Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
Ай-яй-яй, китайская цивилизация оказалась живучей, чем предполагали западные миссионеры…
Пока на Западе вливают в производство в Китае, подобно этому https://www.ixbt.com/news/2021/12/08/tim-kuk-dogovorilsja-s-kitaem-za-275-milliardov-dollarov-pojetomu-iphone-vpervye-za-shest-let-stal-samym-prodavaemym.html
Пока Китай пользуется Западными технологиями.
На примере Huawei (метила на лидера, а сейчас вылетела из первой десятки) видно насколько Китай зависим от Запада. И это при том, что против Huawei меры были приняты относительно мягкие.
Потому что демократы вынесли производство в страны, где труд дешевле.
F35: Number built760+ as of 1 February 2022
Su 57: Number built14 (10 test[3] and 4 serials[4]) as of 2021.
Целых 14 истребителей, от которых Индия стала отказываться, против «провального» F35.
Экономика Russia: GDP per capita (nominal) Per capita $11,654(64th)
USA GDP per capita (nominal): $74,725 (5th).
11 000 на душу населения, куда уж США.
А что не так? Цензура присутствует, youtube, facebook, twitter, whatsapp, skype, google, instagram и еще куча сайтов забанены. Китайский файервол.
https://en.m.wikipedia.org/wiki/List_of_websites_blocked_in_mainland_China
В общем, тут реализации PFS считай, что нет. 100 сообщений до смены ключа защитят слабо. Не слишком ли много ждать? У мессенджера Мокси для каждого сообщения, выходит.
The parties derive new keys for every Double Ratchet message, см. https://signal.org/docs/specifications/doubleratchet/
«Signal includes several uncommon security properties (such as “future secrecy” or “post-compromise security”), enabled by a novel technique called ratcheting in which session keys are updated with every message sent.»см
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwi16IObr4f1AhXjAxAIHQjHA84QFnoECAMQAQ&url=https%3A%2F%2Feprint.iacr.org%2F2016%2F1013.pdf&usg=AOvVaw0-YpW7gQWtJPM8vF51A287
Ну, впринципе про 100 сообщений правда. 100 сообщений или неделя до смены ключа. В сравнении с Сигналом.
«In order to keep past communications safe, official Telegram clients will initiate re-keying once a key has been used to decrypt and encrypt more than 100 messages, or has been in use for more than one week, provided the key has been used to encrypt at least one message. Old keys are then securely discarded and cannot be reconstructed, even with access to the new keys currently in use.»
https://core.telegram.org/api/end-to-end/pfs
Благодарю за ссылку. Ознакомлюсь. Читал, что PFS не поддерживает, так как session keys do change after being used 100 times.
У Сигнала же «After an initial key exchange it manages the ongoing renewal and maintenance of short-lived session keys. It combines a cryptographic so-called „ratchet“ based on the Diffie–Hellman key exchange (DH) and a ratchet based on a key derivation function (KDF), such as a hash function, and is therefore called a double ratchet.»
Ещё они пишут (основываясь на OTR, описывая его свойства):
Simply doing an ephemeral key exchange at the beginning of a session is enough to provide this property, but OTR takes things a step further by continuously ratcheting the key material forward during the course of a session. The OTR ratchet is what we call a “three step ratchet.”
https://signal.org/blog/advanced-ratcheting/
Криптографы и специалисты по информационной безопасности всё проверили. Результаты неутешительные. Ссылок море могу накидать.
«Despite its growing popularity as a privacy-focused communications app, most of Telegram’s claims for high privacy standards are misleading.
Telegram is incredibly secretive and operates with zero transparency.
Their encryption is ‘homemade’ by the founders, and it’s been widely criticized by experts.»
Демагогия от Дурова. Отвечу тем же. Если ничего не доказывает, просто не храни. Мессенджер Мокси не хранит и все-равно опубликовал. Так в чем проблема? Телеграм метаданные и список контактов хранит на серверах, включая ip адреса? Хранит. До 12 месяцев. Храни только на устройствах и тогда уже говори что-то про секьюрность.
Групповые чаты телеграм вообще не поддерживают end-to-end. PFS поддерживает? Нет.
Почему голословные? Голословные у Дурова, который кричит про секьюрность, применяя грязный пиар в отношении конкурентов, даже не используя end-to-end по умолчанию, храня переписку на серверах. Дуров серверный код не открывал. Метаданные и список контактов хранит на серверах, включая ip адреса? Хранит.Учитывая, что у телеграмма вся ваша записная книжка на сервере, IP, очень легко выстроить социальный граф. MtProto критиковали? Критиковали, выше писал. Написан протокол с нуля, не используя проверенные алгоритмы, как принято в криптографии, да еще математиками, а не криптографами. Криптопротокол, где самый открытый сервер участвует в генерации закрытых ключей пользователей в том числе в секретных чатах. Жаль, что в других проверенных временем и экспертами криптопротоколах нет такой отеческой заботы о пользователях...
