верификация что это простыми словами в интернете в телеграмме
Руководство по верификации страницы
Команда Telegram регулярно верифицирует активные официальные каналы, публичные группы и ботов, которые имеют верифицированные аккаунты на каждом из следующих сервисов:
Пожалуйста, добавьте сссылку на ваш Telegram-канал на эти сервисы, чтобы мы могли подтвердить, что они действительно принадлежат вам. Сразу после этого, пожалуйста, отправьте запрос на верификацию через @VerifyBot.
А что, если у меня нет верифицированных аккаунтов на всех этих сервисах?
Если у вас есть никем не оспоренная страница на Википедии, соответствующая правилам значимости ресурса, и если на данной странице указана ссылка на канал, бот или публичную группу, то её достаточно, чтобы заменить один из трёх необходимых верифицированных аккаунтов.
В случае с организациями достаточно ссылки на Telegram-канал, опубликованной на официальном сайте организации. Однако бот потребует ввода дополнительных данных и комментариев после проверки ссылок на социальные сети.
Могу ли я верифицировать свою личную учетную запись?
К сожалению, Telegram на данный момент не верифицирует пользовательские аккаунты. Данная опция доступна только для крупных и активных официальных каналов и ботов.
Нужна ли мне верификация?
Следует отметить, что верификация не открывает каких-либо возможностей в Telegram – это просто один из способов подчеркнуть тот факт, что ваш канал является официальным. Того же результата можно добиться, разместив ссылку на ваш Telegram-аккаунт на своем официальном сайте или на официальных аккаунтах в социальных сетях.
Как изменить название канала или короткую ссылку после верификации?
Верифицированным каналам, группам и ботам запрещено изменять название и короткую ссылку (формата «t.me/…»). Если вам необходимо это сделать, сначала следует удалить статус верификации. Для этого зайдите в @VerifyBot и отправьте запрос /unverify (отменить верификацию).
Сайт про Telegram на русском (неофициальный).
Здесь собраны приложения на базе MTProto, переведена некоторая документация с официального сайта, а также работает Webogram.
Как получить галочку (верификацию) в Telegram
Telegram, как и многие другие сервисы, дает возможность верифицировать свой аккаунт. Хотя это не принесет никаких дополнительных привилегий, «галочка» станет визуальным подтверждением того, что канал или бот действительно принадлежит публичной личности, компании или бренду.
Верифицированных аккаунтов в Telegram не так уж и много. Сейчас галочкой обозначены официальные каналы и боты Telegram (например, Telegram News, DiscussBot), каналы некоторых публичных личностей (Эммануэль Макрон, Павел Дуров), а также ресурсы других организаций и компаний.
Команда Telegram сейчас верифицирует только крупные и активные официальные каналы, боты и группы. Обязательным условием для получения галочки является наличие подтвержденных страниц, как минимум на двух из этих сервисов: Facebook, Twitter, Instagram, TicTok, Snapchat, ВКонтакте или Youtube. Кроме того стоит добавить ссылки на ваш канал в профили вышеупомянутых сервисов для дополнительного подтверждения, что канал действительно принадлежит вам.
Что касается организаций, ссылки на telegram-канал на официальном сайте компании также могут приниматься во внимание.
Когда все перечисленное будет выполнено, напишите запрос на верификацию в бот @VerifyBot.
Итак, что нужно сделать для получения галочки в Telegram:
Как изменить имя или юзернейм после верификации?
Подписывайтесь на канал Вам Телеграм — актуальные новости, полезные статьи и советы по работе с Telegram.
Почему Telegram Passport — никакой не End to End
В обсуждении новости про Passport разгорелись жаркие дискуссии на тему безопасности последней поделки от авторов Telegram.
Давайте посмотрим, как он шифрует ваши персональные данные и поговорим о настоящем End-To-End.
В двух словах, как работает Passport.
End to End по мнению разработчиков заключается в том, что облако Telegram якобы не может расшифровать ваши персональные данные, а видит только «случайный шум».
Давайте подробнее глянем на код алгоритма шифрования персональных данных из десктоп клиента, который находится тут и посмотрим, удовлетворяет ли результат его работы критериям End-To-End.
Всё начинается с пароля. Вот место, где он превращается в промежуточный ключ шифрования.
Тут берётся случайная соль, дважды конкатенируется с паролем и прогоняется через хэш SHA-512. На первый взгляд ничего необычного. Но!
На дворе 2018 год. На одном хорошем GPU можно перебирать примерно полтора миллиарда SHA-512 в секунду. 10 GPU переберут все возможные сочетания 8-значных паролей из 94х символьного словаря (англ буквы, цифры, спец символы) меньше чем за 5 дней.
Давным давно существуют способы усложнить жизнь тем, кто перебирает пароли на GPU, но разработчики Telegram решили не утруждать себя их внедрением.
Дальше. Хэшем из пароля шифруется еще один почти случайный ключ, который генерируется так:
и используется для шифрования данных вместе с еще одной штукой, о которой ниже.
Случайный он «почти», потому что разработчики телеграма никогда не слышали о HMAC и AEAD и вместо того, чтобы использовать нормальные средства для проверки корректности расшифровки, они делают так, чтобы остаток от деления суммы байт ключа был равен 239, что при расшифровке и проверяют:
Во-первых, этот массив байт получается не такой уж и случайный. Во вторых, при переборе хоть и будет много ложноположительных срабатываний, но посчитать сумму байтов после расшифровки гораздо проще чем HMAC, так что эта гениальная со всех сторон конструкция служит скорее ускорению брутфорса чем приносит пользу.
Идём дальше. Непосредственно метод, шифрующий данные. Тут много букв, поэтому по кускам:
Тут к данным дописываются от 32 до 255 случайных байт. Делается это чтобы разнообразить
переменную dataHash. Это хэш от незашифрованных данных, смешанных со случайными байтами.
Тут формируется ключ шифрования персональных данных. Он получается с помощью еще одного вызова SHA-512 от сгенерированного выше почти случайного ключа, сконкатеннированного с dataHash.
В облако передаются:
Так же большому сомнению подвергаются такие изобретённые авторами Telegram механизмы как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAC.
Примерный алгоритм брутфорса:
Итак, мы видим, что шифрование персональных данных критически зависит от сложности пароля. Все этапы перебора отлично ускоряются аппаратно. Либо с помощью GPU, либо с помощью инструкций AES-NI. Конечно, можно установить длинный, безопасный пароль и надеяться что прокатит. Но как вы сами думаете, какой процент из двухсот миллионов пользователей телеграма будет делать пароли длиннее восьми символов?
Добавьте к этому сомнительные техники генерации ключей и проверки валидности расшифровываемой информации, которые не используют стандартные проверенные механизмы, а прямо нарушают принцип Don’t roll your own crypto и станет ясно, что это не End-to-End, а сколоченная на коленке поделка от которой неприятно пахнет.
Кстати, отсутствие цифровой подписи позволяет телеграму не только забрутфорсить личные данные пользователей, но и подменять их на любые другие, например террористов.
Настоящий End-to-End
E2E называется так, потому что позволяет показывать третьим лицам зашифрованные данные не опасаясь за их сохранность. Как мы увидели, это условие новым продуктом телеграма не выполняется.
Но, к примеру, если правильно зашифровать данные не на хэш от пароля, а на публичный ключ, то никакой даже миллиардный кластер не сможет к ним и близко подобраться. Взгляните на Signal, другие мессенджеры на его основе (WhatsApp, etc). Весь мир уже давно и успешно использует современную асимметричную криптографию, алгоритмы, мешающие перебору паролей, стойкие стандартные криптографические конструкции.
Не первый год существуют и гораздо более серьезные системы защиты данных с помощью паролей, которые даже начать брутфорс не позволяют. Потому что у атакующего не будет для этого достаточного набора данных.
Но Telegram пошел своим, особым путём переизобретения криптопримитивов и ослабления защиты. Ну а что, денег им отвалили, за последствия можно не беспокоиться.
Усиливаем защиту аккаунта Telegram. Двухшаговая верификация
Здравствуйте, уважаемые Телеграмеры!
Я уже рассказывал ранее про Телеграм для тех, кто еще не перешел на него. Сегодня мы усилим оборону мессенджера и включим двухшаговую авторизацию. То есть, при входе на новом устройстве, Telegram будет кроме СМСки запрашивать с вас также и пароль.
Заходим в Настройки своего телеграма, ищем пункт Приватность и безопасность. Нажимаем.
