Telegram veri şifreleme işleminin gerçekleştirilmesi ve diğer mesajlaşma programlarından farkı
2016-09-26 20:15:02
In:
Pavel Durov tarafından tasarlanan mesajlaşma uygulamasının WhatsApp ve Viber gibi ana rakiplerinden çok sonra piyasaya sürülmüş olmasına rağmen, en güvenli hizmetlerden biri olarak ün kazanması uzun sürmedi. Hizmetin MTProto protokolüne dayanan Telegram şifrelemesi, mesajlarınızı bilgisayar korsanlığına karşı güvende tutan bir uygulama oluşturmayı mümkün kıldı ve böylece söz konusu mesajlaşma programını tüm dünyada popüler hale getirdi.
Güvenlik derecelendirmesi
Sanal iletişimin güvenliği Electronic Frontier Foundation (EFF) derecelendirmesi ile belirlenir. Düzenli olarak güncellenen tabloda her bir hizmet, potansiyel bilgisayar korsanlığına karşı veri güvenliği seviyesine bağlı olarak 1'den 7'ye kadar derecelendirilmektedir.
Uçtan uca şifreleme (E2E) kullanan Telegram gizli sohbetleri 7'ye eşit maksimum puana sahiptir ve standart varsayılan konuşmalardan biri 4'e eşittir. Standart sohbetler şirketin sunucularında iz bıraktığı sürece, üçüncü tarafların gözetlemesi için potansiyel olarak mevcut oldukları kabul edilir.
Yakın zamana kadar, WhatsApp ve Viber mesajlaşma programları EFF derecelendirmesinde yüksek değildi - daha kesin olmak gerekirse, oranları 2 puandan fazla değildi. Bu şirketlerin güvenlik politikalarını gözden geçirmelerini sağlayan Telegram'ın rekabetçi etkisiydi. Bu bağlamda, 2016'dan bu yana varsayılan hale gelen ve EFF'ye göre 6 puan almayı sağlayan uçtan uca şifreleme ilkesinin uygulanmasına karar verildi. Bu prensibin özü, mesaj şifreleme için gerekli anahtarların tek bir cihaz kullanılarak saklanmasıdır. Bu şekilde, bilgiye ulaşmak için bir akıllı telefona fiziksel erişiminizin olması gerekir.
Akla şu soru geliyor: Pavel Durov tarafından kurulan bu hizmet kendisini en güvenli mesajlaşma aracı olarak görüyorsa, neden tüm sohbetleri varsayılan olarak gizli yapmıyor ve bu da EFF derecelendirmesinde bir liderlik oluşturmaya katkıda bulunmuyor? Mesele şu ki, E2E şifrelemenin bazı kusurları var - gizli konuşma yalnızca belirli bir cihazda mevcut, bu nedenle geçmişi de yalnızca bir cihazda saklanıyor. Varsayılan mod, hesabınızı herhangi bir cihazdan değerlendirmenize olanak tanıdığından, kullanıcılar için seçenekleri açık tutmak şirketin politikasıdır.
MTProto tabanlı telgraf şifreleme
MTProto protokolü sunucu-sunucu ve istemci-sunucu olmak üzere iki şifreleme katmanı kullanır. Çalışması aşağıdaki algoritmalara dayanmaktadır:
AES, ABD hükümeti tarafından bir standart olarak oluşturulmuş simetrik 256 bitlik bir algoritmadır.
RSA, tamsayı çarpanlarına ayırma probleminin hesaplama karmaşıklığına dayanan bir kriptografik algoritmadır.
Diffie Hellman yöntemi, iki veya daha fazla konuşma ortağının koklanabilir ancak sahtekarlığa dayanıklı bir kanal üzerinden gizli bir anahtar elde etmesini sağlar.
SHA-1 ve MD5, birçok kriptografik protokolde ve uygulamada güvenli hashleme için kullanılan hash algoritmalarıdır.
WhatsApp tarafından kullanılan ve tanınmış bilgi güvenliği uzmanlarının onayını almayı başaran Double Ratchet protokolünün aksine, MTProto'nun geliştiricileri ürünlerini bağımsız denetime sunmak için acele etmiyorlar. Bu durum bir yandan algoritmayı hacklenebilir hale getirirken, diğer yandan mesaj şifresinin çözülmesiyle sonuçlanan başarılı bir eylem henüz kaydedilmedi.
Messenger'ın kurucuları şifrelenmiş veri aktarımına ilişkin bir güvenlik garantisi beyan etmektedir. Pavel Durov, sözlerini doğrulamak için zaman zaman yarışmacılara iki taraf arasındaki bir konuşmanın şifresini çözmenin teklif edildiği yarışmalar düzenliyor. Para ödülü 200.000 dolar ancak hiçbir hacker şifrelenmiş mesajları okumayı başaramadı. Pek çok uzmanın bu tür yarışmalara şüpheyle yaklaştığını ve bunların sistem güvenliğinin gerçek bir kanıtı olmaktan ziyade bir tanıtım gösterisi olduğunu düşündüğünü söylemek yanlış olmaz.
