2 @section Безопасен ли Telegram?
4 @strong{Ни в коем случае}. Сосед вряд ли сможет прочитать ваши
5 сообщения, но сами сервера Telegram или спецслужбы смогут без проблем.
7 В данном разделе рассматривается только @emph{MTProto} протокол
8 шифрования. MTProto и соответствующий конкурс по его взлому являются
10 @url{https://www.schneier.com/crypto-gram/archives/1999/0215.html#snakeoil, шарлатанской криптографии}.
12 Более подробная информация, небольшой анализ на английском есть
13 @url{http://unhandledexpression.com/2013/12/17/telegram-stand-back-we-know-maths/, тут} и
14 @url{http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest, тут}.
17 * Отсутствует аутентификация пользователя: FAQ Telegram аутентификация.
18 * DH использует сервер: FAQ Telegram DH сервер.
19 * Априори известные небезопасные алгоритмы: FAQ Telegram алгоритмы.
20 * Но конкурс по взлому же никто не выиграл!: FAQ Telegram конкурс.
21 * Но ведь его написали сильные математики!: FAQ Telegram математики.
24 @node FAQ Telegram аутентификация
25 @subsection Отсутствует аутентификация пользователя
27 Это самый серьёзный и фатальный (после чего его бессмысленно
28 использовать) недостаток. При установлении соединения между
29 пользователями они никак не аутентифицируют друг друга. То есть
30 пользователь не знает действительно ли он разговаривает с нужным ему
31 собеседником или с сервером который просто переотправляет собеседнику
32 сообщения. То есть это то что называется атакой человек-по-середине.
34 @node FAQ Telegram DH сервер
35 @subsection DH использует сервер
37 Первый выложенный исходный код протокола имел код при котором в
38 протоколе Диффи-Хельмана принимал участие и сервер: от него принимались
39 данные которые надо было подмешивать в DH сообщения. Потенциально он мог
40 полностью ослабить общий установленный ключ, опять же сведя безопасность
41 на нет и для внешнего наблюдателя (не только для серверов Telegram).
43 Это похоже исправили и убрали, мотивируя тем что это была защита от
44 устройств где плохой генератор случайных чисел. Возможно действительно
45 было сделано не со зла.
47 @node FAQ Telegram алгоритмы
48 @subsection Априори известные небезопасные алгоритмы
50 Любое сообщение должно быть зашифровано и аутентифицировано (то есть
51 добавлена информация гарантирующая что сообщение пришло именно от
52 нужного пользователя и без изменений). Как правило используют код
53 аутентичности сообщения (MAC) для аутентификации.
55 Есть разные варианты порядка как провести шифрование и аутентификацию:
58 @item Encrypt-then-MAC
59 Зашифровать, затем добавить MAC от шифротекста (так делают в IPsec)
60 @item MAC-then-Encrypt
61 Добавить MAC от открытого текста, затем зашифровать (так делают в TLS)
63 Зашифровать, затем добавить MAC от открытого текста (так делали в SSH)
66 Первый вариант @strong{всегда} правильный и не имеет недостатков. Второй
67 вариант при некоторых режимах работы даёт возможность очень серьёзных
68 атак типа @url{https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack, BEAST}
69 и в целом @url{http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.106.5488&rep=rep1&type=pdf, не может считать безопасным}.
70 Третий даёт ещё большее количество атак, но на момент создания SSH об
71 этом мир криптографии ещё просто не знал. Не имеет смысла использовать
72 ничего кроме первого варианта.
74 MTProto использует фактически третий вариант. Если при первом варианте
75 нужно будет вычислить например HMAC и если он даст отрицательный
76 результат, то больше ничего не предпринимать, то в MTProto нужно
77 вычислить И хэш И дешифровать сообщение чтобы понять что оно не
78 аутентифицировано. То есть самая плохая производительность и
81 SHA1 используемый MTProto является устаревшим алгоритмом, не безопасным
82 для современного использования. Telegram говорит что он выбран из-за
83 производительности. Возможно и так, но он не намного медленнее (на
84 современных процессорах) SHA2, который безопасен.
86 Более того, MTProto использует
87 @url{https://www.mgp25.com/AESIGE/, IGE режим шифрования}
88 более никому не известный. Абсолютно непонятно зачем. Если им надо было
89 достичь того что ошибка дешифрования распространялась бы и дальше, то
90 почему не использовать
91 @url{https://en.wikipedia.org/wiki/Block_cipher_modes_of_operation#Cipher_Feedback_.28CFB.29, CFB}?
92 В любом случае если есть аутентификация сообщений, то error propagation
93 не имеет никакого смысла. Разумнее было бы выбрать например режим
95 @url{https://en.wikipedia.org/wiki/Block_cipher_modes_of_operation#Counter_.28CTR.29, CTR},
96 позволяющий распараллеливать шифрование и дешифрование.
98 Ключ шифрования зависит от открытого текста. В целом это плохо. Это
99 возможные атаки, статистический анализ, но не означает что фатально.
100 Ничто не мешало бы сделать ключ независимым от открытого текста.
102 Кроме того, получается что для каждого сообщения необходимо проводить
103 процедуру инициализации AES ключа -- это дорогая (медленная) операция.
104 Везде стараются не менять ключ блочного шифра как можно дольше ради
107 @node FAQ Telegram конкурс
108 @subsection Но конкурс по взлому же никто не выиграл!
110 И вряд ли выиграет, так как практически всегда подобные конкурсы
111 @url{http://www.thoughtcrime.org/blog/telegram-crypto-challenge/, должны настораживать}
113 @url{https://www.schneier.com/crypto-gram/archives/1998/1215.html#contests, никакого смысла}.
117 @item Конкурсы нечестны. Они часто выставляют условия не
118 соответствующие реальному миру, реальным атакам. Telegram предлагает
119 перехватить шифротексты и их дешифровать, но не даёт возможности
120 проводить общение с сервером или пользователям, не даёт проводить анализ
121 шифротекста зная открытый текст (known plaintext attack), не даёт
122 отправлять и смотреть реакцию на специально подготовленный открытый
123 текст (chosen plaintext attack) или шифротекст (chosen ciphertext
124 attack). То есть это можно сравнить с: попробуйте взломать мою квартиру,
125 но условимся что вы безрукий инвалид без инструментов.
127 @item Конкурсы не компенсируют затраты за взлом. Telegram не предлагает
128 показать как можно совершить атаку, а предлагает её выполнить до конца.
129 Криптография, криптоанализ может показать что, например, вам надо
130 перехватить сообщение и сделать перебор каких-нибудь данных в количестве
131 2**64. Это криптографически несерьёзное число: с ним могут справится
132 суперкомпьютеры которые есть у многих корпораций и государств, но нет
133 у простых людей. Аренда вычислительных мощностей для проведения 2**64
134 операций может стоить дороже чем выигрыш в конкурсе.
138 Поэтому участвовать в конкурсах и не выгодно и не интересно.
140 @node FAQ Telegram математики
141 @subsection Но ведь его написали сильные математики!
143 Сильный математик не означает криптограф (тем более сильный). На данный
144 момент в их протоколе множество недочётов свойственных новичкам (либо
145 сделанных специально для облегчения жизни тем кто хочет дешифровать).
146 Дуров в первую очередь деловой человек, а приватность пользователей
147 вредна для любого бизнеса.