Algoritmo de telegrama: Análise rápida (MTProto)

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
O Telegram Messenger é uma aplicação de mensagens instantâneas encriptadas multiplataforma, disponível num modelo freemium e alojada numa nuvem. Com sede no Dubai, o Telegram tem mais de 900 milhões de utilizadores.

Mas... Será que isso é suficiente?

Claro, 75% deles estão satisfeitos com os seus serviços, mas isso não é argumento.

Vou explicar-vos como funciona.

Antes de perguntar sobre a segurança de uma plataforma, não pergunte a eles mesmos, porque eles farão de tudo para racionalizá-lo e garantir o "melhor".

O Telegram utiliza o seu próprio protocolo de encriptação chamado "MTProto", o MTProto utiliza o algoritmo AES (Advanced Encryption Standard) para a encriptação simétrica.

Para garantir a integridade dos dados -> o MTProto utiliza o algoritmo de hashing SHA-256. Este algoritmo produz um resumo de 256 bits da mensagem, o que permite verificar se os dados foram modificados.

Para o intercâmbio seguro de chaves -> o MTProto utiliza o RSA (Rivest-Shamir-Adleman). O RSA é um algoritmo de encriptação assimétrica que utiliza um par de chaves (pública e privada) para garantir a troca de chaves simétricas entre as partes.

Protocolos de segurança das comunicações -> O MTProto também integra mecanismos de proteção contra ataques comuns, como ataques de repetição ou ataques man-in-the-middle. Isto inclui a utilização de chaves temporárias e protocolos de geração de chaves.

Se olharmos agora para estas técnicas de encriptação, podemos ver que foram encontradas várias vulnerabilidades no passado arquivado e no presente:

-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312

Eis uma fonte ligeiramente mais pormenorizada: https://cve.netmanageit.com/cve/CVE-2023-45312

-> Publicado : 2023-10-10 21:15

Como o código da vulnerabilidade indica, esta vulnerabilidade específica é recente.

-> CWE-94
Este código CWE significa "Controlo inadequado da geração de código ('Injeção de código')"
E isto faz parte de uma vulnerabilidade de nível grave.

O Telegram faz várias actualizações ao seu protocolo mas isso não é suficiente porque o que é encriptado é desencriptável e haverá sempre uma vulnerabilidade.

Vou ficar por aqui, porque senão teria de escrever vários parágrafos sobre o algoritmo de encriptação do Telegram.

Se quiser utilizar um sistema de mensagens encriptadas melhor para qualquer outra coisa, utilize o keybase ou, se quiser mesmo utilizar o telegram, encripte você mesmo o seu conteúdo.
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Obrigado pelo texto. Se vai utilizar o telegrama, será que encriptar mensagens com informação sensível numa terceira aplicação ajudaria? O Telegram sempre me deu uma má impressão
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Claro, pode muito bem usar o telegrama para encriptar as suas importações de si próprio, como imagens, vídeos, etc..

Desencriptar as mensagens não é um problema, exceto se forem mensagens muito sensíveis que possam causar problemas. Neste caso, aconselho-o a utilizar um encriptador XOR ou, se não quiser que ninguém tenha acesso, encriptar em AES-256 ou XChaCha20 (de preferência)
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
O XChaCha20 é preferível pela velocidade, mas o melhor é o AES-256 se pretender uma encriptação forte, mas demorará mais tempo.
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
O Telegram não é seguro
utilizar algo como o appetize.io para o registo de contas de telegramas em números de telefone de terceiros a partir de serviços de ativação de sms.
depois, execute-o e opere-o em emuladores que podem ser optimizados em diferentes sistemas operativos
 
View previous replies…

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Também aquece, faz com que pareça que és um utilizador real, ou a tua conta será bloqueada em breve
 

hermano

Don't buy from me
Resident
Language
🇷🇺
Joined
Jun 18, 2023
Messages
52
Reaction score
50
Points
18
Utilize o e-sim europeu ou o physical sim para o efeito, pois são melhores
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Para corrigir, um e-sim pode conter a sua informação.
Pior ainda, um SIM físico... Mesmo que seja temporário.
Isto não é o ideal se for procurado para uma situação grave.
Em vez disso, utilize um serviço telefónico para começar, como o onoff, por exemplo.
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Não é necessário complicar as coisas utilizando um emulador, basta estar seguro.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Muito obrigado pelo artigo, estava à procura exatamente deste tipo de informação. Estava a preparar-me para começar a enviar mensagens frias a vendedores legítimos que sigo há meses no Tele, pedindo-lhes para virem ao nosso mercado. Tenho a mensagem pronta a enviar, mas estou com receio de a enviar por razões óbvias.
Como posso encriptar a mensagem de uma forma suficientemente segura e simples para que possam aceder a ela?
 

echelon

See my products
Seller
Language
🇺🇸
Joined
Jul 26, 2024
Messages
13
Reaction score
10
Points
3
Deals
3
Olá, não é necessário encriptar a mensagem porque provavelmente não a vão querer desencriptar só por causa de um anúncio.

Utilidade da encriptação = impedir o acesso a dados confidenciais.
Estes podem ser dados confidenciais que prejudicam o seu anonimato.

Se for para um anúncio, então não há problema, uma configuração OpenVPN deve ser suficiente para cobrir o seu IP num computador.

No entanto, se for para algo mais arriscado, considere a utilização de várias camadas de segurança.

Se considerar a sua mensagem confidencial, encripte-a com a chave pública PGP do destinatário.
 

KurtV989

Don't buy from me
Resident
Language
🇺🇸
Joined
May 13, 2024
Messages
126
Reaction score
102
Points
43
Agradeço a sua pronta resposta, vou reler o texto para o verificar antes de o enviar, mais uma vez obrigado
 

miner21

Don't buy from me
Resident
Language
🇺🇸
Joined
Sep 15, 2023
Messages
542
Reaction score
254
Points
63
Pode encriptar uma mensagem numa aplicação de terceiros, como o GNU Privacy assistant, e depois colar a mensagem no telegrama, penso eu. Terão de trocar chaves públicas e afins para lerem as mensagens uns dos outros
 
Top