E
пусть два чела из мит объяснят какое отноешние паблик кей сервера имеет в е2е общении Алисы и Боба?
Size: a a a
2020 January 05
E
вот то, что Алиса и Боб менять ключи могли бы чаще - это да, там вроде что-то типа каждые 100 мессаг вроде
E
PFS
M
Ну они там даже эксплойт изготовили) Правда это было в 2017м. Может сейчас что то и поменялось
E
MaxGraey
Ну они там даже эксплойт изготовили) Правда это было в 2017м. Может сейчас что то и поменялось
где?
M
E
они перечислили:
1) то что я выше упомянул - слабость куэр кода (фингерпринта ключа) что в теории можно подобрать другой паблик кей, который будет выглядить так же, но там нужны бешенные мощности чтобы это сделать до того, как юзеры их синхронизируют между собой — решается просто усложнением картинки (но тогда сложнее визуально сравнивать ключи)
2) про подмешивание соли сервера в формулу DH — это косяк, да. но его выявили буквально сразу (на хабре еще статья была) и убрали соль. Телеговцы утверждали что соль была нужна чтобы усилить слабый рандом некоторых девайсов (но возможно это был намеренный бэкдор, но я сомневаюсь)
3) придирки к SHA1 левые совсем, они не используется в секурити критикал местах
1) то что я выше упомянул - слабость куэр кода (фингерпринта ключа) что в теории можно подобрать другой паблик кей, который будет выглядить так же, но там нужны бешенные мощности чтобы это сделать до того, как юзеры их синхронизируют между собой — решается просто усложнением картинки (но тогда сложнее визуально сравнивать ключи)
2) про подмешивание соли сервера в формулу DH — это косяк, да. но его выявили буквально сразу (на хабре еще статья была) и убрали соль. Телеговцы утверждали что соль была нужна чтобы усилить слабый рандом некоторых девайсов (но возможно это был намеренный бэкдор, но я сомневаюсь)
3) придирки к SHA1 левые совсем, они не используется в секурити критикал местах
E
MaxGraey
ну короче ничего серьезного не нашли, только "modified DH" что нашли при первом же конкурсе Дурова на взлом протокола
M
Вообще использовать Diffie-Hellman это зашквар
https://arstechnica.com/information-technology/2016/10/how-the-nsa-could-put-undetectable-trapdoors-in-millions-of-crypto-keys/
https://arstechnica.com/information-technology/2016/10/how-the-nsa-could-put-undetectable-trapdoors-in-millions-of-crypto-keys/
E
причем нашли не эти поцанчики, они просто списали
E
MaxGraey
Вообще использовать Diffie-Hellman это зашквар
https://arstechnica.com/information-technology/2016/10/how-the-nsa-could-put-undetectable-trapdoors-in-millions-of-crypto-keys/
https://arstechnica.com/information-technology/2016/10/how-the-nsa-could-put-undetectable-trapdoors-in-millions-of-crypto-keys/
> The researchers were able to break one of these weakened 1,024-bit primes in slightly more than two months using an academic computing cluster of 2,000 to 3,000 CPUs.
лол, любая реализаций е2е за этот срок 10 раз ключи сменит. Я молчу уже про 2048битные ключи
лол, любая реализаций е2е за этот срок 10 раз ключи сменит. Я молчу уже про 2048битные ключи
E
Единственное за что можно клюнуть телегу - так это за то, что е2е надо включать, а не доступно по дефолту всегда
M
> The researchers were able to break one of these weakened 1,024-bit primes in slightly more than two months using an academic computing cluster of 2,000 to 3,000 CPUs.
лол, любая реализаций е2е за этот срок 10 раз ключи сменит. Я молчу уже про 2048битные ключи
лол, любая реализаций е2е за этот срок 10 раз ключи сменит. Я молчу уже про 2048битные ключи
The Logjam authors speculate that precomputation against widely reused 1024-bit DH primes is behind claims in leaked NSA documents that NSA is able to break much of current cryptography.[3]
E
остольные отчеты об анализе — это лабы студентов, которые гоняют из пустого в порожное :)
E
MaxGraey
The Logjam authors speculate that precomputation against widely reused 1024-bit DH primes is behind claims in leaked NSA documents that NSA is able to break much of current cryptography.[3]
для этого находят новые праймы 😊
M
для этого находят новые праймы 😊
Да, только у телеграма эти праймы захардкожены были как и весь алгоритм, не знаю как сейчас)
E
MaxGraey
Да, только у телеграма эти праймы захардкожены были как и весь алгоритм, не знаю как сейчас)
не, там другое было, захардкожены некоторые well known чтобы сократить время на слабых мобилах
E
ну вернее захардкожена валидация
E
IsPrime
E
я участвовал в двух конкурсах телеграма, и разбирал Signal апп, так что я уже много собак на этом съел :)