В мобильных приложениях "ВКонтакте" для iOS и Android появились голосовые и видеозвонки. Доступ к сервису будет появляться постепенно. В день запуска звонков "ВКонтакте" предложила поздравить друзей, которые отмечают день рождения. После окончания вызова сервис звонков появится у обоих собеседников. Дальше пользователи смогут звонить и активировать сервис у других знакомых, - говорится в сообщении компании.
Безопасность вызовов обеспечивает сквозное шифрование (end-to-end encryption). Оно проходит на устройстве пользователя, поэтому никто не может узнать содержимое разговоров. Передача ключей и получение доступа к информации за пределами устройства невозможны технически. Для улучшения качества связи наивысший приоритет получают маршруты Peer-to-Peer. В таком случае соединение проходит напрямую между пользователями. Если возможности прямого подключения нет, трафик передаётся через серверы ВКонтакте без технической возможности доступа к содержимому разговоров, - уточнил Михаил Болдов, руководитель мобильной разработки "ВКонтакте".
Запуск звонков с с end-to-end шифрованием обещал вчера Андрей Рогозов, управляющий директор «ВКонтакте». Компания использовала как PR-повод действия Роскомнадзора по блокировке мессенджера Telegram, о которых охотно пишут СМИ. Формально - это уже второй анонс, который сделали ВКонтакте, однако первый, в начале апреля 2018, прошёл почти незамеченным. Возможно из-за того, что голосовая и видео связь с шифрованием есть практически во всех конкурирующих мессенджерах.
В марте 2018 года Ernst&Young рассказали, что в Москве и других крупных городах РФ 31% опрошенных абонентов используют мессенджеры наравне с обычной голосовой связью, а 8% использует их как приоритетный способ связи и не платят сотовым операторам за голос. Контроль над холдингом Mail.ru Group, которому принадлежит "ВКонтакте", с 2017 года находится у сотового оператора «МегаФон».
Добавить 9 комментариев
end-to-end и Peer-to-Peer на фоне возни с телеграмм становятся масс маркет брендом, мало чего общего имея с безопасностью, если конечно у тебя не смартфон от Phantom Secure:
https://roem.ru/12-03-2018/268439/fbi-phantomsecure/
но это не точно:
https://roem.ru/05-01-2018/266099/apple-cpu/
https://roem.ru/04-01-2018/266050/google-snova-pomog-intel/
В очередной раз замечу, что никакого смысла восторгаться end2end нет. Этот вид шифрования действительно хранит ключи на устройствах. Нюанс в том, а где он их берёт или как он их генерирует?
Может сложиться стрёмная ситуация end2end шифрования с известными для Хозяина ключами. Или end2end шифрования с предсказуемыми для Хозяина ключами. Либо Хозяин сразу знает ключи всех подключённых абонентов, либо ключи не знает, но ключи вовсе не случайные, а генерируются предсказуемым для Хозяина образом. Формально Хозяин может сколько угодно болтать, о диджитал резистанс, о запуске самолётиков или о том, что они сидят в прекрасном офисе на Ленинградке, и о том, что ему ключи неизвестны. И это даже будет правдой. Но как только ключи потребуются — ключи появятся (по одному щелчку пальчиками лейтенанта запаса с военной специальностью «военная пропаганда»).
Да, к очень безопасному мессенджеру братьев Дуровых замечание тоже может относиться. Тем более, что связь у них не p2p, а идёт через сервер, поэтому угрозы компрометации переписки, и так вовсе не нулевые, возрастают на порядок.
>Этот вид шифрования действительно хранит ключи на устройствах. Нюанс в том, а где он их берёт или как он их генерирует?
А если и сам сгенерировал, то как передал его собеседнику, понятно что end-2-end это не про безопасность, интересно, когда в гонке мессенджеров за «безопасность» у людей начнет появляться осознание того что много большую безопасность может дать открытый протокол общения, по типу smtp, что тогда они (мессенджеры) будут делать?
И почему условный гугл не продвигает эту идею, чтоб сделать свой «gmail» клиент для мессенджера с открытым протоколом связи и таким образом обойти на повороте вотсапы и вайберы с телеграммами.
Небольшой референсный сигнальчик, вставляемый в зашифрованный поток, также решает проблему.
> А если и сам сгенерировал, то как передал его собеседнику
*facepalm*
>> А если и сам сгенерировал, то как передал его собеседнику
>*facepalm*
Я посмотрю вы программист, расскажите мне как легко можно передать ключ без посредника — удостоверяющего центра.
А раз есть посредник, то есть большая вероятность передачи ключа именно через него или даже сам ключ им же и сгенерированный.
Любая централизованная система имеет потенциал прослушки, что бы при этом не утверждали их владельцы про секретные чаты.
Если бы Дуров хотел дать людям подлинную тайну переписки, то продвигал бы новый smtp для мессенджеров, а не свой централизованный мессенджер, регулярно падающий, вероятно от своей сверх «распределенности».
*facepalm(2)*
>*facepalm (2)*
Еще один кодер?
Расскажи мне кодер, как юзеру узнать что телеграмм не генерит ключи или не является посредником передачи ключа для того же end2end?
Декомпилировать бинарник приложения телеграмма или верить версии на гитхабе?
Злые языки поговаривают что Паша обманывает с открытым кодом, потому что не выложил серверную часть, а совсем злые поговаривают что версия на гитхабе совсем не та что оф. приложение.
Централизованная система общения всегда сможет читать переписку, причин масса, начиная чисто коммерческими, заканчивая политическими, как Иван верно подметил:
https://roem.ru/01-05-2018/270582/nashli-drug-druga/#comment-275757
PS Я не криптолог, но по истории знаю что энигму взломали методом который Алексей Ровдо выше предложил, об этом даже кино сняли, думаю с тех пор мало что принципиально поменялось в криптографии.
При неизвестной серверной части сделать MITM не проблема, ну будет не 2 ключа, а 4, одна пара для общения одного клиента с сервером, а вторая для общения второго клиента с сервером, в этом случае клиент даже переделывать не придётся, чтобы ключи сливал, сервер всё сможет расшифровать.