Прокоментую сумнівні твердження “Представника Телеграму”

«Представник Телеграму» дзюрить прямо в очі: https://cutt.ly/OwM7lV6q

Прокоментую два його сумнівні твердження.

«…наші додатки мають відкритий вихідний код» – це напівправда. Відкритий вихідний коди доступний лише для клієнтської (мобільної) частини та АРІ. Головне, що визначає функції та архітектуру рішення – це серверна частина (backend) – і вона НЕ доступна. А поняття «додаток» більшість фахівців у Світі розуміють як «Мобільна частина + АРІ + бекенд». Разом, а не окремими частинами.

Тобто це як запросити «заходьте в хату», але двері з коридору в кімнати позачиняти. До речі, розробникам Дії також було непогано про це знати перед «оприлюдненням коду».

«…протокол шифрування повністю задокументований, тому будь-який дослідник може самостійно перевірити його цілісність та реалізацію»

Знов це напівправда.

Опис роботи телеграмівського алгоритму шифрування MTProto доступний публічно, це дійсно так: https://cutt.ly/AwM7JkTm Але сам його код – не доступний. Згідно сучасних міжнародних практик, стандартні та добре вивчені криптографічні бібліотеки – це значно краще, ніж створювати власні, в який з часом знаходитимуть серйозні помилки та вразливості. У 2021 році дослідники University of London знайшли в цьому ж телеграмівському протоколі MTProto чотири вразливості, Телеграм їх виправив та випустив оновлення, але цілком вірогідно, що нові помилки знайдуть ще. Тому що протокол відносно новий і недостатньо вивчений.

Тобто твердження типу “наш протокол повністю відритий” є очевидно маніпулятивним, оскільки йдеться скоріше про «опис роботи протоколу», ніж про сам протокол та його код.

Але згодом з’ясувалося, що немає ніяких підтверджень існування такої людини як Ремі Вон (Remi Vaughn), заяви якого я тут вище прокоментував. А якщо й існує така людина – сумнівно чи він уповноважений щось коментувати від імені Telegram і чи можна його називати «представником Telegram»: https://cutt.ly/1wM7zMrK

Існує така людина чи ні – але міфи про «відкритість» та «надійність» протоколів безпеки Телеграму продовжують циркулювати в українському суспільстві, і незле буде ще раз нагадати що це не зовсім так.

Але загалом з російським Телеграмом в Україні точно треба щось рішати. Я підготував петицію стосовно Телеграму в Україні, але в Офісі поки не поспішають її публікувати: «оприлюднюється протягом двох робочих днів», хехе. Ладно, почекаю. Про що вона і для чого – поясню пізніше, коли її опублікують. Чи не опублікують.

Бо далі розмов справа якось не рухається. Треба підштовхувати. Як завжди.

Hold the line.