Телеграм Месинджър е междуплатформено криптирано приложение за незабавни съобщения, налично в безплатен модел и хоствано в облак. Базирана в Дубай, Telegram има повече от 900 милиона потребители.
Но... достатъчно ли е това?
Разбира се, 75% от тях са доволни от услугите им, но това не е аргумент.
Ще ви обясня как работи.
Преди да се поинтересувате от сигурността на дадена платформа, не питайте самите тях, защото те ще направят всичко, за да ви рационализират и да гарантират "най-доброто".
Telegram използва свой собствен протокол за криптиране, наречен "MTProto", MTProto използва алгоритъма AES (Advanced Encryption Standard) за симетрично криптиране.
За да гарантира целостта на данните -> MTProto използва алгоритъма за хеширане SHA-256. Този алгоритъм създава 256-битов digest на съобщението, което дава възможност да се провери дали данните са били модифицирани.
За сигурен обмен на ключове -> MTProto използва RSA (Rivest-Shamir-Adleman). RSA е асиметричен алгоритъм за криптиране, който използва двойка ключове (публичен и частен), за да защити обмена на симетрични ключове между страните.
Протоколи за сигурност на комуникацията -> MTProto също така интегрира механизми за защита срещу често срещани атаки, като например атаки за преиграване или атаки от типа "човек в средата". Това включва използването на временни ключове и протоколи за генериране на ключове.
Ако сега разгледаме тези техники за криптиране, ще видим, че в архивното минало и в настоящето са открити множество уязвимости:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Ето един малко по-подробен източник: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Публикувано : 2023-10-10 21:15
Както показва кодът на уязвимостта, тази конкретна уязвимост е отскоро.
-> CWE-94
Този код CWE означава "Неправилен контрол на генерирането на код ("Code Injection")".
И това е част от уязвимост от тежко ниво.
Telegram прави множество актуализации на своя протокол, но това не е достатъчно, защото това, което е криптирано, може да бъде декриптирано и винаги ще има уязвимост.
Ще спра дотук, защото в противен случай ще трябва да напиша няколко параграфа за алгоритъма за криптиране на Telegram.
Ако искате да използвате по-добри криптирани съобщения за нещо друго, използвайте Keybase или ако непременно искате да използвате telegram, криптирайте съдържанието си сами.
Но... достатъчно ли е това?
Разбира се, 75% от тях са доволни от услугите им, но това не е аргумент.
Ще ви обясня как работи.
Преди да се поинтересувате от сигурността на дадена платформа, не питайте самите тях, защото те ще направят всичко, за да ви рационализират и да гарантират "най-доброто".
Telegram използва свой собствен протокол за криптиране, наречен "MTProto", MTProto използва алгоритъма AES (Advanced Encryption Standard) за симетрично криптиране.
За да гарантира целостта на данните -> MTProto използва алгоритъма за хеширане SHA-256. Този алгоритъм създава 256-битов digest на съобщението, което дава възможност да се провери дали данните са били модифицирани.
За сигурен обмен на ключове -> MTProto използва RSA (Rivest-Shamir-Adleman). RSA е асиметричен алгоритъм за криптиране, който използва двойка ключове (публичен и частен), за да защити обмена на симетрични ключове между страните.
Протоколи за сигурност на комуникацията -> MTProto също така интегрира механизми за защита срещу често срещани атаки, като например атаки за преиграване или атаки от типа "човек в средата". Това включва използването на временни ключове и протоколи за генериране на ключове.
Ако сега разгледаме тези техники за криптиране, ще видим, че в архивното минало и в настоящето са открити множество уязвимости:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Ето един малко по-подробен източник: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Публикувано : 2023-10-10 21:15
Както показва кодът на уязвимостта, тази конкретна уязвимост е отскоро.
-> CWE-94
Този код CWE означава "Неправилен контрол на генерирането на код ("Code Injection")".
И това е част от уязвимост от тежко ниво.
Telegram прави множество актуализации на своя протокол, но това не е достатъчно, защото това, което е криптирано, може да бъде декриптирано и винаги ще има уязвимост.
Ще спра дотук, защото в противен случай ще трябва да напиша няколко параграфа за алгоритъма за криптиране на Telegram.
Ако искате да използвате по-добри криптирани съобщения за нещо друго, използвайте Keybase или ако непременно искате да използвате telegram, криптирайте съдържанието си сами.
