La realizzazione del processo di crittografia dei dati di Telegram e la sua differenza rispetto agli altri messenger
2016-09-26 20:15:02
In:
Nonostante il messenger progettato da Pavel Durov sia stato lanciato molto tempo dopo i suoi principali concorrenti, come WhatsApp e Viber, non ci è voluto molto per acquisire la reputazione di uno dei servizi più sicuri. , basata sul protocollo MTProto del servizio, ha reso possibile la creazione di un'app in grado di proteggere i messaggi dalle violazioni, rendendo il messenger popolare in tutto il mondo.
Valutazione della sicurezza
La sicurezza delle comunicazioni virtuali è determinata dalla valutazione della Electronic Frontier Foundation (EFF). Questa fornisce una tabella regolarmente aggiornata in cui ogni servizio viene classificato da 1 a 7 a seconda del livello di sicurezza dei dati da potenziali hacking.
Le chat segrete di Telegram che utilizzano la crittografia end-to-end (E2E) hanno il punteggio massimo pari a 7, mentre quello delle conversazioni standard di default è pari a 4. Nella misura in cui le chat standard lasciano tracce sui server dell'azienda, sono considerate potenzialmente disponibili per lo spionaggio da parte di terzi.
Fino a poco tempo fa, i messaggeri WhatsApp e Viber non avevano un punteggio elevato in termini di EFF - per essere più precisi, i loro tassi erano pari a nient'altro che 2 punteggi. È stata l'influenza concorrenziale di Telegram a far rivedere a queste aziende la loro politica di sicurezza. A questo proposito, si è deciso di implementare il principio della crittografia end-to-end, che è diventato predefinito dal 2016 e ha permesso di ottenere 6 punti secondo l'EFF. La sua essenza consiste nel memorizzare le chiavi necessarie per la crittografia dei messaggi utilizzando un solo dispositivo. In questo modo, per accedere alle informazioni è necessario avere accesso fisico a uno smartphone.
La domanda sorge spontanea: se questo servizio fondato da Pavel Durov si ritiene il messenger più sicuro, perché non rendere tutte le chat segrete di default, contribuendo così a stabilire un vantaggio nel rating EFF? Il punto è che la crittografia E2E ha qualche difetto: la conversazione segreta è disponibile solo su un particolare dispositivo, quindi anche la sua cronologia è memorizzata solo su un dispositivo. La politica dell'azienda è quella di mantenere aperte le opzioni per gli utenti, in quanto la modalità predefinita consente di valutare il proprio account da qualsiasi dispositivo.
Crittografia del telegramma basata su MTProto
Il protocollo MTProto utilizza due livelli di crittografia: server-server e client-server. Il suo funzionamento si basa sui seguenti algoritmi:
AES è un algoritmo simmetrico a 256 bit stabilito dal governo degli Stati Uniti come standard.
RSA è un algoritmo crittografico basato sulla complessità computazionale del problema della fattorizzazione degli interi.
Il metodo Diffie Hellman permette a due o più interlocutori di ottenere una chiave segreta attraverso un canale sniffabile ma a prova di spoofing.
SHA-1 e MD5 sono algoritmi di hash utilizzati in molti protocolli crittografici e applicazioni per un hashing sicuro.
A differenza del protocollo Double Ratchet, utilizzato da WhatsApp e che è già riuscito a ottenere l'approvazione di noti esperti di sicurezza informatica, gli sviluppatori di MTProto non hanno fretta di rendere il loro prodotto disponibile per una verifica indipendente. Da un lato, ciò rende l'algoritmo violabile, ma dall'altro, al momento non è stata registrata alcuna azione di successo che abbia portato alla decrittazione dei messaggi.
I fondatori del messenger dichiarano una garanzia di sicurezza per quanto riguarda la trasmissione di dati crittografati. Per confermare le sue parole, Pavel Durov organizza occasionalmente delle gare in cui i concorrenti si offrono di decifrare una conversazione tra due parti. Il premio in denaro è di 200.000 dollari, ma nessun hacker è ancora riuscito a leggere i messaggi criptati. È giusto dire che molti esperti sono abbastanza scettici su questi concorsi, considerandoli piuttosto una trovata pubblicitaria che una prova reale della sicurezza del sistema.
