Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
Уничтожить их можно только физически, для этого нужно остекловать пару городов в РФ.
Дискредитация — это очень тонкая работа, такое долго готовится.
Если топить по тупому, то это наоборот привлечёт людей которые не хотят чтобы их местные силовики могли читать их переписку.
Может ты не знаешь, но есть много людей которые не доверяют AES, но доверяют gost89 и это люди не с территории бывшего ссср.
Точно так же и с месенгерами.
Я отказался.
Меня им на работе заставляли пользоваться.
Теперь я сказал что оно запрещено и не стабильно, поэтому нахер.
Про то что оно не безопасное у нас никто не возражал и ранее.
А я не в курсе что там в FIP-140, мне оно вообще не интересно.
Dual_EC_DRBG — нельзя было взломать, у него стойкость элиптических кривых. Это был бэкдор для обладателя ключа.
Притом я не уверен что оно изначально планировалось как бэкдор для чужих. Вероятно это была отмычка чтобы анб могло среди своих госов спокойно иметь везде доступ без содействия на местах. А дальше все тупо скопировали американский стандарт и стали юзать. Вроде даже где то было написано что нужно менять тот публичный ключ при имплементации и типа то что в стандарте оно как пример. Но тут я не уверен. Точно что оно шло как некий параметр. И точно что его не обязательно было оставлять, потому что ГСПЧ один фиг даёт мусор и типа воспроизводимость не нужна.
Правда сейчас ходят слухи что элиптику научились ломать.
Меня просто дико достали новости про телегу, они из всех щелей прут, выборы и то как то незаметно пролетели.
Оффлайновые то события важнее были, там люди погибли, а тут такой шум из за заурядного месенгера.
Я тут писал, вспомнил про скайп.
Там же точно такой же пеар был одно время.
Мол вот полиция франции/италии/испании никак не могла подслушать и поймать котико-боронов которые говорили только по скайпу. Скайп невозможно взломать и подслушать…
А теперь там п2п выпилили и оно под крылом АНБ, наверняка они в МС деньги засылают на содержание, потому что я очень сомневаюсь что такой сервис можно окупить.
С моей точки зрения любая компрометация и блокировка централизованного сервиса — это огромный плюс, может хоть до кого то дойдёт.
Любой большой централизованный сервис это зло, ибо он начинает лезть в политику, а политика в него.
Не удивлюсь если какой нибудь гитхаб лет через 5-10 начнёт выкидывать пользователей из неугодных стран.
И тп.
Не должно так быть что:
— тебя подслушивают все кому не лень
— тебя могут оставить без связи когда захотят
— тебе навязывают о чём можно говорить а о чём нельзя
Я конечно понимаю что пользуясь сайтом я в гостях, но это не идёт на пользу обществу, общество должно саморегулироваться, если мне не нравится чьёто мнение то это повод для пополнения моего личного игнор листа а не глобального.
В общем это всё приводит к п2п месенгерам, социалкам и прочему.
Притом он уже есть, но ВСЕ стараются про них не упоминать.
У нас: вам не нравится агент, аська — тогда используйте телеграм, он такой безопасненький.
У них: вам не нравится вайбер, вацап, тогда пользуйтесь сигнал, его делали известные криптографы, там всё секурненько.
А персональные коммуникации это вообще тема привлекающая людей с отклонениями в психике. Просто нормальные люди не стараются всеми способами подслушивать других а то и вообще цензурировать.
Это банальный вброс конфетки собачкам на драчку.
К тому же телега становится токсичной и очень скоро хостеры их выгонят, тому же амазону важнее чтобы остальные клиенты были довольны, а сейчас весь амазон вынесли из за одной телеги. Это плохо для бизнеса.
ГСПЧ на элиптических кривых у них тоже разрешён и рекомендован для применения в гос учреждениях.
Только один нюанс — у АНБ в загашниках ключик от него есть.
Те если вы хотите чтобы они вас могли… читать то можете следовать рекомендациям. )
1. Ты передёргиваешь.
Ассиметричная крипта используется для обмена/генерации ключа для симметричной крипты.
Если ты митмиш то у участников получится ключ для симметричного шифрования не между ними двумя а между тобой и ими.
Диффи-хелман тут вообще никак не поможет.
2. Так в телеге никто ничего не говорит про такие тонкости, просто орут что безопасно.
Существуют разные способы прохода NAT.
Кроме того скоро будет IPv6 там не будет проблем с NAT.
Тор и впн ключи подменить не могут, если ты проверишь эти ключи по сторонним каналам.
Те никто не подменит твой ключ если ты его на визитке напечатал, или подмена сразу вскроется как только ты по телефону продиктуешь.
