Дуров обдумывает выдачу 200 тысяч долларов за взлом Telegram

Похоже, Дуров решил собственными силами доказать, что все эти недосообщества диванных комментаторских гиков со всяких ЦП, Хабров и Хакер Ньюсов, ничего из себя не представляют. Тусовка ради тусовки.

Сообщества отдельно, шифрование отдельно Не смешивайте

Хм. Казалось бы, анекдотическое (в смысле, базирующееся на эпизодических свидетельствах) доказательство криптопротокола не является валидным? И от Павла ждут полноценного математического криптоанализа? Ну и плюс, в защиту криптотусовочки с ХакерНьюз и Томаса Птацека пророка их. Тезис, там озвучиваемый, вполне себе самосогласованный: «Вы никогда не должны придумывать свою криптосхему, используйте готовые и показавшие себя. А если уж вынуждены изобретать — то используйте самые свежие из доказанных криптопримитивов». Он вполне разумен (замените в тезисе «крипто» на «ПВО», например). Ну и навскидку в коде Телеграма нашли, например, READ_DIE_TIMEOUT = 5 * 1000; // 15 sec

Почему практически каждый раз, когда кому-то начинают указывать на проблемы в криптографии, он встает в позу и говорит: ну вот давайте, проведите атаку на сохраненный шифртекст, а иначе это всё поклеп! И это при том, что обсуждают не какое-нибудь хранилище данных, а сетевой сервис, напрашивающийся на активные атаки. Сплошной пиар и никакой математики, я грустная панда.

Andrey Sverdlichenko, это, скорее не пиар (хотя и в нём нет ничего плохого), а самый простой способ вывести сообщество троллей на чистую воду, создав им патовую ситуацию.

Так ПВП и зассал? В смысле, будет баунти или нет? И если Паштет так уверен, то почему прямо не предложил награду?

Андрей, а бывают молодые криптоаналитики?

Бывают, я видел одного.

Кстати, TextSecure не просто под Андроид, а его недавно встроили в CyanogenMod «из коробки».

Довольно интересный разбор, который сложновато будет назвать троллингом. http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/

@lazarus — посмотрите комментарии. Там как-то все резко меняется.

lazarus Вы же уже под альтерэгом вчера скидывали эту ссылку.. Тогда не зашло?

KcepoKc вы бредите. Вообще тон сотрудников ВК в связи с телеграмом доставляет. Очень passive aggressive. Комментарии там интересные, но на вопрос не отвечающие.

Дуров цинично сделал подмену понятий, что не очень его красит. Мессенджер обвинили в «А» и «Б», а он подкинул задачку по взлому «В», о которой все ровным счётом не говорили. В самом деле, он даст простыню из белого шума, которую никак не раскусить без приватного ключа, и это ЯКОБЫ обоснует защищенность мессенджера! А мессенджер обвиняли в двух совсем других вещах, например, возможность прочитать сообщения на сервере (т. е. необходимости на 146% доверять всем админам серверной фермы). Получается, что новый мессенджер защищает ровно настолько, насколько защищает самый банальный SSL туннель, при условии что публичный ключ сертификата жестко прописан в приложении. При этом ни на шаг не продвинулись по таким важным вещам как «замусоривание пакетов», что умеет делать тот же скайп, чтобы усложнить задачу админам по фильтрации. Или какие-то шаги по end-to-end шифрованию с обменом секретным проверочным кодом по независимому каналу.

А весь трафик с момента регистрации хранится только для аккаунта Дурова или для всех аккаунтов?

«При этом ни на шаг не продвинулись по таким важным вещам как «замусоривание пакетов», что умеет делать тот же скайп, чтобы усложнить задачу админам по фильтрации. Или какие-то шаги по end-to-end шифрованию с обменом секретным проверочным кодом по независимому каналу» Это не совсем правда. Неоднократно сталкивался с тем, что Telegram работает в Wi-Fi сетях, где я ещё даже не прошёл через веб-авторизацию и всё остальное отказывается работать. То есть, какая-то хитрость с направлением трафика там явно есть.

