Telegram Anonim: kebenaran tentang keamanan komunikasi virtual
2016-10-18 19:39:07
Dalam:
Apakah mungkin untuk memastikan anonimitas komunikasi yang mutlak saat ini? Masalah ini menjadi semakin hangat setelah pengungkapan Snowden. Ini adalah konsep keamanan yang selalu diingat oleh Pavel Durov ketika menciptakan anonymous Telegram dengan saudaranya Nikolai. Menurut pernyataan yang dibuat oleh pengembangnya, messenger yang diberikan mampu memberikan keamanan baik dari peretas biasa maupun tindakan badan intelijen pemerintah. Tetapi apakah itu keadaan yang sebenarnya? Mari kita cari tahu di bawah ini.
Informasi dasar;
Parameter keamanan informasi dasar
Aplikasi ini didasarkan pada pengembangan inovatif - yaitu protokol MTProto yang melibatkan penggunaan beberapa protokol enkripsi. Algoritme berikut ini digunakan untuk keamanan data:
DH-2048, RSA-2048 (untuk otorisasi dan autentikasi);
AES (untuk pesan yang diteruskan);
SHA-1, MD5 (algoritma hash kriptografi).
Selama pengiriman pesan, enkripsi dilakukan dengan menggunakan algoritma AES dengan kunci yang diketahui oleh klien dan server. Pada saat yang sama, perlindungan dari penyadapan pesan oleh server dipastikan hanya dalam mode Telegram anonim khusus yang disebut Obrolan Rahasia di mana para peserta memiliki kunci umum yang hanya diketahui oleh mereka. Berbeda dengan mode standar, enkripsi End-to-End meniadakan kemungkinan dekripsi pesan dan riwayat percakapan hanya disimpan di perangkat pengguna.
Penyelenggaraan kontes mencari kelemahan
Sejak utusan anonim ini memasuki pasar (Agustus 2013), para pengembangnya dan Pavel Durov secara khusus telah mulai mengorganisir kontes di antara para ahli kriptografi untuk mengungkapkan kelemahan keamanan.
;
Proyek pertama dari jenisnya berlangsung pada akhir 2013. Tugas para kontestan terdiri dari mendekripsi percakapan Pavel Durov dan saudaranya dalam sebuah obrolan rahasia dengan menggunakan pertukaran data terenkripsi antara server dan aplikasi. Hanya dalam beberapa hari setelah kontes dimulai, salah satu peserta berhasil menemukan kelemahan sistem. Intinya adalah bahwa seorang pengguna menerima parameter untuk sebuah kunci dari server tanpa verifikasi. Bug tersebut mengurangi integritas kriptografi dan memungkinkan untuk mengeksekusi serangan MITM yang tersembunyi. Meskipun orang tersebut gagal mendekripsi percakapan antara Pavel dan Nikolai, dia dibayar setengah dari biaya, khususnya 100 ribu dolar.
"Dia tidak akan pernah bisa membongkarnya.
Terlepas dari keramahan para pengembang dan usaha mereka untuk mengungkap kelemahan keamanan dengan upaya gabungan, banyak ahli yang skeptis dengan kontes semacam itu. Tidak adanya pemenang belum menjadi jaminan keamanan mutlak, karena syarat-syaratnya ditentukan oleh pengembang tetapi analisisnya sering dilakukan oleh orang yang acak. Selain itu, 200 ribu dolar adalah jumlah uang yang kecil untuk para ahli kriptografi, sehingga tidak mungkin perwakilan terbaik ikut serta dalam kontes tersebut.
Apakah Telegram anonim memungkinkan untuk memastikan keamanan komunikasi yang lengkap?
Argumen asas penentang aplikasi yang diberikan adalah mengikat pengguna ke nombor telefonnya. Pertanyaan yang dipermasalahkan adalah apakah utusan ini dapat dianggap anonim jika server berisi data telepon yang dapat memberi tahu hampir semua hal tentang seseorang, termasuk informasi berikut:
nama lengkap;
koordinat geografis yang tepat;
kontak;
data pribadi, dll.
Otentikasi dilakukan melalui pesan teks yang mencantumkan kode verifikasi login satu kali. Tidak adanya kata sandi bahkan lebih mengkhawatirkan. Dengan kata lain, pengguna cukup memasukkan kode dari pesan untuk masuk. Layanan ini dicirikan oleh banyak algoritme enkripsi yang rumit tetapi tidak memiliki kata sandi dasar. Dengan demikian, dimungkinkan untuk masuk ke akun klien melalui penyadapan pesan teks (yang bukan merupakan masalah yang sangat sulit bagi badan-badan intelijen).
