Dotychczasowa relacja Signala i Telegrama była prosta do opisania – obydwa komunikatory uważały, że ten drugi nie istnieje. A jednak kilka dni temu założyciel Signala wypowiedział kilka nieprzychylnych słów o Telegramie, co wywołało burzę.
Założyciel Signala uważa Telegram za gorszy komunikator niż Messenger
Telegram, zwłaszcza w ostatnim czasie, zyskał ogromne grono użytkowników mianując się jako bardziej prywatna alternatywa dla Facebook Messengera czy WhatsAppa. Dodatkowo oferuje też wiele ciekawych funkcji, które na próżno szukać u konkurencji. Tuż obok Telegrama rósł również Signal.
Moxie Marlinspike – założyciel Signala – uważa jednak, że Telegram jest zaprzeczeniem prywatnego i bezpiecznego komunikatora. Fakt, oferuje wiele ważnych i przyjemnych funkcji, ale nadal jest niebezpieczny. Co wytyka Telegramowi?
W nitce na Twitterze wytyka kilka błędów, a przede wszystkim brak prawdziwej prywatności oraz słabe szyfrowanie end-to-end. Autor wpisu dodaje, że wszelkie wiadomości i inne informacje są przechowywane na serwerach w formie czystego tekstu, tzw. plain text, które nie są zaszyfrowane. Dowodem na to ma być fakt, że zaraz po zalogowaniu się na swoje konto na nowym urządzeniu, nasze dane są przywracane w zaledwie kilka sekund. Nie ma tutaj ani chwili zwłoki ani przywracania kopii zapasowych.
Założyciel Signala dodaje, że już lepszym komunikatorem jest Facebook Messenger, bowiem ma o wiele lepiej zaimplementowane szyfrowanie. Tutaj też nie wiem czy to dobry przykład, bowiem sam widziałem jak moje wiadomości są usuwane automatycznie po wysłaniu, bo zawierały niepoprawne treści. Dla mnie coś takiego jest większmy dowodem na brak prywatności niż szybkie przywracanie danych na nowym urządzeniu. Oczywiście padł też klasyk w postaci “braku domyślnego szyfrowania end-to-end”.
Poniżej możecie przeczytać wpisy twórcy Signala opublikowane przez niego na portalu Twitter.
Telegram odpowiedział
O Signalu i Telegramie zrobiło się naprawdę głośno, a temat mocno podchwyciły media szybko nazywając Telegram kiepskim wyborem jeśli zależy nam prywatności i bezpieczeństwie. Co ciekawe, komentarze wielu osób zaprzeczały temu jakoby Telegram nie szyfrował wiadomości. Telegram jednak odpowiedział.
A w zasadzie zrobił to założyciel Telegrama, czyli Pavel Durov. W swoim wpisie zaznaczył, ze przede wszystkim Telegram przeszedł wiele audytów bezpieczeństwa i dostał wysokie noty jako jeden z najbezpieczniejszych komunikatorów internetowych. Mało tego, ze względu na ulokowanie poza granicami Stanów Zjednoczonych, Telegram nie musiał implementować backdoorów dla służb USA (chociaż też nie wiemy czy takowe Signal faktycznie ma). Raport FBI faktycznie pokazuje, że Telegram niechętnie współpracuje ze służbami
Dopiero jednak w ostatnim akapicie Durov odniósł się bezpośrednio do Signala mówiąc, że amerykańska konkurencja jest sfrustrowana szybkim rozwojem Telegrama. Założyciel dodaje również, że jeśli Signal chce mieć takie osiągnięcia jak Telegram, to musi dotrzymać swoich obietnic dot. prywatności i bezpieczeństwa.
Poniżej możecie przeczytać przetłumaczoną przez Google Translate odpowiedź Durova. Wklejam ją jako tekst (co pozwoliło mi na przetłumaczenie) ze względu na to, że nie jest możliwe podanie jej w takiej formie, jak pozwala Twitter.
