Comments | new_rabochy: "Дуров, отдай ключи!": Товарищи всё никак не могут понять...

stalinist in new_rabochy

"Дуров, отдай ключи!": Товарищи всё никак не могут понять...

Sep 05, 2024 18:57

По мнению большинства пикейных жилетов, французы низвергли Дурова в узилище, дабы пыткою вырвать у него ключи шифрования сообщений Телеграма. Другие пикейные жилеты злорадствуют: "Обманули дурака (Макрона) на четыре кулака! Ключи-то не у Павла Дурова, а у Николая в Петербурге, спрятаны в яйце ( Read more... )

криптография, конспирология, идиотизм

Comments 54

egravity September 5 2024, 23:38:41 UTC

Неа. Их еще больше. Ключи можно автоматически генерировать чуть ли ни на каждое сообщение и никто из людей о них даже знать не будет.

stalinist September 5 2024, 23:51:36 UTC

Возможно. Отправитель сообщения по вашему адресу вначале запрашивает у вашего устройства public key, шифрует сообщение этим ключом и отправляет вам, а ваше устройство расшифровывает его своим private key.

шифрует сообщение этим ключом и отправляет вам alextr98 September 6 2024, 02:52:50 UTC

Не так это делается.
С помощью вот этого public и private key отправитель и получатель договариваются, какой метод шифрования будет использоваться, потом генерируется symmetric key, один и тот же для отправителя и получателя, который и используется для шифровки-дешифровки сообщений туда-сюда.

То есть отправитель шифрует сообщение, используя этот симметричный ключ, а получатель его дешифрует, используя этот же самый ключ.
Это большая разница по сравнению с асимметричным шифрованием.

sergienkodi September 6 2024, 03:12:09 UTC

и все это вконтакте с т-щем майором? ))

Thread 5

livejournal September 6 2024, 02:30:57 UTC

Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal России! Подробнее о рейтинге читайте в Справке.

stalinist September 6 2024, 02:46:50 UTC

Будьте проще, и люди к вам потянутся!

Товарищи всё никак не могут понять... alextr98 September 6 2024, 02:35:31 UTC

Это вы, как непрофессиональный деятель информационных технологий, пудрите мозги товарищам.
Поскольку Дуроффы имеют полный контроль над приложением Телеграм, они легко могут скомандовать приложению на любом конкретном телефоне (или на всех телефонах) - а пошли-ка мне ключи вот к этой переписке.
Никто этого даже не заметит (всё же зашифровано).
Дурофф может сколько угодно говорить, что он ничего такого не делал, но инструмент у него есть.

RE: Товарищи всё никак не могут понять... stalinist September 6 2024, 03:04:28 UTC

Усложняете: он может вообще ничего не шифровать - гнать открытым текстом.

Telegram has various client apps, some developed by Telegram Messenger LLP and some by the community. Most of them are free and open-source and released under the GNU General Public Licence version 2 or 3.

borik September 6 2024, 06:46:01 UTC

Простите, а как открытость кода влияет на то, как шифруются сообщения?

stalinist September 6 2024, 06:51:36 UTC

В открытом коде можно увидеть, как шифруется сообщения, и убедиться, что они шифруются должным образом. В частности, можно увидеть, что закрытые ключи хранятся локально и никогда не пересылаются на сервер, а это будет гарантировать, что никто за пределами вашего устройства не сможет прочитать адресованное вам сообщение.

Thread 7

ext_6554646 September 6 2024, 03:45:47 UTC

( ... )

ext_3957501 September 6 2024, 10:25:24 UTC

romdorn September 6 2024, 11:01:31 UTC

А почему куски льда?

stalinist September 6 2024, 11:12:03 UTC

https://lenta.ru/articles/2024/04/03/vanni/

Thread 6

ixbin September 6 2024, 03:52:05 UTC

Возможно, речь шла не о самих ключах, а о том, чтобы он в код телеграмма вставил возможность программно утащить приватный ключ юзера. Вообще-то вся эта безопаность работает, только если юзер тоже всё сделал как положено: 1. сам локально сгенерил private key на отдельном носителе и CSR, 2. сам отправил CSR, 3. сам установил полученный публичный сертификат. То есть, если приватный ключ никогда не покидал локальную машинку.

Однако 99% юзеров так морочиться не будут. Они захотят, чтобы програмка сама сделала все шаги. В том числе и сгенерила приватный ключ, и сама бы его хранила по своему усмотрению. Ладно бы локально, а то ведь приложения часто хранят приватный ключ где-то в облаке на стороне сервера. А на сервер заходят по банальному паролю или по коду в СМС. В итоге вся эта безопасность превращается в профанацию. Приватный ключ полностью скомпрометирован, если он лежит где-то в базе у чужого дяди. Или даже лежит локально, но его хранением и генерацией полностью управляет програмка чужого дяди. Подозреваю, что телеграм или "Госключ" ( ... )

stalinist September 6 2024, 04:01:05 UTC

Telegram has various client apps, some developed by Telegram Messenger LLP and some by the community. Most of them are free and open-source and released under the GNU General Public Licence version 2 or 3.

Есть клиенты для Телеграма с открытым кодом - можете сами построить и быть уверенным, что они не делают ничего плохого.

ixbin September 6 2024, 04:05:58 UTC

Я-то построю. А 99% юзеров разве будут этим морочиться? По трудозатратам получается примерно одинаково, что сделать билд телеграмма, что самостоятельно установить криптопровайдер и сгенерить ключи.

stalinist September 6 2024, 04:35:18 UTC

Проблема в том, что, если вы не делаете что-то сами, вам так или иначе приходится кому-то доверять.

К примеру, вы пришли к зубному врачу, открыли рот и, тем самым, предоставили ему возможность делать с вами что угодно - вы вынуждены доверять врачу.

В случае с Телеграмом вы доверяете Дурову. Не можете доверять Дурову? Попросите соседа Васю-программиста построить для вас честную программу-клиент Телеграма. Васе не доверяете? Попросите Петю. Никому не доверяете? Ну тогда стройте её сами - второго не дано.

Thread 16