В российских СМИ и блогах распространилась информация о взломе мессенджера Telegram сотрудниками Федеральной службы безопасности России, основанная на неподтверждённых и крайне сомнительных данных западных журналистов. Объясняем, что произошло и стоит ли волноваться.
Что случилось?
Американское издание BuzzFeed опубликовало очень сомнительный доклад о том, что у российских властей есть компромат на Дональда Трама. Он частично основан на выдумке, содержащиеся в нём сведения не подтверждены, известно, что некоторые авторитетные издания отказались от его публикации. Medialeaks о содержании этого доклада и о том, что с этим документом не так.
Но многие российские СМИ стали писать новости, основываясь на этом докладе. В нём, в том числе, утверждается, что мессенджер Telegram был взломан сотрудниками ФСБ.
Общий смысл приведённого фрагмента такой: интерес ФСБ к Telegram основан на том, что в нём общаются политические активисты и оппозиционеры. Её сотрудникам каким-то образом удалось взломать мессенджер, и теперь там не безопасно.
Что говорит Дуров?
Создатель Telegram Павел Дуров в комментарии изданию усомнился как в подлинности доклада, так и в информации о взломе Telegram. Он считает, что за формулировкой о взломе стоит история о перехвате авторизационных сообщений оппозиционеров.
Присоединяюсь к комментариям Дональда Трампа и WikiLeaks. Если доклад имел место (что вряд ли - Buzzfeed не является источником достоверной информации), формулировка «His/her understanding was that the FSB … had cracked this communication software», скорее всего, подразумевает перехват авторизационных SMS Козловского и Албурова в апреле 2016 года. Но если бы доклад был настоящим, он лежал бы в New York Times или Washington Post. - Павел Дуров, создатель telegram
Что за история с перехватом SMS?
В апреле 2016 года оппозиционеры Георгий Албуров и Олег Козловский . Это взволновало многих, так как мессенджер позиционировался как абсолютно защищённый.
Однако создатели оговариваются, что не смогут уберечь вашу переписку в случае, если само устройство попадёт не в те руки: гарантии безопасности касаются только шифрования и передачи зашифрованных данных.
Так был ли он взломан?
Пока эксперты говорят, что верить сообщениям о взломе не стоит - слишком мало подробностей. Технический директор РосКомСвободы Станислав Шакиров рассказал «Открытой России» , что согласен с Дуровым и речь в докладе, скорее всего, идёт о случае перехвата авторизационных сообщений оппозиционеров.
Если бы произошёл взлом, об этом были бы уже опубликованы отчёты, вся информация стала бы доступна общественности. Кроме того, не совсем понятно, что можно называть взломом. Если спецслужбы целиком взламывают инфраструктуру Павла Дурова, конечно, в этом случае, можно получить всю информацию, в том числе из секретных чатов. Основная переписка хранится на серверах Telegram, но она зашифрована. Алгоритмы шифрования, которые используются в Telegram, взломать нельзя. Соответственно, и до секретных чатов добраться практически невозможно. Когда происходят атаки таких серверов, обычно взламывается какая-то инфраструктура, лежащая вокруг шифрования. Обычно такие атаки сразу видны создателям и они пытаются немедленно их пресекать. Конечно, любые сервисы могут быть уязвимы, но в данный момент я не вижу причин, чтобы не пользоваться Telegram. Пока он нигде себя не скомпрометировал. - Станислав Шакиров, Технический директор РосКомСвободы
Пользуйтесь 2-факторной аутентификацией и, если очень важно сохранить переписку конфиденциальной,
Ответ на вопрос - почему Telegram именно ФСБ проект, а не просто мессенджер, которые прослушивается гос. органами. Предпосылки создания Telegram.
Письмо Дурова в Администрацию кремля:
Владислав Юрьевич,
Заместитель председателя Правительства Российской Федерации 27 декабря 2011 года - 8 мая 2013 года
как Вы знаете, мы уже несколько лет сотрудничаем с ФСБ и
отделом "К" МВД, оперативно выдавая информацию о тысячах
пользователей нашей сети в виде ІР-адресов, номеров мобильных
телефонов и другой информации, необходимой для их
идентификации.
...ВКонтакте уже несколько лет существует в жесткой конкурентной
среде и ежедневно борется за пользователей и за то, чтобы их
общение продолжало вестись в рамках российской юрисдикции.
Благодаря сверхусилиям в технологической и информационных
сферах нам удается сдерживать монополизацию российского
рынка социальных сетей Фейсбуком
Ныне монополизация направлена на мессенджер Telegram, до создания которого, власти были обеспокоены бесконтрольным использованием мессенджеров, использующих шифрование. С момента зачатия проекта, были предприняты все усилия, чтобы посредством СМИ, придать личности дурова оппозиционный образ. Но слово не воробей...
Таким образом, из открытого поля, которое может оперативно
анализироваться российскими правоохранительными органами,
эта активность уйдет в скрытую от наших глаз плоскость.
