Как шифруются сообщения в telegram
Перейти к содержимому

Как шифруются сообщения в telegram

  • автор:

Советы по безопасности и защите личных данных в приложении Telegram

Недавно мессенджер Facebook WhatsApp обновил свою политику конфиденциальности, что заставило многих недовольных пользователей переключиться на конкурирующие приложения, такие как Telegram. Во многом благодаря этому решению Telegram получил 25 миллионов новых пользователей всего за несколько дней, а количество его пользователей превысило 500 миллионов.

Переезд на автомобиле в приложение Telegram

Пришло время взглянуть на настройки безопасности и конфиденциальности в Telegram.

Полное шифрование в приложении Telegram

Самое важное, что нужно знать о Telegram, – это то, что облачные чаты – это то, что Telegram называет своими стандартными чатами – не имеют сквозного шифрования.

Как и WhatsApp, Telegram имеет доступ к метаданным (кому вы пишете, с кем общаетесь, как часто и т.д.), а также к содержимому стандартных чатов, которые не имеют полного шифрования.

В соответствии с политикой конфиденциальности приложения Telegram на момент написания этого поста эти данные не используются в рекламных целях; однако, по опыту мы знаем, что такая политика может поменяться.

Как включить сквозное шифрование в чатах Telegram

Telegram не предлагает полного шифрования по умолчанию – вам придётся включить его самостоятельно. Разговоры с включенным сквозным шифрованием называются зашифрованными чатами.

В зашифрованных чатах текстовые сообщения, фотографии, видео и все другие файлы отправляются с использованием полного шифрования. Это означает, что ключ дешифрования есть только у двух человек: у вас и у человека на другой стороне, поэтому Telegram не может получить доступ к этим данным.

Более того, содержимое зашифрованных чатов не хранится на серверах Telegram. Поскольку такие разговоры сохраняются только на устройствах участников, к ним нельзя получить доступ с другого устройства – они исчезают, когда вы выходите из Telegram или удаляете приложение.

Зашифрованные чаты доступны в приложении Telegram для iOS, Android и macOS; версии для браузера и Windows их не поддерживают, поэтому они не обеспечивают безопасное хранение чатов на устройстве.

Как запустить зашифрованный чат в приложении Telegram

Опцию зашифрованного чата нелегко найти в последней версии приложения Telegram.

Чтобы начать зашифрованный разговор, откройте профиль человека, с которым вы хотите общаться, коснитесь или щелкните кнопку с тремя точками (иногда она называется Ещё), а затем выберите Начать секретный чат.

Включение секретного чата в приложении Telegram

Откроется чат, в котором сообщения будут полностью зашифрованы (после открытия окна чата будет отображаться соответствующее уведомление). Вы также можете установить время, по истечении которого сообщения будут удалены, нажав или щелкнув значок часов в поле ввода сообщения.

Конечно, автоматическое удаление сообщения не защищает собеседника от создания снимков экрана, но в этом случае вы получите уведомление. Если другой человек не использует приложение macOS, вы не узнаете об этом.

Ещё один полезный совет: Telegram позволяет вести несколько зашифрованных чатов с одним и тем же человеком. Однако, вы не можете включить шифрование в групповых чатах – в отличие от обмена сообщениями WhatsApp, который по умолчанию применяет сквозное шифрование ко всем разговорам.

Как узнать, полностью ли зашифрован разговор

Поскольку чаты в приложении Telegram могут быть облачными или зашифрованными, полезно знать, какой способ мы используем. Если вы обмениваетесь конфиденциальной информацией во время разговора, она должна быть зашифрована.

Однако, секретные чаты выглядят почти так же, как обычные чаты. Чтобы проверить, какой вариант вы используете, найдите значок замка рядом с именем или номером телефона собеседника. Если замок найден, – чат зашифрован. В противном случае сквозное шифрование отключено, поэтому рассмотрите возможность создания нового зашифрованного чата.

Вы также можете коснуться или щелкнуть значок вызывающего абонента, и если шифрование включено, ключ шифрования появится в нижней части открытого окна.

Как настроить безопасность и конфиденциальность Telegram

Теперь проверим, как настроить параметры безопасности и конфиденциальности в этом приложении. Нажмите кнопку Настройки в меню и выберите Конфиденциальность.

Настройки безопасности в приложении Telegram

Во-первых, убедитесь, что никто не сможет прочитать ваши чаты, если вы случайно оставите устройство разблокированным. Для этого выберите Код-пароль в разделе «Безопасность», переместите ползунок в положение включения, создайте PIN-код, введите его и подтвердите.

Включение код-пароля в приложении Telegram

Затем выберите Автоблокировка и выберите время – предпочтительно 1 или 5 минут. Если ваше устройство поддерживает отпечатки пальцев или распознавание лиц, вы можете включить эту опцию здесь.

На следующем шаге вы должны включить двухфакторную аутентификацию, чтобы защитить свою учетную запись от взлома. Обычно для входа в систему используется одноразовый код, отправленный в текстовом сообщении, но Telegram позволяет установить дополнительный пароль.

Для этого на вкладке Конфиденциальность выберите вариант «Двухэтапная аутентификация» и установите надежную комбинацию. Помните, что вы редко будете вводить этот пароль, поэтому его легко забыть; храните его в надежном месте, например, в диспетчере паролей.

Что произойдет, если вы забудете дополнительный пароль? Вам нужно будет сбросить свой аккаунт. Для этого нужно отправить запрос на полное удаление учетной записи и подождать семь дней. По истечении этого времени учетная запись будет удалена (включая связанные с ней контакты, облачные чаты и подписки на каналы), и вы сможете создать новую, полностью пустую учетную запись с тем же номером телефона.

