¿Son seguras las conversaciones secretas de Telegram si MTProto no lo es?

Question

¿Son seguras las conversaciones secretas de Telegram si MTProto no lo es?

#1 de Anton Garcia Dosil (6 votos)
#2 de rana (0 votos)

8

Para aquellos que no lo saben: Telegram es una alternativa de Whatsapp de código parcialmente abierto (el servidor es de código cerrado) que ofrece chats secretos y normales. chats Los chats secretos se cifran con el intercambio de claves Diffie-Hellman y se cifran de extremo a extremo. Uno puede verificar la firma de su compañero usando un código de barras. Los chats normales no están cifrados de extremo a extremo, pero tienen la ventaja de estar sincronizados entre los dispositivos de uno.

Telegram ha sido ampliamente criticado por usar un nuevo protocolo, MTProto . Si MTproto es realmente seguro o no está fuera del alcance de esta pregunta, supongamos que es inseguro.

Dado que DH se usa en chats secretos, ¿un compromiso de MTProto comprometerá chats secretos? ¿Están DH y MTproto acoplados de tal manera que si MTProto falla, DH falla? ¿O es estratificado para que los dos deban fallar para que los chats secretos se vuelvan vulnerables?

En resumen, si uno no confía en MTProto, ¿todavía se puede confiar en los chats secretos gracias a DH?

Nota: MTProto también usa DH para el registro de dispositivos, esto no está relacionado.

Documentos oficiales útiles:

Descripción detallada de MTProto

Preguntas frecuentes técnicas

chats secretos

Actualizar:

Anton Garcia Dosil declaró que DH es solo una forma de distribuir claves y no es un método de cifrado en sí mismo. Esto es definitivamente cierto, y me disculpo por ser un poco vago aquí. Una formulación más clara de mi pregunta sería: una vez que los dos pares intercambian claves DH y comienzan el cifrado de extremo a extremo, ¿MTProto utiliza un método de cifrado que se sabe que es seguro? ¿O usa otro esquema de encriptación de fabricación casera? Si utiliza un método conocido de encriptación X para conversaciones secretas, ¿X y MTproto están acoplados de tal manera que si MTProto falla, X falla? ¿O es estratificado para que los dos deban fallar para que los chats secretos se vuelvan vulnerables?

encryption diffie-hellman instant-messaging

pregunta Hello World 10.05.2014 - 16:59

fuente

2 respuestas

Lea otras preguntas en las etiquetas encryption diffie-hellman instant-messaging

Cadena de URL aleatoria: ¿Qué tipo de ataque es este y qué se puede hacer para detenerlo? Android Kitkat informa: "La red puede ser monitoreada por un tercero desconocido" cuando se usa una CA raíz no predeterminada

score 6 · Answer 1

El objetivo de Diffie-Helmann (supongo que autentican DH de alguna manera) es solo la distribución de claves.

El objetivo de MTProto es el cifrado.

Diffie-Helmann alimenta MTProto con teclas, digamos. Está en un nivel más alto. Aunque MTProto está "roto", el establecimiento de la clave segura todavía tiene lugar. Entonces, DH efectivamente no falla en su propósito (distribución de claves).

Habiendo dicho eso, si puedes romper MTProto (digamos que la longitud de la clave es pequeña) forzando las claves de alguna manera, el problema sigue siendo de MTProto y no de DH.

El protocolo es tan fuerte como su enlace más débil. En este caso, si pensamos que MTProto no es confiable, entonces todo el protocolo no es confiable.

EDIT Mirando la especificación en MTProto . No estoy seguro de entender la pregunta por completo, pero creo que usted pregunta si los elementos 'atómicos' de MTProto pueden perder efectividad por un mal acoplamiento. -AES-256 se utiliza para el cifrado, esto es aceptable. -SHA1 como función hash es aceptable en este momento. -Diffie-hellman para el establecimiento de claves ok (siempre que haya autenticación). La clave establecida más adelante deriva una clave para cifrado con actualización (tiempo y número de secuencia) para proporcionar la autenticación de la entidad.

El único problema que puedo ver para este protocolo es si DH no está autenticado. Si este no es el caso, cualquiera podría generar la clave de cifrado (tanto con la clave compartida obtenida en un MITM como con la fuente de actualización transmitida de forma clara).

Para extremo a extremo también usan AES-256. Sin embargo, la huella dactilar parece un poco coja (y reutiliza la clave de cifrado).

digerir = md5 (clave + iv) fingerprint = substr (digest, 0, 4) XOR substr (digest, 4, 4)

Además, parece que usan AES en modo ECB, ese tipo de succión también, pero aún así, en general, el protocolo parece "OK" para los usuarios normales. Si eres Snowden o Assange, quizás uses otra cosa por si acaso;)

score 0 · Answer 2

Utilizan AES en modo IGE y no en modo ECB. Pero, sin embargo, no debería estar bien para los usuarios normales y es mejor que no usar el modo de cifrado por bloques.

Los datos se cifran con una clave de 256 bits, aes_key, y un vector de inicialización de 256 bits, aes-iv, utilizando el cifrado AES-256 con extensión ilimitada (IGE)

por Telegram