Telegram и приватность

Уже около двух лет прошло с тех пор как я впервые попробовал Телеграм и плотно подсел на него. Тогда новый мессенджер с собственным алгоритмом шифрования и отсутствием рекламы (как и финансирования со стороны США или России) казался многообещающим. Однако с тех пор многое изменилось и я несколько пересмотрел свои взгляды. Сейчас же я с уверенностью могу заявить: Телеграм не безопасен, используйте его только для обмена бесплатными стикерами!

1. Секретные чаты не удобны.

Складывается такое впечатление, словно разработчики сами не хотят, чтобы вы пользовались секретными чатами с их хваленым протоколом MTProto. Так, чаты не поддерживают экспорт/импорт ключей шифрования. Нет возможности группового общения через секретные чаты. Нет поддержки секретных чатов на десктопных платформах. Способ сравнения секретных ключей не эффективны и не удобны для конечного пользователя (но этим страдают многие мобильные мессенджеры). Отсутствует синхронизация чатов между устройствами (опять же ввиду того, что нет импорта/экспорта ключей). Скудные возможности по сравнению с обычными чатами.

2. Исходные коды закрыты или не актуальны. 

Думаю, те кто когда либо пытался скачать исходники Телеграма знают, что это гиблое дело. Исходные коды отстают на полгода - год от актуальной версии, а уж исходники серверной части мы ждем до сих пор. На сайте по прежнему висит заглушка, мол soon! (Однако одно время был доступен исходный код Actor, с сервером и мобильным приложение, который похоже является просто украденой разработчиками версией телеграма с небольшими косметическими изменениями)

3. Криптография?

MTProto - неизвестно что, никем не протестированное и существующее только на словах Дурова. Первое правило хорошего начинающего криптоспециалиста - "Не изобретайте велосипед". Алгоритмы вроде AES, Blow-fish и ECDSA уже были не однократно испытаны и улучшены. А MTProto - нет. Что это? Как оно работает? Who cares! Главное, что не взломали, даже с мотивацией в миллион!

4. Дешевые рекламные трюки.

Конкурс на взлом - это дешевое представление из разряда "Попытайтесь пробить двухметровый слой стали китайской зубочисткой". Хакеров изначально поставили в не равные условия, разработчики сами диктовали условия, что можно использовать для взлома, а что нельзя. Так было запрещено пытаться взломать Телеграм Man-in-the-Middle атакой, которая в принципе применима к нынешней архитектуре Телеграма. Даже в секретных чатах!

5. Не понятные источники финансирования.

Периодически всплывают факты о том, что Дуров замешан в мутных делах с ФСБ и текущий конфликт с РосКомНадзором не более чем представление. Скорее всего от туда и финансируется содержание Телеграма.

6. Боты.

Вы знаете кому попадают данные которые вы отправляете ботам? А шифруются ли ваши соединения с ним? В свете последних спекуляций о том, что боты смогут оперировать вашей банковской информацией и принимать платежи - это особенно важно.

7. Звонки.

Дуров очень долго распинался насчет безопасности звонков и их "гениальной" архитектуры. Но есть некоторые вещи которые меня смутили. Итак, сами по себе звонки осуществляются по p2p (от устройства к устройству напрямую), однако вам все равно нужно подключение к серверу. Зачем? Чтобы обменятся ключами шифрования. Почему нельзя сразу передать ключи по p2p, как в Antox? Ну ведь тогда будет нельзя сохранить ваши ключи для последующей расшифровки ваших звонков! Бида-бида! К тому же не до конца ясны какие критерии используются для решения когда как передавать данные. И опять таки кустарное творчество Дуровых! Почему бы не использовать SRTP?

8. Серверная архитектура

Все не секретные чаты хранятся на сервере практически в открытом виде (ведь вы передаете на сервер не только зашифрованные сообщения, но и ключи которыми вы их шифровали). То есть, взломали сервер - взломали вас (как и тысячи других). Сервера заблокировали (привет РосКомНадзору!) - finita la comedia! И как уже писалось выше, исходники сервера закрыты, что доступно и кому (и не хранятся ли ваши сообщения в plain-text, как пароли ВКонтакте) известно только Дурову и Ко.

9. Черный пиар

Дуров всячески пытается очернить конкурентов совершенно не разбираясь в отрасли, которую по идее должен представлять. 

Итак, подводя итоги, Телеграм просто удобное приложения для обмена короткими ничего не значащими сообщениями, как СМС-ки. Все их заявления о безопасности и приватности пользователей, такие же надуманные как статья конституции о тайне переписки в любой стране мира. 

Но увы, даже не смотря на все выше сказанное, я не могу так сразу бросить телеграм, так как пока я не вижу достойных альтернатив по дизайну и практичности. А вот по безопасности я могу назвать парочку. Я думаю мигрировать в Matrix/Riot, так как возможность самому выбирать сервер или захостить свой выглядит очень соблазнительно!