A Telegram Messenger egy platformokon átívelő, titkosított azonnali üzenetküldő alkalmazás, amely freemium modellben érhető el, és felhőben hosztolt. A dubaji székhelyű Telegramnak több mint 900 millió felhasználója van.
De... Ez elég?
Persze, 75%-uk elégedett a szolgáltatásukkal, de ez nem érvágás.
Elmagyarázom neked, hogyan működik.
Mielőtt érdeklődne egy platform biztonságáról, ne kérdezze meg őket magukat, mert mindent megtesznek, hogy racionalizálják Önt és biztosítsák a "legjobbat".
A Telegram saját titkosítási protokollt használ "MTProto" néven, az MTProto az AES (Advanced Encryption Standard) algoritmust használja a szimmetrikus titkosításhoz.
Az adatok integritásának biztosítása érdekében -> az MTProto az SHA-256 hashing algoritmust használja. Ez az algoritmus egy 256 bites kivonatot készít az üzenetről, amely lehetővé teszi annak ellenőrzését, hogy az adatok nem változtak-e.
A biztonságos kulcscseréhez -> az MTProto az RSA (Rivest-Shamir-Adleman) algoritmust használja. Az RSA egy aszimmetrikus titkosítási algoritmus, amely egy kulcspárt (nyilvános és privát) használ a felek közötti szimmetrikus kulcsok cseréjének biztosítására.
Kommunikációbiztonsági protokollok -> Az MTProto védelmi mechanizmusokat is integrál az olyan gyakori támadások ellen, mint a visszajátszási támadások vagy a man-in-the-middle támadások. Ez magában foglalja az ideiglenes kulcsok és a kulcsgeneráló protokollok használatát.
Ha most megnézzük ezeket a titkosítási technikákat, láthatjuk, hogy több sebezhetőséget találtak az archivált múltban és a jelenben:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Itt van egy kicsit részletesebb forrás: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Közzétéve : 2023-10-10 21:15
Ahogy a sebezhetőség kódja jelzi, ez a konkrét sebezhetőség friss.
-> CWE-94
Ez a CWE kód azt jelenti, hogy "Kódgenerálás nem megfelelő ellenőrzése ('Code Injection')".
És ez egy súlyos szintű sebezhetőség része.
A Telegram többször frissíti a protokollját, de ez nem elég, mert ami titkosítva van, az visszafejthető, és mindig lesz sebezhetőség.
Itt abbahagyom, mert különben több bekezdést kellene írnom a Telegram titkosítási algoritmusáról.
Ha valami másra szeretnél jobb titkosított üzenetküldést használni, használd a keybase-t, vagy ha mindenképpen a telegramot akarod használni, akkor titkosítsd magad a tartalmaidat.
De... Ez elég?
Persze, 75%-uk elégedett a szolgáltatásukkal, de ez nem érvágás.
Elmagyarázom neked, hogyan működik.
Mielőtt érdeklődne egy platform biztonságáról, ne kérdezze meg őket magukat, mert mindent megtesznek, hogy racionalizálják Önt és biztosítsák a "legjobbat".
A Telegram saját titkosítási protokollt használ "MTProto" néven, az MTProto az AES (Advanced Encryption Standard) algoritmust használja a szimmetrikus titkosításhoz.
Az adatok integritásának biztosítása érdekében -> az MTProto az SHA-256 hashing algoritmust használja. Ez az algoritmus egy 256 bites kivonatot készít az üzenetről, amely lehetővé teszi annak ellenőrzését, hogy az adatok nem változtak-e.
A biztonságos kulcscseréhez -> az MTProto az RSA (Rivest-Shamir-Adleman) algoritmust használja. Az RSA egy aszimmetrikus titkosítási algoritmus, amely egy kulcspárt (nyilvános és privát) használ a felek közötti szimmetrikus kulcsok cseréjének biztosítására.
Kommunikációbiztonsági protokollok -> Az MTProto védelmi mechanizmusokat is integrál az olyan gyakori támadások ellen, mint a visszajátszási támadások vagy a man-in-the-middle támadások. Ez magában foglalja az ideiglenes kulcsok és a kulcsgeneráló protokollok használatát.
Ha most megnézzük ezeket a titkosítási technikákat, láthatjuk, hogy több sebezhetőséget találtak az archivált múltban és a jelenben:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
Itt van egy kicsit részletesebb forrás: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Közzétéve : 2023-10-10 21:15
Ahogy a sebezhetőség kódja jelzi, ez a konkrét sebezhetőség friss.
-> CWE-94
Ez a CWE kód azt jelenti, hogy "Kódgenerálás nem megfelelő ellenőrzése ('Code Injection')".
És ez egy súlyos szintű sebezhetőség része.
A Telegram többször frissíti a protokollját, de ez nem elég, mert ami titkosítva van, az visszafejthető, és mindig lesz sebezhetőség.
Itt abbahagyom, mert különben több bekezdést kellene írnom a Telegram titkosítási algoritmusáról.
Ha valami másra szeretnél jobb titkosított üzenetküldést használni, használd a keybase-t, vagy ha mindenképpen a telegramot akarod használni, akkor titkosítsd magad a tartalmaidat.
