A Telegram üzenetküldő biztonságosságát vitatja Moxie Marlinspike és az EFF

Titkosítás, biztonság, privát szféra

A Signal nevű azonnali üzenetküldő szolgáltatás (és protokoll) mögött álló Moxie Marlinspike biztonsági szakértő a Twitteren arra figyelmeztet, hogy noha a Telegram üzenetküldő a legnépszerűbb ilyen alkalmazás Ukrajnában, komoly gondok vannak a biztonságával. Szerinte az évtizednyi félrevezető marketing és sajtó hatására az emberek azt hiszik, hogy egy titkosított alkalmazás, pedig nem ...:

       
Az EFF is figyelmeztet:

( trey | 2022. 03. 05., szo – 09:43 )

Még ha valaki nem is hisz neki. A józan ész azt diktálja, hogy Ukrajnában most nem egy orosz üzenetküldő használata a legjobb ötlet ...

Cryptography contests

Telegram has organized two cryptography contests to challenge its own security. Third parties were asked to break the service's cryptography and disclose the information contained within a secret chat between two computer-controlled users. A reward of respectively US$200,000 and US$300,000 was offered. Both of these contests expired with no winners.[285][286] Security researcher Moxie Marlinspike, founder of the competing Signal messenger, and commenters on Hacker News criticized the first contest for being rigged or framed in Telegram's favor and said that Telegram's statements on the value of these contests as proof of the cryptography's quality are misleading. This was because the cryptography contest could not be won even with completely broken algorithms such as MD2 (hash function) used as key stream extractor, and primitives such as the Dual EC DRBG that is known to be backdoored.[287][288][289]

trey @ gépház

( zitev v | 2022. 03. 05., szo – 09:49 )

Ja, es ezt ezzel akarja alatamasztani:

"Here's a simple test: delete Telegram, install it on a brand new phone, and register with your number. You will immediately see all your conversation history, all of your contacts, all the media you've shared, all of your groups. How? It was all on their servers, in plaintext"

Nem gondolnam,hogy ez igy mukodne.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az EFF egy kicsit árnyaltabban fogalmaz:

Telegram is certainly not the most secure messaging app on the market right now. Its security model requires users to place a great deal of trust in Telegram’s ability to protect user data. For some users, this may be good enough for now. For others, it may be wiser to move to a different platform for certain kinds of high-risk communications.

trey @ gépház

Hasznalom (mint ahogy mas chatprogramokat is), a signalt is hasznaltam (rajtam kivul kb senki). Nincs bajom azzal, ha egy konkurrens ramutat egy adott program hibaira, de akkor ezt tegye targyilagosan, bizonyitekokkal alatamasztva, ne pedig sejtetesek es velelmezett mukodesi modbol levont konkluziok menten.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szabad a gazda!..:)

--

Ebbe erdemes beleolvasgatni, a csatolt pdf-ben reszletesen kifejtik, hogyan kepez TDS-t az user azonositasara a kliens, az meg csak szimplan rosszhiszemu feltetelezes, hogy plain textben tarolodnanak a user adatok a telegram szerveren. A forensic analysis során nem derult feny azokra az allitasokra, amit a signalos csoka velelmez, hanem fokent profilozas-jellegu folyamatokkal lehet nyomon kovetni a kerdeses user tevekenysegeket.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( batyu v | 2022. 03. 05., szo – 10:43 )

Ebben mi az új? Emlékeim szerint a telegram is felhívja rá a figyelmet, hogy ugyan titkosítás nélkül több eszközön is lehet közös history, etc, de csak a titkosított kommunikáció garantálja, hogy végponttól végpontig titkosított marad és nem kerülhet 3-ik félhez adat. Persze nem sulykolja, de belefutottam már ebbe én is.

"nem egy orosz üzenetküldő használata a legjobb ötlet ..."

Amennyiben nem orosz állami befolyás alatt van, ezt nem osztom :) Pavel Durov épp azért hagyta el Oroszországot, mert nem volt hajlandó együttműködni a hatóságokkal, nem adta be a derekát - bár az vet fel kérdéseket, hogy akkor a VK-t mégis hogy szerezte meg többségi tulajdonosként a mail.ru anno.

A telegram már nem is Oroszországban készült, de nem hiszem, hogy ezzel újat mondanék.

Egyébként véleményem szerint naivitás itt arról álmodozni, hogy majd mindenkinek lesz egyszerű és megbízható titkos kommunikációt megvalósító program. A felhasználok nagy része alkalmatlan az ilyen jellegű felhasználásra :D

Én a józan észre hallgatok. Nem küldök sem levélben, sem telefonon, nem üzenetküldőben semmi olyat, ami nem tartozik olyan 3. félre, amiből bármi bajom származhatna. Gyártsa bárki, vagy bármi a szoftvert vagy hardvert.

A józan ész pedig azt diktálja nekem, hogy ha ukrán lennék, semmilyen olyan eszközt nem használnék, aminek bármilyen köze volt az oroszokhoz.

trey @ gépház

https://en.m.wikipedia.org/wiki/Blocking_Telegram_in_Russia

Nem minden fugg az orosz kormanytol, aminek orosz kotodese van. Az ukranok jelenleg a földön a leginkabb kerulnek az olyan kommunikacios formakat, amibol az orosz tamadok le tudnakhallgtni, ez elemi erdekuk. Ha pedig nekik jo a telegram, akkor masnak is jo lesz.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

"Egyébként véleményem szerint naivitás itt arról álmodozni, hogy majd mindenkinek lesz egyszerű és megbízható titkos kommunikációt megvalósító program. A felhasználok nagy része alkalmatlan az ilyen jellegű felhasználásra :D"

+1, regebben szemeztem a BlackBerry Enterpriseal, de kb remenytelen elvarni, hogy idehaza barki is havi dijat fizessen egy biztosagos kommunikacios rendszerert.

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Mire egy megbízható titkos kommunikációt lehetővé tevő platform elkészül és viszonylag jól auditálják is, vagy rendkívül drága lesz, vagy rendkívül bonyolult, használhatatlan, nem tud elterjedni. Vagy kiderül róla, hogy átverés, mint a maffiának eladott rendőrségi fejlesztésű tuti titkosított telefonról nem is olyan rég. Mondjuk azt legalább még drágán is adták. :D

Erről jutott eszembe egy vicc: még az átkosból.

..

Egy nyugati hírszerző csapat összekötője lebukik. A újat kiküldik, hogy a vegye fel a kapcsolatot újra a beépítettekkel.

Megmondják neki a címet, nevet, meg az azonosító mondatot.(Ez legyen csak neked)" A kankalin sotetben viragzik!"

A csávó elmegy a címre, megnézi a papírját kit fog keresni. "Kovács János"

Be megy a kapun. Csak az a baj, hogy a tábla szerint van három darab Kovács János a lépcsőházban. Hát, találomra bekopog a másodikon lévőhöz.

Kinyitják, elmondja hogy "A kankalin sotetben viragzik". Az ajtót nyitónak először elkerekedik a szeme, majd elmosolyodik, s azt mondja " Ja..., a kém Kovácsot keresi, Ő eggyel feljebb lakik".

Vagy az épp emlegetett telegram. Lehet vele relatíve biztonságosan kommunikálni, de ahhoz már tudni kell, hogy mit is csinálsz. Plusz nem is tökéletes - mondjuk egyik sem. Viszont legalább egy rakat biztonsági analízist elvégeztek rajta, itt pl. egy egész friss (2021-es). Ezekre úgy tűnik, hogy a fejlesztők jól is reagáltak.

( nevergone v | 2022. 03. 05., szo – 13:02 )

Mondjuk a Signal mögött se tudjuk, hogy mi van. Mert ott a szerver és az infra is teljesen zárt és tudtommal nem is telepítheted máshonnan, csak a telefonod hivatalos alkalmazásboltjából. Az, hogy a Telegramot egy orosz írta, még nem kötelez semmire. Főleg, hogy egy üldözött orosz, akinek bőven van félnivalója.

De legalább a Signal borzasztóan fapados és nem tudsz vele egyszerre sok embert elérni. Magáncsetelésre jó, alternatív hirközlési csatornának kevésbé.

A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.

( DirtY_iCE | 2022. 03. 05., szo – 14:13 )

Szerkesztve: 2022. 03. 05., szo – 14:23

Vegre valaki leirta.

Valtozni ugyse fog semmi, emberek tovabbra is vigan hasznaljak a facebook messengert meg tarsait.

Edit: a facebook messenger legalabb olyan szempontbol jobb, hogy az nem probalja magarol azt a latszatot kelteni hogy secure meg private, ott mindenki tudja hogy a nagy testver mindent lat.

I hate myself, because I'm not open-source.

( kaktusztea | 2022. 03. 05., szo – 14:20 )

A Signal filozófiája, hogy “don’t trust the server”.
Azaz ha az kompromitálódik, akkor se tudnak a beszélgetésedbe belehallgatni.

A használt Signal protokoll mára “ipari szabvánnyá” vált, a Whatsapp is azt használja (viszont ők gyűjtenek sok-sok metaadatot), a Messenger “secret chat” funkciója szintén.

Ezen kívül több külső code audit történt az elmúlt években.

Mobilra nem csak az alkalmazásboltból telepíthető, hanem official apk-ból is (Androidra), amihez van reproducable build docker image.

A Signal pénzügyeiről:
https://signal.org/blog/signal-foundation/

Tehát a Signal Foundation égisze alatt készül a sw, ez egy 501(c)(3) kategóriának megfelelő non-profit szervezet. Ezt az IRS elég komolyan veszi, szóval ez nem egy profiorientált cég, adományokból működik.

Ebben a kommentben csak spekulációk voltak, nulla valós forrással. Léci ne csináljunk már egy FB dühöngőt a HUP-ból is. Itt anno ([POL] topikokat kivéve) értelmes szakmai diskurzus ment.

Én is csak infókat osztottam meg, amik segíthetnek a véleményalakításban, még csak nem is vitatkoztam…

Okés, de ez mivel jobb mint pl. az S/MIME? :)

Amiről rengeteg implementáció van, egy ismert és elterjedt titkosítás az alapja, és ha titkosított üzenetet küldesz, azt valóban csak a fogadó félnél lévő (titkosnak gondolt) kulcs birtokában lehet elolvasni.

Jó, nincsenek benne talán színes animált emojik, ez valóban hatalmas hátrány.

( batyu v | 2022. 03. 06., v – 18:41 )

Szépen kivesézésre került, hogy mindkét platform gyanús. Miért nem használja akkor mindenki a matrix-ot? Nyílt forrású, a signal továbbfejlesztett titkosítási algoritmusát használja, független cég auditálta, elosztott platform, minden amit hiányoltunk innen. Mondjuk hype az nincs körülötte, lehet, hogy ez az oka? :)

Mondjuk nem sokba, s azt is csak egyszer, nem havidíj. De igen: esélytelen.

Én a családot először a Wire-re állítottam. De az egy frissítés után már nem küldi a push-t. Így az új  rendszert úgy hívják: Session

off: Azt tudja valaki, hogy a Huawei app boltból miért olcsóbb sok app?