Как лучше защить трафик Telegram

Из этих — никакой, они оба два избыточны. Телегу не ломают через перехват протокола, её ломают через перехват авторизации и методами «социальной инженерии». И конкретно ты защититься от этого не можешь, так как у тебя ресурсов для этого нет.

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

С «социальной инженерией» тоже понятно, это OSINT на основе штатного функционала, без «взлома протокола» и перехвата трафика. Ну и серверы Телеграм контролируешь не ты, они закрыты, избежать их нельзя и трафик терминируется там, на них. И там тоже могут принять решение тебя «слить».

Просто не рассматривай Телеграм как что то защищённое и безопасное, он таковым не является. Фильтруй базар, не свети секретами и всякое такое.

Короче нет смысла «трафик защищать», его перехват не является угрозой. Имеет смысл защищать передаваемую в этом трафике информацию, но это не имеет смысла когда ты не контролируешь «ту сторону» и она для тебя «чёрный ящик».

Нафига ты свой дурацкий тор присовываешь? Он никак не влияет на безопасность. Если хочешь зашифровать-защитить трафик, это надо делать внутри телеграма - слать через него только предварительно зашифрованные данные.

О, знакомые лица - Jameson! :=)
Это первое, что увидел, и уже предвкушаю толковые советы, которыми, как правило, вы характерны.
Углубился в изучение...

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

Хорошо, что там есть 2FA. Плохо, что оно не принудительно.

Да, 2FA решает, но куча хомячков не знают что оно вообще есть или зачем его включать. Я например несколько лет безуспешно учил родителей телефон блокировать, всё понимали, головою кивали, но потом блокировку отключали, потому что «неудобно». Прониклись только после того как у матери телефон украли, сняли все деньги с карт и набрали кредитов. Вот тут сразу кааак дошло...

Должно было дойти что нечего телефон для доступа к взятию кредитов использовать и вообще к финансам. Ну может быть только операционную кассу допустить.

2FA не спасает от владельцев телеграм-сервера, а это первое о чём стоит думать.

Сначала отвечу firkax, потому что с Jameson, похоже, у меня будет длинная дискуссия :=)

2firkax: безопасность - да, это комплексное понятие (что и расписал Jameson).
В плане Tor безопасность, как это вижу я, обеспечивается в двух аспектах -

1) Предотвращается подслушивание меня «От своих», т.е. на ближайшей миле, поскольку трафик телеги, сходу шифруясь первым слоем «луковицы», тут же ныряет в ближайшую ноду, и дальше ищи-свищи, где он вынырнет.
Т.е. «свои» не смогут понять, с кем я разговариваю.

2) Аналогично защищен от его «своих» и мой абонент.

В итоге «человекам посредине» непонятно, кто и с кем разговаривает.
А сам трафик да, защищается только в пределах сети Tor, но и это немало.

PS. Понятно, что Дуров со своим закрытым серверным кодом может слушать всех и каждого, но то совсем другая тема.

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

Не использовать физических опсосов локальных относительно твоего местонахождения. Тогда ни один опер «на земле» ничего не сможет сделать (сразу минус коррупционная составляющая).

Ну а если тобой заинтересуются настолько, чтобы выковырять смски из зарубежного опсоса или sip-провайдера, тебе будет насрать - к тому времени ты и сам не будешь для серьезных вещей использовать мессенджеры, в основе которых лежат публичные сервисы.

Перехват авторизации делается на уровне нечистоплотного оператора сотовой связи, сливающего твои sms тем кто заплатил или «убедительно попросил».

от этого можно защититься покупкой виртуального номера, привязанного к блокчейну TON. Тогда авторизация вообще никак не будет зависеть от сотовых сетей, и единственный способ получить доступ к аккаунту - украсть хранящийся локально у тебя секретный ключ.

Никак.

...если верить...

«Если».

ищи-свищи, где он вынырнет.

Очевидно где - у сервера телеграм. Это и так все знают и не пойму зачем ты этот тривиальный факт пытаешься скрывать. Повторю, тор это бесполезная чушь в большинстве случаев.

PS. Понятно, что Дуров со своим закрытым серверным кодом может слушать всех и каждого, но то совсем другая тема.

Это единственная тема, заслуживающая внимания в данном контексте. Всё остальное - бредни безграмотных криптофанатиков.