Настройки конфиденциальности в приложении Telegram

Чтобы не делиться ненужной информацией с более чем 500 миллионами пользователей Telegram, настройте параметры своей учетной записи соответствующим образом.

Для этого перейдите в параметр «Конфиденциальность» и измените настройки – по умолчанию все параметры и данные доступны каждому. Мы рекомендуем установить их, как показано ниже:

  • Номер телефона → Кто может видеть мой номер телефона – Никто.
  • Номер телефона → Кто меня может найти по номеру – Мои контакты.
  • Последняя активность → Кто может видеть время моей последней активности – Никто.
  • Фотографии профиля → Кто может видеть фото и видео моего профиля – Мои контакты.
  • Звонки → Кто может мне звонить – Мои контакты (или Никто, если хотите).
  • Звонки → Peer-to-peer – Мои контакты (или Никто, если вы предпочитаете не сообщать свой IP-адрес вызывающим абонентам).
  • Пересылка сообщений → Кто может добавлять ссылку на мою учетную запись при пересылке моих сообщений – Мои контакты.
  • Группы и каналы → Кто может меня добавить – Мои контакты.

Настройка конфиденциальности в приложении Telegram

Затем перейдите в Конфиденциальность → Настройки данных и удалите выбранную вами информацию из памяти Telegram.

Безопасность в приложении Telegram для самых требовательных

Приведенных выше советов должно быть достаточно для большинства пользователей, но следующие советы могут вас заинтересовать:

  • Используйте отдельный номер телефона или даже виртуальный для входа в приложение Telegram. Но, не используйте одноразовый номер, иначе кто-то другой сможет получить доступ к вашей учетной записи.
  • Используйте технологию VPN, чтобы скрыть свой IP-адрес (который Telegram может раскрыть по запросу, например, правоохранительных органов).
  • Подумайте об использовании другого приложения, которое лучше защищает и разрешает личную переписку, например, Signal или Threema. В отличие от Telegram, они по умолчанию шифруют все разговоры и имеют множество опций для защиты вашей конфиденциальности. С другой стороны, они менее популярны и не имеют некоторых функций, которые привлекают пользователей в приложение Telegram.

Помните, что даже самый безопасный мессенджер не поможет, если кто-то получит доступ к вашему устройству физически или удаленно. Поэтому мы рекомендуем вам всегда блокировать устройство с помощью пароля или PIN-кода, регулярно обновлять все свои приложения и операционную систему и использовать надежное решение для защиты от вредоносных программ.

Как общаться в Telegram безопасно и конфиденциально

Рассказываем, почему в Telegram надо обязательно использовать «секретные» чаты и как правильно настроить безопасность и приватность.

Недавно WhatsApp изменил политику конфиденциальности пользовательских данных. Многим пользователям такой шаг не понравился — и это привело к бегству части из них из WhatsApp в другие мессенджеры, в том числе в Telegram. Судя по всему, именно этот «исход» помог Telegram всего за несколько дней набрать 25 миллионов новых пользователей — суммарная аудитория мессенджера теперь составляет более 500 миллионов пользователей.

Самое время рассказать о том, как нужно действовать, чтобы общение в Telegram было действительно безопасным и приватным.

Самое главное: сквозное шифрование в Telegram по умолчанию не используется

Первое, что нужно знать о Telegram: в «облачных» чатах — так Telegram называет стандартный тип чатов, которые используются по умолчанию, — не применяется сквозное шифрование. Что такое сквозное шифрование и почему оно важно для безопасности переписки — можно прочитать тут.

Если кратко, то это означает, что Telegram имеет доступ не только к метаданным (кому вы писали, когда писали и как много), как WhatsApp, но и ко всему содержимому переписки пользователей в стандартных чатах, используемых мессенджером по умолчанию. На данный момент, согласно политике конфиденциальности Telegram, эти данные не используются для рекламы. Но, как мы уже знаем по опыту, политика может измениться.

Как включить сквозное шифрование в Telegram: «секретные» чаты

При этом сквозное шифрование в Telegram есть — просто его нужно включать отдельно. Поэтому, если вы дорожите конфиденциальностью своих данных, надо не забывать использовать чаты, в которых сквозное шифрование включено, — Telegram называет их «секретными» чатами.

В «секретных» чатах и текст сообщений, и картинки, и видео, и все остальные файлы передаются с использованием сквозного шифрования. Ключ для расшифровки есть только у собеседников — поэтому Telegram не может получить доступ к этим данным.

Более того, содержимое «секретных» чатов не хранится на серверах Telegram. «Секретные» чаты хранятся только на устройствах участников переписки — как следствие, к ним нельзя получить доступ с другого устройства, плюс они исчезают при выходе из Telegram и при удалении приложения.

Секретные чаты доступны в приложениях для iOS, Android и macOS. В веб-версии и в приложении для Windows «секретные» чаты не поддерживаются, потому что эти версии не могут обеспечить безопасное хранение переписки на устройстве. Так что использовать Telegram для конфиденциальных разговоров на компьютере с Windows или Linux нежелательно.

Как создать «секретный» чат в Telegram

В текущих версиях приложений Telegram опция создания «секретного» чата спрятана довольно глубоко, и ее не так-то легко обнаружить — особенно начинающему пользователю мессенджера.

Чтобы создать «секретный» чат, необходимо открыть профиль вашего собеседника, нажать кнопку с тремя точками (иногда у нее есть подпись Еще, а иногда подписи нет) и выбрать Начать секретный чат.

Как создать в Telegram чат со сквозным шифрованием

Как создать «секретный» чат в Telegram

После этого откроется чат, сообщения в котором будут зашифрованы сквозным шифрованием (поначалу в окне чата даже будет об этом специально написано). Также можно установить время, по истечении которого ваши сообщения будут автоматически удаляться: для этого надо кликнуть на значок часов в панели ввода сообщения.

Как установить автоматическое уничтожение сообщений в Telegram по таймеру

Как установить автоматическое уничтожение сообщений в Telegram по таймеру

Разумеется, автоматическое удаление сообщений не помешает вашему собеседнику сделать скриншоты, но в таком случае в чате появится сообщение об этом. Правда, есть исключение: если скриншот сделал пользователь на macOS, то уведомление об этом не придет.

Что еще полезно знать о Telegram: секретных чатов с одним и тем же собеседником может быть несколько. А вот групповые чаты «секретными» быть не могут, — в отличие от WhatsApp, в котором все чаты по умолчанию используют сквозное шифрование.

Как внутри чата понять, включено ли сквозное шифрование: иконка с замочком

Поскольку в Telegram есть два типа чатов — обычные «облачные» и «секретные», в которых включено сквозное шифрование, в некоторых случаях бывает важно вовремя понять, в каком из них вы общаетесь. Если в переписке есть какие-то очень важные данные, то лучше бы этому чату быть «секретным», верно?

К сожалению, внутри «секретные» и «облачные» чаты выглядят практически идентично, различаясь буквально несколькими деталями. Чтобы убедиться в том, что сквозное шифрование включено, поищите значок замочка рядом с именем или номером телефона вашего собеседника. Если замочек есть, то это «секретный» чат. Если замочка нет, то сквозное шифрование не включено — и лучше создать новый чат.

Как понять, что вы находитесь в "секретном" чате: ищите замочек вверху экрана

Как понять, что вы находитесь в «секретном» чате: ищите замочек вверху экрана

Также можно кликнуть по иконке вашего собеседника — если в чате используется сквозное шифрование, то в самом низу открывшегося окна отобразится строчка Ключ шифрования.

Как настроить безопасность и приватность в приложении Telegram

Также не помешает правильно настроить безопасность и конфиденциальность в приложении. Для этого нажмите кнопку Настройки в правом нижнем углу экрана и выберите пункт Конфиденциальность.

Настройки безопасности в Telegram

Первым делом следует позаботиться, чтобы кто-нибудь не прочитал вашу переписку в тот момент, когда вы случайно оставили разблокированное устройство без присмотра. Для этого на открывшейся вкладке выберите пункт Код-пароль, нажмите Включить код-пароль, придумайте пин-код, который вы не забудете, задайте его и подтвердите.

После этого выберите пункт Автоблокировка и установите какое-нибудь небольшое значение — одну минуту или пять. Если ваше устройство поддерживает вход по отпечатку пальца или по распознаванию лица — можете включить здесь же соответствующую опцию.

Как правильно настроить безопасность в Telegram

Как правильно настроить безопасность в Telegram

Дальше стоит обезопасить аккаунт от угона с помощью двухфакторной аутентификации. Поскольку первичным способом подтверждения входа в аккаунт в Telegram служит одноразовый код в SMS, то в качестве второго фактора мессенджер предлагает задать пароль.

Для этого на вкладке Конфиденциальность выберите Двухэтапная аутентификация (в Android) или Облачный пароль (в iOS) и установите какую-нибудь надежную комбинацию. Важно помнить, что вводить этот пароль вы будете нечасто, поэтому его очень легко забыть. Так что лучше сохранить его в каком-нибудь надежном месте — например, в менеджере паролей.

Что будет, если вы забудете этот облачный пароль? Вам придется сбросить аккаунт. По сути это означает, что вы отправите заявку на полное удаление аккаунта, после чего придется подождать семь дней. Через неделю учетная запись удалится (со всеми контактами, «облачными» чатами и подписками на каналы), и вы сможете завести новый, совершенно пустой аккаунт на тот же номер телефона.

Настройки конфиденциальности в Telegram

Чтобы не делиться лишней информацией со всеми 500 миллионами пользователей Telegram, стоит настроить приватность профиля. Для этого пройдитесь по пунктам настроек Конфиденциальность и поменяйте установленные значения — по умолчанию все эти данные и возможности доступны всем желающим. Мы рекомендуем вот такие настройки:

  • Номер телефона -> Кто видит мой номер телефонаНикто.
  • Номер телефона -> Кто может найти меня по номеруМои контакты.
  • Последняя активность -> Кто видит, когда я в сетиНикто.
  • Фотография профиля -> Кто видит мою фотографиюМои контакты.
  • Звонки -> Кто может мне звонитьМои контакты (или Никто, если вас вообще не интересует эта функция).
  • Звонки -> Peer-to-peerМои контакты (или Никто, если предпочитаете не делиться информацией о своем IP-адресе с собеседниками).
  • Пересылка сообщений -> Кто может ссылаться на мой аккаунт при пересылке сообщенийМои контакты.
  • Группы и каналы -> Кто может приглашать меняМои контакты.

Как правильно настроить конфиденциальность в Telegram

Как правильно настроить конфиденциальность в Telegram

Также можете заглянуть в Конфиденциальность -> Управление данными и удалить из хранилища Telegram ту информацию, которые покажется вам лишней.

Безопасность Telegram для самых осторожных

Вышеприведенных советов должно хватить для большинства пользователей, но для наиболее осторожных у нас есть еще несколько рекомендаций:

  • Используйте для входа в Telegram отдельный номер телефона. А может быть, даже виртуальный номер телефона вместо настоящего мобильного. Однако будьте осторожны и убедитесь в том, что этот номер не одноразовый — иначе к вашему аккаунту может получить доступ кто-то другой.
  • Включайте защищенное соединение, чтобы скрыть свой IP-адрес — Telegram может сообщать его, например, по запросу правоохранительных органов.
  • Подумайте о том, чтобы использовать другой мессенджер, более приспособленный для безопасного и конфиденциального общения — например, Signal или Threema. В отличие от Telegram, все чаты в них шифруются по умолчанию и есть дополнительные механизмы обеспечения конфиденциальности. Но они не так популярны, и в них нет некоторых функций, которые привлекают пользователей Telegram.

