Почему Telegram Passport — никакой не End to End
В обсуждении новости про Passport разгорелись жаркие дискуссии на тему безопасности последней поделки от авторов Telegram.
Давайте посмотрим, как он шифрует ваши персональные данные и поговорим о настоящем End-To-End.
Давайте посмотрим, как он шифрует ваши персональные данные и поговорим о настоящем End-To-End.
В двух словах, как работает Passport.
- Вы локально с помощью пароля шифруете свои персональные данные (имя, email, скан паспорта, другие документы).
- Зашифрованные данные + метаинформация загружаются в облако Telegram.
- Когда нужно авторизоваться на сервисе, клиент скачивает данные из облака, расшифровывает их паролем, перешифровывает на публичный ключ того сервиса, который запросил информацию, и отправляет.
Мы рассмотрим первую часть, которая касается шифрования и хранения персональных данных.
End to End по мнению разработчиков заключается в том, что облако Telegram якобы не может расшифровать ваши персональные данные, а видит только «случайный шум».
Давайте подробнее глянем на код алгоритма шифрования персональных данных из десктоп клиента, который находится тут и посмотрим, удовлетворяет ли результат его работы критериям End-To-End.
Всё начинается с пароля. Вот место, где он превращается в промежуточный ключ шифрования.