ФСБ составила протокол на компанию Telegram за отказ предоставить ключи шифрования

  • Новость
Несмотря на требования закона Яровой, Telegram отказывается расшифровывать переписку пользователей. Павел Дуров пишет, что в лондонский офис в последние недели приходят требования ФСБ выдать ключи шифрования в соответствии с законом Яровой. Павел подчёркивает, что аналогичная ситуация была в Иране, «и за все годы работы мы не заблокировали ни один политический канал и не выдали властям ни байта личных данных».

В одном из документов от 14 сентября 2017 года (pdf) от ФСБ на имя Павла Дурова содержится копия протокола об административном правонарушении в отношении компании Telegram Limited Liability Partnership. По мнению юристов Telegram, такие административные протоколы неизбежно ведут к судебным процессам.

В письме от ФСБ сказано, что протокол составлен за правонарушение, предусмотренное частью 2.1 статьи 13.31 КоАП РФ «по факту неисполнения обязанности предоставлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений».

Компании Telegram предлагалось направить законного представителя компании в Приёмную ФСБ на Кузнецком Мосту, 22 с документами, удостоверяющими личность и служебное положение. Компания этого не сделала, поэтому 14 сентября старший консультант Организационно-аналитического управления Научно-технической службы ФСБ России Овчинников Д.Н. (с участием переводчика) составил протокол об административном правонарушении в отсутствие представителя Telegram.

За отказ передать ключи шифрования мессенджеру грозит штраф до 1 млн руб. По факту наложения штрафа Роскомнадзор может вынести предписание о необходимости устранения нарушения — срок его исполнения составляет не менее 15 дней. Если предписание не исполняется, то в течение суток доступ к сервису на территории России блокируется.

В перспективе Россия может присоединиться к Ирану и тоже завести уголовное дело на Павла Дурова.

«Отсутствие возможности изредка посещать Россию для меня более болезненно, чем невъезд в Иран, — прежде всего, из-за родителей. Но переживём — глобус большой», — написав Павел, сопроводив свой пост картинкой:


У Telegram в России около 10 миллионов пользователей. Их количество особенно выросло после угроз блокировки сервиса Роскомнадзором.

Документы от ФСБ:

Извещение от ФСБ (31.08.2017, получено ответчиком 11.09.2017)
Копия протокола об административном правонарушении (14.09.2017)
Поделиться публикацией
Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

Зачем оно вам?
Реклама
Комментарии 205
  • +20
    Хм, а ведь совсем недавно ещё, из Росскомпозора их просили «просто предоставить информацию о сервисе»…
    Теперь вот следующий ожидаемый шаг.
    • 0

      Зато теперь Дуров может сказать "Мы такие все в белом, информацию предоставили, законы выполнили, шифрование расшифровать никак, а если заблокируете, то будете злобными борцами со свободой".
      Жду такого исхода. Ну либо Рамзан позвонит и попросит не блокировать.
      А Дуров — молодец.

      • 0
        Либо даже еще смешнее. Вспомните историю, когда его хотели заставить регистрироваться в реестре ОРИ. Вкратце, Дуров никаких никуда обращений/заявлений не подавал, лишь сказал, мол, «все нужные рег.данные и так лежат у нас в открытом доступе, можете взять оттуда, если вам так надо».
        А закон Яровой, в части расшифровки данных и/или их хранения, обязаны исполнять именно «организаторы распространения информации».

        Таким образом, получается ерунда: Телеграм хоть и зарегистрирован в реестре, но никаких заявлений не подавал. Возможно, их юристы сыграют на этом, к примеру, что их внесли ошибочно или незаконно, а соответственно, никакой ответственности они не несут и никакого неисполнения закона не было.
        Может, на первый раз и прокатит ;)
        • +6
          Возможно, их юристы сыграют на этом
          Не знаю как остальные, а я сильно сомневаюсь что их юристы будут связываться с российскими судами, роскомпозорами и ФСБуком
          • +3
            Вы всерьез верите в весь этот цирк. Мой внутренний параноик говорит о том, что телегу давно и успешно читают, все мастер ключи есть, никакой анонимности для наших силовых структур, конкретно в этом мессенджере нет. А все это представление, исключительно для PR.

            В прошлый раз Паша «не сдался», и аудитория телеги в РФ сильно подросла. Сейчас устроят еще одну массированную атаку и еще людей наберут. Нужно же выдавливать буржуйские решения, свои люди, должны под своим колпаком ходить.

