Дуров поспорил со Сноуденом о безопасности Telegram Статьи редакции
Вопросы приватности популярных мессенджеров снова стали предметом обсуждения после того, как Эдвард Сноуден указал на недостаточную, по его мнению, безопасность Telegram. Вскоре к обсуждению в Твиттере присоединился и основатель Telegram Павел Дуров, вступивший в спор с другими блогерами и Сноуденом о необходимости по умолчанию использовать шифрование в мессенджере.
О том, что Telegram не использует шифрование по умолчанию и хранит переписку в обычных чатах в виде незашифрованного текста на своих серверах, заявили представители Open Whisper Systems (OWS) в ответ на комментарий одной из пользовательниц Твиттера, написавшей, что Telegram, по её мнению, достаточно безопасен.
@CTZN5 @timcameronryan By default Telegram stores the plaintext of every message every user has ever sent or received on their server.
— Open Whisper Systems (@whispersystems) December 19, 2015
Твитом, в котором другой пользователь цитирует OWS, поделился Эдвард Сноуден. Он добавил, что Telegram следует провести масштабное обновление, чтобы избавиться от «опасных» настроек по умолчанию.
I respect @durov, but Ptacek is right: @telegram's defaults are dangerous. Without a major update, it's unsafe. https://t.co/pbBt2rHr5x
— Edward Snowden (@Snowden) December 19, 2015
К обсуждению присоединился Мокси Марлинспайк (Moxie Marlinspike, псевдоним) — основатель OWS и создатель мессенджера Signal, ранее работавший главой отдела безопасности Twitter. Signal позиционирует себя как защищённый мессенджер, и Сноуден неоднократно утверждал, что использует его ежедневно.
Марлинспайк подчеркнул, что существует разница между тем, как позицинирует себя Telegram и чем он является на самом деле. По словам главы OWS, мессенджер Дурова не шифрует сообщения по умолчанию, но хранит их на своих серверах. При этом мессенджер позиционируется как защищённый, однако оконечное шифрование используется только в «секретных чатах».
@sc0p3r It's just how Telegram works and is self-documented to work: https://t.co/GMD3mryXoN Only their marketing copy suggests otherwise.
— Moxie Marlinspike (@moxie) December 19, 2015
Сноуден намекнул, что доступ с серверов Telegram к открытому тексту переписки подразумевает техническую возможность слежки.
To be clear, what matters is that the plaintext of messages is *accessible* to the server (or service provider), not whether it's "stored."
— Edward Snowden (@Snowden) December 19, 2015
Сам Дуров заявил, что Telegram не хранит незашифрованных сообщений, а в случае их удаления с телефонов они пропадают навсегда; автора сообщения он обвинил в «проплаченной брехне». Сноудену он ответил, что в случае, если пользователю не нужна «облачная» синхронизация или если он не доверяет Telegram, он может использовать «секретные чаты» — их прочесть не может никто, кроме самих участников беседы.
@tqbf This is false: @telegram never stores plaintext of messages, and deleted messages are erased forever. Do you get paid for posting BS?
— Pavel Durov (@durov) December 19, 2015
@Snowden Skipping the sarcastic part: users who don't need cloud sync or do not trust us, use secret chats – https://t.co/ONA5LyENPI
— Pavel Durov (@durov) December 19, 2015
Проблема «секретных чатов» заключается в том, что ключ шифрования к ним физически находится на устройстве, а не на удалённом сервере, поэтому они не могут быть синхронизированы «облачно». По словам основателя Telegram, среднестатический пользователь его мессенджера предпочитает синхронизацию шифрованию.
@mjackson @Snowden @tqbf This is exactly why cloud chats are the default: on average, our users prefer seamless cloud sync.
— Pavel Durov (@durov) December 19, 2015
Дуров также ответил на изначальную критику Сноудена о небезопасности Telegram словами «Достаточно безопасный для ИГИЛ», однако впоследствии удалил свой твит. По всей видимости, он имел в виду обвинения Telegram в пособничестве террористам, которые он ранее уже отвергал: согласно доводам Дурова, злоумышленники всегда найдут другой способ коммуникации.
.@durov and just like that, it's gone.
— Peter Kazazes (@pckzs) December 19, 2015
18 ноября Telegram отчитался об удалении по требованию Apple 78 каналов, связанных с запрещённым в России «Исламским государством». По стечению обстоятельств, за день до этого на закрытом джихадистском форуме «Шурух аль-Ислам» появились обсуждения предположительных сторонников ИГИЛ, в которых они подвергали сомнению безопасность используемого ими Telegram.