Ну и, конечно же, не забывайте о том, что даже самый безопасный в мире мессенджер становится беззащитным, если к вашему устройству кто-то получит доступ — физический или удаленный.

Поэтому обязательно блокируйте все свои устройства пин-кодом, вовремя обновляйте все установленные на них программы и операционную систему, а также защищайте их от вредоносного ПО надежным антивирусом.

Почему Telegram не защищает приватность вашей переписки

Favorite В закладки

Почему Telegram не защищает приватность вашей переписки

Когда в 2011 году за Павлом Дуровым пришел спецназ хотя есть версия, что это инсценировка , он написал своему брату Николаю. И понял, что надежного способа обмениваться сообщениями у него, в общем-то, нет.

Николай Дуров ранее разработал протокол шифрования переписки MTProto. Она легла в основу Telegram. Фактически мессенджер стал попыткой тестирования MTProto на больших нагрузках.

Но даже сейчас, после тысяч багфиксов и улучшений, Telegram не гарантирует безопасность и конфиденциальность. И сквозное шифрование – не панацея.

Как работает сквозное шифрование в Telegram

В Telegram используется два вида шифрования: “клиент-сервер” для обычных облачных, в том числе групповых чатов, и “клиент-клиент” (сквозное, или оконечное шифрование, E2EE, end-to-end encryption).

В общих чертах сквозное шифрование работает так.

У отправителя и получателя есть по паре ключей: один приватный, второй публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи не попадают.

Отправитель и получатель вместе генерируют общий секрет или эфемерный ключ. Каждый использует свой приватный ключ и оба публичных. В Telegram для этого взяли за основу алгоритм Диффи-Хеллмана. Общие ключи временные и перегенерируются автоматически, чтобы много похожих сообщений (смайликов, текста с одинаковыми метаданными) не шифровались одним и тем же ключом.

Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Данные остаются зашифрованными до получения.

Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки – и у получателя. и ни у кого больше.


Схема работы алгоритма Диффи-Хеллмана. Алиса и Боб имеют по паре ключей – публичный и приватный. g и p – публичные ключи, А и В – приватные. mod – деление по модулю (остаток от деления), К – секрет, или эфемерный ключ.

Метод действительно мощный. Но… всё не так однозначно.

Главное достоинство алгоритма Диффи-Хеллмана – возможность передавать открытые ключи и сообщения по публичным каналам. Но всё ломается, если хакер проведет активную MITM-атаку (атаку “человек посередине”) и подменит трафик.

Что же с ключами для облачных чатов? Один ключ у пользователя, второй – в облаке. И теоретически “облачный” ключ можно выдать кому угодно.

Увы, Telegram уже взламывали, причём демонстративно

Пользователь Habr под ником ne555 год назад подробно описал, как взломать Telegram. Он обошел сквозное шифрование мессенджера в Android и отправил разработчикам баг-репорт.

Не получив ответа, ne555 связался с волонтерами, которые пообещали донести информацию до руководства Telegram. Но реакции не последовало.

ne555 использовал смартфоны с Android 7.0, Android 6.0 (root-доступ), Android 4.4.2 (root-доступ), а также ПК с GNU/Linux/Windows (с root-доступом) и программу для восстановления паролей по их хешам John The Ripper (JTR, доступна в публичном репозитории на GitHub). JTR позволил распарсить Telegram local code (pin приложения) за секунды, получить нужные файлы и данные для взлома.

Результат: хакер обошел двухфакторную авторизацию, получил доступ к секретным чатам со сквозным шифрованием, смог читать и отправлять сообщения в них.

При этом реальный владелец аккаунта даже не видел, что его взломали.

А когда хакер попытался с реального аккаунта выйти из всех сеансов, поддельную учетную запись даже не выбросило из сети. Сессионные и графические ключи тоже не менялись.

В общем, хакер успел провести ещё несколько экспериментов, пока аккаунт в Telegram не заблокировали и не удалили секретные чаты. Небыстро, прямо скажем.

Пароль любой длины в Telegram тоже можно обойти

Действительно, четырехзначный pin – не самая надежная защита аккаунта. Полноценный пароль надежнее. Но ne555 выяснил, что и он не спасает – существует схема обхода пароля любой длины.

Хакер взломал пароль длиной более 30 символов, настроил на своем устройстве разблокировку отпечатком пальца. А также смог повторно войти в чужой аккаунт и получить доступ ко всем секретным чатам.

Эксперт отметил: в Telegram принудительно интегрирована функция «разблокировка отпечатком пальца». Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram.

Кроме того, хакеру удалось обойти шифрование самого устройства. И получить данные Telegram для доступа к секретным чатам.

Серверы Telegram уже взламывали, причём публично

Ещё один Habr-пост – от пользователя Bo0oM, написан в июле 2019 года. Хакер заявил, что взломал сервер Telegram через стандартные уязвимости и искренне удивился, как отвратительно компания относится к безопасности.

Взломщик подчеркнул: в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache. Bo0oM отправил некорректный запрос, и сервер слегка приуныл… За описание этого и других найденных в процессе багов получил 2500 долларов от службы безопасности мессенджера.

С одной стороны, в этом случае Bo0oM взломал не весь мессенджер, а лишь конкретный сервер. Но если пойти дальше, можно было бы наворотить гораздо больше – научиться “ронять” серверы, вытаскивать логи падения и т.д.

