Все очень любят телеграм: на моем телефоне это самое используемое приложение, а среди всех мессенджеров телеграм однозначно самый продвинутый и удобный.

В то же время у сообщества возникают огромные вопросы к политике безопасности телеграма.

Первая проблема: по умолчанию сообщения шифруются только до сервера

Это значит, что злоумышленник не сможет прочитать их при перехвате сигнала, но телеграм имеет полный доступ ко всей вашей истории сообщений. Приходится полагаться на добросовестность компании: единственная гарантия того, что телеграм не выдаст переписку по запросу какого-либо государства – слова Павла Дурова.

Тут, конечно, встает вопрос удобства: синхронизировать зашифрованную переписку между разными клиентами очень тяжело, поэтому такой выбор со стороны разработчиков телеграма можно понять.

Если вам необходима конфиденциальная переписка, то необходимо воспользоваться функцией секретных чатов. В таком случае переписку прочитают только её участники. К тому же, переписка нигде не хранится.

Еще секретная переписка не синхронизируется между разными клиентами. А на десктопах функция вообще недоступна (только в отдельной версии клиента для Mac).

Поэтому секретными чатами пользуются очень редко.

Вторая проблема: серверная часть протокола MTProto закрыта

Это значит, что проверить устойчивость алгоритма шифрования, который использует телеграм, очень трудно для внешних специалистов.

На своем сайте телеграм утверждает, что исходный код мессенджера будет опубликован со временем, но это сообщение висит на сайте с самого первого релиза.

В реальности даже код клиентов публикуется на GitHub лишь несколько раз в год. Большую часть времени там висят неактуальные исходники: приложение обновляется намного чаще. Последний коммит в репозитории GitHub был в конце марта. Приложение с этого момента обновлялось уже более пяти раз на разных платформах. Ни одно из этих изменений не попало на GitHub и не может быть проверено на наличие эксплоитов.

Дуров не по делу гонит на Signal

В 2013 году появилась некоммерческая организация Open Whisper Systems. Она выпустила Signal Protocol, протокол для защищенной переписки с end-to-end шифрованием. Код протокола полностью открыт, свободен и основан на известных безопасных алгоритмах шифрования.

Signal Protocol получил максимальное признание в среде специалистов по криптографии. На 2017 год он используется в самых популярных мессенджерах (WhatsApp, Facebook Messenger и Allo).

Телеграм на фоне конкурентов просто не выглядит как мессенджер, приоритетом которого является приватность. Если Дуров предлагает верить его честному слову, то OWS предлагает верить исходному коду, который был подвергнут многократному аудиту со стороны специалистов.

Утеря конкурентного преимущества, видимо, слишком расстроила Павла Дурова. Лучшее, что он мог сделать, – заменить мутный MTProto на открытый Signal и закрыть все вопросы по безопасности телеграма. Но гордость не позволяет Дурову отказаться от протокола, написанного его братом.

Из-за этого Signal остается для Дурова больной темой. В твиттере его регулярно провоцируют на комментарии, полные ярости.

Так как прикопаться к Open Whisper Systems и протоколу в техническом плане практически невозможно, Дуров ищет другие способы дискредитировать конкурентов. Павел обвиняет НКО в том, что они получали финансирование от государственного фонда в США. По мнению Дурова, в Signal есть бэкдоры для американских спецслужб.

Обвинения смешные по трем причинам:

1. Исходный код Signal Protocol и мессенджера Signal полностью открыт и подвергнут многократным проверкам со стороны независимых специалистов. Этого нельзя сказать про исходный код серверного софта Telegram. Единственная возможность проверки – конкурс по взлому с сомнительными условиями (нужно перехватить переписку). Если Дуров считает что там есть бэкдор – пусть найдет его, а не ставит на это миллион долларов.

2. Происхождение денег Дурова, на которые работает телеграм – под таким же вопросом, как и деньги Signal. Никаких планов по монетизации телеграма до сих пор не было заявлено, поэтому пока проект сжигает личные деньги Дурова, которые он получил, продав долю во «ВКонтакте» Ивану Таврину – человеку, тесно связанному с Кремлем. Если следовать логике, по которой получение OWS денег от американского фонда говорит о том, что у американских спецслужб есть доступ к данным, то происхождение капитала Дурова должно говорить о том, что переписка отправляется напрямую в ФСБ. В реальности, конечно же, неверно ни то ни то, но зачем тогда предъявлять не подкрепленные ничем обвинения?

3. Просто некрасиво по отношению к пользователям сомневаться в безопасности Signal, когда все вопросы специалистов к MTProto были проигнорированы.

***

Я пользуюсь телеграмом совсем не за его безопасность. Мне вообще не так важно, шифруется моя переписка или нет. По удобству телеграму нет равных: десктопные клиенты, синхронизация истории, скорость работы, качественные звонки, миллионы стикеров и ботов, классные каналы – всё супер.

Телеграм – лучший мессенджер на рынке. Но точно не самый безопасный – он только позиционирует себя таковым.

А действия Павла Дурова отталкивают потенциальных пользователей от перехода на телеграм, хотя аудитория – самое главное для мессенджера.

Очень жаль.