Komplett unsicheres Protokoll könnte Contest ebenfalls bestehen

Moxie Marlinspike, einer der Entwickler des Konkurrenzprodukts Textsecure, hat an einem Beispiel die Probleme des Telegram-Contests besonders deutlich gemacht: Marlinspike erläutert zunächst ein ganz offensichtlich völlig unsicheres Protokoll, welches aus zahlreichen bekanntermaßen schlechten Elementen besteht. Es enthält den mutmaßlich mit einer NSA-Backdoor ausgestatteten Zufallszahlenalgorithmus DUAL_EC_DRBG, einen extrem kurzen RSA-Key (896 Bit), es verwendet sogenanntes "Textbook-RSA", welches als absolut unsicher gilt und nutzt außerdem mit MD2 eine Hashfunktion, die vor einigen Jahren aus sämtlichen bekannten Krypto-Bibliotheken entfernt wurde, weil sie als nicht sehr sicher gilt. Marlinspike stellt eine verschlüsselte Nachricht seines Unsinnsprotokolls bereit und fordert die Telegram-Entwickler auf, diese zu entschlüsseln.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Schiller Automation GmbH & Co. KG, Sonnenbühl
  2. Senior .net Entwickler (w/m/d) inhouse
    HanseVision GmbH, Hamburg
Detailsuche

Kurz nach den Kritiken des Crypto-Fails-Blogs und von Marlinspike hat Telegram in einem Tumblr-Blogeintrag reagiert. Dort wird angedeutet, dass der Contest in Kürze auf Man-in-the-Middle-Angriffe erweitert werden könnte. Doch damit vergrößern die Telegram-Macher die Sicherheitsbedenken noch. Denn ein Kryptograph, der einen Angriff auf das Protokoll kennt, würde ihn jetzt vermutlich kaum veröffentlichen, wenn ihm dafür möglicherweise in einigen Monaten 200.000 US-Dollar zustehen könnten.

Das Protokoll von Telegram

Telegram nutzt für die Verschlüsselung ein selbst entwickeltes Protokoll namens MTProto. In einer Diskussion mit Marlinspike werben die Telegram-Macher damit, dass das Protokoll von mehreren Personen mit Doktortiteln in Mathematik entwickelt worden sei.

Das Protokoll von Telegram enthält einige sehr ungewöhnliche Konstruktionen. Die Verschlüsselung findet mit AES im sogenannten IGE-Modus statt (Infinite Garbe Extension). Dieser Modus ist heute praktisch nicht mehr im Einsatz, kein bekanntes Krypto-Protokoll nutzt ihn. Weiterhin verwendet Telegram SHA-1, welches zwar noch nicht faktisch gebrochen wurde, aber schon seit einigen Jahren als potenziell unsicher gilt.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
Weitere IT-Trainings

Außerdem nutzt Telegram eine neue Variante, die Verschlüsselung und die Authentifizierung zu kombinieren, die als MAC-and-Encrypt bezeichnet wird. Die Frage, wie man diese Kombination korrekt einsetzt, hat die Kryptographen-Gemeinde in den vergangenen Jahren viel beschäftigt. Grob lassen sich drei Varianten ausmachen, die als MAC-then-Encrypt, Encrypt-then-MAC und MAC-and-Encrypt bezeichnet werden. Mit MAC-then-Encrypt und MAC-and-Encrypt gab es zahlreiche Probleme. Das bekannteste Problem mit MAC-then-Encrypt ist wiederum die Lucky-Thirteen-Attacke gegen TLS. MAC-and-Encrypt wurde lange Zeit von SSH verwendet und hat ebenfalls zu Problemen geführt. Inzwischen sind sich Kryptographen einig, dass Encrypt-then-MAC die sicherste Variante ist. Details dazu hat der Kryptograph Dan Boneh in einem Video ausführlich erklärt.

Dass Telegram ungewöhnliche Konstruktionen einsetzt, heißt zwar nicht, dass das Protokoll unsicher ist, es widerspricht aber der gängigen Praxis guter Kryptographie. Man versucht in aller Regel, auf bewährte und ausführlich untersuchte Technologien zu setzen, weil dort weniger unangenehme Überraschungen drohen.

Der VLC-Entwickler Geoffroy Couprie hat zahlreiche weitere Probleme des Telegram-Protokolls in einem Blogeintrag besprochen. Er verweist dabei auch auf ein Problem, mit dem sich wohl eine Man-in-the-Middle-Attacke auf die Ende-zu-Ende-Verschlüsselung durchführen lässt, allerdings ist die Quelle nur auf Russisch verfügbar. Die Telegram-Entwickler haben auf einige der Einwände in ihrer FAQ reagiert, doch sonderlich überzeugend wirken die Antworten nicht.

Wir hätten den Telegram-Entwicklern gerne Fragen zum Contest und ihrem Protokoll gestellt und ihnen eine Möglichkeit zur Stellungnahme geboten. Doch leider scheiterten sämtliche unserer Versuche, in Kontakt zu treten. Eine Mailadresse für Presseanfragen gibt es nicht, beim Support wurden unsere Mails nicht beantwortet und auch auf Twitter reagierten die Entwickler nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Telegram: Der wertlose Krypto-Contest
  1.  
  2. 1
  3. 2


Achim 21. Mär 2018

... Salzstangenkrümel. Die Überbleibsel vom Kryo-Öffnungsversuch.

tha_specializt 16. Aug 2017

Komm, lass bleiben jetzt - deine Vermutungen und Fantasien sind mittlerweile recht...

frostbitten king 04. Mär 2014

Danke, endlich einer der es schafft sachlich zu erklären. Ich bin da schon längst drüber...

DerGoldeneReiter 04. Mär 2014

Wenn die Telegram-Entwickler ein etabliertes Kryptographieverfahren (Diffie-Hellman) mit...

DerGoldeneReiter 03. Mär 2014

Ich lasse mir das gleich patentieren. :D



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?

Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
Artikel
  1. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

  2. Bitcoin, Ethereum: Was steuerlich bei Kryptowährungen gilt
    Bitcoin, Ethereum
    Was steuerlich bei Kryptowährungen gilt

    Kryptowährungen wie Bitcoin sind unter Anlegern beliebt - doch wie muss man die Gewinne eigentlich versteuern?

  3. Neues Geschäftsmodell: Luca-App plant flexible Abos und will Preise senken
    Neues Geschäftsmodell
    Luca-App plant flexible Abos und will Preise senken

    Angesichts drohender Kündigungen will die Luca-App den Bundesländern entgegenkommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Vivobook Flip 14" 8GB 512GB SSD 567€ • Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.489€ • Samsung QLED-TVs günstiger • Asus Gaming-Notebook 17“ R9 RTX3060 1.599€ • Seagate 20TB SATA HDD [Werbung]
    •  /