И вы можете попробовать заработать. Письма с багами можно отправлять на [email protected] .

Передаваемые через Telegram файлы уже перехватывали

В июне Symantec рассказал об уязвимости Media File Jacking для Android-версиях Telegram и WhatsApp. Оказалось, что мессенджеры сохраняют изображения в своем внутреннем хранилище, либо во внешнем разделе памяти. Второе опасно.

Если отправлять файлы во внешнее хранилище, то их можно украсть с помощью внешних вредоносных программ. А также заменить или отредактировать.

Так что скриншоты с номерами карт и кошельков таким способом точно передавать не стоит. Как и приватные фото из душа.

Связи пользователей Telegram друг с другом тоже раскрывали

Ещё один скандал вокруг Telegram разразился 30 октября 2018 года. Эксперт по кибербезопасности Натаниэль Сачи выяснил, что десктопный Telegram хранит переписку на жестком диске в незашифрованном виде.

Сачи заявил: Telegram использует базу данных SQLite для хранения сообщений. Прочитать её “в лоб” не получится, но имена и телефонные номера вполне можно проассоциировать друг с другом.

Конечно, это проблема не столько Telegram Desktop, сколько уровня защиты устройства пользователя в целом. Но… Раздолбайство со стороны разработчиков, мягко говоря. Хотя Павел Дуров не считает проблемой такое хранение данных.

У Telegram закрытый код, поэтому объективно проверить его безопасность не получается

Разработчики Telegram заявляют:

Всё хранится в зашифрованном виде, чаты хорошо зашифрованы, а ключи шифрования хранятся по частям в датацентрах в юрисдикции разных стран.

Исходный код клиентов для Telegram является открытым. А вот код сервера открывать не рискнули, и это рождает массу вопросов.

Но клиент работает через API и никак не взаимодействуя напрямую с “безопасными датацентрами”. Что происходит внутри этого черного ящика, неизвестно.

К тому же эксперты не верят, что ключи шифрования собираются на лету при отправке и приеме каждого сообщения. Это как минимум вызвало бы определенные задержки, а Telegram, надо признать, работает очень быстро.

Telegram для iOS издает компания Telegram LLC, а для Android — Telegram FZ-LLC. Компании основали в США и Великобритании, где действует так называемый Gag order. Он предполагает, в том числе, что правоохранительные органы могут запретить разработчикам разглашать сведения о том, что те предоставляли им информацию. В том числе о серверах, ключах шифрования, пользователях и др.

Telegram объявлял конкурс взлома на $200 тыс., которые нереально выиграть

Братья Дуровы считали MTProto настолько неуязвимым, что в 2013 году даже пообещали награду в 200 тыс. долларов за взлом этого протокола и чтение переписки между ними. В переписке содержался адрес, на который нужно было отправить письмо.

Спустя несколько дней пользователь с ником x7mz, который даже не был экспертом в криптографии, обнаружил уязвимость в протоколе. Она позволяла провести MITM-атаку на секретные чаты. Правда, переписку пользователь не расшифровал, так что ему дали лишь 100 тыс. долларов.

Протокол в дальнейшем доработали и объявили новый конкурс. Модель возможной атаки расширили – например, разрешили выступать в роли сервера MTProto и менять пересылаемые данные.

Но, по мнению экспертов, такие конкурсы – просто дешевая реклама. Они не позволяют доказать безопасности шифрования и вводят пользователей в заблуждение.

Организаторы не дают известный или выбранный открытый текст, шифротекст, возможность вызова повтора и использование других традиционных тестовых методов. Фактически вы можете отправить только одно зашифрованное сообщение – этого явно мало для полноценной атаки.

Присланные отчеты анализируют случайные люди. К тому же 100-200 тыс. долларов – слишком мало, чтобы это было интересно командам опытных криптоаналитиков.

Впрочем, дыры в MTProto находят регулярно (один, два, три). И без финансовой мотивации.

Многие эксперты считают защиту в Telegram просто маркетингом

В Telegram не намерены рассказывать о протоколе MTProto 2.0, да и внешний аудит не проводили ни разу.

Ещё один момент: что происходит, когда пользователь Telegram отправляет сообщения, а адресат не в сети? Вероятно, сообщения отправляются на серверы Telegram, объединенные в виртуальное облако. Они синхронизируются между собой. Как только адресат появится в сети, он получит сообщения.

Таким образом, трафик в любом случае проходит через сервер. Хотя многие эксперты считают, что логичнее было бы установить соединение “клиент – клиент” – например, пиринговое (P2P).

В результате получается, что связь в Telegram вообще не работает без постоянного использования серверов. В других мессенджерах есть более элегантные и безопасные решения – например, когда серверы задействуют только для сравнения текущих IP-адресов собеседников и организации прямого соединения между ними.

Также специалисты считают, что алгоритм Диффи-Хеллмана в Telegram специально ослаблен на уровне генератора псевдослучайных чисел. Эти числа не генерируются на вашем смартфоне или ПК – приложение запрашивает их с сервера. Как там организована генерация, знают только разработчики.

Открытый исходный код клиента – ещё один большой вопрос. Более-менее регулярно обновляется только репозиторий десктопной версии, да и то она урезанная. Из чего собираются готовые дистрибутивы, оперативно проверить нельзя.

Привязка к телефону – последний гвоздь в крышку гроба

Учетные записи в Telegram привязаны к номерам телефона. Это сказывается и на анонимности, и на безопасности.

Коды подтверждения приходят в SMS. Давно всем известная дыра в протоколе сотовой связи SS7 позволяет перехватывать и подменять их.