#Новость #Павел_Дуров #Telegram #Эдвард_Сноуден #шифрование #мессенджеры #защищённый_мессенджер #Signal #Мокси_Марлинспайк
«Достаточно безопасный для ИГИЛ» звучит в этом контексте как «а твоей мамке понравилось»
Оба правы в принципе. Синхронизация переписки между устройствами одна из киллер-фич телеграма, а реализовать ее одновременно с end-to-end шифрованием наверное тяжеловато.
Я болтал с парнем из Open Whisper Systems чуть больше года назад, он как раз публично рассказывал о концепции синхронизации полностью зашифрованных данных между устройствами и полностью шифрованных оффлайн-сообщениях. Суть была в генерировании множества эфемерных ключей для всех в списке контактов. Достаточно адекватно могло бы получится.
Но проблема с telegram не в этом. Шум, как я полагаю, пошел от СМИ, которые добавляли желтизну в заголовки, умышленно или по незнанию технической части. Добавляли шума в СМИ еще и теоретические террористы, пользующуюся Telegram. Мне не нравится Telegram, но, в целом, он определенно лучше прочих популярных мессенджеров хотя бы тем, что там есть возможность сделать шифрованный чат с более-менее нормальной сверкой отпечатка ключа, но у обычных чатов-то защищен только транспорт, как и у, собственно, большинства прочих популярных мессенджеров, а СМИ, по большей части, описывают Telegram как супер защищенное решение, которым пользуются даже террористы, так что вам, типа, точно подойдет. Я считаю такое преувеличение со стороны СМИ достаточно большой проблемой, без шуток, т.к. такие новости привлекают в Telegram много технически неграмотных новых пользователей. Если в тот же Tor безопасность заложена архитектурно, то безопасность переписки неграмотных пользователей Telegram держится только на принципиальности разработчиков о нераскрытии данных и физической сохранности серверов, а в случае компрометации страдают не только сами пользователи, но и вы тоже, если вы переписывались с пользователем, данные которого, например, выдали правительственным организациям.
Что это за киллерфича такая если ей обладает половина мессенджеров?
Можно же хранить зашифрованные данные.
Скачиваешь архив и расшифровываешь на устройстве.
#суть:
- Смотри, у тебя уязвимость, исправь её!
- Ах ты {ольгинский/госдеповский/___} бот!
"А вы уязвимость Фейсбука видели?!"
- Уязвимость нашли по заказу Браудера!
-- Уязвимость была закрыта месяц назад!
- Мне нужно уточнить это в офисе!
Комментарий недоступен
В этом опасность сарказма, привыкнув круто шутить в интернете, потом перестаешь чувствовать грань
Ребята не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте что тут писалось.
Ну, по сути, правда же, но в современном толерантном запуганном обществе это не красиво.
Как это мило, Сноуден борется за большую безопасность обычных пользователей, все бы хорошо, только нужна ли она всем пользователям? У меня вот почти все друзья/знакомые не знают что такое двухэтапная аутентификация, какое там еще end to end шифрование... Все правильно делает Дуров, для простых пользователей обычные функциональные чаты, для тех кому нужна безопасность секретные.
У моей знакомой абсолютно одинаковые пароли везде. Абмолютно везде. Когда я ей намекнул, мол, "ты чё, ебанулась?", она мне ответила, что безопасность ей нахер не нужна. Ничего важного она не хранит. Вот в этом проблема - никому эта безопасность не нужна.
Сноуден переоценён.
Я об этом уже давно говорил. То что передается через сервер вполне себе может там и оседать. А дальше — если клиентские приложения OpenSource и шифрование end-to-end, но трафик идет через сервер, то вопрос стоит только в надежности шифрования. Но если кому-то очень будет надо — почти все можно расшифровать.
Энивей, самый надежный месенджер — P2P с end-to-end шифрованием.
Комментарий недоступен
Snowden sucks for me and for most of my team (c)
Синхронизировать сообщения между устройствами можно и без хранения открытого текста на серверах, но надо чтоб устройства синхронизировали между собой ключ при установке приложения, например показать на одном устройстве QR код и считать его на другом, а на серверах тогда будет храниться только зашифрованная переписка.
Комментарий удален модератором