Die Realisierung des Telegram-Datenverschlüsselungsverfahrens und sein Unterschied zu anderen Messengern
2016-09-26 20:15:02
Unter:
Obwohl der von Pavel Durov entwickelte Messenger lange nach seinen Hauptkonkurrenten wie WhatsApp und Viber auf den Markt kam, dauerte es nicht lange, bis er sich den Ruf eines der sichersten Dienste erwarb. Die Telegram-Verschlüsselung, die auf dem MTProto-Protokoll des Dienstes basiert, machte es möglich, eine App zu entwickeln, die Ihre Nachrichten vor Hackerangriffen schützt, und machte den Messenger so weltweit beliebt.
Sicherheitsbewertung
Die Sicherheit der virtuellen Kommunikation wird durch die Bewertung der Electronic Frontier Foundation (EFF) bestimmt. Sie stellt eine regelmäßig aktualisierte Tabelle zur Verfügung, in der jeder Dienst je nach dem Grad der Datensicherheit vor potenziellen Hackerangriffen von 1 bis 7 eingestuft wird.
Telegram geheimen Chats mit Ende-zu-Ende-Verschlüsselung (E2E) haben die maximale Punktzahl gleich 7, und die von Standard-Standard-Konversation ist gleich 4. Soweit Standard-Chats hinterlassen Spuren auf den Servern des Unternehmens, werden sie als potenziell verfügbar für Dritte Schnüffeln.
Bis vor kurzem waren die Messenger WhatsApp und Viber in der EFF-Bewertung nicht sehr hoch - um genau zu sein, lagen ihre Werte bei gerade einmal 2 Punkten. Es war der konkurrierende Einfluss von Telegram, der diese Unternehmen dazu brachte, ihre Sicherheitspolitik zu überdenken. In diesem Zusammenhang wurde beschlossen, das Prinzip der Ende-zu-Ende-Verschlüsselung zu implementieren, das seit 2016 zum Standard geworden ist und laut EFF eine Bewertung von 6 Punkten ermöglicht. Es besteht im Wesentlichen darin, die für die Verschlüsselung von Nachrichten erforderlichen Schlüssel auf nur einem Gerät zu speichern. Auf diese Weise muss man physischen Zugang zu einem Smartphone haben, um an Informationen zu gelangen.
Es stellt sich die Frage: Wenn dieser von Pavel Durov gegründete Dienst sich selbst als den sichersten Messenger bezeichnet, warum macht er dann nicht einfach alle Chats standardmäßig geheim, was dazu beitragen würde, einen Vorsprung in der EFF-Bewertung zu erzielen? Der Punkt ist, dass die E2E-Verschlüsselung eine Schwachstelle hat - die geheime Konversation ist nur auf einem bestimmten Gerät verfügbar, so dass ihr Verlauf auch nur auf einem Gerät gespeichert wird. Es ist die Politik des Unternehmens, den Nutzern Optionen offen zu halten, da ein Standardmodus es Ihnen ermöglicht, Ihr Konto von jedem Gerät aus zu bewerten.
Telegrammverschlüsselung auf Basis von MTProto
Das MTProto-Protokoll verwendet zwei Verschlüsselungsebenen, eine Server-Server- und eine Client-Server-Ebene. Seine Funktionsweise basiert auf den folgenden Algorithmen:
AES ist ein symmetrischer 256-Bit-Algorithmus, der von der US-Regierung als Standard festgelegt wurde.
RSA ist ein kryptographischer Algorithmus, der auf der rechnerischen Komplexität des Ganzzahlfaktorisierungsproblems beruht.
Diffie-Hellman-Methode ermöglicht es zwei oder mehr Gesprächspartnern, einen geheimen Schlüssel über einen ausspähbaren, aber spionagesicheren Kanal zu erhalten.
SHA-1 und MD5 sind Hash-Algorithmen, die in vielen kryptographischen Protokollen und Anwendungen zum sicheren Hashing verwendet werden.
Im Gegensatz zum Double Ratchet-Protokoll, das von WhatsApp verwendet wird und bereits die Zustimmung namhafter Informationssicherheitsexperten erhalten hat, haben es die Entwickler von MTProto nicht eilig, ihr Produkt einer unabhängigen Prüfung zu unterziehen. Einerseits wird der Algorithmus dadurch hackbar, andererseits wurde bisher noch keine erfolgreiche Aktion zur Entschlüsselung von Nachrichten registriert.
Die Gründer des Messengers erklären, dass sie eine Sicherheitsgarantie für die verschlüsselte Datenübertragung abgeben. Um diese Aussage zu untermauern, veranstaltet Pavel Durov gelegentlich Wettbewerbe, bei denen den Teilnehmern angeboten wird, eine Unterhaltung zwischen zwei Parteien zu entschlüsseln. Das Preisgeld beträgt 200.000 Dollar, aber bisher ist es noch keinem Hacker gelungen, die verschlüsselten Nachrichten zu lesen. Man kann mit Fug und Recht behaupten, dass viele Experten solchen Wettbewerben skeptisch gegenüberstehen und sie eher für einen Werbegag halten als für einen echten Beweis der Systemsicherheit.