Перехватив код, можно получить доступ к переписке в обычных чатах. Даже не придется ломать MTProto. Сервер автоматически сменит ключ и дешифрует недоставленные сообщения. И это как минимум!

Ещё одна проблема — push-уведомления. Именно они оповещают о новых входящих без запуска мессенджера. Но сервер push-уведомлений – это фактически разрешенная вами атака «человека посередине». И такая ситуация во всех популярных мессенджерах.

Что делать обычному пользователю Telegram?

Не вести приватных бесед в мессенджерах. Не передавать через них информацию, которая может быть использована против вас.

Альтернатива Telegram – например, Signal. Его рекомендовали основатель WikiLeaks Джулиан Ассандж и экс-сотрудник АНБ и ЦР Эдвард Сноуден.

Но и Signal не раз успешно атаковали. Хотя это сложнее, чем взломать Telegram.

Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др. И личные встречи в чистом поле без свидетелей.

Favorite В закладки

Ксения Шестакова

Живу в будущем. Разбираю сложные технологии на простые составляющие.

�� Читайте также . Всё по теме

Почему в России не хватает чипов для банковских карт. Разбираемся

Что такое NFT. Почему раньше про них говорили все, а сейчас никто не вспоминает

20 необычных советов по Apple Watch. Управляем часами, сжимая руку в кулак

5 русских сериалов этого года. А наши научились снимать!

Платежный сервис Mir Pay теперь работает в Беларуси

Дуров подтвердил, что скоро в Telegram можно будет купить красивый никнейм

Павел Дуров анонсировал магазин никнеймов в Telegram на базе криптовалюты TON

Роскомнадзор вводит «меры понуждения» против Telegram, TikTok и Zoom. Что это значит

�� Комментарии 27

Я кстати, последнее время заметил проблему в нем. Хочу зайти через рабочий компьютер в telegram web(пусть даже это будет зеркало) и когда пароль должен придти в его в итоге нет. Причём аналогичную схему делал и через телефон (заходил в web версию через браузер) и все нормально приходило.

«Другой вариант – мессенджеры с поддержкой OTR: Adium, Conversations Legacy, Xabber, Pidgin (с плагином), Conversations и др.»

Зачем ссылки на Google Play на сайте iphones? Для iOS только Signal?
Что про wire скажете?

@sibalk , поддержу. Ни одного вменяемого XMPP-мессенджера на iOS не нашел, но давать ссылку на Гугл – издевательство 🙂

думал в конце будет ссылка на тамтам

@ZloySega , на Mail.ru Агент ))

Привет от Threema 😉

Это скорей для политиков, оппозиционеров, бизнесменов встреча в чистом поле (хотя и там могут прослушать, перехватить и тд). Для большинства людей прятать то особо и нечего, максимум политические репосты. Хотя, статья очень интересная))))

Всегда говорил и говорю. Все там сливается и на кого он работает давно известно. А так да сделали хороший пиар и люди побежали устанавливать телегу. Другое дело да он удобен, многофункционален и т.п..

@Trooper , бот всегда говорил и будет говорить, а другие боты его лайкать. только толку от твоей жизни, бот, ноль

Неплохая попытка, маил ру, но нет.

фигня вся статья.
пока наркотой в телеге торгуют – значит норм безопасность.
как свалят массово – значит взломали.
вот и все.

гдето читал правприменительную практику по таким делам (не тут ли?)- там нет переписок, если только чел сам не дал свой телефон прочитать.
так что норм безопасность, не сцыте

@joker2k2 , наркотой и по смс торгуют, там тоже никто не прочитает?)))

@triller , чет не слышал про такое ) это менты наверное )) сами читают, сами торгуют )

@joker2k2 , да тут же статья была, что многие совсем о безопасности не заботятся))

Телега ваша у Билайна не работает уже несколько дней. Усе

@iphoneriddick , в смысле? У меня на билайне пашет

“в 2019 году весь Telegram использует nginx, а этот конкретный сервер – не самый надежный Apache”

@Alek756 , это называется “как попытаться пересказать Habr своими словами и приуныть в процессе”. Автору на Хабре тоже немного накидал еще в июле, но с ним хоть спорить интересно в отличие от.

Из этого поста я делаю вывод что ФСБ – некомпетентный орган))) глупо ведь блокировать настолько дырявый мессенджер – читай что угодно, зачем блокировать тогда?))

Можно не читать сразу после слов MITM и телеграм.. А ничего что данные шифруются серверным вшитым ключом, при передаче – если не заешь его то ты никак не встроишься в цепочку.. Всегда можно сверить ключи с собеседником например отправив их другим каналом – почтой через архив к примеру защищённой длинным паролем. Вы всегда можете удостовериться что никого по середине не было.

Ну а если в не доверяете серверам телеграм – то вообще не доверяйте телеграм – так как его создатель теоретически может вшить все что угодно в код и передавать эти данные куда угодно..

“личные встречи в чистом поле без свидетелей” – с поправкой: без какой-либо техники. А назначать встречу через незнакомца, который, через другого незнакомца передаст координаты. При встрече общаться молча, переписываясь на бумаге, в палатке, оклеенной металлом, чтобы ни дрон, ни спутник текст не распознал. И, конечно же, в конце, уничтожить переписку, без возможности восстановления.

П.С.: голубиная почта – тоже вариант, но менее надёжный.))

Детский сад! Какие приватные защищенные мессенджеры в свободном доступе? Погуглите что такое Патриотический акт и что он позволяет. А теперь задайте себе вопрос – как может существовать свободно распространяемый мессенджер в магазинах, работающих в американском правовом поле, и принадлежащим американским компаниям?
ЛЮБОЙ мессенджер из ЭплСтора или ГуглПлея, при необходимости, взламывается и раскрывается – это факт!

