Telegram Messenger on platvormideülene krüpteeritud kiirsõnumirakendus, mis on saadaval freemium-mudelis ja mida majutatakse pilves. Dubais asuval Telegramil on üle 900 miljoni kasutaja.
Aga... Kas sellest piisab?
Muidugi, 75% neist on oma teenustega rahul, kuid see ei ole argumenteeritud.
Ma selgitan teile, kuidas see toimib.
Enne platvormi turvalisuse kohta küsimist ärge küsige neilt endilt, sest nad teevad kõik, et teid ratsionaliseerida ja tagada "parim".
Telegram kasutab oma krüpteerimisprotokolli nimega "MTProto", MTProto kasutab sümmeetriliseks krüpteerimiseks AES (Advanced Encryption Standard) algoritmi.
Andmete terviklikkuse tagamiseks -> MTProto kasutab SHA-256 hashing-algoritmi. See algoritm toodab sõnumi 256-bitise digesti, mis võimaldab kontrollida, kas andmeid on muudetud.
Turvaliseks võtmevahetuseks -> MTProto kasutab RSA (Rivest-Shamir-Adleman). RSA on asümmeetriline krüpteerimisalgoritm, mis kasutab osapoolte vahelise sümmeetriliste võtmete vahetamise tagamiseks võtmepaari (avalik ja privaatne).
Side turvaprotokollid -> MTProto sisaldab ka kaitsemehhanisme levinud rünnakute, näiteks taasesitusrünnakute või man-in-the-middle rünnakute vastu. See hõlmab ajutiste võtmete ja võtmete genereerimise protokollide kasutamist.
Kui me nüüd vaatame neid krüpteerimistehnikaid, siis näeme, et arhiveeritud minevikus ja tänapäeval on leitud mitmeid haavatavusi:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Siin on veidi üksikasjalikum allikas: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Avaldatud : 2023-10-10 21:15
Nagu haavatavuse kood näitab, on see konkreetne haavatavus hiljutine.
-> CWE-94
See CWE-kood tähendab "Koodi genereerimise ebakorrektne kontroll ("Code Injection")".
Ja see on osa tõsise taseme haavatavusest.
Telegram teeb mitmeid uuendusi oma protokollile, kuid sellest ei piisa, sest see, mis on krüpteeritud, on dekrüpteeritav ja alati on haavatavus.
Ma lõpetan siinkohal, sest muidu peaksin Telegrami krüpteerimisalgoritmist mitu lõiku kirjutama.
Kui soovite kasutada paremat krüpteeritud sõnumite edastamist millegi muu jaoks, siis kasutage keybase'i või kui soovite tingimata telegrami kasutada, siis krüpteerige oma sisu ise.
Aga... Kas sellest piisab?
Muidugi, 75% neist on oma teenustega rahul, kuid see ei ole argumenteeritud.
Ma selgitan teile, kuidas see toimib.
Enne platvormi turvalisuse kohta küsimist ärge küsige neilt endilt, sest nad teevad kõik, et teid ratsionaliseerida ja tagada "parim".
Telegram kasutab oma krüpteerimisprotokolli nimega "MTProto", MTProto kasutab sümmeetriliseks krüpteerimiseks AES (Advanced Encryption Standard) algoritmi.
Andmete terviklikkuse tagamiseks -> MTProto kasutab SHA-256 hashing-algoritmi. See algoritm toodab sõnumi 256-bitise digesti, mis võimaldab kontrollida, kas andmeid on muudetud.
Turvaliseks võtmevahetuseks -> MTProto kasutab RSA (Rivest-Shamir-Adleman). RSA on asümmeetriline krüpteerimisalgoritm, mis kasutab osapoolte vahelise sümmeetriliste võtmete vahetamise tagamiseks võtmepaari (avalik ja privaatne).
Side turvaprotokollid -> MTProto sisaldab ka kaitsemehhanisme levinud rünnakute, näiteks taasesitusrünnakute või man-in-the-middle rünnakute vastu. See hõlmab ajutiste võtmete ja võtmete genereerimise protokollide kasutamist.
Kui me nüüd vaatame neid krüpteerimistehnikaid, siis näeme, et arhiveeritud minevikus ja tänapäeval on leitud mitmeid haavatavusi:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Siin on veidi üksikasjalikum allikas: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Avaldatud : 2023-10-10 21:15
Nagu haavatavuse kood näitab, on see konkreetne haavatavus hiljutine.
-> CWE-94
See CWE-kood tähendab "Koodi genereerimise ebakorrektne kontroll ("Code Injection")".
Ja see on osa tõsise taseme haavatavusest.
Telegram teeb mitmeid uuendusi oma protokollile, kuid sellest ei piisa, sest see, mis on krüpteeritud, on dekrüpteeritav ja alati on haavatavus.
Ma lõpetan siinkohal, sest muidu peaksin Telegrami krüpteerimisalgoritmist mitu lõiku kirjutama.
Kui soovite kasutada paremat krüpteeritud sõnumite edastamist millegi muu jaoks, siis kasutage keybase'i või kui soovite tingimata telegrami kasutada, siis krüpteerige oma sisu ise.
