Telegram Messenger er en krypteret instant messaging-applikation på tværs af platforme, der er tilgængelig i en freemium-model og hostet i en sky. Telegram er baseret i Dubai og har mere end 900 millioner brugere.
Men er det nok?
Ja, 75 % af dem er tilfredse med deres tjenester, men det er ikke et argument.
Jeg vil forklare dig, hvordan det fungerer.
Før du spørger om sikkerheden på en platform, skal du ikke spørge dem selv, for de vil gøre alt for at rationalisere dig og sikre det "bedste".
Telegram bruger deres egen krypteringsprotokol kaldet "MTProto", MTProto bruger AES (Advanced Encryption Standard)-algoritmen til symmetrisk kryptering.
For at sikre dataintegritet -> bruger MTProto SHA-256-hashingalgoritmen. Denne algoritme producerer en 256-bit fordøjelse af meddelelsen, som gør det muligt at kontrollere, om dataene er blevet ændret.
Til sikker nøgleudveksling -> MTProto bruger RSA (Rivest-Shamir-Adleman). RSA er en asymmetrisk krypteringsalgoritme, der bruger et par nøgler (offentlige og private) til at sikre udvekslingen af symmetriske nøgler mellem parterne.
Kommunikationssikkerhedsprotokoller -> MTProto integrerer også beskyttelsesmekanismer mod almindelige angreb, som f.eks. replay-angreb eller man-in-the-middle-angreb. Dette omfatter brugen af midlertidige nøgler og protokoller til generering af nøgler.
Hvis vi nu ser på disse krypteringsteknikker, kan vi se, at der er fundet flere sårbarheder i den arkiverede fortid og i nutiden:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Her er en lidt mere detaljeret kilde: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Udgivet: 2023-10-10 21:15
Som sårbarhedskoden indikerer, er denne specifikke sårbarhed af nyere dato.
-> CWE-94
Denne CWE-kode betyder "Ukorrekt kontrol af generering af kode ('Code Injection')"
Og dette er en del af en alvorlig sårbarhed.
Telegram laver flere opdateringer til sin protokol, men det er ikke nok, fordi det, der er krypteret, kan dekrypteres, og der vil altid være en sårbarhed.
Jeg stopper her, for ellers ville jeg være nødt til at skrive flere afsnit om Telegrams krypteringsalgoritme.
Hvis du vil bruge en bedre krypteret besked til noget andet, skal du bruge keybase, eller hvis du absolut vil bruge telegram, skal du selv kryptere dit indhold.
Men er det nok?
Ja, 75 % af dem er tilfredse med deres tjenester, men det er ikke et argument.
Jeg vil forklare dig, hvordan det fungerer.
Før du spørger om sikkerheden på en platform, skal du ikke spørge dem selv, for de vil gøre alt for at rationalisere dig og sikre det "bedste".
Telegram bruger deres egen krypteringsprotokol kaldet "MTProto", MTProto bruger AES (Advanced Encryption Standard)-algoritmen til symmetrisk kryptering.
For at sikre dataintegritet -> bruger MTProto SHA-256-hashingalgoritmen. Denne algoritme producerer en 256-bit fordøjelse af meddelelsen, som gør det muligt at kontrollere, om dataene er blevet ændret.
Til sikker nøgleudveksling -> MTProto bruger RSA (Rivest-Shamir-Adleman). RSA er en asymmetrisk krypteringsalgoritme, der bruger et par nøgler (offentlige og private) til at sikre udvekslingen af symmetriske nøgler mellem parterne.
Kommunikationssikkerhedsprotokoller -> MTProto integrerer også beskyttelsesmekanismer mod almindelige angreb, som f.eks. replay-angreb eller man-in-the-middle-angreb. Dette omfatter brugen af midlertidige nøgler og protokoller til generering af nøgler.
Hvis vi nu ser på disse krypteringsteknikker, kan vi se, at der er fundet flere sårbarheder i den arkiverede fortid og i nutiden:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Her er en lidt mere detaljeret kilde: https: //cve.netmanageit.com/cve/CVE-2023-45312
-> Udgivet: 2023-10-10 21:15
Som sårbarhedskoden indikerer, er denne specifikke sårbarhed af nyere dato.
-> CWE-94
Denne CWE-kode betyder "Ukorrekt kontrol af generering af kode ('Code Injection')"
Og dette er en del af en alvorlig sårbarhed.
Telegram laver flere opdateringer til sin protokol, men det er ikke nok, fordi det, der er krypteret, kan dekrypteres, og der vil altid være en sårbarhed.
Jeg stopper her, for ellers ville jeg være nødt til at skrive flere afsnit om Telegrams krypteringsalgoritme.
Hvis du vil bruge en bedre krypteret besked til noget andet, skal du bruge keybase, eller hvis du absolut vil bruge telegram, skal du selv kryptere dit indhold.
