Vlákno názorů k článku
Komunikátor Telegram přidává šifrované hovory
od Crow - Pořád používá Telegram pofidérní krypto? Jestli si vzpomínám...
-
Crow (neregistrovaný)
Pořád používá Telegram pofidérní krypto? Jestli si vzpomínám dobře, tak za to byli velmi kritizování.
Nemůžu najít původní zprávu, ale v [1] je to tak nějak shrnuté.
[1] : http://gizmodo.com/why-you-should-stop-using-telegram-right-now-1782557415
-
anonymní anonym (neregistrovaný)
Nebudu se vyjadřovat k síle šifrování, k tomu se necítím kompetentní.
Ale pokud jde o end-to-end šifrování, vše důležité by mělo z principu být možné najít v kódu klienta. Kód klienta Telegramu je dostupný, takže by snad mělo být možné najít chyby kryptografie v něm. (Proč nemají veřejné i kódy serverové části je na jinou debatu).
Co se důěryhodnosti týče, osobně to mám takto:
Signal - dostupné zdrojové kódy klienta, prošel audity - to vypadá OK
Telegram - dostupné kódy klienta, mluví se o slabé kryptografii, ale když se člověk pídí po detailech, nic konkrétního
iMessage - naprosto uzavřené, krom Apple nikdo neví, jak to přesně funguje
Facebook/Whatsapp - Prý používá technologii OpenWhispers, ale provozováno firmou, pro kterou je soukromí přežitek. Zdrojové kódy nejsou dostupné a navíc klient WhatsAppu má skvělou "feature", kdy si server může vyžádat změnu klíče a znovuposlání zpráv... [1][1] https://www.root.cz/clanky/sifrovani-whatsapp-je-lez-server-umi-klientum-vymenit-klice/
-
Pár analýz krypta Signalu a Telegramu jsem četl a dá se to shnout do hodnocení: Signal Protocol výborný, MTProto (Telegram) slušný/dobrý. Oba lze označit za bezpečné, ač Signal Protocol je prostě objektivně navržený pro bezpečnost lépe, Telegram dělal ústupky rychlosti. Ani na jeden z nich neexistuje jediný známý případ praktického prolomení.
Jak se ukazuje z různých prohlášení a leaků tajných dokumentů, nejslabším prvkem je dneska klient. A na ten se útočníci zaměřují primárně. Pokud se vám dostane někdo do klientského zařízení třeba skrze nějaký 0-day, tak vám sebelepší end-to-end šifrování nepomůže.
Např. na Telegram byly všechny známé úspěšné útoky vedené přes sms ověření. Pokud člověk nemá nastavené dvoufaktorové ověření, tak pro útočníka typu vládní agentury je velmi jednoduché zařídit odchytávání sms zasílaných na konkrétní číslo a nalogování se do účtu. Tím ale trpí i Signal a třeba Whatsapp donedávna nic jiného než ověření přes sms ani nenabízel.
-
hugochavez (neregistrovaný)
@JiriEischmann
"..nejslabším prvkem je dneska klient.."
Je to presne tak- posledni Vault7 varka infos na Wikileaks to ukazala jasne- nez lamat Signal je mnohem rychlejsi a levnejsi jit o 1 level niz a napadnout rovnou foun -obzvlast kdyz Android je deravej jak necky..."...pro útočníka typu vládní agentury je velmi jednoduché zařídit odchytávání sms zasílaných na konkrétní číslo..."
Doba pokrocila, dneska uz obdobne zarizeni prodavaj cinsky webshopy a dovolit si ho muze kazdej komu se vyplati za to dat $4k
https://www.youtube.com/watch?v=ucRWyGKBVzo#t=6m18sTa hracka je udajne velmi oblibena u US policajtu protoze muzou "na ulici" odposlouchavat mobily bez soudniho prikazu a nikdo se to nedozvi.
BTW podobny letadlo nam tady taky uz litalo nad hlavou....ma specielne upraveny vrtule a neni ho prakticky slyset.
-
hugochavez (neregistrovaný)
"Pořád používá Telegram pofidérní krypto?"
No kritika byla ze namisto neceho "overenyho" auditovanyho pouzili vlastni implementaci. Coz nemusi bejt vylozene na zavadu pokud ten kdo to dela vi co dela a umi to.
Taky je dobry se podivat KDO Telegram kritizoval.
Muze to bejt totiz ze stejnyho soudku jako kdyz cela slavna NSA "nedoporucovala" k pouzivani crypto zalozene na eliptickych krivkach, coz Moxie Marlinspike (autor Signalu ktery crypto umi) okomentoval slovy: zda se ze soudruhum z NSA ujel vlak, nevi si s tim rady tak aspon lidi strasej aby to nepouzivali.....
