привязан к вашей личности, и который не является защищенным каналом связи. Те, кто используют Телеграм, вряд ли заботятся о приватности.
Nidere
03.04.2018 11:30+1Те, кому важна приватность, покупают симки, зареганные на таджиков, в переходе.
Bonio
03.04.2018 22:33Те, кому важна приватность, не пользуются мессенджерами с привязкой к номеру телефона.
QDeathNick
03.04.2018 15:27Авторизация телеграма удобна и хороша тем, кто не заботится о приватности.
Любая домохозяйка в момент на любом устройстве вводит телефон и готово, не надо ни паролей ни логинов.
А тем, кому важна приватность, не проблема получить смс на номер телефона купленный онлайн и сразу поставить пароль на аккаунт, а лучше использовать клиент у которого поверх стандартного шифрования прикручено ещё что-то своё, что гарантированно убережёт от компрометации истории сообщений и вообще прослушки или подмены.
shadovv76
03.04.2018 13:34-1оправдания:
публичная постановка в двух ролях, чтобы заманить в ТГ тех, кому есть, что скрывать… и там накрыть не напрягаясь.
считать, что ТАМ работают недалекие люди наивно.
публичность этому процессу на руку, а предложить Д им наверняка есть, что такие деньги пушистые не зарабатывают.
Gurturok
02.04.2018 14:56+1Ждем ответа от роскомнадзора: «Измените протокол для обеспечения возможности передачи ключей, иначе мы вас заблокируем… кстати у вас на это осталось меньше двух дней».
kymylep
02.04.2018 16:40«У вас». Это у нас и у РКН. После блокировки telegram и дальше продолжит работать. Как обычно заблокируют нас с вами :)
psylostlife
02.04.2018 23:30Спорный момент :)
hippohood
03.04.2018 08:58Удачный будет повод запретить все эти вредные прокси. И вообще весь зашифрованный трафик. Все равно ими пользуются только наркоманы для пропаганды детского суицида
wlr398
03.04.2018 09:23+1А где брать списки стабильно работающих зарубежных прокси серверов?
Очень давно не было подобной необходимости, но помню, что когда-то было так,
берёшь огромный список и сначала просто очень долго ищешь хотя бы просто работающий. Находишь, а затем этот работающий назавтра перестаёт работать.
А если списки прокси централизованно будет предоставлять Телеграм, так их тоже можно заблокировать.flacoshinobi
04.04.2018 09:35А если списки прокси централизованно будет предоставлять Телеграм, так их тоже можно заблокировать.
Например, использовать domain fronting
parotikov
02.04.2018 15:00+2Есть вот такое мнение:
t.me/temablog/160
миницитатаИ тут вдруг появляется Телеграм. Независимый, бодрый, успешный, востребованный, бесплатный продукт. Очень эффективный. Очень простой. И очень независимый от России. И все на негго переходят. В первую очередь (после Ирана) — в России.
А всего лишь надо было — создать образ великомученника основателю Телеграма, который сам добровольно продал контрольный пакет акций своего прошлого проекта и с миром отбыл за границу (полагаю, с мальтийским паспортом, если он не дурак) и всеми деньгами. И все думают, что его преследует ФСБ. И ФСБ даже раз в полгода штрафует сервис с очень страшным лицом на 50 000 рублей за нарушение какой-либо строчки подпункта пятого параграфа второй сноски третьего пункта какого-то закона.DracoL1ch
02.04.2018 15:28Параноики в принципе не используют чужие сервера для обмена сообщениями
tangro
02.04.2018 16:18Я б не сказал, что «параноидальность» бинарна. Бывают крайне терминальные стадии, типа Столлмана, который принципиально работает только на каком-то древнем ноуте с открытым кодом биоса и открытой архитектурой процессора. Бывает обычная паранойа — это вот как-раз «не используют чужие сервера». Но есть ещё более мягкие стадии. И в них сервис, сделанный прижатым ФСБ выходцем из России, никак не может быть безопасным.
porn
02.04.2018 15:40Это логично. Код сервера телеграма закрыт. Код мобильного клиента телеграма закрыт (то, что Дуров представляет как исходники мобильного телеграма — это чья-то наколенная поделка без секретных чатов). Открыт только код десктопного приложения, в котором (сюрприз!) нет поддержки секретных чатов. Как на самом деле реализованы секретные чаты — известно только им.
Gurturok
02.04.2018 16:14У меня нет аккаунта в телеги и возможности проверить, но судя по сырцам из f-driod(https://f-droid.org/packages/org.telegram.messenger/) функции для реализации секретных чатов в исходниках есть
tangro
02.04.2018 16:19Так а кто гарантирует, что у пользователей работает тот же код, который лежит в репозитории?
Gurturok
02.04.2018 16:23+1Это код мобильной версии клиента, который можно руками собрать и запустить. И в нем есть класс SecretChatHelper который генерирует ключ через DH и шифрует им сообщения. Я не экспер в java, но обращения к каким-либо blob'ам не увидел.
alix_ginger
02.04.2018 17:11Но чисто теоретически, эти исходники могут не соответствовать собранной apk-шке
mickvav
02.04.2018 20:59Я думаю, таки собрав и ткнув их носом, можно некисло пропиариться. Статью на хабре накатать — точно можно.
Cryvage
03.04.2018 13:49Если вы сами собрали apk из исходников, то они никак не могут не соответствовать.
Если же вы скачали apk из другого источника, то несоответствие вполне возможно, и вовсе не «чисто теоретически», а очень даже практически.
powerman
02.04.2018 16:31+2Судя по наличию реализации секретных чатов в альтернативных клиентах (напр. в плагине для Pidgin/Adium и Cutegram) протокол документирован корректно. Что не отменяет возможность закладок, сливающих данные иным способом в любом приложении с закрытыми исходниками.
rkfg
03.04.2018 15:17Про исходники всё так, вся опенсорсность — просто баззворд. Почитайте, подход, мягко говоря, странный для любого свободного проекта. Потом посмотрите на дату последнего коммита в том же репозитории. Потом на сводку типичного коммита, например, этого: Showing 841 changed files with 62,880 additions and 47,763 deletions.
А ведь именно мобильный клиент, полагаю, наиболее популярен среди пользователей. И именно с ним вот такая ситуация.
0mogol0
02.04.2018 15:13+7Момент, если я правильно понимаю, то ключи для расшифровки облачных чатов существуют. И формально, по закону, телеграм обязан предоставить ФСБ именно их.
Но не понятно другое, почему все с упорством (достойным лучшего применения) обсуждают отказ передать не имеющиеся у телеграма ключи к секретным чатам, но при этом стыдливо обходят возможность передать ключи от облачных чатов?
Akuma
02.04.2018 15:21-3В самом простом случае в качестве части ключа для публичных чатов может использоваться пароль пользователя. Тогда становится невозможно передать ключи для расшифровки, т.к. пароли не хранятся в открытом виде.
Другое дело, что всех уже достал этот пиар с ФСБ. 99% российским пользователей телеграма глубоко пофиг на шифрование, ибо максимум что ФСБ сможет узнать из их переписки — это цвет лапок кота.0mogol0
02.04.2018 15:28Я в этом не уверен, по крайней мере, телеграм ни о чём таком не заявлял (или я не слышал). Скорее поверю, что для хранения всех облачных чатов используется один общий ключ разбитый на три-четыре части. И тогда это уже проблема архитектуры телеграма, а не ФСБ.
Akuma
02.04.2018 15:31Ну тогда давайте уж сформулируем все по другому:
ФСБ не нужны ключи от Телеграмма, т.к. там ничего на самом деле не шифруется. А вся приватность заключается в
if (!зашел_с_последнего_устройства) {
не_показываем_ничего();
}
Вся ваша переписка транслируется напрямую вашему персональному агенту и не повязали вас только потому, что вы тупо ни кому не нужны. А весь этот цирк лишь для показухи.
