Telegrama, é tão seguro quanto pensamos?

iphone com aplicativo Telegram

Certamente todos nós já ouvimos falar do Telegram , aquele aplicativo que em apenas alguns dias está recebendo centenas de milhares de downloads somente na Espanha. Nossos colegas do Andro4all já fizeram uma comparação do Telegram com o WhatsApp , no qual você pode ver como o aplicativo funciona , sua interface, velocidade, etc. Além disso, da Applesencia, eles também nos mostraram os principais pontos que devemos conhecer sobre sua política de privacidade . Mas a questão sobre a qual falaremos hoje é segurança. O Telegram é tão seguro quanto eles dizem?

Não sei se você saberá sobre o recente concurso de criptografia que o Telegram anunciou, no qual eles oferecem US $ 200.000 para aqueles que são capazes de comprometer a segurança do aplicativo . Esse concurso deve fazer com que um grande número de pessoas tente comprometer sua segurança , mas por que não o fazem ou já o fizeram? A resposta é simples, o concurso não é tão bom quanto o Telegram coloca . Mas, para saber por que esse concurso não é tão bom, primeiro precisamos entender como a segurança de criptografia funciona.

O que exatamente significa “seguro”?

Como sabemos, a criptografia é baseada principalmente na alteração ou modificação de mensagens para torná-las ininteligíveis aos invasores que interceptam essas mensagens, para que a criptografia e a segurança estejam completamente vinculadas, quanto melhor o método de criptografia, melhor sua segurança . Essa segurança será medida dependendo dos recursos da pessoa (ou computador) que tentar quebrar o sistema. Para isso, teremos que conhecer os meios disponíveis para essa pessoa, os dados aos quais ela tem acesso ou os que ela pode modificar, etc.

Ao longo dos anos, os especialistas em criptografia nomearam diferentes tipos de usuários e os tipos de ataques que eles podem executar. A melhor maneira de verificar a segurança de um sistema é atacá-lo de todas as maneiras possíveis . Isso é feito permitindo que um invasor tente burlar sua segurança . Para isso, existem diferentes métodos nos quais você pode fornecer ao referido invasor mais ou menos informações ou privilégios no seu sistema.

Relacionado:  Adicione uma tela de bloqueio ao seu Android Smartwatch com Showear

Portanto, para verificar a segurança de um sistema de criptografia atual, o ataque Chosen Ciphertext Attack ou CCA geralmente é executado . Esse sistema consiste em permitir que o invasor possa fazer praticamente o que deseja , desde obter a criptografia de qualquer mensagem até modificar as que estão no tráfego, se um sistema não estiver seguro com um ataque de CCA , não é um sistema válido ou, pelo menos, , não possui um bom nível de segurança .

Portanto, a segurança de um sistema dependerá do tipo de ataque que você fizer contra ele . Se um invasor tiver muitas informações sobre o seu sistema, mas ainda não conseguir comprometer sua segurança, seu sistema estará bastante seguro .

O concurso Telegram

Concurso de segurança de telegrama

Voltando ao tema principal, o concurso Telegram funciona da seguinte maneira:

Todos os dias, Paul envia uma mensagem para Nick que contém um endereço de email. Você vence o concurso se enviar um email para esse endereço . Também recebemos uma transcrição do tráfego de rede que entra e sai de Paul. De acordo com o FAQ , podemos enviar pacotes arbitrários para o servidor, mas não podemos interceptar ou modificar a comunicação.

Mas por que o concurso não é tão bom quanto o Telegram diz? Como dissemos antes, um sistema é mais seguro quanto mais dados um invasor tiver . Nesse caso, o usuário não recebe texto ou criptografia, não pode modificar o tráfego de rede etc. Em resumo, você quase não tem informações sobre seu sistema, portanto ele fica longe do ataque do CCA visto acima ; na verdade, o concurso permanece quase em um ataque básico de verificação de segurança .

Se ninguém vencer o concurso, isso não significa que o Telegram seja completamente seguro, mas que o Telegram é seguro nos níveis básicos de segurança , mas seria necessário ver o que acontece quando é submetido a um ataque de CCA.

Relacionado:  Ensinamos como desativar aplicativos ou serviços do seu terminal

Portanto, quão boa é a criptografia Telegram?

O protocolo de criptografia Telegram não é tão seguro quanto pensamos, podemos ver o diagrama de sua criptografia abaixo .

Telegrama MTProto

Se observarmos o protocolo cuidadosamente, notamos alguns problemas imediatamente. A primeira coisa que vemos é que eles usam a função SHA-1 em vez de SHA512 ou BLAKE2 (as recomendadas), pois o SHA-1 é criptograficamente quebrado . Além disso, quando se trata de criptografar mensagens, eles fazem isso com Mac e Criptografar (o que não é seguro), em vez de criptografar, em seguida, Mac com HMAC-SHA512. Outro problema que se apresenta é que o protocolo faz coisas realmente estranhas com a fatoração de números inteiros de 64 bits. Esses são apenas alguns dos problemas apresentados pelo protocolo a olho nu, embora certamente mais alguns possam ser encontrados na complexidade do seu sistema .

A verdade é que o protocolo Telegram não apresenta a estrutura básica recomendada por quem entende alguma criptografia; portanto, se o seu protocolo é seguro, é por acidente e não por ter um bom design . Além disso, o que aconteceria se o Telegram permitisse um ataque de CCA? Ainda seria tão seguro?

 

Você pode estar interessado:

Deixe um comentário