Перейти к содержимому
Калькуляторы

Прально! "А усы и подделать можно." (С) Почтальон Печкин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, LostSoul сказал:

запрещуны с своей позиции все делают правильно

вот представьте - новый терракт, захвачены заложники и.т.п.

что нужно людям в погонах?

им нужно мгновенно сделать поисковый запрос во всем массиве предшествующей переписки.

например с указанием адреса или места терракта и кто говорил об этом за последние 24 часа.

и такая инфа нужна быстро.

в этом смысле им очень нужен сорм, способный постоянно все дешифровать и накапливать заранее.


 

Не нужно им это. Вообще не нужно. Причины напишу в следующем посте.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот и корпоративный мессенджер. Свежий. С пылу. С жару:

 

https://www.opennet.ru/opennews/art.shtml?num=48460

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, snvoronkov сказал:

А вот и корпоративный мессенджер. Свежий. С пылу. С жару:

На пайтоне с джангой...серьезно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, saaremaa сказал:

На пайтоне с джангой...серьезно?

Нет, конечно. Но хайпанутее некуда. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, saaremaa сказал:

На пайтоне с джангой...серьезно?

да будь это нормальный xmpp сервер была бы мечта.

но там опять какой-то велосипед непонятный

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, YuryD сказал:

 Я просто не понимаю, чего тем_кому_надо не хватает ? Информация о передвижениях - есть и от авиа, и от жд, и от автобусных перевозок. Данные о локациях мобильников тоже есть. Продавать левые симки - это просто задавить. И всё, у них и без яровой есть все данные о клиенте, пачпорт, траектории движения... Мой глупый ведроид мне предложил стать экспертом, по геолокации он мне всё рассказывает, где я , что делаю там...

Ты неправильно понимаешь конечную цель принятия такого закона. Никто не планирует с его помощью что-либо предотвращать. Смысл накопления такого количества персональных данных - использование в суде. Уже после событий. Это один из способов "закрепления" доказательной базы. Что именно ты написал определённый пост на форуме. И т.д. Обёртка для всего этого - борьба с попытками изменения конституционного строя. Обращаю внимание - не с терроризмом. Ну а в реале, конечно же, это делается для усиления позиций правящего звена. Ну и психологический эффект - чтобы у разных пишущих на форумах включилась самоцензура (тут имеется ввиду не оппозиция, а обычные люди, которые недовольны какой-либо частью проводимой политики).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну это уже давно обсудили со всех сторон.

У ФСБ действительно есть прокол — не может спец.служба напрямую обращаться к иностранному ЮЛ, для этого есть МИД или Министерство юстиции.

А в остальном — да, согласен, для шума фактов недостаточно, поэтому добавили обобщений.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Sergey Gilfanov сказал:

 

Для определения серверную части знать не нужно. Нужно просто как-то сравнить(по стороннему каналу, подпадчив клиент, чтобы он ключи показывал) тот ключ, что получил, с тем ключом, что у собеседника.

 

И что мешает ФСБ с их бессчетными центрами того-сего-программизма сделать патч и поставить эксперимент? 

Выявление митма убьет репутацию Дурова, да и сам телеграм. Невыявление, правда, наоборот. Зато честно.

Неужели все любопытные уехали в Калифорнию?

 

22 минуты назад, alibek сказал:

не может спец.служба напрямую обращаться к иностранному ЮЛ,

Обращаться может хоть к макаронному монстру. Не возбраняется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, alexwin сказал:

Да я не про то,я говорю,даже если pk проходят через севрера телеграм и дуров их собирает и отдаст тому,кто просит,че они с ними делать будут? Писать адресатам? Задача озвучена читать.

Ты хочешь написать мне в телегу в секретный чат.

Создаёшь этот чат, у тебя генерится ключевая пара, публичный уходит мне, идёт он через сервер телеги.

Сервер телеги может его пропустить как есть, а может сгенерировать свою ключевую пару, твой публичный ключ совокупить со своим приватным и отправить тебе ответ типа от меня. А мне отправить свой публичный ключ.

В таком случае у сервера будет два сессионых ключа и он сможет все сообщения от меня к тебе расшифровывать, сохранять/фильтровать/изменять и отправлять их дальше к тебе и наоборот.

 

 

3 часа назад, alex_001 сказал:

Такое впечатление что многие спорят о предмете , о котором не имеют ни малейшего представления.. Как устроено шифрование в телеге вполне себе есть в описании mproto.

https://tlgrm.ru/docs/mtproto/description . Просто полезно ознакомиться , прежде чем чтото обсуждать с шифрованием связанное

sha1_a = SHA1 (msg_key + substr (auth_key, x, 32));

За такие перлы бьют молотком.

Есть же hmac уже лет 30 как, но видимо авторы телеги о таком не слышали.

 

Притом эти дебилы даже во второй версии: https://core.telegram.org/mtproto/description

тоже про hmac не слышали и про kdf тоже, там так же: возьмите тут половинку хэша и вот тут и склейте их.


    msg_key_large = SHA256 (substr (key, 88+x, 32) + plaintext + random_padding);
    msg_key = substr (msg_key_large, 8, 16);
    sha256_a = SHA256 (msg_key + substr (key, x, 36));
    sha256_b = SHA256 (substr (key, 40+x, 36) + msg_key);
    aes_key = substr (sha256_a, 0, 8) + substr (sha256_b, 8, 16) + substr (sha256_a, 24, 8);
    aes_iv = substr (sha256_b, 0, 8) + substr (sha256_a, 8, 16) + substr (sha256_b, 24, 8);

Это адовый треш от школьников.

 

К тому же они сгенерировали ключ все один приватный+публичный, как я понял и он прибит гвоздями во всех приложениях.

Достаточно взять его с любого сервера и можно накорябать свой телеграм митм сервер, который будет читать ваще всё, включая секретные чаты (как минимум созданные при подключении через него). Даже если он не на всех серверах, а на каждом свой то не понятно из описания как клиент проверяет что сервер правильный, самое лучшее в такой схеме это по ключю на сервер которые подписаны главным ключём. Но тут механизма отзыва/таймаута не предусмотрено так что здравствуй мимт после первого слива ключа или его факторизации. (2к рса ключи пока не ломали, публично).

 

Другой оптимизацией может быть встраивание в код приложения клиента маленькую таблицу с некоторыми «хорошими» парами (g,p) (или просто известные верные простые числа p, поскольку g легко проверяется во время выполнения), проверяемую во время фазы генерации кода, чтобы избежать выполнения такой верификации во время выполнения. Сервер изменяет эти значения редко, таким образом обычно требуется подставить в такую таблицу текущее значение dh_prime сервера. Например, текущее значение dh_prime равняется (в порядке байт big-endian)

Вот только недавно все ругались на бэкдор от анб в виде dh_prime файла к апачу, который анб могло пропустить через свой суперкомп и наделать таблиц, с помощью которых потом довольно быстро ломать тлс.

 

И это я нашёл просто пролистав по диагонали. Я даже не криптограф, я сочувствующий.

 

 

2 часа назад, Alex/AT сказал:

Не может, там полноценный DH обмен, который не особо MITM'ается.
Если же будем иметь в виду "полный" MITM, который установка соединений в каждую сторону со стороны телеги, это любителями покопать протоколы будет обнаружено моментально.
Кроме того, даже в этом случае приватных ключей телега не получит. Только текущие сессионные.

Ничо ты не обнаружишь.

Единственный способ обнаружить митм - сверить публичные ключи собеседников по запасному каналу.

 

 

2 часа назад, Антон Богатов сказал:

Мнээээ.... может кто-нибудь из технарей об’яснить старому урысту есть ли MITM в телеграме, нет его, или вообще хз и всегда будет хз?

Есть.

Запомни, митм есть везде и всегда, пока ты лично не удостоверишься что используешь публичный ключ собеседника который твой собеседник сгенерировал из своего приватного ключа.

Есть ещё всякие варианты с третьей стороной, типа как в тлс - центры сертификации, которые типа подтверждают своей подписью публичные ключи участников, вопрос доверия к таким центрам каждый решает самостоятельно.

Существенно усугубляет ситуацию что в телеге всё ходит через их сервер - они всегда знают где ты, с кем ты общаешься, сколько написал и сколько тебе ответили - метаинформация.

 

Я думаю в месенгере сигнал криптографы договорились с силовиками что приватность должна быть, но так и быть метаинфу собирайте и анализируйте.

 

3 часа назад, Sergey Gilfanov сказал:

И, кстати, мне казалось, что пара публичный-приватный ключ для абонента при регистрации генерируется и приватный на серверах Телеграма все-таки не хранится?

А разница?

Если я к тебе в телегу постучусь, как ты узнаешь этой публичный ключ или его сервер телеги сгенерил для митма?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pvl сказал:

Лично мое мнение: Павел делает отличный пиар. С самого начала было понятно, что Российский сегмент ему не принципиален. Так что я думаю, что он вполне может намеренно принести его в жертву и показать этим своей целевой аудитории, что он "не прогибается". Просто бизнес, ничего личного.

Пеар то да.

Мотивы почти.

Это попытка зайти на запад со своим месенгером. А у нас отвлечение внимания от оффлайна на всякую ерунду.

Что он не прогибается - пеар. Мы же уже видели как силовики работают когда по серьёзному: его бы просто повязали когда он приехал в след раз по делам/к родственникам. И повод бы ему легко организовали приехать. А ещё тут какая то его конторка была, так там бы обыски делали каждый день и технику увозили в неизвестном направлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 минуты назад, Антон Богатов сказал:

Не возбраняется.

Но и на ответ можно не рассчитывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, M-a-x-Z сказал:

P.S. "Устойчивость важных и, тем более, критичных компонент относительно внешних факторов должна просчитываться заранее" - а ещё белое это белое, а чёрное - это чёрное. Утром ндао чистить зубы. солнце всходит на вотоке. И много других очень важных высказываний, вырванных из реального контекста.

А еще добавлю к списку: не надо тащить в рот все, что нашел на полу / само приползло в песочнице. Скушали - не жалуйтесь что понос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, Ivan_83 сказал:

А разница?

Если я к тебе в телегу постучусь, как ты узнаешь этой публичный ключ или его сервер телеги сгенерил для митма?

Такое бы должно было немного защитить от сценария, когда сервер внезапно решил начать делать MtiM. Ключи перестанут сходиться. Т.е. если есть MtiM, то он должен быть изначально - при регистрации утечки. А это, наверное, кто-нибудь бы уже заметил.

Но, похоже, я перепутал с каким-то другим протоколом. Вчера по телеграмовский просмотрел и никакой ключевой пары именно на учетке там не увидел. А увидел почти постоянный shared authentication клич на устройстве и на сервере. Я, конечно, может чего не понимаю, но же уже давно 'фу, не надо так делать'?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, LostSoul сказал:

сильно вырвался вперед xabber новый по фичам, но конкретно с нашим сервером prosody сейчас в нем появилась бага с глюком истории сообщений на сервере, ждем исправления и полноценно потестируем

О, спасибо за наводку на prosody, любопытная реализация. А то меня что ejabber что openfire свой монструозностью уже позаколебали.

 

20 часов назад, ayf сказал:

Достаточно намекнуть, что этим протоколом могут  пользоваться террористы. И - вуаля!

Скажу больше, террористы вовсю пользуются протоколами HTTP и HTTPS!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 минут назад, taf_321 сказал:

А еще добавлю к списку: не надо тащить в рот все, что нашел на полу / само приползло в песочнице. Скушали - не жалуйтесь что понос.

Глюки и нестабильность телеграмма - это глюки и нестабильность самого телеграмма.

Не надо их умножать при помощи РКН.

 

Тем более с таким подзодом не понятно, что заблокируют следующим (например, Амазон) и вообще придётся отказаться от всего, что стоит вне твоей серверной. Да и в неё могут прийти и опечатать. Нарущшение закона для этого не так уж и необходимо.

Изменено пользователем M-a-x-Z

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, Ivan_83 сказал:

А у нас отвлечение внимания от оффлайна на всякую ерунду.

Чье внимание отвлекается? В СМИ эту тему не шибко-то раскрывают. Хотя бы на https://news.yandex.ru если посмотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 часов назад, pers123 сказал:

10. Битрикс

О! Так и знал что эти обсоски продаваемый клиентам сервис них...я не на своих ДЦ крутят, а тупо спихивают на амазон. Потому и кованным сапогом пинал чтобы поднимали сервис на наших серверал ЛОКАЛЬНО и оте...сь со своими облачными предложениями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, Sergey Gilfanov сказал:

Я, конечно, может чего не понимаю, но же уже давно 'фу, не надо так делать'?

Отсюда и предположение (почти уверенность): А не специально-ли так сделано?

7 часов назад, Ivan_83 сказал:

Притом эти дебилы даже во второй версии: https://core.telegram.org/mtproto/description

тоже про hmac не слышали и про kdf тоже, там так же: возьмите тут половинку хэша и вот тут и склейте их.

 

7 часов назад, Ivan_83 сказал:

Вот только недавно все ругались на бэкдор от анб в виде dh_prime файла к апачу, который анб могло пропустить через свой суперкомп и наделать таблиц, с помощью которых потом довольно быстро ломать тлс.

Иван, все еще нет предположений ПОЧЕМУ вот именно ТАК сделано? :-) А не в размере-ли таблиц дело?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, taf_321 сказал:

О, спасибо за наводку на prosody, любопытная реализация. А то меня что ejabber что openfire свой монструозностью уже позаколебали.

prosody няшка , но учить ради него одного lua было несколько раздражающее.

Нет бы на питоне сделать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

58 минут назад, M-a-x-Z сказал:

Глюки и нестабильность телеграмма - это глюки и нестабильность самого телеграмма.

Не надо их умножать при помощи РКН.

Все, что находится за портом вашего пограничного коммутатора по-умолчанию несет глюки, нестабильность и подозрение в саботаже. Все остальное вторично.

 

6 минут назад, LostSoul сказал:

prosody няшка , но учить ради него одного lua было несколько раздражающее.

В хозяйстве lua и так много где есть (вот хотя бы в виде скрипта авторизации accel и той же astra), не страшно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, LostSoul сказал:

но учить ради него одного lua было несколько раздражающее

Чего там учить? Он примитивен как палка-копалка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Sergey Gilfanov сказал:

 Вчера по телеграмовский просмотрел и никакой ключевой пары именно на учетке там не увидел. А увидел почти постоянный shared authentication клич на устройстве и на сервере. Я, конечно, может чего не понимаю, но же уже давно 'фу, не надо так делать'?

Туплю. Что это означает? Сервер телеграма таки и есть MitM для всех клиентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, taf_321 said:

Скажу больше, террористы вовсю пользуются протоколами HTTP и HTTPS!

 

Мало того, они все ели огурцы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм... Если тенденции ковровых бомбометаний РКН сохранятся, то у меня есть другое предложение.

Нужно национализировать IPv4 и раздать IP-адреса всем страждущим, тому же Ростелекому и сотовым операторам.

Тогда и никакой китайский файрвол строить не придется, зарубежные пиры сами рунет отключат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.