В токсе у качестве идента используется твой публичный ключ, которые получается из приватного. А приватный ключ генерируется при первом запуске или когда ты там кнопочку нажмёшь.
1. Почему вацапп тогда принёс деньги сша а не киеву?
2. Сколько он их там принёс?)
На самом деле месенгеры не монетизируются от слова совсем.
АОЛ пробовал не вышло, МС пробовал уже раза 2-3 — опять не вышло.
Мейлру особо и не пробовал монетизировать (разве что история с смс).
Скайп тоже не смог монетизировать.
Всё дело в том, что централизованный месенгер обречён всегда, это аксиома доказанная много раз за последние 20 лет.
Скайп пока был п2п держался кое как на самофинансировании, благодаря тому что им не нужна была инфраструктура большая, были миллионы юзеров онлайн, гоняли голос и видео и всё было ок.
Для чисто централизованных сервисов всегда наступает точка когда расходы на инфраструктуру становятся больше доходов.
Доходы с месенгеров поднять трудно на конкурентном рынке, потому что всегда есть месенгеры где ещё бесплатно а в остальном примерно так же.
Те месенгер на 10к юзеров пишется студентом за пиво и работает на компе с помойки на домашнем безлимите.
Месенгер на 1м уже на нормальном сервере в серверной.
На 100м тебе нужны уже минимум десятки серверов в разных локациях, люди которые обслуживают, плата за каналы, отдельная боль с синхронизацией и обновлениями, потом у тебя отрастает бухгалтерия, юрист, безопасники, отдел по работе с жалобами и прочая фигня которая тебе и не снилась и всем им надо платить.
При этом юзеры платить не хотят, потому что всегда есть бесплатные чатики.
Вот у китайцев вичат почти монополия которая встроилась в экономику, они могут стричь бабло потому что они не только сообщениями занимаются но и на денежных потоках сидят.
Вообще то, доказательств что телега безопасная тоже нет.
Те конкурсы которые были на взлом, к ним ещё тогда были претензии в том, что криптоаналитики не работают в такой манере, они работают за гарантированные деньги.
Кроме того ничего нигде не написано про возможности митм, это концептуальная проблема и она в телеге не решена.
1. Паша гений пеара. Но ему помогают: если я буду постить такие и по интереснее чатики и новости ни одно СМИ на меня внимания не обратит, а тут каждый чих обсасывается.
2. Телега не безопасна, там нет инноваций. Безопасность телеги не отличается от безопасности аськи и агента, все те же клиент-серверные технологии из 90х.
Сам протокол — кривой и косой, авторы режут и склеивают строки для хеширования и получения ключей, прямо как Денис Попов, вместо использования hmac и kdf, для меня одно это много говорит.
sha1_a = SHA1 (msg_key + substr (auth_key, x, 32));
и в новом так же
msg_key_large = SHA256 (substr (key, 88+x, 32) + plaintext + random_padding);
Они так же как апач и другие приложили dh_prime, и не отозвали, хотя вот только недавно было что апач и кое где нгинх положили в пакеты везде один и тот же dh_prime, в результате чего анб могло вложится и просчитать заранее параметры и потом довольно быстро всё вскрывать благодаря заранее проведённым расчётам.
Про митм и говорить смысла нет, всё держится на доверии серверам телеги. Приходит тебе приглашение в секретный чат а откуда ты знаешь что публичный ключ в приглашении тот самый который тебе отправил друг?
Это концептуальная проблема которая до сих по не имеет красивого решения. Одно решение это третья сторона, которой доверяют — центры сертификации. Другое сети доверия, когда все друг с другом ключами обмениваются в реальной жизни — пгп и иже с ним.
А тут о проблеме и её решении ни слова.
3. ИМХО ситуация с телегой готовилась сильно заранее, к «выборам».
ЦА — активная молодая часть населения тут, и всякие фрики-ватники-параноики там.
После «выборов» ничего не было, но подвернулись другие два повода от которых нужно было отвлечь внимание и суд быстренько принял решение, которое никто не стал обжаловать и спектакль перешёл от вялого пеара (бокса по переписке) к активной фазе от которой у многих бомбит.
4. Где то читал что Паша и Усманов чуть ли не друзья.
Усманов это вк, одноглазники, мылору, аська.
5. А никто не задавался вопросом: почему Паше сходит с рук такое поведение?
Почему у него и его друзей, родственников и партнёров тут не возникают никакие неприятности, обыски и изъятия не проводят?
6. Типа конкуренты.
Сигналу я точно так же не верю, хотя там собрались реальные криптографы.
Как минимум в сигнале опять всё идёт через их сервера и тебя в любой момент могут отключить, не говоря о том, что информация кто с кем, когда и сколько переписывался тоже ценная, даже знания о содержании.