            Жду p2p мессенджер, который был бы удобен, быстр и имел хороший интерфейс.
            • 0
              Status?
              • +3
                Tox?
                • +1

                  Было бы любопытно понять, на чем основаны такие предположения

                  • +1
                    «внутренний параноик», написано же.
                    • 0
                      Потому что как-то глупо ожидать, что созданный в России сервис мог бы в теории повести себя как-то иначе.
                      • 0
                        Потому что вся переписка хранится на серверах, а шифрованная только в секретных чатах.
                      • 0
                        Telegram хорош тем, что поверх него можно прикрутить PGP, чтобы на сервер уходили уже криптованные данные. После чего вопрос о ключах и расшифровке резко теряет актуальность.
                        Да и вообще с клиентом можно делать всё что угодно — исходники-то открыты. Какой ещё мессенджер может таким похвастаться?
                        • 0
                          А существует ли клиент, который делает описанное?
                          • +2
                            Pidgin с плагинами PGP и telegram.
                            • +1
                              О! спасибо! OTR же…
                          • +2
                            • 0
                              Telegram хорош тем, что
                              Извините, для симметрии напомню, чем он плох. Тем, что с самого первого шага — регистрации — он деанонимизирует будущего пользователя, требуя от него ввести номер своей мобилы для авторизации. И это мессенджер, позиционируемый как «для параноиков»! Да он тем самым отсекает самую крутую часть своих возможных клиентов! Они ведь не знают, в чью базу данных складируются введённые номера.
                              Поэтому подождём, пока Дуров придумает другой способ авторизации. Судя по Токсу, такие способы есть.
                              • 0
                                Если вы настоящий параноик, то у вас куча сим-карт разных стран мира.
                                • +1
                                  IMEI же… :(
                                  • –1
                                    1. IMEI меняется.
                                    2. Дешёвая мобила из ломбарда в соседнем городе.
                                    • 0
                                      Код вы можете получить на один телефон, а пользоваться мессенджером с другого девайса.
                                • 0

                                  А в корректность MtProto мне тоже тупо поверить или группу топ криптоаналитиков для анализа всех возможных атак нанимать?

                                  • 0
                                    Аналитики и так его изучали. $200000 предлагали за взлом протокола.
                                • +1
                                  все мастер ключи

                                  А что такое — мастер ключ?
                                  • 0
                                    Что-то вроде пароля «00000000» для запуска американских ракет, чего не было, но во что верят. А может и было, но как проверить?
                                  • +1
                                    Мой внутренний параноик говорит о том, что телегу давно и успешно читают, все мастер ключи есть, никакой анонимности для наших силовых структур, конкретно в этом мессенджере нет

                                    Я так полагаю, ваш внутренний параноик доказал узявимость протокола телеграмма (и существование для него такой сущности, как "мастер ключи")? Может быть он тогда поделится с общественностью математическим доказательством? Хоть какая-то польза была бы.

                                    • 0
                                      А ваш внутренний параноик доказал корректность протокола? А также корректность реализации протокола(случайность констант итд)? Или все же как в пословице про гром и мужика?
                                      • 0

                                        А, то есть вы просто, извините, ветры пустили. А я уж думал, что-то хотя бы не совсем идиотское будет…
                                        Если по пунктам, то 1) бремя доказательства лежит на утверждающем 2) я ничего такого не утверждал 3) все (кроме одного) криптографические протоколы построены исходя из принципа грома и мужика.

                                        • 0
                                          1) в данном случае да, но к NIH cryptography доверия всё-таки меньше чем к другим проверенным и неоднократно изученных криптоалгоритмам
                                          3) Lo05? или вы имели в виду какой-то другой?
                                          • 0

                                            2 не, я поздно сообразил, что надо было добывать уточнение — в традиционной криптографии. А имел в виду одноразовый шифроблокнот, конечно.

                                    • 0
                                      А все это представление, исключительно для PR.

                                      Поясните, пожалуйста, это ФСБ пиарит Телеграмм, или Дуров ФСБ?
                                  • +4
                                    А я смею предположить, что ключи шифрования у кого надо давно есть. А это — всего лишь работа на публику, так сказать — для внешнего потребления.

                                    Нога, это у кого надо нога. (с) «Берегись автомобиля»
                                    • 0
                                      Всё таки «Гараж».
                                      • 0
                                        … и все-таки «Берегись автомобиля», пересмотрите еще раз, примерно середина фильма
                                        • 0
                                          Именно. Разговор с Мироновым который поставил капкан в свое авто.
                                          • 0
                                            Был не прав, вспылил… прошу дать возможность загладить, искупить.
                                            • 0
                                              … сознаю свою вину, меру, степень, глубину…
                                        • +2

                                          Сикрет чаты реализованы на клиенте, читайте исходники, проверяйте. А обычные чаты — это не для настоящих параноиков.

