Где хранятся ключи в Telegram ?

Хорошая попытка, майор

Заявлено end-to-end шифрование только для секретных чатов, которые на настольной версии не работают.

которые на настольной версии не работают.

А об этом где-то официально сказано, или вы сами догадались?

Ищи «Secret chats» на https://telegram.org/faq.

Точную ссылку не подскажу, товарищ майор запретил нам ходить на этот сайт.

В макоси работают.

товарищ майор запретил нам ходить на этот сайт.

Это по IPv4 только. Модники с IPv6 - могут себе позволить ;)

Скачал и распаковал архив, в котором лежало два файла:

Но это же не Ъ. У него что, нет репозиториев?

Так я и думал - Telegram такая же фигня, как и прочие вацапы с вайберами - верить нельзя никому :(
Гуглоперевод из его FAQ:

Секретные чаты
В: Чем отличаются секретные чаты?

Секретные чаты предназначены для людей, которые хотят больше секретности, чем обычный парень. Все сообщения в секретных чатах используют сквозное шифрование. Это означает, что только вы и получатель могут читать эти сообщения - никто не может расшифровать их, включая нас здесь, в Telegram ( подробнее об этом здесь ). Кроме того, сообщения нельзя пересылать из секретных чатов. И когда вы удаляете сообщения на своей стороне разговора, приложение на другой стороне секретного чата будет также приказано удалить их.

Вы можете заказать свои сообщения, фотографии, видео и файлы для самоуничтожения через определенное время после того, как они были прочитаны или открыты получателем. После этого сообщение исчезнет как с вашего устройства, так и с устройства вашего друга.

Все секретные чаты в Telegram зависят от устройства и не являются частью облака Telegram. Это означает, что вы можете получить доступ только к сообщениям в секретном чате с устройства их происхождения. Они безопасны до тех пор, пока ваше устройство безопасно в вашем кармане.
В: Как мне начать секретный чат?

iOS: начать новое сообщение (нажмите значок в правом верхнем углу в сообщениях). Затем «Новый секретный чат».
Android: проведите вправо, чтобы открыть меню, затем «Новый секретный чат».

Помните, что секретные чаты Telegram зависят от устройства. Если вы запустите секретный чат с другом на одном из ваших устройств, этот чат будет доступен только на этом устройстве. Если вы выйдете из системы, вы потеряете все свои секретные чаты. Вы можете создать столько разных секретных чатов с тем же контактом, сколько хотите.

Во-первых, нафига они делят чаты на секретные и несекретные, почему бы не реализовать по умлочнанию только секретные?
Во-вторых, реализовали их только в Макоси и Андроиде. Про Андроид просто смешно говорить - сплошная дыра, через которую уплывут все ключи, вся приватная информация.

Так что реально остается по сути Макось - а у многих ли она есть?

А значит, *Tox еще никто не смог переплюнуть - это единственное, что обеспечивает Ъ секурность.

https://ru.wikipedia.org/wiki/Off-the-Record_Messaging

https://www.atraining.ru/telegram-mtproto-2-0-security-questions/ в догонку ро секретные чаты в tg

А значит, *Tox еще никто не смог переплюнуть - это единственное, что обеспечивает Ъ секурность.

tox в стангнации...и пересадить на него хомячков еще сложнее чем на xmpp. Из подобных p2p e2ee проектов сть еще briar и ring, но с их популярностью ситуация не лучше.

Про Андроид просто смешно говорить - сплошная дыра

Забавно, только недавно в iOS по телефону (исключительно там) обсудил одну вещь и через пару дней позвонили из какой-то конторы и начали рекламировать эту хрень. И это не первый случай. Обычно контекстную рекламу в браузере после разговоров подсовывают.

В макоси работают.

Дык и в плагине для pidgin тоже.

OTR - это вы к чему? Да, я им пользуюсь в пизджине, но при чем тут дуровское поделие?

Токс ни в какой не стагнации, регулярно его отслеживаю.
Да, были у них проблемы в команде, но все давно утряслось.

Рингом не стал пользоваться из-за его гуглоподобного интерфейса, потом его переименовали в jami, в общем, забил на него.

briar не интересовался, т.к. Токсы меня вполне устраивают.
Тем более, что разрабы недавно переместили его в Appimage, и теперь мне глубоко пофиг, будет он развиваться или нет - цель достигнута, и работать будет в любом дистрибе.

OTR - это вы к чему?

Это к «верить нельзя никому». Шифруешь сам — нет необходимости надеяться, что данные шифрует сервис передачи данных.

Ок, и как же OTR прикрутить к Telegram?