Наиболее печальное для нас с Вами следствие удаления
оппозиционных сообществ будет заключаться в том, что
администрация ВКонтакте больше не сможет помогать
правоохранительным органам в установлении личности и
местонахождения организаторов незаконных действий, так как
активность подобных сообществ в течение нескольких суток
полностью переместится за рамки нашего контроля.
В текущих условиях я лично веду РК-активность среди
своей аудитории, пытаясь демонстрировать политическую
независимость нашей площадки и усмиряя панику.
Мы думали о том, какие стратегические варианты реакции
существуют у руководства страны в подобных ситуациях, и пришли
к выводу о наличии двух жизнеспособных сценариев. Можно
продолжать имплицитный, непрямой контроль за рунетом, либо
начать блокировать интернет-ресурсы на общенациональном
уровне по китайской модели...
Поскольку тотальное блокирование оппозиционных сообществ приведёт к потере аудитории, Дуров был вынужден играть роль борца с властями, что он и подтверждает в своём письме. "я лично веду РК-активность среди своей аудитории, пытаясь демонстрировать политическую независимость нашей площадки и усмиряя панику."
Мессенджер Telegram - достойный российский ответ зарубежным мессенджерам.
Он создаёт иллюзию выбора, но в тоже время общение продолжает вестись в рамках российской юрисдикции. Нечего скрывать? Добро пожаловать в Vkontakte! В обратном случае, для вас есть Telegram. Для ведения оппозиционных онлайн-форумов, мы предусмотрели групповые чаты: они поддерживают до 200 участников одновременно!
Иллюзия выбора это один из самых древних манипулятивных приемов в продажах. Письмо Дурова - прямая предпосылка к созданию Telegram
Telegram - ФСБ проект. Подтверждено!
Ни для кого не секрет, что социальные сети, используются госструктурами в собственных интересах. Так, Павел Дуров, как основатель вконтакте, в своё время, стал чуть ли не основным поставщиком данных для ФСБ. Вконтакте тоннами сливает информацию госорганам. К слову, пользователи социальных сетей никогда и не были очарованы сохранением конфиденциальности их личных переписок, да и власти понимают, что подобные ресурсы не место для крупного улова.
Понятно, что представители теневых сообществ будут использовать шифрование, от готовых инструментов Bitmessage, Brosix и Jabber до индивидуально разработанных криптографических систем, используемых террористами, транснациональными корпорациями и крупными государствами, требующих высокой компетенции обеих сторон-участников обмена информацией.
Вспомним попытки властей запретить продукты, использующие технологии шифрования. «Бесконтрольное использование таких сервисов может привести к масштабной угрозе безопасности России», – подчеркнул представитель ФСБ Александр Андреечкин в апреле 2011 г. Но практически в настоящее время ничто не может воспрепятствовать свободному распространению криптографии и использованию шифровальных средств криминальными элементами и террористами. Полностью запретить ПО, скрывающее пользователя и его данные в Сети, под предлогом угрозы национальной безопасности, невозможно, ведь пока народ не готов жить под колпаком системы тотального контроля.
Целью создания и продвижения мессенджера Telegram было выявление и фильтрация объектов потенциального интереса, от общего массива пользователей сети
Российские пользователи интернет, ежедневно передают друг другу миллиарды сообщений, от простых бытовых до криминальных и откровенно несущих угрозу чьей-либо безопасности. Информационно-аналитическое управление ФСБ, использует программы анализаторы, которые отслеживают ключевые слова или фразы, относящиеся к криминалу. Полученная ботами информация, впоследствии проверяется аналитиками.
Совершенно очевидно, что для превращения опосредованной информации в проблемно-ориентированный информационный массив, нужно использовать целенаправленный подход. 99% информации, проходящей через сервисы обмена сообщениями, не представляет никакого оперативного интереса, а избыток информационного шума в обрабатываемых информационных массивах намного более опасен, чем информационный голод. «Таким образом мы деанонимизируем активность в сети, позволяя государственным службам раскрывать и пресекать преступления » - Павел Дуров.
Театр Дурова:
Накануне событий, в декабре 2011 года, когда проекта Telegram, не существовало даже на стадии зачатка, общеполитическое издание «Новая газета», опубликовало письмо, направленное Павлом Дуровым в администрацию президента. К слову, на тот момент, подобные публикации не вызывали бурного интереса. Но сейчас, когда подконтрольные властям СМИ, приписывают личности Дурова, романтический образ борца с российскими спецслужбами, эта информация позволяет пролить свет на истинные мотивы Дурова, и узнать, что же происходит "за кулисами театра."
Создатель «ВКонтакте» Павел Дуров в декабре 2011 года направил Владиславу Суркову, тогда занимавшему пост зам.главы администрации президента, письмо с предложением не вводить жесткую блокировку оппозиционных групп в социальной сети, так как это может привести к потере контроля над площадками, где общаются активисты, Издание опубликовало два письма, отправленные Павлом Дуровым в администрацию Кремля. В письме, написанным Дуровым, утверждается, что блокирование оппозиционных групп приведет к тому, что активисты уйдут на иностранные площадки, и российские правоохранительные органы потеряют контроль над ними. В письме также указывается, что руководство «ВКонтакте» уже несколько лет сотрудничает с ФСБ и отделом «К» МВД, оперативно выдавая информацию о тысячах пользователей, а под контролем пресс-секретаря социальной сети созданы несколько групп, задачей которых является обострение раскола внутри оппозиции.