P.S. При всем желании вы не сможете опровергнуть это высказывание без прямого доступа на сервера Телеграмм и досконального разбирательства в коде.0mogol0
02.04.2018 15:40+1А это не принципиально, хотя вроде FSF как раз и критиковал телеграм за закрытый протокол.
Я ниже написал, что для меня самый интересный вопрос в обсуждаемом тезисе.
Если у телеграма требуют ключей (от секретных чатов), которых у них нет, тогда речь идёт о "нууу, туууупые фсбшники!"
И когда речь идёт о ключах к облачным чатам, которыми телеграм располагает, то это "мы гордо кладём болт на законные требования гос.органов, потому что у нас принципы" и такие аргументы воспринимаются совсем по другому.Akuma
02.04.2018 15:46которыми телеграм располагает
Откуда вы знаете, что он реально располагает ключами? Это можно как-то однозначно определить?0mogol0
02.04.2018 15:51Откуда вы знаете, что он реально располагает ключами? Это можно как-то однозначно определить?
вроде об этом писали, но это конечно не доказательство.
Но если посмотреть на ответ телеграма, они педалируют тему про секретные чаты, а вот вопрос ключей к облачным обходят молчанием.
Давайте я верну вам ваш вопрос. Из ответа телеграма вы можете сделать однозначный вывод, что у них нет ключей для для расшифровки облачных чатов?
P.S.
Повторюсь, я бы лишь хотел смещения обсуждения с «фсб требует ключи от секретных чатов» (окей, я готов допустить, что у телеграма их нет), на обсуждение вопроса «у телеграма требуют ключи от облачных чатов». Как телеграм обосновывает невозможность выдать эти ключи.Akuma
02.04.2018 16:00Ладно, давайте не играть в верю-не-верю :) Я лишь хотел показать, что ни я, ни вы не можем однозначно определить реальность всех этих событий.
Телеграмм «притворяется шлангом», с этим я согласен. Но что им остается? Отличный шанс попиариться сам летит в руки, пользователи на их стороне (по большей части из-за отношения к власти у нас в стране). Они не дураки такой шанс упускать :)0mogol0
02.04.2018 16:06Телеграмм «притворяется шлангом», с этим я согласен. Но что им остается? Отличный шанс попиариться сам летит в руки, пользователи на их стороне (по большей части из-за отношения к власти у нас в стране). Они не дураки такой шанс упускать :)
Ну вот мне это и не нравится. Если бы они сказали, что «у нас есть ключи, но мы их вам не дадим, потому что вы бяки, а у нас принципы», я бы понял и может даже отчасти согласился.
А когда все дружно обсуждают выдачу ключей от секретных чатов, не пытаясь задать вопрос насчёт облачных — мне обидно за моих коллег айтишников, которые разводятсятелеграмом, как пенсионеры цыганками.
Телеграм может сколько угодно прикидываться шлангом — это его право, но вот у читателей его ответов мне бы хотелось видеть наличие критического мышления.kagary06
03.04.2018 15:52Свободный человек неизбежно лишен безопасности, мыслящий человек неизбежно лишен уверенности.
Эрих ФроммТот лучше всего защищён от опасностей, кто хранит бдительность и в зримой безопасности.
Публий СирТолько те средства по обеспечению безопасности хороши, надежны и долговечны, которые зависят от вас самих и от вашей собственной энергии.
Николо Макиавелли
dioneo
02.04.2018 23:12Для аккаунтов незащищённых паролем, обладая только доступом к sms, можно получить данные всех переписок пользователя и список его контактов. В Иране многие пользуются виртуальными номерами, когда старый номер повторно выдаётся другому пользователю, он при попытке регистрации попадает в чужой аккаунт.
RomanKerimov
02.04.2018 23:15В настройках Telegram можно установить пароль.
dioneo
02.04.2018 23:44Я с первого предложения пишу про те аккаунты, что не защищены.
То есть для аккаунта без пароля получаем, что переписка защищена только номером телефона, значит известна самому tg.
dioneo
03.04.2018 00:29По-поводу пароля, когда мы авторизуемся через сайт, в каком виде мы передаём пароль?
RomanKerimov
03.04.2018 00:50Не знаю как сделано в Telegram, но для расшифровки нет необходимости передавать пароль на сервер, так как можно с сервера передать зашифрованную переписку и расшифровать на устройстве.
dioneo
03.04.2018 01:41Ну теоретически на основе пароля вы должны генерировать однозначно пару открытый и закрытый ключ, чтобы тот кто вам отправляет в оффлайн сообщение, мог его чем-то зашифровать, до того как вы его получите, причём сеансовый ключ в этом случае работать не будет. Но всё гораздо проще.
RomanKerimov
03.04.2018 08:46Здесь должен быть ровно тот же механизм отправки в оффлайн, что и в секретных чатах. А когда сообщение получено, его можно зашифровать на устройстве и сохранить на сервере.
RomanKerimov
03.04.2018 00:58+1Хотя пароль же можно сбросить с сохранением переписки если была указана почта для восстановления, так что в этом случае сам Дуров точно может её расшифровать.
SONce
02.04.2018 15:25Ну в тексте явно написано что сервера принадлежат разным государствам и фирмам. Насколько я помню у телеграма 4 части ключа в разных точках планеты. Ничто не мешает сделать 20-40-50 частей. И у каждой страны и фирмы РКН должен будет попросить кусочек ключа. Сделать для бюрократической машины это нереально. Такчто скорей всего либо отстанут, либо побанят.
П.С. Теоритически ООО Телеграм (или как оно там зовется) может предоставить ключ. Но это будет только 25% ключа. Толку от него…0mogol0
02.04.2018 15:34+2Ну в тексте явно написано что сервера принадлежат разным государствам и фирмам. Насколько я помню у телеграма 4 части ключа в разных точках планеты. Ничто не мешает сделать 20-40-50 частей. И у каждой страны и фирмы РКН должен будет попросить кусочек ключа
Насколько я понимаю, все эти компании прямо или косвенно контролируются «организатором-распространителем информации», т.е. это их внутреннее дело, как обрабатывать запросы государственных органов. Иначе бы был телеграм ЮВА, телеграм CEEE и тд.
Меня просто смущает, что все говорят о «тупом ФСБ / РКН», которые требуют ключи, которых у телеграма нет. Хотя по факту, ключи у телеграма есть, просто он их отдавать не хочет. А это уже совсем другой цирк и другая оценка аргументов.MooNDeaR
02.04.2018 16:22Как бы прямо или косвенно не регулировались отношения между ООО «Телеграмм» и ООО «Телеграм-ключ», по закону они разные юридические лица, а значит решать вопрос с выдачей частички ключа придется решать по отдельности с каждым ООО.
Что касается «не хочет отдавать» — телеграмм не может такого сказать, это даст повод СМИ и прочим промывателям мозгов зацепиться за этот факт и без всяких проблем сказать народу: «Telegram целенаправленно нарушает законы! А не в сговоре ли они с терроритами?!». И у масс сразу возникнут сомнения и негодования. Поэтому продолжать играть в молчанку по принципу «ребят, мы бы с радостью, мы ведь за соблюдение законов, просто вы просите нереального» не даёт пропагандонам зацепиться за эту соломинку.
И дело не в том, что это остановит их блокировку на территории РФ. Просто, мне хочется верить, что чем больше людям из телевизора приходится говорить, что «мы заблокировали что-то, потому что… эээ… гладиолус?», тем больше недоверия к себе и напряжения в массах они создают. Хотелось бы верить, что впоследствии всё это может иметь какой-то положительный эффект. А может и не положительный, кто его знает.
powerman
02.04.2018 16:27Я полагаю, что основная проблема с шифрованием облачных чатов в том, что реализовать аналог секретных чатов для группы, учитывая что состав группы может со временем изменяться — весьма нетривиальная задача. Вроде бы её пока осилил только Keybase.
