Ci prydatny Telegram dla nasamreč biaśpiečnych kamunikacyj? Ekśpiert pa ličbavaj biaśpiecy tłumačyć, čamu jahony adkaz — nie
Pra toje, jak za vami sočyć płatforma, što nie tak u telehrama z šyfravańniem, čamu jahonyja suviazi z Rasijaj vyklikajuć šmat pytańniaŭ i jakija jość alternatyvy — u hruntoŭnym ahladzie daśledčyka Macieja Kovačyča, apublikavanym na jahonym resursie Telefoncek.si.
Šyfravańnie
Telegram nie vykarystoŭvaje skraznoje šyfravańnie, a tolki šyfravańnie na transpartnym uzroŭni, što aznačaje, što stvaralniki Telegram mohuć bačyć usie paviedamleńni karystalnika ŭ luby čas. Jany taksama zachoŭvajuć usie danyja i paviedamleńni karystalnikaŭ na svaich siervierach.
Da šyfravańnia paviedamleńniaŭ isnuje dva padychody. Adzin ź ich zaklučajecca ŭ vykarystańni šyfravańnia na ŭzroŭni pieradačy danych (transpartnym uzroŭni), kali paviedamleńnie šyfrujecca tolki padčas pieradačy pamiž roznymi siervierami, ale nie na samich siervierach. U hetym vypadku danyja na metavym sierviery rasšyfroŭvajucca i zachoŭvajucca tam ža abo pierasyłajucca na inšy siervier (u hetym vypadku jany mohuć być zašyfravanyja paŭtorna, ale ź inšym klučom).
Druhaja kancepcyja zaklučajecca ŭ šyfravańni ŭsiaho šlachu pieradačy danych. Hetaja kancepcyja taksama viadomaja jak skraznoje šyfravańnie. Tut pamiž kožnym kančatkovym punktam (naprykład, dvuma terminałami suviazi) naładžvajecca zašyfravanaja siesija, što aznačaje, što suviaź šyfrujecca na ŭsim šlachu ad pryłady da pryłady. U hetym vypadku suviaź nie moža być padsłuchanaja pravajdaram sietkavaj infrastruktury abo pastaŭščykom pasłuh suviazi (adnak jana moža być pierachoplenaja na zychodnym abo kančatkovym punkcie, ale heta taksama pracuje pry vykarystańni šyfravańnia na transpartnym uzroŭni).
Pa zmoŭčańni Telegram — vobłačnaja baza danych z kopijaj kožnaha paviedamleńnia, jakoje kali-niebudź adpraŭlaŭ kožny čałaviek, uklučajučy fota, videa i inšyja typy fajłaŭ. Hetaja baza danych taksama źmiaščaje ŭsie kantakty i siabroŭstvy ŭ hrupach karystalnika.
Heta možna lohka pravieryć, vydaliŭšy Telegram z mabilnaha telefona i ŭstalavaŭšy jaho na inšuju mabilnuju pryładu — Telegram sinchranizuje ŭsie kantakty i paviedamleńni na novaj pryładzie, nie zapytvajučy nijakaha parola. Paviedamleńni i kantakty mohuć być vydalenyja ź sierviera Telegram tolki ŭ tym vypadku, kali karystalnik vydalić svoj akaŭnt (zrabić heta možna tut).
Telegram nie vykarystoŭvaje skraznoje šyfravańnie pa zmoŭčańni. U svaich proma-materyjałach kampanija kaža, što prapanuje skraznoje šyfravańnie, ale tolki tamu, što ŭ im jość funkcyja Secret Chat, jakaja šyfruje adpraŭlenyja paviedamleńni. Adnak hetuju funkcyju treba ŭklučać uručnuju i karystacca joj niazručna.
Dla šyfravańnia Telegram vykarystoŭvaje ŭłasny pratakoł šyfravańnia, viadomy jak MTProto. Hety pratakoł byŭ raspracavany kampanijaj. Jon byŭ praanalizavany niekatorymi ekśpiertami pa biaśpiecy, i jany znajšli tam niekalki słabych miescaŭ.
