Telegram хранит сообщения в виде стандартных незашифрованных текстов на своих серверах
Аноним
25/12/21 Суб 21:41:29
№1
20
5
Все мы так или иначе слышали о пресловутой безопасности мессенджера Telegram. Его репутация, в отличие от большинства конкурентов, чиста как стекло и не запятнана неприятными случаями, когда аккаунты пользователей выдавались спецслужбам или полиции. Но откуда пошла эта информация и является ли она в такой степени подлинной, каковой её хотят поддерживать? Ответ на этот вопрос дал основатель мессенджера Signal Мокси Марлинспайк.
По его словам, речь даже не о том, насколько разработчики Telegram ценят своих пользователей, а о том, как они хранят их личную информацию. Сообщения и переписки не появляются из воздуха и не исчезают после отправления. Все они проходят через базу данных, где, как говорит Мокси, хранятся без какой-либо обработки/шифрования. Сообщения клиентов Telegram висят там некоторое время в виде стандартного текста.
В то же время Meta хранит данные от мессенджеров Facebook и WhatsApp зашифрованными сквозным шифрованием, чтобы их было сложнее раскодировать при попытках взлома. Кроме того, случайно подобранные комбинации потребуют у взломщиков значительно больше времени.
Что касается Telegram, эксперт на собственном опыте может сказать, что каждый, у кого есть доступ к серверам, имеет в своём распоряжении все переписки, мультимедийные данные и тексты миллионов людей по всему миру. Наверняка Павлу Дурову – создателю Телеграма, есть что сказать на этот счёт, поэтому осталось дождаться его комментария.
https://winfuture.de/news,127191.html
https://overclockers.ru/blog/RoadToKnowledge/show/61024/telegram-hranit-soobscheniya-v-vide-standartnyh-nezashifrovannyh-tekstov-na-svoih-serverah
> Telegram хранит сообщения в виде стандартных незашифрованных текстов на своих серверах
Пиздёж.
Пик 1 — схема шифрования обычных сообщений, пик 2 — схема шифрования сообщений из секретных чатов.
Номер телефона привязал уже, куколд?
>Об этом сообщил создатель мессенджера Signal
И как бы, ничего лучше, чем AES-256, для шифрования информации, человечество пока не придумало.
Кроме XChaCha20-Poly1305, но он ещё очень новый, чтобы доверять ему шифровать половину интернета.
>мессенджера Signal
Конкурент
Да. Левый
> Номер телефона привязал уже, куколд?
Уже поборол в себе страх отвечать на входящие звонки с незнакомых номеров, любитель маминых котлеток?
>В то же время Meta хранит данные от мессенджеров Facebook и WhatsApp зашифрованными сквозным шифрованием, чтобы их было сложнее раскодировать при попытках взлома
Ахаахахахахахахахх
Это недоказуемо. Или поверим патентованному сексоту на слово?
> Это недоказуемо.
Это есть в коде клиента на ГитХабе — где ещё по-твоему он будет шифровать сообщения, кроме как на стороне пользователя?
Клиент спокойно компилится из кода, скачанного с ГитХаба zip-файлом, проверял лично, всё работает.
То есть он просто сказал это и на этом закончили?
Плюс пашка обеспечивает повторяемые сборки. Но откуда про такую вещь знать идиотам вроде вот этого вот --> >>11255107
> Плюс пашка обеспечивает повторяемые сборки.
Единственная проблема - это доступность кода сервера.
Пашка против попенсорса серверной части, но согласен на аудит, вроде как.
Лично мне абсолютно поехать, так как главная причина, по которой я юзаю Телегу — это самые лучшие UI/UX из всех мессенджеров на рынке.
Когда (если) вскроется, что Пашка на самом деле торгует секретами и сливает инфу ФСБ/КГБ/ЦРУ/СБУ, можно будет спокойно форкнуть его клиенты и дописать в них другой протокол, с поддержкой федеративной сети, — например, Matrix. Это куда проще, чем пилить клиент уровня Телеги с нуля.