Я не склонен считать что Телеграмм это проект ФСБ, но всё же есть доля истины в том, что его безопасность это в большей степени пиар, чем действительно одна из основных задач проекта — нагляднее всего это доказывает отсутствие секретных чатов в десктопном клиенте.
porn
02.04.2018 16:32+1powerman
02.04.2018 16:56Кстати, да, про OMEMO я был в курсе, просто вылетело из головы — удобного способа его установить не было когда я смотрел на него в прошлый раз, и нет до сих пор: у меня Gentoo и Pidgin, и чтобы собрать и поставить все нужные плагины скорее всего придётся делать свои пакеты, а времени на это сейчас нет.
Пока хватало OTR, который в отличие от OMEMO и Keybase работает поверх любых протоколов, что в Pidgin весьма удобно если у собеседника тоже Pidgin или Adium и у вас обоих аккаунты в нескольких протоколах (особенно забавно переписываться в Skype через OTR). Но отсутствие групповых чатов, синхронизации между устройствами, и, особенно, регулярные потери (хорошо хоть о самом факте потери есть уведомление "не смог расшифровать") сообщений отправленных в оффлайн — реально раздражают.
porn
02.04.2018 17:01+1OMEMO как раз для групповых чатов актуален. Поддержка есть в виде плагина для Gajim, так же есть мобильные клиенты (вроде на вики есть ссылки, типа Conversation и т.п.), а так же сервер — ejabberd (мало того, там есть поддержка истории для всего этого).
RomanKerimov
02.04.2018 17:49+1Секретные чаты в десктопном клиенте есть. По крайней мере в версии для macOS.
powerman
02.04.2018 17:59+1Только в ней и есть. Кстати, странно, что есть хотя бы для мака, потому что в планах/приоритетах этой фичи нет.
danfe
03.04.2018 19:56Что секретных чатов нет в официальном клиенте это, конечно, несколько огорчительно (и странно при том, что они есть в мак-версии), но вообще на десктопе можно пользоваться сторонним command-line клиентом, в котором есть команда
create_secret_chat(впрочем, я пока ею не пользовался, но сам клиент работает без особых нареканий).
rkfg
03.04.2018 15:26У Keybase тоже закрытый сервер. А вот у Matrix всё открыто и имеются групповые шифрованные E2E чаты. Не очень удобные пока что, но рабочие. Загружаемые файлы тоже шифруются.
powerman
03.04.2018 16:07Я не уверен, что закрытость сервера имеет значение в таких случаях. Проверить что там запущено мы не можем в любом случае, так что в плане безопасности — она должна на 100% обеспечиваться протоколом, поэтому открытого клиента и протокола более чем достаточно.
При открытии исходников сервера появляется возможность запустить свой сервер, что в некоторых случаях ценно, но далеко не всегда. Изолированный сервер не особо полезен для многих сценариев использования, а у связанных между собой серверов в стиле jabber есть свои проблемы и сложности. В то же время централизованный сервер даёт возможность реализовать (или реализовать на порядок проще) некоторые фичи, которые очень полезны для обычных юзеров — а Keybase всё-таки ориентируется на популяризацию шифрования в конечном итоге именно для широких масс.
Конечно, безопасный+P2P был бы лучше, но на практике такие уже есть (I2P, например), но шансов на популярность у них пока не видно. Есть ли шансы у Keybase — сложно сказать, но пока они не нулевые я лично готов мириться с централизованным сервером если это заметно улучшает юзабилити и не вредит безопасности.
rkfg
03.04.2018 16:14Чистый P2P для мессейджинга в современном мире не выживет, т.к. большинство уже используют мобилы для этого, а там батарею и трафик будет есть очень сильно. Так что только федерация, которая как раз в Matrix и используется. Незачем доверять кому-то, когда можно запустить свой сервер и связываться с другими такими же серверами и клиентами на них. Да, консистентную историю сообщений так не получить, т.е. сообщения с разных серверов могут быть в разном порядке, потому что выработать распределённый консенсус относительно порядка событий в недоверенной среде пока удалось, вроде бы, только с помощью блокчейна. Но это не особо критично. Зато чаты истинно распределённые, в отличие от XMPP — даже если сервер с чатом падает, другие юзеры на других серверах в этом же чате продолжат общаться, будто ничего и не произошло. А когда сервер поднимется, он подтянет пропущенные сообщения.
Я согласен, что федерация всегда намного сложнее, чем единственный подконтрольный сервер или кластер. Но и преимущества её неоспоримы, в частности, отсутствие SPoF.
powerman
03.04.2018 17:11Если свой сервер передаёт сообщения чужим серверам, то это не принципиально отличается от работы с чужим сервером вместо своего. В идеале сервер не должен иметь возможность читать сообщения вообще (как у Keybase), и тогда свой от чужого не отличается. А если он может их читать, и другие сервера которым он передаёт эти сообщения тоже могут их читать, тогда свой сервер немного безопаснее при условии что все собеседники подключены именно к этому своему серверу, но это вариант безопасности "для бедных", которого может быть достаточно внутри компании для общения сотрудников, но не более того.
Что касается SPoF — кто сказал что сервер у Keybase один? Он вполне может (и должен) быть запущен с HA, в разных ДЦ, так что SPoF здесь разве что юр.лицо самой компании, которую могут попытаться закрыть/конфисковать/etc., но эта проблема обычно решается выбором правильной юрисдикции для регистрации компании.
В общем, преимущества федерации для IM лично мне не очевидны, а недостатки как раз довольно критичны для юзабилити. Так что хотелось бы услышать более подробно про "преимущества её неоспоримы", с конкретикой.
rkfg
03.04.2018 17:39Если свой сервер передаёт сообщения чужим серверам, то это не принципиально отличается от работы с чужим сервером вместо своего.
Кроме раскрытия информации бывают и другие угрозы, например, блокирование. Вашу учётку могут удалить или забанить с подконтрольного центрального сервера, и ничего с этим поделать будет нельзя. Когда серверов много, и они принадлежат разным людям, такой риск снижается. При регистрации могут потребовать подтверждение личности (как у телеграма по номеру телефона) или подобное, в общем, контроль над учёткой находится в одних руках, и это, по-моему, очевидно плохо. Уповать на правильную юрисдикцию тоже как-то не очень стоит, законы меняются, и их применимость к личному серверу и большому централизованному сервису, наверно, различна. Тем более, перенести один свой сервер в другую страну должно быть проще, чем целый парк.
powerman
03.04.2018 18:03Вашу учётку могут удалить или забанить с подконтрольного центрального сервера, и ничего с этим поделать будет нельзя. Когда серверов много, и они принадлежат разным людям, такой риск снижается.
Как именно он снижается? Если кто-то (владелец сервера или имеющее возможность на него надавить государство) решит закрыть мой аккаунт — он сможет это сделать в любом случае. Если владелец сервера я сам — надавить на меня могут примерно так же, как на любого другого владельца.
Исходя из того, что личное желание владельца сервера удалить мой аккаунт крайне маловероятно (при условии что я не явный террорист и не распространяю ЦП), остаётся только внешнее давление со стороны государства (и противостоять ему частному лицу с личным сервером намного сложнее, чем большой и известной компании).
Резюмируя: снижение риска не очевидно, на самом деле риск может даже возрасти.
При регистрации могут потребовать подтверждение личности (как у телеграма по номеру телефона) или подобное, в общем, контроль над учёткой находится в одних руках, и это, по-моему, очевидно плохо.
Согласен, но проблема решается открытием регистраций по логину/паролю, возможно с опциональной альтернативой по телефону чисто для юзабилити. В этом случае владелец центрального сервера никак не сможет помешать регистрации нового аккаунта даже после бана предыдущего, и ситуация снова мало чем (только наличием метаданных кто с кем общается у владельца сервера) отличается от собственного сервера.
Уповать на правильную юрисдикцию тоже как-то не очень стоит, законы меняются, и их применимость к личному серверу и большому централизованному сервису, наверно, различна.
Если ФСБ захочет забанить аккаунт vasya@my-cool-jabber.ru живущего в России — они без особых проблем доберутся либо до самого Васи, либо до владельца этого сервера (предположительно тоже Васи), либо разделегируют домен, либо заблокируют его по IP через РКН. Всё это уже давно поставленный процесс, который одинаково работает независимо от того, принадлежит этот сервер частному лицу или компании.
Просто в случае с некоторыми сервисами (вроде VPN) пока что государство не волнуют частные сервера, и они наезжают только на крупные сервисы. Но в случае IM это не так — нужен доступ к или бан конкретного аккаунта, так что на мелкие jabber-сервера будут наезжать ровно так же, как на крупные.
Тем более, перенести один свой сервер в другую страну должно быть проще, чем целый парк.
Внезапно, это не так. Целый парк обычно разворачивается с использованием соответствующих инструментов, так что его перенос обычно сводится к тому, чтобы оплатить новые сервера, прописать их IP в конфиге этого инструмента, и запустить одну команду. А вот личный сервер обычно настраивается ручками, и его перенос — это целое дело и несколько дней ручной работы.
rkfg
04.04.2018 09:01Мир не чёрно-белый, и надавить могут на кого угодно, включая отдельных пользователей. Вопрос в управлении рисками. Когда все данные стекаются в одно хорошо известное место, которое подконтрольно одному человеку или организации, на него надавят с куда большей вероятностью, а сама эта организация с куда большей вероятностью будет датамайнить потоки данных (если они открытые). При большой распределённой сети серверов разыскивать владельца какого-то конкретного VPS в Нидерландах станут разве что при действительно серьёзных поводах и если кого-то ближе и доступнее не оказалось. Тактика неуловимого Джо тоже работает, когда органы ставят приоритеты по принципу low hanging fruit.
mladshij
02.04.2018 16:44Ну вообще говоря, ключи от облачных чатов никак не помогут ФСБ потому что ни у кого, кроме самого Телеграма нет доступа к хранилищу облачных чатов.
Ключи могут просить только от трафика (его ФСБ видит и может копировать к себе). И в письме как раз подробно объяснено почему ключи от трафика предоставить не могут.0mogol0
02.04.2018 17:06+1Ключи могут просить только от трафика (его ФСБ видит и может копировать к себе). И в письме как раз подробно объяснено почему ключи от трафика предоставить не могут.
Пардон, ещё раз перечитал ответ телеграма, и не понял, почему ключи от облачных чатов не могут быть использованны для дешифировки трафика. Точнее всё что я прочел про ключи и сессии относится, если я правильно понял к секретным чатам. Про облачные лишь сказано, что они хранятся распределенно и зашифрованно.
Насколько я понимаю (правда я не претендую на роль специалиста по ИБ, поэтому и задаю здесь вопросы), облачные чаты хранятся, хоть и в распределенном виде, но на хранилищах телеграма, и он эту информацию получает пусть даже зашифрованной, но ключ от неё у него есть и теоретически он может передать этот ключ, чтобы ФСБ могла декодировать трафик исходящий от пользователя.
avost
03.04.2018 01:08А как ключ от хранилища поможет расшифровке трафика?
0mogol0
03.04.2018 01:52А что они записывают на зашифрованные разделы — зашифрованный поток? Если нет, т.е. если они могут его расшифровать и записывают расшифрованные данные в зашифрованное хранилище, то ключи используемые для этого — именно те ключи, которые они и должны передать.
Я не говорю, что надо передать ключи именно от хранилища. Если телеграм хотя бы на одном участке транспортировки сообщений может расшифровать сообщения пользователя облачного (!) чата, значит далее говорим именно об этих ключах. А уж будут они от хранилища или сессионные — дело десятое.
P.S. просто у меня отложилось в памяти, что такие ключи существуют, а для того, чтобы их не отдавать, прибегли к формальности, типа разделил его на несколько частей и распределили по разным юрисдикциям. Если это так, то значит ключ для расшифровки существует.
Chamie
03.04.2018 02:32Так если расшифровать передаваемые данные можно только имея сессионный ключ, то что, Телеграм должен начать трансляцию в ФСБ потока всех создаваемых всеми 200000000 активных пользователей сессионных ключей?
0mogol0
03.04.2018 02:39А вот ответ на этот вопрос мне бы и хотелось услышать от телеграма. Пока они играют в «испорченный телефон» и рассказывают, что ключей от секретных чатов у них нет, обходя стороной какие ключи у них есть от облачных чатов.
Я подозреваю, что такой(ие) ключи у него есть, и тогда он обязан по запрошенным персоналиям передать их ключи (а не для всех 200млн активных пользователей).
Просто сейчас специально слазил посмотрел на Конституцию ст.23.2, так там действительно говорится про право на тайну переписки, но при этом допускается её ограничение по решению суда. И как по мне, очень сложно ссылаться на половину статьи Конституции в защиту своей позиции, если ты кладёшь болт на вторую половину той же самой статьи.RomanKerimov
03.04.2018 02:48Если можно восстановить пароль по email, то получается, что в Telegram могут расшифровать переписку облачных чатов. А вот когда восстановление по email выключено, то может и не могут.
dioneo
03.04.2018 03:59Это нельзя отрицать в принципе. Ситуация, в которой у Telegram нет информации для расшифровки облачных чатов невозможна.
1. Мы заходим с любого нового устройства и получаем доступ к своим сообщениям. (код подтверждения известен двум сторонам)
2. Если пароль есть, на новом устройстве мы запрашиваем новый пароль на почту и получаем доступ к своей переписке. (пароль с почты известен двум сторонам)
3. Если почта не привязана, то привязываем почту. Заходим с нового устройства и запрашиваем пароль на почту…RomanKerimov
03.04.2018 06:02Такая ситуация возможна, так как не получится привязать почту без доступа к старому устройству.
dioneo
03.04.2018 10:26Строго математически, да. Но в момент привязки почты, мы опять же любо расшифровываем всю переписку и отправляем её в облако, либо передаём ключ шифрования.
И того получаем, что для случая когда почта привязана или пароля нет, невозможно отрицать, что Telegram имеет информацию для расшифровки.
А в случае с паролем без почты нужно доказывать, что у Telegram отсутствует доступ к переписке, а не то, что он может отсутствовать. Так как мы говорим о безопасности.dioneo
03.04.2018 12:12Ну косвенное доказательство, если мы используем при вводе пароля подсказку по умолчанию, то должны передать Telegram первый и последний символ пароля. Мы конечно всё ещё можем утверждать, что Telegram хранит только эти два символа, или что мы можем использовать свою или пустую подсказку.
RomanKerimov
03.04.2018 14:02+1Ну косвенное доказательство, если мы используем при вводе пароля подсказку по умолчанию, то должны передать Telegram первый и последний символ пароля
Вот про этот способ восстановления пароля я не знал. Если по двум символам можно восстановить, то их можно подобрать, так как это равносильно паролю из двух символов.
Значит остаётся только вариант со своей подсказкой.dioneo
03.04.2018 16:12Подсказка это всё ещё не пароль, а то что помогает его вспомнить. По умолчанию она состоит из первого и последнего символа пароля и звёздочек между ними, и эти символы будут отображаться, на новом устройстве, при попытке вспомнить пароль. То есть как минимум два символа пароля отсылаются по умолчанию. Меня тоже, чисто теоретически, интересует наглядное доказательство, без анализа исходного кода, которое бы было простым и очевидным настолько, что его невозможно было оспорить любому, включая сам Telegram.
RomanKerimov
03.04.2018 16:28А, в смысле просто передаются первый и последний символ пароля, но восстановить полностью его нельзя. Просто пароль становится короче на 2 символа. Теперь понял. Тогда всё норм.
Тогда наглядно это выглядит так: шифруем на клиенте этим паролем, и в таком виде уже можно передавать переписку на любой сервер всем желающим. А о резервной копии пароля может позаботиться только сам пользователь.
RomanKerimov
03.04.2018 13:51+1А в случае с паролем без почты нужно доказывать, что у Telegram отсутствует доступ к переписке, а не то, что он может отсутствовать.
Да я говорил только о принципиальной возможности отсутствия доступа в этом случае и возможности проверки этого в открытом клиенте, а как в Telegram на самом деле — не проверял.
avost
04.04.2018 11:25А что они записывают на зашифрованные разделы — зашифрованный поток? Если нет, т.е. если они могут его расшифровать и записывают расшифрованные данные в зашифрованное хранилище
Вообще-то, необязательно. Конечно, вряд ли они используют гомоморфное шифрование там, но, вообще говоря, расшифровывать не обязательно.
или сессионные — дело десятое.
Вы совершенно напрасно считаете кгб-шников клиническими идиотами, которым достаточно будет кинуть "на отвали" сессионный или вообще эфимерный ключ.
там действительно говорится про право на тайну переписки, но при этом допускается её ограничение по решению суда. И как по мне, очень сложно ссылаться на половину статьи Конституции в защиту своей позиции, если ты кладёшь болт на вторую половину той же самой статьи.
Так тут именно кгбшки кладут на Конституцию. Если вы не согласны, предъявите, пожалуйста 200 млн решений суда по каждой персоналии в отдельности с требованием раскрыть тайну переписки по каждому из них. Ограничение работает именно так — на персональной основе.
Впрочем, наверное судебное решение о признании 200 млн человек подозреваемыми в каком-то преступлении в отношении которых вынесено решение на перлюстрацию корреспонденции тоже подойдёт. Спасибо заранее.0mogol0
04.04.2018 11:27Если вы не согласны, предъявите, пожалуйста 200 млн решений суда по каждой персоналии в отдельности с требованием раскрыть тайну переписки по каждому из них.
Мне где-то попадалось решение суда, где было сказано о запросе не просто о «ключах вообще», а о ключах к переписке трёх или пяти человек перечисленных поименно (и вроде даже с телефонами). Так что я как бы не уверен, что нужны все двести миллионов.
mladshij
03.04.2018 06:45Для хранения данных внутри облака Телеграма и для шифрования трафика используются принципиально разные ключи. И знание ключа от облака никак не поможет для дешифровки трафика.
Считаю, что Телеграм ответил корректно. Правда ещё более правильно было бы ничего не говорить про устройство чатов, а сразу ответить вопросом на вопрос: «Ключи от какой именно пользовательской сессии вы хотите получить?». И пусть бы РКН/ФСБ сумели сформулировать ответ.0mogol0
03.04.2018 11:02Правда ещё более правильно было бы ничего не говорить про устройство чатов, а сразу ответить вопросом на вопрос: «Ключи от какой именно пользовательской сессии вы хотите получить?».
С какого? было сказано предоставить ключи от переписки пользователй X, Y и Z, дальше уже телеграм должен доказать, что у него такой возможности нет. Если этих ключей было десять или тысяча — значит надо было или предоставить все или те, что есть, и / или объяснить почему невозможно это сделать.
Если уж говорить о корректном ответе, то они должны были не растекаться мыслью по древу, как двоечник на экзамене, а чётко сказать, что для данных пользователей «мы имеем… и не имеем...», и только после этого рассказывать про секретные чаты, обходя молчанием облачные
Barabek
02.04.2018 15:36Ключи от чатов у Телеграмма скорее всего все-таки есть, поскольку не раз Дуров рассказывал, что они сотрудничают с адекватными правительствами в борьбе с преступниками. Какие-то группы блокируют. Не вслепую же они это делают.
psylostlife
02.04.2018 23:34Группы, в которые могут вступить все желающие разве ничем не отличаются от секретных чатов?
Andronas
02.04.2018 15:40+1Давайте может тогда ещё запретим двери и замки ведь за ними можно тайно договариваться о чем то незаконном.
ploop
02.04.2018 21:28Неудачная аналогия. Замки вы вправе ставить от соседей, но не от государства, оно имеет полное право вынести их вместе с дверью.
RomanKerimov
02.04.2018 21:38Так пусть и выносят шифрование брутфорсом, производят другие атаки или создают агентурную сеть. Но нет, им нужно, чтобы был универсальный ключ на все замки, или уникальный просто висел на гвозндике рядом с дверью. Естественно, только в целях борьбы с терроризмом. Злоумышленникам использовать этот ключ строго?настрого запрещается.
ploop
03.04.2018 07:43Тут дело в другом: вы обязаны открыть дверь представителям власти, а выносить уж будут по мере надобности. В крайнем случае заблокируют вас на какой-то срок.
RomanKerimov
03.04.2018 08:26+1«вы обязаны открыть дверь представителям власти»
А вот здесь аналогия рушится, так как:
Статья 51 Конституции РФ
1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.ploop
03.04.2018 09:52+1На пальцах:
1) «Давайте может тогда ещё запретим двери и замки»
2) «вы обязаны открыть дверь представителям власти»
Замки разрешены, но они должны открываться перед представителей власти. Которые не открываются — запрещены (их или их хозяев «ломают», «запрещают»).
Marsikus
03.04.2018 10:10+2но они должны открываться перед представителей власти
Но только когда это соответствует предусмотренным законом обстоятельствам или должным образом санкционировано, а не кому-то захотелось.ploop
03.04.2018 12:05Ну естественно.
RomanKerimov
03.04.2018 13:43А в нынешней ситуации с шифрованием в терминах нашей аналогии им нужен универсальный ключ или уникальный ключ на гвоздике рядом с дверью, чего в реальности с физическими замками нет. И это тоже означало бы фактически запрет замков, так как они потеряли бы всякий смысл.
Cryvage
03.04.2018 15:58+2Замки разрешены, но они должны открываться перед представителей власти.
Замки кому-то что-то должны? Серьёзно? Неодушевлённые предметы что-то должны?
Не замки должны. А владелец двери должен эту дверь открыть, если есть соответствующий ордер. И если владелец этого не сделает, то представители власти имеют право применить силу. Не замок или дверь обязаны открыться. А, например, полиция имеет право взломать замок, выбить дверь и т.д. И работает это только потому, что они физически могут применить силу, и это эффективно. Право не подкреплённое физической возможностью, реализовать затруднительно. Закон, противоречащий реальности, очевидно, работать не будет.
И в случае с шифрованием, никто не отнимает у власти право на применение силы. Пускай брутфорсят. Слишком долго? Что ж, сила имеет свои пределы. Её не всегда достаточно, и она не всегда эффективна. А власть это не всемогущество, а всего лишь право применить силу. Лет 300 назад у власти тоже были свои проблемы, например тяжело было управлять большими территориями, и уследить за большим количеством людей. Современные технологии упростили эти задачи на несколько порядков, сделав возможным то, что раньше было невозможно. Но они же породили и новые проблемы, которые опять не позволяют контролировать всё. И это не происки криптоанархистов, посягающих на «священное» право власти вскрывать любой шифр. Это просто мир так устроен. Некоторые люди отказываются это понимать, и хотят чтобы у них просто был способ всё контролировать. Они думают что замок сам собой должен перед ними открыться. Хотят, чтобы закон, придуманный ими, имел больший приоритет, чем законы природы. Но так не бывает. Так никогда не было. И так никогда не будет. Потому что это так не работает. Чтобы замки начали открываться сами собой, понадобится божье чудо, а не ордер мещанского суда Москвы.Ndochp
04.04.2018 10:34Они могут не только вынести замок, но и посадить того, у кого есть ключ, если он отказывается сотрудничать. Это и есть основное подкрепление силой, а не кувалда в руках полицейского.
Cryvage
04.04.2018 12:03Могут и посадить. А где-то могут и убить. Но я бы не назвал это основным подкреплением силой. По крайней мере, не во всех ситуациях. Если целью является получение того, что спрятано под замком, то посадка человека, предположительно владеющего ключом — это всего лишь косвенный способ, который не обязательно приведёт к результату. Да и не всегда до человека так просто добраться. В общем, ситуации разные бывают.
На мой взгляд, не следует, так вот с ходу делить способы применения силы на основные и не основные. У каждого из них свой эффект, и своя цена. Правильней будет рассматривать их с точки зрения эффективности в конкретной ситуации. И если надо попасть за запертую дверь, то кувалда в руках полицейского, мне видится эффективней (быстрее, дешевле, надёжней), чем судебный процесс над владельцем ключа.
Конечно, посадить могут и после того, как всё уже закончилось, и дверь была выбита. Правда, уже совсем с другой целью — поддержать свой авторитет, чтобы другим не повадно было отказываться от сотрудничества. Но это ни как не тянет на основное проявление силы. Скорее это выявляет слабость. Поддержание авторитета — это необходимость. Нужда. А нужда — это слабость.ploop
04.04.2018 21:51И если надо попасть за запертую дверь, то кувалда в руках полицейского, мне видится эффективней (быстрее, дешевле, надёжней), чем судебный процесс над владельцем ключа.
Да, но представим, что дверь без ключа не открыть. Вот никак (что является полной аналогией шифрованных данных). Тогда остаётся только одно — давление на хозяина ключа. И в случае с физической дверью это будет законно, хотя саму по себе невзламываемую дверь дверь никто вроде и не запрещает, но она теряет всякий смысл, ибо хозяин её становится преступником из-за отказа открыть её.
К чему я и веду.RomanKerimov
04.04.2018 21:57Только при полной аналогии с шифрованием не на хозяина ключа, а на производителя двери, у которого ключа нет. И если он не может его предоставить, то ему запрещают продавать двери на территории государства.
ploop
04.04.2018 22:03Да, как-то так получается. И я больше чем уверен, что в реальности производителю таких невзламываемых дверей продавать их действительно запретили бы.
RomanKerimov
04.04.2018 22:11Но не ясно, в чём смысл такого запрета, так как технология таких дверей общедоступна, поэтому ничто не мешает сделать её самостоятельно.
psylostlife
02.04.2018 23:35Вы ошибаетесь. Без законного основания по решению суда сделать они этого не вправе.
9660
03.04.2018 07:04Вправе. Достаточно подозрения что за запертой дверью происходит преступление.
Федеральный закон от 07.02.2011 N 3-ФЗ (ред. от 07.03.2018) «О полиции»
Статья 15. Вхождение (проникновение) в жилые и иные помещения, на земельные участки и территории
ploop
03.04.2018 07:40Вы ошибаетесь.
Где же?
Без законного основания по решению суда сделать
А суд, собственно, чей инструмент? Дядя Вася не может осудить вас и лишить свободы.
Seekeer
02.04.2018 15:47Велика вероятность, что таки 4го числа РКН заблокирует телегу. Кто как к этому готовится?
ploop
02.04.2018 21:32Кто как к этому готовится?
Нам то чего готовиться, он прокси поддерживает. Вопрос, что делать остальным из списка контактов…
RomanKerimov
02.04.2018 21:44Владельцам iPhone и iPad нужно купить Mac, если ещё нет, чтобы иметь возможность собрать клиент, который будет удалён из магазина. С устройствами на Android всё значительно проще.
mwizard
03.04.2018 03:25Т.е. заблокируют в России, но из Apple Store удалят для всего мира? Восхитительно. А можно узнать, откуда данные про то, что клиент удалят?
psylostlife
02.04.2018 23:36Всё уже заготовлено Дуровым пол года назадmtex
02.04.2018 23:55Давно готовлюсь, переманивая всех знакомых на Matrix. Насколько успешно? Ну, по крайней мере, группа нашего спортклуба переехала из телеги именно туда.
donkilluminatti
03.04.2018 09:22Что за matrix? Можно ссылочку?
mtex
03.04.2018 10:08Конечно: matrix.org
И наиболее распространенный клиент: riot.imball-1
03.04.2018 12:08Riot требует телефонного номера для регистрации…
TheGodfather
03.04.2018 15:57Как и телеграм?
QDeathNick
03.04.2018 16:51Этот ркн-бот ввёл вас в заблуждение. Ни сама сеть matrix ни приложение не требуют ничего кроме логина и пароля.
Остальное можно ввести опционально для восстановления пароля.ball-1
04.04.2018 08:29Сам бот! Там на сайте при регистрации требуют только телефон. Почта и остальное — опционально. Вот страница регистрации Риота
ball-1
04.04.2018 08:48UPD: За ссылки спасибо, телефон хочет, но не заставляет, просто форма выглядит двусмысленно. Почта указана «необязательной», а телефон нет. Но при регистрации особо не мешает, можно телефон, можно почту. Можно вообще ничего, но не даст восстановиться.
mtex
04.04.2018 11:06Нет, не требует. Телефон (как и email) опционален, что явно указано.
Скрытый текст
cicatrix
02.04.2018 15:59А у нас в стране разве можно пользоваться несертифицированными средствами криптографии?
По-моему «низзя». Так что формальный повод для закрытия уже есть.
Правда, по этому же прецеденту можно и SSL запретить :)a5b
02.04.2018 16:27В некоторых случаях пользоваться можно:
https://rg.ru/2012/04/24/shifry-site-dok.html Постановление Правительства Российской Федерации от 16 апреля 2012 г. N 313 г. Москва "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных… (за исключением случая, если техническое обслуживание шифровальных… осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
см. "3. Настоящее Положение не распространяется на деятельность с использованием:"
б)… либо симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит, либо ассиметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления дискретных логарифмов в иной группе размера, не превышающего 112 бит;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями… и техническая документация… и техническая документация
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности которых ограничены использованием в оборудовании
ж) оборудования, криптографические возможности которого недоступны пользователю
и) портативных или мобильных радиоэлектронных средств гражданского назначения… которые неспособны к сквозному шифрованию (то есть от абонента к абоненту);plastilinko
02.04.2018 16:58длиной, не превышающей 56 бит,
размера, не превышающего 112 бит
так и хочется сказать что все что до 112 бит уже успешно брутфорсится а посему можно и не предоставлять ибо все равно сломаем :)a5b
02.04.2018 17:44Говорят, будто 56/512/112 бит пришло из https://en.wikipedia.org/wiki/Wassenaar_Arrangement (12 July 1996) и экспортного контроля
https://crypto.stackexchange.com/questions/6721/export-from-us-of-crypto-software-with-key-size-56-bits-still-needs-permission
В отдельных странах регуляторы поддались давлению каких-то производителей софта и изменили лимиты — https://www.federalregister.gov/documents/2011/01/07/2010-32803/publicly-available-mass-market-encryption-software-and-other-specified-publicly-available-encryption (“mass market” encryption software on the Internet for free and anonymous download… Publicly available encryption software in object code with a symmetric key length greater than 64-bits that has been determined to be mass market software).