Hesap kırılma olasılığı
MTProto'nun modern mesajlaşma programları arasında en iyi güvenlik parametrelerine sahip olduğu bir aksiyom olarak kabul edilse bile, davetsiz misafirler hala bir kullanıcının hesabını kırabilmektedir. Aynı zamanda, protokolün kendisinin bu sorunla hiçbir ilgisi yoktur.
Güvenlik açığı kullanıcı yetkilendirme tekniğinde yatmaktadır. Verilen prosedür, kısa mesaj yoluyla bir giriş doğrulama kodunun gönderildiği gerçek bir telefon numarası kullanılarak gerçekleştirilir. Bu veri aktarım tekniği, 40 yıl önce geliştirilen ve günümüz standartlarına göre zayıf güvenlik parametrelerine sahip olan SS7 (Sinyalizasyon Sistemi #7) teknolojisine dayanmaktadır. Teorik olarak, davetsiz misafirler bir SMS kodunu ele geçirebilir ve bir hesabı kırabilir. Telegram standart bir moddayken, tüm mesajlar sunucularında saklanır, böylece bilgisayar korsanları belirli bir kullanıcının tüm konuşmasına erişebilir.
Gizli sohbetler bir sorunun anahtarıdır. Kullanımları durumunda, tüm mesajlar sunucuda saklanmadığından ve yalnızca iki cihaz arasında iletildiğinden, bir konuşma yalnızca gerçek telefon hırsızlığı sağlayarak okunabilir.
Uçtan uca şifreleme (E2E) kullanan Telegram gizli sohbetleri 7'ye eşit maksimum puana sahiptir ve standart varsayılan konuşmalardan biri 4'e eşittir. Standart sohbetler şirketin sunucularında iz bıraktığı sürece, üçüncü tarafların gözetlemesi için potansiyel olarak mevcut oldukları kabul edilir.
Yakın zamana kadar, WhatsApp ve Viber mesajlaşma programları EFF derecelendirmesinde yüksek değildi - daha kesin olmak gerekirse, oranları 2 puandan fazla değildi. Bu şirketlerin güvenlik politikalarını gözden geçirmelerini sağlayan Telegram'ın rekabetçi etkisiydi. Bu bağlamda, 2016'dan bu yana varsayılan hale gelen ve EFF'ye göre 6 puan almayı sağlayan uçtan uca şifreleme ilkesinin uygulanmasına karar verildi. Bu prensibin özü, mesaj şifreleme için gerekli anahtarların tek bir cihaz kullanılarak saklanmasıdır. Bu şekilde, bilgiye ulaşmak için bir akıllı telefona fiziksel erişiminizin olması gerekir.
Akla şu soru geliyor: Pavel Durov tarafından kurulan bu hizmet kendisini en güvenli mesajlaşma aracı olarak görüyorsa, neden tüm sohbetleri varsayılan olarak gizli yapmıyor ve bu da EFF derecelendirmesinde bir liderlik oluşturmaya katkıda bulunmuyor? Mesele şu ki, E2E şifrelemenin bazı kusurları var - gizli konuşma yalnızca belirli bir cihazda mevcut, bu nedenle geçmişi de yalnızca bir cihazda saklanıyor. Varsayılan mod, hesabınızı herhangi bir cihazdan değerlendirmenize olanak tanıdığından, kullanıcılar için seçenekleri açık tutmak şirketin politikasıdır.
Güvenlik açığı kullanıcı yetkilendirme tekniğinde yatmaktadır. Verilen prosedür, kısa mesaj yoluyla bir giriş doğrulama kodunun gönderildiği gerçek bir telefon numarası kullanılarak gerçekleştirilir. Bu veri aktarım tekniği, 40 yıl önce geliştirilen ve günümüz standartlarına göre zayıf güvenlik parametrelerine sahip olan SS7 (Sinyalizasyon Sistemi #7) teknolojisine dayanmaktadır. Teorik olarak, davetsiz misafirler bir SMS kodunu ele geçirebilir ve bir hesabı kırabilir. Telegram standart bir moddayken, tüm mesajlar sunucularında saklanır, böylece bilgisayar korsanları belirli bir kullanıcının tüm konuşmasına erişebilir.
Gizli sohbetler bir sorunun anahtarıdır. Kullanımları durumunda, tüm mesajlar sunucuda saklanmadığından ve yalnızca iki cihaz arasında iletildiğinden, bir konuşma yalnızca gerçek telefon hırsızlığı sağlayarak okunabilir.