Зачем? В жаббер-клиентах он недостаточно хорошо работает?

Работает хорошо, но речь здесь идет о Телеграм.

Хомячки народ упрямый, их не перетащишь с их любимого телеграм или вайбера на что-то приличное, вроде жаббера или токса.

Хоть и не доверяю всем этим вайберам/вацапам/телеграммам, но Telegram все-таки вынужден был поставить. На Debian.
Скачал и распаковал архив, в котором лежало два файла:

apt install telegram-desktop, наркоман

Но сразу стало интересно - а где же хранятся пользовательские ключи, про которые Дуров чуть ли не рубаху на себе рвал, утверждая, что они хранятся только у пользователей, end-to-end?

Сессионные ключи для секретных чатов генерируются во время создания секретного чата.
Десктопный клиент для Linux и Windows не поддерживает секретные чаты.

Обычные чаты ничем не зашифрованы, и хранятся на серверах Telegram открытым текстом.

apt install telegram-desktop, наркоман

На Stable его нет, а в Testing он старый.

Обычные чаты ничем не зашифрованы, и хранятся на серверах Telegram открытым текстом.

ППЦ!!! Такого западло я уж никак не ожидал!!!
Во всяких обзорах про Телеграм, если их читать бегло, через строку, то дуровский Телеграм является самым защищенным, e-t-e.

А как копнул сейчас на ЛОРе поподробнее, так волосы дыбом встали! :-O

Впрочем, фамилия «дуров» как бы и намекает - нехрен с такими $%@# было связываться!

Спасибо, братцы, что предупредили, и можно даже сказать, уберегли!
И как хорошо, что еще не успел сболтнуть ничего лишнего, тов. майор ведь не дремлет :( ....

Возвращаюсь на свой Токс, пошли они все н...лесом!

ППЦ!!! Такого западло я уж никак не ожидал!!!

Ну ты и доверчивый конешн.

Возвращаюсь на свой Токс

Он тоже не безопасен %)

Он тоже не безопасен %)

Ну дык безопаснее больше все равно ничего пока нет.
Да и его могут вскоре накрыть медным тазом «бальшие братья», как это случилось, например, TrueCrypt.

Обычные чаты ничем не зашифрованы, и хранятся на серверах Telegram открытым текстом.

Я правильно понимаю, что голос в линуксовом телеграме тем более не шифруется??

Ничего не шифруется. Вали уже.

Truecrypt как работал, так и работает.

На Stable его нет, а в Testing он старый.

В бубнту только в снапах есть, и то порой глюковат.

Да пох, пускай тов. Дуров сам со своей поделкой трахается.

почему бы не реализовать по умлочнанию только секретные?

Видимо, так удобнее сделать работу на нескольких устройствах и синхронизацию чатов и истории между ними.
Например, в ватсапе, где заявлено, что все чаты секретные, этого нет в принципе

почему бы не реализовать по умлочнанию только секретные?

Потому что секретные чаты не синхронизируются между устройствами и пропадают при закрытии.

почему бы не реализовать по умлочнанию только секретные?

Потому что больных параноиков, готовых променять удобство на полную секретность, исчезающе мало.

Про Андроид просто смешно говорить

Что ты понимаешь под словом андроид? Это же тысячи абсолютно разных устройств с тысячами прошивок.

Вот если я поставил например свежую самособранную lineageos с выпиленным всем чем можно, сколько дыр и зондов там осталось?

Ок, и как же OTR прикрутить к Telegram?

сам не пробовал, но думаю pidgin с otr и tg плагинами будет работать. но это надо что-бы с двух сторон была такая связка.

Либо удобство, либо приватность.

тебе приватность не нужна,раз ты всерьез воспринимаешь обзоры какие то проплаченные дуровым энд ко

безопаснее asterisk,ну если тока аудио-видео связь,еще irc с tls неплохая вещь

Только сам asterisk не обеспечивает безопасность, там тоже надо tls и srtp/zrtp отдельно включать и настраивать.

Вот если я поставил например свежую самособранную lineageos с выпиленным всем чем можно, сколько дыр и зондов там осталось?

Ну ты конечно молодец. А хомячкам тоже предложишь такое провернуть? В массовом масштабе. Домохозяйкам и т.д.
Секюрность должна же быть с 2-х концов, а не только с твоего.

Возвращаюсь на свой Токс

Он тоже не безопасен %)

Скажи-ка, это у тебя как, предположение, или может, фактики какие-то есть?

предположение, или может, фактики какие-то есть?

