[Перевод] Смена ключей в WhatsApp и Telegram
Оригинал записи опубликован здесь: http://telegra.ph/handling-key-changes-01-16
Недавно The Guardian опубликовали статью о бэкдоре в WhatsApp, позволяющем подсматривать зашифрованные сообщения. Некоторые пользователи Telegram пытались узнать моё мнение по поводу этой записи на Medium, которая была написана в ответ на статью The Guardian.
Увы, автор той записи не смогла осознать серьёзность ситуации с WhatsApp. Ранее я уже описал ту проблему детально, так что прежде, чем мы продолжим, прочтите вот это: Как WhatsApp может пересылать ваши личные сообщения в Китай (в оригинале здесь приведена ссылка на другой пост Маркуса, но для удобства я заменил ссылку на перевод того поста — прим. пер.)
Так что насчёт Telegram?
Автор записи на Medium показала некоторое непонимание того, как работает Telegram. Весьма вероятно, она никогда не использовала приложение и установила только чтобы по-быстрому ознакомиться с ним. Это становится очевидно из её странного заявления об отсутствии подтверждения о прочтении сообщений в секретных чатах Telegram. Любой пользователь Telegram знает, что подтверждение о прочтении есть во всех чатах Telegram (1 галка = сообщение доставлено, 2 галки = сообщение прочитано).
Самое важный момент, который автор упускает, так это то, что благодаря Облачным чатам, Telegram-аккаунты могут использоваться одновременно на многих устройствах. Секретные чаты, напротив, привязаны к конкретной сессии. После каждого нового входа в аккаунт, установка секретного чата создаёт новый чат, который визуально отличается от старого в списке чатов собеседника. Это является гораздо более заметным индикатором того, что была произведена смена ключей.
Когда вы выходите из учётной записи на каком-либо устройстве, все секретные чаты отменяются. Ваш собеседник по-прежнему может прочесть сообщения из них, но чат становится недействительным, отображая кнопку «Удалить и выйти» вместо поля ввода текста, поэтому больше никакие сообщения отправить нельзя. [1]
В отличие от WhatsApp, у Telegram нет никаких средств по-тихому инициировать смену ключей. В этом можно убедиться, ведь спецификация на протокол Telegram и исходный код приложений открыты. Благодаря этому, у исследователей есть все инструменты, чтобы самостоятельно проверить реализацию end-to-end шифрования в Telegram.
Примечания
[1] — Есть одно исключение. Возможна ситуация, когда вы удаляете приложение с устройства, предварительно не разлогинившись с него. В этом случае Telegram никак не узнает, что секретный чат больше не сможет использоваться. Поэтому переустановка и повторный вход будут расценены как новое устройство или сессия, и Telegram не узнает, что у вас больше нет доступа к секретным чатам из предыдущей сессии, т.к. она всё ещё отмечена активной. Такие секретные чаты останутся навечно в подвешенном состоянии: ваш собеседник сможет отправлять сообщения, но они никогда не будут прочитаны. При этом он заметит, что сообщения никто не прочитал, т.к. нет подтверждения о прочтении.
