я розумію, що ти намагався сказати, що проблема з будь-чим завжди в людях, які користуються будь-чим. але мій посил був теж дуже простий та не про це - Тамерлан казав, що товариш майор не може читати ТГ
https://pikvik.com.ua/index.php?topic=92.msg1197285#msg1197285 без доступу до акаунту, а виявилося трохи інакше.
про шифрування тут можна багато сперечатися, я не спеціаліст, є ось такий посил, який можна сприйняти як маркетинговий.
«Насправді є величезна різниця між Signal і Telegram. Telegram — це додаток для соціальної мережі. Іншими словами, програма для трансляцій на аудиторію в мільйони, сотні тисяч людей. А ще в нього є функція обміну повідомленнями, які не є приватними чи безпечними, бо Telegram не містить жодного значущого шифрування. Тому Telegram більш схожий на Facebook або Instagram, аніж на Signal», — сказала виконавча директорка Signal Мередіт Віттакер.
і ось такий топ-комент.
Те що розповсюджує ця «директорка» зветься FUD. Але доля істини таки є.
1. Взаємодія між клієнтом і сервером шифрується. Хоч протокол і свій, фактично це те ж що TLS з сертифікатом серверу. На цій стадії крім факту обміну даними щось витягнути з них неможливо.
А ось поки серверна сторона в принципі накопичує і зберігає дані переписки — да, її можна стягнути звідси. Тому не-секретні чати не захищені від серверної сторони Telegram.
Але Signal тут не краще. Повідомлення проходять крізь їх сервери, і хто знає, чи не пишуть вони реально їх кудись? Те, що формально вони не віддають історію до появи саме цеї програми-клієнта — нічого не значить.
Ліком тут було б встановлення саме взаємної довіри двох клієнтів — наприклад, як в пункті 2 нижче — з обміном сертифікатами.
2. В дзвінках шифрування базується на підході, який почався з ZRTP. Дві сторони генерують спільний ключ через DH KEX і звіряють цей ключ своїми засобами — чи однаковий рядок з 4 емодзі на двох сторонах. Якщо однаковий, то навіть якщо хтось підслуховував обмін і пропускав крізь себе, то ключ знають тільки дві сторони і ніякий посередник не знає його. Якщо різні, хтось втрутився і підмінив джерельні дані ключа на свої. Звіряйте емодзі
І тому «жодного значущого шифрування» — брехня.
Але в текстових секретних чатах — я тільки що перевірив — такого нема. Тому деякі претензії тут мають місце. Чому б не почати показувати ключ у такому ж вигляді, як у дзвінках?
А що в Сигналі? А нічим не краще. Ті ж персональні і групові чати, які проходять скрізь їх сервера і шифруються на основі ключей, які вироблені для конкретної сесії на базі сертифікату сервера. Те ж саме що в TLS чи SSH, ви повністю довіряєте серверу.
Тому повторюю висновок — нема жодних причин вірити, що Signal тут краще. Обом не можна довіряти реальні секрети.
https://dou.ua/forums/topic/50225/
Останні повідомлення