Впрочем, Дуров, позднее, даже пытался откреститься от своих заявлений, на что главный редактор «Новой газеты» Дмитрий Муратов, опубликовавшей письма, заявил, что если это клевета, то пусть Дуров подаёт в суд, но когда он узнает свой почерк, ему придётся извиняться ("Эхо Москвы", эфир от 27.03.2013, "Особое мнение"). Этот вопрос конечно же замяли, элементарно, путём негласного запрета на дальнейшую публикацию в СМИ, информации, касающейся данного инцидента. С тех пор, Дурову приходится держать марку, быть театралом, в рамках своего новоиспечённого образа.
Некоторые фрагменты из письма:
"...Мы обеспокоены текущей перспективой нестабильности в политической и экономической жизни России, и готовы предпринимать необходимые усилия для того, чтобы и дальше помогать государственным службам препятствовать распространению насилия и хаоса.
Все акционеры ВКонтакте заинтересованы в сохранении стабильности в жизни государства, и сейчас мы думаем, что ещё мы можем сделать на техническом уровне для снижения эмоционального накала в обществе, не привлекая негативного внимания аудитории.
Не скрою также, что мне лично симпатичны руководители администрации президента, и если им требуется моя консультационная или иная помощь, почту за честь встретиться или дистанционно обсудить различные варианты взаимодействия в сложившейся ситуации.
Бизнесмен наоборот
Политическая позиция Павла однозначно определена, но пришло время проанализировать его мотивы, с учётом того, что в первую очередь, он бизнесмен, а не общественный деятель. А насколько известно, все мысли и поступки бизнесмена, так или иначе, направлены в целях получения прибыли.
На разработку, продвижение, создание и обслуживание серверов по всему миру, sms-шлюзы, call-центры, пиар гигантских масштабов и поддержку проекта Telegram, уходят колоссальные суммы. В то время, как заявляют сами разработчики Telegram, он не продаётся, не интегрируется, абсолютно бесплатен, в нём нет и никогда не будет рекламы и других платных сервисов. Состояние самого Павла оценивается примерно в 260 млн долларов (он является владельцем 20% акций вконтакте). Но в голове не укладывается, чтобы бизнесмен, делал бизнес наоборот, а именно подсчитывал рекордные затраты, вместо рекордных прибылей. Потратить 100% своего состояния и уйти в дзен?.. Может это коррелируется тем фактом, что Telegram знает о вас всё? Номер мобильного, контакты, смс сообщения, местоположение, с кем и когда выобщаетесь?
При этом вы считаете, что ваша переписка хранится в зашифрованном виде, хотя на самом это не так, но об этом ниже. Важно понять, насколько ценной будет база пользователей, которым по всей видимости есть что скрывать, собранных в одну кучу, и уверенных, что их не слушают. Единственным логичным вариантом, признаётся факт, что Telegram является государственным проектом, финансируемым из федерального бюджета. Без вариантов. И конечно же этому есть доказательства, ведь даже легендирование (создание легенды и доведение ее до оппонента (слушателя, зрителя, читателя), целью которой является подготовка благоприятных условий для решения определенных задач или достижения желаемых результатов.) должно осуществляться в рамках правового поля.
Telegram Дурова полностью удовлетворил ФСБ
После бесконечных попыток запретить мессенджеры использующие шифрование, как представляющие угрозу национальной безопасности ("Ряд серверов оказывают услуги вне рамок правового поля, национального законодательства. Бесконтрольное использование таких сервисов может привести к масштабной угрозе безопасности России"), зам.начальник подразделения ФСБ Сергей Пюкке, на запрос «Ведомостей» о правомерности программы, отвечает, что мессенджер Telegram не нарушает российских законов, и работает в России законно (чего нельзя сказать о многих других сервисах, предоставляющих услуги связи гражданам РФ, исходя из их ранее озвученной позиции) А законы говорят следующее:
"Организатор распространения информации в сети "Интернет", осуществляющий деятельность по обеспечению функционирования информационных систем или программ, которые предназначены для приема, передачи, доставки или обработки электронных сообщений, обязан хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами.
Организатор распространения информации в сети "Интернет" обязан обеспечивать реализацию требований к оборудованию и программно-техническим средствам, используемым указанным организатором в эксплуатируемых им информационных системах (обеспечить процесс извлечения открытого текста, в случае предоставления юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации), установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, для проведения этими органами в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения данных мероприятий."
Исходя из этого, признание правомерности Telegram, службами ФСБ, наряду с другими факторами, доказывают, что образ Павла Дурова, публичные скандалы с UCP, искусственно раздутая истерия в СМИ, о проблемах сетевой безопасности, являются лишь частью пиар-хода компании.
