Algorytm telegramu: Szybka analiza (MTProto)

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Telegram Messenger to wieloplatformowa, szyfrowana aplikacja do obsługi wiadomości błyskawicznych, dostępna w modelu freemium i hostowana w chmurze. Telegram, z siedzibą w Dubaju, ma ponad 900 milionów użytkowników.

Ale czy to wystarczy?

Jasne, 75% z nich jest zadowolonych z ich usług, ale to nie jest argument.

Wyjaśnię ci, jak to działa.

Przed zapytaniem o bezpieczeństwo platformy, nie pytaj ich samych, ponieważ zrobią wszystko, aby cię zracjonalizować i zapewnić "najlepsze".

Telegram używa własnego protokołu szyfrowania o nazwie "MTProto", MTProto używa algorytmu AES (Advanced Encryption Standard) do szyfrowania symetrycznego.

Aby zapewnić integralność danych -> MTProto wykorzystuje algorytm mieszający SHA-256. Algorytm ten tworzy 256-bitowy skrót wiadomości, który umożliwia sprawdzenie, czy dane zostały zmodyfikowane.

Do bezpiecznej wymiany kluczy -> MTProto używa RSA (Rivest-Shamir-Adleman). RSA to asymetryczny algorytm szyfrowania, który wykorzystuje parę kluczy (publiczny i prywatny) do zabezpieczenia wymiany kluczy symetrycznych między stronami.

Protokoły bezpieczeństwa komunikacji -> MTProto integruje również mechanizmy ochrony przed typowymi atakami, takimi jak ataki powtórkowe lub ataki typu man-in-the-middle. Obejmuje to wykorzystanie kluczy tymczasowych i protokołów generowania kluczy.

Jeśli przyjrzymy się teraz tym technikom szyfrowania, zobaczymy, że w przeszłości i obecnie znaleziono wiele luk w zabezpieczeniach:

-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312

Oto nieco bardziej szczegółowe źródło: https://cve.netmanageit.com/cve/CVE-2023-45312

-> Opublikowano: 2023-10-10 21:15

Jak wskazuje kod podatności, ta konkretna luka jest najnowsza.

-> CWE-94
Ten kod CWE oznacza "Niewłaściwa kontrola generowania kodu ('wstrzyknięcie kodu')".
Jest to część poważnej podatności.

Telegram wielokrotnie aktualizuje swój protokół, ale to nie wystarczy, ponieważ to, co jest zaszyfrowane, można odszyfrować i zawsze będzie istniała luka.

Zatrzymam się w tym miejscu, ponieważ w przeciwnym razie musiałbym napisać kilka akapitów na temat algorytmu szyfrowania telegramu.

Jeśli chcesz użyć lepiej zaszyfrowanej wiadomości do czegokolwiek innego, użyj keybase lub jeśli koniecznie chcesz użyć telegramu, zaszyfruj swoją zawartość samodzielnie.
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Dzięki za ten artykuł. Jeśli zamierzasz korzystać z telegramu, to czy szyfrowanie wiadomości z poufnymi informacjami w aplikacji trzeciej pomogłoby? Telegram zawsze budził we mnie złe skojarzenia
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Oczywiście, możesz bardzo dobrze używać telegramu do szyfrowania swoich importów, takich jak zdjęcia, filmy itp.

Odszyfrowanie wiadomości nie jest właściwie problemem, chyba że są to bardzo wrażliwe wiadomości, które mogą spowodować problemy, w tym przypadku radzę użyć szyfratora XOR lub jeśli naprawdę chcesz, aby nikt nie miał dostępu, zaszyfruj w AES-256 lub XChaCha20 (preferowane)
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
XChaCha20 jest preferowany ze względu na szybkość, ale najlepszy jest AES-256, jeśli chcesz silnego szyfrowania, ale zajmie to więcej czasu.
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Telegram nie jest bezpieczny
Użyj czegoś takiego jak appetize.io do rejestracji kont telegramu na numerze telefonu trzeciej strony z usług aktywacji sms.
następnie uruchom i obsługuj go na emulatorach, które można zoptymalizować pod kątem różnych systemów operacyjnych.
 
View previous replies…

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Rozgrzej się również, aby wyglądało na to, że jesteś prawdziwym użytkownikiem, w przeciwnym razie Twoje konto zostanie wkrótce zablokowane
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
I użyj do tego europejskiego e-simu lub symulatora fizycznego, są lepsze
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Aby poprawić, e-sim może zawierać informacje.
Co gorsza, fizyczny SIM... Nawet jeśli jest tymczasowa.
Nie jest to idealne rozwiązanie, jeśli jesteś poszukiwany w poważnej sytuacji.
Zamiast tego skorzystaj na początek z usługi telefonicznej, takiej jak na przykład onoff.
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Nie musisz komplikować sprawy za pomocą emulatora, po prostu bądź bezpieczny.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Wielkie dzięki za ten wpis, szukałem dokładnie tego typu informacji. Przygotowywałem się do rozpoczęcia wysyłania wiadomości na zimno do legalnych sprzedawców, których śledzę od miesięcy w Tele, prosząc ich o przejście na nasz rynek. Mam gotową wiadomość, ale z oczywistych powodów obawiam się jej wysyłania.
Jak mogę szyfrować w sposób, który jest bezpieczny i wystarczająco prosty, aby mieli do niego dostęp?
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Cześć, nie musisz szyfrować wiadomości, ponieważ prawdopodobnie nie będą chcieli jej odszyfrować tylko dla reklamy.

Przydatność szyfrowania = zapobieganie dostępowi do poufnych danych.
Mogą to być poufne dane, które są szkodliwe dla anonimowości użytkownika.

Jeśli chodzi o reklamę, to nie ma problemu, konfiguracja OpenVPN powinna wystarczyć do ukrycia IP na komputerze.

Jeśli jednak chodzi o coś bardziej ryzykownego, warto rozważyć użycie wielu warstw zabezpieczeń.

Jeśli uważasz swoją wiadomość za poufną, zaszyfruj ją kluczem publicznym PGP odbiorcy.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Doceniam pańską szybką odpowiedź, przeczytam to jeszcze raz, aby dokładnie sprawdzić przed wysłaniem, jeszcze raz dzięki
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Możesz zaszyfrować wiadomość w aplikacji trzeciej, takiej jak GNU Privacy Assistant, a następnie wkleić wiadomość do telegramu. Będziecie musieli wymieniać się kluczami publicznymi, by móc odczytywać swoje wiadomości
 
Top