Telegram Messenger je multiplatformová šifrovaná aplikácia na zasielanie okamžitých správ, ktorá je k dispozícii v modeli freemium a je umiestnená v cloude. Telegram so sídlom v Dubaji má viac ako 900 miliónov používateľov.
Je to však dosť?
Iste, 75 % z nich je s ich službami spokojných, ale to nie je argument.
Vysvetlím vám, ako to funguje.
Skôr ako sa začnete pýtať na bezpečnosť platformy, nepýtajte sa ich samotných, pretože urobia všetko pre to, aby vás racionálne presvedčili a zabezpečili "to najlepšie".
Telegram používa vlastný šifrovací protokol s názvom "MTProto", MTProto používa algoritmus AES (Advanced Encryption Standard) na symetrické šifrovanie.
Na zabezpečenie integrity údajov -> MTProto používa hashovací algoritmus SHA-256. Tento algoritmus vytvára 256-bitový digest správy, ktorý umožňuje skontrolovať, či boli údaje zmenené.
Na bezpečnú výmenu kľúčov -> MTProto používa RSA (Rivest-Shamir-Adleman). RSA je asymetrický šifrovací algoritmus, ktorý používa dvojicu kľúčov (verejný a súkromný) na zabezpečenie výmeny symetrických kľúčov medzi stranami.
Komunikačné bezpečnostné protokoly -> MTProto integruje aj ochranné mechanizmy proti bežným útokom, ako sú útoky replay alebo man-in-the-middle. Patrí sem používanie dočasných kľúčov a protokolov na generovanie kľúčov.
Ak sa teraz pozrieme na tieto šifrovacie techniky, vidíme, že v archívnej minulosti aj v súčasnosti sa našli viaceré zraniteľnosti:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Tu je o niečo podrobnejší zdroj: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Publikované : 2023-10-10 21:15
Ako naznačuje kód zraniteľnosti, táto konkrétna zraniteľnosť je nedávna.
-> CWE-94
Tento kód CWE znamená "Nesprávna kontrola generovania kódu ("Code Injection")".
A je to súčasť zraniteľnosti závažnej úrovne.
Telegram vykonáva viacero aktualizácií svojho protokolu, ale to nestačí, pretože to, čo je zašifrované, sa dá dešifrovať a vždy bude existovať zraniteľnosť.
Tu sa zastavím, pretože inak by som musel napísať niekoľko odsekov o šifrovacom algoritme Telegramu.
Ak chcete používať lepšie šifrované správy na čokoľvek iné, použite keybase alebo ak chcete bezpodmienečne používať telegram, šifrujte si obsah sami.
Je to však dosť?
Iste, 75 % z nich je s ich službami spokojných, ale to nie je argument.
Vysvetlím vám, ako to funguje.
Skôr ako sa začnete pýtať na bezpečnosť platformy, nepýtajte sa ich samotných, pretože urobia všetko pre to, aby vás racionálne presvedčili a zabezpečili "to najlepšie".
Telegram používa vlastný šifrovací protokol s názvom "MTProto", MTProto používa algoritmus AES (Advanced Encryption Standard) na symetrické šifrovanie.
Na zabezpečenie integrity údajov -> MTProto používa hashovací algoritmus SHA-256. Tento algoritmus vytvára 256-bitový digest správy, ktorý umožňuje skontrolovať, či boli údaje zmenené.
Na bezpečnú výmenu kľúčov -> MTProto používa RSA (Rivest-Shamir-Adleman). RSA je asymetrický šifrovací algoritmus, ktorý používa dvojicu kľúčov (verejný a súkromný) na zabezpečenie výmeny symetrických kľúčov medzi stranami.
Komunikačné bezpečnostné protokoly -> MTProto integruje aj ochranné mechanizmy proti bežným útokom, ako sú útoky replay alebo man-in-the-middle. Patrí sem používanie dočasných kľúčov a protokolov na generovanie kľúčov.
Ak sa teraz pozrieme na tieto šifrovacie techniky, vidíme, že v archívnej minulosti aj v súčasnosti sa našli viaceré zraniteľnosti:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Tu je o niečo podrobnejší zdroj: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Publikované : 2023-10-10 21:15
Ako naznačuje kód zraniteľnosti, táto konkrétna zraniteľnosť je nedávna.
-> CWE-94
Tento kód CWE znamená "Nesprávna kontrola generovania kódu ("Code Injection")".
A je to súčasť zraniteľnosti závažnej úrovne.
Telegram vykonáva viacero aktualizácií svojho protokolu, ale to nestačí, pretože to, čo je zašifrované, sa dá dešifrovať a vždy bude existovať zraniteľnosť.
Tu sa zastavím, pretože inak by som musel napísať niekoľko odsekov o šifrovacom algoritme Telegramu.
Ak chcete používať lepšie šifrované správy na čokoľvek iné, použite keybase alebo ak chcete bezpodmienečne používať telegram, šifrujte si obsah sami.
