Le chat segrete di Telegram sono sicure supponendo che MTProto non lo sia?

Question

Le chat segrete di Telegram sono sicure supponendo che MTProto non lo sia?

#1 da (6 voti)
#2 da (0 voti)

8

Per coloro che non lo conoscono: Telegram è un'alternativa a Whatsapp parzialmente aperta (il server è closed source) che offre chat segrete e normali chat. Le chat segrete sono crittografate con lo scambio di chiavi Diffie-Hellman e sono crittografate end-to-end. Si può verificare la firma del suo collega usando un codice a barre. Le chat normali non sono crittografate end-to-end, ma hanno il vantaggio di essere sincronizzate tra i dispositivi.

Telegram è stato ampiamente criticato per l'utilizzo di un nuovo protocollo, MTProto . Se MTproto è effettivamente sicuro o meno è fuori dallo scopo di questa domanda, supponiamo che sia insicuro.

Dato che il DH è usato nelle chat segrete, un compromesso di MTProto comprometterà le chat segrete? DH e MTproto sono accoppiati in modo tale che se MTProto fallisce, DH fallisce? Oppure è stratificato in modo che i due debbano fallire perché le chat segrete diventino vulnerabili?

In breve, se non ci si fida di MTProto, si può ancora fidarsi delle chat segrete grazie a DH?

Nota: MTProto utilizza anche DH per la registrazione del dispositivo, questo non è correlato.

Documenti ufficiali utili:

Descrizione dettagliata di MTProto

Domande frequenti tecniche

chat segrete

Aggiornamento:

Anton Garcia Dosil ha affermato che DH è solo un modo per distribuire le chiavi e non è un metodo di crittografia stesso. Questo è assolutamente vero, e mi scuso per essere un po 'vago qui. Una formulazione più chiara della mia domanda sarebbe: una volta che i due peer scambiano le chiavi DH e iniziano la crittografia end-to-end, MTProto usa un metodo di crittografia che è noto per essere sicuro? o usa ancora un altro schema di crittografia fatto in casa? Se utilizza un metodo di crittografia X noto per le chat segrete, X e MTproto sono accoppiati in modo tale che se MTProto fallisce, X non riesce? Oppure è stratificato in modo che i due debbano fallire perché le chat segrete diventino vulnerabili?

encryption diffie-hellman instant-messaging

posta Hello World 10.05.2014 - 16:59

fonte

2 risposte

Leggi altre domande sui tag encryption diffie-hellman instant-messaging

C'è una ragione per cui IMEI è memorizzato in EEPROM? Differenza tra crittografia completamente omomorfica e semi-omomorfica

score 6 · Answer 1

L'obiettivo di Diffie-Helmann (immagino che in qualche modo autentica la DH) è solo la distribuzione delle chiavi.

L'obiettivo di MTProto è la crittografia.

Diffie-Helmann alimenta MTProto con i tasti, diciamo. È in un livello più alto. Benché MTProto sia "rotto", si verifica ancora un sicuro insediamento delle chiavi. Quindi DH in modo efficace non fallisce nel suo scopo (distribuzione delle chiavi).

Detto questo, se sei in grado di spezzare MTProto (diciamo che il keylength è piccolo) bruteforcing delle chiavi in qualche modo, il problema è ancora di MTProto e non di DH.

Il protocollo è strong quanto il suo anello più debole. In questo caso, se pensiamo che MTProto sia inaffidabile, allora l'intero protocollo non è affidabile.

Modifica Osservando le specifiche in MTProto . Non sono sicuro di comprendere completamente la domanda, ma credo che chiedi se gli elementi "atomici" di MTProto possano perdere efficacia con un accoppiamento inadeguato. -AES-256 viene utilizzato per la crittografia, questo è accettabile. -SHA1 come funzione di hash è accettabile al momento. -Diffie-hellman per l'istituzione della chiave ok (a condizione che ci sia l'autenticazione). La chiave stabilita in seguito deriva una chiave per la crittografia con la freschezza (tempo e numero di sequenza) per fornire l'autenticazione dell'entità.

L'unico problema che posso vedere per questo protocollo è se DH non è autenticato. Se questo non è il caso, chiunque sarebbe in grado di generare la chiave di crittografia (sia con la chiave condivisa ottenuta in un MITM che la fonte di freschezza trasmessa in chiaro).

Per end to end usano anche AES-256. L'impronta digitale sembra però un po 'storpia (e ri-usa la chiave di crittografia).

digest = md5 (tasto + iv) fingerprint = substr (digest, 0, 4) Sub XOR (digest, 4, 4)

Inoltre sembra che utilizzino AES in modalità ECB, anche questo tipo di attacchi, ma comunque, nel complesso il protocollo sembra "OK" per gli utenti normali. Se sei Snowden o Assange forse usa qualcos'altro per ogni evenienza;)

score 0 · Answer 2

Usano AES in modalità IGE non in modalità ECB. Ma tuttavia non dovrebbe essere ok per gli utenti normali e meglio di nessuna modalità di cifratura a blocchi.

Data is encrypted with a 256-bit key, aes_key, and a 256-bit initialization vector, aes-iv, using AES-256 encryption with infinite garble extension (IGE)

di Telegram