;
Tentunya, penyimpanan informasi pada platform server AS yang terlindungi memberikan jaminan bagi para pengguna. Namun, fakta bahwa informasi pribadi klien dapat tersedia untuk pihak ketiga bertentangan dengan gagasan anonimitas absolut. Selain itu, kejadian baru-baru ini di Amerika Serikat (ketika akun email milik Hillary Clinton, seorang calon presiden, diretas karena serangan peretasan) menunjukkan kerentanan sistem keamanan komputer modern.
;
Kesimpulan
Tidak diragukan lagi, Telegram memiliki algoritma enkripsi yang rumit yang memungkinkan tercapainya tingkat keamanan data yang tinggi saat berkomunikasi dalam mode obrolan rahasia. Pada saat yang sama, pengikatan nomor telepon tidak memungkinkan untuk berbicara tentang keamanan absolut dan mengonfirmasi bahwa informasi tidak akan dapat diakses oleh pihak ketiga sebagai akibat dari serangan peretasan.
;
Singkatnya: apakah layak menggunakan aplikasi yang diberikan? Ini adalah varian yang sempurna bagi para pengguna yang ingin mendapatkan layanan yang cepat dan nyaman untuk tujuan komunikasi pribadi. Namun, ketika berbicara tentang orang-orang dengan kerangka berpikir paranoid yang ingin memastikan keamanan percakapan dan data pribadi yang mutlak, Telegram tidak dapat menjamin hal ini. Ini adalah masalah lain bahwa keberadaan messenger lain yang memberikan jaminan seperti itu masih diragukan saat ini.
Selama pengiriman pesan, enkripsi dilakukan dengan menggunakan algoritma AES dengan kunci yang diketahui oleh klien dan server. Pada saat yang sama, perlindungan dari penyadapan pesan oleh server dipastikan hanya dalam mode Telegram anonim khusus yang disebut Obrolan Rahasia di mana para peserta memiliki kunci umum yang hanya diketahui oleh mereka. Berbeda dengan mode standar, enkripsi End-to-End meniadakan kemungkinan dekripsi pesan dan riwayat percakapan hanya disimpan di perangkat pengguna.
Terlepas dari keramahan para pengembang dan usaha mereka untuk mengungkap kelemahan keamanan dengan upaya gabungan, banyak ahli yang skeptis dengan kontes semacam itu. Tidak adanya pemenang belum menjadi jaminan keamanan mutlak, karena syarat-syaratnya ditentukan oleh pengembang tetapi analisisnya sering dilakukan oleh orang yang acak. Selain itu, 200 ribu dolar adalah jumlah uang yang kecil untuk para ahli kriptografi, sehingga tidak mungkin perwakilan terbaik ikut serta dalam kontes tersebut.
Otentikasi dilakukan melalui pesan teks yang mencantumkan kode verifikasi login satu kali. Tidak adanya kata sandi bahkan lebih mengkhawatirkan. Dengan kata lain, pengguna cukup memasukkan kode dari pesan untuk masuk. Layanan ini dicirikan oleh banyak algoritme enkripsi yang rumit tetapi tidak memiliki kata sandi dasar. Dengan demikian, dimungkinkan untuk masuk ke akun klien melalui penyadapan pesan teks (yang bukan merupakan masalah yang sangat sulit bagi badan-badan intelijen).
;
Tentunya, penyimpanan informasi pada platform server AS yang terlindungi memberikan jaminan bagi para pengguna. Namun, fakta bahwa informasi pribadi klien dapat tersedia untuk pihak ketiga bertentangan dengan gagasan anonimitas absolut. Selain itu, kejadian baru-baru ini di Amerika Serikat (ketika akun email milik Hillary Clinton, seorang calon presiden, diretas karena serangan peretasan) menunjukkan kerentanan sistem keamanan komputer modern.
;
Singkatnya: apakah layak menggunakan aplikasi yang diberikan? Ini adalah varian yang sempurna bagi para pengguna yang ingin mendapatkan layanan yang cepat dan nyaman untuk tujuan komunikasi pribadi. Namun, ketika berbicara tentang orang-orang dengan kerangka berpikir paranoid yang ingin memastikan keamanan percakapan dan data pribadi yang mutlak, Telegram tidak dapat menjamin hal ini. Ini adalah masalah lain bahwa keberadaan messenger lain yang memberikan jaminan seperti itu masih diragukan saat ini.
