Naga Markets



Virgil Security – deweloper oprogramowania i usług kryptograficznych – przeprowadził test na nowym narzędziu opracowanym przez aplikację do komunikacji Telegram. Telegram Passport ma służyć szyfrowaniu informacji identyfikujących użytkowników. Okazuje się, że wykorzystany w nim algorytm jest podatny na atak brute force.

Telegram Passport miał chronić dane osobowe użytkowników

26 lipca miał premierę Telegram Passport. Jego celem ma być szyfrowanie danych personalnych użytkowników przy interakcji z podmiotami trzecimi, na przykład spółkami oferującymi Initial Coin Offering czy portfelami kryptowalutami. Dzięki tej usłudze użytkownicy byliby zabezpieczeni przed podmiotami stosującymi się do regulacji Know Your Customer (KYC), czyli weryfikującymi informacje osobowe.

Dane są przetrzymywane na chmurze należącej do Telegram z wykorzystaniem szyfrowania po obu stronach połączenia. Dodatkowo chmura jest zdecentralizowana, co oznacza, że informacje personalne nie mogą być odszyfrowane, z boku wyglądają jedynie jak losowy szum. Jak się jednak okazuje, Virgil Security ma mocne obawy co do bezpieczeństwa haseł wykorzystywanych w serwisie.

Fiasko nowego rozwiązania Telegram

Zdaniem Virgil Security, Telegram wykorzystuje w swoim rozwiązaniu algorytm hashujący SHA-512. Nie jest to jednak rozwiązanie przeznaczone do przechowywania haseł. Jest ono narażone na wykorzystanie ataku brute force. Oznacza to, że można łamać hasła metodą prób i błędów, wysyłając tysiące zapytań na sekundę. Nie pomaga nawet poprawienie jakości haseł metodą saltingu, czyli dodawania losowych znaków na ich końcu, co ma utrudnić ich złamanie.

Kiedy użytkownik szyfruje dane personalne, są one wysyłane do chmury Telegram, a następnie w przypadku konieczności potwierdzenia ich autentyczności przez podmiot trzeci, dane są odszyfrowane i następnie ponownie szyfrowane na potrzeby danej usługi. Każdy ten proces pozwala na potencjalną ekspozycję tabeli hashującej hakerom.

Oznacza to, że bezpieczeństwo danych przechowywanych w chmurze Telegram bardzo mocno opiera się na sile ustawionego hasła. Ataki brute force przy stosowaniu algorytmu SHA-512 są banalnie łatwe. Brak cyfrowego podpisu pozwala na modyfikowanie danych w locie, czego nie będzie dało się zweryfikować.

Telegram przeprowadził niedawno jedno z największych zamkniętych ICO w historii. W dwóch turach finansowania zebrał łącznie 1,7 mld USD.



tokeneo

Zostaw komentarz logując się za pomocą Facebook

To również Cię zainteresuje - Comparic24.tv

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here