O Telegram Messenger é um aplicativo de mensagens instantâneas criptografadas de plataforma cruzada, disponível em um modelo freemium e hospedado em uma nuvem. Com sede em Dubai, o Telegram tem mais de 900 milhões de usuários.
Mas será que isso é suficiente?
Claro, 75% deles estão satisfeitos com seus serviços, mas isso não é argumento.
Vou lhe explicar como ele funciona.
Antes de perguntar sobre a segurança de uma plataforma, não pergunte a eles mesmos, pois eles farão de tudo para racionalizá-lo e garantir o "melhor".
O Telegram usa seu próprio protocolo de criptografia chamado "MTProto", o MTProto usa o algoritmo AES (Advanced Encryption Standard) para criptografia simétrica.
Para garantir a integridade dos dados -> o MTProto usa o algoritmo de hash SHA-256. Esse algoritmo produz um resumo de 256 bits da mensagem, o que permite verificar se os dados foram modificados.
Para troca segura de chaves -> o MTProto usa o RSA (Rivest-Shamir-Adleman). O RSA é um algoritmo de criptografia assimétrica que usa um par de chaves (pública e privada) para proteger a troca de chaves simétricas entre as partes.
Protocolos de segurança de comunicação -> O MTProto também integra mecanismos de proteção contra ataques comuns, como ataques de repetição ou ataques man-in-the-middle. Isso inclui o uso de chaves temporárias e protocolos de geração de chaves.
Se analisarmos agora essas técnicas de criptografia, veremos que várias vulnerabilidades foram encontradas no passado arquivado e no presente:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Aqui está uma fonte um pouco mais detalhada: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Publicado : 2023-10-10 21:15
Como o código da vulnerabilidade indica, essa vulnerabilidade específica é recente.
-> CWE-94
Esse código CWE significa "Controle inadequado da geração de código ('Injeção de código')"
E isso faz parte de uma vulnerabilidade de nível grave.
O Telegram faz várias atualizações em seu protocolo, mas isso não é suficiente porque o que é criptografado pode ser descriptografado e sempre haverá uma vulnerabilidade.
Vou parar por aqui porque, caso contrário, eu teria que escrever vários parágrafos sobre o algoritmo de criptografia do Telegram.
Se quiser usar um sistema de mensagens criptografadas melhor para qualquer outra coisa, use o keybase ou, se quiser mesmo usar o telegram, criptografe seu conteúdo você mesmo.
Mas será que isso é suficiente?
Claro, 75% deles estão satisfeitos com seus serviços, mas isso não é argumento.
Vou lhe explicar como ele funciona.
Antes de perguntar sobre a segurança de uma plataforma, não pergunte a eles mesmos, pois eles farão de tudo para racionalizá-lo e garantir o "melhor".
O Telegram usa seu próprio protocolo de criptografia chamado "MTProto", o MTProto usa o algoritmo AES (Advanced Encryption Standard) para criptografia simétrica.
Para garantir a integridade dos dados -> o MTProto usa o algoritmo de hash SHA-256. Esse algoritmo produz um resumo de 256 bits da mensagem, o que permite verificar se os dados foram modificados.
Para troca segura de chaves -> o MTProto usa o RSA (Rivest-Shamir-Adleman). O RSA é um algoritmo de criptografia assimétrica que usa um par de chaves (pública e privada) para proteger a troca de chaves simétricas entre as partes.
Protocolos de segurança de comunicação -> O MTProto também integra mecanismos de proteção contra ataques comuns, como ataques de repetição ou ataques man-in-the-middle. Isso inclui o uso de chaves temporárias e protocolos de geração de chaves.
Se analisarmos agora essas técnicas de criptografia, veremos que várias vulnerabilidades foram encontradas no passado arquivado e no presente:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Aqui está uma fonte um pouco mais detalhada: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Publicado : 2023-10-10 21:15
Como o código da vulnerabilidade indica, essa vulnerabilidade específica é recente.
-> CWE-94
Esse código CWE significa "Controle inadequado da geração de código ('Injeção de código')"
E isso faz parte de uma vulnerabilidade de nível grave.
O Telegram faz várias atualizações em seu protocolo, mas isso não é suficiente porque o que é criptografado pode ser descriptografado e sempre haverá uma vulnerabilidade.
Vou parar por aqui porque, caso contrário, eu teria que escrever vários parágrafos sobre o algoritmo de criptografia do Telegram.
Se quiser usar um sistema de mensagens criptografadas melhor para qualquer outra coisa, use o keybase ou, se quiser mesmo usar o telegram, criptografe seu conteúdo você mesmo.