Да, и групповые чаты не поддерживают вообще end-to-end.
Серверный код Дуров не открывал в отличие от Мокси. Хотя у последнего
сообщения не сохраняются на сервере для синхронизации с разными устройствами. А у телеграма сохраняютя и он не открывает. Плюс хранит метаданные, включая ip адреса до 12 месяцев. Остается только верить на слово Дурову, а это не серьезно. Это уже религия.
" To improve the security of your account, as well as to prevent spam, abuse, and other violations of our Terms of Service, we may collect metadata such as your IP address, devices and Telegram apps you've used, history of username changes, etc. If collected, this metadata can be kept for 12 months maximum."
это ты уводишь разговор в сторону от финансов
я же с самого начала констатирую факт, что и сигнал, и тор финансируются сша/спецслужбами/пентагоном
и да, это значит, что среди команд этих торов и сигналов есть проверенные люди (так спецслужбы работают), которые как раз «случайно» могут оставлять «уязвимости», о которых какая-нибудь анб может знать годами до того, как они будут пофиксины
в доках сноудена мы видели такие примеры
Вы противоречие сами себе. Тогда ты Сноеуден не советовал бы этот мессенджер и задокументировал бы бэкдоры. Но доказательств этого нет. Как и прослушка этого мессенджера — легко было бы привести факты. Но вы их не привели. Как и того, что команда Мокси собирает сообщения пользователей и метаданные пользователей у себя на серверах.
Абсолютной безопасности не бывает. Всё, что непроверено, неизведано, непонятно и т.п., автоматически переносят в разряд потенциальных угроз и уязвимостей, до тех пор пока не проводят соответствующие проверки и аудиты. По их результатам приложение может считаться условно безопасным. По телеграмму очень много критики в этом плане. Нарекания идут к базовым аспектам. В телеграм нет PFS даже.
Все верно, главная дыра в безопасноти и того и другого мессенджера — необходимость номера телефона при регистрации. Хотя конечно, можно взять и левый номер на соответствующем сервисе, получить СМС и далее, наскоколько я понимаю, симка не потребуется. Коды входа для новых устройств будут посылаться на уже подключенных клиентов.
Приватность (от слова private — частный) — это такое свойство информационного обмена, при котором никто, кроме адресата, не знает ничего о содержимом вашего общения. Пример из реальной жизни, так называемая «приватная беседа», когда двое встречаются общаются лично(тет-а-тет, с глазу на глаз), и посторонние их не слышат. Приватность — значит отсутствие подслушки, прослушки, слежки и других способов третьих лиц узнать, о чем вы говорите с собеседником.
Анонимность (от греческого «без имени») — это такое общение, при котором собеседник, с котором общаетесь и которому пишите сообщения, не знает ничего об отправителе, даже имени.
Поэтому анонимность в одних случаях необходима, в других нет.
Я на их оф. странице и Вики не нахожу связей с ЦРУ. И не уводите разговор сугубо про финансы. Если ЦРУ даст денег фонду Касперскоого, или опенсорсу какому, к примеру, или ФБР даст, это не значит, что Касперский работает на них. Это нужно будет доказать. Но это уже второй этап, до него ещё не дошли, нужны доказательства содержания Мокси ЦРУ. И приведите прецеденты с прослушкой спецслужбами.
К Навальному обратись — он найдет связь Signal и internet freedom initiative/open technology fund
А про сливы — о чем говорить можно, если Меркель прослушивали? Последний раз редактировалось 28 декабря 2021, 09:04
Меркель пользовалась продуктом Мокси? Что за бред? Пруфы дадите? Гугл не находит. Или тот, кого нельзя называть тоже использовал?
Пффф, это не серьезно. Доказательств нет, ссылок нет, а есть конспирологические теории. Ну разных вбросов много тоже можно написать, хоть про рептилоидов.
А вообще ещё как данные мессенджера сливаются спецслужбам, с примерами хотелось бы послушать. И как они хранят из на серверах.
Ответ Дмитрий Даров на комментарий
А как считать? От температуры воздуха? Чем большая доля от ВВП тратится на военку, то меньше остается на остальное.
Ответ jadefalcon на комментарий
Пока на Западе вливают в производство в Китае, подобно этому https://www.ixbt.com/news/2021/12/08/tim-kuk-dogovorilsja-s-kitaem-za-275-milliardov-dollarov-pojetomu-iphone-vpervye-za-shest-let-stal-samym-prodavaemym.html
Пока Китай пользуется Западными технологиями.
На примере Huawei (метила на лидера, а сейчас вылетела из первой десятки) видно насколько Китай зависим от Запада. И это при том, что против Huawei меры были приняты относительно мягкие.
F35: Number built760+ as of 1 February 2022
Su 57: Number built14 (10 test[3] and 4 serials[4]) as of 2021.
Целых 14 истребителей, от которых Индия стала отказываться, против «провального» F35.
