La realización del proceso de cifrado de datos de Telegram y su diferencia con otros mensajeros
2016-09-26 20:15:02
En:
A pesar de que el mensajero diseñado por Pavel Durov se lanzó mucho después que sus principales competidores, como WhatsApp y Viber, no tardó en adquirir la reputación de uno de los servicios más seguros. El cifrado de Telegram basado en el protocolo MTProto del servicio hizo posible crear una aplicación que mantiene tus mensajes a salvo de la piratería informática, lo que hizo que el mensajero en cuestión fuera popular en todo el mundo.
Calificación de la seguridad
La seguridad de la comunicación virtual viene determinada por la clasificación de la Electronic Frontier Foundation (EFF). Ofrece una tabla que se actualiza periódicamente en la que cada servicio se clasifica del 1 al 7 en función del nivel de seguridad de los datos frente a posibles pirateos.
Los chats secretos de Telegram que utilizan cifrado de extremo a extremo (E2E) tienen la máxima puntuación igual a 7, y la de la conversación estándar por defecto es igual a 4. En la medida en que los chats estándar dejan rastros en los servidores de la compañía, se considera que están potencialmente disponibles para el fisgoneo de terceros.
Hasta hace muy poco, los mensajeros WhatsApp y Viber no eran altos en la calificación de la FEP - para ser más exactos, sus tasas eran iguales a nada más que 2 puntuaciones. Fue la influencia competitiva de Telegram la que hizo que estas compañías revisaran su política de seguridad. En este sentido, se decidió implementar el principio de cifrado de extremo a extremo, que se han convertido en uno por defecto desde 2016 y permitió obtener 6 puntos según la EFF. Su esencia consiste en almacenar las claves necesarias para el cifrado de los mensajes utilizando un único dispositivo. De este modo, es necesario tener acceso físico a un smartphone para acceder a la información.
Surge la pregunta: si este servicio fundado por Pavel Durov se autoproclama como el mensajero más seguro, ¿por qué no hacer que todos los chats sean secretos por defecto, lo que contribuiría a establecer una ventaja en la clasificación de EFF? La cuestión es que el cifrado E2E tiene algún fallo: la conversación secreta sólo está disponible en un dispositivo concreto, por lo que su historial también se almacena sólo en un dispositivo. La política de la empresa es mantener las opciones abiertas para los usuarios, ya que el modo por defecto permite evaluar la cuenta desde cualquier dispositivo.
Encriptación de telegramas basada en MTProto
El protocolo MTProto utiliza dos capas de cifrado que son servidor-servidor y cliente-servidor. Su funcionamiento se basa en los siguientes algoritmos:
;
AES es un algoritmo simétrico de 256 bits establecido por el gobierno de EE.UU. como estándar.
RSA es un algoritmo de cifrado simétrico de 256 bits establecido por el gobierno de EE.UU. como estándar.
RSA es un algoritmo criptográfico basado en la complejidad computacional del problema de factorización de enteros.
El método Diffie Hellman permite a dos o más interlocutores obtener una clave secreta a través de un canal que se puede oler pero que es a prueba de falsificaciones.
SHA-1 y MD5 son algoritmos hash utilizados en muchos protocolos criptográficos y aplicaciones para el hash seguro.
A diferencia del protocolo Double Ratchet, utilizado por WhatsApp y que ya ha logrado obtener la aprobación de conocidos expertos en seguridad de la información, los desarrolladores de MTProto no tienen ninguna prisa en poner su producto a disposición de una auditoría independiente. Por un lado, esto hace que el algoritmo sea pirateable, pero por otro lado, actualmente no se ha registrado ninguna acción con éxito que haya dado como resultado el descifrado de mensajes.
Los fundadores del mensajero declaran una garantía de seguridad en cuanto a la transmisión de datos cifrados. Para confirmar sus palabras, Pavel Durov organiza de vez en cuando concursos en los que se ofrece a los concursantes descifrar una conversación entre dos partes. El premio asciende a 200.000 dólares, pero ningún hacker ha conseguido aún leer los mensajes cifrados. Es justo decir que muchos expertos se muestran bastante escépticos ante este tipo de concursos, considerándolos más un truco publicitario que una prueba real de la seguridad de los sistemas.
