Telegram: разобраться без 100 грамм

Я конечно понимаю, что так просто взять и выдать магические "ключи шифрования" от Telegram невозможно. Но означает ли это, что всеми нами любимый мессенджер абсолютно неуязвим?

Чтобы прояснить для себя ситуацию, я проконсультировалась с Димой и узнала пару интересных вещей, которыми хочу поделиться с широкой аудиторией. Текст проверен и одобрен настоящим живым программистом, но все равно могут быть баги. Шифропанки и прочие кибер-гении, просьба оные репортить.

Прежде всего, доверие к каналам, чатам и перепискам, которые не шифруются (нет значка 🔒) - это вопрос доверия к непосредственно Павлу Дурову. Он неоднократно утверждал, что никому не сливает данные. Обратного мы не знаем, поэтому да здравствует презумпция невиновности, но не стоит забывать, что технически возможность получить все незашифрованные переписки у него есть.

Получается, что наиболее приватную информацию лучше писать в секретных чатах. Утверждается, что они реализованы посредством алгоритма Ди́ффи — Хе́ллмана.

Этот алгоритм сравнительно прост для понимания даже для неспециалиста, при этом расшифровывать его до сих пор не научились.

Решили как-то Алиса с Бобом в секретке потрепаться. У собеседников есть одинаковое число, а еще смартфон каждого из них генерирует по одному случайному числу. Благодаря некоторым математическим манипуляциям Алиса с Бобом получают одинаковое число, которое и является ключом шифрования. Суть алгоритма в том, что прослушка не дает возможность получить это число.

При создании секретного чата в Telegram, все эти сложные вычисления происходят за доли секунды и на выходе мы можем видеть Encryption key. Достаточно просто нажать на аватарку собеседника в чате. Это не совсем ключ, а его "паспорт" - отпечаток. Он представляет собой число в шестнадцатиричной системе исчисления, поэтому в нем есть буквы, а еще прилагается его QR-эквивалент. Важно, чтобы у двоих человек, этот ключ полностью совпадал.

Если вдруг произойдет ужасное, и у ФСБ будет доступ к серверам Telegram, насколько нас сможет защитить вся эта математика?

В самой печальной ситуации, которая, надеюсь, никогда не произойдет, алгоритм Диффи-Хеллмана будет реализовываться в формате "Человек посередине".

Тогда человек-чекист, вклинившись в секретную переписку, сможет перехватывать и подменять сообщения. Но великая наука придет нам на помощь, никому не позволив сделать гадость незаметно. Если к беседе присоеднинится третий лишний, то Encryption key в чате уже не будет совпадать. Это знак немедленно завершать беседу.

Сверять ключ нужно по другому каналу, а лучше сразу по нескольким. Это может быть звонок, SMS, личная встреча и т. д. Но не все так страшно: самое главное, чтобы ключи совпадали при создании чата, когда в нем еще ничего не написано, тогда можно смело продолжить критиковать власть: защищенное соединение уже создано, перехватывать связь уже поздно. А вот изымать телефон никогда не поздно...

За скобками остается случай, если злоумышленники просто слушают трафик, но никак его не видоизменяют. Из этого, на первый взгляд странного занятия, нельзя узнать, что обсуждается в чате, но можно выяснить время и продолжительность связи, а скорее всего даже кто твой собеседник. При лишних ушах чудо-алгоритм убережет от утечки данных, но и факт прослушки вычислить будет непросто.

Резюмируя все эти много букв:

⚫ Прослушивание несекретных чатов в Telegram вычислить невозможно.

⚫ Прослушивание секретных чатов также невычисляемо, но шпион при этом узнает очень мало.

⚫Если в секретном чате затесался кто-то третий, то ваши с собеседником Encryption keys перестанут совпадать. Всегда проверяйте их на идентичность!

Конечно, как и все в этом мире, Telegram сложно назвать неуязвимым мессенджером, но при грамотном подходе, можно запросто свести утечку информации к минимуму.