テレグラムは安全ですか?
Telegramという新しいWhatsApp-killerアプリケーションがあります。 オープンソース であり、さらに 安全な暗号化 であると彼らは言った。
しかし、彼らは すべてのメッセージを保存する をサーバーに、そして WhatsAppは保存しない どのサーバーにもメッセージを、電話のローカルコピーのみを保存します。
TL; DR:いいえ、 テレグラムは安全ではありません 。
WhatsAppはそれ自体を「安全な」メッセージングオプションとして宣伝しないため、WhatsAppとの比較は無視します。代わりに、テレグラムが安全であるかどうかに焦点を当てたいと思います。
Telegramのセキュリティは、自宅で紡がれた MTProto プロトコルを中心に構築されています。暗号化の最初のルールは Do n't Roll Your Own Crypto であることは誰もが知っています。 特に訓練を受けた暗号学者でない場合。テレグラムの人々はそうではありません。
Nikolai Durov率いるTelegramの背後にあるチームは、6人のACMチャンピオンで構成され、その半分は数学の博士号を取得しています。 MTProtoの現在のバージョンを展開するのに約2年かかりました。名前と学位は、実際には他の分野ほど意味がない場合がありますが、このプロトコルは専門家の途方もない長期にわたる仕事の結果です。
出典: https://news.ycombinator.com/item?id=691686
数学博士は暗号学者ではありません。彼らが発明したプロトコルには欠陥があります。 ここ はその理由を説明する素晴らしいブログ投稿です。それに加えて、Telegramは、プロトコルを破ることができるすべての人に報酬を提供する、とんでもない挑戦を出しました。彼らが設定した条件により、最もとんでもないほど弱いプロトコルでさえ破ることが困難になります。 Moxie Marlinspikeは素晴らしい ブログ投稿 チャレンジがばかげている理由を説明しています。
だから、違います。電報は決して安全ではありません。一般的に受け入れられている安全な定義については、Telegramが作成したものではありません。
電話で本物の安全な通信手段が必要な場合は、 Signal または WhatsApp (これは、この回答が最初に書かれて以来、エンドツーエンドのメッセージ暗号化にSignal Protocolを使用しています)。
[〜#〜]更新[〜#〜]
電報 [〜#〜] faq [〜#〜] が言及しているように、サーバーにチャットを保存しない「秘密のチャット」オプションがあります。
「チャットを保存するとセキュリティが低下しますか?」という根本的な問題については、それは考慮すべきことです。チャットがサーバーに保存されるということは、後で復号化するためにサーバーにコピーを作成できることを意味します。これにより、メッセージの露出が増加します。メッセージの暗号化は、メッセージの復号化に高いコストがかかることを意味しますが、それでもある程度の危険があります。
この追加の露出を考慮に入れると、本当の質問は(いつものように)「何から保護していますか?」になります。転送中の安全な通信について心配している場合、Telegramはより安全であるように「見えます」。安静時の安全な通信が心配な場合は、暗号化されていないことを除いて、WhatsAppがより適切なモデルを持っているように見えます。
答えは、「それはあなたの焦点に依存する」であり、暗号化は非暗号化よりも優れており、電報の「安全なチャット」オプションがあります。
2015年11月:
新しい研究は暗号に関する深い問題を示しています: https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a#.gb7od1j6i
EFFのセキュアメッセージングスコアカード は現在、「Telegram(secret chats)」を100%のセキュリティ評価で評価しています。ただし、テレグラムが使用するサーバーのソフトウェアは開いていません。 cf. FAQ " なぜすべてをオープンソースにしないのですか? "
WhatsAppは、「 コードは独立したレビューに開放されていますか? 」メトリックにドッキングされました。 Telegramは完全にオープンになりました。 ソースコードはこちら 。開いていると、閉じたアプリに存在する可能性のあるバックドアがないことを自分で確認できます。 WhatsAppは独占的でなくなったため、現在はクローズドソースです(Facebookが購入しました)。
Tox または Signal が適切で、オープンでピアto-peer/end-to-endのみ暗号化され、高い EFF評価 を受け取りました。
EFFはすべてのメッセンジャーアプリを比較し、結果を Secure Messaging Scorecard リンクで公開します。
注:EFFは秘密チャットモードのTelegramをWhatsAppと比較します
EFF基準は次のとおりです。
- 送信中の暗号化されたメッセージ? both、telegramは MTProto プロトコルを使用し、Whatsappは非公開のプロトコルを使用します
- 暗号化されているため、プロバイダーは読み取れませんか?
this criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers)テレグラムにはこの基準がありますが、Whatsappにはありません - 連絡先のIDを確認できますか?
this criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromisedテレグラムにはこの基準がありますが、Whatsappにはありません - 鍵が盗まれた場合、過去の通信は安全ですか?
this criterion requires that the app provide forward secrecyテレグラムにはこの基準がありますが、Whatsappにはありません - コードは独立したレビューに開放されていますか? テレグラムにはこの基準がありますが、Whatsappにはありません
- セキュリティ設計は適切に文書化されていますか?
this criterion requires clear and detailed explanations of the cryptography used by the applicationテレグラムにはこの基準がありますが、Whatsappにはありません - 最近のコード監査はありますか?
this criterion requires an independent security review has been performed within the 12 months prior to evaluation両方それを持っています
最後に、結果はTelegramがWhatsappよりも安全であることです
プロトコルの問題に加えて、アプリ自体はあまり安全ではありません。 2015年2月、Zimperium 詳細な分析が公開されました Telegramのローカルの脆弱性。攻撃者がプレーンテキストメッセージに完全にアクセスできるようにします。
基本的に、プロトコルが安全であっても、アプリケーション自体は安全ではなく、安全な通信の弱点となります。
Zimperiumによると、テレグラムチームは脆弱性の通知に応答したことがありません。それは一般的なセキュリティに対する彼らの態度について私に何かを教えてくれます、そして、例えば、彼らが「安全なチャット」を実装する方法と一致します:デスクトップのサポートなし、キーのグラフィックのみの指紋、単にキーを入力する可能性はありません。