Павел Дуров все больше расширяет сферы своего влияния путем внедрения новых функция и опций в свой продукт Telegram. Так недавно была разработана функция Telegram Passport, в которой можно будет хранить свои документы и авторизоваться в любых сервисах в пару кликов.
Действительно ли, это так удобно или о таком важном факторе, как приватность, можно забыть? И зачем Павлу Дурову паспорта пользователей Telegram, давайте разбираться дальше.
Для чего нужен Telegram Passport?
Нет, Телеграм Паспорт – это не Ваш новый интернет-паспорт. Это дополнительная функция в Telegram, которая будет хранить ваш документ в облаке, используя для этого сквозное шифрование.
Эта функция создана с целью возможности единого способа авторизации для веб-услуг и сервисов, в которых требуется идентификация личности. Достаточно загрузить свои данные и идентифицирующие документы всего лишь один раз, после этого их можно использовать для мгновенного обмена и прохождения верификации на многих сайтах и сервисах (социальные сети, интернет-инвестирование, участие в ICO и так далее).
То есть, достаточно будет синхронизировать свой Telegram Passport с сервисом, который запрашивает личные данные, после чего документы передаются по зашифрованному каналу, способом шифрования end-to-end. При этом сам Telegram не будет иметь никакого доступа к документу.
Казалось бы, очень удобно, загрузил один паспорт или водительское удостоверение, а потом авторизуйся в течение нескольких минут на любом сервисе, и не нужно носить с собой документы. Однако не все согласны с этим, и считают, что Дуров преследует несколько иные цели.
Как это будет работать?
Telegram Passport уже можно скачивать и пользоваться, однако пока что он работает только для одного сервиса — ePayments. В дальнейших планах – начать работать со всеми сервисами, которые требует верификации (KYC – know your customers).
Работать это будет примерно по следующей схеме:
Пользователь на нужном сервисе нажимает «Войти» или «Авторизоваться» с помощью Telegram;
Приложение или сервис отправляет в Telegram запрос на нужные данные;
Пользователь принимает политику конфеденциальности и соглашение о предоставлении личных данных;
Telegram пользователя загружает и расшифровывает данные из хранилища, защищенного сквозным шифрованием;
Если часть нужных данных отсутствует, сервис или приложение отправляет уведомление, а пользователь может быстро загрузить нужные документы в Telegram;
Приложение пользователя шифрует данные с помощью публичного ключа, принадлежавшего сервису, в котором проходит верификация, и отправляет его;
Сервис расшифровывает данные и проверяет на ошибки;
Если все в порядке, верификация проходит успешно, пользователь подписывается на сервис, и можно пользоваться его услугами.
Регистрация Телеграм паспорта
Если вы планируете применять ePayments, то можно уже начать пользоваться сервисом. В других случаях, пока что Telegram Passport не пригодится. Если есть желание пользоваться в будущем, то можно загрузить документы с помощью тестовой ссылки от Telegram:
https://core.telegram.org/passport/exampleДалее все стандартно. Нужно придумать 4-значный пароль, ввести свой адрес почты. На почту придет линк, следует подтвердить и пройти аутентификацию. Для этого понадобится паспорт и другие документы, типа счетов за электричество. Пару кликов и готово.
Telegram Passport и E2E. Реально ли работает сквозное шифрование?
Разработчики заявляют, что в облаке невозможно распознавание личной информации, и там отображается только случайный шум (то есть набор знаков, похожих на абру-кадабру). Однако это не совсем так. Опытные программисты внимательно изучили код алгоритма шифрования персональных данных и выяснили, что это не совсем End-to-end, и механизм шифрования работает по другому алгоритму, отдаленно напоминающему E2E.
Дело в том, что изначально пароль должен превращаться в промежуточный ключ шифрования. В Телеграмм паспорт это делается следующим образом: случайные модификаторы конкатенируются с паролем и передаются хеш-функциями SHA-512.
Проблема в том, что всего 10 GPU могут применять все возможные варианты 8-значных паролей примерно за 5 дней, даже меньше. Есть методы, которые могут мешать этому, однако в Telegram Passport они не используются.
Также хэшем из пароля шифруется еще один случайный ключ, который получается тоже вовсе не случайным. Здесь не используются эффективные средства для проверки корректности расшифровки. Алгоритм построен таким образом, чтобы остаток от деления суммы байт ключа получился 239. Это число, собственно, и проверяется при расшифровке.
Таким образом, случайный получается не совсем случайным. Но самое главное, что при переборе может быть много случайных срабатываний, но посчитать сумму байта при расшифровке не составит никакой сложности.
Что касается шифрования именно данных, то к ним, оказывается, просто дописывается от 32 до 255 случайных байт. Таким образом получается не случайный шум, а данные вперемешку со случайными байтами. Ну а дальше формируется ключ шифрования персональных данных с помощью SHA-512 от того самого случайного ключа.
Получается, что никакого «случайного шума» не наблюдается. В облако передаются хоть и вроде зашифрованные данные, но вместе с модификаторами, паролем, прошедшим шифрование не совсем надежным ключом, и собственно хэш персональных данных, который смешан с байтами. Таким образом, схема брутфорса может быть очень простая, и пароли вместе с данными для профи добыть не составит труда.
Кроме того, вызывает сомнение отсутствие цифровой подписи, что делает Телеграмм Паспорт не просто уязвимой для брутфорса, но и дает возможность подменить личные данные на другие.
В общем-то, безопасность пока вызывает сомнения. Однако, скорей всего, все эти проблемы будут решены после полной интеграции в Telegram Open Network, с помощью блокчейна.
Telegram Passport и Telegram Open Network
На РусКоинс вы можете найти подробный рассказ об интеграции блокчейн-платформы TON в Telegram, а также обзор его ICO.
