Криптографию Telegram часто обсуждают в двух неверных крайностях: либо «протокол давно сломан», либо «раз переписку не прочитали в конкурсе, значит безопасность доказана». Реальность сложнее. У MTProto были подтвержденные проектные слабости, позднее исследователи нашли проблемы и в MTProto 2.0. Часть ошибок исправили, а подтверждений расшифровки чатов через MTProxy нет.
MTProxy здесь легко понять неправильно. Прокси не заменяет криптографию Telegram и не добавляет сквозное шифрование. Узел передает защищенный трафик, видит подключение и может ухудшить связь, но претензии к протоколу не исчезают.
MTProto и MTProxy работают на разных уровнях
Обычные облачные чаты Telegram защищены между клиентом и сервером. Роль MTProxy сама по себе не дает оператору прочесть содержание, но сервер Telegram остается стороной защищенного канала. Секретные чаты используют сквозное шифрование между двумя устройствами и не покрывают группы или каналы. MTProxy находится ниже: по документации Telegram, узел маршрутизирует зашифрованный трафик, но может зафиксировать, что IP-адрес подключался к Telegram.
Материал предназначен для законного и ответственного использования. Соблюдайте требования России и правила сервисов; не применяйте прокси для несанкционированного доступа, слежки или незаконного обхода ограничений.
От Мокси Марлинспайка до академических атак
В 2013 году Мокси Марлинспайк, создатель Signal, критиковал прежде всего криптоконкурс Telegram. Условия почти исключали активные атаки: подмену, повтор сообщений, вмешательство в обмен ключами и ошибки реализации. Здесь Марлинспайк был прав: отсутствие победителя в специально поставленном конкурсе не заменяет независимый анализ. Но его публикация не доказывала возможность читать современные чаты Telegram.
В работе 2015 года Якоб Якобсен и Клаудио Орланди показали, что MTProto 1.0 не удовлетворял свойству IND-CCA: перехваченный шифротекст можно было преобразовать в другой, который проходил проверку и раскрывался в то же сообщение. Авторы отдельно указали, что не нашли пути превратить атаку в извлечение открытого текста. Telegram затем перешел на MTProto 2.0: SHA-1 в критичных местах заменили на SHA-256, дополнение включили в вычисление ключа сообщения, а ключ связали с частью ключа авторизации.
Работа Марино Микулана и Николы Витаколонны 2021 года дала MTProto 2.0 положительную оценку в символической модели ProVerif, но нашла теоретическую атаку подмены стороны общего ключа (UKS) при смене ключей секретного чата. Схема шифрования в модели считалась идеальной, поэтому анализ не охватывал побочные каналы по времени и дефекты реального кода. Отдельного публичного подтверждения патча для UKS в проверенных источниках нет.
Наиболее жесткий разбор подготовили Мартин Альбрехт, Ленка Марекова, Кеннет Патерсон и Игорс Степановс. В полной версии работы описаны практическая перестановка исходящих сообщений в облачных чатах, временной побочный канал в официальных клиентах и проблема серверного обмена ключами. Последнюю атаку авторы назвали далекой от практической. После уведомления в 2021 году разработчики сообщили исследователям об исправлениях начиная с Android 7.8.1, iOS 7.8.3 и Telegram Desktop 2.8.8.
Что осталось после патчей
После исправлений нельзя честно писать, что «MTProto взломан и любой прокси читает чаты». Найденные атаки не дают владельцу MTProxy готового способа получить текст актуальной переписки. Нельзя утверждать и обратное, будто вопрос закрыт. Авторы доказали свойства слегка измененной модели протокола, причем опирались на новые предположения о криптографических компонентах Telegram.
В 2025 году группа опубликовала анализ обмена ключами MTProto 2.0 для связи клиент-сервер. Авторы доказали безопасность в вычислительной модели, а не предъявили рабочий взлом. Но собственные конструкции Telegram потребовали дополнительных предположений о блоках протокола. По их оценке, подобная архитектура хуже поддается строгому анализу, чем стандартизованные решения вроде TLS 1.3.
Для MTProxy вывод простой. Оператор прокси не получает ключ чата только потому, что пересылает трафик. Зато оператор видит IP-адрес клиента и параметры соединения, может вести журналы, отключать узел или задерживать передачу. В облачных чатах пользователь доверяет Telegram содержание переписки; в секретных чатах безопасность зависит от реализации клиента и проверки ключа собеседником.
Какие обещания не выдерживают проверки
Фраза «MTProxy усиливает шифрование Telegram» неверна: прокси меняет маршрут и внешний вид трафика, а не модель защиты чата. Фраза «MTProto полностью небезопасен» тоже неточна: старые и часть новых проблем исправили, а поздние научные работы содержат не только атаки, но и ограниченные доказательства безопасности. Наконец, обычные чаты Telegram нельзя представлять как переписку со сквозным шифрованием: для них сервер остается участником защищенного обмена.
Для чувствительного разговора проверьте тип чата, обновите официальный клиент и не принимайте публичный MTProxy за средство анонимности. Оценивайте владельца узла и доступные ему метаданные.
Вопросы и ответы
Может ли владелец MTProxy читать сообщения?
Само посредничество не дает ключ расшифровки. Узел видит подключение и может влиять на связь. В облачных чатах сервер Telegram остается стороной защищенного канала.
Означают академические атаки, что Telegram сейчас взломан?
Нет. Исследования разбирали конкретные версии и свойства. Telegram сообщил авторам крупной работы об исправлении найденных ими проблем в обновлениях 2021 года.
Исправил ли MTProto 2.0 старую претензию к IND-CCA?
Разработчики изменили хеширование, дополнение и построение ключа сообщения, устранив конкретную проблему MTProto 1.0. Позднее исследователи нашли другие слабые места.
MTProto нельзя свести ни к провалу, ни к безупречной системе. Telegram исправлял подтвержденные недостатки, а поздние исследования дали протоколу оговоренные гарантии. MTProxy не расшифровывает переписку по умолчанию, но добавляет наблюдателя за метаданными. Оценку риска начинайте с типа чата, версии клиента и границ доверия к прокси и серверу.
