(текст лаборатории Касперского) Телеграм - никаких секретов

не вижу связи. все их объяснения звучат примерно как «десктоп менее безопасен, поэтому секретные чаты там не нужны». это утверждение в общем случае ложно. Если ты хочешь, ты можешь сделать десктоп столь же безопасным (если не более), чем мобильные устройства. Так что «такой же аргумент» тут не применим.

для обычных чатов да - секретность них обеспечивается только в канале клиент-сервер. так что сервера телеги ствоими сообщения могут сделать что угодно.
в е2е шифрованном канале секретность обеспечивается в канале клиент-клиент. ключи только у двух сторон чата и наружу они не отдаются. а шифрованный канал можешь хоть через сервера телеги, хоть кгб, хоть цру прокладывать - там пофих.

Бесплатная версия вставляет рекламу в конце некоторых каналов. Я так понимаю, это персональное

многопользовательский e2e секретный чат очень сильно сложнее и геморнее в разработки и допиливани, чем простой е2е секретный чат. мож когда и накодируют. но нарядли, для обывателя они малоинтересны и бабосов на них не нарубишь.

секретный чат еще идет, по возможности, напрямую от клиента к клиенту :) т.е. в обход серверов телеги.
ну а если нет прямой связи, то сервера телеги конечно используются, но смысла для дурова в этом нет - современный шифроканал практически не вскрываем. это пустой, с точки зрения бизнеса, трафик.

Не знаю, что насчёт бизнеса. Но тащ майор может заинтересоваться даже этими данными. Они не дают понять о чём люди говорят, но позволяют понять кто с кем секретничает.

в десктопе нет закрытых систем хранения :)
с выключенного компьютера можно элементарно дернуть ключи секретного чатика телеги.
с нерутованного андроида это сложнее, а если хомяк шифрованный еще труднее и т.д.

ок :)
ип 88.88.88.88 отослал ип 99.99.99.99 17 пакетов по 1,2 кб какогото неопределенного трафика.
и таких сообщений у него мульён примерно каждые скажем полчаса.
что делать тащ майору с этими данными ?? :)

ты говоришь как будто ты уже давно светанулся спец.службами своей деструктивной деятельностью и за тобой все следят !!
с этим надо к специалистам мед.профиля обратиться :)

Смотрел на Ютубе канал КиберДеда, он вроде бывший КГБ-шник. Он говорил, что спецслужбам не так важно что в самих сообщениях. Гораздо важнее установить круг общения, т.е. адресатов.

А что именно в сообщениях адресаты и так расскажут

ип 88.88.88.88

Телеграм отлично знает, какой именно пользователь сидит на этом IP. Тащ майор же знает даже его имя, фамилию и адрес. Тащ майору интересен трафик конкретных пользователей а не весь «мульён».

с выключенного компьютера можно элементарно дернуть ключи

Попробуй выдерни с шифрованного диска.

Этого мало. Надо, чтобы по умолчанию при установке ос создавалось какое-то защищенное хранилище, где бы программы могли хранить секреты

А лучше вообще сделать стандартным какое-то аппаратное решение для этих случаев

телеграм да. тащ майор тоже.
если тащ майор конкретно заинтересовался в отслеживании конкретно твоего трафика, то это совсем другая история :) и совсем другой уровень скрытия и размазывания трафика.

если ты вышел из лоханки «неуловимого джо» и пользуешься при этом ширпотребовскими телегами и прочими неподготовленными системами, то это проблемы лично твоей глупости - с глупостью ничего не сделаешь, чего уж тут роптать. ну не получается «рыбку съесть и на * сесть» в жизни.

А лучше вообще сделать стандартным какое-то аппаратное решение для этих случаев

Внезапно, этим решением и является TPM. Если захотеть (и не обращать внимание на визг противников Trusted Computing) - запросто можно его использовать, причем применяя совершенно стандартные интерфейсы PKCS#11 - т.э. использовать ровно так же, как и любую другую смарткарту.

хех, какой умный нашолся. оке
сколько обывательских потребителей (т.е. не погромистов и прочих комп.спецов) компутера в твоем ближнем окружении имеет шифрованный хомяк ??
и сколько ваапче знает про ентую технологию ??

айфоны и андроиды уже давно имеют закрытую область, доступ в которую запрещен. и с недавних пор насильно предлагают шифровать все и вся.

в десктопе это пока очень большое новшество и редкость.

На десктопах раз в полгода винду перенакатывают. Муторно сохранять сертификаты шифрования и подкладывать их обратно после переустановки винды.

дыкыть повершелл скрипт напиши :)

с выключенного компьютера можно элементарно дернуть ключи секретного чатика телеги.

Ииииии? Выпинываешь скомпрометированный девайс из аккаунта и живёшь счастливо. Это вот самый тупой довод, который я когда-либо видел, если честно.

Или, как я понимаю, ключи секретного чата в тг привязаны к аккаунту, а не к девайсу? Тогда это ещё более полное днище, чем кто-то мог себе представить. Надеюсь, я ошибся тут.

сколько обывательских потребителей (т.е. не погромистов и прочих комп.спецов) компутера в твоем ближнем окружении имеет шифрованный хомяк ??

Почти все юзеры макоси. Там это одной галочкой в настройках делается. А в новых маках ты диск на другом маке тупо не прочитаешь.

Ииииии? Выпинываешь скомпрометированный девайс из аккаунта и живёшь счастливо.

Вы исходите из предпосылки, что телега исключительно для гиков, антисоциальных элементов и прочего технически подкованного контингента.

А, может - это просто мессенджер? Чтобы пользоваться которым надо уметь только установить приложение и подтвердить регистрацию смс-кой. Как вам такое?

Вы исходите из предпосылки, что телега исключительно для гиков, антисоциальных элементов и пр.

Нет, я исхожу из того, что создатели телеги либо долбодятлы, либо сознательно сделали говно. К юзабилити это всё отношения не имеет, потому что оно от сквозного шифрования никак не страдает.

Ты ещё блин напиши, что VPN – это сложно и для гиков, хотя сейчас каждая деваха его умеет пользовать, когда инстраграм забанили. Средний пользователь не настолько дебил, насколько ты считаешь.

исходи из того, что не ты разрабатывал телегу и то, что задумка разработчиков не совпадает с твоим личным мнением, это лишь твоя личная проблема.
можешь использовать любой другой месенджер более подходящий под твои хотелки :) или написать свой.

ключи е2е чатика лежат в девайсе, и никуда более не доступны. даже на другой девайс того же аккаунта.

и у скольких она включена ??

если ты вышел из лоханки «неуловимого джо»

Проблема тут в том, что ты никогда заранее не знаешь, когда ты выйдешь из неё. А когда это уже произойдёт - ты уже не сможешь скрыть то что ты делал до этого. То что один раз попало в интернет - останется в интернете.

Начиная с m1, у всех.

обывательских потребителей

Кого они волнуют? Потенциальные пользователи секретных чатов на десктопе к ним не относятся. И уж точно знают и пользуются шифрованием дисков (а если нет, то ССЗБ).

можешь использовать любой другой месенджер более подходящий под твои хотелки

Слышал про сетевой эффект?

неа, рассказывай :)

т.е. все было норм и вдруг случайно ты решил заняться непотребными делами и не заметил ентого…
норм, чё, при таком отношении к жизни, можно везде оступиться :)
я тут с одним человечком общался, там клиника жосткая. так он в интернет только через браузер с отключенной джавой выходит - «что бы вдруг чаго не того не произошло».

пользователи, скрывающиеся от лишних глаз, думаю, имеют более сложные системы сокрытия информации как на носителях, так и в доступе к тырнетику. и в ширпотребовские програмы лишним не светят.
в ином случае абсолютно согласен - они полнейшие ССЗБ :)

На мой взгляд, дело не только в опасности чтения чужих сообщений какими-то еще людьми. И даже не столько в этом опасность. Ну в конце-концов мы же не обсуждаем в чатиках гос-тайну, правильно? А уж наши «что купить на ужин» обсуждения наверное не очень интересны «тащ майору».

Более важно, на мой взгляд, скрываться от чтения рекламными ботами. Потому что современные технологии маркетинга слишком агрессивны. Стоит поискать что-то в незащищенном браузере в поисковиках, как еще несколько месяцев будет везде висеть навязчивая реклама с похожими типами товаров.