Естественно, что есть связь и между TON и Telegram Passport. В будущем разработчики планируют сохранять документы пользователей в децентрализованном облаке. Будет ли это в архитектуре TON Storage или создаваться отдельный элемент, не совсем понятно.
Как известно, в TON будет реализован практически целый marketplace со своей платежной системой. Возможно Telegram Passport – это один из элементов крупномасштабной платформы, который будет являться конкурентом таким блокчейн-стартапам как TraceTo и Certik, решающим проблемы верификации в сети и отмывания денег.
Это пока что только догадки, и какую роль будет играть Телеграм Паспорт в децентрализованной платформе, еще не совсем ясно.
Дуров, Telegram и ФСБ. О чем договорился Павел с правительством?
Ни для кого не новость запрет Роскомнадзора мессенджера Телеграм на территории РФ. Причиной стал отказ Дурова предоставить ключи для дешифрования личных переписок пользователей.
Дуров, в свою очередь, сражается за право на тайну личной переписки своих пользователей как лев, за что и получил «бан» от Роскомнадзора. Не он, конечно, сам, а его мессенджер.
Вроде бы все понятно, суд вынес решение о блокировке, ФСБ требует передать ключи для дешифровки, суд в августе отклонил апелляцию адвокатов Telegram. Однако в июне 2018 Павел Дуров объявил, что согласен идти на компромисс с российским властями, а именно – предоставить контактные данные, якобы для того, чтобы Роскомнадзор включил мессенджер Telegram в Реестр организаторов распространения информации (ОРИ),
При этом Дуров заявил, что никаким «законам Яровой», противоречащим конституционными правам, он подчиняться не будет, то есть ключи для дешифровки не предоставит.
После этого была отклонена апелляция 9 августа, а 28 августа Дуров на своем Telegram-канале объявил, что все же намерен сотрудничать с ФСБ.
Важно заметить, что Дуров говорит не о передаче всех ключей для дешифрования. Павел будет предоставлять только IP-адреса и телефоны возможных террористов. Решение о том, кто является возможным террористом, будет выносить суд, и только после этого Павел (ну или не он лично) будет передавать всем службам личные данные.
Также в этом заявлении Дуров отметил, что считает эту меру вынужденной и важной не только для ФСБ, но и для самого Telegram, так как это поможет очистить мессенджер от потенциальных террористов, да и в общем снизить интерес преступного мира к мессенджеру.
На фоне всего этого появление функции Telegram Passport выглядит весьма подозрительно. Не будут ли службы иметь доступ не только к IP и номерам телефона, но и к документам пользователей?
Очень важно отметить, что частная жизнь, не важно каких сфер она касается: бизнеса, рабочих моментов или личной жизни, это неотъемлемое право каждого человека. Именно конфиденциальность является важным принципом инновационной технологии блокчейн, потому что современные разработчики понимают, как важно безопасно хранить свои данные, касающиеся как личной жизни, так и экономической.
Несмотря на то, то почти каждая конституция прогрессивных светских государств обещает право тайны личных переписок, правительство не может полностью реализовать и гарантировать это право для каждого. Связано, это не только с личными интересами, но и интересами национальной безопасности. Поэтому консенсус между правительством и основателями различных анонимных сервисов в интернете (мессенджеров, платежных систем, сервисов для верификации и так далее) будет достигнут не скоро.
Тем не менее, не одно правительство не имеет право грубо вторгаться в приватную жизнь граждан. Поэтому выбор, пользоваться подобными сервисами или нет, остается за каждым.
Отзывы пользователей Telegram
@prizrak
Исходный код винды тоже был «закрытым». Но затем код windows XP совершенно легально получила ФСБ.
@ЛЫSS
О верификации личности сканом паспорта — в Москве уже около 20 каршеринг фирм. Нужно отсылать скан паспорта, ВУ, и т.д. После 3-4го раза это реально бнсит. Сервис Телеграма хорошо решил бы данную проблему!
@daetraiden
Крутая идея, недавно восстанавливал утерянный аккаунт в BattleNet, пришлось загружать скан подтверждающего документа, на котом будут видны данные, соответствующие тем, которые вводил при создании акка.
@Scratch123
End-to-end? Не думаю скорее похоже на обычный пароль, и даже не приватный ключ. Все документы будут храниться на обычных серверах Telegram, зашифрованными обычными паролями, с помощью SHA-512. Короче, пиццу заказать не сможешь, не засветив все документы. Такая себе приватность.
@MinMax
У Дурова нездоровая тяга к сбору персональных данных. Да и весьма сомнительно, что ФСБ отстали от него и теперь ключи шифрование будут передаваться только по требованию суда (хотя до этого Дуров заявлял, что ключи шифрования вообще не предусмотрены архитектурой Telegram). В общем, все думали, что самый безопасный менеджер, но больше похоже на «крысу», собирающую данные всех пользователей.
@Spec
Интересно, а как Дуров будет решать вопросы с ФСБ, когда телега будет полностью интегрирована на блокчейн? Один из принципов же конфиденциальность? Именно, поэтому он сейчас собирает паспорта, для обеспечения конфеденциальности? Пока все выглядит очень сомнительно. Вон, в Южной Кореи ICON уже целая государственная блокчейн-платформа и таких проблем с требованиями от спец. служб нет. Я понимаю, что может мои переписки с девушками некому не интересны, но я не хочу, чтоб правительство знало куда и в какие проекты я инвестирую.
https://ruscoins.info/articles/chto-takoe-telegram-pasport-verifikaciya-v-dva-shchelchka-13500/
Latest news: 
. 
. 
. 
. 
. 
. 
Shop
Bidding Open
Topic: Что такое Telegram паспорт — верификация в два щелчка (Read 492 times)