Jakab Bjere Jakabsen z Orchuskaha ŭniviersiteta pravioŭ kryptaanaliz pratakołu ŭ 2015 hodzie dla svajoj mahistarskaj dysiertacyi i adkryŭ dźvie nievialikija ataki na asnoŭnuju schiemu šyfravańnia. Jon pryjšoŭ da vysnovy, što lepš addavać pieravahu dobra vyvučanym i dokazna biaśpiečnym schiemam šyfravańnia pierad samarobnymi pratakołami.
Navukoŭcy z ETH Zurich i Royal Holloway praviali ahlad biaśpieki MTProto ŭ červieni 2021 hoda i znajšli ŭ im čatyry ŭraźlivaści. Prafiesar ETH Zurich Kieni Patersan adznačyŭ, što šyfravańnie «budzie lepšym, nadziejniejšym i bolš vartym davieru pry vykarystańni standartnych padychodaŭ da šyfravańnia».
Vyjaŭlenyja ŭraźlivaści byli nie vielmi surjoznymi, a Telegram chutka adreahavaŭ i amal adrazu ž ich vypraviŭ. Ale analiz pakazaŭ važnaść praviła numar adzin u kryptahrafii: nikoli nie stvarajcie ułasnuju kryptahrafiju. Hetaje praviła značyć, što nie varta stvarać ułasnyja kryptaałharytmy i schiemy, bo, chutčej za ŭsio, vy dapuścicie surjoznuju pamyłku ŭ biaśpiecy, kali vy nie źjaŭlajeciesia ekśpiertam u halinie biaśpieki abo kryptahrafii i vaša schiema nie była praanalizavanaja niekalkimi inšymi ekśpiertami pa biaśpiecy.
Danyja hieałakacyi
Telegram maje dostup da hieałakacyjnych danych svaich karystalnikaŭ, tamu jon moža adsočvać ich dakładnaje miescaznachodžańnie.
U Telegram jość funkcyja (jakuju karystalniki pavinny aktyvavać uručnuju), jakaja dazvalaje karystalnikam znachodzić ludziej i hrupavyja čaty pobač ź ich miescaznachodžańniem. U minułym Telegram pakazvaŭ karystalnikam adnosnuju adlehłaść pamiž imi i inšymi karystalnikami ŭ mietrach. U sakaviku 2021 hoda daśledčyk biaśpieki Džefry Koapman vyjaviŭ, što hetaj funkcyjaj možna złoŭžyvać dla vyznačeńnia miescaznachodžańnia čałavieka.
Jon raspracavaŭ dokaz kancepcyi i prahramnaje zabieśpiačeńnie, jakoje možna vykarystoŭvać dla aŭtamatyčnaha zboru miescaznachodžańnia karystalnikaŭ Telegram. Jon taksama paviedamiŭ pra heta raspracoŭnikam Telegram, i tolki ŭ kancy lutaha 2022 hoda (prykładna praz tydzień paśla napadu Rasii na Ukrainu) Telegram źniziŭ dakładnaść funkcyi «Ludzi pobač».
Važna taksama adznačyć, što hetaja ŭraźlivaść była vypraŭlena paśla taho, jak 3 lutaha 2022 hoda OS2INT (arhanizacyja, jakaja navučaje i kansultuje ŭ halinie raźviedki z adkrytym zychodnym kodam) apublikavała padrabiazny artykuł pra toje, jak adsočvać pieramiaščeńnie rasijskich uzbrojenych sił z dapamohaj hetaj uraźlivaści. U svaim artykule jany pakazali, jak atrymać padrabiaznuju infarmacyju ab ruchach rasijskich uzbrojenych sił pablizu vajskovaj bazy ŭ pasiołku Sałoci ŭ režymie realnaha času.
Niahledziačy na toje, što ciapier Telegram pakazvaje źnižanuju dakładnaść miescaznachodžańnia karystalnikaŭ, całkam imavierna, što stvaralniki Telegram majuć dostup da vysokadakładnych hieałakacyjnych danych svaich karystalnikaŭ (dla tych, chto daŭ dazvoł na vyznačeńnie miescaznachodžańnia dla prahramy Telegram).