Пользуюсь токсом, там хотя бы тебя никто связи не лишит и ключи требовать не от кого, как и блочить нечего.
Месенгеры использующие номер телефона — презираю, это шаг назад к телефонной эпохе, гнилой насквозь и насквозь контролируемой.
Уничтожить их можно только физически, для этого нужно остекловать пару городов в РФ.
Дискредитация — это очень тонкая работа, такое долго готовится.
Если топить по тупому, то это наоборот привлечёт людей которые не хотят чтобы их местные силовики могли читать их переписку.
Может ты не знаешь, но есть много людей которые не доверяют AES, но доверяют gost89 и это люди не с территории бывшего ссср.
Точно так же и с месенгерами.
Меня им на работе заставляли пользоваться.
Теперь я сказал что оно запрещено и не стабильно, поэтому нахер.
Про то что оно не безопасное у нас никто не возражал и ранее.
Dual_EC_DRBG — нельзя было взломать, у него стойкость элиптических кривых. Это был бэкдор для обладателя ключа.
Притом я не уверен что оно изначально планировалось как бэкдор для чужих. Вероятно это была отмычка чтобы анб могло среди своих госов спокойно иметь везде доступ без содействия на местах. А дальше все тупо скопировали американский стандарт и стали юзать. Вроде даже где то было написано что нужно менять тот публичный ключ при имплементации и типа то что в стандарте оно как пример. Но тут я не уверен. Точно что оно шло как некий параметр. И точно что его не обязательно было оставлять, потому что ГСПЧ один фиг даёт мусор и типа воспроизводимость не нужна.
Правда сейчас ходят слухи что элиптику научились ломать.
Оффлайновые то события важнее были, там люди погибли, а тут такой шум из за заурядного месенгера.
Я тут писал, вспомнил про скайп.
Там же точно такой же пеар был одно время.
Мол вот полиция франции/италии/испании никак не могла подслушать и поймать котико-боронов которые говорили только по скайпу. Скайп невозможно взломать и подслушать…
А теперь там п2п выпилили и оно под крылом АНБ, наверняка они в МС деньги засылают на содержание, потому что я очень сомневаюсь что такой сервис можно окупить.
С моей точки зрения любая компрометация и блокировка централизованного сервиса — это огромный плюс, может хоть до кого то дойдёт.
Любой большой централизованный сервис это зло, ибо он начинает лезть в политику, а политика в него.
Не удивлюсь если какой нибудь гитхаб лет через 5-10 начнёт выкидывать пользователей из неугодных стран.
И тп.
Не должно так быть что:
— тебя подслушивают все кому не лень
— тебя могут оставить без связи когда захотят
— тебе навязывают о чём можно говорить а о чём нельзя
Я конечно понимаю что пользуясь сайтом я в гостях, но это не идёт на пользу обществу, общество должно саморегулироваться, если мне не нравится чьёто мнение то это повод для пополнения моего личного игнор листа а не глобального.
В общем это всё приводит к п2п месенгерам, социалкам и прочему.
Притом он уже есть, но ВСЕ стараются про них не упоминать.
У нас: вам не нравится агент, аська — тогда используйте телеграм, он такой безопасненький.
У них: вам не нравится вайбер, вацап, тогда пользуйтесь сигнал, его делали известные криптографы, там всё секурненько.
А персональные коммуникации это вообще тема привлекающая людей с отклонениями в психике. Просто нормальные люди не стараются всеми способами подслушивать других а то и вообще цензурировать.
К тому же телега становится токсичной и очень скоро хостеры их выгонят, тому же амазону важнее чтобы остальные клиенты были довольны, а сейчас весь амазон вынесли из за одной телеги. Это плохо для бизнеса.
Только один нюанс — у АНБ в загашниках ключик от него есть.
Те если вы хотите чтобы они вас могли… читать то можете следовать рекомендациям. )
Ассиметричная крипта используется для обмена/генерации ключа для симметричной крипты.
Если ты митмиш то у участников получится ключ для симметричного шифрования не между ними двумя а между тобой и ими.
Диффи-хелман тут вообще никак не поможет.
2. Так в телеге никто ничего не говорит про такие тонкости, просто орут что безопасно.
Кроме того скоро будет IPv6 там не будет проблем с NAT.
Тор и впн ключи подменить не могут, если ты проверишь эти ключи по сторонним каналам.
Те никто не подменит твой ключ если ты его на визитке напечатал, или подмена сразу вскроется как только ты по телефону продиктуешь.
В токсе у качестве идента используется твой публичный ключ, которые получается из приватного. А приватный ключ генерируется при первом запуске или когда ты там кнопочку нажмёшь.
1. Почему вацапп тогда принёс деньги сша а не киеву?
