Telegram: аспекты безопасности и лайфхаки для Windows

Безопасность и конфиденциальность в Telegram

Telegram — кроссплатформенный облачный мессенджер с собственным криптопротоколом MTProto, централизованной серверной инфраструктурой и дополнительными механизмами защиты (двухфакторная аутентификация, секретные чаты, прокси), эффективность которых активно обсуждается экспертами по ИБ.

Telegram – это одна из самых популярных бесплатных кроссплатформенных облачных систем обмена мгновенными сообщениями. Сервис включает множество функций мессенджера, таких как мгновенные сообщения, видео- и аудиосообщения, а также дополнительные возможности, характерные только для Telegram.

Пять центров обработки данных находятся в разных регионах, в то время как главный операционный центр расположен в Дубае (ОАЭ). Серверы Telegram находятся по всему миру, чтобы равномерно распределить плотность загрузки данных. Сервис доступен для Android, iOS, Windows, macOS и Linux, для регистрации требуется только номер телефона.

По умолчанию Telegram использует однофакторную аутентификацию на основе SMS: одноразовый код доступа отправляется по SMS на номер телефона пользователя, чтобы авторизоваться, нужно ввести код. Пользователи также могут создать пароль, тем самым обеспечив двухфакторную аутентификацию.

Схема шифрования Telegram (MTProto)

Telegram использует схему шифрования под названием MTProto. Протокол был разработан Николаем Дуровым (его брат Павел Дуров профинансировал проект) и другими разработчиками Telegram. MTProto основан на:

• 256-битном симметричном шифровании AES (алгоритм шифрования, принятый в качестве стандарта шифрования правительством США);
• 2048-битном шифровании RSA (криптографический алгоритм, основывающийся на факторизации больших целых чисел);
• обмене ключами Диффи – Хеллмана (система шифрования и электронной подписи, при которой открытый ключ передаётся по незашифрованному каналу, чтобы зашифровать сообщения).

Серверная инфраструктура и хранение данных

Как и большинство протоколов обмена мгновенными сообщениями, Telegram использует централизованные серверы в странах по всему миру, что существенно уменьшает время отклика по запросу. Серверное программное обеспечение Telegram закрыто и проприетарно, то есть является частной собственностью авторов.

Для пользователей, которые вошли в систему из Европейской экономической зоны (ЕЭЗ) или Соединённого Королевства, соблюдение общих правил защиты данных обеспечивается за счёт хранения данных только на серверах в Нидерландах.

Безопасность и критика модели конфиденциальности Telegram

Модель безопасности Telegram периодически критикуется экспертами по криптографии и криптографическими сообществами. Основные претензии связаны с тем, что сервис по умолчанию хранит контакты и сообщения вместе с их ключами дешифрования на своих серверах и не использует сквозное шифрование по умолчанию для обычных чатов.

Павел Дуров (совладелец и соразработчик) утверждает, что это помогает избежать сторонних незащищённых резервных копий и позволяет пользователям получать доступ к сообщениям и файлам с любого устройства.

Эксперты также критиковали использование специально разработанного протокола шифрования вместо широко принятых стандартов. Однако в декабре 2020 года было опубликовано исследование «Автоматическая символьная проверка MTProto 2.0 Telegram», в котором подтверждается безопасность обновлённого MTProto 2.0.

В документе приводится доказательство надёжности MTProto 2.0 для обычных чатов, сквозного зашифрованного чата и механизмов смены ключей в отношении нескольких свойств безопасности: аутентификация, целостность, конфиденциальность. Это частично подтверждает безопасность последней версии протокола.

Фонд Electronic Frontier Foundation (EFF) включил Telegram в «Таблицу показателей безопасного обмена сообщениями» в феврале 2015 года. Дополнительная функция секретного чата Telegram, обеспечивающая сквозное шифрование, получила 7 баллов из 7. EFF отмечает, что по этому показателю сервис можно считать относительно безопасным.

26 февраля 2014 года немецкая организация потребителей Stiftung Warentest оценила несколько аспектов защиты данных Telegram и других популярных мессенджеров: безопасность передачи данных, условия использования, доступность исходного кода и распространение приложения. Организация одобрила секретные чаты Telegram и частично открытый код, но раскритиковала обязательную передачу части данных на серверы Telegram и отсутствие отпечатка или адреса на веб-сайте службы.

В июле 2021 года исследователи из Royal Holloway (Лондонский университет) и ETH Zurich опубликовали анализ протокола MTProto, сделав вывод, что протокол может обеспечить «конфиденциальный и защищённый канал связи».

Как защитить сообщения Telegram паролем (Windows-клиент)

В Telegram-клиенте для Windows можно добавить буквенный, цифровой или комбинированный пароль (с символами) для защиты сообщений. Порядок действий:

1. Откройте приложение Telegram на своём компьютере.
2. Щёлкните значок меню с тремя полосами в левом верхнем углу окна и выберите пункт «Настройки».
3. В разделе «Настройки» выберите «Конфиденциальность».
4. Прокрутите вниз до раздела «Код-пароль» и нажмите «Включить код-пароль для приложения».
5. Введите буквенно-цифровой код и нажмите кнопку «Сохранить» после завершения.
6. В разделе «Код-пароль» задайте длительность опции «Автоблокировка при неактивности», чтобы приложение автоматически блокировалось через указанный интервал (например, 1 час, 5 часов и т.д.). После этого нажмите клавишу Esc, чтобы выйти из настроек.

Как использовать прокси-сервер в Telegram

Для повышения уровня конфиденциальности Telegram позволяет настроить внутренний прокси-сервер. Это помогает скрыть реальный IP-адрес и усложнить отслеживание активности.

Чтобы настроить прокси в Telegram для десктопной версии:

1. Щёлкните по трём горизонтальным полосам в верхней левой части окна и выберите «Настройки».
2. Перейдите в раздел «Дополнительно».
3. Откройте пункт «Сеть и прокси».
4. Нажмите на «Тип подключения».
5. Выберите опцию «Использовать настраиваемый прокси» и задайте параметры прокси-сервера (тип, адрес, порт, при необходимости логин и пароль).

Заключение

Telegram набирает популярность с каждым днём: только после обвала WhatsApp и Facebook 5 октября 2021 года к сервису подключилось около 70 миллионов новых пользователей за сутки. Всё больше компаний и специалистов используют Telegram для деловой переписки, а объём конфиденциальной информации в чатах растёт в геометрической прогрессии.

С учётом централизованной архитектуры и критики модели безопасности важно осознанно подходить к настройке Telegram: включать двухфакторную аутентификацию, использовать секретные чаты для особо чувствительной информации, настраивать пароль на приложение и при необходимости прокси-подключение. Это позволит максимально снизить риски несанкционированного доступа и повысить уровень защиты ваших данных.