Telegram = надежность?

На сегодняшний день существует огромное количество мессенджеров от известных и не очень разработчиков. Многие из них, чтобы заинтересовать как можно больше новых пользователей, заявляют, что их продукт наиболее надежный и хранит приватную информацию лучше других. Действительно ли это так?

Когда на кону конфиденциальность информации, мы предпочтем досконально проанализировать, насколько хорошо защищены наши чаты и медиафайлы. Для того, чтобы полноценно оценить безопасность мессенджера, мы используем несколько критериев, по каждому из которых поставим оценку от 1 до 10. Список выглядит следующим образом: 

• регистрация и авторизация;
• шифрование и безопасность чатов;
• безопасность протокола и прозрачность исходного кода;
• хранение данных;
• резервные копии приложения и устройства;
• десктопная версия приложения.

Ну а объектом нашего внимания сегодня будет Telegram, в последнее время регулярно входящий в топ-3 наиболее популярных мессенджеров в России и мире. Поехали!

Регистрация и авторизация

Первое, что мы видим, когда загружаем Telegram из App Store или Google Play, это окно, предлагающее нам зарегистрироваться, используя номер телефона. Не очень безопасно, по сравнению с регистрацией по адресу электронной почты или логину. 

Что касается авторизации, для входа в учетную запись следует ввести код из СМС, отправленный на номер, указанный при регистрации. Telegram предоставляет возможность установить на вход в приложение код-пароль или биометрию, а также активировать двухфакторную аутентификацию, которая реализована в виде дополнительного пользовательского пароля. 

В целом, за исключением необходимости использовать номер телефона для регистрации, впечатление положительное. Наша оценка по этому критерию: 8 из 10. 

Шифрование и безопасность чатов

В Telegram доступно два вида чатов: обычные и секретные. Вопреки всеобщей вере в полную конфиденциальность самого популярного мессенджера, первый тип не защищен оконечным шифрованием. 

Секретные чаты, в свою очередь, используют E2E-шифрование (сквозное) и предоставляют возможность установить таймер на автоматическое удаление сообщений. Кроме того, переслать сообщение из секретного чата невозможно. Это выглядит вполне надежно. 

Наша оценка: 5 из 10. Те, кто заботятся о безопасности, могут не волноваться за приватность переписки при использовании секретных чатов. А вот отсутствие шифрования в обычных чатах расстраивает. 

Безопасность протокола и прозрачность исходного кода

Для шифрования Telegram использует протокол MTProto 2.0. По словам разработчиков, он позволяет сохранять баланс между надежностью и производительностью. 

Каждое сообщение, зашифрованное с помощью этого протокола, всегда содержит следующие данные, которые будут проверены во время дешифрования, для того чтобы сделать систему безопасной:

• соль сервера (64-битная);
• идентификатор сессии;
• порядковый номер сообщения;
• длина сообщения;
• время отправки сообщения.

По сравнению с первой версией протокола, в MTProto 2.0 исправлено множество недочетов. Ждем независимого аудита безопасности. 

Что касается прозрачности, исходный код клиентов мессенджера открыт, а вот серверный код Павел Дуров опубликовать отказался, ссылаясь на то, что это не поможет подтвердить безопасность секретных и облачных чатов. 

Наша оценка: 8 из 10. Нет, мы не придираемся, но хотелось бы увидеть независимые аудиты безопасности от экспертов, которые смогли бы подтвердить надежность протокола.

Хранение данных

С хранением информации все грустно. Все облачные чаты (личные и групповые) хранятся на серверах Telegram, и это, на наш взгляд, совсем не соответствует высоким стандартам безопасности. Данные секретных чатов в облаке не хранятся, но осадочек остался. 

Оценка: 4 из 10. 

Резервные копии приложения и устройства

Сам Telegram не создает резервные копии, в Android-бэкап данные не попадают в принципе. А вот в iTunes-бэкап попадает только кэш. Отсутствие данных о переписках в резервных копиях значит, что получить доступ к чатам возможно только при извлечении данных непосредственно из устройства или из облака. 

Наша оценка по этому критерию: 10 из 10. 

Десктоп-версия 

Авторизация в Telegram для ПК возможна только при наличии устройства, на котором выполнен вход в приложение ─ код придет туда. Также для входа в учетную запись можно воспользоваться QR-кодом, что тоже предполагает наличие под рукой смартфона, на котором выполнен вход в Telegram. Кроме того, мессенджер предоставляет возможность установить на вход код-пароль. 

Самое главное: клиент хранит данные на ПК в незашифрованном виде, в SQLite-базах. Да, мессенджер это не компрометирует, но все же факт неприятный. Проблем хватает и без этого: в компьютерной версии Telegram было обнаружено достаточно уязвимостей, чтобы отказаться от идеи использовать его на своем компьютере или ноутбуке. 

Наша оценка: 5 из 10. 

Немного математики

Чтобы адекватно оценить степень безопасности Telegram, мы присвоили ему свой коэффициент защищенности. Его формула: коэффициент защищенности = сумма критериев/максимально возможный суммарный балл*100. 

Согласно расчетам, творение Павла Дурова получает оценку 66,7. 

Резюмируя итоги, хотим сказать, что Telegram вполне надежен, если его правильно использовать. Достаточно общаться исключительно в секретных чатах, установить двухфакторную аутентификацию, код-пароль на вход в приложение и, по возможности, не использовать десктопную версию мессенджера.