Realisasi proses enkripsi data Telegram dan perbedaannya dengan aplikasi pesan lainnya
2016-09-26 20:15:02
Dalam:
Terlepas dari kenyataan bahwa messenger yang dirancang oleh Pavel Durov ini diluncurkan jauh setelah pesaing utamanya seperti WhatsApp dan Viber, tidak butuh waktu lama untuk mendapatkan reputasi sebagai salah satu layanan yang paling aman. Enkripsi Telegram berdasarkan protokol MTProto layanan ini memungkinkan untuk membuat aplikasi yang menjaga pesan Anda tetap aman dari peretasan, sehingga membuat messenger ini populer di seluruh dunia.
Penilaian keamanan
Keamanan komunikasi virtual ditentukan oleh peringkat Electronic Frontier Foundation (EFF). EFF menyediakan tabel yang diperbarui secara berkala di mana setiap layanan diberi peringkat dari 1 hingga 7 tergantung pada tingkat keamanan data dari potensi peretasan.
;
Obrolan rahasia Telegram yang menggunakan enkripsi end-to-end (E2E) memiliki nilai maksimum sebesar 7, dan percakapan standar standar sebesar 4. Sejauh obrolan standar meninggalkan jejak di server perusahaan, mereka dianggap berpotensi untuk diintip oleh pihak ketiga.
;
Hingga baru-baru ini, aplikasi perpesanan WhatsApp dan Viber tidak memiliki peringkat EFF yang tinggi - lebih tepatnya, nilainya tidak lebih dari 2. Pengaruh kompetitif dari Telegram yang membuat perusahaan-perusahaan ini meninjau ulang kebijakan keamanan mereka. Dalam hal ini, diputuskan untuk menerapkan prinsip enkripsi end-to-end, yang telah menjadi standar sejak tahun 2016 dan memungkinkan mendapatkan 6 poin menurut EFF. Esensinya terdiri dari penyimpanan kunci yang diperlukan untuk enkripsi pesan hanya dengan menggunakan satu perangkat. Dengan cara seperti itu, Anda perlu memiliki akses fisik ke smartphone untuk mendapatkan informasi.
Dan itu tidak mudah;
Timbul pertanyaan: jika layanan yang didirikan oleh Pavel Durov ini mengklaim dirinya sebagai messenger paling aman, mengapa tidak menjadikan semua obrolan rahasia sebagai default yang akan berkontribusi untuk membangun keunggulan dalam peringkat EFF? Intinya adalah bahwa enkripsi E2E memiliki beberapa kekurangan - percakapan rahasia hanya tersedia pada perangkat tertentu, jadi riwayatnya hanya disimpan pada satu perangkat juga. Merupakan kebijakan perusahaan untuk tetap membuka opsi bagi pengguna, karena mode default memungkinkan Anda untuk menilai akun Anda dari perangkat apa pun.
Enkripsi Telegram berdasarkan MTProto
Protokol MTProto menggunakan dua lapisan enkripsi yaitu server-server dan klien-server. Pengoperasiannya didasarkan pada algoritma berikut:
AES adalah algoritma 256-bit simetris yang ditetapkan oleh pemerintah A.S. sebagai standar.
RSA adalah algoritme kriptografi yang didasarkan pada kompleksitas komputasi dari masalah faktorisasi bilangan bulat.
Metode Diffie Hellman memungkinkan dua atau lebih mitra percakapan untuk mendapatkan kunci rahasia melalui saluran yang dapat diendus tetapi tidak dapat dipalsukan.
SHA-1 dan MD5 adalah algoritma hash yang digunakan di banyak protokol kriptografi dan aplikasi untuk hashing yang aman.
Berbeda dengan protokol Double Ratchet, yang digunakan oleh WhatsApp dan telah berhasil mendapatkan persetujuan dari para ahli keamanan informasi yang terkenal, pengembang MTProto tidak terburu-buru untuk membuat produk mereka tersedia untuk audit independen. Di satu sisi, hal ini membuat algoritmanya dapat diretas, tetapi di sisi lain, tidak ada tindakan yang berhasil menghasilkan dekripsi pesan yang saat ini terdaftar.
Pendiri messenger menyatakan jaminan keamanan terkait transmisi data terenkripsi. Untuk mengkonfirmasi kata-katanya, Pavel Durov kadang-kadang mengadakan kontes di mana para pesaing ditawarkan untuk mendekripsi percakapan antara dua pihak. Hadiah uang sebesar $200.000 tetapi belum ada peretas yang berhasil membaca pesan terenkripsi. Cukup adil untuk mengatakan bahwa banyak ahli yang cukup skeptis tentang kontes semacam itu, menganggapnya lebih sebagai aksi publisitas daripada bukti nyata dari keamanan sistem.
