1427. xeonz, 25.04.2018 15:28

Если ближе к теме, то лично меня больше раздражает вопиющая некомпетентность роскомнадзора, который своими неумелыми блокировками поломал кучу легальных сервисов. Это ж надо было додуматься использовать метод фильтрации сервиса по спискам адресов, который (метод) уже лет 10 как является не работающим. Любому техническому специалисту, занимающимся сетевой безопасностью в крупном энтерпрайзе, давно известно, что такими методами отдельный сервис нельзя проконтролировать (то есть нельзя запретить в режиме фильтрации "черный список" и нельзя разрешить в режиме фильтрации "белый список" не разрешив тонну других сервисов). Но нет, ркн отстал от жизни на 10 лет минимум и занимается какой то ерундой, в очередной раз продемонстрировав, что уровень компетенции госорганов где то ниже плинтуса. За это сообщение сказали спасибо: zorki

1430. xeonz, 25.04.2018 15:30

Painmailer Протокол Диффи — Хеллмана отлично противостоит пассивному нападению, но в случае реализации атаки «человек посередине» он не устоит. Если используется центр сертификации и на клиентские устройства не внедрены "левые" центры, то очень даже устоит.

1441. xeonz, 25.04.2018 15:39

Painmailer Которую вы сами себе придумали. Если у вас есть способ сделать лучше чем они - изложите его. Если нет - вам стоит заткнуться. В том то и дело, что уже лет 10 как не существует гарантированно работающего способа как раз из за двух причин: - распространение шифрования - глубокая интеграция сервисов в облака С первым в корп секторе борются путем подмены сертификатов, но это работает только частично и для корпоративных устройств, которые полностью находятся под контролем организации и в них можно внедрить сторонний центр сертификации Со вторым - внедрением сложных систем фильтрации класса NextGen firewall, которые работают не по спискам адресов (что было актуально 10 лет назад), а на базе DPI (сигнатуры и т.п.). Но все это перестает работать, если организация не может внедрить свой "левый" центр сертификации на устройство пользователя. Тогда сразу же отпадает метод вариант 1 и из за того, что отпал вариант 1 сразу же эффективность варианта 2 падает на порядки (так как DPI в зашифрованных потоках гораздо сложнее выявлять сигнатуры). Это реальность фильтрации трафика, которая пришла на замену старым методам. И то что РКН не в курсе этого и пытается в современных условиях работать старыми методами - очень бесит и лишний раз демонстрирует некомпетентность. За это сообщение сказали спасибо [2]: ~1~, zorki

1444. xeonz, 25.04.2018 15:41

Painmailer Пока клиенты работают через сервер, сервер делает всё что что хочет и вы об этом даже не догадываетесь. Вы явно не знакомы с методами шифрования. За это сообщение сказали спасибо [3]: ~1~, John Gaunt, Пал Секамович

1447. xeonz, 25.04.2018 15:44

Painmailer На самом деле, достаточно надавить на Гугол и Яблоко чтобы они закрыли Телеграмм в РФ. И всё - работать он не будет. Телеграмм работает не только за счет гугла и яблока. Он использует много других облаков. РКН по тупости начал банить все подряд, от чего и пострадали легитимные сервисы.

1449. xeonz, 25.04.2018 15:45

Painmailer Дуров сидит между всеми пользователями. Кто мешает ему читать весь трафик. Ключи-то идут по тому же каналу, что и сообщения. Закрытые ключи не идут. Ознакомьтесь уже с теорий асимметричных ключей и не гоните ерунды. Добавление от 25.04.2018 15:46: Владимир Щербак Или вы знаете другую схему шифрования? Закрытые ключи в ассиметричных алгоритмах не ходят по каналам связи вообще. Изучите теорию. За это сообщение сказали спасибо [2]: DarkDragon, John Gaunt

1456. xeonz, 25.04.2018 15:53

Владимир Щербак Вы точно знаете , что телеграмм использует для шифрования ассиметричные ключи? Код клиента открыт. Я лично в нем не копался, но думаю если бы это было не так, уже все бы об этом знали. По коду всегда можно на 100% сказать, является ли передаваемый ключ симметричным или нет.

