Про безопасность Телеграма

Самая большая проблема на самом деле с месенжером Телеграм — это то, что граждане, его написавшие, решили использовать не уже хорошо известные и продуманные решения, а сделали свою шифрование сами. Это, в принципе, не есть моветон само по себе — при том условии, что в твоей команде работает пара докторов наук со степенями в криптографии. Но если же шифрованием будет заниматься кто-то с недостаточным уровнем образования, то полученный результат будет корявым, и (сравнительно) легко ломающимся. Так что не обольщайтесь его мнимой безопасностью. Если вами по-настоящему заинтересуются, взломать ваш Телеграм не составляет большого труда.

Статья на Хабре по теме
Ещё (на английском)

Mirrored from Лабораторный Журнал №6.

Самая большая проблема с Телегой в том что они пытаются стать соц сетью (и в общем-то успешно этого достигли - каналы и т.п.), но при этом они жестко привязывают аккаунты к реальной identity юзеров.

При регистрации в Телеге требуют телефонный номер, что эквивалентно показу паспорта. Насколько я понимаю их заставляют это делать правоохранители - такое заставляют делать все мессенджеры, но вот распространять это на посты в соцсети (те самые каналы) - это крайне нехорошая практика, особенно для страны вроде рашки.

Да и для жителей запада пользоваться Телегой не стоит - Телега скорее всего работает для спецслужб, и скорее всего - российских спецслужб. Показательные заламывания рук и позы товарисча Дурова скорее намекают именно на это.

Отсюда и доморощенное шифрование. Напрямую сливать данные как-то не комильфо, а вот если в имплементации шифрования есть некие слабые места о которых знают "где надо" - то все ОК.
>>При регистрации в Телеге требуют телефонный номер, что эквивалентно показу паспорта.
-
Не в РФ. Без бигдаты с отслеживанием геосвязи второй номер-первый номер - не работает.

Технические детали без образования или долгих размышлений непонятны. Но я усвоил, что всё реально секретное надо защищать длинным паролем. Не новая идейка.

Длинный пароль, безусловно, вещь хорошая. Но если алгоритм, которым всё это дело шифруется, имеет уязвимости, длина пароля роль, конечно, играет, но малую -- всё равно сломают.

Я так понимаю, что время взлома грубой силой растет с длиной пароля экспоненциально. Так что достаточно длинный не успеют.

> Я так понимаю, что время взлома грубой силой растет с длиной пароля экспоненциально.

Это так. Но с оговоркой что это для алгоритма без уязвимостей.

Если же есть уязвимости, то размер работы, необходимый для взлома, заметно падает. Как сильно -- зависит уже от от алгоритма и типа уязвимостей.
Давным давно прочитал про "уязвимость" алгоритма хранения пароля в windows, которая позволяет быстро подобрать оный.
вот нашел: "
Формирование LM-хэша:
1. Пароль пользователя преобразуется в верхний регистр и дополняется нулями до длины 14 байт.
2. Полученная строка делится на две половинки по 7 байт и каждая из них по отдельности шифруется алгоритмом DES. В итоге получаем хэш длиной 16 байт (состоящий из двух независимых половинок длиной по 8 байт).
3. ..."
https://habr.com/post/114150/

При таком алгоритме какая бы не была длина пароля, подбор сильно сложнее не становится
Хабр - ебаное дно, и приводить его после 2016 года в пример - вообще не стоит
Послушай, при чём тут дно-не дно? Факт ведь в том, что у телеграмщиков самопальная криптография, с очевидными вытекающими из этого последствиями. И не на Хабре это первые поняли.

И что, кстати, там случилось в 2016 году?
Прелесть.

Вот до чего доводит самописная криптография.

Впрочем, весьма возможно, что это "специально".
Сначала раскрутили в новостях всем злодеям, что он супербезопасный, а теперь будут потихоньку вылавливать. :)