;
Kemungkinan pembobolan akun
Bahkan jika kita meletakkannya sebagai sebuah aksioma bahwa MTProto sebenarnya memiliki parameter keamanan terbaik di antara para pengirim pesan modern, para penyusup masih dapat membobol akun pengguna. Pada saat yang sama, protokol itu sendiri tidak ada hubungannya dengan masalah ini.
Kesimpulannya;
Kerentanan keamanan terletak pada teknik otorisasi pengguna. Prosedur yang diberikan dilakukan dengan menggunakan nomor telepon asli di mana kode verifikasi login dikirim melalui pesan teks. Teknik transfer data ini didasarkan pada teknologi SS7 (Signaling System #7), yang dikembangkan 40 tahun yang lalu dan memiliki parameter keamanan yang lemah menurut standar saat ini. Secara teori, para penyusup mungkin dapat mencegat kode SMS dan membobol akun. Ketika Telegram dalam mode standar, semua pesan disimpan di servernya, sehingga peretas bisa mendapatkan akses ke seluruh percakapan pengguna tertentu.
Telegram juga bisa digunakan untuk mengirim dan menerima pesan;
Obrolan rahasia adalah kunci dari sebuah masalah. Dalam kasus penggunaannya, percakapan hanya dapat dibaca dengan menyediakan pencurian telepon yang nyata, karena semua pesan tidak disimpan di server tetapi hanya dikirim antara dua perangkat.
Obrolan rahasia Telegram yang menggunakan enkripsi end-to-end (E2E) memiliki nilai maksimum sebesar 7, dan percakapan standar standar sebesar 4. Sejauh obrolan standar meninggalkan jejak di server perusahaan, mereka dianggap berpotensi untuk diintip oleh pihak ketiga.
;
Hingga baru-baru ini, aplikasi perpesanan WhatsApp dan Viber tidak memiliki peringkat EFF yang tinggi - lebih tepatnya, nilainya tidak lebih dari 2. Pengaruh kompetitif dari Telegram yang membuat perusahaan-perusahaan ini meninjau ulang kebijakan keamanan mereka. Dalam hal ini, diputuskan untuk menerapkan prinsip enkripsi end-to-end, yang telah menjadi standar sejak tahun 2016 dan memungkinkan mendapatkan 6 poin menurut EFF. Esensinya terdiri dari penyimpanan kunci yang diperlukan untuk enkripsi pesan hanya dengan menggunakan satu perangkat. Dengan cara seperti itu, Anda perlu memiliki akses fisik ke smartphone untuk mendapatkan informasi.
Dan itu tidak mudah;
Timbul pertanyaan: jika layanan yang didirikan oleh Pavel Durov ini mengklaim dirinya sebagai messenger paling aman, mengapa tidak menjadikan semua obrolan rahasia sebagai default yang akan berkontribusi untuk membangun keunggulan dalam peringkat EFF? Intinya adalah bahwa enkripsi E2E memiliki beberapa kekurangan - percakapan rahasia hanya tersedia pada perangkat tertentu, jadi riwayatnya hanya disimpan pada satu perangkat juga. Merupakan kebijakan perusahaan untuk tetap membuka opsi bagi pengguna, karena mode default memungkinkan Anda untuk menilai akun Anda dari perangkat apa pun.
Kerentanan keamanan terletak pada teknik otorisasi pengguna. Prosedur yang diberikan dilakukan dengan menggunakan nomor telepon asli di mana kode verifikasi login dikirim melalui pesan teks. Teknik transfer data ini didasarkan pada teknologi SS7 (Signaling System #7), yang dikembangkan 40 tahun yang lalu dan memiliki parameter keamanan yang lemah menurut standar saat ini. Secara teori, para penyusup mungkin dapat mencegat kode SMS dan membobol akun. Ketika Telegram dalam mode standar, semua pesan disimpan di servernya, sehingga peretas bisa mendapatkan akses ke seluruh percakapan pengguna tertentu.
Telegram juga bisa digunakan untuk mengirim dan menerima pesan;
Obrolan rahasia adalah kunci dari sebuah masalah. Dalam kasus penggunaannya, percakapan hanya dapat dibaca dengan menyediakan pencurian telepon yang nyata, karena semua pesan tidak disimpan di server tetapi hanya dikirim antara dua perangkat.