В других — как единожды зафиксировали в копии BIS/EAR списки (переводы), так и продолжают соблюдать букву изначальных соглашений, не реализуя поправки Wassenaar 1998 http://digitalcommons.wcl.american.edu/cgi/viewcontent.cgi?article=1264&context=auilr#page=6 "maximum bit length of 64-bits on exports of mass-market encryption softvare", 2000 http://www.cryptolaw.org/cls2.htm "In its meeting of 30 November-1 December 2000, the Wassenaar states lifted the 64-bit limit for export controls on mass-market crypto software and hardware", и т.п.
(https://www.securitylab.ru/informer/240707.php указ №334 от 3 апреля 1995 — о запрете криптографии)
sumanai
03.04.2018 09:02так и хочется сказать что все что до 112 бит уже успешно брутфорсится
На это и рассчитывалось.
v00v
02.04.2018 16:40-2атдай
ZorKesh
02.04.2018 16:40+1Сама бумага прекрасна.
1. Указывается какие чаты есть… Но говорится только про ключи секретных чатов. Господа «юристы», а как насчет обычных? Их данное обращение обходит стороной. Интересно почему =)
2. Как работает «распределенная» структура мессенджера прекрасно показал сбой на прошлой неделе, когда из-за проблем одного дата-центра накрылся весь европейский сегмент.
Ну если под распределенностью понимается то, что разные регионы обслуживаются разными дата-центрами, тогда да…
achekalin
02.04.2018 16:53+2Ализар, за неимением контента, не просто приложил фото бумаги, но и перепечатал ее содержимое. Можно бы еще фото квиточка о вручении и конверта, но, наверное, не сложилось.
Думается, будем иметь прецедент окрика со стороны судьи — «раз так, переделайте систему, чтобы выполнение требований сделалось технически возможным, а пока — зааакрыть!»
Lexxnech
02.04.2018 18:12Это будет равносильно фразе «откажитесь от всех рынков, кроме российского».
Вообще, это будет хорошим поводом для Телеграма публично заявить, что российские спецслужбы требуют предоставить им возможность взламывать и читать переписку граждан других стран, а за неисполнение требований угрожают блокировкой, причем делают это открыто. Не для российской аудитории заявить, разумеется.
General_Failure
03.04.2018 07:04Не для российской аудитории заявить
А что мешает заявить это российской аудитории? Им-то раскачивание лодки ничем не грозит
hippohood
03.04.2018 09:04Российскому суду пофиг же
Lexxnech
03.04.2018 10:30А вот не факт. Это уже будет не сугубо внутренний вопрос. Из этого можно раздуть неслабый дипломатический скандал и сомневаюсь, что Роскомнадзор пойдет на принцип «все равно по закону будем блокировать». С блокировками сдавали назад и по меньшему поводу.
FransisJasper
02.04.2018 18:17-1Встретил такое мнение вроде по этому вопросу (хотя не уверен, что именно по этому).
Stan_1
02.04.2018 18:56-1Можно сделать проще.
1. Встроить алгоритм, который отсылает в ФСБ ключи секретных чатов.
2. Предупреждать об этом пользователей при создании серетных чатов
3. От имени какой-нибудь «независимой группы» разработчиков собрать отдельную версию телеграмма, которая будет реализовывать «прямые» секретные чаты без взаимодействия с ФСБ.
Профиты:
1. Не блокируется Телеграмм на территории России (требования регулятора выполнены)
2. Кому надо пользоваться безопасными чатами — ставят «независимую» версию. Поскольку API единый, альтернативный месседжер будет спокойно связываться
3. ФСБ Телеграмм честно заявляет: не знаю, кто, когда и зачем написал альтернативного клиента.
powerman
03.04.2018 16:58+1Может просто сделать опциональную галочку в настройках "я нахожусь в юрисдикции России и хочу отправлять ключи своих секретных чатов в ФСБ", показываемую только юзерам из России, можно даже включенную по умолчанию. Опциональность галочки можно аргументировать тем, что алгоритм определения находится ли конкретный юзер в юрисдикции России несовершенен, и необходимо дать возможность пользователям, которые считают что они не в юрисдикции России отказаться от отправки ключей в ФСБ. Не исключено, что в этом случае телеграм сможет отболтаться тем, что он технически отправку ключей реализовал, а если отдельные пользователи нарушают закон и снимают галочку — так это они нарушают, а не телеграм.
alix_ginger
04.04.2018 09:53А еще лучше при запуске с потенциально российского IP выдавать сообщение типа такого:
Похоже, что Вы находитесь на территории страны, запрещающей полноценное безопасное использование Телеграма. Если это не так, нажмите кнопку «У меня есть право на тайну переписки» чтобы продолжить использование.
Тогда и пользователь вроде бы не виноват.
zenkz
02.04.2018 19:52Блин, ну до чего же узколобые сидят в РКН! Даже если Телеграм изменит алгоритм и перешлёт им все ключи, то это решит проблему чтения переписки только обычных «хомячков» и прочих доморощенных опозиционеров или террористов. Если кому-то нужно передать информацию, то он может её зашифровать перед отправкой и даже после расшифровки сообщения с помощью «ключей от Телеграма» оно останется набором букв и цифр. ДБ!
P.S. Если бы мне нужно было заморочиться с передачей информации, я бы её зашифровал и в картинку/видео вставил, а результат выложил где-нибуть на пикабу или гиктаймсе (да не важно где — главное чтобы аудитория была в несколько миллионов). Тогда даже получателя будет сложно отловить, а не то что расшифровать…hippohood
03.04.2018 09:11+2Хомячки и доморощенные оппозиционеры их устроят. Террористы прекрасно обходятся обычным смс
zzzevaka
02.04.2018 20:06+2почему РСКН не прессует whatsapp, который тоже заявляет сквозное шифрование? Им не нравится конкретно Дуров или кто-то лукавит?
ibKpoxa
02.04.2018 23:50Потому что все по закону, для телеги есть решение суда, а вот ватсаппом пока что преступники не допользовались так, чтобы было решение суда.
a5b
04.04.2018 02:35Whatsapp пока что не в реестре организаторов распространения информации, а телеграм туда добавили/добавился:
https://reestr.rublacklist.net/distributors/
https://97-fz.rkn.gov.ru/
Зато есть в этом реестре такие сайты как:
vk.com mamba.ru wamba.com mail.yandex.ru ok.ru e.mail.ru my.mail.ru agent.mail.ru cloud.mail.ru mail.rambler.ru habrahabr.ru liveinternet.ru ucoz.ru moikrug.ru 2ch.hk forum.qwerty.ru threema.ch (Threema GmbH) vimeo.com badoo.com turbobit.net hitfile.net wayupload.com depositfiles.com depositfiles.org dfiles.eu dfiles.ru mediaget.com Wechat.com telegram.org snap.com
psylostlife
02.04.2018 23:24Учитывая количество наших чиновников, которые сидят в нем по причине анонимности и защиты — что же, им снова придется искать что-то нечитаемое в случае чего? Бедолаги.
Zheleziaka
02.04.2018 23:28Кажется я уже это где-то видел… " Apple против ФБР: шифр или безопасность? ", история повторяется?
redpax
03.04.2018 00:51Все думают, что телеграм нельзя запретить в России, обсуждают какието там прокси опции. Всё делается проще, Россия требует убрать telegram из appstore и на этом всё заканчивается навсегда, apple исполнит требования, как это и делала всегда.
RomanKerimov
03.04.2018 01:04У кого есть macOS, по?прежнему смогут пользоваться. А с Android всё значительно проще.