1460. xeonz, 25.04.2018 15:55

Painmailer Протокол Диффи — Хеллмана отлично противостоит пассивному нападению, но в случае реализации атаки «человек посередине» он не устоит. В чистом виде. Чтобы устоять, в реальности используют доп методы в виде центров сертификации. Тогда очень даже хорошо стоит.

1469. xeonz, 25.04.2018 16:05

Painmailer Фигня в том, что интернет не подходит для систем с открытыми ключами, потому что никто не гарантирует невмешательство в трафик. Сервер телеграма вполне может перешифровывать сообщения пользователей так, что никто и не догадается. Факт перешифровывания тоже можно легко выявить, если сообщения кроме шифрования еще и подписывать. Вот кстати я не в курсе, используется ли подписывание сообщений в телеграмме. По моему при использовании центров сертификации всегда видно, кто зашифровал сообщение, то есть легко выявить - сервер или клиент.

1503. xeonz, 25.04.2018 17:03

Black Tiger Что в лоб, что по лбу. Если нет стороннего безопасного канала для обмена правильными ключами подписи, переподписать столь же легко, как и перешифровать. Не верно для асимметричных алгоритмов. Изучите теорию. Что-то я несколько лет назад читал, что такую хрень на государственном уровне внедрили в Казахстане. Или как минимум собирались внедрять. Хочешь, скажем, куда-то зайти по HTTPS за пределы страны - не вопрос, скачивай казенный сертификат, которым великий казахский фаервол будет тебе весь трафик переподписывать. Не хочешь - ну, тогда хрен тебе, а не HTTPS. Вот как-то так примерно. Подробностями особо не интересовался. Все верно. ~1~ В схеме "человек посередине" злоумышленник может подписать вскрытое 'письмо' своим приватным ключом? Может, но тогда ему придется подменить открытый ключ на стороне клиента. Иначе клиент не сможет расшифровать такое сообщение. EugeneG Проблема абсолютно всех способов шифрования - именно канал передачи ключей. Не верно для асимметричных алгоритмов, где закрытый ключ не передается.

1641. xeonz, 26.04.2018 08:50

Painmailer Итак, короткий подитог бесплодной дискуссии о шифровании. 1. Метод читать вашу перписку есть. 2. Выявить MITM атаку со стороны Дурова можно только сверяя входящий и исходящий трафик Алисы и Боба. Но и это не точно ибо сервер может выявлять попытки разоблачения и отключать перешифровку. 3. Судя по работоспособности телеги в САСШ, АНБ вашу переписку имеет. Я бы сказал, что короткий итог тут - Painmailer так и не осилил инфраструктуру PKI (https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D1%80%D0%B0%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%82%D1%83%D1%80%D0%B0_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D1%85_%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B9) . Если бы современное шифрование было такое уязвимое, то банки давно бы разорились и не могли проводить транзакции через интернет. За это сообщение сказали спасибо [2]: sksig, John Gaunt

1658. xeonz, 26.04.2018 10:00

Painmailer Банки работают точка-точка и передают ключи безопасными каналами, а не теми же, что и данные. Вранье. Примерно так. Как и военные, они не пользуются открытыми ключами. Еще одно вранье. PKI в банках (https://powersecurity.org/ru/blog/pki-%D0%B4%D0%BB%D1%8F-%D0%B1%D0%B0%D0%BD%D0%BA%D0%BE%D0%B2/) За это сообщение сказали спасибо [4]: ~1~, sksig, John Gaunt, nknsnd

1661. xeonz, 26.04.2018 10:03

Железячник Не путайте техническую невозможность дать ключи с нежеланием это делать. У Дурова именно второе. У него нежелание переписать клиент так, чтобы появилась техническая возможность дать ключи. Вы тоже не путайте эти два момента. На сегодня при текущем клиенте технической возможности нет. Но можно переписать клиент так, чтобы техническая возможность появилась. За это сообщение сказали спасибо: ~1~

1672. xeonz, 26.04.2018 10:22

Наутилус Ключ будут иметь исключительно спецслужбы, о другом и речи нет. личные данные граждан из государственных баз данных тоже должны быть закрыты. Однако на каждом углу можно купить такую базу любому желающему. За это сообщение сказали спасибо: nknsnd