Telegram Messenger yra daugiaplatformė šifruotų trumpųjų žinučių siuntimo programa, prieinama pagal nemokamą modelį ir talpinama debesyje. Dubajuje įsikūrusi "Telegram" turi daugiau kaip 900 mln. naudotojų.
Bet ar to pakanka?
Žinoma, 75 proc. jų yra patenkinti jų paslaugomis, tačiau tai nėra argumentas.
Paaiškinsiu jums, kaip tai veikia.
Prieš teiraudamiesi apie platformos saugumą, neklauskite jų pačių, nes jie padarys viską, kad jus racionaliai įtikintų ir užtikrintų "geriausią".
Telegram naudoja savo šifravimo protokolą, vadinamą "MTProto", MTProto naudoja AES (Advanced Encryption Standard) algoritmą simetriniam šifravimui.
Duomenų vientisumui užtikrinti -> "MTProto" naudoja SHA-256 šifravimo algoritmą. Pagal šį algoritmą sukuriamas 256 bitų pranešimo šifras, kuris leidžia patikrinti, ar duomenys nebuvo pakeisti.
Saugiam keitimuisi raktais -> "MTProto" naudoja RSA (Rivest-Shamir-Adleman). RSA yra asimetrinis šifravimo algoritmas, kuris naudoja raktų porą (viešąjį ir privatųjį), kad užtikrintų šalių apsikeitimą simetriniais raktais.
Ryšio saugumo protokolai -> MTProto taip pat integruoti apsaugos mechanizmai nuo įprastų atakų, pavyzdžiui, atkartojimo atakų arba "man-in-the-middle" atakų. Tai apima laikinųjų raktų ir raktų generavimo protokolų naudojimą.
Jei dabar pažvelgsime į šiuos šifravimo būdus, pamatysime, kad archyvuotoje praeityje ir dabar yra rasta daug pažeidžiamumų:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Štai šiek tiek išsamesnis šaltinis: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Paskelbta : 2023-10-10 21:15
Kaip rodo pažeidžiamumo kodas, šis konkretus pažeidžiamumas yra nesenas.
-> CWE-94
Šis CWE kodas reiškia "Netinkama kodo generavimo kontrolė ("Code Injection")".
Ir tai yra sunkaus lygio pažeidžiamumo dalis.
Telegram" atlieka daugybę savo protokolo atnaujinimų, tačiau to nepakanka, nes tai, kas užšifruota, galima iššifruoti, ir pažeidžiamumas visada išliks.
Tuo ir baigsiu, nes kitaip turėčiau parašyti kelias pastraipas apie "Telegram" šifravimo algoritmą.
Jei norite naudoti geresnį šifruotų žinučių siuntimo būdą kam nors kitam, naudokite keybase arba, jei būtinai norite naudoti telegram, šifruokite savo turinį patys.
Bet ar to pakanka?
Žinoma, 75 proc. jų yra patenkinti jų paslaugomis, tačiau tai nėra argumentas.
Paaiškinsiu jums, kaip tai veikia.
Prieš teiraudamiesi apie platformos saugumą, neklauskite jų pačių, nes jie padarys viską, kad jus racionaliai įtikintų ir užtikrintų "geriausią".
Telegram naudoja savo šifravimo protokolą, vadinamą "MTProto", MTProto naudoja AES (Advanced Encryption Standard) algoritmą simetriniam šifravimui.
Duomenų vientisumui užtikrinti -> "MTProto" naudoja SHA-256 šifravimo algoritmą. Pagal šį algoritmą sukuriamas 256 bitų pranešimo šifras, kuris leidžia patikrinti, ar duomenys nebuvo pakeisti.
Saugiam keitimuisi raktais -> "MTProto" naudoja RSA (Rivest-Shamir-Adleman). RSA yra asimetrinis šifravimo algoritmas, kuris naudoja raktų porą (viešąjį ir privatųjį), kad užtikrintų šalių apsikeitimą simetriniais raktais.
Ryšio saugumo protokolai -> MTProto taip pat integruoti apsaugos mechanizmai nuo įprastų atakų, pavyzdžiui, atkartojimo atakų arba "man-in-the-middle" atakų. Tai apima laikinųjų raktų ir raktų generavimo protokolų naudojimą.
Jei dabar pažvelgsime į šiuos šifravimo būdus, pamatysime, kad archyvuotoje praeityje ir dabar yra rasta daug pažeidžiamumų:
-> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-45312.
Štai šiek tiek išsamesnis šaltinis: https://cve.netmanageit.com/cve/CVE-2023-45312
-> Paskelbta : 2023-10-10 21:15
Kaip rodo pažeidžiamumo kodas, šis konkretus pažeidžiamumas yra nesenas.
-> CWE-94
Šis CWE kodas reiškia "Netinkama kodo generavimo kontrolė ("Code Injection")".
Ir tai yra sunkaus lygio pažeidžiamumo dalis.
Telegram" atlieka daugybę savo protokolo atnaujinimų, tačiau to nepakanka, nes tai, kas užšifruota, galima iššifruoti, ir pažeidžiamumas visada išliks.
Tuo ir baigsiu, nes kitaip turėčiau parašyti kelias pastraipas apie "Telegram" šifravimo algoritmą.
Jei norite naudoti geresnį šifruotų žinučių siuntimo būdą kam nors kitam, naudokite keybase arba, jei būtinai norite naudoti telegram, šifruokite savo turinį patys.
