Telegram коды шифрования фсб

Обновлено: 06.01.2025

Как закон не учёл особенностей шифрования в мессенджере и почему так сложно создать техническое решение для спецслужб.

На второй день после президентских выборов Telegram проиграл ФСБ в Верховном суде: приказ ведомства о предоставлении ключей дешифровки переписки в мессенджере признали законным. Одним из главных вопросов по итогам заседания стало само понимание «ключей» и то, как в теории могло бы выглядеть сотрудничество Telegram и ФСБ.

Вопрос о блокировке Telegram обсуждается далеко не в первый раз. До конца июня 2017 года Роскомнадзор грозил Telegram блокировкой за отсутствие регистрации в реестре организаторов распространения информации. Тот конфликт завершился неожиданно: Дуров дал ссылку на открытую информацию о мессенджере, а ведомство само внесло его в реестр.

20 марта Верховный суд признал, что требование ФСБ получить ключи дешифровки законно и не нарушает тайну переписки. Адвокаты Telegram собрались подать жалобу в апелляционную коллегию ВС, однако глава «Агоры» Павел Чиков уже сейчас советует «запастись техническими средствами» для обхода блокировки.

Каков формальный повод ФСБ для получения доступа к переписке в Telegram? Ведомство официально заявляло, что секретным чатом в мессенджере пользовались боевики перед терактом в петербургском метро 3 апреля 2017 года. По данным СМИ, ФСБ хочет изучить переписку с участием аккаунтов, которые предположительно принадлежали подозреваемым в теракте братьям Аброру и Акраму Азимовым. Однако никто не гарантирует, что этим требования спецслужб ограничатся .

Обычные чаты Telegram используют шифрование с участием ключа на сервере, «секретные» чаты — оконечное (end-to-end) шифрование. Последнее подразумевает, что ключи хранятся только на самих устройствах, а никто, даже администрация Telegram, не может получить доступ к переписке.

Обычную беседу в своём Telegram-аккаунте можно продолжить на другом устройстве, а «секретный» чат — нельзя. Дело в том, что при оконечном шифровании ключ связан со смартфоном и его нельзя просто так перенести на другой смартфон, тогда как в стандартном чате ключ шифруется на сервере мессенджера.

В Верховном суде ФСБ и Telegram поспорили, не превысило ли ведомство полномочия при запросе доступа к переписке пользователей мессенджере. Стороны также разошлись в понимании ключей дешифровки информации.

Краткая позиция представителей Telegram: требование ФСБ предоставить ключи дешифровки нарушает тайну переписки и тайну связи, которую компания обязана обеспечить. Это противоречит антикоррупционному законодательству, а ключи представляют собой информацию ограниченного доступа. В приказе ФСБ нет сроков и формы передачи данных.

Позиция ФСБ: приказ не ограничивает права граждан на тайну переписки. Сами ключи для дешифровки — это не информация ограниченного доступа. Получить переписку ведомство сможет только по решению суда. Эту версию поддержала Генпрокуратура.

Согласно закону, тайна переписки входит в список информации ограниченного доступа по аналогии с адвокатской или медицинской тайной. Это, к примеру, указано в Конституции, Уголовном кодексе и федеральном законе «О связи».

ФСБ настаивает на том, что действует в рамках закона, требуя получить «информацию, необходимую для декодирования» переписки в Telegram. Ведь, согласно позиции ведомства, использование ключей дешифровки незаконно, только если на это нет решения суда. Но о вынесении российскими судами таких решений ни по одному пользователю Telegram на данный момент неизвестно (по крайней мере публично) .

Почему ФСБ будет трудно читать переписку даже с ключами шифрования

И хотя теоретически получить доступ к авторизационным ключам и расшифровать переписку может быть осуществимо, пока этого никто не сделал: в конкурсах, запущенных Telegram в 2013 и 2014 годах ровно с этой целью, до сих пор нет победителя.