                                          • 0
                                            Одно дело — исходники.
                                            Другое дело — вы скачали готовую программу, а потом ещё она 10 раз сама обновилась без уведомления.
                                            • 0
                                              Если ты — истинный параноик, то будешь собирать всё сам и отключишь обновления. Иначе — не паришься и доверяешь дяде :) Третьего не дано.
                                              • –1
                                                Расскажите, плиз: а как вы проверяли закрытый код сервера. Второй логичный вопрос: а Вы бы стали просто так выкидывать 12 миллионов долларов на содержание сервера ежегодно. Ведь рекламы у Telegram нет и бизнес-модель скажем прямо — отсутствует?!

                                                Как работает модель безопасности Jabber+OpenPGP — мне понятно. Как работает модель безопасности Telegram — вообще ни разу.
                                                • 0
                                                  Расскажите, плиз: а как вы проверяли закрытый код сервера
                                                  Зачем его проверять? Еще раз повторяю — Secret Chat реализован на клиенте, обмен ключами и шифрование идёт на устройстве пользователя. Сервер там используется только как канал передачи уже зашифрованного на девайсе траффика.

                                                  а Вы бы стали просто так выкидывать 12 миллионов долларов на содержание сервера ежегодно.
                                                  Понятия не имею, у меня их нет.
                                                  У WhatsApp тоже не было финансовой модели много лет, только сейчас начали что-то про бизнес-чаты придумывать. Это не мешало им работать бесплатно и до покупки фейсбуком. Так что не аргумент.
                                                  • –3
                                                    Зачем его проверять? Еще раз повторяю — Secret Chat реализован на клиенте, обмен ключами и шифрование идёт на устройстве пользователя.

                                                    Вы проверяли? Вы можете гарантировать это на 146%? Если Вы это можете, товарищ майор, то докажите что вы уже на пенсии?

                                                    У WhatsApp тоже не было финансовой модели много лет, только сейчас начали что-то про бизнес-чаты придумывать. Это не мешало им работать бесплатно и до покупки фейсбуком.

                                                    Заблуждаетесь. Продавались стикеры, рекламные массовые рассылки, платные аккаунты. Кроме того — привязка к номеру телефона, как и в Telegram. А номер телефона привязан к паспорту, на всякий случай.

                                                    Не может годами работать инфраструктура за спасибо. Кто-то её финансировал. Зачем?

                                                    Товарищ майор, благодарю за службу!))
                                                    • 0
                                                      Вы проверяли?
                                                      Другие проверяли. Не в совке живём, чтобы для езды в машине нужно было разбираться в её устройстве.
                                                      Продавались стикеры, рекламные массовые рассылки, платные аккаунты.
                                                      Вы поздновато пришли в Вазап. Вначале всё что там было – необязательная плата за использование, $1/год со второго года.
                                                      Кто-то её финансировал. Зачем?
                                                      Вазап был продан за $1Г. Говоря вашими же словами, Вы бы стали выкидывать 12 миллионов долларов на содержание сервера ежегодно, если бы в перспективе маячила продажа вашего продукта за миллиард долларов? Даже если вам перепадёт только четверть, например?
                                          • 0
                                            Это нога, того, кого надо, нога.
                                    • +6
                                      Vps, с установленным на нем софтом, пойдет в массы?
                                      • 0
                                        Если распишите на примере + озвучите стоимость, то последователей прибавится.
                                        • 0
                                          Какая там стоимость? Это открытый проект, единственные затраты — аренда VPS, а при пользовании Free Tier на AWS — целый год бесплатно.
                                          • 0
                                            Free Tier на AWS — целый год бесплатно.

                                            Трафик будет слегка стоить. Но там копейки будут если не качать.
                                            Я думаю имелось ввиду, out-the-box решение. Тоесть что-то типа AMI образа, с уже предустановленным софтом и минимальной админкой для пользоввателей которые не будут в этом разбираться.
                                            • 0
                                              Ну если использовать сервер только для обхода блокировок и не качать торренты — то трафик за бесплатные лимиты не выйдет.
                                              • 0
                                                Там 1 GB.
                                                Но все равно за 10$ выйти будет тяжедо без торрентов и просмотра netflix'a.
                                                • +1
                                                  Нетфликс много слопает, это да, но торренты то через впн качать не надо.
                                                  • +1
                                                    Это если заработает, некоторые сервисы знают адреса Azure/AWS и посылают нафиг.
                                                  • 0
                                                    Ну можно ArubaCloud заюзать, там дают VPS с 1 ТБ трафика за 1 евро в месяц.
                                                    • 0
                                                      Поддержу.
                                                      Пользуюсь месяца 3 — полет нормальный. Развернуты VPN и прокси + со всякими веб-приложениями, типа ботов в Телеграм, играюсь.
                                                      Скорости вполне норм.
                                              • 0
                                                Free Tier на AWS — целый год бесплатно
                                                Free Tier на GCP — always free, если в США. Но трафик только 1GB (да и то за исключением некоторых регионов).
                                                • +1
                                                  Free Tier на GCP — always free