Шевалье Jameson, чтобы не запутаться в многообразии аспектов безопасности, отделить зерна от плевел и сузить предмет дискуссии, предлагаю:

1) Отбросить из рассмотрения всякую социальную инженерию как неизбежное зло
2) Отбросить прослушивание Дуровым тоже как неизбежное зло
3) Отбросить SMS, сотовых операторов и т.д. и т.п.

А сосредоточиться лишь на одном - самом трафике и больше ни на чем другом, с целью - как бы его получше защитить?

Вот вы сказали:

Оба варианта избыточны

Ну так это же прекрасно!

Что еще надо человеку, чтобы встретить старость!

Ой, сорри, то из другой оперы, хотел сказать другое -

Кашу маслом не испортишь :=)

В итоге «человекам посредине» непонятно, кто и с кем разговаривает.

«Человекам посередине» в случае Телеграм всё понятно, ты разговариваешь с кластером серверов телеграм, твой собеседник — тоже. ЕМНИП телега не устанавливает «прямое соединение». Так что оборачивать коннект с сервером в тор или в носки имеет смысл только для того чтобы скрыть сам факт работы телеграм у тебя. А само по себе соединение с сервером и так неплохо зашифровано, его перехват ничего «человеку посередине» не даст. И даже попытка помешать подключиться к кластеру серверов мало что даст, как показала прошлая битва Роскомпозора с Телеграмом. Куча битой посуды и абсолютно непричастных к этой битве пострадавших, а телеграм продолжал работать при этом.

2FA не спасает от владельцев телеграм-сервера

Для этого придумано E2EE.

Верно, я об этом в самом начале темы написал.

А сосредоточиться лишь на одном - самом трафике и больше ни на чем другом, с целью - как бы его получше защитить?

Его не нужно защищать дополнительно, он и так надёжно защищён. Возможно есть желание его прятать от оператора связи, дабы скрыть сам факт использования телеграм, и это уже совсем другой разговор.

Его не нужно защищать дополнительно, он и так надёжно защищён.

Ну так я как раз из тех, как меня назвали выше - криптофанатик, вернее - криптопараноик по этой самой безопасности :=)

Поэтому я ни на грош не верю Дурову с его чудо-телегой, как бы он не уверял, что она-де надежно защищает трафик (уж пусть он меня простит за такое недоверие - паранойя, сэр).

Поэтому не верю, ни Телеге, ни Тору, ни ShadowSocks.

Но если наложить эти «недоверчивые» сущности не контактирующих друг с другом производителей софта друг на друга, то получается совсем другая комедия.

Надеюсь, вы понимаете, о чем я?

Нет, не понимаю. Это похоже на попытку надеть пять презервативов вместо одного. В случае приступов паранойи рекомендую не пользоваться ненадёжными методами, и использовать надёжные. Если считаете что таких вообще нет — изобретите свой шифр и шифруйте им сами сообщения внутри ненадёжного канала.

Надо пропить курс таблеток от паранойи, это защитит трафик

Ну, даже такая попытка имеет смысл при некачественных презервативах. В данном случае их таких два.
Но я все-таки и другом, щас попробую сформулировать...

Дружище, послушай вот что. Какой-то время назад российская власть начала бороться с Телегой. Кто-то скажет, что они обломались. Но вот что интересно. Через некоторое время Россия прекратила бороться с Телегой. И сейчас пропаганда в значительной степени идет через нее. А Дуров делает некоторые вещи для борьбы с протестами, в частности жен мобилизованных.

Я не пытаюсь развести политоту, это просто факты, которые должны сказать достаточно разумному человеку о т.н. безопасности и приватности Телеги. Не стоит ее рассматривать больше чем как чатик для котов.

И если опять-таки, верить Дурову

Не надо ему верить. Как и любому другому капиталисту. Любая компания работает в чьей-то юрисдикции и соблюдает законы местные и тех рынков, на которых хочет работать. Либо соблюдает, либо не работает, третьего не дано.

Сложение двух некачественных презервативов не превратит его в один качественный. Основная ваша проблема в том что вы не понимаете зачем нужен tor например. Грубо говоря поскольку вы не понимаете технологию вы неправильно представляете себе области её применения.

И да, веру оставьте верующим и служителям культов. Руководствуйтесь лучше знаниями и пониманием границ применения технологий. Если знаний недостаточно — получите их, например изучите исходные коды tor.

Дружище, послушай вот что.

Дружище, спасибо, насчет всего этого и этих событий конечно, я в курсе, иначе какой же я параноик :=)
Поэтому никому не верю и соответственно ищу дополнительные средства для усиления безопасности.

Основная ваша проблема в том что вы не понимаете зачем нужен tor например.

Это я-то не знаю, зачем нужен Tor?? Я его идеологию детально изучил задолго до того, как появился на этом форуме.
До этого я был постоянным завсегдатаем на pgpru.com, пока он не зачах окончательно. Но материал там остался богатейший, только общаться больше не с кем.
Может, выражаюсь неточно или несколько косноязычно, ну да, это бывает, и меня тут же пытаются поучать :=)

А понятие «вера» - это один из самых фундаментальных терминов в понимании информационной безопасности, и культ тут не причем.
Без него невозможно ни сформулировать задачу, ни решить ее.

Смотря от чего защищаться. От админа провайдера оно и так защищено, наворачивать поверх торы и впны избыточно. От подслушивания на серверах телеги - нет. Да, есть глубоко запрятанный «start secret chat», но читал где-то (возможно это был хабр) про мухлёж с ГСЧ в этом месте, так что штука тоже сомнительная. Хочешь IM с сесурити хоть каким-то - поднимай личный джаббер на контору/тусовку/родню и обмазывай уже всё это шифрованиями и впнами. Матриксы не смотрел, ничего сказать не могу.

Смотря от чего защищаться.

Очень грамотное замечание! О котором часто забывают.
Да, поэтому безопасность бывает «не вообще», а в комплексе задач и их решений.

Просто увы и ах, всё популярное сотрудничает с органами. Не просто так телегу «оставили» и даже почти не модерируют.

Так вот поэтому и я толкую о двух или более сущностях.
Если одно продалось органам, а в другом заложена дыра, то вероятность, что они сговорятся друг с другом и устроят общую дыру/закладку, маловероятна.

Представьте себе, к примеру, смогут ли договорится между собой программеры скажем, из Хамаза или Цахала, которые люто ненавидят друг друга?

наворачивать поверх торы и впны избыточно.

По сути вы повторили мнение Jameson.
Ну так это великолепно, что оно избыточно! Это значит, что защита трафика становится еще сильнее.

А за это усиление мне не приходится платить ни копейки (халява, сэр!), так почему бы этим не воспользоваться?

Поэтому не пойму, почему вы «избыточность» возводите в ранг какого-то недостатка, что ли.
Имхо, это как раз наоборот - достоинство.

Ну так это великолепно, что оно избыточно! Это значит, что защита трафика становится еще сильнее.

У нас с вами вот в чём расхождение. Вы считаете что канал между телеграм-клиентом и сервером априори защищён недостаточно. Меж тем есть «сторонние» клиенты телеграм, протокол достаточно изучен для того чтобы их реализовать, и мне например из спецификаций и реализаций понятно что шифрование в нём весьма достойное, настолько достойное что проще с Пашей договориться чем эту крипту ломать.

То бишь вы считаете что презерватив дырявый, а я считаю что он надёжный. Вы считаете что комбинируя дырявые презервативы вы повышаете надёжность конструкции. Нет, вы её не повышаете, риск всё равно остаётся, вот только оргазм при этом тоже становится недостижим. И возникает вопрос, а зачем, может ну его, этот секс...

Я же считаю что надев на 100% защиту ещё 100% защиты я не получу 200% защиты, просто потому что проценты так не работают.

Так что лично я считаю (IMHO) вы занимаетесь ерундой. Но если это занятие вас психологически успокаивает — продолжайте, вреда то от этого никакого...

Насчёт ТОР. Непонятно мне тогда почему вы используете его в контексте шифрования. ТОР — это средство анонимизации трафика, шифрование в нём во вторую очередь. Более того, если у нас происходит выход из TOR — а в сценарии с подключением к кластеру телеграм он происходит — добавляется ещё одна «точка уязвимости» не под вашим контролем — exit node.

Шифрование в TOR можно считать надёжным только между точкой входа (ваш клиент TOR) и ресурсом в домене .onion, то бишь внутри сети TOR, и то с оговорками. Это потому что TOR — средство анонимизации, в первую очередь, а не средство надёжной криптографической защиты.

Подытожу: в случае с телеграм я считаю наворачивание криптографии на криптографию бессмысленным расходом труда и электричества, канал и так надёжно зашифрован. Сокрытие трафика телеграм, как и вообще всего своего трафика, от провайдера, дабы он в нём не рылся с помощью DPI, не профилировал и отчётов не составлял считаю разумной задачей.

Но она и решаться должна на уровне всего трафика, а не только телеграм. Потому что совершенно непонятно зачем кому то прятать не вызывающий подозрений трафик телеги в вызывающий подозрения туннель из тора, носков или ещё чего либо.

У нас с вами вот в чём расхождение. Вы считаете что канал между телеграм-клиентом и сервером априори защищён недостаточно. Меж тем есть «сторонние» клиенты телеграм, протокол достаточно изучен для того чтобы их реализовать, и мне например из спецификаций и реализаций понятно что шифрование в нём весьма достойное, настолько достойное что проще с Пашей договориться чем эту крипту ломать.

Я исхожу из того, что не доверяю любому «надежному шифрованию». Не вам, а шифрованию.
Поскольку исторический опыт показывает, что скажем, сегодня все, захлебываясь слюной от восторга, вопят, что «это» - самое надежное шифрование!

А через пару лет вдруг оказывается -
- Ой, извините, мы чуток ошиблись в алгоритме, и получилась некая зопа.
Но ничего, не беспокойтесь, дарагие юзеры, мы щаза тутв чуток подправим, и все будет окейно!

Но еще через пару лет вся эта история повторяется, этот процесс бесконечен. И так будет всегда - человеку свойственно ошибаться.
Так что не верить надежности любого шифрования - это не просто паранойя, это - здоровая паранойя, которая может уберечь от многих неприятностей.

Я же считаю что надев на 100% защиту ещё 100% защиты я не получу 200% защиты, просто потому что проценты так не работают.

А вы считайте не в процентах, а в условных единицах :=)
Но если серьезно, зашифрованный трафик, пропущенный через «трубу» со своим шифрованием, однозначно ослабит возможность его дешифрации.
Если трафик Телеги методом перебора вскроют, условно говоря, через 2^128 лет, то дополнительное шифрование, тоже условно говря, отодвинет этот срок до 2^256 лет.
Имхо, с этим не стоит спорить.

Насчёт ТОР. Непонятно мне тогда почему вы используете его в контексте шифрования. ТОР — это средство анонимизации трафика, шифрование в нём во вторую очередь. Более того, если у нас происходит выход из TOR — а в сценарии с подключением к кластеру телеграм он происходит — добавляется ещё одна «точка уязвимости» не под вашим контролем — exit node.

Потому что, несмотря что он задуман в основном как средство анонимизации, в нем также есть и шифрование - вот я его и использую.
Не на всем участке, конечно, а в самой сети Tor, и это я учитываю.

Это потому что TOR — средство анонимизации, в первую очередь, а не средство надёжной криптографической защиты.

Так считают создатели, многие пользователи и вы. Я же беру из этой технологии то, что в данном случае мне нужно - шифрование.
Вы не упустили возможность придраться к некоторым возможностям Тора.
Ладно, оставим его и в качестве дополнительного средства шифрования трафика возьмем ShadowSocks, OpenVPN и т.п.
Что скажете в этом случае?

Подытожу: в случае с телеграм я считаю наворачивание криптографии на криптографию бессмысленным расходом труда и электричества, канал и так надёжно зашифрован.

Помилуйте, какой труд, какая электроэнергия?? Из «трудов» только пару кликов мышкой, а из электричества неизменных 6 Вт независимо от того, шифрую дополнительно или нет.

Как лучше защить трафик Telegram

Лучше - никак. Защита от перехвата и так достаточна, а защита от Дурова бесполезна, так как всё через сервер. Хотя, как обещают, приватный чат обеспечиват защиту и от Дурова. В принципе можно поковырять исходник, чтобы убедиться. Другой вопрос, если надо сам трафик скрыть для защиты от блокировок, но это другой вопрос.

Я в дальнейшей дискуссии смысла не вижу. Своё мнение я высказал, причём несколько раз, а обсуждать ваши проблемы с доверием и методы их психологической компенсации мне не интересно.

Я вас услышал, позицию понял, но аргументированной её не считаю. Потому что глубинные убеждения в несовершенстве бытия и банальные заявления про «свойственно ошибаться» — это не аргументы, это демагогия.