Если власть не контролирует СМИ своей страны, то эти СМИ будут контролировать власти других стран. Бесспорно. Иначе бы, головы народа, были напрочь промыты пропагандой антиправительственной оппозиции. Но в таком случае не поддаётся объяснению то, что СМИ, которые полностью подконтрольны властям, допускают массовый пиар детища, призванного пошатнуть национальную безопасность страны (опять же, исходя из их официальной позиции о программах, использующих шифрование переписки). Этакий плевок в сторону государ ства? Но почему власть, которая безустанно контролирует информационный поток, способствует этому пиару? Думаю ответ очевиден. А поставить жирную точку в этом вопросе, нам помогут заявления самих пиар-менеджеров Telegram, в которых они откровенно лукавят. А неискренность, как известно, свидетельствует о наличии целенаправленного искажения информации.
Для начала, прочитайте FAQ о Telegram на русском языке и сравните его с FAQ какого-нибудь сайта-лохотрона, предлагающего якобы конфискованные на таможне айфоны за бесценок. Такое ощущение, что отговорки придумывал один и тот же человек, или как минимум, психологические уловки, были получены из одной и той же книги. На сайте телеграмма не хватает только отзывов, как на тех сайтах, например от террориста, которому сообщили о местоположении взрывчатки, посредством этой программы, и конечно же он не был пойман - "Тратил успешно снят, а торговый центр взорван, спасибо разработчикам, рекомендую!"
Но самое интересное впереди. Наверное многие из читателей, придут в недоумение, узнав, что чаты Telegram не зашифрованы от первых лиц и лежат в открытом доступе на серверах, чего не отрицают и сами разработчики, но подробнее эту тему мы рассмотрим ниже.
Миф №1:
Все истории переписки клиентов Telegram хранятся в зашифрованном виде и госструктуры не имеет технической возможности для чтения сообщений пользователей программы.
Реальность:
Telegram не является приватным чатом, он лишь имеет функцию приватного чата. Сообщения, отправляемые пользователям вне секретного чата, сохраняются на серверах Telegram таким образом, что позволяют компании просматривать содержимое сообщений. Так происходит всегда, если беседы могут перемещаться между устройствами (например между телефоном и компьютером). Эти чаты не являются приватными.
Под невозможностью чтения переписки самими владельцами программы и спецслужбами, имеется ввиду специальный чат с end-to-end шифрованием, когда ключ известен только собеседникам, в таком случае дешифровка совершённой переписки невозможна даже при наличии физического доступа к дискам данных Telegram. Но перехват end-to-end чата технически возможен в режиме реального времени.
Ведь при наличии доступа к серверам, интересующих абонентов можно переключить в специальный режим, для подмены отпечатка, в котором ключи шифрования будут генерироваться не у клиента, а на сервере. Таким образом, end-to-end чат, может читаться лишь с того момента, как пользователь был установлен, в качестве объекта оперативной заинтересованности. А выявить, объекта потенциального интереса, можно исходя из общей, незашифрованной переписки.
Миф №2 :
Павел Дуров зарегистрировал программу в США, а штаб квартира находится в Берлине, поэтому ФСБ не имеет полномочий для перехвата сообщений пользователей Telegram.
Реальность:
Telegram получает персональные данные от российских пользователей, в том числе и номер мобильного телефона. В 2014 году государственная дума утвердила проект федерального закона, обязывающий иностранные компании, получающие от российских клиентов персональные данные (персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу), обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации, в базах данных информации, расположенных на территории Российской Федерации. (Законопроект № 553424-6).
Миф №3:
Telegram самый надёжный мессенджер, так как Павел Дуров предлагает многомиллионные вознаграждения за дешифровку переписки секретного чата.
Реальность:
На самом деле конкурс бессмысленный и является лишь частью пиар компании. Он создан для того, чтобы одурачить людей, заставив их поверить в безопасность программы. Ведь во-первых, пиар компания, а в том числе и конкурс, направлены на то, чтобы затмить разум простого обывателя, громкими заявлениями, с расчётом на то, что большинство предположит, что под защитой находится не только секретный end-to-end чат, но и все переписки Telegram, что в свою очередь может с подвигнуть их на обмен критичными данными, вне рамок приватного чата. Во-вторых, условия конкурса предоставлены на специально ограниченных условиях, при которых урезаются 99% возможностей атаки, а сам конкурс представляет собой лишь "игру по чужим правилам", как популярные споры в барах, где жертва спора, на предоставленных инициатором условиях, заранее обречена на провал.
Ответный вызов, разработчикам Telegram, бросил Moxie Marlinspike - хакер-исследователь, придумавший атаку SSL-stripping, разработчиксистемы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems,
Прошлой весной эксперты с Juliano Rizzo (@julianor) придумали криптографическую атаку на «секретный» чат MTProto из Telegram, которая может быть осуществлена приблизительно за 2^64 операций. Атака осуществляется с позиции человека посередине на серверах Telegram.