Почему сложно создать решение для чтения переписки в Telegram

ФСБ не сможет расшифровать переписку в Telegram без актуальных ключей дешифровки. Даже если взять только «cекретные» чаты, то неизвестно, будет ли ведомство успевать обработать данные до смены ключей.

Если представить, что Telegram всё же согласится выполнить приказ ФСБ и регулярно передавать актуальные ключи, то спецслужбе и мессенджеру нужно будет каким-то образом автоматизировать эту работу. В этом случае Telegram должен представить техническое решение, но не ясно, будет ли компания делать это решение удобным для ФСБ и захочет ли заниматься этим в принципе.

Павел Дуров отреагировал на решение Верховного суда отказом выдавать ФСБ ключи шифрования переписки. Судя по словам основателя мессенджера, он не намерен создавать для ведомства никаких технических решений.

Как связаны решение Верховного суда и уведомление Роскомнадзора

Сегодняшнее предупреждение Роскомнадзора в отношении Telegram хоть и вышло в один день с решением Верховного суда, но напрямую с ним не связано. Ведомство фактически напомнило, что Telegram не выполнил требование ФСБ, и дало на это 15 дней. Если в этот срок компания не предоставит ключи, Роскомнадзор подаст на неё в суд.

Блокировка Telegram наступит при выполнении следующих обстоятельств:

Суд принимает решение о блокировке;
Команда Telegram подаёт жалобу и проигрывает все апелляционные процессы;
Роскомнадзор выдаёт предупреждение во второй раз;
Telegram снова отказывает в течение 15 дней;
Начинается блокировка Telegram.

секретным чатом в мессенджере пользовались боевики перед терактом в петербургском метро 3 апреля 2017 года.

А еще боевики пользовали смартфонами, ездили на машинах и ходили в кроссовках.

В каждой шутке - доля шутки.
Всё еще впереди.

лучше такие, чем вообще без них!

Комментарий удален по просьбе пользователя

от каналов, которые не читаешь и подписался хуй знает когда и почему

Так там и в чатах (на фото)

Ты просто с ОКР))

а где наручники и цепь?

У меня есть смутные подозрения, что скриншот прифотошоплен.

мы использовали фотошоп только для того, чтобы удалить со снимка цепь

Слишком качественно. На фотошоп не похоже.

Не читаешь Чайный?

ладно чайный, но тж Казахстан!

Сергей, спасибо вам. Ваша аналитика замечательна. Без шуток.

Интересно, как быстро Дуров найдёт системное решение для обхода блокировок?

Может уже готово? )

Может) Было бы разумно подготовиться и публично унизить Роскомнадзор) Команда у него одна из лучших в мире, вряд ли РКН располагает сопоставимыми кадрами.

Интеллигентный захват власти знаниями, а не силой) прямо лол как интересно посмотреть, кстати) ну если не вальнут по-старинке. Правда и валить сейчас надо по-новому) а у них уровень развития не тот)

Вряд ли его тронут, слишком он публичный чел. Да и на хорошую охрану денег достаточно. С другой стороны даже боязно, как бы давление разных спецслужб не загнало его под крышу одной из них.

Мне до сих пор интересно, почему никто из этой тусовки не интересуется ничем толком. При таких деньгах и возможностях, они уже могли бы быть черти кем, если подумать и для нового поколения тоже. А они все с киркоровым голубые огоньки ведут, да стремотой занимаются. Хорошо с деньгами, плохо с фантазией у илит - то самопровозглашенных.