>https://winfuture.de
Очередной (((вброс))) без пруфов, но гои, хохлы и либерахи уже дико орут
ПодФСБшная хуета этот ваш телеграмм.
То что фейсбук с ватсаппом рекламят сразу указывает на проплату. Эти говноконторы сто раз палились уже, что доступ всем ментам дают и спецом бэкдоры проставили где надо.
А на сервере то оно как хранится? На пикчах у тебя транспорт.
Впрочем нихуя нового этот Мокси не открыл.
>Пиздец, откуда этот форс про анонимность телеги пошёл
От лахтопидоров и фсбказачков и пошел. И вполне успешно, мамкины барыжки и всякие змагары ломанулись в телегу, не думая.
> самые лучшие UI/UX
Помалу скатывается в говно.
>мессенджера Signal
Приватная хуйня уровня регистрации по телефону, был только один приватный мессенджер - Tox, и его успешно устранили, заставив комьюнити посраться между собой.
>Что касается Telegram, эксперт на собственном опыте может сказать, что каждый, у кого есть доступ к серверам, имеет в своём распоряжении все переписки
В чем смысл данной фразы блять? Что значит на собственном опыте? Эксперт работает в фейлсбуке и на собственном опыте знает? КТо блять вообще пишет подобную хуету.
>Signal разработан Мокси Марлинспайком и созданной им компанией Open Whisper Systems
>«Open Whisper Systems» существует на пожертвования и гранты. Проект получает финансирование от таких организаций, как Freedom of the Press Foundation, Knight Foundation, Shuttleworth Foundation, и Open Technology Fund. Так же получает финансовые средства от программы правительства США, которая также даёт гранты на развитие других проектов, связанных с безопасностью коммуникаций и анонимностью, таких как Tor и приложение зашифрованных мгновенных сообщений Cryptocat.
>Помалу скатывается в говно.
Разве что излишней анимацией, но знакомый, который сейчас работает в команде Телеги, поделился, что скоро они сделают в настройках возможность полного отключения всех рюшечек и свистелок для соцсетей (комментарии к новостям, анимации, реакции и т.п.)
>Ну купи симку в переходе.
И отследят продавца, координаты и установочные данные телефона, в который ее вставляли, если надо. А дальше камеры-хуямеры, продавец телефона, другии симки, которые были рядом или вставлялись в него, etc. Ну если ты барыга или хакер, на которого давний зуб у гэбни или серьезный враг режима. Единственно анонимный способ что-то зарегать на номер - смс сайты в сети, но это для разовых случаев, они через месяц-полтора номера перепродают.
>>11255142
>>11255181
>>11255212
>>11255238
> симка
Блядь, покупаешь новый номер в интернете на зарубежном домене и всё.
Моё "симка с перехода", это из нулевых. Я просто не в курсе ка сейчас такое реализуется. Тогда купил в переходе, ит там тариф с бонусом на счету. Пропиздел что было и ещё в минуса, потом выбросил просто нахуй и всё.
Что там в десятых и двадцатых, я не ебу вообще.
Аська телефон не просила.
А в интернете ты наверное за наличку покупаешь?
>А в интернете ты наверное за наличку покупаешь?
Есть сайты, принимающие биток.
В конце концов, можно попросить оплатить с карты друга/брата/бати, а им отдать наличкой.
Сейчас тоже можно на мелких точках у хачей так замутить, просто паспорт предыдущего клиента напишут и все. Но отследят хача, запросят камеры (а эти точки обычно на вокзалах/автовокзалах и т.п.), короче такая симка только для личной приватности, чтобы первый васян не пробил тебя на гидре по номеру.
Не проще выпилить эту анальную клоунаду с номерами телефонов при регистрации?
>с карты друга/брата/бати
Анонимность уровня /б. Крипта и впн онли.
>Не проще выпилить эту анальную клоунаду с номерами телефонов при регистрации?
Номер телефона нужен так-то только для регистрации - для 2+ устройства можно юзать QR-код в приложении, пикрил.
Без него, придётся вводить связку логин-пароль, а это сразу перекладывает стойкость пароля на плечи пользователя, а значит часть аккаунтов можно взломать.
Сделай опционально, по дефолту телефон, но при желании логин/пасс.
А как тогда отслеживать пидорашек по телебонам? Все для их безопасности.
>Сделай опционально, по дефолту телефон, но при желании логин/пасс.
У меня есть подозрение, что скоро они так и сделают, будут генерировать ID для каждого нового юзверя при регистрации, беря в рассчет IP-адрес, время, IMEI устройства и т.д.
Но тогда восстановить не всегда получится.
мимохуйработавшийсдуровымзасоседнимстолом
У тебя на пиках случаем не шифрованные ("секретные") чаты? Там да, там всё шифруетс
В скайпе и дискорде так, но дискорд часто блочит без номера, для разблокировки просит номер. Скайп работает.
>Tox
Тогда спамеры вообще всё засрут
Дуров пукает ?
> Там да, там всё шифруетс
https://habr.com/ru/post/206900/
Чувак, как бы тебе сказать... Ксорирование не уменьшает количество информации, а увеличивает его
> Если nonce – одинаковая последовательность для обоих клиентов, то она просто вывернет ключ на изнанку не сделав его безопаснее. А вот если она разная то сервер Telegram может подобрать такую nonce, при которой ключи пользователей совпадут даже при MITM-атаке и никто не будет знать, что его слушают. И даже если nonce совпадает для 2х собеседников сегодня, нет никаких гарантий что nonce будет совпадать завтра
>Кстати, по поводу UI. Нахуя они секрет выводят в виде эмодзи, проще же называть цифры?
Цифры - 1 байт, эмодзи - 2+ байта.
Секьюрность выше, шанс рандомно угадать меньше.
Там в итоге один размер, просто эмоджи быстрее визуально сравнить. Хотя там уже 30 поездов, может уже и не легче.
>эмоджи быстрее визуально сравнить
Их еще надо распознать и назвать. Человек вроде бы нормально заточен на чтение и называние цифр.
чувак, если последовательность разная, то эта херня просто не будет работать от слова вообще
че, не можешь отлечить коалу от флага австралии?
Секретные чаты через сервер идут, а не п2п. Пикча.
>коалу в 16x16
>флаг какой-то австралии
>когда есть арабские цифры
>Там в итоге один размер
Но цифр всего 10, а эмоджи - сотни.
Комбинаций больше.
Цифр будет больше просто. 10^18 = 100^9 примерно так.
Даун аутист это ты?
Несекретные чаты любой админ серверов телеги может посмотреть. Или человек имеющий аналогичный доступ, легально или нет.
Вплоть до администраторов, не являющихся сотрудниками самой телеги, а например амазона.
Что есть в коде клиента? Шифрование в телеге по клиент-серверной архитектуре, то есть от клиента ДО сервера, на сервере оно валяется нешифрованным.
Это всё понятно. Но откуда столько "анонимов" в телеграмм? Там что всё купили симку у хача?
Он сказал, что пока Пашка не откроет код сервера, любая паранойя оправдана. Иначе, какой смысл уже столько лет скрывать код сервера?
Именно. И кто из вас проверял в клиенте телеги, что ключи участников секретного чата (а не серверные) действительно используются при сквозном шифровани? И даже если проверяли, кто из вас проверял воспроизводимость сборки и сравнивал её с актуальной версией телеги в аппсторах и гуглплеях?
Даже если откроет, то не сильно всё поменяется (на сервере может крутиться что угодно). Если высрет какую-нибудь федеративность на уровне протокола, то уже интереснее.
> действительно используются при сквозном шифровани
Это было бы слишком палевно.
> воспроизводимость сборки
https://core.telegram.org/reproducible-builds вроде как пытаются, но сам я этим не занимался, андроида нет, а с жейлбреками ебал возиться.
Хз, кстати, хороший вопрос. Ассиметричное шифрование для группы людей можно применять? Каждый публичную часть свою отправляет другому?
Можно это дерьмо все протрассировать, от системных вызовов начиная, gdb натравить или strace для начала, + tcpdump, если под unix сборки есть, а они наверно есть и посмотреть, что и куда он отправляет. Только зачем и для чего?
>если под unix сборки есть
В десктопных и веб-версиях секретных чатов нет. Совпадение, конечно же.
ты просто не эрудирован.
когда лва человека общаются в чате. их разговор может увидеть
-хозяин их компьютера. например вирус касперский.
-тот кто смотрит интернет трафик - например провайдер мвд опг и фсб
- тот кому принадлежит сервер где расположен чат.
Если использовать шифрование на каких то этапах - то определенные уязвимости закрываются.
например при шифровании трафика тором - чат не видит прорвайдер мвд, опг и фсб.
при шифровании на сервере как у ватсапа - чат не видит хостер который предоставляет ватсапу сервер
при шифровании на компьютере. чат непонятен всем. например сервер телеграма хранит твое сообщение как
999999213:Привет как дела
а сервер ватсапа как=
43345345:22312312321ч2щчщчщч1чч22ч2чщч21афафаф10чя
>Даже если откроет, то не сильно всё поменяется (на сервере может крутиться что угодно)
Можно сверить ПО сервера с предоставленной версией по хэш-сумме.
А, ну тем более) О чем тогда разговор и спор идет?)
Хз, если так хочется шифрованного общения - что мешает все на стороне клиента реализовать? Инструмет передачи данных в таком случае вообще не играет роли, хоть по голубиной почте общайся, ну от кейлогера это не спасет конечно, но сообщения ни сервер ни провайдер не прочитает.
>оздатель мессенджера Signal
Пруфы он предоставил? Пашка Дуров предлагает 200к баксов за эксплоит, но что-то никто до сих пор не осилил.
Наивняк не иначе
>создатель мессенджера Signal
дальше не читал
создатель подзалупной параши , наверняка ещё из подзалупного израиля, чото пиздит на телегу пытаясь переманить аудиторию
> сервер телеграма хранит твое сообщение как
999999213:Привет как дела
пруфы?
>>11255615
уже были пруфы что даже в линуксе с открытым кодом по 10 лет не могли крысу найти , а тут сервер хитровыебанный, под который можно нахуярить эксплоитов в теории после открытия кода
но ДАЖЕ если с серваками чот не так, секретные чаты реально секретные
>>11255536
смешно смотреть как гуманитарий пытается в технарство, ещё и с видом спеца
Дебик, речь про обычную переписку
> сообщил создатель мессенджера Signal
>По его словам
Ключевое в новости. Никаких доказательств, даже не сказал откуда эта информация. Знаю и всё.
>Все они проходят через базу данных, где, как говорит Мокси, хранятся без какой-либо обработки/шифрования
>В то же время Meta хранит данные от мессенджеров Facebook и WhatsApp зашифрованными сквозным шифрованием, чтобы их было сложнее раскодировать при попытках взлома
>Мокси
>He is also a co-author of the Signal Protocol encryption used by Signal, WhatsApp, Facebook Messenger, and Skype.
Кто бы сомневался.
> В то же время Meta хранит данные от мессенджеров Facebook и WhatsApp зашифрованными сквозным шифрованием
Пиздёж. Если они зашифрованы сквозным шифрованием, то о их содержании могут узнать только отправитель и получатель. Но фейсбук спокойно показывает историю переписки на всех устройствах.
То есть, фейсбук в курсе содержания сообщений. Следовательно, сообщения или не зашифрованы, или зашифрованы, но ключ хранится там же, у фейсбука. Такое шифрование не может называться "сквозным".
> Можно сверить ПО сервера с предоставленной версией по хэш-сумме.
И как ты проверишь хэш софта, установленного у Пашки на сервере? Приедешь и будешь лично проерять?
напиши дуре - что эксплойт его фсбшного зонда - то что авторизация по смс.
работник сотовой связи - блокирует твою симку и перевыпускает её. На нее получает код телеги и заходит на твою страницу. Эксплойт .? да- Эксплойт. Даст тебе или мне дура 200тыс. Нет не даст. потому что это просто рекамная компания в рамках продвигания идеи - ах какой зонд с закрытым исходным кодом серверной части защищенный.
еще спроси у дуры. почему они на гидре продают русским детям наркоту. а оружие не продают. неужели это реально не криминал - а пыня вспомнил свой дипломатический кокс
тоже самое можно про ватсап сказать. с единственной разницей. что про ватсап это правда. а секретный чат телеги читает куратр. Что доказывается удаленитем в телеги изис-овского отродья. что можно загуглить. данное удалением возможно только в случае попадания постороннему их закрытой переписки
> напиши дуре - что эксплойт его фсбшного зонда - то что авторизация по смс.
Точно так же, как и у сигнала.
> а секретный чат телеги читает куратр. Что доказывается удаленитем в телеги изис-овского отродья
Ты всерьёз думаешь, что Ахмед Ибн Бабах будет всё аккуратно писать в зашифрованных чатах?
1. обязательно использование сим карты.
2 закрытый исходный код сервачка тележки. бывают продукты с закрытым исходным кодом - без дыры. но анонимный защищенный проект может быть только открытым полностью как тор
3.удаление пользователей изис. что возможно только если кто-то мониторит так называемый псевдосекретный чат.
дополнительные доказательства.
1. дуров сбил гибддшника и ему за это ничего не было. в рф не бывает оппозиционеров - которым можно давить гибддшников. только приблатненные.
2тележку пиарили лахта и журнашлюхи.Но они пиарили только тележку - никакого воя против тора и дэшкоина они не устраивали. так что это не борьба с шифрованием - а реклама тележки и гидры.
3. тележная пораша занимается наркоторговлей - но не занимается торговлей оружием. почему. сроки одни. зачем упускать деньги. да потому что слабовики на внутряке занимаются наркоторговлей а не продажей оружия
по факту
>>11256283
берешь симку из украины и хуй тебе чо фсб сделает
>>11256292
>ватсап читает куратр
>секретный чат телеги это правда
ты опечатался, я поправил, не благодари
> данное удалением возможно только в случае попадания постороннему их закрытой переписки
долбаёб и пиздабол
думаешь изис ВОТ ВСЕГДА секретными пользуется а "открытых" серваков у них нет?
>>11256304
двачую
Сигнал тоже номер телефона требует еблан
> 3.удаление пользователей изис. что возможно только если кто-то мониторит так называемый псевдосекретный чат.
Ты упускаешь миллион других возможностей их задетектить и удалить.
- Если у тебя в контактах чувак записан как "Насиф игил взрывчатка" (для ясности, чтобы не забыть), то шифрование тут не поможет.
- Можно просто проебаться и написать в несекретном чате. "Эээ, командир, на компутэр сэкрэт чат не работает"
- Кого-то поймали власти, отпиздили и он выдал ещё кого-то.
- Членами ИГИЛа заинтересованы власти. И они получают данные самосто Поэтому после требования "выдайте нам инфу о пользователях с номерами из этого списка" эти пользователи удаляются нахер как нежелательные.
> То есть, фейсбук в курсе содержания сообщений. Следовательно, сообщения или не зашифрованы, или зашифрованы, но ключ хранится там же, у фейсбука. Такое шифрование не может называться "сквозным".
Потому что очередная говно-новость. Фейсбук никогда не заявлял о внедрении шифрования собственно в фейсбуке или инстаграме, а заявлял только о намерениях его внедрить.
>Telegram хранит сообщения в виде стандартных незашифрованных текстов на серверах ФСБ
Кто бы сомневался, лооол
>Блядь, покупаешь новый номер в интернете на зарубежном домене и сливаеш все данные фсб.
Спасибо маня, но нет.
> спокойно показывает историю переписки на всех устройствах
Десктопный ватсап это не спокойно, а куча ебли.
>>11256377
Есть два вида анонимности: первая, анонимность всех относительно всех. Вторая: анонимность пользователей относительно друг друга, но не для мусоров.
Речь там шла конкретно о ФБ
>>11259048
Бинарное мышление, плес. "Мусора" бывают разные. АНБ имеет доступ к гораздо большей информации чем майор из райотдела. Мимоанону достаточно быть анонимным для вторых, а неанонимность для первых нормального человека волновать не должна.