Palityka pryvatnaści
Palityka pryvatnaści Telegram ŭklučaje ŭ siabie mnostva admovaŭ ad adkaznaści, što dazvalaje im na zakonnych padstavach źbirać mnostva kanfidencyjnych danych. Naprykład, telehram moža zapisvać šerah mietadanych i zachoŭvać ich na praciahu hoda. Jany zajaŭlajuć: «my možam źbirać takija mietadanyja, jak vaš IP-adras, pryłady i prahramy Telegram, jakija vy vykarystoŭvali, historyju źmianieńniaŭ imionaŭ karystalnika i h.d.» (što kankretna majecca na ŭvazie pad «i h.d.» — nie tłumačycca — zaŭv. NN).
Jany taksama pišuć, što mohuć čytać i analizavać paviedamleńni karystalnikaŭ va ŭsich čatach, akramia sakretnych, kab rasśledavać vypadki rassyłki spamu i inšyja formy złoŭžyvańniaŭ.
Telegram i śpiecsłužby
Rasija i niekatoryja inšyja krainy (najbolš viadomy vypadak ź Iranam) u minułym niekalki razoŭ sprabavali zabłakavać Telegram. Kali ŭ Irana atrymałasia tak sabie, to Rasija dziejničała bolš aktyŭna.
Paśla taho jak Telegram admoviŭsia dać rasijskim uładam dostup da paviedamleńniaŭ karystalnikaŭ, maskoŭski sud u 2018 hodzie zabaraniŭ jaho ŭ Rasii. Telegram sprabavaŭ abminuć cenzuru i hulaŭ u koški-myški z Raskamnahladam, źmianiajučy IP-adrasy, jakija prahrama vykarystoŭvaje dla złučeńnia.
Ale Raskamnahlad navažyŭsia zabłakavać 19 miljonaŭ IP-adrasoŭ (uklučajučy Amazon Web Services i Google Cloud, jakija vykarystoŭvaŭ Telegram), kab efiektyŭna zabłakavać Telegram u Rasii. Pakolki rasijskamu biznesu takim čynam nanieśli vielizarnuju spadarožnuju škodu, Raskamnahlad krychu adstupiŭ. Ale heta pakazała, što rasijskija ŭłady hatovyja pajści na mnohaje, kab atrymać dostup da danych karystalnikaŭ Telegram. Paśla hetaha rasijskija ŭłady pasprabavali akazać cisk na bujnych vobłačnych pravajdaraŭ, jakija raźmiaščajuć servisy Telegram, kab tyja zabłakavali Telegram, a taksama na mabilnyja kampanii, kab tyja nie prapanoŭvali prahramu Telegram ŭ svaich kramach prahram.
Heta śviedčyć pra toje, što Rasija ŭ minułym vielmi aktyŭna starałasia atrymać dostup da źviestak Telegram. Ale Rasija viadomaja mahutnymi kampanijami dezynfarmacyi i apieracyjami pad iłžyvym ściaham. I heta stavić łahičnaje pytańnie: ci nie źjaŭlajecca hetaja hulnia ŭ koški-myški čarhovaj apieracyjaj pad iłžyvym ściaham z metaj stvaryć u karystalnikaŭ iłžyvaje ŭražańnie, što vykarystańnie Telegram biaśpiečnaje i nadziejnaje?
Telegram vielmi šyroka raspaŭsiudžany ŭ postsavieckich krainach, i, zychodziačy z maich viedaŭ i dośviedu, niekatoryja z postsavieckich krainaŭ pieryjadyčna błakujuć roznyja miesiendžary, takija jak WhatsApp abo Signal, u toj čas jak Telegram zabaraniajuć vielmi redka. Heta moža być źviazana z efiektyŭnymi kontrmierami Telegram abo niejkimi inšymi pryčynami.
Važna adznačyć, što tahačasny daradca Uładzimira Pucina ŭ pytańniach internetu Hierman Klimienka ŭ 2017 hodzie vyrazna zajaviŭ, što zasnavalnik Telegram «rana ci pozna budzie vymušany supracoŭničać i lehalizavacca ŭ Rasii».
U 2017 hodzie taksama ŭźnikli sprečki pra toje, ci sapraŭdy Telegram pracuje za miežami Rasii. Choć zasnavalnik Telegram Pavieł Duraŭ admaŭlaŭ, što ŭ Telegram jość supracoŭniki ŭ Rasii, šmatlikija krynicy śćviardžali, što supracoŭniki Telegram u toj čas usio jašče pracavali ŭ Sankt-Pieciarburhu ŭ tym ža budynku, što i sacyjalnaja sietka VK, jakaja znachodzicca pad upłyvam Kramla.
