Цифровое сопротивление подходит к концу – Telegram потерял четверть активных пользователей за первый месяц лета. Но Павел Дуров запускает новый сервис, который должен «вернуть былое величие».
Отрицательное лето
Исследовательское агентство Mediascope изучило аудиторию популярных в России мессенджеров и пришло к выводу, что количество пользователей за июнь 2018 года уменьшилось. Сильнее остальных «просел» Telegram: количество поклонников этого приложения сократилось на 21% по сравнению с маем, и на 23% – по сравнению с апрелем. В июне мессенджером воспользовались 2,9 млн россиян в возрасте от 12 до 64 лет.
Telegram регулярно сталкивается с перебоями в работе. В начале этой недели случился очередной такой инцидент, из-за которого приложение не работало в течение нескольких часов. Пользователей не устраивают подобные происшествия, и они выбирают стабильные мессенджеры.
Паспортный контроль
От такой ситуации не в восторге представители Telegram. Видимо, эффект Стрейзанд сошел на нет, ажиотаж вокруг запрета мессенджера утих, и начали проявляться реальные последствия блокировок.
Эффект Стрейзанд — феномен, при котором попытка изъять определённую информацию из публичного доступа приводит лишь к ее более широкому распространению (обычно в интернете).
Чтобы снова обратить внимание на свое приложение, разработчики презентовали сервис для хранения документов – Telegram Passport. В него можно загружать копии своего паспорта, водительского удостоверения, контакты и тому подобную личную информацию. При работе со сторонними интернет-сервисами она всегда будет под рукой.
Представители мессенджера специально отметили, что хранилище абсолютно конфиденциально: доступ к нему будет только у пользователя, а передача осуществляется с помощью сквозного шифрования end-to-end.
Проблема с «Паспортом»
Первым обрушился с критикой на новый сервис Telegram Антон Розенберг. Он называет себя бывшим партнером Павла Дурова и участником создания мессенджера и соцсети «ВКонтакте». Розенберг отметил несколько ключевых проблем платформы для хранения документов:
-
Блокировки со стороны «Роскомнадзора», которые помешают россиянам пользоваться сервисом.
-
Отсутствие шифрования end-to-end по умолчанию в мессенджере, о чем стало известно только недавно, и возможность повторения этой же истории в Passport.
-
Закрытость исходного кода и невозможность удостовериться в надежности применяемых методов защиты.
В обоснованности последней претензии возникают сомнения: детальные разборы алгоритмов шифрования Telegram Passport публикуются уже сейчас. Но и они заставляют задуматься о том, действительно ли так безопасен этот сервис.
Специалисты проанализировали код десктопной версии приложения и пришли к следующим выводам:
-
Промежуточный ключ шифрования могут получить примерно за неделю банальным перебором паролей, никакой защиты, которая усложняет этот процесс, нет.
-
Второй ключ шифрования генерируется не случайным образом. Вместо классических средств проверки корректности расшифровки HMAC или AEAD, разработчики зачем-то делают так, чтобы остаток от деления суммы байт ключа был равен 239, что при расшифровке и проверяют. В итоге взлом становится еще проще – можно быстрее посчитать сумму байтов.
Таким образом, надежность end-to-end шифрования напрямую зависит от длины и сложности пароля. Большинство пользователей вряд ли будет уделять достаточно внимания этому моменту и уж тем более – пользоваться генераторами случайных ключей. Но даже в случае ответственного подхода к защите своего аккаунта получение доступа не потребует от злоумышленников больших усилий и затрат.
Telegram Passport действительно демонстрирует традиционный для массового приложения уровень защищенности: его нельзя взломать детскими методами. Но и реальной конфиденциальности и криптостойкости не гарантирует. Для обеспечения высокого уровня безопасности сервису нужны более сложные способы защиты.