Сообщения, отправляемые пользователям вне секретного чата, сохраняются на серверах Telegram таким образом, что позволяют компании просматривать содержимое сообщений и передавать их третьим лицам.
Так происходит всегда, если беседы могут перемещаться между устройствами (например между телефоном и компьютером). Эти чаты не являются приватными, то есть пользователи должны быть очень внимательны, чтобы случайно не отправить инкриминирующую информацию или картинки без включения секретного чата. Групповые чаты к тому же вообще не используют ent-to-end шифрование. Более того, когда кто-нибудь входит в такой чат, он сразу получает доступ к ранее отправленным несекретным сообщениям. Мы к этому вернемся чуть позже.
Секретный чат
Слоган Telegram гласит: «taking back our right to privacy», и имеется в виду секретный чат с end-to-end шифрованием. Эта часть была легко взломана во время первого соревнования по компрометации Telegram с XOR-ключами выдаваемыми сервером.
По сути, end-to-end шифрование «Телеграмма» — это протокол Диффи-Хеллмана для выбора ключа, а затем шифрование по видоизмененной схеме AES. Аутентичность end-to-end шифрования основывается на усеченном SHA-1 хэше общего секретного ключа, который отображается графически в качестве отпечатка. Этот отпечаток каким-то образом нужно передать и сравнить визуально. Если вы криптограф, то мне очень жаль, что вам пришлось это прочитать; я понимаю, как это мучает и противоречит многочисленным наработкам и канонам. По крайней мере инженеры из Telegram хотя бы используют неплохие рекомендации и требования к значениям параметров Диффи-Хеллмана.
Отпечаток, который два пользователя должны сравнить, получается из хэша ключа Диффи-Хэллмана. То есть общий ключ имеет пространство значений 2^2048, хэш-функция SHA-1 производит 160-битный хэш. 160-битных хэш обрезается до 128 бит, которые и используются, чтобы получить отпечаток (см. рисунок).
Важно понимать, что это кошмар крипто-юзабилити. Когда я встречаю кого-нибудь из пользователей Telegram я спрашиваю, как они организовывают аутентификацию секретного чата; и как правило ответы приносят лишь разочарование. Обычно пользователи просто посылают скриншот отпечатка прямо через секретный чат, который они и пытаются установить. Для атакующего человека посередине автоматическая подмена картинки с отпечатком — это совершенно тривиальная задача.
Атака 264
Хорошо, допустим теперь вы все делаете правильно, и производите сравнение отпечатков при личной встрече. А также не допускаете ошибок при сравнении, потому что вы чрезвычайно внимательны.
Первое наблюдение состоит в том, что несмотря на то, что общий секрет находится в пространстве 2048-битных простых чисел, аутентификация, предотвращающая атаку человека посередине, использует лишь 128-битный отпечаток, который сравнивается визуально. Если можно осуществить эффективный перебор параметров ДХ, то человек посередине смог бы подделать отпечаток.
Второе наблюдение состоит в том, что в стандартном поведении протокола человек посередине должен работать лишь с несколькими параметрами. Со стороны второго пользователя не так уж много способов контролировать результирующий общий секрет.
В классическом сценарии атаки на ДХ человек посередине просто выбирает отдельный общий секрет для каждого из пользователей.
В то же время, если атакующий использует социальную инженерию, чтобы второй пользователь начал секретный чат по собственной инициативе, то у него намного больше свободы действий. То есть сейчас атакующий выбирает два публичных ключа (A и B). Человек посередине может создать два общих секрета M1A и M1B с разными экспонентами m1 и m2, тогда как раньше у него была лишь свобода выбора общего секрета с первым пользователем.
Вот это и является атакой. Атакующий перебирает значения m1 и m2, которые дадут одинаковый 128-битный отпечаток для M1A и M2A. Возможность поиска значений и m1, и m2 для разных общих секретов позволяет осуществить атаку «дней рождения» для поиска коллизии. Вместо поиска в пространстве 2128, атакующий перебирает 264 значения ‘m1’ и 264 значения ‘m2’, вероятность успеха около 50%.
С точки зрения сложности атака требует порядка 265 операций. В 2015 году такая сложность является неприемлемо низкой. Для справки, NIST объявил SHA-1 устаревшим ещё в конце 2012 и рекомендовал использовать SHA-256 в качестве замены. Атака «дней рождения» на SHA-256 потребует около 2128 операций. Так что несмотря на высокую стоимость, описанная выше атака вполне осуществима хорошо финансируемым злоумышленником.
С точки зрения реализации, на первый взгляд кажется, что атака все ещё требует чрезмерно высоких ресурсов.
Одним из заблуждений является то, что экспоненцирование такой большой величины в поисках коллизии является слишком тяжелым с вычислительной точки зрения, поскольку приходится экспоненцировать 2048-битные простые числа. На самом деле атакующему нужно выполнять только возведения в квадрат и деление по модулю на каждом шаге.