Paźniej štab-kvatera Telegram była pieraniesienaja za miežy Rasii, a ŭ 2013 hodzie była zarehistravanaja sietka padstaŭnych kampanijaŭ pa ŭsim śviecie, kab paźbiehnuć padatkaŭ, zaklučyć kantrakty ź miascovymi data-centrami i schavać sapraŭdnuju jurysdykcyju prahramy.
Paźniej jany pierajechali ŭ Bierlin, ale z 2017 hoda pracujuć z Dubaja. Važna adznačyć, što Abjadnanyja Arabskija Emiraty — hłyboka represiŭnaja dziaržava, jakaja rehularna sadžaje ŭ turmu palityčnych dysidentaŭ i žurnalistaŭ za krytyku kirujučaj siamji, i tamu nie moža razhladacca jak kraina, jakaja padtrymlivaje svabodu słova.
U siaredzinie sakavika 2022 hoda Aleh Matviejčaŭ (jaho taksama nazyvajuć «palittechnołaham Kramla»), deputat Dziaržaŭnaj Dumy RF i namieśnik staršyni Kamiteta pa infarmacyjnaj palitycy, infarmacyjnych technałohijach i suviazi, zajaviŭ, što «pakul miesiendžar palityčna niejtralny, jaho čapać nie buduć, i nie treba stavicca da Telegram praduziata».
U toj čas jak inšyja abaronienyja miesiendžary rehularna błakujucca ŭ Rasii, staŭleńnie Rasii da Telegram całkam zakanamierna vyklikaje niekatoryja pytańni.
Vynik
Telegram maje šerah kanstruktyŭnych asablivaściaŭ, jakija ŭpłyvajuć na ahulnuju biaśpieku i kanfidencyjalnaść. Jon nie rekamiendujecca dla karystalnikaŭ, jakija majuć patrebu ŭ biaśpiečnych kamunikacyjach, i ludziej, jakija chočuć zachavać svaju pryvatnaść.
Dla takich karystalnikaŭ isnujuć lepšyja i biaspłatnyja alternatyvy.
Niama nieabchodnaści vykarystoŭvać Telegram, kali jość bolš biaśpiečnyja alternatyvy z anałahičnymi mahčymaściami.
A što heta za alternatyvy? Maciej Kovačyč prapanuje Signal
Isnujuć lepšyja i biaspłatnyja alternatyvy Telegram. Adna ź ich — prahrama Signal. Jana pracuje na šmatlikich płatformach, maje adkryty zychodny kod i biaspłatnaja. Madel biaśpieki Signal vielmi dobraja i była pravieranaja niekalkimi viadomymi ekśpiertami pa biaśpiecy, padtrymlivaje skraznoje šyfravańnie pa zmoŭčańni, padtrymlivaje hrupavyja čaty sa skraznym šyfravańniem, uklučajučy hrupavyja vidyačaty, a taksama abmien fajłami, fota i videa.
Signal źbiraje niašmat danych karystalnika (tolki datu stvareńnia ŭlikovaha zapisu i čas apošniaha dałučeńnia karystalnika da sietki Signal) i viadomy svaim padychodam, aryjentavanym na achovu pryvatnaści. Vykarystańnie Signal taksama rekamiendavanaje niekalkimi ekśpiertami pa biaśpiecy i navat uładami ZŠA.
Isnujuć i inšyja biaspłatnyja alternatyvy, jakija padtrymlivajuć šyfravańnie E2E pa zmaŭčańni, i niekatoryja ź ich taksama vykarystoŭvajuć pratakoł Signal z adkrytym zychodnym kodam.
Niekatoryja z prahram, naprykład WhatsApp i Google Message, prapanujuć skraznoje šyfravańnie pa zmoŭčańni, u toj čas jak inšyja, naprykład, Facebook Messenger i Skype, prapanujuć hety pratakoł tolki apcyjanalna (kali karystalnik ŭklučaje tak zvanyja sakretnyja abo pryvatnyja razmovy). Viber taksama prapanuje skraznoje šyfravańnie, ale vykarystoŭvaje ŭłasny pratakoł šyfravańnia, jaki, pa ich słovach, vykarystoŭvaje tyja ž kancepcyi, što i pratakoł Signal.
