Victor Sudakov написал(а) к Anatoly Sablin в Dec 18 18:44:34 по местному времени:

Dear Anatoly,

28 Nov 18 17:54, you wrote to me:

AS>>>>>>> Понятно, то есть мультидевайс в вайбере и телеграмме тоже
AS>>>>>>> убог.
AK>>>>>> В tg мультидевайс прекрасен. Вплоть до того, что можно начать
AK>>>>>> писать на ББ, продолжить на смартфоне и завершить на ноутбуке
AK>>>>>> (всё под разными OS) - черновик мнгновенно синхронизируется
AK>>>>>> между клиентами.
AS>>>>> И как в вашем "прекрасном" tg синхронизируются e2e ключи между
AS>>>>> устройствами в мультидевайсе?
VS>>>> Никак. End-to-end шифрование там только в так называемых
VS>>>> секретных чатах, которые намертво привязаны к конкретному
VS>>>> устройству.
AS>>> Что подтверждает убогость tg.
VS>> Утверждать об убогости того или иного продукта можно только по
VS>> сравнению с другим продуктом. Вот ты сейчас говоришь об убогости
VS>> tg по сравнению с чем?

AS> То есть утверждать об убогости того или иного продукта на
AS> наличию/отсутствию функций уже нельзя?

Можно, но без сравнения с аналогичными продуктами, в которых эти функции реализованы, как-то не очень осмысленно. Можно например объявить мессенджеры убогими потому, что в них нет веб-сервера или средства удаления прыщей с селфи, но много ли толку в таком сравнении?

AS> Например, функция аудио/видео
AS> звонков.

А вот это уже можно сравнивать, потому что в некоторых мессенджерах они есть, а в некоторых нет. Но и тут зависит от задачи использования, далеко не всегда швейцарский нож с 50 предметами лучше специализированного инструмента.

AS>>> И экспорта/импорта ключей тоже нет?
VS>> Экспорта/импорта ключей нет. Секретный чат перенести на другой
VS>> девайс или забэкапить невозможно. Потерял/обнулил телефон -
VS>> потерял все секретные чаты на нём. Типа это даже фича.

AS> Не увидел здесь фичи, скорее "заглушку" для секретных чатов, как будто
AS> их делали только для галочки, что типа они есть. И всё.

Пёс его знает, какая там задумка была. Говорят, иногда свойство неизвлекаемости секретного ключа ценится. Лично мне такой подход нравится гораздо больше, чем когда WhatsApp пишет "ой, а у вашего собеседника сменился ключ шифрования". Почему он сменился, и какой процент пользователей побеспокоится хотя бы спросить у собеседника об этом?

А в Телеграме - уж померла так померла, создавайте новый секретный чат.

AS>>> И подпись их сторонним сертификатом (например, OpenPGP) тоже
AS>>> нет?
VS>> А вот этого нам не надо. Что web of trust в PGP, что система УЦ
VS>> для НTTPS - это всё зло.

AS> То есть, начиная e2ee сессию, ты лично каждый раз встречаешься с
AS> оппонентом, чтобы сверить ключи?

Не лично, просто использую альтернативный канал связи для сверки ключа. IMНO можно по телефону позвонить или по почте написать, т.е. любой метод, достаточный для проверки отпечатка PGP-ключа, сгодится и тут.

(при условии, конечно, что мы верим данному софту, а то ведь может показать отпечаток ключа собеседника, а на деле ещё и шифровать всю e2e переписку дополнительным ключом АНБ. Паранойя бесконечна)

AS> К тому же есть такая штука как ssh certificate и cassh (vault к
AS> примеру).
VS>> В tg можно сверить отпечатки ключа между двумя девайсами, между
VS>> которыми создан секретный чат - и этого достаточно (т.е. модель
VS>> проверки подлинности собеседника как в ssh).

AS> Да, только это можно уже сделать при личной встречи. А если групповой
AS> чат? Ах да, их же нет, в tg не осилили их сделать.

На групповой чат с E2EE я очень хотел бы поглядеть. Точнее на принцип его устройства.

А так-то они в Телеграме есть, только называются обычно "каналы".

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322