1. 麦妖榜首页
  2. 技术

密码学专家揭示Telegram Passport中的安全问题

密码学专家揭示Telegram Passport中的安全问题

暴走时评:Telegram Passport是Telegram上个月引入的最新功能,允许用户上传个人身份证件,如护照,身份证和驾驶执照,存储在Telegram云中。这些文件都是加密的,以便用户可以在不泄露其个人数据的情况下,在第三方服务上验证身份。然而,Virgil公司认为这个功能根本不安全。Telegram使用了安全系数很低的安全散列算法2(SHA-512),代码中存在的漏洞使用户容易受到黑客的攻击。

翻译:Miranda

加密服务提供商Virgil Security, Inc.发布了一份报告,引起了人们对Telegram Passport安全性的担忧。

Telegram Passport是Telegram上个月引入的最新功能,允许用户上传个人身份证件,如护照,身份证和驾驶执照,以存储在Telegram云中。这些文件都是加密的,以便用户可以在不泄露其个人数据的情况下,在第三方服务上验证身份。

然而,Virgil公司认为这个功能根本不安全。

首先,Telegram使用安全散列算法2(SHA-512),在加密方面很弱。Virgil公司解释说,为了保护密码,黑客应该花更多的时间来猜测每个密码。

“现在是2018年,一个顶级GPU可以每秒强力检查约15亿个SHA-512哈希值。”

Salting是一种在密码中包含随机数据的方法;然而,即便这样也无助于SHA-512的情况。只有复杂的密码才能保证用户的账户免受黑客攻击。

Virgil补充说,就业服务网站LinkedIn在2012年被黑客攻击,就因为它使用了SHA-2的前身SHA-1。那次黑客攻击暴露了800万LinkedIn用户的密码。次年,同样使用SHA-1的在线市场LivingSocial在类似的攻击中暴露了5000万个用户密码。因此,Telegram决定使用这种弱密码保护系统是令人惊讶的。

其次,Telegram称会对用户数据进行加密,然后将其发送到云端。然后对数据进行解密和重新加密,以确认用户在第三方服务上的身份。获得的数据不是完全随机的,并再次使用SHA-2。

Telegram在其官方博客文章中写道,这项服务是端到端加密的,只使用了用户知道的密码。然而,代码中存在的漏洞使用户容易受到黑客的攻击。Virgil公司提供了一些替代方案包括SCrypt,BCrypt,Argon2,BrainKey和Pythia。

2016年8月,黑客揭露了1500万伊朗Telegram用户的电话号码。当时,是因为客户使用了SMS完成用户认证过程的系统。由于Telegram Passport有敏感信息,因此这可能已成为黑客的目标。现在Telegram正处理这种情况并提高安全性。

本文由用户:麦妖榜 发布,不代表网站的立场,转转请注明出处:http://www.maiyaotop.com/tech/1096.html

发表评论

登录后才能评论