Prablema z hetymi prahramami zaklučajecca ŭ tym, što niekatoryja ź ich prapanujuć skraznoje šyfravańnie tolki apcyjanalna, i ŭ niekatorych vypadkach hrupavyja kamunikacyi nie šyfrujucca. Signal vykarystoŭvaje skraznoje šyfravańnie dla hrupavych paviedamleńniaŭ pa zmoŭčańni.
Inšaja prablema ŭ tym, što mnohija miesiendžary źbirajuć asabistyja danyja karystalnikaŭ i sprabujuć manietyzavać prahramy z dapamohaj rekłamy. Niekatoryja z hetych miesiendžaraŭ taksama naležać bujnym technałahičnym kampanijam, biznes-madel jakich pabudavanaja na zbory piersanalnych danych (naprykład, WhatsApp naležyć Meta/Facebook).
Heta taksama nie adnosicca da Signal, jakaja źbiraje minimalnuju kolkaść danych i nie vykarystoŭvaje prahramu dla rekłamy. Naprykład, prahramy dla abmienu paviedamleńniami pavinny mieć mahčymaść vyznačyć, jakija z kantaktaŭ pryłady vykarystoŭvajuć tuju ž prahramu dla abmienu paviedamleńniami, kab karystalniki mahli mieć znosiny sa svaimi kantaktami praz hetuju prahramu.
U toj čas jak bolšaść miesiendžaraŭ źbiraje i analizuje kantakty sa śpisu kantaktaŭ karystalnika, Signal raspracavaŭ tak zvanaje «pryvatnaje vyjaŭleńnie kantaktaŭ», jakoje dazvalaje prahramie Signal vyznačać, jakija kantakty na pryładzie vykarystoŭvajuć Signal, ale biez raskryćcia kantaktaŭ z adrasnaj knihi słužbie Signal.
Heta tolki adzin z prykładaŭ technałohijaŭ zachavańnia pryvatnaści, jaki raspracavali i vykarystoŭvajuć stvaralniki Signal, što śviedčyć pra toje, što jany surjozna staviacca da pryvatnaści svaich karystalnikaŭ.
Miesiendžary stali krytyčna važnymi ŭ paŭsiadzionnym i prafiesijnym žyćci. Rašeńnie pra toje, jaki ź ich vykarystoŭvać, pavinna być zasnavana na ŭśviadomlenym vybary. Asabliva kali vy chočacie zachavać svaju pryvatnaść i biaśpieku kamunikacyjaŭ.
Čytajcie taksama naš ahlad bolš čym dziasiatka miesiendžaraŭ:
Miesiendžary: jakija ź ich sapraŭdy biaśpiečnyja i čym Viber lepšy za Telegram
Doktar Maciej Kovačyč (Matej Kovačič) — słavienski daśledčyk. U miežach svajoj pracy zajmajecca pytańniami kanfidencyjalnaści i sačeńnia, vyvučeńnia kibierzłačynnaści, infarmacyjnaj biaśpieki i farenziki, a taksama adkrytych danych. Jon źjaŭlajecca aŭtaram dźviuch knih pa kanfidencyjalnaści: «Pryvatnaść u Internecie» (2003) i «Kantrol i kanfidencyjalnaść u infarmacyjnym hramadstvie» (2006), a taksama knihi «Nastolny dapamožnik pa Linux» (2010). Jon taksama vypuściŭ šerah artykułaŭ u halinie kanfidencyjalnaści, sačeńnia, kibierzłačynnaści i adkrytaha kodu.
Padčas pracy ŭ kamisii pa praduchileńni karupcyi jon udzielničaŭ u stvareńni dadatku Supervisor. Zaraz pracuje ŭ Instytucie imia Jožafa Stefana.
«Naša Niva» — bastyjon biełaruščyny
PADTRYMAĆ
Kamientary
kolki naiŭnych ščyrych ludziej trapiła ŭ čyjuści pastku (