Это не совсем правда. Неоднократно сталкивался с тем, что Telegram работает в Wi-Fi сетях, где я ещё даже не прошёл через веб-авторизацию и всё остальное отказывается работать. То есть, какая-то хитрость с направлением трафика там явно есть. Юрий, абсолютно никакой хитрости! У меня, например, в ряде вай-файных сетей https сайты работают ещё до блядских http-недостраницавторизации. Запросто может работать ssh, это кстати я считаю очень вежливым ходом со стороны админа сети — перекрывать только http, так как само перекрытие нужно только блядскому начальнику, а не людям. Самый наглый гад тут, конечно, Билайн, этот гад подсовывает сертификат https свой! Это просто не этично, у меня джабберы ругаются, ну и браузер недоумевает. Так вот, mtproto не http, а ходит по 80 порту. Софт на роутере видит, что там не http и вежливо проксирует дальше, а не редиректит. Хотя мог просто дропать пакеты, но смысла в этом нет никакого — правильнее давать работать интернету сразу. Короче, тут заслуги нового протокола никакой нет. И как раз больше всего раздражает, что команда занимается откровенной враниной, при этом они очень умные и талантливые ребята! Получается или очень большой пробел у них в понимании сути, или они позволяют циничную ложь. Я всё-таки верю в них как в порядочных людей, поэтому для меня они заблуждаются искренне. К тому же у них уже был крупный косячище с авторизацией на ВК когда-то давно. Сам по себе косяк — дело поправимое, но там именно был виден отчётчивый сигнал о пробеле в понимании сути вещей.

Да ладно, он правда по 80 порту работает? Это же означает, что в большей части корпоративных сетей его автоматически зарежет DPI и никакого мессенжера не будет.

Александр Панков, не могли бы чуть более расширить свою мысль по существу? Где именно вранье? Как взломать протокол? Интересуюсь не просто так, а с чисто практической точки зрения. Пока ваши обвинения похожи на невразумительный перебор знакомых слов для ничего не понимающей публики. Спасибо!

Да, и чтобы дважды не вставать: какое значение имеет порт 80 на роутере, если трафик изначально идет в зашифрованном виде? Это проверяется любым снифером.

Где именно вранье? Враньё в том месте, где утверждается, что разговор прослушать нельзя никаким способом. Так вот, открою секрет, МОЖНО. Для этого достаточно доступ на сервера мессенджера. Собственно, по приведённой выше ссылке всё написано по делу. Мессенджер Телеграф — это доверие команде, что они лично вас читать не захотят. Чтобы второй раз не вставать: end-to-end шифрование без передачи секретика по _НЕЗАВИСИМОМУ_ каналу (например, голосом рта при личной встрече) — это не end-to-end. если трафик изначально идет в зашифрованном виде? А я утверждал, что он идёт не шифрованный? Обычный home made SSL-like протокол. Публичный ключ прибит гвоздями в приложение, что тоже означает одно — как только приватный ключ сольют куратору, он будет слушать сразу всех в цветном 3d изображении и стереозвуком на своё кураторском кинотеатре. Поймите, мы же не от сраных кафешек защищаемся, тут VPN спасёт и любой SSL. Подмена Дурова — она глубже, он же обещает защиты от куратора по ZOG, а по сути сам берёт эту роль на себя.

Так вот децентрализация серверной части не защищает от «куратора». Да, сервера, где всё хранится, у Дурова, но как можно доказать, что данные на серверах хранятся не в зашифрованном виде? Можно как раз попробовать это в рамках конкурса. Пока только демагогия.

Да, сервера, где всё хранится, у Дурова, но как можно доказать, что данные на серверах хранятся не в зашифрованном виде? А какая, собственно, разница как они там хранятся? Важно что они там МОГУТ быть прочитаны, так как end-to-end шифрования нет. Можно как раз попробовать это в рамках конкурса. Что можно попробовать посмотреть в рамках конкурса? Я уже написал, что новый конкурс на 200к конкурс — это типичная подмена понятий. Ему про А, он про Б. И не краснеет. МЫ: На серверах Т. можно прочитать всю переписку, никакой защиты от любопытного Дурова нет даже близко. Дуров: Вот посмотрите! Вот сниф трафика до серверов! ПОПРОБУЙТЕ РАСШИФРУЙТЕ! Теперь понятно объяснил?

Это Дуров должен доказывать, что на серверах все хранится в зашифрованном виде. И еще он должен рассказать, где хранятся ключи, и почему нельзя их получить, дав пару раз дубинкой по почкам Дурову, его админам, или просто вломившись в датацентр и подключившись к консоли сервера.

Плевать на Телеграм! Пофиг на передёргивания! Всё решительно меняется! Павел Дуров написал: «Your Bitcoin address to receive the $200,000 in BTC». Павел и команда! Примите сердечную благодарность за этот изумительный шаг! Вы, конечно, передёргиваете, но за одну лишь эту фразу можно всё простить! Конечно же, вам не надо будет переводить ваши биткоины кому-либо! Но огромное спасибо, что написали вы именно в такой формулировке!

Alexander Pankov абсолютно прав. Впрочем, троллинг Дурова пока что не прошел. http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest

>дав пару раз дубинкой по почкам Дурову, его админам, или просто вломившись в датацентр и подключившись к консоли сервера. Или просто совершив наезд Дуровым на гаишника

Как понять, троллинг Дурова не прошел? Вряд ли все диванные эксперты, кто бросился утверждать, что протокол и сама идея защищенного мессенджера яйца выделенного не стоят, но то, что они своим шумом привлекают внимание к приложению — несомненно! Дуров как раз выбрал самую выигрышную позицию: — он либо за бесплатно получает грандиозный хайп вокруг приложения, которое невозможно взломать; — либо платит $200 тыс., значительно улучшает таким образом безопасность и опять получает грандиозное паблисити на этой новости. А тот факт, что Телеграм и MTProto обсуждаются здесь уже полгода и вызывает зуд у местных троллей, как раз говорит о жизнеспособности всех проектов, которые делает Дуров. Но я хотел практического совета: как взломать мессенджер/протокол или хотя бы с чего лучше начать, чтобы получить приз. Пока лишь невнятные обсуждения про роутеры и ссылки на западные ресурсы с такими же теоретиками.

Как понять, троллинг Дурова не прошел? Столило бы начать разговор с того, почему они вообще решили, что Дуров их троллит. А лучше и вовсе не начинать — трата времени на троллей.

Почему-то настойчиво команда мессенджера игнорирует ключевой вопрос, который я задал тут и который уже 100500 раз озвучили. Вместо ответа на него они подсовывают заведомо нерасшифровываемые пакеты радуюЦЦо. С таким же успехом можно было дать пакеты на vk.com по https и такую же нерешаемую задачу на over9000 биткоинов. Почему стоит доверять серверам и админам DF?!. У них на Украине всю ферму арестовали местные гопники, и они до сих пор вопросы не уладили.

Александр, какой бы ответ вас устроил? Кому бы вы доверились и почему, давайте начнём с этого. Если ответ «никому» — то это ваша личная позиция, но занудное её повторение из раза в раз тянет на флад и хейтерство.

Кому бы вы доверились и почему, давайте начнём с этого. Если ответ «никому» — то это ваша личная позиция, но занудное её повторение из раза в раз тянет на флад и хейтерство. Очевидно, что в секьюрном мессенджере единственный ответ — НИКОМУ, кроме второго собеседника. И это единственный возможный вариант настоящего защищенного разговора. Всё остальное — самообман.

http://habrahabr.ru/post/206900/ недолго мучалась старушка в высоковольтных проводах. Я, честно говоря, ожидал что протокол посопротивляется подольше.

Пока все брюзжали слюной и писали многостраничные тексты, товарищ написал технологический текст. А телеграм попросил связаться чтобы вручит ему денежки. Эксперты продолжают брюзжать слюной….