Anonymes Telegramm: Die Wahrheit über die Sicherheit der virtuellen Kommunikation
2016-10-18 19:39:07
Unter:
Ist es heutzutage möglich, absolute Anonymität in der Kommunikation zu gewährleisten? Diese Frage hat nach den Enthüllungen von Snowden noch an Aktualität gewonnen. Es ist das Sicherheitskonzept, das Pavel Durov im Kopf hatte, als er zusammen mit seinem Bruder Nikolai das anonyme Telegramm entwickelte. Laut Aussage der Entwickler ist der Messenger in der Lage, sowohl vor gewöhnlichen Hackern als auch vor den Aktionen staatlicher Geheimdienste Schutz zu bieten. Aber ist das wirklich der Fall? Lasst es uns unten herausfinden.
Grundlegende Parameter der Informationssicherheit
Die Anwendung basiert auf einer innovativen Entwicklung - es ist das MTProto-Protokoll, das die Verwendung mehrerer Verschlüsselungsprotokolle beinhaltet. Die folgenden Algorithmen werden für die Datensicherheit verwendet:
DH-2048, RSA-2048 (für die Autorisierung und Authentifizierung);
AES (für die weitergeleiteten Nachrichten);
SHA-1, MD5 (kryptographische Hash-Algorithmen).
Bei der Übertragung der Nachrichten wird die Verschlüsselung mit Hilfe des AES-Algorithmus mit einem dem Client und dem Server bekannten Schlüssel durchgeführt. Gleichzeitig ist der Schutz vor dem Abfangen von Nachrichten durch den Server nur in einem speziellen anonymen Telegram-Modus, dem sogenannten Secret Chats, gewährleistet, bei dem die Teilnehmer einen gemeinsamen, nur ihnen bekannten Schlüssel haben. Im Gegensatz zum Standardmodus schließt die Ende-zu-Ende-Verschlüsselung die Möglichkeit der Entschlüsselung von Nachrichten aus und der Gesprächsverlauf wird nur auf den Geräten der Nutzer gespeichert.
Organisation von Wettbewerben zur Fehlersuche
Seitdem dieser anonyme Messenger auf den Markt gekommen ist (August 2013), haben seine Entwickler und insbesondere Pavel Durov damit begonnen, Wettbewerbe unter Kryptografie-Experten zu organisieren, um Sicherheitslücken aufzudecken.
Das erste Projekt dieser Art fand Ende 2013 statt. Die Aufgabe der Teilnehmer bestand darin, die Unterhaltung von Pavel Durov und seinem Bruder in einem geheimen Chat zu entschlüsseln, indem sie den verschlüsselten Datenaustausch zwischen dem Server und der Anwendung nutzten. Nur wenige Tage nach Beginn des Wettbewerbs gelang es einem der Teilnehmer, eine Systemlücke zu finden. Dabei ging es darum, dass ein Benutzer die Parameter für einen Schlüssel vom Server erhielt, ohne sie zu überprüfen. Dieser Fehler beeinträchtigte die kryptografische Integrität und ermöglichte die Ausführung eines versteckten MITM-Angriffs. Obwohl es dieser Person nicht gelang, das Gespräch zwischen Pavel und Nikolai zu entschlüsseln, wurde ihm die Hälfte des Preisgeldes, nämlich 100 Tausend Dollar, ausgezahlt.
Ungeachtet der Geselligkeit der Entwickler und dem Bestreben, mit vereinten Kräften Sicherheitslücken aufzudecken, stehen viele Experten solchen Wettbewerben skeptisch gegenüber. Die Abwesenheit der Gewinner ist noch keine Garantie für absolute Sicherheit, da die Bedingungen von einem Entwickler festgelegt werden, die Analyse aber häufig von zufälligen Personen durchgeführt wird. Außerdem sind 200 Tausend Dollar für Kryptographie-Experten eine kleine Summe, so dass es unwahrscheinlich ist, dass die besten Vertreter an solchen Wettbewerben teilnehmen.
Gibt das anonyme Telegram die Möglichkeit, die Sicherheit der Kommunikation vollständig zu gewährleisten?
Das Hauptargument der Gegner dieser Anwendung besteht in der Bindung eines Nutzers an seine Telefonnummer. Die Frage, um die es geht, ist, ob dieser Messenger als anonym angesehen werden kann, wenn der Server Telefondaten enthält, die praktisch alles über eine Person verraten können, einschließlich der folgenden Informationen:
Voller Name;
exakte geographische Koordinaten;
Kontakte;
persönliche Daten, etc.
Die Authentifizierung erfolgt mittels einer Textnachricht, in der ein einmaliger Login-Verifizierungscode angegeben ist. Noch bedenklicher ist das Fehlen eines Passworts. Mit anderen Worten, es reicht aus, wenn der Benutzer einen Code aus der Nachricht eingibt, um sich anzumelden. Der Dienst zeichnet sich durch viele komplizierte Verschlüsselungsalgorithmen aus, hat aber kein elementares Passwort. Es ist also möglich, sich durch das Abfangen von Textnachrichten in das Kundenkonto einzuloggen (was für Geheimdienste keine große Schwierigkeit darstellt).
