A realização do processo de encriptação de dados do Telegram e a sua diferença em relação a outros mensageiros
2016-09-26 20:15:02
Em:
Apesar do facto de o mensageiro concebido por Pavel Durov ter sido lançado muito depois dos seus principais concorrentes, como o WhatsApp e o Viber, não demorou muito tempo a adquirir a reputação de um dos serviços mais seguros. A encriptação do Telegram baseada no protocolo MTProto do serviço tornou possível criar uma aplicação que mantém as suas mensagens a salvo de pirataria informática, tornando assim este mensageiro popular em todo o mundo.
Classificação de segurança
A segurança da comunicação virtual é determinada pela classificação da Electronic Frontier Foundation (EFF). Esta fornece uma tabela actualizada regularmente, na qual cada serviço é classificado de 1 a 7, dependendo do nível de segurança dos dados contra potenciais piratarias.
As conversas secretas do Telegram que utilizam a encriptação de ponta-a-ponta (E2E) têm uma pontuação máxima igual a 7, e a da conversa padrão por defeito é igual a 4. Na medida em que as conversas padrão deixam vestígios nos servidores da empresa, considera-se que estão potencialmente disponíveis para serem espiadas por terceiros.
Até há pouco tempo, os mensageiros WhatsApp e Viber não tinham uma classificação elevada na EFF - para ser mais exato, as suas classificações eram iguais a nada mais do que 2. Foi a influência competitiva do Telegram que fez com que estas empresas revissem a sua política de segurança. A este respeito, foi decidido implementar o princípio da encriptação de ponta a ponta, que se tornou padrão desde 2016 e permitiu obter 6 pontos de acordo com a EFF. A sua essência consiste em armazenar as chaves necessárias para a encriptação de mensagens utilizando apenas um dispositivo. Desta forma, é necessário ter acesso físico a um smartphone para aceder às informações.
Coloca-se a questão: se este serviço fundado por Pavel Durov se considera o mensageiro mais seguro, porque não tornar todas as conversas secretas por defeito, o que contribuirá para estabelecer uma liderança na classificação EFF? A questão é que a encriptação E2E tem algumas falhas - a conversa secreta só está disponível num determinado dispositivo, pelo que o seu histórico também só é armazenado num dispositivo. A política da empresa é manter as opções em aberto para os utilizadores, uma vez que o modo predefinido permite avaliar a conta a partir de qualquer dispositivo.
Criptografia de telegramas baseada no MTProto
O protocolo MTProto utiliza duas camadas de encriptação que são servidor-servidor e cliente-servidor. O seu funcionamento baseia-se nos seguintes algoritmos:
AES é um algoritmo simétrico de 256 bits estabelecido pelo governo dos EUA como um padrão.
RSA é um algoritmo criptográfico baseado na complexidade computacional do problema de factorização de números inteiros.
O método Difie Hellman permite que dois ou mais parceiros de conversação obtenham uma chave secreta através de um canal farejável, mas à prova de falsificação.
SHA-1 e MD5 são algoritmos de hash usados em muitos protocolos criptográficos e aplicações para hashing seguro.
Ao contrário do protocolo Double Ratchet, que é usado pelo WhatsApp e já conseguiu obter a aprovação dos conhecidos especialistas em segurança da informação, os desenvolvedores do MTProto não têm pressa em disponibilizar seu produto para auditoria independente. Por um lado, torna o algoritmo pirateável, mas, por outro, não foi registada qualquer ação bem sucedida que resultasse na desencriptação de mensagens.
Os fundadores do messenger declaram uma garantia de segurança relativamente à transmissão de dados encriptados. Para confirmar as suas palavras, Pavel Durov organiza ocasionalmente concursos em que é proposto aos concorrentes decifrar uma conversa entre duas partes. O prémio monetário é de 200 000 dólares, mas nenhum hacker conseguiu ainda ler as mensagens encriptadas. É justo dizer que muitos especialistas são suficientemente cépticos em relação a estes concursos, considerando-os mais um golpe publicitário do que uma prova real da segurança do sistema.
Probabilidade de violação de conta
Mesmo que se estabeleça como axioma que o MTProto tem realmente os melhores parâmetros de segurança entre os mensageiros modernos, os intrusos ainda são capazes de quebrar a conta de um usuário. Ao mesmo tempo, o protocolo em si não tem nada a ver com este problema.
A vulnerabilidade de segurança reside na técnica de autorização do utilizador. O procedimento em causa é efectuado através de um número de telefone real, sendo enviado um código de verificação de início de sessão por mensagem de texto. Esta técnica de transferência de dados baseia-se na tecnologia SS7 (Signaling System #7), que foi desenvolvida há 40 anos e tem parâmetros de segurança fracos para os padrões actuais. Em teoria, os intrusos podem ser capazes de intercetar um código SMS e quebrar uma conta. Quando o Telegram está em modo normal, todas as mensagens são armazenadas nos seus servidores, pelo que os hackers podem ter acesso a toda a conversa de um determinado utilizador.
As conversas secretas são a chave para um problema. No caso da sua utilização, uma conversa só pode ser lida mediante o roubo de um telefone real, uma vez que todas as mensagens não são armazenadas no servidor, mas apenas transmitidas entre dois dispositivos.
As conversas secretas do Telegram que utilizam a encriptação de ponta-a-ponta (E2E) têm uma pontuação máxima igual a 7, e a da conversa padrão por defeito é igual a 4. Na medida em que as conversas padrão deixam vestígios nos servidores da empresa, considera-se que estão potencialmente disponíveis para serem espiadas por terceiros.
Até há pouco tempo, os mensageiros WhatsApp e Viber não tinham uma classificação elevada na EFF - para ser mais exato, as suas classificações eram iguais a nada mais do que 2. Foi a influência competitiva do Telegram que fez com que estas empresas revissem a sua política de segurança. A este respeito, foi decidido implementar o princípio da encriptação de ponta a ponta, que se tornou padrão desde 2016 e permitiu obter 6 pontos de acordo com a EFF. A sua essência consiste em armazenar as chaves necessárias para a encriptação de mensagens utilizando apenas um dispositivo. Desta forma, é necessário ter acesso físico a um smartphone para aceder às informações.
Coloca-se a questão: se este serviço fundado por Pavel Durov se considera o mensageiro mais seguro, porque não tornar todas as conversas secretas por defeito, o que contribuirá para estabelecer uma liderança na classificação EFF? A questão é que a encriptação E2E tem algumas falhas - a conversa secreta só está disponível num determinado dispositivo, pelo que o seu histórico também só é armazenado num dispositivo. A política da empresa é manter as opções em aberto para os utilizadores, uma vez que o modo predefinido permite avaliar a conta a partir de qualquer dispositivo.
A vulnerabilidade de segurança reside na técnica de autorização do utilizador. O procedimento em causa é efectuado através de um número de telefone real, sendo enviado um código de verificação de início de sessão por mensagem de texto. Esta técnica de transferência de dados baseia-se na tecnologia SS7 (Signaling System #7), que foi desenvolvida há 40 anos e tem parâmetros de segurança fracos para os padrões actuais. Em teoria, os intrusos podem ser capazes de intercetar um código SMS e quebrar uma conta. Quando o Telegram está em modo normal, todas as mensagens são armazenadas nos seus servidores, pelo que os hackers podem ter acesso a toda a conversa de um determinado utilizador.
As conversas secretas são a chave para um problema. No caso da sua utilização, uma conversa só pode ser lida mediante o roubo de um telefone real, uma vez que todas as mensagens não são armazenadas no servidor, mas apenas transmitidas entre dois dispositivos.
