it-swarm.dev

Telegram è sicuro?

Esiste una nuova applicazione WhatsApp-killer chiamata Telegram . Hanno detto che è open source e che ha più crittografia sicura .

Ma memorizzano tutti i messaggi nei loro server e WhatsApp non memorizza tutti i messaggi in qualsiasi server, solo una copia locale nei telefoni.

Telegram è più sicuro di WhatsApp ?

222
ilazgo

TL; DR: No, Telegram non è sicuro .

Vorrei ignorare il confronto con WhatsApp perché WhatsApp non si fa pubblicità come opzione di messaggistica "sicura". Vorrei invece concentrarmi sul fatto che Telegram sia sicuro.

La sicurezza di Telegram è costruita attorno al protocollo spun MTProto di casa. Sappiamo tutti che la prima regola della crittografia è Don't Roll Your Own Crypto . Soprattutto se non si è esperti di crittografia. Che le persone di Telegram sicuramente non lo sono.

Il team dietro Telegram, guidato da Nikolai Durov, è composto da sei campioni ACM, metà dei quali dottorandi in matematica. Ci sono voluti circa due anni per implementare la versione attuale di MTProto. Nomi e gradi potrebbero in effetti non significare tanto in alcuni campi come in altri, ma questo protocollo è il risultato di un intenso e prolungato lavoro di professionisti.

Fonte: https://news.ycombinator.com/item?id=691686

I dottorati di matematica non sono non crittografi. Il protocollo che hanno inventato è imperfetto. Qui è un post sul blog di Nizza che spiega perché. Inoltre, Telegram ha lanciato una sfida piuttosto ridicola offrendo un premio a chiunque possa infrangere il protocollo. Solo che i termini che fissano rendono difficile persino infrangere il protocollo più ridicolmente debole. Moxie Marlinspike ha un Nice post sul blog che spiega perché la sfida è ridicola.

Quindi no. Telegram non è affatto sicuro. Per le definizioni comunemente accettate di sicurezza, non quella inventata da Telegram.

Se vuoi un reale mezzi di comunicazione sicuri sul tuo telefono, cerca progetti più affidabili come Signal o WhatsApp (che, dal questa risposta è stata scritta per la prima volta, ora utilizza il protocollo di segnale per la crittografia dei messaggi end-to-end).

[~ ~ #] aggiornamento [~ ~ #]

  • 09 gennaio 2015: è stato annunciato un nuovo attacco 2 ^ 64 su Telegram.
  • 12 dicembre 2015: A nuovo documento che dimostra che MTProto non è sicuro IND-CCA.
  • 22 dicembre 2017: sostituzione di una raccomandazione obsoleta per CryptoCat con una raccomandazione più aggiornata per Signal e WhatsApp.
238
user10211

Come menziona Telegram FAQ , esiste un'opzione di "chat segreta" che non memorizza le chat sui loro server.

Per quanto riguarda la domanda di fondo, "l'archiviazione delle chat riduce la loro sicurezza?" allora questo è qualcosa da considerare. Le chat archiviate sul server indicano che è possibile effettuare copie sul server per la decodifica in un secondo momento. Ciò aumenta l'esposizione dei messaggi. Crittografare i messaggi significa che c'è un costo elevato per decrittografare i messaggi, ma c'è ancora una certa esposizione.

Tenendo conto di questa esposizione aggiuntiva, la vera domanda diventa (come sempre), "da cosa stai proteggendo?" Se sei preoccupato per le comunicazioni sicure in transito, Telegram "sembra" più sicuro. Se sei preoccupato per le comunicazioni sicure a riposo, allora WhatsApp "sembra" avere un modello migliore, tranne per il fatto che nessuna di esse è crittografata.

La risposta, quindi, è "dipende dal tuo focus", e la crittografia è migliore della non crittografia, e c'è l'opzione "chat sicura" di Telegram.

Novembre 2015:

Una nuova ricerca mostra problemi profondi con la crittografia: https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a#.gb7od1j6i

17
schroeder

EFF's Secure Messaging Scorecard attualmente classifica "Telegram (chat segrete)" con un punteggio di sicurezza del 100%. Tuttavia, il software dei server utilizzati da Telegram non è aperto; cf. the FAQ " Perché non open source tutto? "

WhatsApp è stato ancorato alla metrica " Il codice è aperto alla revisione indipendente? ". Telegram è ora completamente aperto; codice sorgente qui . Essendo aperto, puoi verificare tu stesso che non ci siano backdoor che potrebbero essere in un'app chiusa. WhatsApp è chiuso ora che è diventato proprietario (Facebook l'ha acquistato).

Una buona alternativa è Tox o Signal , che è aperto e peer-to-peer/end-to-end crittografato solo e ha ricevuto un alto valutazione EFF .

14
Geremia

EFF confronta tutte le app di messaggistica e pubblica i risultati nel collegamento Secure Messaging Scorecard .

nota: EFF confronta Telegram in modalità chat segrete con WhatsApp

I criteri del FEP sono:

  1. messaggi crittografati in transito? entrambi , il telegramma utilizza il protocollo MTProto e Whatsapp utilizza un protocollo non divulgato
  2. crittografato in modo che il provider non riesca a leggerlo? this criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers) il telegramma ha questo criterio ma Whatsapp non lo ha
  3. puoi verificare le identità dei contatti? this criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised il telegramma ha questo criterio ma Whatsapp non lo ha
  4. le comunicazioni passate sono sicure se la chiave viene rubata? this criterion requires that the app provide forward secrecy il telegramma ha questo criterio ma Whatsapp non lo ha
  5. il codice è aperto a revisione indipendente? il telegramma ha questo criterio ma Whatsapp non lo ha
  6. la progettazione della sicurezza è adeguatamente documentata? this criterion requires clear and detailed explanations of the cryptography used by the application il telegramma ha questo criterio ma Whatsapp non lo ha
  7. c'è stato qualche audit di codice recente? this criterion requires an independent security review has been performed within the 12 months prior to evaluation entrambi ce l'hanno

infine, il risultato è che Telegram è più sicuro di Whatsapp

6
0skar

Oltre ai problemi di protocollo, l'app stessa non è molto sicura. Nel febbraio 2015, Zimperium ha pubblicato un'analisi dettagliata della vulnerabilità locale di Telegram, che consente all'attaccante di ottenere pieno accesso ai messaggi di testo semplice.

Fondamentalmente, anche se il protocollo era sicuro, l'applicazione stessa non lo è, diventando l'anello debole della comunicazione sicura.

Secondo Zimperium, il team di Telegram non ha mai risposto alla loro notifica di vulnerabilità. Mi dice qualcosa sul loro atteggiamento nei confronti della sicurezza in generale, ed è in linea, ad esempio, con come implementano le "chat sicure": nessun supporto desktop, impronta digitale della chiave solo grafica, nessuna possibilità di inserire semplicemente la chiave.

5
texnic