                                                  Только для AppEngine и с жесткими ограничениями на открытие сокетов cloud.google.com/appengine/docs/standard/python/sockets
                                                  • +1
                                                    Про конкретные ограничения AppEngine не в курсе, но речь не о нем, а о Compute Engine.

                                                    1 f1-micro instance per month (US regions only — Excluding Northern Virginia)
                                                    30 GB-months HDD, 5 GB-months snapshot
                                                    1 GB network egress from North America to all region destinations per month (excluding China and Australia)
                                                    • 0
                                                      Да. Действительно.
                                                      Давно не заглядывал.
                                            • +1
                                              Ммммм… Какая вкуснятина! Как только выдастся время — побегу его тестировать!
                                              Спасибо!
                                              • +2
                                                Закон о VPN уже готов, это будут решать так же административными мерами и парой тройкой показательных дел, как в случае с выходным узлом ТОР. А «организацию VPN» еще и отягчающим будут считать.
                                              • 0
                                                Синхронненько с Ираном. Совпадение конечно
                                                • +1

                                                  Так я понял история еще летом началась, просто после истории с Ираном Дуров опубликовал и эту

                                                • –7
                                                  У Ализара — дьявольская карма!
                                                  image

                                                  Добавить или убавить? :)
                                                  • +3

                                                    Не трогать. Так внушительнее.

                                                    • +2
                                                      Как бы ее подровнять? :)
                                                      • +1
                                                        Надо друг другу плюсы поставить, тогда прибавит только несколько десятых.
                                                        • –7
                                                          Подозреваю — что для выравнивания ее надо минуснуть. У меня ее не так много, не будем экспериментировать )))
                                                    • 0
                                                      А как, кстати, получается дробная карма? И как её сделать обратно целой?
                                                      • –2
                                                        Загадка…
                                                        • +2
                                                          Дробная карма получается, когда вы взаимно с кем-то обмениваетесь плюсиками или минусами. Тогда каждому прибавляется не 1, а меньше (вероятно, чтобы сократить накрутки среди своих?)
                                                          • +3
                                                            вероятно, чтобы сократить накрутки среди своих

                                                            А раньше ковровые пермабаны без суда и следствия были. Либерализируется хабр.

                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                              • +1
                                                                Не там синдромы ищешь.
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                  • 0
                                                                    От года до полугода назад три моих подряд зарегистрированных аккаунта забанили перманентно. Регистрация следующего акка происходила после блокировки пред идущего. Активный не забаненный акк был всегда один.
                                                                    По правилам так и быть должно. Более того, тебя вообще должны были перманентно забанить за генерацию множественных аккаунтов.
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                      • 0
                                                                        У меня совершенно аналогично в facebook. 4 (четыре, Карл!) раза регистрировался, а затем меня без видимых причин банят, это только за последние 3 месяца. Использовал аккаунты только для чтения постов и редких комментариев.

                                                                        Возможно ли, что акки используются кем-то посторонними? Как это проверить?
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • –3
                                                            ЕМНИП, рейтинг за статью даёт десятые доли. Ну или раньше давал.
                                                          • –12
                                                            У трех человек на ГТ — плохо с чувством юмора… Ну, это мы переживем.
                                                          • +4
                                                            Ни один западный сервис не должен сотрудничать с этим отребьем. Пускай блокируют, пользователи — не глупы (по крайней мере те, кому сервисы действительно нужны) и сами разберутся, как восстановить доступ. Пускай блокируют и осознают, что мировое сообщество клало байт на эти министерства правды.
                                                            • +5
                                                              95% не будут разбираться с обходом блокировок и найдут замену.
                                                              • 0
                                                                Ну и ладно, всем известно, кто такие 95%.
                                                                • +1
                                                                  Давайте на обезяьн ориентироваться, а то вдруг очередной интерфейс не осилят.
                                                                  Пускай будет две кнопки «банан» и «выход».
                                                                  • +1
                                                                    Интернет аудитория потому и стала настолько большой. Нужно включить виндоус и два раза нажать на интернет.
                                                                    Половина пользователей не осилят настроить статическую адресацию, не говоря уже о OpenVPN. А самые популярные сервисы VPN почему-то предлагают приложения, как раз с двумя кнопками.
                                                                • +3
                                                                  Почему только западные? Свои в первую очередь не должны сотрудничать, ибо так патриотичнее. Своя страна как никак в гетто превращается.
                                                                  • +3
                                                                    Чтобы отечественный сервис мог нормально не сотрудничать, он для начала должен перестать быть отечественным, в противном (лучшем) случае он просто перестанет существовать.
                                                                • 0
                                                                  Интересно, ради чего вся эта возня происходит? Чтобы всем доказать, какой Telegram надежный и спецслужб не боится? Все равно доверять тайную переписку, можно лишь решениям с открытым исходным кодом, таким как BitMessage например. Или использовать вместе с классическими мессенджерами отдельное шифрование сообщений. Я помниться ещё в 2006 году использовал ICQ & Jabber в Miranda IM, вместе с плагином GnuPG.
                                                                  • +1