Другим заблуждением является сложность по памяти в 264. Это тоже неверно, поскольку существуют параллельные и не требующие большого количество памяти атаки «дней рождения», и существуют различные стратегии компромисса между используемой памятью и затраченным временем. Мы написали код, использующий ρ-aлгоритм Полларда для поиска коллизий, не требующий много памяти.
В целом, я бы оценил полную атаку в диапазоне десятков миллионов долларов с точки зрения инфраструктуры и электричества для получения полной коллизии за разумное время. Атакующий также может украсть или арендовать существующую инфраструктуру, например ботнет или суперкомпьютер. Другими словами все вписывается в бюджет суперзлодея.
Оценка стоимости атаки за 260 операций — www.schneier.com/blog/archives/2012/10/when_will_we_se.html
Производительность вычисления SHA при помощи GPU — gist.github.com/epixoip/c0b92196a33b902ec5f3
Telegram ответил на описание данной атаки статьей, где они оценивают атаку в триллион долларов.
Почему суперзлодею не нужна эта атака
Конечно, атакующий может потратить кучу денег с целью получить доступ к серверам Telegram и ещё больше денег, чтобы осуществить атаку, но давайте будет реалистами, есть куда более простые и значительно более выгодные атаки.
Все списки контактов и обычные чаты находятся на серверах Telegram с кучей метаданных, кто с кем общается, как часто, с номерами телефонов и достаточным количеством сохраненных чатов. Если атакующий получил доступ к серверам Telegram, то полученные данные — это уже очень хорошо, и нет необходимости подслушивать секретные чаты. Нет, серьезно, разве это не та информация, за которой охотится суперзлодей?
Теперь, если суперзлодей действительно хочет перехватить секретные чаты, он может рассчитывать, что жертва просто отправит отпечаток через новое секретное соединение. К сожалению, многие пользователи так и поступают. И поскольку мы говорим о суперзлодее, то он может перехватить другие каналы коммуникации, которые пользователь попытается использовать для аутентификации, например SMS; дело ещё и в том, что визуальный отпечаток не может быть передан вербально, поскольку большинство клиентов не показывают отпечаток в читаемой форме. Два отпечатка просто-напросто подменяются суперзлодеем, и до следующей личной встречи пользователи так и не узнают, что их общение было перехвачено.
И ещё кое-что. Допустим, люди используют приватные мессенждеры на телефоне, чтобы избежать уязвимых средств коммуникации, предостовляемых операторами связи. Тем не менее, единственной системой аутентификации в Telegram является SMS-код.
Мы знаем что SMS слабо защищены, и мы знаем, что злоумышленники очень часто это используют. SMS могут быть подслушаны и взломаны, пользователи могут быть подключены к поддельным базовым станциям, а ещё операторы могут быть взломаны (вспомните belgacom) или принуждены к сотрудничеству. То есть если SMS является методом аутентификации, то очевидно, что аккаунт Telegram может быть похищен.
Атака SMS также не требует высоких технологий. Если суперзлодей атакует вруга (frenimy — враг, притворяющийся другом; примечание переводчика), он может просто одолжить телефон (или SIM-карту, если телефон запаролен) на несколько минут и украсть аккаунт. Более того, Telegram сохраняет и показывает старые сообщения. С украденного аккаунта суперзлодей может с помощью социальной инженерии вынудить контакта начать новый секретный чат, чтобы тот сообщил какой-нибудь секрет.
Как починить Telegram
Первого декабря Telegram анонсировал forward secrecy, эта фича добавляет ротацию ключей внутри установленного канала. Но это никак не помешает описанной атаке человека посередине. Есть несколько вещей, которые надо починить в Telegram, и вот список наиболее критичных.
Во-первых , чаты (включая групповые) должны иметь end-to-end шифрование по умолчанию. Это избавит от человеческих ошибок и утечки информации.
Во-вторых , end-to-end шифрование должно перейти от аутентификации при каждом чате к криптографии с публичными ключами для идентификации пользователей. Нет никакого смысла аутентифицировать секретные чаты сессионным ключом. Вместо этого у каждого пользователя должен быть один или несколько публичных ключей, с помощью которых происходит выбор ключа сессии. Пользователи подтверждают друг друга единожды, и все.
В-третьих , аутентификация пользователя — это очень, очень слабая защита для приватного мессенджера, и злоумышленник, который может позволить себе перехват SMS, может легко украсть аккаунт и использовать социальную инженерию или просматривать обычные чаты. Необходима другая схема аутентификации аккаунта, и как можно скорее, пусть даже пароли с двух-факторной аутентификацией. Кстати, этот вектор является наиболее вероятным для реальных атак без взлома серверов Telegram, и это может сделать даже обычный злодей, не обязательно быть суперзлодеем.
И наконец , ради приватности в Telegram нужно сделать возможной коммуникацию без необходимости в адресной книге и телефонном номере, чтобы позволить использовать Telegram анонимно; сейчас это невозможно.
Serzhenko отмечает, что в конце 2014 года в Telegram появились никнеймы. Это избавляет от необходимости знать номер телефона собеседника, но в то же время аутентификация по-прежнему осуществляется по номеру телефона, и на серверах эта информация хранится.