Wahrscheinlichkeit eines Kontobruchs
Selbst wenn man davon ausgeht, dass MTProto die besten Sicherheitsparameter unter den modernen Messengern hat, sind Eindringlinge immer noch in der Lage, das Konto eines Benutzers zu knacken. Dabei hat das Protokoll selbst nichts mit diesem Problem zu tun.
Die Sicherheitslücke liegt in der Technik der Benutzerautorisierung. Die angegebene Prozedur wird mit einer echten Telefonnummer durchgeführt, wobei ein Login-Verifizierungscode per SMS gesendet wird. Diese Datenübertragungstechnik basiert auf der SS7-Technologie (Signaling System #7), die vor 40 Jahren entwickelt wurde und nach heutigen Maßstäben schwache Sicherheitsparameter aufweist. Theoretisch könnten Eindringlinge einen SMS-Code abfangen und ein Konto knacken. Wenn sich Telegram im Standardmodus befindet, werden alle Nachrichten auf den Servern gespeichert, sodass Hacker Zugriff auf die gesamte Konversation eines bestimmten Benutzers erhalten können.
Geheime Chats sind der Schlüssel zu einem Problem. Im Falle ihrer Nutzung kann eine Konversation nur bei echtem Telefondiebstahl mitgelesen werden, da alle Nachrichten nicht auf dem Server gespeichert werden, sondern nur zwischen zwei Geräten übertragen werden.
Telegram geheimen Chats mit Ende-zu-Ende-Verschlüsselung (E2E) haben die maximale Punktzahl gleich 7, und die von Standard-Standard-Konversation ist gleich 4. Soweit Standard-Chats hinterlassen Spuren auf den Servern des Unternehmens, werden sie als potenziell verfügbar für Dritte Schnüffeln.
Bis vor kurzem waren die Messenger WhatsApp und Viber in der EFF-Bewertung nicht sehr hoch - um genau zu sein, lagen ihre Werte bei gerade einmal 2 Punkten. Es war der konkurrierende Einfluss von Telegram, der diese Unternehmen dazu brachte, ihre Sicherheitspolitik zu überdenken. In diesem Zusammenhang wurde beschlossen, das Prinzip der Ende-zu-Ende-Verschlüsselung zu implementieren, das seit 2016 zum Standard geworden ist und laut EFF eine Bewertung von 6 Punkten ermöglicht. Es besteht im Wesentlichen darin, die für die Verschlüsselung von Nachrichten erforderlichen Schlüssel auf nur einem Gerät zu speichern. Auf diese Weise muss man physischen Zugang zu einem Smartphone haben, um an Informationen zu gelangen.
Es stellt sich die Frage: Wenn dieser von Pavel Durov gegründete Dienst sich selbst als den sichersten Messenger bezeichnet, warum macht er dann nicht einfach alle Chats standardmäßig geheim, was dazu beitragen würde, einen Vorsprung in der EFF-Bewertung zu erzielen? Der Punkt ist, dass die E2E-Verschlüsselung eine Schwachstelle hat - die geheime Konversation ist nur auf einem bestimmten Gerät verfügbar, so dass ihr Verlauf auch nur auf einem Gerät gespeichert wird. Es ist die Politik des Unternehmens, den Nutzern Optionen offen zu halten, da ein Standardmodus es Ihnen ermöglicht, Ihr Konto von jedem Gerät aus zu bewerten.
Die Sicherheitslücke liegt in der Technik der Benutzerautorisierung. Die angegebene Prozedur wird mit einer echten Telefonnummer durchgeführt, wobei ein Login-Verifizierungscode per SMS gesendet wird. Diese Datenübertragungstechnik basiert auf der SS7-Technologie (Signaling System #7), die vor 40 Jahren entwickelt wurde und nach heutigen Maßstäben schwache Sicherheitsparameter aufweist. Theoretisch könnten Eindringlinge einen SMS-Code abfangen und ein Konto knacken. Wenn sich Telegram im Standardmodus befindet, werden alle Nachrichten auf den Servern gespeichert, sodass Hacker Zugriff auf die gesamte Konversation eines bestimmten Benutzers erhalten können.
Geheime Chats sind der Schlüssel zu einem Problem. Im Falle ihrer Nutzung kann eine Konversation nur bei echtem Telefondiebstahl mitgelesen werden, da alle Nachrichten nicht auf dem Server gespeichert werden, sondern nur zwischen zwei Geräten übertragen werden.