General_Failure
03.04.2018 07:09Есть ещё десктоп-клиент, который прекрасно работает без мобильного собрата (в отличие от вайбера и вацапа)
Удобств конечно меньше (ноут в карман не сунешь), но тем не менее — пользоваться можно
Ну и если уж совсем припрёт именно на телефоне, невзирая на любые неудобства — удалённый рабочий стол (сервер на десктопе с запущенной телегой, а на телефоне подключенный клиент)RomanKerimov
03.04.2018 07:14Все же, наверное, проще будет найти macOS и собрать клиент из исходников.
vasfed
03.04.2018 13:48С пушем проблемы будут — для development-сборок он не работает, не говоря уже о сертификатах/токенах, которые привязываются к апликухе в сторе
Но как крайняя мера — пойдетRomanKerimov
03.04.2018 14:44Через TestFlight с пушами не должно быть проблем. Можно на 2000 пользователей распространить.
vasfed
03.04.2018 14:54TestFlight на непривязанные девайсы это уже ревью и заведение аппы на своем аккаунте — если на apple достаточно сильно надавят, то могут обрубить
Плюс надо чтобы сам телеграм пушил в APNs с токеном от этой аппы вместо официальной (тут надо протокол уже смотреть, мб там предусмотрено)RomanKerimov
03.04.2018 15:01Наверняка предусмотрено, так как есть же сторонние клиенты. А обрубить значительно сложнее, так как ревью там упрощённое, а государству для выявления таких билдов уже нужна агентурная сеть, чего они хотят избежать.
sumanai
03.04.2018 09:05Всё делается проще, Россия требует убрать telegram из appstore
Я что-то упустил, и у меня айфон вместо андроида?powerman
03.04.2018 17:14Если уберут из аппстора, то треть юзеров не сможет его поставить. А если треть ваших контактов не может использовать IM — это сильно уменьшает его популярность и мотивирует всех перейти на альтернативу.
ehabi
03.04.2018 04:06«Если ведомство свои аккаунты не проверяет, как туда что-то можно отправлять, будь то срам или ключи шифрования? — задаёт вопрос адвокат. — оговорочка по Фрейду.
Arson
03.04.2018 09:22-1По моему ответ телеграмма с таким упором именно на секретные чаты, похож на свидетельство канарейки про компрометацию чатов обычных. Хотя, может я слишком много общаюсь с юристами…
datafile4
03.04.2018 09:22Я кое-что не понял. Получается, «облачные переписки», в отличие от «секретных», всё же возможно сливать органам?
alexlan50
03.04.2018 12:08-1Вся суть телеграма в авторизации по сим-карте. Ну что с того что ты купил левую карту с рук? Ты сунешь ее в свой аппарат и свяжешь с IMEI, где когда-то стояла или будет стоять твоя реальная симкарта. Вот и деанон. Сливает, что тут гадать
LenKagamine
03.04.2018 13:26+1Вы заблуждаетесь. Телеграмм никогда не заявлял о своей анонимности.
Сливает, что тут гадать
Здесь нужно не гадать, а привести аргументы.
dydyman
03.04.2018 13:54+1Ты сунешь ее в свой аппарат и свяжешь с IMEI, где когда-то стояла или будет стоять твоя реальная симкарта.
А кто-то предварительно IMEI сменит в аппарате, или поставит симку в модем с прошивкой, в которой IMEI рандомно генерируется (есть и такое) и получит более-менее анонимный инет. Только непонятно, какое это имеет отношение к телеграмму и, тем более, как связано со его «сливанием».
niven
03.04.2018 12:08Вот бы кто разобрал алгоритм генерации ключа в клиенте. Например, что источником энтропии является.
Сам не программист, не осилю. А интересно может быть многим.RomanKerimov
03.04.2018 14:17habrahabr.ru/post/206900/#comment_7127066 — здесь разработчики писали про алгоритм Ярроу.
RKGeek
03.04.2018 12:08-8Давно пора прикрыть этот Telegram. Пускай как хотят так и расшифровывают трафик, если не хотят то до свидания.
General_Failure
03.04.2018 13:12+1Первый комментарий и сразу хабрасамороскомнадзор
С чего вы взяли, что шифрование не нужно другим? С того, что оно не нужно вам?
То что это против педотеррористов не поможет, сто раз уже объясняли — они просто перейдут на малоизвестные способы общения и другие способы шифрования, а также на смс в последний момент, когда всё готово и осталось только совершить свои зароскомнадзоренные действияtvr
03.04.2018 13:14+2Кому вы это объясняете, аккаунту, который без малого два года ждал своего звёздного часа, собираясь с мыслями? Бессмысленно. Не кормите.
RKGeek
04.04.2018 17:48то что мне тут писать запрещали или блокировали мои сообщения не значит что у меня нет мнения или что оно не столь достойно внемания как ваше
tvr
04.04.2018 18:19+1Щито?
Вы утверждаете, что вам кто-то запрещал писать тут?
Вы утверждаете, что кто-то блокировал ваши сообщения тут?
Интересно кто и каким образом тогда появляются ваши сообщения тут?
Или я неверно понял ваш крик души, что неудивительно, ибо знаки препинания, вместе с доступом к аккаунту, вам выдать забыли.
robo2k
03.04.2018 13:12-3Вот скажите мне, чем Telegram лучше того же Discord?
rustavelli
03.04.2018 15:15В нём нет танкистов? С ними как-то рядом на одном сервере сидеть не хочется.
kaplson
03.04.2018 16:34+1Подозреваю, что письмо, отправленное в Роскомнадзор, летело как раз на том Дроне, который испытывала Почта России вчера…
1eqinfinity
04.04.2018 11:46В цитаты :)
«Если въдомство свои аккаунты не проверяетъ, какъ туда что-то можно отправлять, будь то срамъ или ключи шифрованiя?»
dioneo
04.04.2018 12:01Началось.
Только что директор ФСБ на Московской конференции по международной безопасности заявил, что: «В минувшем году в России предотвращены 25 терактов, совершены четыре, все они координировались через мессенджеры».
br0x
04.04.2018 12:41Не вижу никаких препятствий в решении проблемы — чтоб «и овцы, и волки».
Создаем 2 версии мессенджера — «секретную» для террористов и «обычную» для нормальных людей. Объявляем об этом публично в лицензионном соглашении.
«Секретную» нужно сделать платной и все сервера разместить за рубежом.
«Обычную» версию модифицируем таким образом, чтобы третья сторона (ФСБ и другие спецслужбы) получала все необходимые ключи на этапе генерации ключей.
Profit!dioneo
04.04.2018 13:51А где предел? Большинство террористов пользуются смартфонами, которые оборудованы камерами, микрофонами и модулями 4G и WiFi. Обязать всех операторов связи и производителей телефонов… Да сейчас это кажется нелепым, но раньше казалось нелепым, что какое-то государство издаст закон, который позволит ему получать доступ ко всем звонкам и сообщениям всех своих граждан.
trapwalker
04.04.2018 15:45А что мешает телеграмму ввести автоматический режим обхода блокировок, чтобы совсем уж не пришлось ничего настраивать. Сообщения всё равно летают шифрованные, к socks серверам одно требование — более менее стабильно работать. Это значит, что можно держать на куче узлов в сети эти списки прокси-серверов и прокидывать API телеграмма автоматически через один из таких прокси, если не доступен прямой канал.
Я бы даже сделал такой режим по умолчанию в официальном клиенте, но если нет, то одна галочка — это куда понятнее простым юзерам, чем вводить какие-то параметры со «страшными» названиями в настройках, искать эти параметры в интернете, понимать по косвенным признакам работают они или нет, а может просто с интернетом проблемы…
basilbasilbasil
"ну дааай..."
xi-tauw
«атдай»
tvr
«А если найду?»
Ckpyt
Не "найду", а "проведу аудит безопасности с целью обнаружения возможности доступа к приватным данным".
trapwalker
Я бы сказал, что больше похоже на «купи кирпич», а тёмная подворотня в этой аналогии — это наша юридическая система с непонятно как продвигаемыми абсурдными и неконституционными законопроектами, направленными, очевидно, на создание юридических лазеек для воздействия и давления на любого человека и любое сообщество.