Тут такое дело: фактов его взлома (перехват+расшифровка_сообщений) пока не было, но и аудита безопасности протокола тоже не было.
Уровни безопасности у всех разные: спецы по ИБ скорее скажут: «небезопасен, так как не доказано обратное», а обычным пользователям для уровня «безопасно» достаточно отсутствия новостей о взломах.
Так что, считай как хочешь...

Вообще-то на Хабре была одна заметка нашего человека, в которой он провел аудит Токса и нашел некоторые непринципиальные ошибки в коде. А где их нет?

хомячкам тоже предложишь такое провернуть? В массовом масштабе. Домохозяйкам и т.д.

Во-первых: пофиг. Это проблемы домохозяек.

Во-вторых: хомячки, которые в состоянии читать какой-нибудь 4pda легко сделают всё что нужно.

В-третьих: я исключительно против использования размытых терминов типа «андроид-телефон» в радикальных высказываниях типа «сплошная дыра».)

В-третьих: я исключительно против использования размытых терминов типа «андроид-телефон» в радикальных высказываниях типа «сплошная дыра».)

Ну почему же. Да, действительно существуют очень редкие модели андроидных смартфонов, в которых производители действительно озабочены секурностью, начиная с железа и заканчивая чистым опенсоурсным Андроидом, например, CopperheadOS.

Но они настолько редкие, что покупают их только гики и параноики.
Остальное же андроидное месиво - это хаос из каких-попало решений и приложений, в которых производители меньше всего думают о секюрности, потому что для них главное - прибыль, а она обеспечивается лишь новыми гламурными фишками.

Занимался когда отвязыванием зондов по всяким статьям, вроде этой - https://xakep.ru/2014/07/16/leave-my-android-alone/
но потом мне на это дело надоело тратить время, потому что в каждой новой версии нужно снова повторять эти отвязки.
Ну его нафиг, эту дурную работу, лучше OpenBSD Linux! :)

Во-первых: пофиг. Это проблемы домохозяек.

Почти у каждого мужика есть своя домохозяйка. Насрать непосредственно тебе на людей, это возрастное, но имей хотя бы совесть не писать об этом.

Во-вторых: хомячки, которые в состоянии читать какой-нибудь 4pda легко сделают всё что нужно.

Это наглая ложь, провокатор. Впрочем, мы уже выяснили что ты ненавидишь обывателей, высокомерный уебан. Почему это наглая ложь? Да потому что откуда берутся темы про «кирпичи» на том же 4pda, если всё действительно так просто?

я исключительно против использования размытых терминов типа «андроид-телефон» в радикальных высказываниях типа «сплошная дыра».)

Ты забыл обосновать своё мнение.

xmpp + otr же, если нужно общение со смертными у нас тут на лоре кто-то пилит Жаберограм!
тестировщики велкам

Жабберный XMPP - в топку! Потому что это, как и все подобное - серверная хрень, а значит, со времнем либо сервер упадет, либо владельцу надоест его поддерживать, и он сгинет вместе с сервером.
А значит, надежды, что ваш акк будет вечный - никакой!

Будущее - за p2p-месенжарами! В которых даже регистрироваться не нужно!!!

А значит, надежды, что ваш акк будет вечный - никакой!

можно подумать есть сервис который такое гарантирует, хотя гугл с фейсбуком разве что)) потому что ваши данные для него - высшая ценность и забекаплены навсегда

Будущее - за p2p-месенжарами! В которых даже регистрироваться не нужно!!!

возможно, только там свои ограничения и широкого распространения они не получат, т.к. там нет кучи удобных фишечек, к которым привыкли юзеры, та же синхронизация из за секретности работать не будет ибо одно исключает другое если только хитро извернутся и с помощью матана как то всё разрешить, только вот кто это будет делать ? попробуйте протокол zksnark изучить например :\

те кто «верят» телеграмму - это люди очень слаборазвитые

можно подумать есть сервис который такое гарантирует,

Так я о том же и толкую :)

возможно, только там свои ограничения и широкого распространения они не получат, т.к. там нет кучи удобных фишечек,

А тут юзерам, конечно, придется выбирать из известного треугольника - «Удобство - Безопасность - Стоимость».

те кто «верят» телеграмму люди слаборазвитые

Из-за невнимательного прочтения ему дифирамбов я чуть не угодил в такие :))

Занимался когда отвязыванием зондов по всяким статьям, вроде этой - https://xakep.ru/2014/07/16/leave-my-android-alone/

Внушаешь уважение.

как можно говорить о анонимности там где для регистрации требуют номер телефона?

Про Андроид просто смешно говорить - сплошная дыра, через которую уплывут все ключи, вся приватная информация.

https://www.opennet.ru/opennews/art.shtml?num=50572