Niedawny raport dowiódł, że Telegram dotrzymuje obietnicy zachowania danych użytkownika jako prywatne, podczas gdy aplikacje takie jak WhatsApp przekazują dane użytkownika w czasie rzeczywistym stronom trzecim i pomimo ich licznych twierdzeń dotyczących „szyfrowania E2E” mogą również ujawniać zawartość wiadomości.
Raport potwierdził, że Telegram jest jedną z niewielu aplikacji do przesyłania wiadomości, które nie naruszają zaufania użytkowników.
Nie jestem zaskoczony. Większość innych aplikacji nie może zagwarantować prywatności swoim użytkownikom, nawet gdyby chcieli. Ponieważ ich inżynierowie mieszkają w Stanach Zjednoczonych, muszą potajemnie wdrażać tylne drzwi w swoich aplikacjach, gdy nakazuje im to rząd USA. Jeśli inżynier mówi o tym publicznie, może trafić do więzienia za złamanie nakazu gagu.
W większości przypadków agencje nie potrzebują nawet nakazu sądowego, aby wyodrębnić prywatne informacje z aplikacji do przesyłania wiadomości, takich jak WhatsApp, a w innych przypadkach dokumenty sądowe są okryte tajemnicą. Niektóre rzekomo bezpieczne aplikacje były od samego początku finansowane przez agencje rządowe (np. Anom, Signal).
Od wielu lat Agencja Bezpieczeństwa Narodowego (NSA) dba o to, by międzynarodowe standardy szyfrowania były zgodne z tym, co NSA może rozszyfrować i wszystkie inne podejścia do szyfrowania są oznaczone jako „niestandardowe” lub „home-brew”. Za pośrednictwem swoich serwerów proxy w branży szyfrowania (takich jak ten) NSA nałożyła wadliwe standardy na szyfrowanie używane przez resztę świat, ostrzegając wszystkich innych przed „wdrożeniem własnego szyfrowania”.
Nic dziwnego, że amerykańskie aplikacje, takie jak WhatsApp, są nękane tylnymi drzwiami – celowo umieszczanymi lukami bezpieczeństwa, które rządy (i ktokolwiek inny) może służyć do hakowania smartfonów i wydobywania prywatnych danych od ludzi.
Słyszałem, że nasi konkurenci z USA są sfrustrowani, że nie są w stanie dorównać rozwojowi Telegrama, pomimo dużych inwestycji w marketing (coś, w co Telegram nigdy nie musiał inwestować). Aby jednak dorównać naszemu wzrostowi, muszą najpierw upewnić się, że ich działania są zgodne z deklaracjami marketingowymi. Do tego czasu naruszenia danych i problemy z bezpieczeństwem w ich aplikacjach będą niestety nieuniknione.
Pavel Durov
Tutaj też zaznaczę, że Telegram szyfruje wiadomości za pomocą autorskiego algorytmu MTProto. Ten jest otwarty i dokładnie opisany w dokumentacji. Dlaczego więc end-to-end nie jest domyślne? Otóż Telegram wszędzie przedstawia się komunikator oparty o chmurę i na jej bazuje wiele funkcji. O tym napisał sam Telegram w swojej dokumentacji. Muszę jednak zaznaczyć, że faktycznie Signal błyszczy pod względem prywatności i implementacji End-to-End. Telegram natomiast nie jest w pełni otwarty. Kod aplikacji klienckich został opublikowany, ale to samo nie stało się w kontekście backendu.
Odpowiedź Durova jest dosyć mocna. Warto jednak dodać, że w wielu aspektach brzmi jak klasyczne odbijanie piłeczki. Pytanie brzmi co zrobi teraz Signal. Czy faktycznie pokaże jakieś dowody (a nie bazujące na dziwnych eksperymentach). Ja liczę na oficjalną odpowiedź, bo na takiej konfrontacji możemy zyskać przede wszystkim my – użytkownicy. Jeśli Signal faktycznie udowodni nam, że Telegram nie jest taki dobry, to naprawdę może zmusić nas do zmiany.
O tym, co jest prawdziwym problemem Telegrama (a co nie) pisaliśmy w poniższym artykule:
Źródło: @moxie, Durov’s Channel
Chcesz być na bieżąco? Śledź ROOTBLOG w Google News!