Telegram Messenger on monialustainen salattu pikaviestisovellus, joka on saatavilla freemium-mallilla ja jota isännöidään pilvipalvelussa. Telegramilla on yli 900 miljoonaa käyttäjää.
Mutta... Riittääkö se?
Toki 75 prosenttia heistä on tyytyväisiä palveluihinsa, mutta se ei ole argumentti.
Selitän sinulle, miten se toimii.
Ennen kuin kysyt alustan turvallisuudesta, älä kysy heiltä itseltään, koska he tekevät kaikkensa järkeistääkseen sinut ja varmistaakseen "parhaan".
Telegram käyttää omaa salausprotokollaansa nimeltä "MTProto", MTProto käyttää AES (Advanced Encryption Standard) -algoritmia symmetriseen salaukseen.
Tietojen eheyden varmistamiseksi -> MTProto käyttää SHA-256-hajautusalgoritmia. Tämä algoritmi tuottaa viestistä 256-bittisen digestin, jonka avulla voidaan tarkistaa, onko tietoja muutettu.
Turvalliseen avaintenvaihtoon -> MTProto käyttää RSA-algoritmia (Rivest-Shamir-Adleman). RSA on epäsymmetrinen salausalgoritmi, joka käyttää avainparia (julkinen ja yksityinen) symmetristen avainten vaihdon turvaamiseen osapuolten välillä.
Tietoliikenteen turvaprotokollat -> MTProto sisältää myös suojausmekanismeja yleisiä hyökkäyksiä, kuten toistohyökkäyksiä tai man-in-the-middle-hyökkäyksiä vastaan. Tähän sisältyy väliaikaisten avainten ja avainten generointiprotokollien käyttö.
Jos nyt tarkastelemme näitä salaustekniikoita, voimme huomata, että useita haavoittuvuuksia on löydetty sekä arkistoidussa menneisyydessä että nykyisyydessä:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Tässä on hieman yksityiskohtaisempi lähde: https://cve.netmanageit.com/cve/CVE-2023-45312.
-> Julkaistu : 2023-10-10 21:15
Kuten haavoittuvuuskoodi osoittaa, tämä nimenomainen haavoittuvuus on tuore.
-> CWE-94
Tämä CWE-koodi tarkoittaa "Koodin tuottamisen virheellinen valvonta ('Code Injection')".
Ja tämä on osa vakavan tason haavoittuvuutta.
Telegram tekee useita päivityksiä protokollaansa, mutta tämä ei riitä, koska salattu on purettavissa ja haavoittuvuus on aina olemassa.
Lopetan tähän, koska muuten minun pitäisi kirjoittaa useita kappaleita Telegramin salausalgoritmista.
Jos haluat käyttää parempaa salattua viestinvälitystä johonkin muuhun, käytä keybasea tai jos haluat ehdottomasti käyttää telegramia, salaa sisältösi itse.
Mutta... Riittääkö se?
Toki 75 prosenttia heistä on tyytyväisiä palveluihinsa, mutta se ei ole argumentti.
Selitän sinulle, miten se toimii.
Ennen kuin kysyt alustan turvallisuudesta, älä kysy heiltä itseltään, koska he tekevät kaikkensa järkeistääkseen sinut ja varmistaakseen "parhaan".
Telegram käyttää omaa salausprotokollaansa nimeltä "MTProto", MTProto käyttää AES (Advanced Encryption Standard) -algoritmia symmetriseen salaukseen.
Tietojen eheyden varmistamiseksi -> MTProto käyttää SHA-256-hajautusalgoritmia. Tämä algoritmi tuottaa viestistä 256-bittisen digestin, jonka avulla voidaan tarkistaa, onko tietoja muutettu.
Turvalliseen avaintenvaihtoon -> MTProto käyttää RSA-algoritmia (Rivest-Shamir-Adleman). RSA on epäsymmetrinen salausalgoritmi, joka käyttää avainparia (julkinen ja yksityinen) symmetristen avainten vaihdon turvaamiseen osapuolten välillä.
Tietoliikenteen turvaprotokollat -> MTProto sisältää myös suojausmekanismeja yleisiä hyökkäyksiä, kuten toistohyökkäyksiä tai man-in-the-middle-hyökkäyksiä vastaan. Tähän sisältyy väliaikaisten avainten ja avainten generointiprotokollien käyttö.
Jos nyt tarkastelemme näitä salaustekniikoita, voimme huomata, että useita haavoittuvuuksia on löydetty sekä arkistoidussa menneisyydessä että nykyisyydessä:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Tässä on hieman yksityiskohtaisempi lähde: https://cve.netmanageit.com/cve/CVE-2023-45312.
-> Julkaistu : 2023-10-10 21:15
Kuten haavoittuvuuskoodi osoittaa, tämä nimenomainen haavoittuvuus on tuore.
-> CWE-94
Tämä CWE-koodi tarkoittaa "Koodin tuottamisen virheellinen valvonta ('Code Injection')".
Ja tämä on osa vakavan tason haavoittuvuutta.
Telegram tekee useita päivityksiä protokollaansa, mutta tämä ei riitä, koska salattu on purettavissa ja haavoittuvuus on aina olemassa.
Lopetan tähän, koska muuten minun pitäisi kirjoittaa useita kappaleita Telegramin salausalgoritmista.
Jos haluat käyttää parempaa salattua viestinvälitystä johonkin muuhun, käytä keybasea tai jos haluat ehdottomasti käyttää telegramia, salaa sisältösi itse.
