Telegram è sicuro?

203

C'è una nuova applicazione WhatsApp-killer chiamata Telegram . Hanno detto che è open source e che ha una crittografia sicura .

Ma loro memorizzano tutti i messaggi nei loro server e < a href="http://www.whatsapp.com/faq/en/general/21864047"> WhatsApp non memorizza nessun messaggio in nessun server, solo una copia locale nei telefoni.

Telegram è più sicuro di WhatsApp ?

    
posta ilazgo 02.02.2014 - 19:17
fonte

5 risposte

217

TL; DR: No, Telegram non è sicuro .

Vorrei ignorare il confronto con WhatsApp perché WhatsApp non si annuncia come opzione di messaggistica "sicura". Mi piacerebbe invece concentrarmi su se Telegram è sicuro.

La sicurezza di Telegram è costruita attorno al protocollo MTProto . Sappiamo tutti che la prima regola di Cryptography è Non ruotare la tua crittografia personale . Specialmente se non sei un crittografo esperto. Che la gente di Telegram certamente non lo sono.

The team behind Telegram, led by Nikolai Durov, consists of six ACM champions, half of them Ph.Ds in math. It took them about two years to roll out the current version of MTProto. Names and degrees may indeed not mean as much in some fields as they do in others, but this protocol is the result of thougtful and prolonged work of professionals.

Fonte: link

I dottorati di matematica sono crittografi not . Il protocollo che hanno inventato è imperfetto. Qui è un bel post sul blog che spiega perché. In aggiunta a ciò, Telegram ha lanciato una sfida piuttosto ridicola che offre una ricompensa a chiunque possa rompere il protocollo. Tranne che i termini stabiliti rendono difficile persino rompere il protocollo più ridicolmente debole. Moxie Marlinspike ha un bel post sul blog che spiega perché la sfida è ridicola.

Quindi, no. Telegram non è affatto sicuro. Per le definizioni comunemente accettate di sicurezza, non quella che Telegram ha inventato.

Se vuoi un mezzo di comunicazione sicuro reale sul tuo telefono, guarda a progetti più affidabili come Segnale oppure WhatsApp (che, dal momento che questa risposta è stata scritta per la prima volta, ora utilizza il protocollo del segnale per la crittografia dei messaggi end-to-end).

Aggiorna

  • 09 gennaio 2015: un nuovo 2 ^ 64 attacco su Telegram è stato annunciato.
  • 12 dicembre 2015: un nuovo documento che dimostra che MTProto non è protetto da IND-CCA.
  • 22 dicembre 2017: sostituita la raccomandazione obsoleta per CryptoCat con una raccomandazione più aggiornata per Segnale e WhatsApp.
risposta data 03.02.2014 - 04:49
fonte
16

Come menziona la FAQ di Telegram, esiste un 'segreto chat 'che non memorizza le chat sui loro server.

Per quanto riguarda la domanda di fondo di "la memorizzazione delle chat riduce la loro sicurezza?" allora questo è qualcosa da considerare. Le chat che vengono memorizzate sul server significa che è possibile effettuare copie sul server per la decrittografia in un secondo momento. Questo aumenta l'esposizione dei messaggi. Crittografare i messaggi significa che c'è un costo elevato per decifrare i messaggi, ma c'è ancora un po 'di esposizione.

Considerando questa esposizione aggiunta, la vera domanda diventa (come sempre), "da cosa stai proteggendo?" Se sei preoccupato per le comunicazioni sicure in transito, Telegram "sembra" essere più sicuro. Se sei preoccupato per le comunicazioni protette a riposo, allora WhatsApp "sembra" avere un modello migliore, tranne per il fatto che nessuna di esse è crittografata.

La risposta, quindi, è "dipende dal tuo focus", e la crittografia è migliore della non crittografia, e c'è l'opzione "chat sicura" di Telegram.

Novembre 2015:

Una nuova ricerca mostra problemi profondi con la cripto: link

    
risposta data 03.02.2014 - 00:00
fonte
10

La Secure Scorecard di EFF attualmente valuta "Telegram (chat segrete)" con un punteggio di sicurezza del 100%. Tuttavia, il software dei server utilizzati da Telegram non è aperto; cf. le FAQ " Perché non aprire tutto? "

WhatsApp è stato ancorato su " Il codice è aperto alla revisione indipendente? "metrica. Telegram è ora completamente aperto; codice sorgente qui . Essendo aperto, puoi verificare da solo che non ci sono back-door che potrebbero essere in un'app chiusa. WhatsApp è closed-source ora che è diventato proprietario (Facebook lo ha comprato).

Una buona alternativa è Tox o Signal , che è aperto e peer-to-peer / end-to-end crittografato solo e ha ricevuto un alto rating EFF .

    
risposta data 16.02.2015 - 16:37
fonte
7

EFF confronta tutte le app di messaggistica e pubblica i risultati nel link Secure Messaging Scorecard .

nota: EFF confronta Telegram nella modalità chat segrete con WhatsApp

I criteri EFF sono:

  1. messaggi crittografati in transito? entrambi , il telegramma utilizza il protocollo MTProto e Whatsapp utilizza un protocollo non divulgato
  2. crittografato in modo che il provider non possa leggerlo? this criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers) il telegramma ha questo criterio ma Whatsapp non ce l'ha
  3. puoi verificare le identità dei contatti? this criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised il telegramma ha questo criterio ma Whatsapp non ce l'ha
  4. le comunicazioni passate sono sicure se la tua chiave viene rubata? this criterion requires that the app provide forward secrecy il telegramma ha questo criterio ma Whatsapp non ce l'ha
  5. il codice è aperto alla revisione indipendente? Il telegramma ha questo criterio ma Whatsapp non ce l'ha
  6. la progettazione della sicurezza è adeguatamente documentata? this criterion requires clear and detailed explanations of the cryptography used by the application il telegramma ha questo criterio ma Whatsapp non ce l'ha
  7. c'è stato un recente controllo del codice? this criterion requires an independent security review has been performed within the 12 months prior to evaluation entrambi hanno

infine, il risultato è che Telegram è più sicuro di Whatsapp

    
risposta data 01.03.2016 - 18:30
fonte
5

Oltre ai problemi del protocollo, l'app stessa non è molto sicura. A febbraio 2015, Zimperium ha pubblicato un'analisi dettagliata della vulnerabilità locale di Telegram, consentendo all'aggressore di ottenere pieno accesso ai messaggi di testo .

Fondamentalmente, anche se il protocollo era sicuro, l'applicazione stessa non lo è, diventando il collegamento debole nella comunicazione sicura.

Secondo Zimperium, il team di Telegram non ha mai risposto alla notifica di vulnerabilità. Mi dice qualcosa sul loro atteggiamento nei confronti della sicurezza in generale, e va in linea, ad esempio, con il modo in cui implementano le "chat sicure": nessun supporto desktop, solo l'impronta digitale della chiave, nessuna possibilità di inserire semplicemente la chiave. / p>     

risposta data 22.10.2015 - 00:04
fonte