Probabilidad de violación de cuenta
Aunque sea un axioma que MTProto tiene los mejores parámetros de seguridad entre los mensajeros modernos, los intrusos todavía son capaces de romper la cuenta de un usuario. Al mismo tiempo, el protocolo en sí no tiene nada que ver con este problema.
La vulnerabilidad de seguridad reside en la técnica de autorización del usuario. El procedimiento dado se lleva a cabo utilizando un número de teléfono real en el que se envía un código de verificación de inicio de sesión a través de un mensaje de texto. Esta técnica de transferencia de datos se basa en la tecnología SS7 (Signaling System #7), que se desarrolló hace 40 años y tiene unos parámetros de seguridad débiles para los estándares actuales. En teoría, los intrusos pueden ser capaces de interceptar un código SMS y romper una cuenta. Cuando Telegram está en modo estándar, todos los mensajes se almacenan en sus servidores, por lo que los hackers pueden acceder a toda la conversación de un usuario concreto.
.
Los chats secretos son la clave de un problema. En caso de su uso, una conversación puede ser leída sólo proporcionando el robo de teléfono real, ya que todos los mensajes no se almacenan en el servidor, sino que se transmiten sólo entre dos dispositivos.
Los chats secretos de Telegram que utilizan cifrado de extremo a extremo (E2E) tienen la máxima puntuación igual a 7, y la de la conversación estándar por defecto es igual a 4. En la medida en que los chats estándar dejan rastros en los servidores de la compañía, se considera que están potencialmente disponibles para el fisgoneo de terceros.
Hasta hace muy poco, los mensajeros WhatsApp y Viber no eran altos en la calificación de la FEP - para ser más exactos, sus tasas eran iguales a nada más que 2 puntuaciones. Fue la influencia competitiva de Telegram la que hizo que estas compañías revisaran su política de seguridad. En este sentido, se decidió implementar el principio de cifrado de extremo a extremo, que se han convertido en uno por defecto desde 2016 y permitió obtener 6 puntos según la EFF. Su esencia consiste en almacenar las claves necesarias para el cifrado de los mensajes utilizando un único dispositivo. De este modo, es necesario tener acceso físico a un smartphone para acceder a la información.
Surge la pregunta: si este servicio fundado por Pavel Durov se autoproclama como el mensajero más seguro, ¿por qué no hacer que todos los chats sean secretos por defecto, lo que contribuiría a establecer una ventaja en la clasificación de EFF? La cuestión es que el cifrado E2E tiene algún fallo: la conversación secreta sólo está disponible en un dispositivo concreto, por lo que su historial también se almacena sólo en un dispositivo. La política de la empresa es mantener las opciones abiertas para los usuarios, ya que el modo por defecto permite evaluar la cuenta desde cualquier dispositivo.
La vulnerabilidad de seguridad reside en la técnica de autorización del usuario. El procedimiento dado se lleva a cabo utilizando un número de teléfono real en el que se envía un código de verificación de inicio de sesión a través de un mensaje de texto. Esta técnica de transferencia de datos se basa en la tecnología SS7 (Signaling System #7), que se desarrolló hace 40 años y tiene unos parámetros de seguridad débiles para los estándares actuales. En teoría, los intrusos pueden ser capaces de interceptar un código SMS y romper una cuenta. Cuando Telegram está en modo estándar, todos los mensajes se almacenan en sus servidores, por lo que los hackers pueden acceder a toda la conversación de un usuario concreto.
.
Los chats secretos son la clave de un problema. En caso de su uso, una conversación puede ser leída sólo proporcionando el robo de teléfono real, ya que todos los mensajes no se almacenan en el servidor, sino que se transmiten sólo entre dos dispositivos.
