Ответный вызов разработчикам Telegram

в 22:07, , рубрики: telegram, информационная безопасность, криптография

Об авторе: Moxie Marlinspike — хакер-исследователь, придумавший атаку SSL-stripping (и нашедший ещё полдюжины уязвимостей в SSL), разработчик системы Convergence, призванной заменить списки «доверенных сертификатов», а также со-основатель компании Whisper Systems, купленной Twitter в 2011 году.

На этой неделе некая компания под названием Telegram анонсировала «защищённый» мессенджер, называемый так же — Telegram. Насколько защищённый? Если верить их FAQ, "очень защищённый". Мне стало интересно, и я решил почитать их описание протокола. У меня тут же появились некоторые сомнения (как мягко сказано! а всего-то полчаса назад было «сначала я решил, что это Томас Пташек решил постебаться» — прим.пер.) Когда из них попытались вытянуть технические подробности, вместо ответа они начали перечислять учёные степени разработчиков. Кроме того, они отклонили все мои предложения о сотрудничестве.

Но это ещё не всё. Чтобы успокоить крипто-сообщество, они устроили… контест по взлому!

Проблема контестов по взлому

Как заметил Брюс Шнайер, такие вещи ничего хорошего не сулят. Правила контеста составлены таким образом, чтобы одурачить людей, заставив их поверить в безопасность Telegram. Хоть этот контест и ломаного гроша не стоит, они тут же сослались на него в своём FAQ как на доказательство нерушимой, абсолютной защищённости протокола.

Итак, господа разработчики Telegram, у меня тоже есть для вас контест. Ниже я описал непередаваемо ужасный «криптографический» протокол (который и секунды не продержится в боевых условиях), но который становится «невзламываемым» в условиях вашего контеста.

  1. Алиса генерирует случайное 32-битное число, super_secret, используя генератор случайных чисел с закладкой NSA.
  2. Алиса посылает сообщение Бобу с запросом его публичного ключа.
  3. Боб шлёт Алисе bob_public, 896-битный ключ RSA. Ничего не подписывается и не проверяется. Мы просто надеемся, что никто не додумается до man-in-the-middle.
  4. Алиса шифрует super_secret с помощью bob_public и посылает Бобу. Реализацию RSA, разумеется, она берёт из учебника. Пустое место забивается нулями, а не случайными битами, и e = 65537.
  5. Теперь Боб и Алиса вычисляют message_key = MD2(super_secret). Да здравствуют устаревшие алгоритмы!
  6. Алиса посылает своё зашифрованное сообщение Бобу. ciphertext = message xor message_key. XOR проверен временем, ему можно доверять.

Ну что ж? У нас есть дырявый протокол, использующий генератор случайных чисел с закладкой, слабую схему с открытым ключом, наихудший из хешей в качестве KDF, а само шифрование происходит с помощью надёжного криптографического алгоритма XOR. Если вам понадобится лог трафика переписки Алисы и Боба, он в конце поста.

Заметьте: условия контеста остаются прежними (никакого man-in-the-middle, никакая часть переписки не известна, махинации с трафиком невозможны, и т.д.) Если разработчики Telegram полагают, что их протокол лучше этого, я предлагаю им его взломать. Ну а если у них не получится, все поймут, чего на самом деле стоит их контест.

А теперь я обращаюсь ко всем остальным

Давайте сделаем всё как положено. TextSecure, открытый мессенджер, который мы разрабатываем в Open WhisperSystems, основан на схеме Axolotl ratchet, идеально подходящей для защищённых асинхронных коммуникаций. Кстати, наш алгоритм используется «под капотом» CyanofenMod. По сути, у нас уже на десять миллионов пользователей больше, чем у Telegram.

Присоединяйтесь к нам. Помогайте с разработкой, дизайном и написанием документации. Также вы можете помочь материально — собранные деньги пойдут на оплату труда тех, кто предпочёл писать код и документацию, а вы сможете точно узнать, на что были потрачены ваши деньги.

Чуть не забыл. Вот лог трафика, который я обещал:

Alice: 7075 626c 6963 206b 6579 2070 6c7a   
Bob  : 3081 8c30 0d06 092a 8648 86f7 0d01 0101  
       0500 037b 0030 7802 7100 acc3 ec17 9fea
       0d19 b29d f347 cc62 423c 02d9 e49b ba54
       b9a7 4cea 7c82 0f99 dcf1 c221 fca2 7882
       0b67 4c7e 8d67 b0e5 4a2b 8873 438d ef0b
       f5d1 6862 fecc ae0d 8736 5e69 cb5e 1346
       f612 49d2 e8ce 1463 8be0 8022 8ef2 01d9
       6917 6a03 19fc 2a03 ddad aad4 eb28 d655
       107c 52bf c1ae e800 a501 0203 0100 01	
Alice: 53ce e8e4 f6c4 b330 a6aa 0830 81f2 c5e3
       00b2 c3ac 0e54 7cee c9a6 be0e 7a54 9bf0
       dbf2 11c2 853a 8443 db72 4dcf 96ad bc9a
       9373 5f68 6a33 0f5b ea49 f40b 8324 3f8a
       168a 7d78 3e08 85a1 f774 7c6a 10f9 646c
       a13e d6c3 00b3 670a 2af3 d2d6 b153 20b2
       5b1c 2fd1 6599 989a 1938 2c18 1acf 68a5
Alice: 12a6 077f 4625 5523 c23b 2c43 e60f dd39

Автор: ArtyomKazak

Источник

* - обязательные к заполнению поля

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js