Telegram Messenger je medplatformna šifrirana aplikacija za takojšnje sporočanje, ki je na voljo po modelu freemium in gostuje v oblaku. Telegram s sedežem v Dubaju ima več kot 900 milijonov uporabnikov.
Toda ali je to dovolj?
Seveda jih je 75 % zadovoljnih z njihovimi storitvami, vendar to ni argumentirano.
Razložil vam bom, kako deluje.
Preden se pozanimate o varnosti platforme, ne sprašujte njih samih, saj bodo naredili vse, da vas racionalizirajo in zagotovijo "najboljše".
Telegram uporablja lasten šifrirni protokol, imenovan "MTProto", MTProto uporablja algoritem AES (Advanced Encryption Standard) za simetrično šifriranje.
Za zagotavljanje celovitosti podatkov -> MTProto uporablja algoritem hashinga SHA-256. Ta algoritem ustvari 256-bitni digest sporočila, ki omogoča preverjanje, ali so bili podatki spremenjeni.
Za varno izmenjavo ključev -> MTProto uporablja RSA (Rivest-Shamir-Adleman). RSA je asimetrični šifrirni algoritem, ki uporablja par ključev (javnega in zasebnega) za varno izmenjavo simetričnih ključev med strankami.
Komunikacijski varnostni protokoli -> MTProto vključuje tudi mehanizme zaščite pred običajnimi napadi, kot so napadi s ponovnim predvajanjem ali napadi "človek sredi poti" (man-in-the-middle). To vključuje uporabo začasnih ključev in protokolov za generiranje ključev.
Če si zdaj ogledamo te tehnike šifriranja, lahko vidimo, da je bilo v arhivski preteklosti in sedanjosti odkritih več ranljivosti:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Tukaj je nekoliko podrobnejši vir: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Objavljeno : 2023-10-10 21:15
Kot je razvidno iz kode ranljivosti, je ta posebna ranljivost nedavna.
-> CWE-94
Ta koda CWE pomeni "Neustrezen nadzor nad ustvarjanjem kode ("Code Injection")".
To je del hude stopnje ranljivosti.
Telegram večkrat posodablja svoj protokol, vendar to ni dovolj, saj je šifrirano mogoče dešifrirati in ranljivost bo vedno obstajala.
Tu se bom ustavil, ker bi sicer moral napisati več odstavkov o šifrirnem algoritmu Telegram.
Če želite uporabiti boljše šifrirano sporočanje za kar koli drugega, uporabite keybase, če pa nujno želite uporabiti telegram, vsebino šifrirajte sami.
Toda ali je to dovolj?
Seveda jih je 75 % zadovoljnih z njihovimi storitvami, vendar to ni argumentirano.
Razložil vam bom, kako deluje.
Preden se pozanimate o varnosti platforme, ne sprašujte njih samih, saj bodo naredili vse, da vas racionalizirajo in zagotovijo "najboljše".
Telegram uporablja lasten šifrirni protokol, imenovan "MTProto", MTProto uporablja algoritem AES (Advanced Encryption Standard) za simetrično šifriranje.
Za zagotavljanje celovitosti podatkov -> MTProto uporablja algoritem hashinga SHA-256. Ta algoritem ustvari 256-bitni digest sporočila, ki omogoča preverjanje, ali so bili podatki spremenjeni.
Za varno izmenjavo ključev -> MTProto uporablja RSA (Rivest-Shamir-Adleman). RSA je asimetrični šifrirni algoritem, ki uporablja par ključev (javnega in zasebnega) za varno izmenjavo simetričnih ključev med strankami.
Komunikacijski varnostni protokoli -> MTProto vključuje tudi mehanizme zaščite pred običajnimi napadi, kot so napadi s ponovnim predvajanjem ali napadi "človek sredi poti" (man-in-the-middle). To vključuje uporabo začasnih ključev in protokolov za generiranje ključev.
Če si zdaj ogledamo te tehnike šifriranja, lahko vidimo, da je bilo v arhivski preteklosti in sedanjosti odkritih več ranljivosti:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Tukaj je nekoliko podrobnejši vir: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Objavljeno : 2023-10-10 21:15
Kot je razvidno iz kode ranljivosti, je ta posebna ranljivost nedavna.
-> CWE-94
Ta koda CWE pomeni "Neustrezen nadzor nad ustvarjanjem kode ("Code Injection")".
To je del hude stopnje ranljivosti.
Telegram večkrat posodablja svoj protokol, vendar to ni dovolj, saj je šifrirano mogoče dešifrirati in ranljivost bo vedno obstajala.
Tu se bom ustavil, ker bi sicer moral napisati več odstavkov o šifrirnem algoritmu Telegram.
Če želite uporabiti boljše šifrirano sporočanje za kar koli drugega, uporabite keybase, če pa nujno želite uporabiti telegram, vsebino šifrirajte sami.
