Каментары да артыкула

Для чыноўнікаў распрацавалі месенджар Depesha. У чым яго галоўная праблема?

  • Хамячам
    18.09.2024
    «Па-першае, код праграмы закрыты і не праходзіў ніякіх публічных аўдытаў». Дык дураўскі тэлеграм таксама не прайшоў ніводны аўдыт на захадзе (які напрыклад праходзіць той жа ватсап), але ж гэта вам не замінае суваць тг паўсюль.
  • Янка
    18.09.2024
    Хамячам, Telegram николі і не пазіцыянаваў сабе яе бяспечны мэсенджэр. Галоўныя намаганні Дурава заўсёды былі сканцэнтраваныя на працаздольнасці Telegram. На конт Depesha - няхай распаўсяджваецца. А ягоны аудыт зробяць кіберпартызаны.
  • .
    18.09.2024
    Не так.
    1. Пратаколы Telegram і WhatsApp кожны праходзілі аўдыты. Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі, а гэта лічыцца дрэнным прынцыпам. Але да вядомых узломаў гэта пакуль не прыводзіла. Вацап ламалі некалькі разоў.
    2. Афіцыйныя кліентскія праграмы тэлеграм усе з адкрытым кодам, вацап - закрытыя. Гэта значыць, што праверыць адсутнасць падазронай актыўнасці (напрыклад, адсылку з кліента паведамленняў нейкаму трэцяму боку) ў тэлеграме вы можаце, у вацап - не.
    3. Серверныя часткі тэлеграм і вацап праверыць нельга ніяк. І нават калі аудыт пройдзе на адным з гэтых сэрвісаў, ніхто не гарантуе, што на наступны дзень на серверы нешта не зменіцца. Але калі ўзаемадзеянне ідзе непасрэдна паміж кліентскімі праграмамі - вацап з кожным абанентам, тэлеграм толькі ў сакрэтных чатах - змены на серверы на гэта не паўплываюць.

    Папярэджваю, што пад кожным артыкулам пра мэсэнджары на Нашай Ніве - вал эмацыйных тэхнічна непісьменных каментаў.
    Нават пра падазроны новы мэсанджар для чыноўнікаў пішуць пра тэлеграм. Мэта - каб людзі пужаліся агульна, не разбіраліся, не карысталіся нічым. Падрабязней пісаў у каменце пад артыкулам https://d3kcf2pe5t7rrb.cloudfront.net/351060
  • Þ
    18.09.2024
    .,
    >Коратка, тэлеграм неідэальны, бо спрабаваў прыдумваць нешта сваё ў крыптаграфіі,
    Если Вы про MTProto, то не соглашусь, поскольку это целостный протокол передачи данных, который использует классические и проверенные временем алгоритмы шифрования.
    С точки зрения криптографии претензий к нему быть не должно.
    Основные плюсы MTProto с точки зрения белорусов - это механизмы маскировки траффика, помогающие обходить блокировки, а также механизмы позволяющие работать в условиях нестабильного и медленного интернета, когда пытаются ограничить обмен информацией.
  • 1
    19.09.2024
    ., а скіньце спасылкі на сайты заходніх аўдытарскіх кампаній, дзе было бы пазначана, што тэлеграм прайшоў аўдыт. Па другое, тэлеграм ламалі гадоў 10 таму дакладна.
  • .
    19.09.2024
    MTProto выкарыстоўваў састарэлы SHA-1 і быў уразлівы да атакі IND-CCA. Даследчыкі (Jakobsen, Orlandi, 2016) адзначалі, што гэта тэарэтычная слабасць, якую не атрымалася ператварыць у практычную. Але не бачаць сэнсу, чаму выкарыстоўваўся менш бяспечны падыход, калі адразу існавалі больш бяспечныя, і не менш эфектыўныя.
    Раней (x7mz, 2013) было знойдзена "паляпшэнне" алгарытму генерацыі ключа сакрэтных чатаў, якое магло дазволіць серверу чытаць перапіску.
    Усё гэта даўно выпраўлена ў MTProto 2.0. Але і пасля даследчыкі знаходзілі слабыя месцы (Paterson et.al., 2021), адзначалі, што многія рэчы маглі быць зроблены лепш, бяспечней і больш годнымі даверу стандартнымі спосабамі.
    Згодны, што магчымасць пераключэння на дадатковыя проксі ў пратаколе дала ў свой час магчымасць працаваць тэлеграму ў складаных умовах. Але і там, наколькі памятаю, зроблена праз падвойную шыфрацыю кантэнта, што неабавязкова рабіць так складана.
    Увогуле гэта прыклады пра тое, што распрацоўшчыкі занадта самаўпэўненыя і займаліся тым, што мае назву "inventing your own security".

    І паўтару, што ўразлівасці былі выпраўленыя, да вядомых узломаў гэта пакуль не прыводзіла. Сам іх пошук быў магчымы як раз у працэсе дэталёвых аудытаў.
  • .
    19.09.2024
    Я вышэй ужо напісаў, што там дакладна знаходзілі і хто аўтары даследчыкі.
    Акрамя таго, не знаходзілі праблем аудыты Electronic Frontier Foundation у 2015 і Miculan, Vitacolonna 2020 і 2023.
    Спасылкі на ўсё гэта можна знайсці, напрыклад у ангельскай вікіпедыі, артыкул пра Telegram, раздзел Reception, Security.

    Па-за межамі пратакола былі і застаюцца архітэктурныя ўразлівасці. Пакуль не прыдумалі 2FA пароль для акаўнта, можна было (на ўзроўні аператара, дзяржавы) падрабіць SIM-карту і скрасці акаўнт. У СМІ пісалі пра выпадкі, верагодна, як раз пра такое.
    Бяспека несакрэтных чатаў тэлеграма грунтуецца толькі на даверы да кампаніі і бяспецы яе сервераў. Нарэшце, пакуль людзі пішуць пад сваім імя, зразумела, што гэта не тэхнічная праблема любых дакладных інструментаў.
  • Ёрк
    18.09.2024
    Асаб, напішы водгук, як табе гэты канторскі месенджар “дэпеша”? Дарэчы, сінонімы да слова дэпеша - гэта данясенне, тэлеграма. Якое супадзенне. Насамрэч тэлеграм я таксама б не раіў чытачам выкарыстоўваць для бяспечнай камунікацыі, бо там нуль бяспекі, бо частка сервераў тэлеграма знаходзіцца ў тым ліку і ў рф.
  • Мх
    18.09.2024
    Таксама хацелася б пачытаць меркаванні гэтай Алісы.
  • .
    18.09.2024
    У тэлеграма 5 дата-цэнтраў. RU, BY і Усходнюю Еўропу абслугоўвае DC2 у Амстэрдаме.
  • 18.09.2024
    ) Ўсе - ўсе рэсурсы, сэрвісы , службы , сайты ... і так далей . Даступныя звычайнаму карыстальнікў праз браузеры , пратаколы , іншае рапаўсюджаныя даступныя сродкі , гэта менш за 10% ад рэальнага інтэрнета . 90% сеткі знаходзіцца на больш глыбокіх узроўнях . Калі патрэбна бяспека , а не збіранне падабаек - заўседы есць такая магчымасць. Толькі прыйдецца прыкласці крыху цярпення і працы .
  • Дзе Паша?
    18.09.2024
    Дзіўна, што сайт называецца 'Depecha', а служба падтрымкі ў лістах піша 'Depesha'. Выглядае абсалютна несур'ёзна.
  •