Павел Дуров все больше расширяет сферы своего влияния путем внедрения новых функция и опций в свой продукт Telegram. Так недавно была разработана функция Telegram Passport, в которой можно будет хранить свои документы и авторизоваться в любых сервисах в пару кликов.
Действительно ли, это так удобно или о таком важном факторе, как приватность, можно забыть? И зачем Павлу Дурову паспорта пользователей Telegram, давайте разбираться дальше.
Для чего нужен Telegram Passport?
Нет, Телеграм Паспорт – это не Ваш новый интернет-паспорт. Это дополнительная функция в Telegram, которая будет хранить ваш документ в облаке, используя для этого сквозное шифрование.
Эта функция создана с целью возможности единого способа авторизации для веб-услуг и сервисов, в которых требуется идентификация личности. Достаточно загрузить свои данные и идентифицирующие документы всего лишь один раз, после этого их можно использовать для мгновенного обмена и прохождения верификации на многих сайтах и сервисах (социальные сети, интернет-инвестирование, участие в ICO и так далее).
То есть, достаточно будет синхронизировать свой Telegram Passport с сервисом, который запрашивает личные данные, после чего документы передаются по зашифрованному каналу, способом шифрования end-to-end. При этом сам Telegram не будет иметь никакого доступа к документу.
Казалось бы, очень удобно, загрузил один паспорт или водительское удостоверение, а потом авторизуйся в течение нескольких минут на любом сервисе, и не нужно носить с собой документы. Однако не все согласны с этим, и считают, что Дуров преследует несколько иные цели.
Как это будет работать?
Telegram Passport уже можно скачивать и пользоваться, однако пока что он работает только для одного сервиса - ePayments. В дальнейших планах – начать работать со всеми сервисами, которые требует верификации (KYC – know your customers).
Работать это будет примерно по следующей схеме:
1. Пользователь на нужном сервисе нажимает «Войти» или «Авторизоваться» с помощью Telegram;
2. Приложение или сервис отправляет в Telegram запрос на нужные данные;
3. Пользователь принимает политику конфеденциальности и соглашение о предоставлении личных данных;
4. Telegram пользователя загружает и расшифровывает данные из хранилища, защищенного сквозным шифрованием;
5. Если часть нужных данных отсутствует, сервис или приложение отправляет уведомление, а пользователь может быстро загрузить нужные документы в Telegram;
6. Приложение пользователя шифрует данные с помощью публичного ключа, принадлежавшего сервису, в котором проходит верификация, и отправляет его;
7. Сервис расшифровывает данные и проверяет на ошибки;
8. Если все в порядке, верификация проходит успешно, пользователь подписывается на сервис, и можно пользоваться его услугами.
Регистрация Телеграм паспорта
Если вы планируете применять ePayments, то можно уже начать пользоваться сервисом. В других случаях, пока что Telegram Passport не пригодится. Если есть желание пользоваться в будущем, то можно загрузить документы с помощью тестовой ссылки от Telegram: https://core.telegram.org/passport/example
Далее все стандартно. Нужно придумать 4-значный пароль, ввести свой адрес почты. На почту придет линк, следует подтвердить и пройти аутентификацию. Для этого понадобится паспорт и другие документы, типа счетов за электричество. Пару кликов и готово.
Telegram Passport и E2E. Реально ли работает сквозное шифрование?
Разработчики заявляют, что в облаке невозможно распознавание личной информации, и там отображается только случайный шум (то есть набор знаков, похожих на абру-кадабру). Однако это не совсем так. Опытные программисты внимательно изучили код алгоритма шифрования персональных данных и выяснили, что это не совсем End-to-end, и механизм шифрования работает по другому алгоритму, отдаленно напоминающему E2E.
Дело в том, что изначально пароль должен превращаться в промежуточный ключ шифрования. В Телеграмм паспорт это делается следующим образом: случайные модификаторы конкатенируются с паролем и передаются хеш-функциями SHA-512.
Проблема в том, что всего 10 GPU могут применять все возможные варианты 8-значных паролей примерно за 5 дней, даже меньше. Есть методы, которые могут мешать этому, однако в Telegram Passport они не используются.
Также хэшем из пароля шифруется еще один случайный ключ, который получается тоже вовсе не случайным. Здесь не используются эффективные средства для проверки корректности расшифровки. Алгоритм построен таким образом, чтобы остаток от деления суммы байт ключа получился 239. Это число, собственно, и проверяется при расшифровке.
Таким образом, случайный получается не совсем случайным. Но самое главное, что при переборе может быть много случайных срабатываний, но посчитать сумму байта при расшифровке не составит никакой сложности.
Что касается шифрования именно данных, то к ним, оказывается, просто дописывается от 32 до 255 случайных байт. Таким образом получается не случайный шум, а данные вперемешку со случайными байтами. Ну а дальше формируется ключ шифрования персональных данных с помощью SHA-512 от того самого случайного ключа.