Соревнование Telegram
На данный момент идет соревнование с призом в 300 тысяч долларов за взлом end-to-end шифрования. Можно ли использовать описанную атаку? Дело в том, что само соревнование организовано так, что не позволяет устроить атаку типа «человек посередине». Если бы условия конкурса это позволяли, то у атаки был бы шанс. Ну, правда, скорее всего, вычисления будут стоить больше, чем приз; можно, конечно, использовать крауд-сорсинг.
Читатели, поищите ещё баги и уязвимости в MTProto, как минимум несколько ещё должно быть.
НАШЕ МНЕНИЕ
В отличие от мессенджеров, называющих себя "безопасными", SafeUM - действительно защищенный мессенджер , в котором предусмотрены и реализованы самые .
1. Пользователи SafeUM могут регистрироваться только по логину и паролю, не привязывая учетную запись к номеру телефона. Это гарантирует анонимность учетной записи.
2. Мессенджер Телеграм не имеет надежного способа защиты данных во время их передачи, который реализован в SafeUM. Цифровая подпись - автоматическая технология защиты информации подтверждает аутентичность сторон связи, а также целостность информации. Хакерское использование учетной записи, вторжение в чат и подмена информации полностью исключаются.
3. В SafeUM реализовано шифрование при помощи двух ключей - Открытого и Закрытого . Мы храним на наших серверах только копию Вашего Открытого ключа, это необходимо для аутентификации и верификации собеседников. Закрытый ключ также никогда не передается на серверы SafeUM, он находится ИСКЛЮЧИТЕЛЬНО в оперативной памяти Вашего устройства и после его выключения или перезагрузки стирается.
Как закон не учёл особенностей шифрования в мессенджере и почему так сложно создать техническое решение для спецслужб.
В закладки
На второй день после президентских выборов Telegram ФСБ в Верховном суде: приказ ведомства о предоставлении ключей дешифровки переписки в мессенджере признали законным. Одним из главных вопросов по итогам заседания стало само понимание «ключей» и то, как в теории могло бы выглядеть сотрудничество Telegram и ФСБ.
Почему Telegram снова грозят блокировкой
Вопрос о блокировке Telegram обсуждается далеко не в первый раз. До конца июня 2017 года Роскомнадзор Telegram блокировкой за отсутствие регистрации в реестре организаторов распространения информации. Тот конфликт неожиданно: Дуров дал ссылку на открытую информацию о мессенджере, а ведомство само внесло его в реестр.
В сентябре основатель Telegram Павел Дуров впервые о требовании ФСБ предоставить ключи для дешифровки переписки пользователей («информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и обрабатываемых сообщений» ). Telegram сотрудничать с ФСБ и получил административный штраф в 800 тысяч рублей от суда Мещанского района Москвы. Тогда апелляцию компании . В Верховном суде (ВС) представители Telegram (юристы «Агоры») требовали признать недействительным приказ ФСБ из-за превышения полномочий.
ФСБ настаивает на том, что действует в рамках закона, требуя получить «информацию, необходимую для декодирования» переписки в Telegram. Ведь, согласно позиции ведомства, использование ключей дешифровки незаконно, только если на это нет решения суда. Но о вынесении российскими судами таких решений ни по одному пользователю Telegram на данный момент неизвестно (по крайней мере публично) .
Почему ФСБ будет трудно читать переписку даже с ключами шифрования
ФСБ не может получить доступ к переписке Telegram без ключей дешифровки сообщений. Однако ещё в июне 2017 года в споре с Роскомнадзором Дуров , что предоставить ключи для расшифровки «секретных» чатов технически невозможно: «У владельцев мессенджеров нет и не может быть ключей для дешифрации. Эти ключи хранятся только на устройствах самих пользователей».
Сложность заключается в том, что ключи дешифровки в «секретных» чатах постоянно меняются. Telegram использует протокол MTProto 2.0 с функцией Perfect Forward Secrecy , который обеспечивает автоматическую смену ключей у каждого пользователя после каждых 100 сообщений или раз в неделю.
В стандартных, «облачных» чатах для шифрования каждого сообщения используется ключ авторизации - он создаётся для каждого пользователя при первом запуске приложения и «почти никогда не меняется», говорится в описании протокола. Однако это не единственный фактор, используемый в шифровании «облачных» чатов - частью ключа, с помощью которого шифруется каждое сообщение, является хэш от самого этого сообщения.
Почему сложно создать решение для чтения переписки в Telegram
ФСБ не сможет расшифровать переписку в Telegram без актуальных ключей дешифровки. Даже если взять только «cекретные» чаты, то неизвестно, будет ли ведомство успевать обработать данные до смены ключей.
Если представить, что Telegram всё же согласится выполнить приказ ФСБ и регулярно передавать актуальные ключи, то спецслужбе и мессенджеру нужно будет каким-то образом автоматизировать эту работу. В этом случае Telegram должен представить техническое решение, но не ясно, будет ли компания делать это решение удобным для ФСБ и захочет ли заниматься этим в принципе.