Хотите доказать ненадёжность шифрования протокола телеграм — ссылайтесь на известные уязвимости в его алгоритмах, а не на потенциальную возможность их взлома гипотетическим компьютером будущего в ближайший миллиард лет.

Но тем не менее компьютер ваш, персональный, жизнь тоже ваша, считаете нужным потратить время своего существования на бессмысленную деятельность — вперёд, кто же запретит. Опять же, если это вас психологически успокаивает — это уже не бессмыслица, это терапия.

Ладно, Jameson, дело хозяйское. Только зря вы упомянули по демагогию.
Поскольку обратил внимание, что на форумах часто, если у оппонентов иссякают аргументы, они обвиняют собеседника в троллинге или демагогии, что проще всего, а главное, не требует доказательств.
Не стоит вам, человеку умному, уподобляться им и переходить на личности.

Однако тема открыта, желающие могут продолжить дискуссию :=)

Я человек простой, вижу демагогию — называю её демагогией, и ничего личного тут нет. И начинается она как раз при иссякании аргументов. Ваши аргументы — не аргументы, а досужие рассуждения, это и называется «демагогия».

Вот ссылки на статьи содержащие конкретные математические доказательства несовершенства используемой в протоколе телеграм криптографии, а ещё лучше практические доказательства ошибок и уязвимостей в реализации были бы аргументами. Вместо этого вы демонстрируете надетую на глобус сову и рассуждения домохозяина в стиле «Дед Еремей, разговоры за жизнь».

единственный способ получить доступ к аккаунту - украсть хранящийся локально у тебя секретный ключ.

А скопировать данные десктоп-приложения телеграм, разве не работает сейчас?

Ну так это же прекрасно!

Если прекрасно, то ни в чём себе не отказывайте. Подключайте Tor через ShadowSocks.

Как лучше защить трафик Telegram

Лучший способ наверняка уже посоветовали - просто не использовать это г-но. Лучше вообще никогда. Если нужна более-менее защищенная переписка - лучше воспользоваться дедовскими технологиями почта@GPG

если у злоумышленника есть доступ к домашней папке пользователя, то он может взломать вообще все что угодно и как угодно. Например, угнать расшифрованные ssh и gpg-ключи (кстати большой привет чудику, агитирующему тут за дедовские технологии)

Этот прав.

Остальным - не кормите чукчу, ещё и виноваты останетесь (смотри его прошлые треды).

А, ну да, ты ещё и демагогом оказался в его глазах, все как обычно.

Там деду просто скучно и он ходит сюда поговорить о своих фантазиях уже несколько лет, а вы все ведетесь.

чем ты занимешься, чёрт побери!

телега не более защищена чем сеть оператора приёма смс-ок и сервера авторизации у пашки дурова

Да я сам дед есичо

Телеграм это не защищенный мессенджер. Вместо него лучше использовать WhatsApp.

Если по каким-то причинам приходится использовать телеграм или другие способы незащищенной коммуникации, сообщения нужно шифровать отдельным инструментом. Я рекомендую age.

Подключайте Tor через ShadowSocks.

Шутка, наверное? :=) Речь ведь о телеге и защите ее трафика. Или я чего-то тут не понял...

Лучший способ наверняка уже посоветовали - просто не использовать это г-но. Лучше вообще никогда.

Это да. Но дело не во мне: попробуйте убедить в этом миллионы юзеров, которые его юзают - как думаете, получится? :=)

> Телеграм это не защищенный мессенджер. Вместо него лучше использовать WhatsApp. Если по каким-то причинам приходится использовать телеграм или другие способы незащищенной коммуникации, сообщения нужно шифровать отдельным инструментом.
Я рекомендую age.

Может и лучше, но часть народа запала на Телегу и их переубедить. И вот как раз с ними и приходится общаться.
Насколько легко ваш age можно вклинить между телегой и Инетом?

Upd. Стоп - age ведь не для потокового шифрования, а сеансового, а для голоса она вообще не пригодна.

Надо записать голос в файл и зашифровать файл. Передать его через файлообменник и потом получатель сможет его расшифровать.

Ну, это понятно. Тогда теряется самое главное, что есть в голосовом мессенжере - возможность диалога в риалтайме.
Имхо, никто их хомячков таким пользоваться не будет.

Хомячкам шифрование не нужно.