Telegram Messenger to wieloplatformowa, szyfrowana aplikacja do obsługi wiadomości błyskawicznych, dostępna w modelu freemium i hostowana w chmurze. Telegram, z siedzibą w Dubaju, ma ponad 900 milionów użytkowników.
Ale czy to wystarczy?
Jasne, 75% z nich jest zadowolonych z ich usług, ale to nie jest argument.
Wyjaśnię ci, jak to działa.
Przed zapytaniem o bezpieczeństwo platformy, nie pytaj ich samych, ponieważ zrobią wszystko, aby cię zracjonalizować i zapewnić "najlepsze".
Telegram używa własnego protokołu szyfrowania o nazwie "MTProto", MTProto używa algorytmu AES (Advanced Encryption Standard) do szyfrowania symetrycznego.
Aby zapewnić integralność danych -> MTProto wykorzystuje algorytm mieszający SHA-256. Algorytm ten tworzy 256-bitowy skrót wiadomości, który umożliwia sprawdzenie, czy dane zostały zmodyfikowane.
Do bezpiecznej wymiany kluczy -> MTProto używa RSA (Rivest-Shamir-Adleman). RSA to asymetryczny algorytm szyfrowania, który wykorzystuje parę kluczy (publiczny i prywatny) do zabezpieczenia wymiany kluczy symetrycznych między stronami.
Protokoły bezpieczeństwa komunikacji -> MTProto integruje również mechanizmy ochrony przed typowymi atakami, takimi jak ataki powtórkowe lub ataki typu man-in-the-middle. Obejmuje to wykorzystanie kluczy tymczasowych i protokołów generowania kluczy.
Jeśli przyjrzymy się teraz tym technikom szyfrowania, zobaczymy, że w przeszłości i obecnie znaleziono wiele luk w zabezpieczeniach:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Oto nieco bardziej szczegółowe źródło: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Opublikowano: 2023-10-10 21:15
Jak wskazuje kod podatności, ta konkretna luka jest najnowsza.
-> CWE-94
Ten kod CWE oznacza "Niewłaściwa kontrola generowania kodu ('wstrzyknięcie kodu')".
Jest to część poważnej podatności.
Telegram wielokrotnie aktualizuje swój protokół, ale to nie wystarczy, ponieważ to, co jest zaszyfrowane, można odszyfrować i zawsze będzie istniała luka.
Zatrzymam się w tym miejscu, ponieważ w przeciwnym razie musiałbym napisać kilka akapitów na temat algorytmu szyfrowania telegramu.
Jeśli chcesz użyć lepiej zaszyfrowanej wiadomości do czegokolwiek innego, użyj keybase lub jeśli koniecznie chcesz użyć telegramu, zaszyfruj swoją zawartość samodzielnie.
Ale czy to wystarczy?
Jasne, 75% z nich jest zadowolonych z ich usług, ale to nie jest argument.
Wyjaśnię ci, jak to działa.
Przed zapytaniem o bezpieczeństwo platformy, nie pytaj ich samych, ponieważ zrobią wszystko, aby cię zracjonalizować i zapewnić "najlepsze".
Telegram używa własnego protokołu szyfrowania o nazwie "MTProto", MTProto używa algorytmu AES (Advanced Encryption Standard) do szyfrowania symetrycznego.
Aby zapewnić integralność danych -> MTProto wykorzystuje algorytm mieszający SHA-256. Algorytm ten tworzy 256-bitowy skrót wiadomości, który umożliwia sprawdzenie, czy dane zostały zmodyfikowane.
Do bezpiecznej wymiany kluczy -> MTProto używa RSA (Rivest-Shamir-Adleman). RSA to asymetryczny algorytm szyfrowania, który wykorzystuje parę kluczy (publiczny i prywatny) do zabezpieczenia wymiany kluczy symetrycznych między stronami.
Protokoły bezpieczeństwa komunikacji -> MTProto integruje również mechanizmy ochrony przed typowymi atakami, takimi jak ataki powtórkowe lub ataki typu man-in-the-middle. Obejmuje to wykorzystanie kluczy tymczasowych i protokołów generowania kluczy.
Jeśli przyjrzymy się teraz tym technikom szyfrowania, zobaczymy, że w przeszłości i obecnie znaleziono wiele luk w zabezpieczeniach:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Oto nieco bardziej szczegółowe źródło: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Opublikowano: 2023-10-10 21:15
Jak wskazuje kod podatności, ta konkretna luka jest najnowsza.
-> CWE-94
Ten kod CWE oznacza "Niewłaściwa kontrola generowania kodu ('wstrzyknięcie kodu')".
Jest to część poważnej podatności.
Telegram wielokrotnie aktualizuje swój protokół, ale to nie wystarczy, ponieważ to, co jest zaszyfrowane, można odszyfrować i zawsze będzie istniała luka.
Zatrzymam się w tym miejscu, ponieważ w przeciwnym razie musiałbym napisać kilka akapitów na temat algorytmu szyfrowania telegramu.
Jeśli chcesz użyć lepiej zaszyfrowanej wiadomości do czegokolwiek innego, użyj keybase lub jeśli koniecznie chcesz użyć telegramu, zaszyfruj swoją zawartość samodzielnie.
