«Па-першае, код праграмы закрыты і не праходзіў ніякіх публічных аўдытаў». Дык дураўскі тэлеграм таксама не прайшоў ніводны аўдыт на захадзе (які напрыклад праходзіць той жа ватсап), але ж гэта вам не замінае суваць тг паўсюль.
Янка
18.09.2024
Хамячам, Telegram николі і не пазіцыянаваў сабе яе бяспечны мэсенджэр. Галоўныя намаганні Дурава заўсёды былі сканцэнтраваныя на працаздольнасці Telegram. На конт Depesha - няхай распаўсяджваецца. А ягоны аудыт зробяць кіберпартызаны.
.
18.09.2024
Не так. 1. Пратаколы Telegram і WhatsApp кожны праходзілі аўдыты. Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі, а гэта лічыцца дрэнным прынцыпам. Але да вядомых узломаў гэта пакуль не прыводзіла. Вацап ламалі некалькі разоў. 2. Афіцыйныя кліентскія праграмы тэлеграм усе з адкрытым кодам, вацап - закрытыя. Гэта значыць, што праверыць адсутнасць падазронай актыўнасці (напрыклад, адсылку з кліента паведамленняў нейкаму трэцяму боку) ў тэлеграме вы можаце, у вацап - не. 3. Серверныя часткі тэлеграм і вацап праверыць нельга ніяк. І нават калі аудыт пройдзе на адным з гэтых сэрвісаў, ніхто не гарантуе, што на наступны дзень на серверы нешта не зменіцца. Але калі ўзаемадзеянне ідзе непасрэдна паміж кліентскімі праграмамі - вацап з кожным абанентам, тэлеграм толькі ў сакрэтных чатах - змены на серверы на гэта не паўплываюць.
Папярэджваю, што пад кожным артыкулам пра мэсэнджары на Нашай Ніве - вал эмацыйных тэхнічна непісьменных каментаў. Нават пра падазроны новы мэсанджар для чыноўнікаў пішуць пра тэлеграм. Мэта - каб людзі пужаліся агульна, не разбіраліся, не карысталіся нічым. Падрабязней пісаў у каменце пад артыкулам https://d3kcf2pe5t7rrb.cloudfront.net/351060
Þ
18.09.2024
., >Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі, Если Вы про MTProto, то не соглашусь, поскольку это целостный протокол передачи данных, который использует классические и проверенные временем алгоритмы шифрования. С точки зрения криптографии претензий к нему быть не должно. Основные плюсы MTProto с точки зрения белорусов - это механизмы маскировки траффика, помогающие обходить блокировки, а также механизмы позволяющие работать в условиях нестабильного и медленного интернета, когда пытаются ограничить обмен информацией.
1
19.09.2024
., а скіньце спасылкі на сайты заходніх аўдытарскіх кампаній, дзе было бы пазначана, што тэлеграм прайшоў аўдыт. Па другое, тэлеграм ламалі гадоў 10 таму дакладна.
.
19.09.2024
MTProto выкарыстоўваў састарэлы SHA-1 і быў уразлівы да атакі IND-CCA. Даследчыкі (Jakobsen, Orlandi, 2016) адзначалі, што гэта тэарэтычная слабасць, якую не атрымалася ператварыць у практычную. Але не бачаць сэнсу, чаму выкарыстоўваўся менш бяспечны падыход, калі адразу існавалі больш бяспечныя, і не менш эфектыўныя. Раней (x7mz, 2013) было знойдзена "паляпшэнне" алгарытму генерацыі ключа сакрэтных чатаў, якое магло дазволіць серверу чытаць перапіску. Усё гэта даўно выпраўлена ў MTProto 2.0. Але і пасля даследчыкі знаходзілі слабыя месцы (Paterson et.al., 2021), адзначалі, што многія рэчы маглі быць зроблены лепш, бяспечней і больш годнымі даверу стандартнымі спосабамі. Згодны, што магчымасць пераключэння на дадатковыя проксі ў пратаколе дала ў свой час магчымасць працаваць тэлеграму ў складаных умовах. Але і там, наколькі памятаю, зроблена праз падвойную шыфрацыю кантэнта, што неабавязкова рабіць так складана. Увогуле гэта прыклады пра тое, што распрацоўшчыкі занадта самаўпэўненыя і займаліся тым, што мае назву "inventing your own security".
І паўтару, што ўразлівасці былі выпраўленыя, да вядомых узломаў гэта пакуль не прыводзіла. Сам іх пошук быў магчымы як раз у працэсе дэталёвых аудытаў.
.
19.09.2024
Я вышэй ужо напісаў, што там дакладна знаходзілі і хто аўтары даследчыкі. Акрамя таго, не знаходзілі праблем аудыты Electronic Frontier Foundation у 2015 і Miculan, Vitacolonna 2020 і 2023. Спасылкі на ўсё гэта можна знайсці, напрыклад у ангельскай вікіпедыі, артыкул пра Telegram, раздзел Reception, Security.
Па-за межамі пратакола былі і застаюцца архітэктурныя ўразлівасці. Пакуль не прыдумалі 2FA пароль для акаўнта, можна было (на ўзроўні аператара, дзяржавы) падрабіць SIM-карту і скрасці акаўнт. У СМІ пісалі пра выпадкі, верагодна, як раз пра такое. Бяспека несакрэтных чатаў тэлеграма грунтуецца толькі на даверы да кампаніі і бяспецы яе сервераў. Нарэшце, пакуль людзі пішуць пад сваім імя, зразумела, што гэта не тэхнічная праблема любых дакладных інструментаў.