В разделе Безопасность выбираем пункт Двухэтапная авторизация. Кстати, тут же можно посмотреть Активные сессии на всех остальных устройствах, где вы были логинились хотя бы раз. И завершить подозрительные сеансы вручную.
Далее нам предлагают установить дополнительный пароль. Уж постарайтесь подобрать пароль достаточно сложный, чтобы он содержал завязку, развитие сюжета, кульминацию и развязку:)
Вводим придуманный сложный пароль. Подтвердить можно с клавиатуры либо нажать галочку в правом верхнем углу. Затем вас попросят повторно ввести пароль для исключения ошибок. Сделайте это.
Введите подсказку к паролю. Такую, которая напомнила вам о пароле, если вас посетит приступ забывчивости.
Также с вас попросят резервный e-mail ящик для восстановления забытого пароля, в случае необходимости. Рекомендую поставить.
Теперь ждите письма на почту. Вам пришлют e-mail со ссылкой для завершения настройки двухступенчатой авторизации.
А вот и само письмо:
После перехода по ссылке у меня появилось собщение об успешном включении двухступенчатой авторизации с радостным текстом и торжествующим стикером)
Все, двухфакторная защита включена. Теперь, если под вашим аккаунтом пытаться залогиниться на каком-либо новом устройстве, то Телеграм пришлет смску, а после правильно введеной смс также спросит пароль, который вы задавали. И только после этого пустит вас.
Для примера я решил войти на другом ноутбуке. Скачал инсталлятор, запустил, ввел номер, дождался смс, ввел и таки да, с меня потребовали пароль:
А вы используете двуфакторную защиту в Telegram?
Павел Дуров все больше расширяет сферы своего влияния путем внедрения новых функция и опций в свой продукт Telegram. Так недавно была разработана функция Telegram Passport, в которой можно будет хранить свои документы и авторизоваться в любых сервисах в пару кликов.
Действительно ли, это так удобно или о таком важном факторе, как приватность, можно забыть? И зачем Павлу Дурову паспорта пользователей Telegram, давайте разбираться дальше.
Для чего нужен Telegram Passport?
Эта функция создана с целью возможности единого способа авторизации для веб-услуг и сервисов, в которых требуется идентификация личности. Достаточно загрузить свои данные и идентифицирующие документы всего лишь один раз, после этого их можно использовать для мгновенного обмена и прохождения верификации на многих сайтах и сервисах (социальные сети, интернет-инвестирование, участие в ICO и так далее).
То есть, достаточно будет синхронизировать свой Telegram Passport с сервисом, который запрашивает личные данные, после чего документы передаются по зашифрованному каналу, способом шифрования end-to-end. При этом сам Telegram не будет иметь никакого доступа к документу.
Как это будет работать?
Telegram Passport уже можно скачивать и пользоваться, однако пока что он работает только для одного сервиса — ePayments. В дальнейших планах – начать работать со всеми сервисами, которые требует верификации (KYC – know your customers).
Работать это будет примерно по следующей схеме:
Регистрация Телеграм паспорта
Если вы планируете применять ePayments, то можно уже начать пользоваться сервисом. В других случаях, пока что Telegram Passport не пригодится. Если есть желание пользоваться в будущем, то можно загрузить документы с помощью тестовой ссылки от Telegram: https://core.telegram.org/passport/example
Telegram Passport и E2E. Реально ли работает сквозное шифрование?
Разработчики заявляют, что в облаке невозможно распознавание личной информации, и там отображается только случайный шум (то есть набор знаков, похожих на абру-кадабру). Однако это не совсем так. Опытные программисты внимательно изучили код алгоритма шифрования персональных данных и выяснили, что это не совсем End-to-end, и механизм шифрования работает по другому алгоритму, отдаленно напоминающему E2E.
Проблема в том, что всего 10 GPU могут применять все возможные варианты 8-значных паролей примерно за 5 дней, даже меньше. Есть методы, которые могут мешать этому, однако в Telegram Passport они не используются.
Также хэшем из пароля шифруется еще один случайный ключ, который получается тоже вовсе не случайным. Здесь не используются эффективные средства для проверки корректности расшифровки. Алгоритм построен таким образом, чтобы остаток от деления суммы байт ключа получился 239. Это число, собственно, и проверяется при расшифровке.
Таким образом, случайный получается не совсем случайным. Но самое главное, что при переборе может быть много случайных срабатываний, но посчитать сумму байта при расшифровке не составит никакой сложности.
Что касается шифрования именно данных, то к ним, оказывается, просто дописывается от 32 до 255 случайных байт. Таким образом получается не случайный шум, а данные вперемешку со случайными байтами. Ну а дальше формируется ключ шифрования персональных данных с помощью SHA-512 от того самого случайного ключа.
Получается, что никакого «случайного шума» не наблюдается. В облако передаются хоть и вроде зашифрованные данные, но вместе с модификаторами, паролем, прошедшим шифрование не совсем надежным ключом, и собственно хэш персональных данных, который смешан с байтами. Таким образом, схема брутфорса может быть очень простая, и пароли вместе с данными для профи добыть не составит труда.
В общем-то, безопасность пока вызывает сомнения. Однако, скорей всего, все эти проблемы будут решены после полной интеграции в Telegram Open Network, с помощью блокчейна.
Telegram Passport и Telegram Open Network
На РусКоинс вы можете найти подробный рассказ об интеграции блокчейн-платформы TON в Telegram, а также обзор его ICO.
Естественно, что есть связь и между TON и Telegram Passport. В будущем разработчики планируют сохранять документы пользователей в децентрализованном облаке. Будет ли это в архитектуре TON Storage или создаваться отдельный элемент, не совсем понятно.
Как известно, в TON будет реализован практически целый marketplace со своей платежной системой. Возможно Telegram Passport – это один из элементов крупномасштабной платформы, который будет являться конкурентом таким блокчейн-стартапам как TraceTo и Certik, решающим проблемы верификации в сети и отмывания денег.
Ни для кого не новость запрет Роскомнадзора мессенджера Телеграм на территории РФ. Причиной стал отказ Дурова предоставить ключи для дешифрования личных переписок пользователей.
Дуров, в свою очередь, сражается за право на тайну личной переписки своих пользователей как лев, за что и получил «бан» от Роскомнадзора. Не он, конечно, сам, а его мессенджер.
При этом Дуров заявил, что никаким «законам Яровой», противоречащим конституционными правам, он подчиняться не будет, то есть ключи для дешифровки не предоставит.
Важно заметить, что Дуров говорит не о передаче всех ключей для дешифрования. Павел будет предоставлять только IP-адреса и телефоны возможных террористов. Решение о том, кто является возможным террористом, будет выносить суд, и только после этого Павел (ну или не он лично) будет передавать всем службам личные данные.
Очень важно отметить, что частная жизнь, не важно каких сфер она касается: бизнеса, рабочих моментов или личной жизни, это неотъемлемое право каждого человека. Именно конфиденциальность является важным принципом инновационной технологии блокчейн, потому что современные разработчики понимают, как важно безопасно хранить свои данные, касающиеся как личной жизни, так и экономической.
Несмотря на то, то почти каждая конституция прогрессивных светских государств обещает право тайны личных переписок, правительство не может полностью реализовать и гарантировать это право для каждого. Связано, это не только с личными интересами, но и интересами национальной безопасности. Поэтому консенсус между правительством и основателями различных анонимных сервисов в интернете (мессенджеров, платежных систем, сервисов для верификации и так далее) будет достигнут не скоро.
Тем не менее, не одно правительство не имеет право грубо вторгаться в приватную жизнь граждан. Поэтому выбор, пользоваться подобными сервисами или нет, остается за каждым.
Отзывы пользователей Telegram
О верификации личности сканом паспорта — в Москве уже около 20 каршеринг фирм. Нужно отсылать скан паспорта, ВУ, и т.д. После 3-4го раза это реально бнсит. Сервис Телеграма хорошо решил бы данную проблему!
Крутая идея, недавно восстанавливал утерянный аккаунт в BattleNet, пришлось загружать скан подтверждающего документа, на котом будут видны данные, соответствующие тем, которые вводил при создании акка.
End-to-end? Не думаю скорее похоже на обычный пароль, и даже не приватный ключ. Все документы будут храниться на обычных серверах Telegram, зашифрованными обычными паролями, с помощью SHA-512. Короче, пиццу заказать не сможешь, не засветив все документы. Такая себе приватность.