2. Сколько он их там принёс?)
На самом деле месенгеры не монетизируются от слова совсем.
АОЛ пробовал не вышло, МС пробовал уже раза 2-3 — опять не вышло.
Мейлру особо и не пробовал монетизировать (разве что история с смс).
Скайп тоже не смог монетизировать.
Всё дело в том, что централизованный месенгер обречён всегда, это аксиома доказанная много раз за последние 20 лет.
Скайп пока был п2п держался кое как на самофинансировании, благодаря тому что им не нужна была инфраструктура большая, были миллионы юзеров онлайн, гоняли голос и видео и всё было ок.
Для чисто централизованных сервисов всегда наступает точка когда расходы на инфраструктуру становятся больше доходов.
Доходы с месенгеров поднять трудно на конкурентном рынке, потому что всегда есть месенгеры где ещё бесплатно а в остальном примерно так же.
Те месенгер на 10к юзеров пишется студентом за пиво и работает на компе с помойки на домашнем безлимите.
Месенгер на 1м уже на нормальном сервере в серверной.
На 100м тебе нужны уже минимум десятки серверов в разных локациях, люди которые обслуживают, плата за каналы, отдельная боль с синхронизацией и обновлениями, потом у тебя отрастает бухгалтерия, юрист, безопасники, отдел по работе с жалобами и прочая фигня которая тебе и не снилась и всем им надо платить.
При этом юзеры платить не хотят, потому что всегда есть бесплатные чатики.
Вот у китайцев вичат почти монополия которая встроилась в экономику, они могут стричь бабло потому что они не только сообщениями занимаются но и на денежных потоках сидят.
Те конкурсы которые были на взлом, к ним ещё тогда были претензии в том, что криптоаналитики не работают в такой манере, они работают за гарантированные деньги.
Кроме того ничего нигде не написано про возможности митм, это концептуальная проблема и она в телеге не решена.
1. Паша гений пеара. Но ему помогают: если я буду постить такие и по интереснее чатики и новости ни одно СМИ на меня внимания не обратит, а тут каждый чих обсасывается.
2. Телега не безопасна, там нет инноваций. Безопасность телеги не отличается от безопасности аськи и агента, все те же клиент-серверные технологии из 90х.
Сам протокол — кривой и косой, авторы режут и склеивают строки для хеширования и получения ключей, прямо как Денис Попов, вместо использования hmac и kdf, для меня одно это много говорит.
sha1_a = SHA1 (msg_key + substr (auth_key, x, 32));
и в новом так же
msg_key_large = SHA256 (substr (key, 88+x, 32) + plaintext + random_padding);
Они так же как апач и другие приложили dh_prime, и не отозвали, хотя вот только недавно было что апач и кое где нгинх положили в пакеты везде один и тот же dh_prime, в результате чего анб могло вложится и просчитать заранее параметры и потом довольно быстро всё вскрывать благодаря заранее проведённым расчётам.
Про митм и говорить смысла нет, всё держится на доверии серверам телеги. Приходит тебе приглашение в секретный чат а откуда ты знаешь что публичный ключ в приглашении тот самый который тебе отправил друг?
Это концептуальная проблема которая до сих по не имеет красивого решения. Одно решение это третья сторона, которой доверяют — центры сертификации. Другое сети доверия, когда все друг с другом ключами обмениваются в реальной жизни — пгп и иже с ним.
А тут о проблеме и её решении ни слова.
3. ИМХО ситуация с телегой готовилась сильно заранее, к «выборам».
ЦА — активная молодая часть населения тут, и всякие фрики-ватники-параноики там.
После «выборов» ничего не было, но подвернулись другие два повода от которых нужно было отвлечь внимание и суд быстренько принял решение, которое никто не стал обжаловать и спектакль перешёл от вялого пеара (бокса по переписке) к активной фазе от которой у многих бомбит.
4. Где то читал что Паша и Усманов чуть ли не друзья.
Усманов это вк, одноглазники, мылору, аська.
5. А никто не задавался вопросом: почему Паше сходит с рук такое поведение?
Почему у него и его друзей, родственников и партнёров тут не возникают никакие неприятности, обыски и изъятия не проводят?
6. Типа конкуренты.
Сигналу я точно так же не верю, хотя там собрались реальные криптографы.
Как минимум в сигнале опять всё идёт через их сервера и тебя в любой момент могут отключить, не говоря о том, что информация кто с кем, когда и сколько переписывался тоже ценная, даже знания о содержании.
Пользуюсь токсом, там хотя бы тебя никто связи не лишит и ключи требовать не от кого, как и блочить нечего.
Месенгеры использующие номер телефона — презираю, это шаг назад к телефонной эпохе, гнилой насквозь и насквозь контролируемой.