Он чуть пощупанный такой (в хорошем смысле), мне кажется - вряд ли) Есть у меня мнение что он ни с кем делится не намерен - ни влиянием, ни чем-то еще, но при этом он учел опыт 90х)) Плюс он попал в очень выгодное время, когда сам принцип разделения власти может изменится, да и само понятие власти тоже, вряд ли он этого не понимает или не захочет этим пользоваться) хотел бы примкнуть, по крайней мере в России, уже б сидел бы в нашей стремной дорого, богато тусовке московской и в вк втирал бы, что все, что ни делается, все на благо государства и народа, никуда не уходя оттуда)

Ну и не совсем захват. Скорее демонстрация бессилия власти)

ну знаешь ли. уронить авторитет лидеров в глазах поколения на которое ставки в дальнейшем - это как бы покушение немножк) на такие действия обычно идет тот, кто собирается тоже занять лидирующие позиции)) кому не надо, тот и не связывается даже)

Опираясь на личные ощущения от работы с людьми из 90х, которые хоть какой-то капитал сделали на тот момент - они правда вот такие. Прошло почти 20 лет, а они не притворялись - золотой поднос с инкрустацией купить - пожалуйста, золотой унитаз поставить - ради бога, а вот элементарно курсы закончить по компьютеру, чтобы хоть включать его уметь толком - никогда. А мир то изменился. И им не страшно. Они правда такие борзые, что им кажется что все это пурга на постном масле.

Тоже сталкивался. Не хочу больше никогда таких клиентов)

Тут не просто "клиенты", на фрилансе кстати я таких люблю - там реально работы на минут 15 с ними - делай ровно наоборот от того, что нравится, не промажешь) У меня сложнее в этом плане история, но тут я ее рассказывать не хочу)

если история интересная, можно здесь: @Dusf_Werdant
(пока не запретили))

всё равно можно)

Зачем? Телеграму хорошо живется и без России

Как и много кому, но тем не менее они тут работают и зарабатывают. С чего бы это?)

Телегам вообще не зарабатывает

Павел Дуров провёл ICO не в привычном смысле, то есть привлёк не криптовалюту, а доллары и евро в обмен на ценные бумаги, подразумевающие получение токенов в будущем. В Telegram вложились основатель платёжной системы Qiwi Сергей Солонин (17 млн долларов), сооснователь производителя напитков «Вимм-Билль-Данн» Давид Якобашвили (10 млн долларов) и российско-британский предприниматель Роман Абрамович (300 млн долларов). Они были готовы вложить больше, но не получили разрешение от Дурова. Ранее появилась информация, что в ICO были готовы участвовать инвесторы из Кремниевой долины, в том числе Benchmark, Sequoia Capital и Kleiner Perkins Caufield & Byers. Дуров якобы отверг предложения от большинства инвесторов, иначе смог бы получить до 3,8 млрд долларов.

тогда скажи мне, чем обеспечена его монетизация, если не аудиторией, которую охватывает продукт?

Вас тут просто подловили на формальные признаки.

Может его этот TON будет в работать как Tor (одна из функциональностей имею в виду). А может он вообще над этим не работает, кто знает.

Все верно, в концепте TON это заложено.

СЕЙЧАС ЗАБЛОКИРУЕМ ТЕЛЕГРАМ
@
НУ СЕЙЧАС ЗАБЛОКИРУЕМ ТЕЛЕГРАМ
@
СЕЙЧАС ТО УЖ ТОЧНО ЗАБЛОКИРУЕМ ТЕЛЕГРАМ
@
НЕ НУ ПРАВДА СЕЙЧАС ЗАБЛОКИРУЕМ ТЕЛЕГРАМ
@
ЗАБЛОКИРУЕМ!!

сколько его раз уже блокировали? пять?

Ты понял, что я имею ввиду

Что грозили разным много раз. Но пока ни разу не пытались заблокировать реально.

Вот объясните гуманитарию, почему у телеги только секретные чаты энд-ту-энд, а у того же вотсаппа все чаты такие, но телега все-равно считается самой безопасной?

Потому что телега принадлежит Паше Дурову, который борется за свободу слова, а не Марку Цукербергу, который думает в первую очередь об акционерах фейсбука.