И пусть этот кейс сейчас выглядит не очень страшно, но возможности у этого сценария большие. Маркетологи прям охотятся например за беременными. Алгоритмы прекрасно позволяют установить беременность по поведению человека. А беременность – это всегда траты, много предсказуемых трат. И вот за эти деньги маркетологи готовы драться. Уже прям считают эти деньги своими.

С современными утечками персональных данных усиливается количество нежелательных звонков от подобных горе-маркетологов. И т.д. и т.п.

исходи из того, что не ты разрабатывал телегу и то, что задумка разработчиков не совпадает с твоим личным мнением, это лишь твоя личная проблема.

А вагоны утёкших данных юзеров из-за того, что по дефолту аутентификация только через код из смс, и все чатики доступны сразу после логина – это чья проблема?

Гугл и википедию я тебе заменять не нанимался.

ты решил заняться непотребными делами и не заметил ентого…

Причём тут «решил»? Скорее кто то решил, что то, чем ты занимаешься - непотребно. От тебя это чаще всего вообще не зависит.

я тут с одним человечком общался, там клиника жосткая. так он в интернет только через браузер с отключенной джавой выходит - «что бы вдруг чаго не того не произошло».

И в чём он неправ? NoScript и скрипты только из разрешённого списка сайтов – залог спокойного сна и целостности твоего анального отверстия.

То есть расшифровку данных, например, видео порно в 1 гигабайт, будет делать конечное устройство пользователя?

То есть расшифровку данных, например, видео порно в 1 гигабайт, будет делать конечное устройство пользователя?

Оно это и так делает, чувак. Сначала из TLS, а потом из h264/5/AV1 при просмотре. Лишний шаг хуже не сделает, благо сейчас нет процессоров без аппаратного ускорения AES.

Касперского

зачем ты сюда это принес?

Адблок, телефон беззвук кроме контактов. Потому как рекламы и щас завались, просто она менее адресная.

Вроде в matrix, но я задолбался там токены удостоверять...

Если ты хочешь, ты можешь сделать десктоп столь же безопасным (если не более), чем мобильные устройства. Так что «такой же аргумент» тут не применим.

Я бы даже сказал, что как можно доверять мобильным устройствам? Может в среднем против мамкиных кулхацкеров нерутованные современные мобилы и безопаснее, но если учесть, что ловили даже за руку (правда разные левые китайские модели) за сливом разных данных и вообще хз, что туда напихали.

На мой взгляд, дело не только в опасности чтения чужих сообщений какими-то еще людьми. И даже не столько в этом опасность. Ну в конце-концов мы же не обсуждаем в чатиках гос-тайну, правильно? А уж наши «что купить на ужин» обсуждения наверное не очень интересны «тащ майору».

Жуткий нацполище и напоминание о ненапоминаемом, но где-то в январе проскакивала инфа, что в одной близкой, но ныне недружественной, мягко говоря, стране на югозапад от Москвы ее спецслужбы наловили pccийских агентов как раз через каналы в телеграмме вычислив. Насколько это верно, а не утка - хз, насколько это были реальные агенты - хз, секретные там были чаты и паблики - хз.

В Session есть Groups.

Groups are fully end-to-end encrypted group chats. Up to 100 people can participate in a group chat. Group messages are stored on Session’s decentralised network, without using any central server(s).

Больше сотни не может, дальше уже не такие секурные Communities начинаются.

В Гонконге так ловили протестующих. В телеге была дикая дыра: если чувак из группового чата или канала есть в твоих контактах, то в групповом чате отображалось имя из контактов. А добавить весь диапазон номеров в контакты фермы мобильников — это не то чтобы сложно.

Вообще-то и одного только номера телефона хватило бы, даже если симки не по паспорту куплены, просто возни несколько больше.

В телеге была дикая дыра

Вы серьёзно? Если бы телега была крипточатиком для анархистов, то да - дыра. А так это обычная фича для соцсети.

Дурову верить ИМХО - дурость.

Я конешно извиняюсь, а пруфсы там есть?

Мда, ты не сможешь этим людям объяснить, что Дуров просто очень хороший маркетолог ;)

Проекты его - сказочное то самое

А еще ты не сможешь объяснить мамкиным криптоанархистам, что позакрывав все каналы связи шифрованием, мамкин кулцхацкер светится в поле обычных пользователей как новогодняя лампочка и товарищ майор уже чистит паяльник