Роскомнадзор VS DeltaChat

И то, что приватный ключ никому постороннему не передается

Нет.

Чего небыло того небыло…

А это что ? www.linux.org.ru/forum/talks/15654713?cid=15661956

Это было

У меня на апаче стоит https сертификат. У него есть приватный ключ. Так вот, этот приватный ключ никому не передается и более того, в руководстве по настроке отдельно прописывается, что береь этот ключ надо больше всего и следить, чтобы он НИКОМУ не стал доступен.

А если вы мне дадите свой винт и я заберу этот ключ?

Это уже не вопрос шифрования. И да, я не отдам свой винт с ключами

Так вы тут и пристали с этим я вам и говорю никто не мешает создать версию дельта чат которая будет передавать ваши ключи куда надо. Так?

Нет, вы заявляли совсем не это, а то, что при асимметричном шифровании приватный ключ передается куда-то налево, и что любой может читать зашифрованные послания

Пфф. Так

Версия 1) что при асимметричном шифровании приватный ключ передается куда-то налево, и что любой может читать зашифрованные послания

Версия 2) версию дельта чат которая будет передавать ваши ключи куда надо. Так?

Поясните разницу.

Разница в том, что в самой идее асиметричного шифрования заложено то, что ключ не будет налево уходить. И если кто-то сделает так, то это будет уже нарушением архитектуры шифрования.

Сам Delta Chat не содержит оборудования, через которое передаются данные пользователей и не предоставляет сервисы обмена сообщениями, а разработчики Delta Chat вообще не имеют доступа к пользовательским данным. Провайдеры, через которых отправляются сообщения также не смогут получить доступ к данным, так как сообщения шифруются на стороне отправителя с использованием сквозного шифрования и ключ для расшифровки известен только участникам переписки.

короче, они требуют встроить какие-то сторонние троянские ключи, чтобы всё мог шейпить ркн или федеральные клоуны. угарный запрос, да.
не считая того, что для этого надо переделать сам принцип действия программы..

Ух ты. Ну неужели. Я думал я псих и никто тут не понимает меня. Кланяюсь в пояс.

Да кстати разрабы все иностранцы. Только что Новичок применить ))

И если кто-то сделает так, то это будет уже нарушением архитектуры шифрования.

Вот есть такая штука ЗАРАНЕЕ заложенная уязвимость. Вот например Дуров написал СВОЮ систему шифрования. Казалось бы зачем?

Ну поройся в исходниках openssl и gpg и посмотри, есть там заложенные уязвимости или нет

А у тебя хватит математики? У меня сто пудов нет Яж не Бернгтейн

а при чем тут математика? мы сейчас говорим про слив приватного ключа

Приказ короля старшего по палате не обсуждается, а выполняется.
Если старший не прав - смотри пункт первый.
На самом деле просто не верится, что такие анекдоты в жизнь пустили и всем норм, никого феназепамом не накачивают.

Вот например Дуров написал СВОЮ систему шифрования. Казалось бы зачем?

Не в защиту Дурова с Тг, а объективности для, а то что-то его постоянно плаками тыкают. Открыто всё, от кода клиентов, до протокола. Закрыт только сервер, но это мало кого волнует.

Проблема с сервером решается TDLib, тоже открытая, позволяет использовать серверы телеги как транспорт, на концы можно прилепить хоть pgp, хоть gpg, хоть литарею с цезарем.

Да, остаётся ещё сеть твоих контактов в Тг, но опять же, кого это волнует?

С чего ты взял что клиент открыт?

С того, что он даже в F-Droid есть. И в дистрибутивах собирается и работает.

https://github.com/DrKLO/Telegram

А с чего ты взял, что в гугловском магазине тот же самый код использовался при сборке?

https://core.telegram.org/reproducible-builds

https://telegram.org/apps#source-code

Здесь ссылки на код всех клиентов и на TDLib.

Кто мешает собрать с трояном и разместить в магазине?

Зачем пользоваться чем-то, чем пользоваться нельзя (по идейным или параноидальным соображениям) по определению?

Не доверяешь серверу, уверен, что утекут сессионные ключи, но вот прям надо телегой пользоваться - добавь в клиент своё шифрование, собери (это не сложно) или возьми TDLib и гоняй свой криптованый трафик.

Но, это же ведь никому не нужно. Всем хватает клиента из магазина, потому что 99.9% не против того, чтобы их читали, а даже целиком за. Как ни странно, мессенджеры они для этого, а не чтобы прятаться.

Ты не понял. Хочу я читать переписку в секретных чатах Медведева. Медведев использует телегу. Я звоню Дурову и предлагаю миллиард долларов. Дуров собирает сборку с трояном. У всех она обновляется, и у всех с трояном. Далее он собирает новую сборку без трояна, у всех КРОМЕ медведева она обновляется.

Ааааа… так-то, да.

Ты очень непонятно излагаешь, подтексты совсем не улавливаю.

Это называется цифровая подпись, чтобы любой мог достоверно убедиться что дверь закрыта именно тобой

Как думаете РКН добьется своего?

А потом пойдёт к разработчикам gpg?

Ох, почитай предысторию. Там dem рассказывал про шифрование (не ЭЦП) закрытым и передачу обоих ключей хз куда. На то, что это подпись, была реакция «вы ничего не понимаете». И, да, я ничего не понимаю, что именно dem имел в виду.

На то, что это подпись, была реакция «вы ничего не понимаете».

Ну да, хз тогда, что-то он перемудрил

1. Программа может отправить и закрытый ключ и открытый по произвольному адресу?

Да, конечно.

Все плохие айтишники после смерти попадают в Роскомнадзор

Так прав я был что может или не прав?

Может, только я всё-равно контекста не понял.

Объясняю.

Предпосылка Роскомнадзор требует от разработчиков Дельта Чат ключи пользователей. Что они могут сделать? Ситуация усложняется тем, что разработчики иностранцы.

2 варианта. 1) паяльник. 2) запретить гуглу распространять на территории России оригинальную версию.

Далее выкладываем сборку которая автоматом шлет ключи куда надо. Если паяльник, то сами разрабы могут такую сборку выложить. Да на гитхабе не будет кода который отправляет ключи. В принципе можно просто при очередном обновлении выкладывать раз в 2-3 месяца пропатченную сборку и собирать ключи.

Несоответствие опубликованного исходника распространяемому в реальности софту может конечно существовать неопределенно долгое время благодаря всеобщему пофигизму. Но небольшой риск обнаружения все равно существует. С потерей репутации и привлечением внимания ко всему софту сходного назначения. Разработчикам куда лучше либо идти на конфликт, либо на закрытие исходников.

Так это 1) Если разработчики САМИ этого хотят, а если им паяльник всунули, то уже желание вытащить паяльник. 2) Яж сказал, что можно выпустить обновление. Получить ключи и выпустить новое обновление.

А что значит «всунули паяльник»? По-моему, максимум что им грозит, это потеря нескольких процентов пользователей. Это не уголовное дело и не штрафы. Идти ради этого на риск потери репутации не слишком разумно.

Например угроза смерти

Угроза кому? Это разве продукт известных поименно российских авторов, управляемых конкретным администратором?

Повторяю, для тех кто в танке - разработчики ИНОСТРАНЦЫ

И что иностранцам до роскомнадзора? Кто и кому может угрожать смертью?

Ясно так и запишем

Прикольный довод

Да потому, что вы всегда ограничиваете себя в средствах. Вы считаете, что если у разработчика СЕЙЧАС нет ключей, то их и не будет. Я объясняю вам, что если ставки высоки, то достаточно одного из разрабов сильно напугать. Что там было с TrueCrypt? Что с Новичком?

Сам вопрос странный «И что иностранцам до роскомнадзора?»

Вот действительно ЧТО РКН до них? Вот подумаешь они от них ключи хотят и все. И так ВСЕ вопросы носят СОВЕРШЕННО бузумный характер.

«Кто и кому может угрожать смертью?» Дантес Пушкину.

Я объясняю вам, что если ставки высоки, то достаточно одного из разрабов сильно напугать.

Паранойя. Тем более если разраб не один, находится в другой стране и другой политической системе - напугать его не так просто. Попытка напугать может привести к неприемлемо огромному политическому ущербу.

Что там было с TrueCrypt?

Неизвестно. Одни слухи.

Что с Новичком?

Неприемлемый политический ущерб. Второй новичок приведет к тому, что страну опустят на уровень изгоя

Дантес Пушкину.

Они тусили в одной среде бок о бок и им не было плевать на какие-то взаимные претензии