считается самой безопасной

Ну такона и не считается. Условный Сноуден, например, предлагает пользоваться Signal. А телега просто _удобная_. Секретными чатами дай бог полпроцента пользуется.

С другой стороны, какая может быть проблема, если секретный чат прочитают?
Вот условное ФСБ научилось читать секретные чаты. Тогда, как только они кого с этим поймают, поднимется шум. С тем пиаром, что устроили Дуровы вокруг чатов и mtproto, это будет громко и узнают сразу все.
Никто же вон не удивляется, что вк все данные выдает по первому требованию (
не удивлюсь если и без судебного решения).

А кого будут ловить первым? Оппозиционеров, ну может каких-нибудь закладчиков. Поэтому если ты не из этих категорий, то беспокоиться что тебя взломают первым не стоит. Нужно просто иметь ввиду, что в некоторый момент телега может быть скомпроментирована.

Никакие апелляции не помогут, если есть приказ "сверху".

Надеюсь смогут. Иначе какие они "спец" ?

Это очень годная статья, спасибо :)

Как говорится: Пока кто-то предполагает, кто-то располагает (фото)

Дело в том, что при оконечном шифровании ключ связан со смартфоном и его нельзя просто так перенести на другой смартфон, тогда как в стандартном чате ключ шифруется на сервере мессенджера.

Вот щас в Signal и Wire сильно удивились. Удивились и в WhatsApp, использующем Singal Protocol и шифрующем все чаты по дефолту с синхронизацией.

Безопасность мессенджеров оценивает Фонд электронных рубежей (EFF). В обновляемой таблице на его сайте секретные чаты Telegram уже несколько лет получают семь баллов из семи, тогда как стандартные — только четыре.

Оценивать нужно не конкретную технологию, а компанию. Криптография не может быть скомпрометирована как таковая, особенно на основе открытых известных технологий (во всяком случае пока). Вот, например, OpenVPN или IKEv2 вполне себе замечательные способы зашифровать трафик, но если вы Onavo Protect, которую купила Facebook и у которой весь штат — бывшие сотрудники израильского подразделения 8200 по обработке данных, то нет никакого смысла рассуждать о безопасности этих протоколов.

Почему сложно создать решение для чтения переписки в Telegram

Почему ФСБ будет трудно читать переписку даже с ключами шифрования

Нет никакой сложности. Закон Яровой + немного китайского оборудования для сжатия и хранения, национализация узлов распределения трафика и вот тебе новый центр обработки. Тем более все это происходит в стране, где государственная пропаганда миллионами ботами творит все, что хочет, а ключевые социальные сети и их сотрудники полностью под контролем после рейдерских захватов.

18 июня после двух лет безуспешных блокировок в России открыли доступ к Telegram. Для этого даже не потребовалось решения суда — похоже, что властям удалось договориться с мессенджером, который за два года превратился в символ сопротивления. Почему его разблокировали именно сейчас — в материале «Ленты.ру».

Для обхода блокировок поклонники мессенджера пользовались VPN и прокси-серверами. Даже крупные чиновники открыто признавались, что не переставали использовать Telegram, и расхваливали его преимущества. Несмотря на то что формально доступ к мессенджеру ограничивали для того, чтобы им пользовалось как можно меньше пользователей, запретить его использование россиянам никто не мог. Когда через год после решения суда сервис Telegram Analytics провел опрос среди 84 тысяч пользователей мессенджера, оказалось, что почти у половины из них Telegram свободно работал без средств обхода блокировки. Другие освоили прокси-серверы и даже потратились на платные средства для обхода ограничений.

«Тут работает следующая логика: если вашу переписку сможет прочитать кто-то, кроме вас и вашего собеседника, неважно, с помощью привилегированного доступа это будет устроено или умышленной "слабостью" алгоритмов шифрования, то это будет означать, что доступ может быть у неограниченного количества лиц. Это практически сводит на нет большинство преимуществ шифрования, достаточно будет лишь одного доказанного случая раскрытия зашифрованной переписки, чтобы доверия сервису больше не было», — объясняет логику мессенджера руководитель центра круглосуточного реагирования на инциденты информационной безопасности Group-IB Александр Калинин.

