Все вы наверняка слышали слухи и истории о том, что Telegram небезопасен и не предоставляет никакой приватности своим пользователям. А ещё у него серверная часть кода закрыта. Какой ужас, такому мессенджеру доверять точно нельзя. Уж лучше использовать Signal, который сейчас так актуален среди сообщества.
Все аргументы могут звучать действительно убедительно, но дело в том, что это неправда. Далее попытаемся развеять один из главных мифов о Telegram, также объясним почему использовать его всё-таки можно. А главный миф не имеет ничего общего с реальностью.
Сначала стоит обозначить. Telegram не даёт пользователю анонимности и это вообще не анонимный мессенджер. Анонимность и приватность — это две разные вещи. Мы вы вообще её назвали социальной сетью с кучей полезных функций и приватными secret-чатами, о которых далее и поговорим.
Сквозное шифрование
По умолчанию стандартные чаты в Телеграме не используют сквозное шифрование. Они просто находятся на серверах Telegram в зашифрованном виде. Это позволяет их синхронизировать на разных устройствах. Тем самым получая доступ к необходимым файлам и перепискам. Пока что назовём эти чаты небезопасными и неприватными, но потом к ним ещё вернёмся.
Что касается Secret-чатов, то это чаты, которые используют сквозное шифрование. Именно сквозное шифрование обеспечивает безопасную передачу информации между двумя пользователями. Secret-чат в Telegram гарантируют то, что никто не может прочитать сообщение кроме двух участников этих чатов. Даже если сообщение перехвачено, получить доступ к его содержимому не сможет никто.
Фото: GooglePlay
Схема сквозного шифрования Secret-чатов — это сверхнадёжная система шифрования. И самое главное, эта схема доступна для просмотра любому человеку. Потому что клиентская часть «Телеги» полностью открыта.
Также приложение Telegram можно собрать через детерминированную компиляцию. Это позволяет убедиться в том, что приложение полностью с точностью до бита соответствовать тому коду, который выложен в открытом доступе. Это очень важно!
И тут прилетает контраргумент от Заводчанина Пети. «Но ведь серверная часть «Телеги» не имеет открытого исходного кода и поэтому Secret-чатам доверять нельзя». Так вот это полный бред. Объясняем почему.
Учитывая то, что ключи для сквозного шифрования создаются на устройстве пользователя и создаются по абсолютно прозрачному и безопасному алгоритму, а затем сообщения шифруются этим ключом на этом устройстве пользователя. То абсолютно нет никакого значения, что происходит с этими зашифрованными сообщениями на серверах Telegram. Потому что на сервер эти сообщения приходят уже в зашифрованном виде. И сам Telegram, и вообще никто другой кроме получателя не может это сообщение прочитать. В этом случае Telegram является лишь мостом между отправителем и получателем. И серверная часть ни имеет никого отношения к приватности и безопасности Secret-чатов в Telegram.
Исходный код серверной части
Теперь о том, почему открытие исходного кода серверной части Telegram абсолютно бессмысленно. Во-первых, потому что это никак не повлияет на возможность проверки Secret-чатов, так как это можно сделать исключительно на стороне клиента. Во-вторых, даже если исходный код серверной части открыт, то невозможно убедиться в том, что именно этот код там действительно исполняется. А вот клиентскую часть, которая и является ключевой для проверки целостности Secret-чатов, можно спокойно собрать и удостовериться в соответствии кода с итоговым приложением.
Фото: GooglePlay
Теперь вернёмся к стандартным облачным чатам. Как уже упоминали они шифруются в облачном хранилище Telegram. Шифрование облачных чатов происходит на серверах Telegram. И вот в этом случае это уже никак нельзя проверить. Даже если бы у серверной части был открытый код, опять же это не гарантирует того, что именно этот код там исполняется. Поэтому утверждать то, что облачные чаты безопасны и приватны нельзя. Потому что нет возможности это проверить. Однако, можно утверждать то, что Secret-чаты абсолютно безопасны, приватны и надёжны. Поэтому все кто говорит о том, что Secret-чаты читаются спецслужбами и абсолютно небезопасны, они либо введены в заблуждение, либо нарочно рекламируют мессенджер.
Что касается мессенджера Signal. Это просто мессенджер, в котором по умолчанию во всех чатах используется сквозное шифрование. Он также имеет открытый исходный код и возможность собрать приложение через детерминированную компиляцию. Единственны вопрос. Зачем скачивать отдельное приложение только для функции, которую имеют Secret-чаты в Telegram?
Использование номера телефона
Теперь, что касается использование номера телефона для создания аккаунта. Это никак не влияет на целостность и приватность Secret-чатов. Единственное, что приходит в голову это тайминг атака. Потому что сервер Telegram передаёт ваши сообщения и знает когда они были отправлены. По этим временам промежуткам можно попытаться сопоставить определённые события и уже по вашему номеру телефону выйти на вашу личность. Однако, и это не проблема. Думаем, что ни для кого не секрет, что за три рубля можно принять SMS-ку на одноразовый виртуальный номер и сделать аккаунт. Таким образом ещё больше повысив свою приватность.
Фото: GooglePlay
Однако, вся эта история с Secret-чатами не делает Telegram идеальным вариантом для безопасной переписки. Это лишь показало, что Secret-чаты в Telegram действительно приватны и безопасны. И используя их, вы точно можете быть уверены в целостности. Но, например,
Jabber будет более предпочтителен. Потому что там можно выбрать сервер для передачи сообщений, а можете и свой запустить. А это уже защищает от потенциальных тайминг атак.
Какой вывод можно сделать? Не стоит доверять всему, что говорят в интернете. Даже нашей статье на слово верить не стоит. Возьмите и проверьте всё сами.
