Así funciona la seguridad de Telegram

Iniciado por wolfbcn, 6 Febrero 2014, 01:11 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

A estas alturas todos habéis oído hablar ya de Telegram, la nueva aplicación de mensajería instantánea que pretende reemplazar a Whatsapp (aunque muchos pensamos que eso es imposible). Una de sus mayores ventajas, según sus creadores, es su seguridad.

Telegram implementa un protocolo propio, MTProto, que transmite los mensajes de forma segura entre nuestro móvil y el servidor. Incluso permite crear chats seguros entre dos clientes, de tal forma que ni siquiera los servidores de Telegram pueden ver qué estás enviando. Ahora bien, ¿cómo funciona? En este artículo vamos a explicar en qué consiste la seguridad de Telegram.

LEER MAS: http://www.genbeta.com/seguridad/asi-funciona-la-seguridad-de-telegram
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

cpu2

Cita de: wolfbcn en  6 Febrero 2014, 01:11 AMde tal forma que ni siquiera los servidores de Telegram pueden ver qué estás enviando.

Claro, por supuesto.

Un saludo.

roilivethelife

Cita de: cpu2 en  6 Febrero 2014, 01:59 AM
Claro, por supuesto.

Un saludo.

Hay premio de 200 000$ a quién consiga romper el cifrado, aparte de que la api y el código es open-source.

Ellos están seguros que el cifrado es invulnerable a ataques y así parece serlo

cpu2

#3
Yo no estoy diciendo nada de ataques exteriores, si no que ni el propio servidor interno pueda leer los mensajes, cosa que no me creo, si es asi ya se encargaran de cerrarlo.

Ademas si fuera capaz de romper ese cifrado, no estaria sacando mensajes chorras de la gente.

#!drvy

CitarYo no estoy diciendo nada de ataques exteriores, si no que ni el propio servidor interno pueda leer los mensajes, cosa que no me creo, si es asi ya se encargaran de cerrarlo.

Si el chat es entre 2 clientes no tiene porque tocar el servidor. IP 2 IP...

Del mismo modo, si la clave no se comparte con el servidor sino que solo se comparte entre los 2 clientes, por mucho que los mensajes pasen por el servidor, este no sabra la clave para descifrarlos.

Si es open-source, no tiene sentido afirmar estas cosas.. ya que cualquiera puede investigar el code y desmentirlo.

Saludos

cpu2

Bueno de la forma que lo explicas es posible, pero yo me refiero a esta parte del articulo.

CitarEstamos en una posición complicada. Cada vez que un usuario instale la aplicación de Telegram se tiene que crear una clave, y esa clave tiene que enviarse al servidor para que pueda descifrar los mensajes. Obviamente, no podemos transmitir la clave en claro al servidor. Hay que buscar una forma de decirle al servidor cuál es la clave sin decirle cuál es la clave. Esta idea, que parece imposible, es en realidad un algoritmo muy sencillo.

Pero yo si quiero una conversacion IP a IP, creo un Tunnel con Ipsec y netcat puede ser una herramienta genial para un chat improvisado, desde mi punto de vista eso seria mas anonimo que no ese telegram.

Un saludo.

JonaLamper

No es un poco peligroso que permita enviar "todo tipo de archivos"? (desde mi ignorancia  ;D)
Utilizar palabras para hablar de palabras es como utilizar un lápiz para hacer un dibujo de ese lápiz sobre el mismo lápiz.

0xDani

Yo lo tengo, y es un clon de Whatsapp pero bastante más ligero, y es software libre. En principio está bastante bien.
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM

Platanito Mx

CitarVolviendo a Telegram: problemas técnicos adicionales

Ahora que ya sabemos cómo comparte el cliente y el servidor la clave, parece que todo está resuelto. Sin embargo, sigue habiendo problemas que obligan a modificar el protocolo, y para entenderlos tenemos que profundizar un poco en temas técnicos.

Telegram usa el algoritmo de cifrado AES con claves de 256 bits, en modo IGE (Infinite Garble Extension). El modo tiene que ver con la entrada del algoritmo: AES cifra por bloques, cadenas de 128 bits. Dependiendo del modo en el que usemos el algoritmo, cifraremos los bloques provenientes del texto plano o los combinaremos de alguna forma con bloques cifrados anteriores. Si estáis interesados en el tema, este es un buen recurso, pero el modo de AES no nos interesa demasiado para este artículo.

Lo que sí nos importa es que AES-IGE es vulnerable a ciertos ataques de criptoanálisis. Por ejemplo, a CPA (Chosen Plaintext Attack). Este tipo de ataque consiste en cifrar ciertos textos planos que tú conoces y ver cuál es el resultado. A partir de esos textos (que no son elegidos al azar, sino que se forman específicamente para cada situación), se pueden inferir datos sobre la clave, reduciendo las posibilidades y aumentando la probabilidad de adivinarla por completo.

Para contrarrestar este tipo de ataques, Telegram implementa dos características ingeniosas. La primera es que, cuando se cifra un mensaje, no se cifra sólo el mensaje sino que a él se añade un salt, una cadena aleatoria que define el servidor de Telegram, la hora actual y un número de secuencia que indica el orden del mensaje.

De esta forma, un atacante no puede cifrar con AES-IGE el texto que él quiera, ya que la aplicación siempre añade esos tres valores fijos que él no controla.

La segunda característica tiene más implicaciones, y es que antes os he mentido un poco. La clave que comparten servidor y cliente no es la que se usa para cifrar los mensajes. Veamos los detalles en la siguiente sección.

Es un poco contradictorio lo que menciona ¿no creen?