Telegram Passport
Telegram Passport — это сервис авторизации и хранения персональных данных, встроенный в мессенджер Telegram, предназначенный для упрощения процедуры верификации личности пользователя при обращении к сторонним онлайн-сервисам (банкам, биржам, сайтам госуслуг). Позволяет пользователю однократно загрузить сканы документов и личную информацию, после чего передавать их третьим лицам в зашифрованном виде, без повторного ввода данных.
Сервис был запущен 28 июля 2018 года разработчиками Telegram Messenger LLP. Основная цель Telegram Passport — устранить необходимость многократной отправки копий документов в разные организации, снижая риски утечки данных при хранении на серверах третьих сторон.
История и предпосылки создания
Необходимость в подобном сервисе возникла на фоне роста требований к идентификации пользователей (KYC — Know Your Customer) со стороны финансовых регуляторов, криптовалютных бирж и платформ, работающих с персональными данными. Традиционная схема предполагает, что пользователь отправляет сканы паспорта или водительских прав напрямую сервису, который хранит их на своих серверах. Это создаёт риски компрометации данных при взломе базы сервиса.
Telegram, позиционирующий себя как защищённый мессенджер, предложил альтернативу: данные хранятся в зашифрованном виде в облаке Telegram, а ключ дешифрования известен только пользователю. Передача информации происходит по принципу «нулевого разглашения» (zero-knowledge proof) — сервис получает доступ только к тем данным, которые пользователь решил предоставить, и не видит их в открытом виде до момента дешифровки на стороне получателя.
Принцип работы и архитектура
Telegram Passport функционирует как встроенное приложение внутри мессенджера. Пользователь загружает документы (паспорт, водительское удостоверение, ИНН, СНИЛС, выписки из банков и т.д.) и личные данные (имя, дата рождения, адрес) через интерфейс Telegram.
Шифрование и хранение
Все загруженные данные шифруются на устройстве пользователя с использованием ключа, который генерируется из пароля, заданного пользователем. Telegram не хранит этот пароль и не имеет доступа к расшифрованным данным. Зашифрованные файлы и метаданные (например, тип документа) хранятся на серверах Telegram (в облаке). Ключ дешифрования — это комбинация пароля пользователя и двухфакторной аутентификации (2FA), если она включена. Таким образом, даже в случае взлома серверов Telegram злоумышленники получат только зашифрованный набор данных, который невозможно расшифровать без ключа пользователя.
Процесс передачи данных
Когда пользователь обращается к стороннему сервису, который поддерживает Telegram Passport, сервис отправляет запрос через API Telegram. Пользователь видит в мессенджере запрос на предоставление определённых данных (например, «Сервис X запрашивает копию паспорта и подтверждение адреса»). Пользователь выбирает, какие именно данные передать, и подтверждает действие своим паролем. Telegram отправляет сервису зашифрованный пакет данных. Ключ для расшифровки этого пакета передаётся сервису отдельно, через защищённый канал (обычно через сервер Telegram, но с использованием открытого ключа сервиса). Сервис расшифровывает данные и использует их для верификации.
Отзыв доступа
Пользователь может в любой момент отозвать разрешение на доступ к своим данным для конкретного сервиса. После отзыва сервис теряет возможность повторно запрашивать данные через Telegram Passport, хотя уже переданные данные остаются у сервиса (пользователь должен удалять их самостоятельно через интерфейс сервиса).
Поддерживаемые типы данных и документов
Telegram Passport позволяет хранить и передавать следующие категории информации:
- Персональные данные: имя, фамилия, отчество, дата рождения, место рождения, гражданство, пол, адрес регистрации/проживания.
- Документы, удостоверяющие личность:
- Загранпаспорт
- Внутренний паспорт (для стран, где он используется)
- Водительское удостоверение
- Удостоверение личности (ID-карта)
- Подтверждение адреса:
- Банковская выписка
- Счёт за коммунальные услуги
- Справка о регистрации по месту жительства
- Прочие документы:
- ИНН (индивидуальный номер налогоплательщика)
- СНИЛС (страховой номер индивидуального лицевого счёта)
- Свидетельство о рождении
- Справка о несудимости
- Разрешение на временное проживание (РВП), вид на жительство (ВНЖ)
Применение и интеграция
Telegram Passport используется в первую очередь сервисами, требующими обязательной верификации личности (KYC) по требованиям законодательства. Наиболее распространённые сценарии:
- Криптовалютные биржи и обменники: для регистрации и торговли.
- Финансовые сервисы: банки, платёжные системы, инвестиционные платформы.
- Платформы для торговли: онлайн-биржи, маркетплейсы с высокой стоимостью сделок.
- Государственные услуги: интеграция с порталами госуслуг (например, в России — через «Госуслуги» или аналогичные системы в других странах). В ряде стран Telegram Passport используется для упрощённого получения цифровой подписи.
- Сервисы для бизнеса: регистрация компаний, открытие счетов.
Критика и ограничения
Несмотря на заявленную безопасность, сервис подвергается критике по нескольким направлениям:
- Централизация хранения: Хотя данные зашифрованы, они хранятся на серверах Telegram. Критики отмечают, что это создаёт единую точку отказа: если злоумышленник получит доступ к серверам и сможет перехватить ключи шифрования (например, через уязвимости в клиентском приложении или бэкдоры), все данные будут скомпрометированы. Telegram утверждает, что ключи шифрования не хранятся на серверах.
- Зависимость от пароля: Безопасность всей системы зависит от стойкости пароля пользователя. Если пароль будет утерян или взломан, данные станут недоступны или будут расшифрованы злоумышленником. Восстановление пароля невозможно без потери данных.
- Отсутствие анонимности: Сервис предназначен для раскрытия личности, а не для анонимности. Это противоречит философии некоторых пользователей, ценящих приватность.
- Юридические риски: В разных странах требования к хранению и обработке персональных данных различаются. Telegram Passport может не соответствовать локальным законам (например, требованиям о локализации данных в России — Федеральный закон № 242-ФЗ). Telegram не раскрывает, на серверах каких юрисдикций физически хранятся зашифрованные данные.
- Отсутствие полной открытости: Исходный код серверной части Telegram Passport не является полностью открытым, что затрудняет независимый аудит безопасности.
Безопасность и конфиденциальность
Telegram заявляет, что Telegram Passport использует сквозное шифрование (end-to-end encryption) для передачи данных между пользователем и сервисом. Ключи шифрования генерируются на устройстве пользователя и не покидают его. Сервис-получатель получает данные в зашифрованном виде и расшифровывает их своим закрытым ключом.
Однако, в отличие от секретных чатов Telegram, где сквозное шифрование применяется ко всем сообщениям, в Telegram Passport шифрование применяется только к содержимому документов. Метаданные (тип документа, дата загрузки) могут передаваться в незашифрованном виде для обеспечения работы сервиса.
Регулирование в России
В России Telegram Passport не получил широкого распространения в государственных и банковских системах из-за требований к локализации персональных данных (ФЗ-242). Крупные банки и портал «Госуслуги» используют собственные системы идентификации или сторонние сервисы, сертифицированные ФСБ. Тем не менее, отдельные криптовалютные биржи и зарубежные финансовые платформы, работающие с российскими пользователями, могут предлагать Telegram Passport как один из способов верификации.
Источники
- Официальный блог Telegram: «Telegram Passport — сервис для хранения и передачи персональных данных» (28 июля 2018).
- Документация Telegram API: «Telegram Passport Manual».
- Статья «Telegram Passport: как это работает и насколько это безопасно» — издание «Хабр».
- Материалы «Telegram Passport: новый уровень KYC» — аналитические обзоры криптовалютных платформ.
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями).
- Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →