Telegram - проект ФСБ

Многие хомячки делают круглые глазки и недоуменно спрашивают: - А почему вы не используете Telegram, он же такой простой и в тоже время безопасный? Ниже я приведу несколько мифов об этом говно-мессенджере и их разоблачения.

Миф: Сотрудники Telegram не могут расшифровать переписку

Реальность: Ошибаетесь. Сервер имеет возможность расшифровать сообщения это следует из официальной документации. Разработчики говорят, что существует специальный шифрованный чат, который якобы реализует шифрование клиент-клиент, то есть только участники переписки локально на своих компьютерах могут расшифровать сообщения. Однако как он должен работать непонятно, о нём в документации всего один абзац. На фоне подробного описания всех криптографических алгоритмов для отправки «обычных» сообщений это выглядит очень странно. Посмотрите исходники клиента на GitHub, может разберётесь защищён этот чат или нет. Здесь возникает вопрос: если реальное шифрование включается только в специальном чате, то зачем тогда нужно всё остальное? Почему не сделать всю переписку с шифрованием клиент-клиент?

Миф: Все истории переписки клиентов Telegram хранятся в зашифрованном виде и госструктуры не имеет технической возможности для чтения сообщений пользователей программы.

Реальность: Telegram не является приватным чатом, он лишь имеет функцию приватного чата. Сообщения, отправляемые пользователям вне секретного чата, сохраняются на серверах Telegram таким образом, что позволяют компании просматривать содержимое сообщений. Так происходит всегда, если беседы могут перемещаться между устройствами (например между телефоном и компьютером). Эти чаты не являются приватными. Под невозможностью чтения переписки самими владельцами программы и спецслужбами, имеется ввиду специальный чат с end-to-end шифрованием, когда ключ известен только собеседникам, в таком случае дешифровка совершённой переписки невозможна даже при наличии физического доступа к дискам данных Telegram. Но перехват end-to-end чата технически возможен в режиме реального времени. Ведь при наличии доступа к серверам, интересующих абонентов можно переключить в специальный режим, для подмены отпечатка, в котором ключи шифрования будут генерироваться не у клиента, а на сервере. Таким образом, end-to-end чат, может читаться лишь с того момента, как пользователь был установлен, в качестве объекта оперативной заинтересованности. А выявить, объекта потенциального интереса, можно исходя из общей, незашифрованной переписки.

Миф: Telegram не использует шифрование клиент-клиент потому что для этого необходимо чтобы оба клиента были в сети одновременно.

Реальность: Это ложь. Здесь всё просто, всё он может только не хочет. При шифровании клиент-клиент, сообщения передаются по проводам. Если передаются значит могут по дороге задержаться на определённом сервере денёк-другой (в СОРМ, например, они останутся на полгода). Тут нет и не может быть никаких ограничений. Уже давно существует способ передачи шифрованных сообщений электронной почты, называется PGP. Письмо зашифрованное в PGP может расшифровать только получатель дома на своём компьютере. Почтовый сервер НЕ может, хотя и хранит это сообщение.

Миф: У Telegram открытый исходный код.

Реальность: Чушь и ложь. Открыт лишь исходный код клиента, который на полную картину особо не влияет.
Для ясности возьмём официальный FAQ Telegram:

Почему бы не открыть весь код?

Весь исходный код будет со временем выложен в открытый доступ. Мы начали с самой важной части — хорошо документированного API, чтобы разработчики могли строить свои приложения, и open source клиентов, исходный код которых доступен для аудита специалистам по информационной безопасности.

Т.е. открыт только код клиента, что никакой весомой роли не играет. Вся переписка хранится не в клиенте, а на сервере Telegram.

Я могу использовать свой сервер для передачи сообщений?

Наша архитектура пока не поддерживает такую функцию. Telegram — единый облачный сервис, поэтому создание форка может привести к тому, что два пользователя будут находиться на двух разных облаках Телеграма. Пока мы не определились, стоит ли добавлять в Телеграм этакую возможность.

И не определятся. Потому что, если дать возможность использовать свой сервер (как например в жаббер), то товарищ майор не получит доступ к логам и не сможет читать переписку.

Миф: Дуров противостоит спецслужбам.

Начнём с того что в 2005 закончил профессиональную подготовку на Факультете военного обучения СПбГУ по специализации «Пропаганда и психологическая война», по окончании которой получил звание лейтенант запаса (https://ru.wikipedia.org/wiki/Дуров,ПавелВалерьевич). Это, судя по всему, военная кафедра при университете, вроде ничего особо серьёзного — зато как звучит. Теперь реальные дела. В ноябре 2012 Дуров запретил доступ пользователям у которых нет привязки к мобильному телефону. Не всем сразу, а в произвольном порядке в течение года в разное время у разных людей пропадал доступ (http://habrahabr.ru/post/159565/ и http://maxpark.com/user/2029587663/content/1657924) Собственно это и стало причиной появления пода sysad.org. Годом ранее Вконтакте стал требовать номер телефона при регистрации новых пользователей. Ещё задолго до своего ухода Дуров определил реальные телефоны своих пользователей, определить прочие данные дело нехитрое. Думаю в органах очень благодарны Дурову за проделанную «работу». Тут не о противостоянии нужно говорить, скорее спрашивать надо не является ли Дуров штатным сотрудником ФСБ.

Тем более, мессенджер Telegram не вызвал никаких нареканий со стороны ФСБ, об этом пишут Ведомости:

Использование защищенных от прослушивания алгоритмов шифрования в сервисе обмена сообщениями Telegram не противоречит законам России. Это следует из ответа замначальника подразделения ФСБ Сергея Пюкке на запрос «Ведомостей».

"У таких проектов всегда четко выстраиваются взаимоотношения с правоохранительными органами - рано или поздно сервис начинает делиться с ними информацией", - признается основатель мессенджера 4talk Сергей Кравцов.

Миф: Даже критики признали защищённость протокола Telegram.

Реальность: Опять же чушь. Вызов, разработчикам Telegram, бросил Moxie Marlinspike - хакер-исследователь, придумавший атаку SSL-stripping, разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году. Также стоит почитать обсуждение на Hacker News. Он предложил разработчикам Telegram расшифровать переписку на их же условиях, но на непередаваемо ужасном «защищённом» протоколе (который бы и не секунды продержался в боевых условиях). "Итак, господа разработчики Telegram, у меня тоже есть для вас контест. Ниже я описал непередаваемо ужасный «криптографический» протокол (который и секунды не продержится в боевых условиях), но который становится «невзламываемым» в условиях вашего контеста. А если они не смогут продемонстрировать уязвимость даже в таком насквозь дырявом протоколе, играя по своим же правилам, это докажет, что их правила и конкурс - бред собачий".

Выбор использовать ли Telegram остаётся конечно за вами. Но я бы всё таки рекомендовал вам пользоваться давно проверенными продуктами с открытым исходным кодом, такими как Jabber с PGP и OTR, TOX, Ricochet IM – они конечно не такие удобные как Telegram, но они такие какими должны быть бесплатные проекты сделанные энтузиастами. Кстати, последние два продукта, весьма просты и научиться пользоваться ими сможет любая домохозяйка.