                                                                    Открытый исходный код не значит, что бинарник у вас собран именно по нему :) Так что доверять тайную переписку, получается, вообще никому нельзя.

                                                                    • +1
                                                                      Ну так собрать. И отключить обновления.
                                                                      • 0

                                                                        Т.е. по сути пользоваться штучным продуктом, с необходимостью разбираться в его коде — ведь третьей стороне доверия нет.

                                                                        • +2
                                                                          На самом деле речь идет о вероятности безопасности. Ведь вы тоже могли упустить закладки из-за непрофессионализма(как и любой эксперт в принципе)+независимые от софта факторы(дыры ОС, шпиен стоящий за спиной и т.п.).
                                                                          Закрытый софт можно проанализировать только на уровне «в вайршарке ничего не понятно», журналисты говорят пользуются этой штукой.
                                                                          Открытый же софт при большом доступе независимых экспертов осталяет очень малый шанс на закладки. Конечно он должен быть достаточно популярен, чтобы его периодически проверяли. А проверить, что экзешник не подменили не так сложно — подписи, хэши(в т.ч. независимых экспертов на независимых ресурсах).
                                                                          • 0

                                                                            У двух последовательно собранных экзешников разве не будут разные хэши из-за разных таймстампов? А уж если собирать на разных машинах, с чуточку различающимися настройками компилятора/линкера — вообще пиши пропало. Я хотел сказать лишь, что нельзя смело утверждать, что какой-то экзешник был собран именно с данными исходниками. А закладку в код можно внести и незаметно: много ли людей насторожилось бы, увидев в коде своего любимого мессенджера "=" вместо "=="? А тем не менее, попытка добавить такое в кернел была: http://lkml.iu.edu/hypermail/linux/kernel/0311.0/0627.html

                                                                        • +2
                                                                          А перед этим собрать компилятор? А перед этим… OH SHI-
                                                                          • 0
                                                                            Для этого нужно быть уверенным, что у вас нет закладки в компиляторе.
                                                                            • 0
                                                                              Нужно понимать, кто хотел и мог бы внедрить данную конкретную закладку и корректировать свои действия в зависимости от степени угрозы тех или иных организаций и групп. Нельзя проверить на наличие закладок вообще всё, но можно минимизировать возможный ущерб от неблагоприятной ситуации и снизить вероятность её наступления.
                                                                        • 0
                                                                          jabber + otr до сих используется для связи с продавцами и кладменами
                                                                          • 0
                                                                            Есть тема, что у российских спецслужб и так есть доступ к телеге. А все эти песни-пляски в СМИ только поднимают интерес к сервису как к одному из самых безопасных.
                                                                            • 0
                                                                              Вот у меня схожие мысли. Есть там люди, которые пилят бюджеты на обеспечении псевдобезопасности в стране, а происходящее в СМИ — имитация их бурной деятельности. Ничего личного, они просто хотят зарабатывать :)
                                                                            • 0
                                                                              всё это конечно здорово когда у вас 1-3 корреспондента, но в реальности всё упрется во френдов с темой: «А чё это… А зОчем… Ой… это сложно»
                                                                            • 0

                                                                              Пусть блокируют, только в телеграме уже встроена встроена возможность подключения через прокси, так что даже те, кто не хочет использовать VPN и прочие подобные средства, смогут без особых проблем обойти блокировку, просто открыв настройки.

                                                                              • +2

                                                                                А если прохождение смс с паролем заблокировать?

                                                                                • 0

                                                                                  ЕМНИП, у Телеграма, при наличии активной сессии, не СМС отправляет, а сообщение в твой профиль

                                                                              • 0
                                                                                Для реально секретной переписки используется шифр вида «Бабушка заходила вчера, принесла пирожки с малиной. Говорит очень соскучилась». :)
                                                                                И передаются ЛЮБЫМ каналом.