Договаривался ли Дуров отдельно с силовиками, не раскрывается, однако источники «Интерфакса» утверждают, что Telegram так и не предоставил властям ключи шифрования, но начал взаимодействовать с ними по конкретным запросам о терроризме, что было оценено позитивно. «В плане сохранности личных данных изменений нет — право на конфиденциальность и тайну личной переписки остаются фундаментальным принципом Telegram во всех странах», — заверил Дуров.

Опрошенные «Лентой.ру» представители индустрии не верят в то, что для разблокировки Telegram важную роль играло разрешение старого конфликта с ФСБ. Сама идея блокировать Telegram перестала быть актуальной, говорит глава экспертного совета по цифровой экономике при Госдуме Никита Куликов (гендиректор АНО «ПравоРоботов»).

«Блокировать Telegram уже не является основной задачей. Если в 2018 году у мессенджера просили ключи шифрования, и это было актуально, то сегодня Telegram развился до такого уровня, что требования регулятора просто морально устарели. Никаких ключей шифрования уже быть не может, поскольку это блокчейн-платформа, которая одновременно "зеркалит" и отправляет данные на большое количество других компьютеров. Заблокировать что-то в таких условиях просто нереально», — поясняет Куликов. Технически повлиять на деятельность Telegram теперь невозможно, и у исполнительных властей просто не оставалось других вариантов.

На фоне всех санкций и запретов мессенджер Telegram поражает своей живучестью: Роскомнадзор уже дважды грозился его заблокировать, но еще ни разу этого не сделал, несмотря на то, что у него на то имеются все законодательные основания.

В первом случае причиной конфликта стало отсутствие регистрации компании Telegram Messenger LLP в Росреестре. Тогда Дуров ответил на своей странице «В контакте», что все необходимые для регистрации данные можно найти в открытом доступе, заметив, что не собирается выполнять требование ФСБ предоставить ключи к переписке и следовать антиконституционному и нереализуемому технически «закону Яровой». Роскомнадзор, кажется, остался таким ответом удовлетворен, а вот ФСБ — нет.

ФСБ потребовала предоставить доступ к ключам шифрования, заявив, что члены международных террористических группировок пользуются мессенджером Telegram, так как он дает им возможность создавать секретные чаты с высоким уровнем шифрования.

Дуров официально отказался сотрудничать со спецслужбами даже под угрозой блокировки, заявив, что Telegram всегда готов порвать как личные, так и деловые связи со странами, где на компанию оказывается давление, и что мессенджер ежедневно самостоятельно «блокирует сотни каналов с призывом к насилию», поэтому необходимости в передаче ключей нет.

Но что значит «нереализуемому технически»? Специалисты отмечают, что у Дурова на самом деле нет технической возможности передать эти ключи. Сооснователь блокчейн-платформы Bitclave Василий Трофимчук, отмечает, что в протоколе телеграма MtProto 2.0 используется функция Perfect Forward Secrecy, что предполагает постоянное автоматическое обновление ключей шифрования.

«Предоставленные исходные ключи не помогут расшифровать всю переписку, так как каждые несколько сетевых пакетов происходит автоматическая смена ключей шифрования по специальному алгоритму распределения Диффи-Хелмана (DH). И получить доступ к трафику без проведения атаки MITM (Man-in-the-Middle) и перенаправления всего трафика через атакующего — технически не представляется возможным», — говорит он.

Это подтверждают и специалисты компании Digital Security: активная атака предполагает, что зашифрованные данные (подключение) будут проходить через атакующего, и он может прочитать или поменять передаваемые данные. Однако, без актуальных ключей этот трафик расшифровать будет невозможно. То есть теоретически можно предположить, что ФСБ просто не успеет обработать полученные данные до того момента, как произойдет очередная смена ключей.