ПС не давайте читать эту статью Артём Баусов @Dralker – у него еще запас бумажных самолетиков наготове )))

@ram_ler , задайте вопрос, как могут существовать свободно распространяемые протоколы шифрования? 🙂 Поищите историю PGP, например, и не путайте свои домыслы с реальностью. А, еще про Кузнечик почитайте, тоже в тему.

Сложно отделить истину, так перемешанную с мифами.

Достаточно провести поверхностный анализ этого мессенджера;
1. Закрытый исходный код. Это не даёт провести аудит. Так что, разговоры об анонимности этой платформы – это только разговоры.

2. Привязка мобильника к аккаунту. О какой анонимности может идти речь в этом случае?! Реально анонимные мессенджеры не используют никаких привязок к мобильному телефону и e-mail.. они генерируют уникальный ID. Кстати, по этой же причине распиареный Signal, который якобы Сноудэн боготворит – шляпа.
3. Нельзя уйти в invisible.
4. Мониторинг и доступ к телефонной книге.
5. Резервное копирование.
6. Цензура. Удаляют каналы.

Автор пишет хорошие статьи по OSINT, но данная статья крайне поверхностная.
Грустно, что так много ошибок.
Взять схему работы Диффи-Хеллмана. Она вообще не понята.
Передача приватного ключа, серьёзно? Вы понимаете, почему он вообще называется приватным?
p и g – это псевдослучайные константы, а не публичные ключи, публичные ключи тут A и B. Приватные ключи – a и b – никто никуда не передаёт. И суть его не в передаче открытых ключей, а в том, что он позволяет выработать _секретный_ ключ для дальнейшего использования без непосредственной его передачи между сторонами.

Ещё вы пишете про ne555. Ёлки, то, что у него всё было рутовано – это очень серьёзное уточнение, если у злоумышленника есть рут – то вообще вся безопасность устройства скомпрометирована. Гейм овер, дальше нет никаких рубежей безопасности.

“Если на вашем смартфоне нет сканера отпечатка, вы не сможете настроить или отключить её в Telegram.” – так понятное дело, нафига вообще иметь настройку фичи, аппаратно отсутствующей в устройстве?

Вы упоминаете Бума. Там баг интересный, но всё, что он нашёл – это типичная sql-injection (уже более-менее серьёзно, но не конец света) и немного раскрытия информации. Вот цитата из его статьи о критичности уязвимостей:
“Пользователей я не взломал (твоя переписка в безопасности), развить атаку дальше не мог, сервер с дампами рандомных пользователей (именно краш-дампы без информации об айдишнике в телеграме, телефоне, сообщениях и чатах) — сомнительная ценность. По идее, можно было бы качать краши и самому изучать и эксплуатировать их.”
И нет ничего ужасного в использовании апача – он не так популярен сейчас, как nginx, но скорее потому, что он удобнее, шустрее и в целом более гибкий в настройке (и это если не говорить о последних багах nginx). При грамотном администрировании работает Apache без нареканий и есть не просит.

Привязка к телефону – это гвоздь? Но ведь номер используется для _идентификации_ пользователя. Да, вам приходит код, но во-первых, двухэтапную аутентификацию ещё никто не отменял (в чём разумно упрекнуть создателей телеграма – так это в отсутствии поддержки различных вторых факторов вроде аппаратных модулей или хотя бы гугловского аутентификатора), а во-вторых, SS-7 очень трудно эксплуатировать – для такого нужно быть оператором сотовой связи (или как иметь минимум нехилые связи в уже существующем).
Да и вообще, если вы залогинены – второй фактор приходит к вам в тот же телеграм, а не по смс.

Вот насчёт советов обычному пользователю телеграм – с вами трудно не согласиться. Хотя бы потому, что вы находитесь в абсолютно недоверенной среде, и раз уж вы не доверяете телеграму – то как вы можете доверять вашей клавиатуре (которая вполне может содержать скрытый кейлоггер), или компонентам системы с привилегиями повыше ваших, или вообще самой системе?
Всё это вы принципиально не можете проверить на предмет наличия недекларированных возможностей, и тут вас ни signal, ни собственноручно написанный мессенджер не спасёт. И об этом стоит помнить.

Собственно, статья несёт в себе верную мысль, но экспертного мнения катастрофически не хватает (за Диффи-Хеллмана особенно больно было), очень много поверхностных утверждений.

Секретный чат в Телеграм для бизнеса: как использовать необычную функцию мессенджера

Telegram. Как много он стал значить для пользователей! Люди доверяют мессенджеру все самое тайное и сокровенное и считают, что их переписка никуда не попадёт. Если вы еще не задумывались о продвижении своего бизнеса в Телеграм, то рекомендуем задуматься, тем более мы можем вам в этом помочь.

Если не углубляться, Телега – надёжный и достаточно простой в использовании мессенджер. Все сообщения шифруются, а ключи шифрования не передаются третьим лицам, поэтому Telegram так любим мошенниками, наркозависимыми и другими лицами с низкой социальной ответственностью. Но не ими едиными. Большинству пользователей очень важно сохранить всю конфиденциальность своих переписок.

Шифрования стандартных чатов хватает большинству пользователей, но некоторым хочется ещё больше гарантий, что никто не увидит их переписку, и чтобы через некоторое время от неё не осталось и следа.

Специально для таких людей, в Телегу добавили «секретные чаты». Они создаются только через мобильное приложение (то есть через десктопную версию его создать не получится) и прямо соединяют двух собеседников. Переписка надежно шифруется, и допуск ней есть только у участников переписки. То есть даже сотрудники Телеграма теоретически не могут прочитать эти сообщения.

