redreptiloid (redreptiloid) wrote,
redreptiloid
redreptiloid

Category:

Телеграм, телеграм. Сегодня здесь а завтра там. Или Дуров дурит дураков^W юзерОв.

Носик-dolboeb написал пост про блокировку Телеграма, с цитатой от Дурова про защиту ключей. Напишу-ка я о том, что с "защитой" происходит на самом деле, дабы лишних иллюзий не было:


Дуров: "Еще ни одно правительство или спецслужба в мире не получили ни бита информации от нас. Так будет всегда… Ключи, необходимые для расшифровки данных, разделены на несколько частей и физически хранятся в нескольких других дата-центрах. При этом все дата-центры находятся в разных юрисдикциях, так что для того, чтобы заставить Теlegram выдать какие-либо данные, потребуется нереалистичный уровень сотрудничества между несколькими государствами."
или он считает пользователей идиотами или это вопиющая некомпетентность. впрочем я неоднократно эту позицию наблюдал, особенно у айтишников на хабре. ключи у него значит "у Телеграма" и хранятся в "разных юрисдикциях" которым потребуется "сотрудничество". одно ООО сотрудничает значит с другим ООО. один Устав и Св-во о регистрации передают сообщение другому Уставу и Св-ву о регистрации. так они себе сотрудничество между виртуальными сущностями представляют, гггг.
никаких сотрудничающих ООО, государств и т.п. виртуальных сущностей не существует. Сотрудничают всегда конкретные люди. Ну а к людям всегда возможен подход :) и он совершенно не обязательно должен быть формальным :)
На практике же происходит это так:
1. Техническая часть. Ключи хранятся в оперативной памяти серверов и что бы извлечь их оттуда достаточно физического доступа к оборудованию. Даже если оно специально защищено (HSM), что врят ли в случае с Телеграмом, это не спасет. Но и физический доступ к серверам не нужен, менеджмент Телеграма не катается каждый раз "по юрисдикциям" когда нужно перегрузить сервер. Заходят они на сервера со своих рабочих ноутбуков. А как происходит доступ к любому ноутбуку в мире... Ну все это прекрасно слышали, Сноуден рассказал. И регулярные новости об утечках и взломах. И спецслужбы целенаправленно охотятся за проникновением на рабочие ноуты ключевых сотрудников мировой айти-инфраструктуры.
2. Социальная часть. Коллегиальное хранение ключей предполагает личною лояльность группе хранителей, резервирование и оперативный сбор ключа через личную коммуникацию. Скорее всего Телеграмовский ключ могут собрать 3-5 человек из посвященных 5-9. Соответственно, спецслужбам достаточно "найти подход" к 3м ключевым сотрудникам, у которых находятся части ключа. И не надо бегать по судам разных экзотических островов :) Сотрудники эти не Небесные Хранители в башнях из слоновой кости, а обычные люди. А как находит подход к людям, тут у спецслужб опыт явно несопоставим с опытом Дурова.
А "подход" даже к одному человеку из ближнего круга резко упрощает задачу проникновения в ноуты к остальным сотрудникам.
3. Доверие. Спецслужбам совершенно не выгодно компрометировать Телеграм. Чем больше пользователей в сети обмена конфиденциальной информацией и чем больше они доверяют защите тем больше конфиденциальной информации они там пишут. И компрометация защиты и утечка ключей совсем не обязательно становится известна сотрудникам сервиса.
Все вышесказанное естественно касается не только Телеграма, но и всех аналогичных сервисов.
Так что не расчитывайте на полную конфиденциальность того, о чем пишете в чатах, которые идут и история которых хранится на Телеграмовских серверах. Впрочем большинству (практически всем) пользователям это удобно, а утечка им не повредит. Более конфиденцильную информацию лучше отправляйте через секретные чаты, благо в Телеграме есть такая возможность. Что впрочем не защищает от утечки метаданных, которые обычно ценнее чем содержание разговоров.
Ну и не забывайте про другой канал утечки сообщений из ваших мессенджеров - прямую атаку на ваши аккаунты и устройства. А они в большинстве случаев защищены куда хуже чем у профессионалов.
Ну и напоследок, Универсальный Совет: Нам не дано предугадать как наше слово отзовется (с) или грубо-просторечиво - Следи за базаром (с)
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 19 comments