Telegram Messenger LLP уже оштрафовали на 800 000 рублей за неподчинение закону о передаче данных. Это незначительная сумма для компании с бюджетом в $70 млн за 2017 году, если основываться на White Paper ICO Telegram Open Network, но важно другое: решение суда вступило в силу 12 декабря, а значит Роскомнадзор мог заблокировать мессенджер на территории России 28 декабря. Мог, но не сделал этого.

Теперь, по данным «Ведомостей», юристы компании подали иск к ФСБ. Они утверждают, что приказ ФСБ, утверждающий порядок предоставления службе ключей для декодирования, был издан 19 июля 2016 года, а поправки, реализации которых добивается ФСБ, вступили в силу только 20 июля, то есть на следующий день. То есть они по какой-то причине апеллируют к формальной стороне вопроса, игнорируя факты.

На запрос Forbes о причине несоблюдения законодательного регламента, в Роскомнадзоре заявили, что «на сегодняшний день решений в отношении мессенджера Telegram Роскомнадзором не принималось». По факту, Роскомнадзор действительно является исполнительным органом и выполняет решения суда, а не принимает их сам.

По словам одного из друзей Дурова, пожелавшего остаться анонимным, основатель мессенджера неоднократно упоминал, что в конце концов Telegram в России будет заблокирован. Но так как он изначально позиционировал мессенджер как общемировой, эта блокировка может быть ему на руку. Собеседник Forbes считает, что для Дурова это будет хорошим пиаром, потому что в глазах Запада, на фоне скандалов с вмешательством России в выборы в США и отравлении сотрудника ГРУ Сергея Скрипаля и очередного президентского срока Путина, это сделает Дурова «мучеником режима», а он считает, что блокировку могли отложить в связи с выборами. Это логично, потому что в 2017 году Telegram стал самым быстрорастущим мессенджером в Рунете. Это активная большая аудитория, которая восприняла бы такое решение крайне негативно, вне зависимости от политических взглядов.

«Вероятно, если со стороны ФСБ, суда или Роскомнадзора, были бы предприняты какие-то действия, это могло бы только навредить системе перед выборами», — добавил он.

Мессенджер Telegram изменил свою политику конфиденциальности и согласился передавать данные о пользователях спецслужбам — при соблюдении некоторых условий. Как говорится на сайте мессенджера, Telegram может раскрыть IP-адрес и номер мобильного телефона пользователя, если компания получит судебное решение, которое подтвердит, что пользователь является подозреваемым в терроризме.

В компании подчеркнули, что пока такой передачи данных не было ни разу. Также Telegram открыл специальный канал, в котором будет каждые полгода публиковать информацию о таком сотрудничестве со спецслужбами.

Руководитель Международной правозащитной группы «Агора», представляющей Telegram в суде, Павел Чиков в разговоре с ресурсом «Код Дурова» заявил, что нововведения являются следствием дела ФСБ против Telegram, но подчеркнул, что это не результат переговоров с властями.

«Мы как представители Telegram никогда не отрицали права и даже обязанности властей бороться с терроризмом, наоборот, предлагали именно такой цивилизованный путь — судебный запрос в обмен на раскрытие», — отметил Чиков. «Баланс интересов национальной безопасности и неприкосновенности частной жизни должен быть найден. Telegram предлагает свой вариант. ФСБ не предлагала ничего», — добавил он.

«Во-первых, речь идет не о переписке, а лишь об IP-адресах и номерах телефонов, а во-вторых, лишь по судебным разрешениям в каждом отдельном случае. То есть не ключи от всех чатов всех пользователей, как того хотели ФСБ и РКН», — пояснил РБК юрист «Агоры» Дамир Гайнутдинов, добавив, что, по его мнению, на ситуацию с блокировкой изменение правил не повлияет. Гайнутдинов подчеркнул, что в обновленных правилах есть обещание публиковать так называемые Transparency Reports (отчеты об открытости). «То есть мы можем рассчитывать, что когда власти попросят чью-то личную информацию, мы об этом узнаем», — сказал юрист.