Мессенджер «Телеграмм» пользуется огромной популярностью во всём мире благодаря особенным возможностям функционала и безопасного общения. Шифрование данных приложения осуществляется посредством криптографического протокола MTProto, являющегося собственной разработкой создателей «Telegram». Павел Дуров и его команда разработчиков сделали акцент на максимальную защиту информации пользователей, включив также в функционал мессенджера опцию секретных чатов , где кодирование осуществляется по принципу end-to-end.
Первоначально создатели «Телеграмма» не были нацелены на российского потребителя, но поскольку он пользуется большим спросом и в России, совсем недавно решено было обрадовать соотечественников новой русифицированной версией, правда пока только для мобильных устройств.
На просторах сети не раз шли споры о безопасности приложения, поэтому к периодическим обвинениям американских экспертов Дуров уже привык. Не первый год он уверенно отметает слухи о сомнительности протокола шифрования. Критики и конкуренты регулярно предпринимают попытки подорвать авторитет «Телеграмма», но мессенджером с каждым днём пользуется всё больше людей, а конкурирующие приложения теряют аудиторию.
Те, кто не убеждён в надёжности протокола, требуют свидетельств подтверждения безопасной технологии шифрования. На самом деле, Дуров уже объявлял конкурс с внушительным гонораром, предназначенным тому, кто сможет взломать «Телеграмм», он по сей день остаётся открытым, и каждый желающий может попробовать себя в роли разрушителя защиты мессенджера. Утверждающие, что безопасность приложения не более чем миф, могут и сами попытать счастья.
Эксперты, подвергающие сомнению защиту «Телеграмма», вопрошают, почему бы не сделать шифрование по технологии секретных чатов, чтобы добиться максимальной анонимности всех переписок. Именно так, не спросив о желании пользователей, и поступил в гонке за «Telegram» мессенджер «WhatsApp» , принудительно включив полное оконечное шифрование. Теперь он, конечно, догнал в рейтинге безопасности Фонда электронных рубежей (EFF) молодого конкурента, получив заветную семёрку (максимальный балл, как и у секретных чатов «Телеграмма»), но такая система хранения ключей влечёт за собой немало неудобств на практике. Дуров же отвечает предоставлением свободы выбора для своих пользователей, тем более что протокол MTProto, хоть и подвергается критике нескольких специалистов в области криптографии, но на данный момент ещё никем взломан не был.
Поскольку с популярностью «Telegram» спрос на другие мессенджеры падает, их руководство теряет большие деньги, то нападки на Дурова и поиски бреши в шифровании прекратятся ещё не скоро.
Почему «Telegram» остаётся безопасным
Для «Телеграмм» безопасность превыше всего, но с пользователями приложения разработчики тоже считаются, ведь, используя режим по умолчанию, действующий по протоколу MTProto, можно заходить в свой профиль с разных устройств (причём даже одновременно) без потери данных переписки. Шифрование E2E привязывает записи повышенной секретности к телефону. Здесь каждый вправе выбирать, что конкретно он хочет получить от приложения.
Помимо технологий шифрования, «Телеграмм» привлекает публику функциональными возможностями, которых с каждым обновлением становиться всё больше.
Секретные чаты и звонки
Использование максимально безопасных секретных чатов гарантирует пользователям полную приватность. Шифрование E2E обеспечивает хранение данных исключительно на устройствах собеседников. Записи чата удаляются при выходе из профиля или по специальному таймеру уничтожения сообщений. Если один из участников секретной беседы захочет стереть информацию, она пропадёт у обоих, а при попытке сделать скриншот данных переписки собеседнику придёт уведомление.
Звонки в «Телеграмме» осуществляются по принципу секретных чатов, шифрование не позволяет перехватить данные третьими лицами, в том числе и спецслужбами, поэтому о прослушивании разговоров в мессенджере не может быть и речи.
Протокол шифрования MTProto
Если с безопасностью секретных чатов благодаря оконечному шифрованию всё в порядке, то именно протокол собственной разработки не вызывает большого доверия у критиков. Им непонятен сам факт создания MTProto, когда существует множество других готовых криптографических протоколов.
«Телеграмм» не использует оконечное шифрование всегда, поскольку такой тип кодирования не позволяет хранить информацию на сервере и открывать сообщения с разных устройств. Вся переписка пользователей, кроме секретных чатов, шифруется именно по протоколу MTProto. Ключи от него разделены на части и хранятся на серверах разных стран. По этой причине заставить «Телеграмм» выдать ключи решением суда практически невозможно.
Вспоминая недавнюю схватку Дурова с властями, из-за которой ему пришлось покинуть пределы РФ, можно полностью исключить возможность передачи информации пользователей с серверов «Телеграмма». Ну, или это такой тактический ход с целью поддержания мифа о безопасности, а ФСБ просто помогает раскрутить приложение.
Кроме того, что «Telegram» – это безопасный мессенджер с множеством , он ещё и абсолютно бесплатен для пользователей. Эту исключительную особенность разработчики обещают сохранять и в дальнейшем.