                                                                                Так что вся эта возня с блокировками — не более чем передел рынка а за одно контроль за политическими соперниками.
                                                                              • +2
                                                                                Я одного не понимаю: в ФСБ действительно сидят настолько далекие от IT люди, которые не понимают что такое End-to-End шифрование (и не могут объяснить это вышестоящему начальству) и что даже перехватив такой трафик, расшифровать его без конечных устройств нельзя, или мы чего-то не знаем о telegram'е (да и прочих мессенжерах в общем-то тоже)?
                                                                                • +1
                                                                                  Помните старый анекдот, про прапорщика, останавливающего поезд?

                                                                                  Так вот это реализация анекдота в реальности. С той тольо разницей, что Госдура предварительно приняла Закон, по которому поезд должен останавливаться по команде «прапорщика».
                                                                                  • +10
                                                                                    Похоже, вы просто не понимаете, как работает любая бюрократия. Есть закон, по которому ключи шифрования должны быть выданы ФСБ. Если вы не способны выдать эти ключи, это не проблема ФСБ, это ваша проблема, как вы ее будете решать не интересует ровным счетом никого. Не можете — в бан. И от того, что все прекрасно все понимают, не изменится ничего, от слова «совсем».
                                                                                    • +2
                                                                                      End-to-End шифрование разве распространяется в Телеграме на групповые чаты и не на секретные чаты?
                                                                                      • –2

                                                                                        На групповые и несекретные чаты распространяется Perfect Forward Security, видимо

                                                                                        • +1
                                                                                          Perfect Forward secrecy может и распространяется, но от митма с валидным сертификатом это никак не спасет.
                                                                                          • 0

                                                                                            Но валидный сертификат — это не ключ шифрования, при PFS ключ шифрования генерируется на сессию и не компрометируется ключом сертификата, разве нет? Предлагаю не мешать в кучу разные понятия.

                                                                                            • +1
                                                                                              PFS вам не поможет т.к. после единичного MITM учетная запись будет незаметно скомпрометирована, а хранящаяся плейнтекстом история переписки доступна для чтения
                                                                                              • 0

                                                                                                Для MITM нужен оригинальный сертификат с закрытым ключом (все ведь более-менее адекватные люди используют KEY Pinning?). Много сайтов уже слили свои ключи ФСБ? А иностранных сайтов?

                                                                                                • +1
                                                                                                  ФСБ и просят приватный ключ телеграмма, причем тут паблик кей спиннин? Он вообще не защищает ни от чего кроме MITM с помощью «другого валидного сертификата»
                                                                                                  • 0

                                                                                                    Вам надо подтянуть теорию. ФСБ просят "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений" — ключ шифрования сообщений. При PFS для шифрования сообщений используется сессионный ключ, который невозможно восстановить, даже если злоумышленник доберётся до приватного ключа сертификата. А сертификат с пиннингами нужен для предотвращения MitM.

                                                                                                    • 0
                                                                                                      1. ФСБ требует закрытый ключ телеграмма что дает им возможность провести незаметный mitm, т.к. получить доступ к истории они могут просто валидно авторизовавшись через свежевыписанную симку, вопрос в именно в незаметности.
                                                                                                      2. Паблик кей пиннинг нужен только для защиты от случаев когда к твоему домену выписывают еще один валидный сертификат недоверенному лицу, по ошибке или злому умыслу.
                                                                                                      3. PF, HPKP в контексте этого запроса вообще не имеют никакого значения т.к. такой случай равносилен компрометации всей инфраструктуры смотрящей на клиента. Береги приватный ключ с молоду, etc.
                                                                                                      • 0
                                                                                                        ФСБ требует закрытый ключ телеграмма

                                                                                                        Вы это где увидели? Я выше написал обратное.

                                                                                                        • 0
                                                                                                          Вы написали свои домыслы основываясь на домыслах, что в ФСБ нет квалифицированных кадров и приплели с боку HPKP который по-факту вообще мало кто использует и в случае компрометации приватного ключа так вообще кроме проблем ничего не создает.
                                                                                                          • 0

                                                                                                            Я написал свои выводы, основанные на тексте статьи. Вы же пишете свои домыслы, ничем их не обосновывая и приписывая ФСБ додуманные вами качества, а мне — упоминание технологий (типа HPKP), которые я не упоминал. H в HPKP — это HTTP. Telegram работает на MTProto, не на HTTP :)

                                                                                      • +2
                                                                                        End-to-End только в секретных чатах, вроде бы
                                                                                        • 0
                                                                                          А секретные чаты есть только на мобильных клиентах…
                                                                                        • 0
                                                                                          Подозреваю, что ФСБ будет требовать убрать из Телеграма End-to-End шифрование, потому что оно делает невозможным исполнение закона, а сейчас им нужен прецедент, чтобы показать необходимость этого.
                                                                                          • 0
                                                                                            Е2Е в телеграме и так почти нет
                                                                                          • +2
                                                                                            Думается, в ФСБ есть достаточно разбирающиеся в криптографии люди.
                                                                                            End-to-end и прочие баззворды для них не значат совершенно ничего, это просто маркетинговый бульщит. Малейшие косяки в реализации протокола или алгоритма, банально слабый random() для ключей могут снизить стоимость перебора со штатных 2^128 или сколько там до каких-нибудь 2^40 — которые уже вполне подбираются на нормальном оборудовании.
                                                                                          • +11
                                                                                            Я прошу прощения за репост картинки с другого новостного ресурса, но она просто не может не быть здесь сейчас!!!image
                                                                                            • +2
                                                                                              Роскомнадзор и ФСБ — это разные организации.
                                                                                              • 0
                                                                                                Что-то типа: правая рука и левая?)
                                                                                                • +2
                                                                                                  Разные ветви власти, не имеющие общего начальника.
                                                                                                  • –2
                                                                                                    Просто копипаст с офсайтов:

                                                                                                    «Указом Президента от 12.03.2007 №320 Федеральная служба по надзору в сфере связи и Федеральная служба по надзору за соблюдением законодательства в сфере массовых коммуникаций и охраны культурного наследия преобразованы в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия. Новая структура подчиняется напрямую Правительству РФ.»

                                                                                                    «Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации»
                                                                                                    • +2
                                                                                                      Правительство — это исполнительная власть.

                                                                                                      image
                                                                                                      • 0
                                                                                                        Я даже соглашусь, что в теории и по учебнику это так)
                                                                                                        • +2
                                                                                                          Ну так давайте предъявлять претензии к власти по закону, а не к тому, что они не решают проблемы по нашим «понятиям». Бардака и так хватает.
                                                                                                          • –1
                                                                                                            Как-то пробовал по закону предъявлять претензии к власти, получается что законы представляют нечто следующее (по моим ощущениям):
                                                                                                            1. Вождь всегда прав
                                                                                                            2. Если вождь не прав, смотри пункт 1.

                                                                                                            На этом прекращу, так как ресурс технический а не политический (к сожалению политика стала лезть и в технологии тоже)
                                                                                                • –1

                                                                                                  Тогда почему первые пытаются говорить за вторых?

                                                                                              • +1
                                                                                                Просветите меня неграмотного, если я не прав, но я до сих пор считал, что, если не знать ключа, то переписку из Телеграм можно только брут-форсом.
                                                                                                Дуров ответил отказом — молодец, но он именно отказался, а не написал, что требование невыполнимо. Означает ли это, что переписку всё-таки можно расшифровать?
                                                                                                • 0
                                                                                                  Да, если сохранять ключи вместе с сообщениями. Даже если ключи нельзя вытянуть прямо сейчас, можно выпустить апдейт клиента который позволит передать в центр ключи на указанном девайсе и т.п. а перехваченный зашифрованный трафик у них допустим уже есть.
                                                                                                  Впрочем, то что он отказался вовсе не значит что это возможно — он выразил свою принципиальную позицию вне зависимости от того возможно ли это.
                                                                                                  • +3
                                                                                                    Всё, что зашифровано сервером — так же сервером и расшифровывается, что означает, что все ключи там хранятся где-то рядом и доступ к ним имеют как минимум админы того самого железа, где они хранятся. Ну и все те, кто сможет «уговорить» админов или руководство компании дать немного доступа к нужной базе данных.

                                                                                                    Шифровать данные всегда лучше peer-to-peer, когда вы уверены в подлинности получающей стороны, а все протоколы и, тем более, исходники открыты. При этом желательно не использовать никакие центральные сервера телеграма, так как это открывает хотя бы сам факт и время разговора между людьми (которые перед этим слили им свои номера телефонов). Но это для настоящих параноиков)
                                                                                                  • –1
                                                                                                    Я вот думаю, этот закон вообще реально как-то использовать? Да хотя бы ради слежки за оппозиционерами.

                                                                                                    Представим, что закон Яровой выполняется на 100%, Телеграм передает ключи расшифровки спецслужбам. Приходит запрос: нужна переписка пользователя А за 1 сутки начиная с даты X.

                                                                                                    1. Выяснить номер телефона А, под которыми он зарегистрирован в Телеграмме. Не факт, что поиск по фамилии найдет правильные намера.

                                                                                                    2. Найти IP-адреса пользователя А и всех серверов Телеграм, с которыми он соединялся в дату X и сутки после. Точек выхода пользователя А может быть много: мобильный интернет (не факт, что по своей SIM-карте), домашний интернет, интернет на работе, соседский интернет, кафе, и т.д. При чем человек может за день начать общение в Телеграм из дома, продолжить по GSM пока едет на работу, потом с интернета на работе, потом опять GSM по дороге домой и WiFi из дома. При этом при каждом обрыве связи IP-адреса пользователя А и сервера Телеграм могут меняться. Если же человек использует прокси, то задача усложняется — нужно найти все цепочки А — прокси — Телеграм.

                                                                                                    3. Найти TCP-потоки в записанных данных. Вот я сейчас смотрю, и вижу, что только у ОДНОГО провайдера ОДИН аплинк загружен на 220 ГБит/с. И ведь не факт, что трафик КОНКРЕТНОЙ сессии пользователя А пошел именно по конкретному маршруту и по тому же самому маршруту вернулся обратно. А сессий много. И с разными IP с обеих сторон.

                                                                                                    В итоге получается, что при подобном запросе оператор спецслужб получает жуткий геморой. Ему придется сделать кучу официальных запросов к провайдерам и длительных запросов к базе записанного интернет-трафика, чтобы получить все цепочки данных и, наконец, расшифровать переписку. И это в идеальном случае, если все ответят быстро и ничего не перепутают. Иначе время выполнение задачи увеличивается в разы. К моменту расшифровки данные станут неактуальны.
                                                                                                    • +1
                                                                                                      Так они это и поняли =)
                                                                                                      Теперь хотят от всех средств общения админку, в которой можно жмякнуть на кнопочку и спокойно почитать все сообщения/письма.
                                                                                                      • –2
                                                                                                        Всё, что вы написали — правильно. Только вы не учитываете, как это будет работать в реальности. На самом деле на всех чуть-чуть засветившихся несогласных (а повод при нынешнем законодательстве может быть любой, например, «обсуждал возможности смены действующей власти, и признал, что легальными методами это невозможно», при большом желании можно объявить экстремизмом) будет заведено электронное досье. И каждый засветившийся постоянно будет под лупой.

                                                                                                        Цели такой глобальной слежки в том, чтобы иметь на всех компромат. При необходимости заставить человека сотрудничать, а при желании — отнять бизнес или заставить платить дань. Вовсе не все «подозреваемые» реально будут оппозиционерами, следить могут и за владетелями «вкусной» собственности, совершенно независимо от того, как эта собственность появилась.
                                                                                                        • 0
                                                                                                          Вот уж кто, а потенциальные жертвы спецслужб явно осознают всё это и озаботятся дополнительным туннелированием своего трафика через зарубежные VPN-сервисы. Они обязательно прочитают статьи, проконсультируются с IT-специалистами или привлекут их за деньги, после чего всё будет настроено как надо, и никакие спецслужбы ничего не найдут.
                                                                                                          • 0
                                                                                                            при запрете vpn это будет еще один способ «взять на карандаш» определенных личностей
                                                                                                            • 0
                                                                                                              Ну пусть берут. реальных доказательств-то не будет. Конечно, всё может скатиться в средневековье, когда под пытками люди признавались вообще во всех грехах, каких им скажут, но тут уж против лома нет приема.
                                                                                                              • +1
                                                                                                                Ну пусть берут. реальных доказательств-то не будет.

                                                                                                                Почему не будет? Все будет.
                                                                                                                Конечно, всё может скатиться в средневековье

                                                                                                                если подавляющее большинство не перестанет вести себя так, как ведут себя (верить новостям, и прочим СМИ, да поддерживать тех кто у них забирает деньги), то именно это нас и ждет
                                                                                                                против лома нет приема

                                                                                                                есть способ, всем давно известный, но стоит ли эта игра свеч?
                                                                                                            • 0
                                                                                                              Весь смысл моего спича состоит в том, что все мы давно уже являемся вполне реальными, о никакими-то «потенциальными» жертвами наших спецслужб. Уточнять не стану, дабы не углубляться в политоту.
                                                                                                          • +1
                                                                                                            Какие IP-адреса? В Telegram пользователь регистрируется через номер телефона.
                                                                                                            1. Находите номер телефона человека через базы мобильных операторов
                                                                                                            2. Запрашиваете переписку из аккаунта Telegram по этому номеру
                                                                                                            3. profit