Роскомнадзор рассмотрит возможность разблокировки Telegram, если мессенджер выполнит решение суда о предоставлении ФСБ ключей шифрования, заявил замглавы ведомства Вадим Субботин, передает ТАСС. Он отметил, что пока блокировка сервиса продолжается.

Telegram «надо не публичное заявление сделать, а обратиться в ФСБ России», — сказал Субботин, напомнив, что именно эта спецслужба обратилась в надзорное ведомство с просьбой о блокировке мессенджера. «Если ФСБ устроит или они поймут, что исполняется законодательство РФ, тогда их решение будет являться основанием для того, чтобы мы отказывались от блокирования мессенджера», — пояснил замглавы надзорного ведомства.

Главный аналитик агентства Combot, занимающегося Telegram-маркетингом, Антон Проценко отметил, что изменения в политику конфиденциальности были внесены еще две недели назад. Telegram будет выдавать только некритичные данные, и пока подобных случаев не было, отметил он.

«Telegram недавно получил почти $2 млрд ($1,7 млрд на ICO, первичном размещении монет криптовалюты или токенов, своей блокчейн-платформы TON. — РБК), что обязывает его прописывать риски чуть подробнее, чем «мы обещаем не красть вашу жену». Удаление из App Store или Google Play сейчас критично как никогда, и Telegram делает все, чтобы себя обезопасить», — считает Проценко. Например, Telegram также начал удалять каналы с пиратской музыкой и фильмами. При этом Проценко высказал мнение, что эти изменения не помогут мессенджеру в вопросе разблокировки в России.

«Почти все зарубежные компании, не только Facebook и Google, но и более мелкие, раз в полгода публикуют отчеты о запросах со стороны спецслужб, и это считается правилом хорошего тона», — сказал РБК Артем Козлюк, руководитель некоммерческой организации «Роскомсвобода» (специализируется на защите цифровых прав и анализирует реестр Роскомнадзора). «С другой стороны, такая публичность этого процесса снижает вероятность произвола со стороны спецслужб. Поэтому обновление политики конфиденциальности мессенджера вполне логично», — добавил он.

Козлюк отметил, что в новой политике конфиденциальности мессенджера «речь идет о подозрении именно в терроризме и нет слова «экстремизм», под который может попасть практически любая активность в сети». «Таким образом, значительно сокращается перечень лиц, в отношении которых могут применяться какие-то санкции», — пояснил эксперт.

По его мнению, основатель мессенджера Павел Дуров принял решение изменить политику конфиденциальности в соответствии с законодательными нормами EC, в частности регламентом по защите данных GDPR (General Data Protection Regulation — Общий регламент по защите данных, который требует от медийных компаний получать согласие от пользователей на сбор и обработку персональных данных).

В мессенджере, в свою очередь, заявляли, что выполнить требования ФСБ невозможно технически: история переписки сохраняется только на устройствах пользователей и не дублируется на серверах компании. Однако компании не удалось отстоять свою позицию в Верховном суде. В ФСБ при этом указывали, что ведомство не претендует на получение всей переписки пользователей, а лишь в тех случаях, в которых есть соответствующее решение суда.

Подобные запросы и претензии от спецслужб возникают не только к российскому мессенджеру.

Google во второй половине 2017 года получил около 50 тыс. запросов на предоставление пользовательских данных в отношении более 87 тыс. аккаунтов. 300 запросов были со стороны России.

Apple получила во второй половине прошлого года более 16 тыс. запросов от американских властей, эти обращения касались более 8 тыс. аккаунтов пользователей. От России в компанию поступило более 400 запросов.

В закладки

Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках.

