Les chats secrètes de télégramme sont-ils sécurisés en supposant que MTProto ne soit pas?
Pour ceux qui ne savent pas: Telegram est une alternative WhatsApp partiellement open source (serveur est fermée Source) qui offre des discussions secrètes et des chats normaux. Les chats secrets sont cryptés avec un échange de clé Diffie-Hellman et sont cryptés de bout en bout. On peut vérifier la signature de sa pair à l'aide d'un code à barres. Les chats normaux ne sont pas cryptés de bout en bout, mais bénéficient d'être synchronisés entre ses appareils.
Le télégramme a été largement critiqué pour avoir utilisé un tout nouveau protocole, MTProto . Si MTProto est réellement sécurisé ou non est hors de la portée de cette question, supposons-nous qu'il n'est pas sûr.
Puisque DH est utilisé dans des discussions secrètes, un compromis de chats secrets de compromis MTProto sera-t-il? Les DH et MTProto sont-ils couplés de manière à ce que MTProto échoue, DH échoue? Ou est-il en couchette de sorte que les deux devaient échouer pour des discussions secrètes pour devenir vulnérables?
En bref, si on ne fait pas confiance à MTProto, peut-on encore faire confiance aux chats secrets grâce à DH?
Remarque: MTProto utilise également DH pour l'enregistrement de périphérique, cela n'est pas liée.
Documents officiels utiles:
Description détaillée de MTProto
Mise à jour:
Anton Garcia Dosil a déclaré que DH était juste un moyen de distribuer des clés et n'est pas une méthode de cryptage elle-même. Ceci est définitivement vrai et je m'excuse d'avoir été un peu vague ici. Une formulation plus claire de ma question serait la suivante: une fois que les deux pairs échangent des touches DH et commencent le cryptage de bout en bout, MTProto utilise-t-elle une méthode de cryptage connue pour être sécurisée? Ou utilise-t-il encore un autre schéma de cryptage de la maison? S'il utilise une méthode de cryptage connu X pour des discussions secrètes, sont-elles couplées X et MTProto de manière à ce que MTProto échoue, X échoue? Ou est-il en couchette de sorte que les deux devaient échouer pour des discussions secrètes pour devenir vulnérables?
L'objectif de Diffie-Helmann (je suppose qu'ils authentifient DH d'une manière ou d'une autre) n'est que la distribution clé.
L'objectif de MTProto est le cryptage.
Diffie-Helmann se nourrit de MTProto avec des clés permet de dire. C'est dans un niveau supérieur. Bien que MTProto soit "cassé", un établissement clé sécurisé a toujours lieu. DU DH Effectivement n'a pas échoué dans son but (répartition clé).
Cela dit, si vous êtes capable de casser MTProto (dites que la keylength est petite) par bruteforcing les clés de quelque manière que ce soit, le problème est toujours de MTProto et non de DH.
Le protocole est aussi fort que son lien le plus faible. Dans ce cas, si nous pensons que MTProto n'est pas fiable, l'ensemble du protocole n'est pas fiable.
[~ # ~] Edit [~ # ~ ~] En regardant la spécification dans MTProto . Je ne suis pas sûr de comprendre la question complètement mais je pense que vous demandez si les éléments "atomiques" de MTProto peuvent perdre de l'efficacité par un couplage médiocre. -AES-256 est utilisé pour le cryptage, c'est acceptable. -Sha1 comme une fonction de hachage est acceptable pour le moment. -Diffie-Hellman pour l'établissement de clé OK (à condition qu'il y ait une authentification). La clé établie par la suite dérive une seule clé pour le cryptage avec la fraîcheur (numéro de temps et de séquence) pour fournir une authentification de l'entité.
Le seul problème que je peux voir pour ce protocole est si DH n'est pas authentifié. Si ce n'est pas le cas, quiconque serait en mesure de générer la clé de cryptage (à la fois avec la clé partagée obtenue dans une MITM et la source de fraîcheur transmise en clair).
Pour Fin à la fin , ils utilisent également AES-256. L'empreinte digitale a l'air un peu boiteux (et réutilise la clé de cryptage).
digest = MD5 (clé + iv) empreinte digitale = substrateur (Digest, 0, 4) XOR substr (Digest, 4, 4)
De plus, il semble qu'ils utilisent des AES en mode ECB, ce type de nulle, mais toujours, globalement, le protocole semble "ok" pour les utilisateurs normaux. Si vous êtes Snowden ou Assange, utilisez peut-être quelque chose d'autre au cas où;)
Ils utilisent des AES en mode IgE non en mode ECB. Mais néanmoins, cela ne devrait pas être correct pour les utilisateurs normaux et mieux que pas de mode chiffre à blocs.
Les données sont cryptées avec une clé de 256 bits, AES_KEY et un vecteur d'initialisation de 256 bits, AES-IV, à l'aide du cryptage AES-256 avec une extension infinie pour garrables (IgE)
par télégramme