Ёрк
18.09.2024
Асаб, напішы водгук, як табе гэты канторскі месенджар “дэпеша”? Дарэчы, сінонімы да слова дэпеша - гэта данясенне, тэлеграма. Якое супадзенне. Насамрэч тэлеграм я таксама б не раіў чытачам выкарыстоўваць для бяспечнай камунікацыі, бо там нуль бяспекі, бо частка сервераў тэлеграма знаходзіцца ў тым ліку і ў рф.
Мх
18.09.2024
Таксама хацелася б пачытаць меркаванні гэтай Алісы.
.
18.09.2024
У тэлеграма 5 дата-цэнтраў. RU, BY і Усходнюю Еўропу абслугоўвае DC2 у Амстэрдаме.
●
18.09.2024
) Ўсе - ўсе рэсурсы, сэрвісы , службы , сайты ... і так далей . Даступныя звычайнаму карыстальнікў праз браузеры , пратаколы , іншае рапаўсюджаныя даступныя сродкі , гэта менш за 10% ад рэальнага інтэрнета . 90% сеткі знаходзіцца на больш глыбокіх узроўнях . Калі патрэбна бяспека , а не збіранне падабаек - заўседы есць такая магчымасць. Толькі прыйдецца прыкласці крыху цярпення і працы .
Дзе Паша?
18.09.2024
Дзіўна, што сайт называецца 'Depecha', а служба падтрымкі ў лістах піша 'Depesha'. Выглядае абсалютна несур'ёзна.
Для чыноўнікаў распрацавалі месенджар Depesha. У чым яго галоўная праблема?
1. Пратаколы Telegram і WhatsApp кожны праходзілі аўдыты. Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі, а гэта лічыцца дрэнным прынцыпам. Але да вядомых узломаў гэта пакуль не прыводзіла. Вацап ламалі некалькі разоў.
2. Афіцыйныя кліентскія праграмы тэлеграм усе з адкрытым кодам, вацап - закрытыя. Гэта значыць, што праверыць адсутнасць падазронай актыўнасці (напрыклад, адсылку з кліента паведамленняў нейкаму трэцяму боку) ў тэлеграме вы можаце, у вацап - не.
3. Серверныя часткі тэлеграм і вацап праверыць нельга ніяк. І нават калі аудыт пройдзе на адным з гэтых сэрвісаў, ніхто не гарантуе, што на наступны дзень на серверы нешта не зменіцца. Але калі ўзаемадзеянне ідзе непасрэдна паміж кліентскімі праграмамі - вацап з кожным абанентам, тэлеграм толькі ў сакрэтных чатах - змены на серверы на гэта не паўплываюць.
Папярэджваю, што пад кожным артыкулам пра мэсэнджары на Нашай Ніве - вал эмацыйных тэхнічна непісьменных каментаў.
Нават пра падазроны новы мэсанджар для чыноўнікаў пішуць пра тэлеграм. Мэта - каб людзі пужаліся агульна, не разбіраліся, не карысталіся нічым. Падрабязней пісаў у каменце пад артыкулам https://d3kcf2pe5t7rrb.cloudfront.net/351060
>Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі,
Если Вы про MTProto, то не соглашусь, поскольку это целостный протокол передачи данных, который использует классические и проверенные временем алгоритмы шифрования.
С точки зрения криптографии претензий к нему быть не должно.
Основные плюсы MTProto с точки зрения белорусов - это механизмы маскировки траффика, помогающие обходить блокировки, а также механизмы позволяющие работать в условиях нестабильного и медленного интернета, когда пытаются ограничить обмен информацией.
Раней (x7mz, 2013) было знойдзена "паляпшэнне" алгарытму генерацыі ключа сакрэтных чатаў, якое магло дазволіць серверу чытаць перапіску.
Усё гэта даўно выпраўлена ў MTProto 2.0. Але і пасля даследчыкі знаходзілі слабыя месцы (Paterson et.al., 2021), адзначалі, што многія рэчы маглі быць зроблены лепш, бяспечней і больш годнымі даверу стандартнымі спосабамі.
Згодны, што магчымасць пераключэння на дадатковыя проксі ў пратаколе дала ў свой час магчымасць працаваць тэлеграму ў складаных умовах. Але і там, наколькі памятаю, зроблена праз падвойную шыфрацыю кантэнта, што неабавязкова рабіць так складана.
Увогуле гэта прыклады пра тое, што распрацоўшчыкі занадта самаўпэўненыя і займаліся тым, што мае назву "inventing your own security".
І паўтару, што ўразлівасці былі выпраўленыя, да вядомых узломаў гэта пакуль не прыводзіла. Сам іх пошук быў магчымы як раз у працэсе дэталёвых аудытаў.
Акрамя таго, не знаходзілі праблем аудыты Electronic Frontier Foundation у 2015 і Miculan, Vitacolonna 2020 і 2023.
Спасылкі на ўсё гэта можна знайсці, напрыклад у ангельскай вікіпедыі, артыкул пра Telegram, раздзел Reception, Security.
Па-за межамі пратакола былі і застаюцца архітэктурныя ўразлівасці. Пакуль не прыдумалі 2FA пароль для акаўнта, можна было (на ўзроўні аператара, дзяржавы) падрабіць SIM-карту і скрасці акаўнт. У СМІ пісалі пра выпадкі, верагодна, як раз пра такое.
Бяспека несакрэтных чатаў тэлеграма грунтуецца толькі на даверы да кампаніі і бяспецы яе сервераў. Нарэшце, пакуль людзі пішуць пад сваім імя, зразумела, што гэта не тэхнічная праблема любых дакладных інструментаў.