Telegram zegt Russische overheidsblokkade te zullen omzeilen
Een Russische rechtbank oordeelde deze week dat de versleutelde chat-app Telegram in Rusland geblokkeerd moet worden, maar volgens Telegram-oprichter Pavel Durov hoeven gebruikers zich geen zorgen te maken. Telegram beschikt namelijk over een ingebouwde vpn/proxy om de overheidsblokkade te omzeilen, zo meldt Durov op de Russische socialmediasite Vkontakte.
Zodra de Russische overheid besluit om de chat-app te blokkeren zullen de vpn/proxydiensten automatisch actief worden, zonder dat gebruikers hier iets voor hoeven te doen. In de eerste uren van de blokkade kan het echter zijn dat de vpn/proxydiensten overbelast raken. Ongeacht de blokkade blijft het voor Telegram mogelijk om berichten naar Russische gebruikers te sturen en hen over de situatie in te lichten.
Volgens Durov is het belangrijk dat gebruikers Telegram niet verwijderen of opnieuw installeren als de communicatieproblemen zich voordoen. Verder wordt aangeraden om Telegram-updates tijdig via de Apple App Store of Google Play Store te downloaden.
Bevel
Eind maart kreeg Telegram van de Russische mediatoezichthouder Rospotrebnadzor het bevel om binnen 15 dagen informatie aan de Russische opsporingsdiensten te verstrekken. Standaard maakt Telegram gebruik van versleuteling, maar dit is geen end-to-end-encryptie. Deze vorm van versleuteling wordt alleen in de "secret chats" functie aangeboden. Voor de normale chats, zowel privé als in een groep, maakt Telegram gebruik van server-client-encryptie.
Telegram weigerde het verzoek, waarop de toezichthouder naar de rechter stapte om de chat-app te laten blokkeren. De rechter heeft dit verzoek nu ingewilligd. De blokkade blijft net zolang in stand totdat Telegram voldoet aan de eisen van de Russische geheime dienst FSB.
Reacties (18)
Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
14-04-2018, 23:19 door
-karma4
Door Anoniem: Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Nope, dat was Whatsapp. Telegram:
Voor de normale chats, zowel privé als in een groep, maakt Telegram gebruik van server-client-encryptie.
Door The FOSS:
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
End-to-end-encryptie is niet de standaard bij Telegram. Standaard is er slechts client-server encryptie en mag je maar hopen dat je berichten en andere informatie veilig op de servers van Telegram zijn opgeslagen. Zelfs als je e2ee gebruikt worden je berichten op de servers opgeslagen. Er is veel kritiek op de zelf bedachte encryptie implementatie van Telegram. Er zijn meerdere zwaktes gevonden die decoderen makkelijker maken.Door Anoniem: Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Door The FOSS:
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Door Anoniem: Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Nee, Telegram heeft standaard de E2EE NIET aan staan.
Zie: https://www.security.nl/posting/558098/Russische+rechter+beveelt+blokkade+van+chat-app+Telegram
Door Anoniem: Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
Door Anoniem:
Door The FOSS:
Het is wel gemakkelijk om aan te nemen dat de sleutel is gestolen om zo mensen aan te sporen weg te gaan van Telegram en een 'onveiligere' dienst als WhatsApp te gaan gebruiken (Ik herinner mij nog de architectonische backdoor die aanwezig was en enkel kon worden gedetecteerd als je instelde meldingen te krijgen bij wijzigingen van je sleutel, wat standaard uit stond, en dan nog niet de vraag of die berichtjes gewoon kunnen worden afgevangen voor ze de gebruiker bereiken), Signal laat ik hier buiten beschouwing aangezien hun implementatie best sterk is tot nu toe, enkel hebben ze niet de vele extra opties die Telegram biedt. Voordat mensen gaan struikelen over het 'onveiligere', cryptografische gezien mag het veiliger zijn, maar omdat Facebook alle meta data analyseert, je telefoon leeg slurpt en je in de gaten houdt op het internet, kunnen ze best redelijk voorspellen waar de meeste gesprekken van gebruikers over zullen gaan zonder de inhoud te lezen en dus noem ik de dienst 'onveiliger' in termen van je privacy. En als de sleutel van Telegram al was gestolen, dan zouden ze de dienst nu niet in eigen land gaan blokkeren, want dat zorgt ervoor dat ze een hoop gebruikers wellicht niet meer zouden kunnen volgen als ze overstappen naar een andere dienst. Logisch redeneren zou erop wijzen dat ze de sleutel niet in het bezit weten te krijgen.
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
End-to-end-encryptie is niet de standaard bij Telegram. Standaard is er slechts client-server encryptie en mag je maar hopen dat je berichten en andere informatie veilig op de servers van Telegram zijn opgeslagen. Zelfs als je e2ee gebruikt worden je berichten op de servers opgeslagen. Er is veel kritiek op de zelf bedachte encryptie implementatie van Telegram. Er zijn meerdere zwaktes gevonden die decoderen makkelijker maken.Door Anoniem: Waarschijnlijk is de key allang gestolen met de benodigde militaire technieken. Dat is wat de russische overheid op dit moment geheim houdt.
Het is wel gemakkelijk om aan te nemen dat de sleutel is gestolen om zo mensen aan te sporen weg te gaan van Telegram en een 'onveiligere' dienst als WhatsApp te gaan gebruiken (Ik herinner mij nog de architectonische backdoor die aanwezig was en enkel kon worden gedetecteerd als je instelde meldingen te krijgen bij wijzigingen van je sleutel, wat standaard uit stond, en dan nog niet de vraag of die berichtjes gewoon kunnen worden afgevangen voor ze de gebruiker bereiken), Signal laat ik hier buiten beschouwing aangezien hun implementatie best sterk is tot nu toe, enkel hebben ze niet de vele extra opties die Telegram biedt. Voordat mensen gaan struikelen over het 'onveiligere', cryptografische gezien mag het veiliger zijn, maar omdat Facebook alle meta data analyseert, je telefoon leeg slurpt en je in de gaten houdt op het internet, kunnen ze best redelijk voorspellen waar de meeste gesprekken van gebruikers over zullen gaan zonder de inhoud te lezen en dus noem ik de dienst 'onveiliger' in termen van je privacy. En als de sleutel van Telegram al was gestolen, dan zouden ze de dienst nu niet in eigen land gaan blokkeren, want dat zorgt ervoor dat ze een hoop gebruikers wellicht niet meer zouden kunnen volgen als ze overstappen naar een andere dienst. Logisch redeneren zou erop wijzen dat ze de sleutel niet in het bezit weten te krijgen.
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Er zijn inderdaad meerdere zwaktes gevonden, maar er is nooit gezegd dat ze het ontsleutelen vergemakkelijken. Dat wordt voor het gemak voor mensen aangenomen door middel van logisch redeneren, maar het hoeft dus niet het geval te zijn.
Succes in de quantum cyber wapenwedloop.
Binnen drie jaar klaar voor zakformaat.
Jodocus Oyevaer
Binnen drie jaar klaar voor zakformaat.
Jodocus Oyevaer
15-04-2018, 12:59 door
-karma4
Door Anoniem:
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Nope, dat was Whatsapp. Telegram:
De key? Hoe stel je je dat voor? Het is end-to-end-encryptie weet je nog?
Nope, dat was Whatsapp. Telegram:
Voor de normale chats, zowel privé als in een groep, maakt Telegram gebruik van server-client-encryptie.
Door Anoniem: End-to-end-encryptie is niet de standaard bij Telegram. Standaard is er slechts client-server encryptie en mag je maar hopen dat je berichten en andere informatie veilig op de servers van Telegram zijn opgeslagen. Zelfs als je e2ee gebruikt worden je berichten op de servers opgeslagen. Er is veel kritiek op de zelf bedachte encryptie implementatie van Telegram. Er zijn meerdere zwaktes gevonden die decoderen makkelijker maken.
Door Anoniem: Nee, Telegram heeft standaard de E2EE NIET aan staan.
Zie: https://www.security.nl/posting/558098/Russische+rechter+beveelt+blokkade+van+chat-app+Telegram
Zie: https://www.security.nl/posting/558098/Russische+rechter+beveelt+blokkade+van+chat-app+Telegram
De Russen vragen toch echt om ontsleuteling van de end-to-end-encrypted secret user messages:
The court argued that Telegram’s end-to-end encryption poses a risk to national security, and it ordered the company to give its encryption keys to the Federal Security Service or FSB, the modern-day successor to the KGB.
https://siliconangle.com/blog/2018/04/13/telegram-banned-russia-refusing-hand-encryption-keys/
15-04-2018, 14:07 door
karma4
Door The FOSS:
De Russen vragen toch echt om ontsleuteling van de end-to-end-encrypted secret user messages:
https://siliconangle.com/blog/2018/04/13/telegram-banned-russia-refusing-hand-encryption-keys/
De Russen vragen toch echt om ontsleuteling van de end-to-end-encrypted secret user messages:
The court argued that Telegram’s end-to-end encryption poses a risk to national security, and it ordered the company to give its encryption keys to the Federal Security Service or FSB, the modern-day successor to the KGB.
https://siliconangle.com/blog/2018/04/13/telegram-banned-russia-refusing-hand-encryption-keys/
Als ze de sleutels van Telegram willen hebben en die heeft die, dat wordt nergens ontkend, dan is het server device encryptie.
Met een end tot end encryptie zou telegram de sleutels niet hebben. Het heeft weinig zin om in de rechtbank te gaan betogen dat het niet om end tot end encryptie gaat maar om server - device want dan is het meteen duidelijk waar die sleutels zijn.
Daar is het wellicht relevant, maar wat zul je je druk maken over encryptie als je het device kan "ownen"?
Daarom speelt Big Tech onder 1 hoedje met de "nine eyes"met NSA op kop.
Encryptie-sleutels kraken via quantum computing is vaak helemaal niet nodig.
Men geeft met opzet geen inzicht of open disclosure over in hoe verre de globale Internet community al "geowned" is.
We zouden ons maar nodeloos ongerust gaan maken en er tegen uitspreken,
en dat is nu net niet de bedoeling.
Brave New World is al lang gearriveerd hier, in de Russische Federatie en mainland China.
luntrus
Daarom speelt Big Tech onder 1 hoedje met de "nine eyes"met NSA op kop.
Encryptie-sleutels kraken via quantum computing is vaak helemaal niet nodig.
Men geeft met opzet geen inzicht of open disclosure over in hoe verre de globale Internet community al "geowned" is.
We zouden ons maar nodeloos ongerust gaan maken en er tegen uitspreken,
en dat is nu net niet de bedoeling.
Brave New World is al lang gearriveerd hier, in de Russische Federatie en mainland China.
luntrus
Door Anoniem:
Dat is knap. De zwaktes zijn gevonden in de implementatie van de encryptie. Waar denk jij zelf dat dan de zwakte is? Dat de encryptie veiliger is?Door Anoniem: Er zijn meerdere zwaktes gevonden die decoderen makkelijker maken.
Er zijn inderdaad meerdere zwaktes gevonden, maar er is nooit gezegd dat ze het ontsleutelen vergemakkelijken. Dat wordt voor het gemak voor mensen aangenomen door middel van logisch redeneren, maar het hoeft dus niet het geval te zijn.Door karma4:
Als ze de sleutels van Telegram willen hebben en die heeft die, dat wordt nergens ontkend, dan is het server device encryptie.
Met een end tot end encryptie zou telegram de sleutels niet hebben. Het heeft weinig zin om in de rechtbank te gaan betogen dat het niet om end tot end encryptie gaat maar om server - device want dan is het meteen duidelijk waar die sleutels zijn.
Door The FOSS:
De Russen vragen toch echt om ontsleuteling van de end-to-end-encrypted secret user messages:
https://siliconangle.com/blog/2018/04/13/telegram-banned-russia-refusing-hand-encryption-keys/
De Russen vragen toch echt om ontsleuteling van de end-to-end-encrypted secret user messages:
The court argued that Telegram’s end-to-end encryption poses a risk to national security, and it ordered the company to give its encryption keys to the Federal Security Service or FSB, the modern-day successor to the KGB.
https://siliconangle.com/blog/2018/04/13/telegram-banned-russia-refusing-hand-encryption-keys/
Als ze de sleutels van Telegram willen hebben en die heeft die, dat wordt nergens ontkend, dan is het server device encryptie.
Met een end tot end encryptie zou telegram de sleutels niet hebben. Het heeft weinig zin om in de rechtbank te gaan betogen dat het niet om end tot end encryptie gaat maar om server - device want dan is het meteen duidelijk waar die sleutels zijn.
Dan ga je er vanuit dat er geen backdoor in die end-to-end-versleuteling zit. Gezien de bovenstaande vraag van het Russische gerecht zou je gaan vermoeden dat er master keys voor de end-to-end-versleuteling zijn. Of de Telegram app kan de sleutel van de gebruiker opsturen. Of men wil een aanpassing aan de app waardoor dit mogelijk wordt. Anders zou dit hele gedoe geen zin hebben. Onderstaande informatie lijkt dit te bevestigen:
Russia’s Supreme Court has rejected an appeal made by the London-based Telegram Messenger LLP against a ruling that would force the app to hand its users’ encryption keys and chat histories over to the Federal Security Service or FSB, the country’s primary security agency.
https://siliconangle.com/blog/2018/03/20/telegram-ordered-hand-encryption-keys-russian-authorities/
Begin nu eerst maar eens een duidelijke leesbare definitie van wat onder end-to-end versleuteling wordt verstaan.
Ik heb twee voorbeelden die dit doen, maar of ze het correct definiëren daar heb ik geen deskundigheid voor.
https://www.bof.nl/2017/03/02/hoe-end-to-end-encryptie-jouw-communicatie-veilig-houdt/ en https://faq.whatsapp.com/en/android/28030015/?lang=nl.
Bovenstaande definitie is gewoon de standaard manier van versleuteling zoals PGP dit al decennia aanbeveelt.
Ik heb twee voorbeelden die dit doen, maar of ze het correct definiëren daar heb ik geen deskundigheid voor.
https://www.bof.nl/2017/03/02/hoe-end-to-end-encryptie-jouw-communicatie-veilig-houdt/ en https://faq.whatsapp.com/en/android/28030015/?lang=nl.
Bovenstaande definitie is gewoon de standaard manier van versleuteling zoals PGP dit al decennia aanbeveelt.
Door Anoniem:
Door Anoniem:
Dat is knap. De zwaktes zijn gevonden in de implementatie van de encryptie. Waar denk jij zelf dat dan de zwakte is? Dat de encryptie veiliger is?Door Anoniem: Er zijn meerdere zwaktes gevonden die decoderen makkelijker maken.
Er zijn inderdaad meerdere zwaktes gevonden, maar er is nooit gezegd dat ze het ontsleutelen vergemakkelijken. Dat wordt voor het gemak voor mensen aangenomen door middel van logisch redeneren, maar het hoeft dus niet het geval te zijn.Bij het ontwerp zou je zeggen dat het niet sterk is, maar door bijvoorbeeld toeval zou het kunnen dat dit een sterke implementatie is die lastig te ontsleutelen is. Ja het zou dan inderdaad toeval zijn, maar dit steunt het punt dat het argument voor het vergemakkelijken afkomstig is van logisch redeneren en niet bewijsmatig gestaafd is, daarvoor zou je namelijk eerst een ontsleuteling zonder de zwaktes moeten hebben en dan een ontsleuteling met die zwaktes en aantonen dat het nu 'vergemakkelijkt' is, hoe je dat dan ook zou willen definiëren, dat is de wetenschappelijke methode.
Deze hele discussie gaat uit van een aanname : dat de Russische overheid de waarheid spreekt. Dit lijkt me echter vooral een manier om mensen juist meer Telegram te laten gebruiken : als Rusland en Iran het willen blokkeren 'moet het wel heel veilig zijn'. Die veiligheid is discutabel blijkt uit talloze security bulletins. Telegram zegt nu dat ze gewoon de blokkade omzeilen met vpn, daar zouden overheden dan zogenaamd geen rekening mee hebben gehouden. Doet me denken aan soortgelijke berichten van de Feds.
Door Anoniem: Deze hele discussie gaat uit van een aanname : dat de Russische overheid de waarheid spreekt. Dit lijkt me echter vooral een manier om mensen juist meer Telegram te laten gebruiken : als Rusland en Iran het willen blokkeren 'moet het wel heel veilig zijn'. Die veiligheid is discutabel blijkt uit talloze security bulletins. Telegram zegt nu dat ze gewoon de blokkade omzeilen met vpn, daar zouden overheden dan zogenaamd geen rekening mee hebben gehouden. Doet me denken aan soortgelijke berichten van de Feds.
De Russen kijken ook naar hoe ze de VPN oplossing kunnen blokkeren, ze houden er dus wel rekening mee en dat haalt dus het argument weg onder je beredenering.
17-04-2018, 08:34 door
karma4
Door The FOSS:
Dank je. Het geeft aan dat telegram de sleutels heeft en niet de gebruikers. Russia’s Supreme Court has rejected an appeal made by the London-based Telegram Messenger LLP against a ruling that would force the app to hand its users’ encryption keys and chat histories over to the Federal Security Service or FSB, the country’s primary security agency.
...De sleutels opvragen kan dus bij degene die ze heeft. In de fysieke wereld met een huiszoeking werkt dat net zo. Wordt er niet meegewerkt dan komen er andere middelen.
Telegram kan zich echt niet beroepen op het verplicht meewerken aan de eigen veroordeling het gaat om derden.Je hebt ook nog de mogelijkheid van een valse flag actie dat ze wel degelijk de toegang hebben maar meer gebruikers moeten trekken.
Vertrouwen is goed controle is beter. Waarom telegram en rusland blindelings vertrouwen, doen we ook niet met CIA FBI.
17-04-2018, 13:24 door
PietdeVries
Door Anoniem:
De Russen kijken ook naar hoe ze de VPN oplossing kunnen blokkeren, ze houden er dus wel rekening mee en dat haalt dus het argument weg onder je beredenering.
Door Anoniem: Deze hele discussie gaat uit van een aanname : dat de Russische overheid de waarheid spreekt. Dit lijkt me echter vooral een manier om mensen juist meer Telegram te laten gebruiken : als Rusland en Iran het willen blokkeren 'moet het wel heel veilig zijn'. Die veiligheid is discutabel blijkt uit talloze security bulletins. Telegram zegt nu dat ze gewoon de blokkade omzeilen met vpn, daar zouden overheden dan zogenaamd geen rekening mee hebben gehouden. Doet me denken aan soortgelijke berichten van de Feds.
De Russen kijken ook naar hoe ze de VPN oplossing kunnen blokkeren, ze houden er dus wel rekening mee en dat haalt dus het argument weg onder je beredenering.
En inderdaad... volgens Tweakers.net:
Roskomnadzor, de Russische telecomwaakhond, heeft volgens de Russische website Meduza in totaal ongeveer 1,8 miljoen ip-adressen geblokkeerd die toebehoren aan Amazon en Google. Meer dan een miljoen ip-adressen van Google-servers zijn geblokkeerd, terwijl zo'n 800.000 serveradressen van Amazon Web Services in de ban zijn gedaan. De blokkade van deze ip-adressen is ingesteld omdat Telegram servers van Amazon en Google in gebruik heeft genomen in een poging aan het verbod te ontkomen.
Doordat er zoveel ip-adressen zijn geblokkeerd, heeft de blokkade van Telegram ook gevolgen voor internetgebruikers die gebruik willen maken van bepaalde diensten van Amazon en Google. Een gebruiker meldt op Twitter dat een aantal online games niet meer werkt door de blokkade van ip-adressen van Amazon. Een andere gebruiker meldt dat de blokkade ook twee mobiele providers heeft lamgelegd.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