Sicherlich bietet die Speicherung von Informationen auf den geschützten US-Serverplattformen den Nutzern eine gewisse Garantie. Allein die Tatsache, dass persönliche Informationen eines Kunden für Dritte zugänglich werden können, widerspricht jedoch der Vorstellung von absoluter Anonymität. Darüber hinaus sind die jüngsten Ereignisse in den USA (als ein E-Mail-Konto der Präsidentschaftskandidatin Hillary Clinton durch einen Hackerangriff geknackt wurde) ein Hinweis auf die Anfälligkeit moderner Computersicherheitssysteme.
Schlussfolgerung
Telegram verfügt zweifelsohne über komplexe Verschlüsselungsalgorithmen, die ein hohes Maß an Datensicherheit bei der Kommunikation im geheimen Chat-Modus ermöglichen. Gleichzeitig erlaubt es die Rufnummernbindung nicht, von absoluter Sicherheit zu sprechen und zu bestätigen, dass die Informationen nicht durch einen Hackerangriff für Dritte zugänglich sind.
Zusammenfassend: Lohnt es sich, die angegebene Anwendung zu benutzen? Es ist eine perfekte Variante für die Nutzer, die einen schnellen und bequemen Service für die private Kommunikation suchen. Wenn es jedoch um Menschen mit paranoider Einstellung geht, die sich der absoluten Sicherheit ihrer Gespräche und persönlichen Daten sicher sein wollen, kann Telegram dies nicht garantieren. Es ist eine andere Sache, dass die Existenz eines anderen Messengers, der solche Garantien bietet, heute zweifelhaft bleibt.
Bei der Übertragung der Nachrichten wird die Verschlüsselung mit Hilfe des AES-Algorithmus mit einem dem Client und dem Server bekannten Schlüssel durchgeführt. Gleichzeitig ist der Schutz vor dem Abfangen von Nachrichten durch den Server nur in einem speziellen anonymen Telegram-Modus, dem sogenannten Secret Chats, gewährleistet, bei dem die Teilnehmer einen gemeinsamen, nur ihnen bekannten Schlüssel haben. Im Gegensatz zum Standardmodus schließt die Ende-zu-Ende-Verschlüsselung die Möglichkeit der Entschlüsselung von Nachrichten aus und der Gesprächsverlauf wird nur auf den Geräten der Nutzer gespeichert.
Ungeachtet der Geselligkeit der Entwickler und dem Bestreben, mit vereinten Kräften Sicherheitslücken aufzudecken, stehen viele Experten solchen Wettbewerben skeptisch gegenüber. Die Abwesenheit der Gewinner ist noch keine Garantie für absolute Sicherheit, da die Bedingungen von einem Entwickler festgelegt werden, die Analyse aber häufig von zufälligen Personen durchgeführt wird. Außerdem sind 200 Tausend Dollar für Kryptographie-Experten eine kleine Summe, so dass es unwahrscheinlich ist, dass die besten Vertreter an solchen Wettbewerben teilnehmen.
Die Authentifizierung erfolgt mittels einer Textnachricht, in der ein einmaliger Login-Verifizierungscode angegeben ist. Noch bedenklicher ist das Fehlen eines Passworts. Mit anderen Worten, es reicht aus, wenn der Benutzer einen Code aus der Nachricht eingibt, um sich anzumelden. Der Dienst zeichnet sich durch viele komplizierte Verschlüsselungsalgorithmen aus, hat aber kein elementares Passwort. Es ist also möglich, sich durch das Abfangen von Textnachrichten in das Kundenkonto einzuloggen (was für Geheimdienste keine große Schwierigkeit darstellt).
Sicherlich bietet die Speicherung von Informationen auf den geschützten US-Serverplattformen den Nutzern eine gewisse Garantie. Allein die Tatsache, dass persönliche Informationen eines Kunden für Dritte zugänglich werden können, widerspricht jedoch der Vorstellung von absoluter Anonymität. Darüber hinaus sind die jüngsten Ereignisse in den USA (als ein E-Mail-Konto der Präsidentschaftskandidatin Hillary Clinton durch einen Hackerangriff geknackt wurde) ein Hinweis auf die Anfälligkeit moderner Computersicherheitssysteme.
Zusammenfassend: Lohnt es sich, die angegebene Anwendung zu benutzen? Es ist eine perfekte Variante für die Nutzer, die einen schnellen und bequemen Service für die private Kommunikation suchen. Wenn es jedoch um Menschen mit paranoider Einstellung geht, die sich der absoluten Sicherheit ihrer Gespräche und persönlichen Daten sicher sein wollen, kann Telegram dies nicht garantieren. Es ist eine andere Sache, dass die Existenz eines anderen Messengers, der solche Garantien bietet, heute zweifelhaft bleibt.
