Telegram Messenger, ücretsiz bir modelde bulunan ve bir bulutta barındırılan, platformlar arası şifreli bir anlık mesajlaşma uygulamasıdır. Dubai merkezli Telegram'ın 900 milyondan fazla kullanıcısı vardır.
Ama bu yeterli mi?
Elbette, bunların %75'i hizmetlerinden memnun ama bu tartışmaya açık değil.
Size nasıl çalıştığını açıklayacağım.
Bir platformun güvenliğini sorgulamadan önce, kendilerine sormayın çünkü sizi rasyonelleştirmek ve "en iyisini" sağlamak için her şeyi yapacaklardır.
Telegram, "MTProto" adlı kendi şifreleme protokolünü kullanır, MTProto simetrik şifreleme için AES (Gelişmiş Şifreleme Standardı) algoritmasını kullanır.
Veri bütünlüğünü sağlamak için -> MTProto SHA-256 karma algoritmasını kullanır. Bu algoritma mesajın 256 bitlik özetini üretir, bu da verilerin değiştirilip değiştirilmediğini kontrol etmeyi mümkün kılar.
Güvenli anahtar değişimi için -> MTProto RSA (Rivest-Shamir-Adleman) kullanır. RSA, taraflar arasında simetrik anahtarların değişimini güvence altına almak için bir çift anahtar (genel ve özel) kullanan asimetrik bir şifreleme algoritmasıdır.
İletişim Güvenliği Protokolleri -> MTProto ayrıca tekrar saldırıları veya ortadaki adam saldırıları gibi yaygın saldırılara karşı koruma mekanizmalarını da entegre eder. Bu, geçici anahtarların ve anahtar üretim protokollerinin kullanımını içerir.
Şimdi bu şifreleme tekniklerine bakarsak, arşivlenmiş geçmişte ve günümüzde birden fazla güvenlik açığının bulunduğunu görebiliriz:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
İşte biraz daha ayrıntılı bir kaynak: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Yayınlanma Tarihi : 2023-10-10 21:15
Güvenlik açığı kodunun gösterdiği gibi, bu özel güvenlik açığı yenidir.
-> CWE-94
Bu CWE kodu "Kod Üretiminin Uygunsuz Kontrolü ('Kod Enjeksiyonu')" anlamına gelir
Ve bu ciddi düzeyde bir güvenlik açığının parçasıdır.
Telegram, protokolünde birden fazla güncelleme yapıyor ancak bu yeterli değil çünkü şifrelenen şeyin şifresi çözülebilir ve her zaman bir güvenlik açığı olacaktır.
Burada duracağım çünkü aksi takdirde telegram şifreleme algoritması hakkında birkaç paragraf yazmak zorunda kalacaktım.
Eğer başka bir şey için daha iyi bir şifreli mesajlaşma kullanmak istiyorsanız keybase kullanın ya da illa telegram kullanmak istiyorsanız içeriğinizi kendiniz şifreleyin.
Ama bu yeterli mi?
Elbette, bunların %75'i hizmetlerinden memnun ama bu tartışmaya açık değil.
Size nasıl çalıştığını açıklayacağım.
Bir platformun güvenliğini sorgulamadan önce, kendilerine sormayın çünkü sizi rasyonelleştirmek ve "en iyisini" sağlamak için her şeyi yapacaklardır.
Telegram, "MTProto" adlı kendi şifreleme protokolünü kullanır, MTProto simetrik şifreleme için AES (Gelişmiş Şifreleme Standardı) algoritmasını kullanır.
Veri bütünlüğünü sağlamak için -> MTProto SHA-256 karma algoritmasını kullanır. Bu algoritma mesajın 256 bitlik özetini üretir, bu da verilerin değiştirilip değiştirilmediğini kontrol etmeyi mümkün kılar.
Güvenli anahtar değişimi için -> MTProto RSA (Rivest-Shamir-Adleman) kullanır. RSA, taraflar arasında simetrik anahtarların değişimini güvence altına almak için bir çift anahtar (genel ve özel) kullanan asimetrik bir şifreleme algoritmasıdır.
İletişim Güvenliği Protokolleri -> MTProto ayrıca tekrar saldırıları veya ortadaki adam saldırıları gibi yaygın saldırılara karşı koruma mekanizmalarını da entegre eder. Bu, geçici anahtarların ve anahtar üretim protokollerinin kullanımını içerir.
Şimdi bu şifreleme tekniklerine bakarsak, arşivlenmiş geçmişte ve günümüzde birden fazla güvenlik açığının bulunduğunu görebiliriz:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312
İşte biraz daha ayrıntılı bir kaynak: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Yayınlanma Tarihi : 2023-10-10 21:15
Güvenlik açığı kodunun gösterdiği gibi, bu özel güvenlik açığı yenidir.
-> CWE-94
Bu CWE kodu "Kod Üretiminin Uygunsuz Kontrolü ('Kod Enjeksiyonu')" anlamına gelir
Ve bu ciddi düzeyde bir güvenlik açığının parçasıdır.
Telegram, protokolünde birden fazla güncelleme yapıyor ancak bu yeterli değil çünkü şifrelenen şeyin şifresi çözülebilir ve her zaman bir güvenlik açığı olacaktır.
Burada duracağım çünkü aksi takdirde telegram şifreleme algoritması hakkında birkaç paragraf yazmak zorunda kalacaktım.
Eğer başka bir şey için daha iyi bir şifreli mesajlaşma kullanmak istiyorsanız keybase kullanın ya da illa telegram kullanmak istiyorsanız içeriğinizi kendiniz şifreleyin.
