Виктор Прокопеня стал гостем интеллектуального клуба Светланы Алексиевич 13 июня. После интервью, которое провёл директор probusiness.io Виталий Волянюк, посыпались вопросы из зала. А самые острые задал ресторатор Вадим Прокопьев.
— Виктор, я вас прекрасно могу представить себе на месте другого прекрасного талантливого айтишника-бизнесмена Дурова. Он тоже не вступал ни в какие компромиссы с государством, пока в один прекрасный день ФСБ и Роскомнадзор не постучались к нему и не сказали: «Отдай ключик. Отдай ключик по-хорошему». Он ключи не отдал, во всяком случае история рассказывает так. В этом коммерческий расчёт или мужская твёрдость? И как поступили бы вы?
— История [Дурова] другая, чем пишут СМИ. Это раз. Что бы сделал я? Я бы сделал так, чтобы ключика не было ни у кого технически. Сегодня есть такие системы и алгоритмы децентрализации, которые этот вопрос снимают. Если мы создадим систему без серверов, которая будет работать децентрализованно, то даже если кто-то придёт и скажет: давай я куплю этот сервер и через него пойдут сообщения, cделать это будет невозможно. Такие проблемы решаются способом децентрализации. Нет ни одного человека, который бы владел ключиком.
Прокопьев посетовал, что «был зажёван» ответ на вопрос ведущего: что Прокопеня думает про компромисс бизнеса и власти, и шёл ли он на какие-то уступки государству, чтобы был принят декрет № 8? Вот как звучал ответ:
— О каких уступках может идти речь? Что государство может от меня выгадать? Им плевать. На бизнес-переговорах сила позиции каждой стороны определяется альтернативным вариантом. Но на переговорах с властью никакой альтернативной позиции у тебя нет.
Хотите сообщить важную новость?
Пишите в наш Телеграм
> Нет ни одного человека, который бы владел ключиком.
Ну так-то в телеге так и есть же
Если ваша переписка не в зашифрованном чате(а тут ключик есть и отправителя и получателя), то гарантии что переписка на сервере телеграмма не расшифррвывается нету же?
> не в зашифрованном чате
вы сами ответили на свой вопрос ;-)
Надо собрать телеграм с сорцов, создать секретный чат, сравнить лично фингерпринты паблик ключей и тогда все - е2е. Если в другом мессенджере такого сделать нельзя - можете по-умолчанию считать его небезопасным.
Ответил как настоящий продажник - красиво но непонятно. Гуманитариям такие ответы нравятся )
На вопрос не ответил, про работу телеграм сказал что-то несуразное.
Меня удивляет больше позиция или представление Прокопени про безопастность приложений:
"Сегодня есть такие системы и алгоритмы децентрализации, которые этот вопрос снимают."
Снимут ответственность? Или можно делегировать отвественность другому лицу? :) ЛоЛ
То есть он хочет сказать, что можно написать такую реализацию, которая улучшит безопастность.
Ну ОК! А кто будет ревьювать этот "безопастный код"? Сам Дуров чтоли или Прокопеня? :) Он - мега-крутой спец в шифровании? Он болеет про безопастность переписки юзеров?!
Я не ставил бы вопрос так, что можно реализовать что-то мега секьюрное. Можно, но есть проблемы поддержки инфраструктуры. Любой ДевОпс об этом может рассказать.
Есть такие проблемы, например:
1-я. В ревью кода действительно спецами! Если исходный код закрыт, то даже смешно говорить о какой-то безопастности! Если код открыт и Дуров просто модерирует мерджреквесты каких-то фич, которые вливаются спецами по безопастности, то здесь есть какой-то шанс, что безопастность приложения будет улучшаться. Насколько я помню Дуров открестился от Телеграма, выложив искодники в GitHub. И правильно сделал! А может его заставили выложить исходники :)) Но есть порождённая проблема )) Взять тот же репозиторий "Telegram Desktop" (https://github.com/telegramdesktop). Там два администратора, владельца аккаунта проекта: какой-то программист из Австрии, Christoph, и какой-то вымышленный John Preston, но очень активный. Этот John Preston пилит кучу всего в проекте. Кто этот юзер в реальности, лучше не гадать )) Я не доверяю каким-то ананоимным юзерам с вымышленными именами. Может этот John Preston и получил все права на исходный код от Дурова?! Ваше мнение?
Короче даже, если исходники в открытом доступе, то не факт, что безопастность приложения в норме, т.к. этот аноним John Preston может в любой момент влить коммит со спайдером ключей и ребята все ваши старания и чаяния про безопастность в одном месте.
А ещё надо помнить кому принадлежит GitHub сейчас. Майкрософт всегда рад помочь солидным дядькам с деньгами и полномочиями )))
2-я проблема. Куда идут гитхабовские билды реальных инсталляторов? Что это за файловый сервер? Кто владеет этим файловым сервером, который синтегрирован на сайты домена "telegram.org"?
Это то, что мне пришло в голову... И я - не спец в безопастности...