(no subject)
В связи с блокировкой Телеграма народ много спорит о том, можно ли расшифровывать там сообщения и передавать ключи, или вообще нельзя.
Я об этом писал раньше, но так, чисто to hammer it home, повторю: такой и только такой мессенджер можно считать безопасным, который не предоставляет шифрования. Точнее, который позволяет построить систему шифрования на своей основе, самому не вмешиваясь в её работу. Который будет просто передавать сообщения, оставляя вопросы создания ключей, хранения ключей, обмена ключами, доверия к ключам и шифрования самих сообщений вне своей компетенции.
Именно так работает обыкновенная электронная почта. Я могу использовать для шифрования PGP, S/MIME или хоть WinRAR; хранить ключи на хард-диске или на смарт-карте; использовать сертификаты, которым доверяет весь мир, или наштамповать их для себя и для друга Васи на коленке; обменяться ими по скайпу, через FTP или с почтовыми голубями - это всё вне ведения серверов электронной почты. Протоколам SMTP, POP и IMAP всё равно, шифрованные ли они сообщения передают или нет. Поэтому e-mail безопаснее любых воцапов и телеграмов - если использовать все эти фичи правильно.
В этом и состоит цена - надо самому всеми этими вопросами заниматься. Это не так уж и сложно, но надо понимать основные принципы и приёмы: как ключи работают, как их хранить, как их проверять. Но иначе невозможно: если вам обещают шифрование на блюдечке, рассказывая, что оно end-to-end, и потому никто и никогда!.. - это враньё по определению. Если мессенджер или любой другой сервис обмена сообщениями берёт на себя эти функции - возможность злоупотребления у его хозяев остаётся всегда.
(Откуда же такая разница между e-mail и мессенджерами? Да оттуда, что e-mail создавалась как децентрализованная система, с открытыми для всех протоколами, не принадлежащая никому конкретно. Любой может поставить себе сервер и обмениваться по этим протоколам письмами с другими. А в случае мессенждеров десятки миллионов людей радостно отдались на милость фирм-феодалов, по выражению Брюса Шнайера. Очень жаль, что получилось так.)
Я об этом писал раньше, но так, чисто to hammer it home, повторю: такой и только такой мессенджер можно считать безопасным, который не предоставляет шифрования. Точнее, который позволяет построить систему шифрования на своей основе, самому не вмешиваясь в её работу. Который будет просто передавать сообщения, оставляя вопросы создания ключей, хранения ключей, обмена ключами, доверия к ключам и шифрования самих сообщений вне своей компетенции.
Именно так работает обыкновенная электронная почта. Я могу использовать для шифрования PGP, S/MIME или хоть WinRAR; хранить ключи на хард-диске или на смарт-карте; использовать сертификаты, которым доверяет весь мир, или наштамповать их для себя и для друга Васи на коленке; обменяться ими по скайпу, через FTP или с почтовыми голубями - это всё вне ведения серверов электронной почты. Протоколам SMTP, POP и IMAP всё равно, шифрованные ли они сообщения передают или нет. Поэтому e-mail безопаснее любых воцапов и телеграмов - если использовать все эти фичи правильно.
В этом и состоит цена - надо самому всеми этими вопросами заниматься. Это не так уж и сложно, но надо понимать основные принципы и приёмы: как ключи работают, как их хранить, как их проверять. Но иначе невозможно: если вам обещают шифрование на блюдечке, рассказывая, что оно end-to-end, и потому никто и никогда!.. - это враньё по определению. Если мессенджер или любой другой сервис обмена сообщениями берёт на себя эти функции - возможность злоупотребления у его хозяев остаётся всегда.
(Откуда же такая разница между e-mail и мессенджерами? Да оттуда, что e-mail создавалась как децентрализованная система, с открытыми для всех протоколами, не принадлежащая никому конкретно. Любой может поставить себе сервер и обмениваться по этим протоколам письмами с другими. А в случае мессенждеров десятки миллионов людей радостно отдались на милость фирм-феодалов, по выражению Брюса Шнайера. Очень жаль, что получилось так.)