Vlákno názorů k článku Čtou ruské úřady zprávy na Telegramu? Kouzelné API neexistuje, tvrdí tvůrci od jaromrax - Opravte me, pokud se v necem mylim: 1. 2014...

Opravte me, pokud se v necem mylim:
1. 2014 Durov prodal svych 12% ve VK za nejakych 300M. Bezne se v minulosti ovsem take objevovaly vice administrativni prevzeti, bez vyplaty.
2. Telegram byl spusten 2013. Je jeden par centralnich klicu a moznost secret-chats s e2e pro chat 2 participanty.
3. Telegram ma jedineho vlastnika, pokud se vi, Durova
4. 2017 stal provoz serveru 70M, predpovedi ceny provozu na 2021 sly do 200M
5. 2018 nastartoval s bratrem TON cryptomenu, jeji objem je asi 2mld
6. cena celeho telegramu je neco mezi 3 a 30mld., v zavislosti od metodiky a autora tvrzeni, ale porad nema monetizacni schema
7. 2018 telegram v ru zakazali a pak 2020 povolili. Durov mam dojem ukazoval, ze klice neda a servery ma nekde v emiratech nebo kde.

Citace anonymniho zdroje 2020: Telegram had not given the intelligence services decryption codes to its secret chats but had co-operated on specific terrorism and extremism-related requests. Nikdo nevim, co toto znamena...

Z toho se zda, ze skupinovy chat je zavisly na jednom paru klicu, je jeden majitel, ten je pod tlakem jak statnim tak financnim a ve 2020 prokazal nejakou kooperaci s urady.

To co nas ostatni zajima je, jestli T je to co se zda nebo ne.

Takze otazka: posilala pani e2e sifrovane zpravy, nebo zpravy do skupiny?

-Pokud zpravy do skupiny, nejjednodussi vysvetleni by byla kooperace T. O nejake vime, rozsah nezname ani nahodou.
-Pokud zpravy s e2e - bud je tu opravdu zasadni poblem, nebo jine metody.
Jak by mohlo byt realizovano prolomeni e2e? Jsou kody v T app dostupne?

K E2E v Telegramu: Ten protokol vypadá spíše jako ne úplně nejlepší studentský projekt (encrypt-and-MAC, AES IGE, wannabe HMAC). Z FAQ je zřejmé, že se situace nezměnila: https://core.telegram.org/techfaq#q-how-are-mtproto-messages-authenticated (Ty odpovědi ve mě mimochodem vzbuzují dojem „takto jsme to kdysi udělali, nějak to funguje, a měnit to nehodláme“. Reakci na nedodržení uznávaných best practices bych si představoval jinak.)

Jestli to znamená přímo prolomení protokolu? Nevím. Kdysi jsem nad tím přemýšlel, modeloval si různé útoky a protokol odolával, ale současně jsem tam viděl prostor, který jsem nezvládl prozkoumat. Asi to odolá nejtypičtějším učebnicovým útokům, ale nespoléhal bych se na ten protokol…

Ten protokol je venku 10 let a používá ho skoro miliarda lidí. Není rozhodně dokonalý, ale kdyby tam byla nějaká zásadní zranitelnost, už na ni někdo přijde. Ty útoky na samotnou komunikaci tak rozšířené nejsou právě proto, že i u neoptimálního protokolu jako MTProto je šance na úspěch malá. Proto se mnohem častěji útočí na konce komunikace, kde těch zranitelností je podstatně více (ať už v klientu, systému nebo samotném zařízení).

> kdyby tam byla nějaká zásadní zranitelnost, už na ni někdo přijde

To si někdo mohl o SSL3 v roce 2014 myslet taky, a přišel POODLE (padding oracle). Mimochodem, zrovna u padding oracle bych si nebyl jistý ani u MTProto. Klient musí nejdříve data rozšifrovat, pak může teprve ověřit integritu zprávy kontrolou MAC. To je riskantní postup, protože porušení integrity se může projevit jak při pokusu o rozšifrování, tak při ověřování MAC, a při implementaci je potřeba být velmi opatrný, aby se útočník nedozvěděl (odlišnou reakcí nebo odlišným časováním), kde to selhalo.

Jistě pomůže, když se pro šifrování použije nějaká prověřená knihovna. Jenže jsem skeptický k existenci prověřené knihovny pro AES IGE, které se mimo Telegram snad nikde nepoužívá.

Navíc při snaze pochopit samotný protokol jsem měl dost špagetový pocit. Jedna bizarnost nezboří bezpečnost celého protokolu jen proto, že to někde (nejspíš zcela náhodou) zachrání jiná bizarnost. To ale znamená, že je potřeba být obezřetný při snaze protokol (nebo jeho implementaci) upravit, protože je to náchylné na chyby.

Tedy asi se shodnemez že když si na to jeden člověk vyhradí odpoledne, nejspíš nenajde nic nového významného. Když ale má někdo dostatečný rozpočet na hlubší analýzu, už bych si na to nesázel.

> Proto se mnohem častěji útočí na konce komunikace, kde těch zranitelností je podstatně více (ať už v klientu, systému nebo samotném zařízení).

Častěji? Asi ano. Zejména v situacích, kdy někdo má telefon, na který již dva roky nevyšla žádná záplata („Ale on přece skvěle funguje, tak proč ho měnit?“), to asi bude mnohem jednodušší. Pro sledování uživatelů s plně záplatovanými telefony ale může být pro RF zajímavé znát i vhodnou zranitelnost v MTProto, a nepřijde mi to až tak nereálné.

K těm záplatovaným telefonům: mít nainstalované nejnovější bezpečnostní aktualizace je prakticky vše, co pro to jako běžní uživatelé můžeme udělat, ale rozhodně bych nepodléhal falešnému pocitu bezpečnosti. Pegasus se dostával do záplatovaných telefonů (ať už to byl Android nebo iPhone) s přehledem. Takový Bezos by mohl vyprávět, jak mu saúdské tajné služby pomocí Pegasu přes WhatsApp na dálku hackli záplatovaný iPhone. Když dojde k fyzickému přístupu, je to úplný gameover. Záplatovaný Samsung Galaxy S22 dokázali prolomit během 55 sekund a během 24 hodin to zopakovali jiným způsobem.

Nemám nic proti tomu, když se MTProto studuje a kritizuje, to je potřeba, ale za těch 10 let prošel X audity a studiemi a ač z něj nikdo nebyl nadšený, žádný reálný náznak úspěšného prolomení není. Během té doby jsme ale měli mraky úspěšných útoků na koncová zařízení. Moje obavy tedy spíš směřují tímto směrem.