Получается, что никакого «случайного шума» не наблюдается. В облако передаются хоть и вроде зашифрованные данные, но вместе с модификаторами, паролем, прошедшим шифрование не совсем надежным ключом, и собственно хэш персональных данных, который смешан с байтами. Таким образом, схема брутфорса может быть очень простая, и пароли вместе с данными для профи добыть не составит труда.
Кроме того, вызывает сомнение отсутствие цифровой подписи, что делает Телеграмм Паспорт не просто уязвимой для брутфорса, но и дает возможность подменить личные данные на другие.
В общем-то, безопасность пока вызывает сомнения. Однако, скорей всего, все эти проблемы будут решены после полной интеграции в Telegram Open Network, с помощью блокчейна.
Telegram Passport и Telegram Open Network (TON)
На РусКоинс вы можете найти подробный рассказ об интеграции блокчейн-платформы TON в Telegram, а также обзор его ICO.
Естественно, что есть связь и между TON и Telegram Passport. В будущем разработчики планируют сохранять документы пользователей в децентрализованном облаке. Будет ли это в архитектуре TON Storage или создаваться отдельный элемент, не совсем понятно.
Как известно, в TON будет реализован практически целый marketplace со своей платежной системой. Возможно Telegram Passport – это один из элементов крупномасштабной платформы, который будет являться конкурентом таким блокчейн-стартапам как TraceTo и Certik, решающим проблемы верификации в сети и отмывания денег.
Это пока что только догадки, и какую роль будет играть Телеграм Паспорт в децентрализованной платформе, еще не совсем ясно.
Дуров, Telegram и ФСБ. О чем договорился Павел с правительством?
Ни для кого не новость запрет Роскомнадзором мессенджера Телеграм на территории РФ. Причиной стал отказ Дурова предоставить ключи для дешифрования личных переписок пользователей.
Дуров, в свою очередь, сражается за право на тайну личной переписки своих пользователей как лев, за что и получил «бан» от Роскомнадзора. Не он, конечно, сам, а его мессенджер.
Вроде бы все понятно, суд вынес решение о блокировке, ФСБ требует передать ключи для дешифровки, суд в августе отклонил апелляцию адвокатов Telegram. Однако в июне 2018 Павел Дуров объявил, что согласен идти на компромисс с российским властями, а именно – предоставить контактные данные, якобы для того, чтобы Роскомнадзор включил мессенджер Telegram в Реестр организаторов распространения информации (ОРИ),
При этом Дуров заявил, что никаким «законам Яровой», противоречащим конституционными правам, он подчиняться не будет, то есть ключи для дешифровки не предоставит.
После этого была отклонена апелляция 9 августа, а 28 августа Дуров на своем Telegram-канале объявил, что все же намерен сотрудничать с ФСБ.
Важно заметить, что Дуров говорит не о передаче всех ключей для дешифрования. Павел будет предоставлять только IP-адреса и телефоны возможных террористов. Решение о том, кто является возможным террористом, будет выносить суд, и только после этого Павел (ну или не он лично) будет передавать всем службам личные данные.
Также в этом заявлении Дуров отметил, что считает эту меру вынужденной и важной не только для ФСБ, но и для самого Telegram, так как это поможет очистить мессенджер от потенциальных террористов, да и в общем снизить интерес преступного мира к мессенджеру.
На фоне всего этого появление функции Telegram Passport выглядит весьма подозрительно. Не будут ли службы иметь доступ не только к IP и номерам телефона, но и к документам пользователей?
Очень важно отметить, что частная жизнь, не важно каких сфер она касается: бизнеса, рабочих моментов или личной жизни, это неотъемлемое право каждого человека. Именно конфиденциальность является важным принципом инновационной технологии блокчейн, потому что современные разработчики понимают, как важно безопасно хранить свои данные, касающиеся как личной жизни, так и экономической.
Несмотря на то, то почти каждая конституция прогрессивных светских государств обещает право тайны личных переписок, правительство не может полностью реализовать и гарантировать это право для каждого. Связано, это не только с личными интересами, но и интересами национальной безопасности. Поэтому консенсус между правительством и основателями различных анонимных сервисов в интернете (мессенджеров, платежных систем, сервисов для верификации и так далее) будет достигнут не скоро.
Тем не менее, не одно правительство не имеет право грубо вторгаться в приватную жизнь граждан. Поэтому выбор, пользоваться подобными сервисами или нет, остается за каждым.
Хочешь получать самые свежие и актуальные новости о криптовалютах в Telegram? Тогда подписывайся на наш официальный канал → https://t.me/ruscoinsinfo
Источник статьи: Что такое Telegram паспорт — верификация в два щелчка
Оценили 0 человек
0 кармы