Экономика Russia: GDP per capita (nominal) Per capita $11,654(64th)
USA GDP per capita (nominal): $74,725 (5th).
11 000 на душу населения, куда уж США.
https://en.m.wikipedia.org/wiki/List_of_websites_blocked_in_mainland_China
Ответ Кот Васька на комментарий
В общем, тут реализации PFS считай, что нет. 100 сообщений до смены ключа защитят слабо. Не слишком ли много ждать? У мессенджера Мокси для каждого сообщения, выходит.
The parties derive new keys for every Double Ratchet message, см. https://signal.org/docs/specifications/doubleratchet/
«Signal includes several uncommon security properties (such as “future secrecy” or “post-compromise security”), enabled by a novel technique called ratcheting in which session keys are updated with every message sent.»см
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwi16IObr4f1AhXjAxAIHQjHA84QFnoECAMQAQ&url=https%3A%2F%2Feprint.iacr.org%2F2016%2F1013.pdf&usg=AOvVaw0-YpW7gQWtJPM8vF51A287
«In order to keep past communications safe, official Telegram clients will initiate re-keying once a key has been used to decrypt and encrypt more than 100 messages, or has been in use for more than one week, provided the key has been used to encrypt at least one message. Old keys are then securely discarded and cannot be reconstructed, even with access to the new keys currently in use.»
https://core.telegram.org/api/end-to-end/pfs
Ответ Кот Васька на комментарий
Благодарю за ссылку. Ознакомлюсь. Читал, что PFS не поддерживает, так как session keys do change after being used 100 times.
У Сигнала же «After an initial key exchange it manages the ongoing renewal and maintenance of short-lived session keys. It combines a cryptographic so-called „ratchet“ based on the Diffie–Hellman key exchange (DH) and a ratchet based on a key derivation function (KDF), such as a hash function, and is therefore called a double ratchet.»
Ещё они пишут (основываясь на OTR, описывая его свойства):
Simply doing an ephemeral key exchange at the beginning of a session is enough to provide this property, but OTR takes things a step further by continuously ratcheting the key material forward during the course of a session. The OTR ratchet is what we call a “three step ratchet.”
https://signal.org/blog/advanced-ratcheting/
«Despite its growing popularity as a privacy-focused communications app, most of Telegram’s claims for high privacy standards are misleading.
Telegram is incredibly secretive and operates with zero transparency.
Their encryption is ‘homemade’ by the founders, and it’s been widely criticized by experts.»
Ответ m4 на комментарий
Fixed: Храни переписку только на оконечных пользовательских устройствах и не сохраняй пользовательские метаданные и переписку на сервере.
Групповые чаты телеграм вообще не поддерживают end-to-end. PFS поддерживает? Нет.
Да, и групповые чаты не поддерживают вообще end-to-end.
сообщения не сохраняются на сервере для синхронизации с разными устройствами. А у телеграма сохраняютя и он не открывает. Плюс хранит метаданные, включая ip адреса до 12 месяцев. Остается только верить на слово Дурову, а это не серьезно. Это уже религия.
" To improve the security of your account, as well as to prevent spam, abuse, and other violations of our Terms of Service, we may collect metadata such as your IP address, devices and Telegram apps you've used, history of username changes, etc. If collected, this metadata can be kept for 12 months maximum."
Ответ MrTO на комментарий
Вы противоречие сами себе. Тогда ты Сноеуден не советовал бы этот мессенджер и задокументировал бы бэкдоры. Но доказательств этого нет. Как и прослушка этого мессенджера — легко было бы привести факты. Но вы их не привели. Как и того, что команда Мокси собирает сообщения пользователей и метаданные пользователей у себя на серверах.
Ответ Кот Васька на комментарий
При чем тут подломили телефон? А если сервер подломят?
Ответ bOOster_alm на комментарий
Теплое с мягкие. Ещё скажите, что он и шифровать не обязан, отключить может по желанию. Да Вас даже разработчики Телеграмм в этом не поддержат.
Ответ Yondri на комментарий
Приватность (от слова private — частный) — это такое свойство информационного обмена, при котором никто, кроме адресата, не знает ничего о содержимом вашего общения. Пример из реальной жизни, так называемая «приватная беседа», когда двое встречаются общаются лично(тет-а-тет, с глазу на глаз), и посторонние их не слышат. Приватность — значит отсутствие подслушки, прослушки, слежки и других способов третьих лиц узнать, о чем вы говорите с собеседником.
Анонимность (от греческого «без имени») — это такое общение, при котором собеседник, с котором общаетесь и которому пишите сообщения, не знает ничего об отправителе, даже имени.
Поэтому анонимность в одних случаях необходима, в других нет.
Меркель пользовалась продуктом Мокси? Что за бред? Пруфы дадите? Гугл не находит. Или тот, кого нельзя называть тоже использовал?
А вообще ещё как данные мессенджера сливаются спецслужбам, с примерами хотелось бы послушать. И как они хранят из на серверах.