Probabilità di violazione dell'account
Anche se si considera un assioma il fatto che MTProto abbia i migliori parametri di sicurezza tra i moderni messenger, gli intrusi sono comunque in grado di violare lʼaccount di un utente. Allo stesso tempo, il protocollo stesso non ha nulla a che fare con questo problema.
La vulnerabilità della sicurezza risiede nella tecnica di autorizzazione dell'utente. La procedura viene eseguita utilizzando un numero di telefono reale e un codice di verifica dell'accesso viene inviato via SMS. Questa tecnica di trasferimento dati si basa sulla tecnologia SS7 (Signaling System #7), sviluppata 40 anni fa e con parametri di sicurezza deboli rispetto agli standard odierni. In teoria, gli intrusi potrebbero essere in grado di intercettare un codice SMS e violare un account. Quando Telegram è in modalità standard, tutti i messaggi vengono memorizzati sui suoi server, quindi gli hacker possono avere accesso all'intera conversazione di un determinato utente.
Le chat segrete sono la chiave di un problema. In caso di utilizzo, una conversazione può essere letta solo fornendo un vero e proprio furto di telefono, poiché tutti i messaggi non vengono memorizzati sul server ma trasmessi solo tra due dispositivi.
Le chat segrete di Telegram che utilizzano la crittografia end-to-end (E2E) hanno il punteggio massimo pari a 7, mentre quello delle conversazioni standard di default è pari a 4. Nella misura in cui le chat standard lasciano tracce sui server dell'azienda, sono considerate potenzialmente disponibili per lo spionaggio da parte di terzi.
Fino a poco tempo fa, i messaggeri WhatsApp e Viber non avevano un punteggio elevato in termini di EFF - per essere più precisi, i loro tassi erano pari a nient'altro che 2 punteggi. È stata l'influenza concorrenziale di Telegram a far rivedere a queste aziende la loro politica di sicurezza. A questo proposito, si è deciso di implementare il principio della crittografia end-to-end, che è diventato predefinito dal 2016 e ha permesso di ottenere 6 punti secondo l'EFF. La sua essenza consiste nel memorizzare le chiavi necessarie per la crittografia dei messaggi utilizzando un solo dispositivo. In questo modo, per accedere alle informazioni è necessario avere accesso fisico a uno smartphone.
La domanda sorge spontanea: se questo servizio fondato da Pavel Durov si ritiene il messenger più sicuro, perché non rendere tutte le chat segrete di default, contribuendo così a stabilire un vantaggio nel rating EFF? Il punto è che la crittografia E2E ha qualche difetto: la conversazione segreta è disponibile solo su un particolare dispositivo, quindi anche la sua cronologia è memorizzata solo su un dispositivo. La politica dell'azienda è quella di mantenere aperte le opzioni per gli utenti, in quanto la modalità predefinita consente di valutare il proprio account da qualsiasi dispositivo.
La vulnerabilità della sicurezza risiede nella tecnica di autorizzazione dell'utente. La procedura viene eseguita utilizzando un numero di telefono reale e un codice di verifica dell'accesso viene inviato via SMS. Questa tecnica di trasferimento dati si basa sulla tecnologia SS7 (Signaling System #7), sviluppata 40 anni fa e con parametri di sicurezza deboli rispetto agli standard odierni. In teoria, gli intrusi potrebbero essere in grado di intercettare un codice SMS e violare un account. Quando Telegram è in modalità standard, tutti i messaggi vengono memorizzati sui suoi server, quindi gli hacker possono avere accesso all'intera conversazione di un determinato utente.
Le chat segrete sono la chiave di un problema. In caso di utilizzo, una conversazione può essere letta solo fornendo un vero e proprio furto di telefono, poiché tutti i messaggi non vengono memorizzati sul server ma trasmessi solo tra due dispositivi.