Как создать секретный чат в Телеграм

Чтобы начать секретный чат в Телеграме, необходимо соблюсти всего одно условие: собеседник должен быть в сети.

Выбираем собеседника из списка контактов.

Переходим в основной чат с ним и нажимаем на иконку контакта.

Далее кликаем на три точки и выбираем «Начать секретный чат».

Далее подтверждаем создание чата.

Сразу обращаем внимание на замочек возле имени собеседника – это значок секретного чата.

А вот так секретный чат выглядит в списке чатов. Зеленый шрифт с замочком.

После того, как собеседник вам ответил, можно настроить автоуничтожение сообщений. Для этого в окне чата жмем на таймер и выбираем диапазон времени от 1 секунды до 1 недели.

Устанавливаем таймер на 30 секунд.

Теперь после прочтения любого сообщения оно будет удаляться через некоторый диапазон времени.

Мы сделали скриншот в окне чата, и нам и собеседнику сразу высветилось сообщение о соответствующем действии.

Если с iPhone зайти в диспетчер приложений с открытым окном чата, то всё содержимое блюрится.

Итак, секретный чат создан и теперь нам гарантируют следующее:

  • Оконечное(сквозное) шифрование
  • Никаких следов на серверах
  • Удаление по таймеру
  • Запрет на пересылку

То есть теперь вся переписка в буквальном смысле в наших руках и никто, кроме создателя чата и собеседника, не имеет к ней доступа.

Особенности секретного чата в Telegram

Теперь разберем всё по отдельности.

  • Оконечное шифрование – это способ передачи данных, при котором только пользователи, состоящие в чате, имеют доступ к его содержимому. Третьим лицам доступ запрещен. Теоретически это гарантирует полную анонимность и безопасность участникам переписки. А если практически, то ещё никто не смог взломать ни одно сообщение из секретного чата.
  • Никаких следов на серверах. Телеграм не собирает никаких данных о переписке, все строго конфиденциально.
  • Удаление по таймеру. интересное решение для тех, кто всё же боится за слив информации (вдруг телефон попадет не в те руки). Предположим, что мы поставили автоудаление на одну минуту. Пишем сообщение в чат и ждем, когда его прочитает собеседник. И только тогда таймер начинает работать. У собеседника будет ровно одна минута, чтобы прочитать и переварить информацию в чате, далее сообщение бесследно удаляется, включая сообщение на устройстве отправителя.
  • Запрет на пересылку. Ваши сообщения – это только ваши сообщения. В открытые чаты ничего переслать не получится.

Еще некоторые особенности:

  • Собеседник может отменить секретный чат. Тогда этот чат станет обычным, и вся информация подвергнется обычному шифрованию.
  • Нескрытые скриншоты – если, находясь в секретном чате, сделать скриншот, то у собеседника появится соответствующее уведомление.
  • Если выйти из аккаунта и не закрыть чат, то он автоматически удалится.
  • Секретный чат доступен только на устройстве, на котором он был создан и нигде больше.
  • С одним пользователем можно создавать неограниченное количество секретных чатов.
  • Невозможность восстановить переписку – если сообщение удаляется, оно удаляется у всех и навсегда.

Отличия обычного чата в Телеграм от секретного

Основное отличие – это разный способ шифрования. если в обычном чате порядок передачи такой: клиент-сервер-клиент, то в секретном он таков – клиент-клиент. А еще:

  • Невозможность пересылки сообщений
  • Невозможность продолжить переписку на другом устройстве
  • Невозможность закреплять сообщения в шапке переписки
  • Невозможность изменить отправленное сообщение

Невозможность удалить сообщение только у себя

Как удалить секретный чат в Телеграм

Если потребность в секретном чате отпала, его всегда можно удалить. Для этого в поле контакта свайпаем влево, выбираем «удалить» и подтверждаем действие.

Если передумаете, то у вас будет всего 5 секунд, чтобы отменить действие.

Польза секретного чата в Telegram для бизнеса

Секретные чаты идеально подойдут для владельцев бизнеса. Важные договоры и документы рекомендуется отправлять именно этим способом, чтобы не допустить утечки информации третьим лицам. Тем более переписка хранится только на устройствах собеседников, поэтому слив данных исключен.

Кому можно рекомендовать секретный чат в Telegram:

  • Риэлторам. Ведь ежедневно ему отправляется огромное количество бумаг с личными данными и счетами клиентов.
  • Разработчикам, создателям контента и дизайнерам. То есть трудягам, которые опасаются потерять плоды своих интеллектуальных трудов или увидеть свою идею, реализованную конкурентами.
  • Владельцам, модераторам и администраторам веб-сайтов. Доступы к рекламным кабинетам, а также к «админке» своего сайта лучше отправлять в зашифрованном виде в секретном чате Telegram.
  • Бизнесменам и предпринимателям. Ежедневно бизнесмены ведут немало деловых переписок, поэтому рекомендуем обмениваться конфиденциальной информацией и важными документами через секретный чат.

Заключение

Секретный чат достаточно надежно защищает данные переписки, но это не панацея безопасности. Ведь устройством могут завладеть третьи лица, и не факт, что на самом устройстве надежная защита. Также начиная секретный чат, нужно помнить, что все действия, совершенные в нем, безвозвратны и фиксируются. Не нужно делать скриншот чего-то сокровенного, ведь собеседник об этом непременно узнает. Также не нужно ставить таймер самоуничтожения сообщений, если нет уверенности что переписка ещё может понадобиться. Важно помнить о безопасности, с этого и начинаются большие дела!

Кстати, если вы планируете продвигаться В телеграм, но не знаете, как это сделать, мы готовы вам помочь! Обращайтесь, найдем ваших клиентов из 700 млн пользователей!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *