Telegram

[_sv_]

написанное не имеет особого отношения к сказанному мной =)

Ну, значит я не понял о чем велась речь.

 

P.S.

Вы уловили, что незачем возиться и прятать свои данные в шифрованные файлы или еще куда-то?

Что современные мессенджеры и без того более, чем безопасны?

Я именно на это хотел обратить внимание - на избыточность шагов вами описанных.

Изменено 25 апреля, 2018 пользователем _sv_

[Инквизитор]

Напомнило мне троло-ло-ло кейс из кныжьки "Surely you're joking mr. Feynman"))

 

От же ж Ленко, пришлось мне качать книжку на русском. А то ж чуйствую что-то интересное, а понять слету не могу. От продирания же сквозь дебри буржуйской мовы без крайней необходимости имею очень противные ощущения...

[Инквизитор]

P.S.

Вы уловили, что незачем возиться и прятать свои данные в шифрованные файлы или еще куда-то?

Что современные мессенджеры и без того более, чем безопасны?

Я именно на это хотел обратить внимание - на избыточность шагов вами описанных.

Я-то уловил, но:

 

Если провайдеры связи и/или производители программ для общения соблюдают законодательство, обязывающее хранить данные пользователей и предоставлять их по запросу, то это автоматически означает наличие бэкдора или мастер-ключа. Или вообще все сообщения шифруются одним ключом/набором ключей, который может быть использован для расшифровки чужой переписки. В телеге тоже скорее всего последний вариант, иначе было бы ключей больше чем юзеров и ФСБ/полиции просто нечего было бы требовать от разработчиков/хостеров/провайдеров телеги, пытались бы дрючить самих юзеров.

 

А если есть такая возможность, значит, вся хваленая безопасность современных мессенджеров неэффективна. Не, от соседского детеныша, пытающегося забрутфорсить телегу одноклассницы, это поможет. Или хакеров, охотящихся за номерами карточек или компроматом. Но от выдачи данных по официальному и законному требованию органов - нет.

 

Собственно, все хайповое "цифровое сопротивление" продержится до первого применения терморектальной технологии дешифровки к пану Дурову или его сотрудникам. Затык в том, что его просто так не достанешь. Как только достанут - весь телеграм будет лежать тепленький и голенький в лапках тащмайоров.

 

А мои "избыточные шаги" всего лишь предполагают персональные ключи. И с ними хоть вообще без шифрования телегу запускай - она будет забита кучами байтов, которые без конкретных ключей от конкретных пользователей есть мусор. Конечно, если кто-то конкретный взят под колпак, то можно будет установить отслеживание самих фактов переписки с кем-то, а потом стребовать у этого кого-то копии присланных ему сообщений - но это и так делалось всегда, даже с бумажными письмами. Но - не автоматически, без повода и у всех сразу, а неправленно и в рамках следственных действий.

[Andreios]

 

А мои "избыточные шаги" всего лишь предполагают персональные ключи. И с ними хоть вообще без шифрования телегу запускай - она будет забита кучами байтов, которые без конкретных ключей от конкретных пользователей есть мусор.

Эмм, ты видимо не очень в курсе.

Секретные чаты в Телеге как раз используют E2E шифрование, а это как раз такой кейс о котором ты и говоришь.

Т.е. даже если абстрактные терры планируют терракт в телеге, то делают это на 99.99999% в секретных чатах, а значит никакие ключи предоставить принципиально невозможно.

Если только рассчитывать на идиотов, которые ведут опасные разговоры в публичных чатиках...

Поэтому вся эта дрочь просто бурление говн у властьимущих.

[Пакость]

Heavenward, толковая история. Плохо что на буржуйском - голову сломаешь пока переведёшь.

 

Что современные мессенджеры и без того более, чем безопасны?

Они безопасны не более чем настолько, насколько ты доверяешь их владельцам. И это кстати можно сказать про абсолютно любой интернет ресурс, и не только.

Ну а далее ровно то, что Инквизитор в #103 написал.

 

Секретные чаты в Телеге как раз используют E2E шифрование

Тот-же массово популярный SSL, только в профиль. А это значит что? А то, что всё это дело легко снимается методом "человек по середине", ну или доступней, совсем не проблема просмотреть переписку на самих серверах Телеги, да и на уровне провайдера вполне реально, с соответствующим оборудованием и при условии что абонент не размазывает свой трафик на нескольких провайдеров (что обычно выполняется).

 

Ну а далее, дрочь вполне может заключаться в том что Телега не хочет представлять дампы переписки по запросам наших органов. На лету они её трафик скорей всего расшифровать могут, но в плане получения истории той самой переписки это никак не помогает, только в потенциальном прогнозировании, ну в смысле, банальное машинное реагирование на забитую таблицу ключевых слов.

 

Ну а в конечном счёте про "бурление говн у властьимущих" всё верно т. к. в конце то концов Дуров, как левая, даже не Российская компания вполне может и имеет право слать их нах.

Изменено 25 апреля, 2018 пользователем Пакость

[a0xff]

Секретные чаты в Телеге как раз используют E2E шифрование, а это как раз такой кейс о котором ты и говоришь.

Т.е. даже если абстрактные терры планируют терракт в телеге, то делают это на 99.99999% в секретных чатах, а значит никакие ключи предоставить принципиально невозможно.

Если только рассчитывать на идиотов, которые ведут опасные разговоры в публичных чатиках...

Поэтому вся эта дрочь просто бурление говн у властьимущих.

ключи нет. а вот граф связей при наличии доступа- очень даже. и возможность в нужный момент сделать помехи связи, заблочив нехорошие аккуанты.

[MedicusAmicus]

Плохо что на буржуйском - голову сломаешь пока переведёшь.

Лучше в оригинале, чем в вольном переводе.

А голову ломать - можно гугул-гранслейту поручить. Ой, он же тоже некошерно-буржуйский. Ой, слово "буржуйский" - тоже не родное, иноземное. Давайте в "ногомяч" играть.

Незнание иностранного языка - не беда. Принципиальное нежелание узнавать новое - порок. Еще со времен Суворова, ага. Который полководец, а не писака.

[Пакость]

можно гугул-гранслейту поручить

Вай! Давай уж лучше тогда Гусю, он хоть уже и старичёк, но один фиг лучше справится :)

[Andreios]

Тот-же массово популярный SSL, только в профиль. А это значит что? А то, что всё это дело легко снимается методом "человек по середине", ну или доступней, совсем не проблема просмотреть переписку на самих серверах Телеги, да и на уровне провайдера вполне реально, с соответствующим оборудованием и при условии что абонент не размазывает свой трафик на нескольких провайдеров (что обычно выполняется).

 

Шо вы несете?

Как mitm?

Какая переписка на серверах Телеги?

Что на уровне провайдера вполне реально?

Иногда лучше жевать...

[_sv_]

это автоматически означает наличие бэкдора или мастер-ключа.

Нет. Ни то ни другое. Эта дилемма решена достаточно давно. Возможно одной из первых в области криптографии. Как можно доверять кому-то, кто знает твой ключ?

 

хоть вообще без шифрования запускай - будет забита кучами байтов, которые без конкретных ключей от конкретных пользователей есть мусор.

Таким образом можно защититься от соседа. Нормальный аналитик все потуги непрофессионала взломает на "раз-два". И так будет с 99.9% всех методов, какие сможет выдумать не профессионал. Проблема мессенджера в том, что он использует криптографически надежные решения...

 

P.S.

Разработчики алгоритмов шифрования пытаются генерировать белый шум без источника энтропии. Только из ключа и входных данных. И на удивление далеко продвинулись в этом направлении.

[Neinsager]

Какая переписка на серверах Телеги?

Обычная. С чего-то ж она синкает историю сообщений, когда запускаешься на новом месте :)

[Heavenward]

От же ж Ленко, пришлось мне качать книжку

 

 

Уии-ии-иии! Сев, я безмерно счастлив, что ты будешь читать эту книгу. Это прям одна из моих любимых, тебе она по-любому зайдет :) Это одна из книг, которая просто маст рид, угу :)

[Neinsager]

Официальные новости с полей:

 

Роскомнадзор и РОЦИТ встретились с представителями IT-индустрии

 

Роскомнадзор совместно с РОЦИТ провел в среду, 25 апреля, встречу с представителями IT-индустрии по вопросам, связанным с исполнением судебного решения об ограничении доступа к мессенджеру Telegram.

Как отметил в ходе встречи заместитель руководителя Роскомнадзора Вадим Субботин, Федеральная служба продолжает рабочие контакты с Amazon и Google с целью прекращения предоставления Telegram IP-адресов с целью работы мессенджера в России в нарушение решения суда. Контакты с Amazon к положительным результатам пока не привели, возможно, по политическим причинам, отметил он.

Напротив, взаимодействие с Google становятся более конструктивным, начат предметный диалог.

В ходе совещании было подчеркнуто, что согласно решению суда, обязанность прекратить создавать технические условия для функционирования Telegram в России возложена не только на Роскомнадзор, но и на «иные лица», в том числе хостинг-провайдеров.

Ну посмотрим, ага.

[_sv_]

Тот-же массово популярный SSL, только в профиль.

всё это дело легко снимается методом "человек по середине"

В контексте обсуждаемой темы SSL/TLS не тот E2E.

А точнее - по соединению (которое может быть как открытым, так и TLS) идет шифрованный поток данных E2E.

Как вы представляете себе man-in-the-middle в таком ключе?

 

совсем не проблема просмотреть переписку на самих серверах Телеги, да и на уровне провайдера вполне реально

ФАПСИ и АНБ иного мнения.

Изменено 25 апреля, 2018 пользователем _sv_

[Инквизитор]

Лучше в оригинале, чем в вольном переводе.

А голову ломать - можно гугул-гранслейту поручить. Ой, он же тоже некошерно-буржуйский. Ой, слово "буржуйский" - тоже не родное, иноземное. Давайте в "ногомяч" играть.

Незнание иностранного языка - не беда. Принципиальное нежелание узнавать новое - порок. Еще со времен Суворова, ага. Который полководец, а не писака.

Это при условии, что знаешь импортный язык не хуже оригинала. А так -

1. вначале читаешь на нем, параллельно сам себе перевод делаешь

2. после этого усваиваешь смысл свежепрочитанной фразы, поминутно исправляя сам себя

3. потом переосмысливаешь ее заново, пытаясь привести полученный кусок текста в художественную форму, иначе остается впечатление, что не роман читаешь, а технический справочник.

 

Гугл-транслятор делает вместо человека первый пункт. Профессиональный переводчик с художественным редактором - второй и третий. И я не вижу ничего зазорного в том, чтобы воспользоваться плодами их работы - они в любом случае переведут лучше меня.

Нет, если, конечно, поставить цель прокачать свой инглиш, или просто нет готового перевода, то, да, можно и самому поднатужиться. Но тут уж кому как - я, например, просто не наслажусь результатом, поскольку успею возненавидеть процесс...

[Andreios]

Обычная. С чего-то ж она синкает историю сообщений, когда запускаешься на новом месте :)

 

Ага, и что ты с ней сделаешь без обоих пользовательских ключей? :)

 

А точнее - по соединению (которое может быть как открытым, так и TLS) идет шифрованный поток данных E2E.

Как вы представляете себе man-in-the-middle в таком ключе?

Никак.

Человек просто не понимает, что говорит.

[Advoc@te]

ФАПСИ и АНБ иного мнения

ФАПСИ ликвидирован в 2003 году.

[Инквизитор]

Инквизитор (25 Апрель 2018 - 20:00) писал:

 

это автоматически означает наличие бэкдора или мастер-ключа.

 

Нет. Ни то ни другое. Эта дилемма решена достаточно давно. Возможно одной из первых в области криптографии. Как можно доверять кому-то, кто знает твой ключ?

 

Инквизитор (25 Апрель 2018 - 20:00) писал:

 

хоть вообще без шифрования запускай - будет забита кучами байтов, которые без конкретных ключей от конкретных пользователей есть мусор.

 

Таким образом можно защититься от соседа. Нормальный аналитик все потуги непрофессионала взломает на "раз-два". И так будет с 99.9% всех методов, какие сможет выдумать не профессионал. Проблема мессенджера в том, что он использует криптографически надежные решения...

 

P.S.

Разработчики алгоритмов шифрования пытаются генерировать белый шум без источника энтропии. Только из ключа и входных данных. И на удивление далеко продвинулись в этом направлении.

 

 

Таки у нас опять недопонимание.

 

Я писал не про криптозащиту мессенджеров как таковых, а про то, что если провайдер/владелец мессенджера сотрудничает с кем бы то ни было в вопросе предоставления переписки пользователей, значит, у него есть возможность ее расшифровать и отдать в открытом виде. А если такая возможность есть, значит, либо провайдер/владелец хранит вместе с перепиской и ключи (миллиарды ключей, ага), либо ключ один на всех (ну или набор ключей разумного размера), либо есть способ обойтись вообще без ключа. Именно поэтому доверять мессенджерам, одобренным "соответствующими органами" действительно нельзя. И большинству неодобренных, уверен, тоже - иначе никак не объяснить хотя бы того же показа рекламы, странно соответствующего ключевым словам из якобы секретной переписки...

 

ФАПСИ ликвидирован в 2003 году.

Ну не придирайтесь к словам. Пуская служба упразднена, но ее деятельность никуда не делась, просто ею занимаются другие ведомства.

[Дед Мороз]

Подходящей темы не нашел - надеюсь на понимание.

 

Попытался зайти на китайский форум http://www.bjguang.com/

Интернет выдал

尊敬的用户您好：

您访问的网站被机房安全管理系统拦截，有可能是以下原因造成：

1.您的网站未备案，或者原备案号被取消，点击进入快速免费备案通道.

2.您的网站未添加网站白名单，点击快速添加网站白名单.如果已添加，请等待白名单生效.

3.您的网站存在疑似违规、违法内容，请及时联系机房网络管理员. 景安网络安全管理系统集群节点

 

Вопрос: Сколько клавиш на китайской клаве? Обнаружил такую

У них клавиша Enter - это флаг Китая

[Инквизитор]

Вопрос: Сколько клавиш на китайской клаве? Обнаружил такую

Столько же, сколько и на арабской или японской. Сто с хвостиком у нормальных компьютеров, около восьмидесяти у кастрированных. Плюс-минус.

Нужный иероглиф или комбинация символов вязи набирается последовательными комбинациями клавиш.

[Dan]

https://coub.com/view/16ufsk

 

Кто умеет кубы выкладывать - поправьте плиз )))

[Пэтро]

Дед Мороз, Погуглите Китайская печатная машинка

 

 

[_sv_]

ФАПСИ ликвидирован в 2003 году.

Надо же. Я где-то в нулевых сертифцитировал оборудование, реализущие ГОСТ шифрование. Надо будет посмотреть кто теперь этим занимается...

Изменено 27 апреля, 2018 пользователем _sv_

[_sv_]

значит, либо провайдер/владелец хранит вместе с перепиской и ключи, либо ключ один на всех, либо есть способ обойтись вообще без ключа.

Понятно теперь что вы имели ввиду. Меня ввели в заблуждение предложение шифровать данные самим клиентам (архиваторы и т.д.)

 

В таком случае вы правы. Только два уточнения:

 

Если все реализовать честно, то выполнить требования российского законодательства не получится теоретически. Ни провайдеры, ни серверы не имеют затребованных данных. Не "не сохраняют", а вообще не имеют их. Ключи для расшифровки есть только у тех, кто участвует в сессии. А трафик не обязан идти через сервер.

 

Не знаю деталей реализации Телеграм, но Дуров может быть не в состоянии выполнить требования в принципе.

 

Можно было бы посоветовать компромиссный вариант: Сервер будет в состоянии предоставить лишь малую часть ключа (так называемую соль). После этого расшифровка сессии станет теоретически возможной, но ахренено трудозатратным делом.

 

А так да - в целом вы правы.

[GerinG]

В можно вопрос от криптодилетанта? А на чем основана информация о том, что Паша не имеет доступа к ключам и остальному? Он сам сказал?