Открыть сервис

Telegram Passport

Telegram Passport — это сервис авторизации и хранения персональных данных, встроенный в мессенджер Telegram, предназначенный для упрощения процедуры верификации личности пользователя при обращении к сторонним онлайн-сервисам (банкам, биржам, сайтам госуслуг). Позволяет пользователю однократно загрузить сканы документов и личную информацию, после чего передавать их третьим лицам в зашифрованном виде, без повторного ввода данных.

Сервис был запущен 28 июля 2018 года разработчиками Telegram Messenger LLP. Основная цель Telegram Passport — устранить необходимость многократной отправки копий документов в разные организации, снижая риски утечки данных при хранении на серверах третьих сторон.

История и предпосылки создания

Необходимость в подобном сервисе возникла на фоне роста требований к идентификации пользователей (KYC — Know Your Customer) со стороны финансовых регуляторов, криптовалютных бирж и платформ, работающих с персональными данными. Традиционная схема предполагает, что пользователь отправляет сканы паспорта или водительских прав напрямую сервису, который хранит их на своих серверах. Это создаёт риски компрометации данных при взломе базы сервиса.

Telegram, позиционирующий себя как защищённый мессенджер, предложил альтернативу: данные хранятся в зашифрованном виде в облаке Telegram, а ключ дешифрования известен только пользователю. Передача информации происходит по принципу «нулевого разглашения» (zero-knowledge proof) — сервис получает доступ только к тем данным, которые пользователь решил предоставить, и не видит их в открытом виде до момента дешифровки на стороне получателя.

Принцип работы и архитектура

Telegram Passport функционирует как встроенное приложение внутри мессенджера. Пользователь загружает документы (паспорт, водительское удостоверение, ИНН, СНИЛС, выписки из банков и т.д.) и личные данные (имя, дата рождения, адрес) через интерфейс Telegram.

Шифрование и хранение

Все загруженные данные шифруются на устройстве пользователя с использованием ключа, который генерируется из пароля, заданного пользователем. Telegram не хранит этот пароль и не имеет доступа к расшифрованным данным. Зашифрованные файлы и метаданные (например, тип документа) хранятся на серверах Telegram (в облаке). Ключ дешифрования — это комбинация пароля пользователя и двухфакторной аутентификации (2FA), если она включена. Таким образом, даже в случае взлома серверов Telegram злоумышленники получат только зашифрованный набор данных, который невозможно расшифровать без ключа пользователя.

Процесс передачи данных

Когда пользователь обращается к стороннему сервису, который поддерживает Telegram Passport, сервис отправляет запрос через API Telegram. Пользователь видит в мессенджере запрос на предоставление определённых данных (например, «Сервис X запрашивает копию паспорта и подтверждение адреса»). Пользователь выбирает, какие именно данные передать, и подтверждает действие своим паролем. Telegram отправляет сервису зашифрованный пакет данных. Ключ для расшифровки этого пакета передаётся сервису отдельно, через защищённый канал (обычно через сервер Telegram, но с использованием открытого ключа сервиса). Сервис расшифровывает данные и использует их для верификации.

Отзыв доступа

Пользователь может в любой момент отозвать разрешение на доступ к своим данным для конкретного сервиса. После отзыва сервис теряет возможность повторно запрашивать данные через Telegram Passport, хотя уже переданные данные остаются у сервиса (пользователь должен удалять их самостоятельно через интерфейс сервиса).

Поддерживаемые типы данных и документов

Telegram Passport позволяет хранить и передавать следующие категории информации:

Применение и интеграция

Telegram Passport используется в первую очередь сервисами, требующими обязательной верификации личности (KYC) по требованиям законодательства. Наиболее распространённые сценарии:

Критика и ограничения

Несмотря на заявленную безопасность, сервис подвергается критике по нескольким направлениям:

Безопасность и конфиденциальность

Telegram заявляет, что Telegram Passport использует сквозное шифрование (end-to-end encryption) для передачи данных между пользователем и сервисом. Ключи шифрования генерируются на устройстве пользователя и не покидают его. Сервис-получатель получает данные в зашифрованном виде и расшифровывает их своим закрытым ключом.

Однако, в отличие от секретных чатов Telegram, где сквозное шифрование применяется ко всем сообщениям, в Telegram Passport шифрование применяется только к содержимому документов. Метаданные (тип документа, дата загрузки) могут передаваться в незашифрованном виде для обеспечения работы сервиса.

Регулирование в России

В России Telegram Passport не получил широкого распространения в государственных и банковских системах из-за требований к локализации персональных данных (ФЗ-242). Крупные банки и портал «Госуслуги» используют собственные системы идентификации или сторонние сервисы, сертифицированные ФСБ. Тем не менее, отдельные криптовалютные биржи и зарубежные финансовые платформы, работающие с российскими пользователями, могут предлагать Telegram Passport как один из способов верификации.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →