Представитель Telegram Реми Вон обратился к нам, чтобы опровергнуть утверждения главы Wired и WhatsApp Уилла Кэткарта о безопасности популярного приложения для чата. По словам Вона, статья Wired содержит много ошибок, а редакция игнорировала комментарии и ответы Telegram, что, в свою очередь, вводило Кэткарта в заблуждение.
Telegram составил список из 9 ошибок в статье Wired, с которой вы можете ознакомиться на телеграф.ф (минималистичный инструмент публикации Telegram). Пост заканчивается словами «Этот список расширяется».
В этом посте рассматриваются различные претензии в статье Wired, в том числе и об отслеживании местоположения — это возможно только в том случае, если пользователь явно делает свое местоположение общедоступным, что сделали только 0,01% пользователей, пишет Telegram.
Визуализация протокола MTProto 2.0.
Что касается конфиденциальности секретных чатов, Вон отмечает, что Кэткарт ошибается в том, что протокол сквозного шифрования Telegram (E2EE) не проходит независимую проверку. Команда из итальянского Университета Удине проверила протокол MTProto 2.0, используемый Telegram для защиты своих чатов — вы можете найти их документ. здесь (PDF).
Обратите внимание, что это проверка протокола, а не конкретной реализации. Но приложение Telegram имеет открытый исходный код и использует воспроизводимые сборки, начиная с версии 5.13. «Воспроизводимые сборки» означают, что вы можете скомпилировать общедоступный исходный код и убедиться, что полученный машинный код идентичен коду, размещенному в Apple App Store, Google Play Store и на собственном веб-сайте Telegram. Серверы Telegram не являются открытым исходным кодом, хотя команда Удине также проверила протокол MTProto 2.0 на наличие вредоносных серверов.
Они указывают на одну проблему, которая может нарушить безопасность секретных чатов — при запуске секретного чата пользователю жизненно важно проверить отпечаток ключей аутентификации через безопасный внешний канал. В противном случае, атаки «человек посередине» возможны (т. е. третья сторона подслушивает и, возможно, даже изменяет сообщения). Исследователи отмечают, что такая ошибка пользователя возможна и при использовании приложения Signal.
Создание секретного чата и проверка ключа шифрования
Поэтому, если вы используете какое-либо приложение, убедитесь, что правильно проверили отпечаток пальца — секретный чат не является по-настоящему секретным, пока вы этого не сделаете, и вы не можете использовать тот же или другой незащищенный чат для проверки совпадения отпечатка пальца.
Представитель Telegram Реми Вон обратился к нам, чтобы опровергнуть утверждения главы Wired и WhatsApp Уилла Кэткарта о безопасности популярного приложения для чата. По словам Вона, статья Wired содержит много ошибок, а редакция игнорировала комментарии и ответы Telegram, что, в свою очередь, вводило Кэткарта в заблуждение.
Telegram составил список из 9 ошибок в статье Wired, с которой вы можете ознакомиться на телеграф.ф (минималистичный инструмент публикации Telegram). Пост заканчивается словами «Этот список расширяется».
В этом посте рассматриваются различные претензии в статье Wired, в том числе и об отслеживании местоположения — это возможно только в том случае, если пользователь явно делает свое местоположение общедоступным, что сделали только 0,01% пользователей, пишет Telegram.
Визуализация протокола MTProto 2.0.
Что касается конфиденциальности секретных чатов, Вон отмечает, что Кэткарт ошибается в том, что протокол сквозного шифрования Telegram (E2EE) не проходит независимую проверку. Команда из итальянского Университета Удине проверила протокол MTProto 2.0, используемый Telegram для защиты своих чатов — вы можете найти их документ. здесь (PDF).
Обратите внимание, что это проверка протокола, а не конкретной реализации. Но приложение Telegram имеет открытый исходный код и использует воспроизводимые сборки, начиная с версии 5.13. «Воспроизводимые сборки» означают, что вы можете скомпилировать общедоступный исходный код и убедиться, что полученный машинный код идентичен коду, размещенному в Apple App Store, Google Play Store и на собственном веб-сайте Telegram. Серверы Telegram не являются открытым исходным кодом, хотя команда Удине также проверила протокол MTProto 2.0 на наличие вредоносных серверов.
Они указывают на одну проблему, которая может нарушить безопасность секретных чатов — при запуске секретного чата пользователю жизненно важно проверить отпечаток ключей аутентификации через безопасный внешний канал. В противном случае, атаки «человек посередине» возможны (т. е. третья сторона подслушивает и, возможно, даже изменяет сообщения). Исследователи отмечают, что такая ошибка пользователя возможна и при использовании приложения Signal.
Создание секретного чата и проверка ключа шифрования
Поэтому, если вы используете какое-либо приложение, убедитесь, что правильно проверили отпечаток пальца — секретный чат не является по-настоящему секретным, пока вы этого не сделаете, и вы не можете использовать тот же или другой незащищенный чат для проверки совпадения отпечатка пальца.