Как работает сквозное шифрование в Telegram

В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption).

В общих чертах сквозное шифрование работает так.

У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.

Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.

Метод действительно мощный. Но… всё не так однозначно.

Увы, Telegram уже взламывали, причём демонстративно

Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт.

Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало.

ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома.

При этом реальный владелец аккаунта даже не видел, что его взломали.

А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись.

В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем.

Пароль любой длины в Telegram тоже можно обойти

Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам.

Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram.

Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам.

Серверы Telegram уже взламывали, причём публично

Передаваемые через Telegram файлы уже перехватывали

В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно.

Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать.

Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа.

Связи пользователей Telegram друг с другом тоже раскрывали

Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.

Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных.

У Telegram закрытый код, поэтому объективно проверить его безопасность не получается

Разработчики Telegram заявляют:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.

Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др.

Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть

Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов.

Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации.

Многие эксперты считают защиту в Telegram просто маркетингом

В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит не проводили ни разу.

Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.

Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их.

Что делать обычному пользователю Telegram?

Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас.

Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram.

(54 голосов, общий рейтинг: 4.74 из 5)

В закладки Разбираемся, что там на самом деле с безопасностью в Telegram.

Ксения Шестакова

Живу в будущем. Разбираю сложные технологии на простые составляющие.

Вот зачем нужен красный фонарик в Apple Watch. Пользуйтесь

ФБР признало, что следит за пользователями WhatsApp в реальном времени. iMessage тоже досталось

Почему iPhone так долго живёт на 1% заряда?

10 самых маленьких домов в мире. Один из них стоит на камне в реке

В Telegram для iOS и macOS появится распознавание текста на картинках

Госдума: блокировать и признавать Telegram СМИ никто не планирует

🙈 Комментарии 27

Я кстати, последнее время заметил проблему в нем. Хочу зайти через рабочий компьютер в telegram web(пусть даже это будет зеркало) и когда пароль должен придти в его в итоге нет. Причём аналогичную схему делал и через телефон (заходил в web версию через браузер) и все нормально приходило.

«Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др.»

Зачем ссылки на Google Play на сайте iphones? Для iOS только Signal?
Что про wire скажете?

думал в конце будет ссылка на тамтам

Привет от Threema ;)

Это скорей для политиков, оппозиционеров, бизнесменов встреча в чистом поле (хотя и там могут прослушать, перехватить и тд). Для большинства людей прятать то особо и нечего, максимум политические репосты. Хотя, статья очень интересная))))

Всегда говорил и говорю. Все там сливается и на кого он работает давно известно. А так да сделали хороший пиар и люди побежали устанавливать телегу. Другое дело да он удобен, многофункционален и т.п..

@Trooper , бот всегда говорил и будет говорить, а другие боты его лайкать. только толку от твоей жизни, бот, ноль

Неплохая попытка, маил ру, но нет.

гдето читал правприменительную практику по таким делам (не тут ли?)- там нет переписок, если только чел сам не дал свой телефон прочитать.
так что норм безопасность, не сцыте

@joker2k2 , наркотой и по смс торгуют, там тоже никто не прочитает?)))

@triller , чет не слышал про такое ) это менты наверное )) сами читают, сами торгуют )

@joker2k2 , да тут же статья была, что многие совсем о безопасности не заботятся))

Телега ваша у Билайна не работает уже несколько дней. Усе

@iphoneriddick , в смысле? У меня на билайне пашет

@ram_ler , задайте вопрос, как могут существовать свободно распространяемые протоколы шифрования? :) Поищите историю PGP, например, и не путайте свои домыслы с реальностью. А, еще про Кузнечик почитайте, тоже в тему.

Сложно отделить истину, так перемешанную с мифами.

Собственно, статья несёт в себе верную мысль, но экспертного мнения катастрофически не хватает (за Диффи-Хеллмана особенно больно было), очень много поверхностных утверждений.

Читайте также: