O Telegram Messenger é uma aplicação de mensagens instantâneas encriptadas multiplataforma, disponível num modelo freemium e alojada numa nuvem. Com sede no Dubai, o Telegram tem mais de 900 milhões de utilizadores.
Mas... Será que isso é suficiente?
Claro, 75% deles estão satisfeitos com os seus serviços, mas isso não é argumento.
Vou explicar-vos como funciona.
Antes de perguntar sobre a segurança de uma plataforma, não pergunte a eles mesmos, porque eles farão de tudo para racionalizá-lo e garantir o "melhor".
O Telegram utiliza o seu próprio protocolo de encriptação chamado "MTProto", o MTProto utiliza o algoritmo AES (Advanced Encryption Standard) para a encriptação simétrica.
Para garantir a integridade dos dados -> o MTProto utiliza o algoritmo de hashing SHA-256. Este algoritmo produz um resumo de 256 bits da mensagem, o que permite verificar se os dados foram modificados.
Para o intercâmbio seguro de chaves -> o MTProto utiliza o RSA (Rivest-Shamir-Adleman). O RSA é um algoritmo de encriptação assimétrica que utiliza um par de chaves (pública e privada) para garantir a troca de chaves simétricas entre as partes.
Protocolos de segurança das comunicações -> O MTProto também integra mecanismos de proteção contra ataques comuns, como ataques de repetição ou ataques man-in-the-middle. Isto inclui a utilização de chaves temporárias e protocolos de geração de chaves.
Se olharmos agora para estas técnicas de encriptação, podemos ver que foram encontradas várias vulnerabilidades no passado arquivado e no presente:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Eis uma fonte ligeiramente mais pormenorizada: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Publicado : 2023-10-10 21:15
Como o código da vulnerabilidade indica, esta vulnerabilidade específica é recente.
-> CWE-94
Este código CWE significa "Controlo inadequado da geração de código ('Injeção de código')"
E isto faz parte de uma vulnerabilidade de nível grave.
O Telegram faz várias actualizações ao seu protocolo mas isso não é suficiente porque o que é encriptado é desencriptável e haverá sempre uma vulnerabilidade.
Vou ficar por aqui, porque senão teria de escrever vários parágrafos sobre o algoritmo de encriptação do Telegram.
Se quiser utilizar um sistema de mensagens encriptadas melhor para qualquer outra coisa, utilize o keybase ou, se quiser mesmo utilizar o telegram, encripte você mesmo o seu conteúdo.
Mas... Será que isso é suficiente?
Claro, 75% deles estão satisfeitos com os seus serviços, mas isso não é argumento.
Vou explicar-vos como funciona.
Antes de perguntar sobre a segurança de uma plataforma, não pergunte a eles mesmos, porque eles farão de tudo para racionalizá-lo e garantir o "melhor".
O Telegram utiliza o seu próprio protocolo de encriptação chamado "MTProto", o MTProto utiliza o algoritmo AES (Advanced Encryption Standard) para a encriptação simétrica.
Para garantir a integridade dos dados -> o MTProto utiliza o algoritmo de hashing SHA-256. Este algoritmo produz um resumo de 256 bits da mensagem, o que permite verificar se os dados foram modificados.
Para o intercâmbio seguro de chaves -> o MTProto utiliza o RSA (Rivest-Shamir-Adleman). O RSA é um algoritmo de encriptação assimétrica que utiliza um par de chaves (pública e privada) para garantir a troca de chaves simétricas entre as partes.
Protocolos de segurança das comunicações -> O MTProto também integra mecanismos de proteção contra ataques comuns, como ataques de repetição ou ataques man-in-the-middle. Isto inclui a utilização de chaves temporárias e protocolos de geração de chaves.
Se olharmos agora para estas técnicas de encriptação, podemos ver que foram encontradas várias vulnerabilidades no passado arquivado e no presente:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Eis uma fonte ligeiramente mais pormenorizada: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Publicado : 2023-10-10 21:15
Como o código da vulnerabilidade indica, esta vulnerabilidade específica é recente.
-> CWE-94
Este código CWE significa "Controlo inadequado da geração de código ('Injeção de código')"
E isto faz parte de uma vulnerabilidade de nível grave.
O Telegram faz várias actualizações ao seu protocolo mas isso não é suficiente porque o que é encriptado é desencriptável e haverá sempre uma vulnerabilidade.
Vou ficar por aqui, porque senão teria de escrever vários parágrafos sobre o algoritmo de encriptação do Telegram.
Se quiser utilizar um sistema de mensagens encriptadas melhor para qualquer outra coisa, utilize o keybase ou, se quiser mesmo utilizar o telegram, encripte você mesmo o seu conteúdo.
