Abo
  • IT-Karriere:

Komplett unsicheres Protokoll könnte Contest ebenfalls bestehen

Moxie Marlinspike, einer der Entwickler des Konkurrenzprodukts Textsecure, hat an einem Beispiel die Probleme des Telegram-Contests besonders deutlich gemacht: Marlinspike erläutert zunächst ein ganz offensichtlich völlig unsicheres Protokoll, welches aus zahlreichen bekanntermaßen schlechten Elementen besteht. Es enthält den mutmaßlich mit einer NSA-Backdoor ausgestatteten Zufallszahlenalgorithmus DUAL_EC_DRBG, einen extrem kurzen RSA-Key (896 Bit), es verwendet sogenanntes "Textbook-RSA", welches als absolut unsicher gilt und nutzt außerdem mit MD2 eine Hashfunktion, die vor einigen Jahren aus sämtlichen bekannten Krypto-Bibliotheken entfernt wurde, weil sie als nicht sehr sicher gilt. Marlinspike stellt eine verschlüsselte Nachricht seines Unsinnsprotokolls bereit und fordert die Telegram-Entwickler auf, diese zu entschlüsseln.

Stellenmarkt
  1. über Dr. Heimeier & Partner Management- und Personalberatung GmbH, Rhein-Sieg-Kreis
  2. Bundesinstitut für Arzneimittel und Medizinprodukte, Bonn

Kurz nach den Kritiken des Crypto-Fails-Blogs und von Marlinspike hat Telegram in einem Tumblr-Blogeintrag reagiert. Dort wird angedeutet, dass der Contest in Kürze auf Man-in-the-Middle-Angriffe erweitert werden könnte. Doch damit vergrößern die Telegram-Macher die Sicherheitsbedenken noch. Denn ein Kryptograph, der einen Angriff auf das Protokoll kennt, würde ihn jetzt vermutlich kaum veröffentlichen, wenn ihm dafür möglicherweise in einigen Monaten 200.000 US-Dollar zustehen könnten.

Das Protokoll von Telegram

Telegram nutzt für die Verschlüsselung ein selbst entwickeltes Protokoll namens MTProto. In einer Diskussion mit Marlinspike werben die Telegram-Macher damit, dass das Protokoll von mehreren Personen mit Doktortiteln in Mathematik entwickelt worden sei.

Das Protokoll von Telegram enthält einige sehr ungewöhnliche Konstruktionen. Die Verschlüsselung findet mit AES im sogenannten IGE-Modus statt (Infinite Garbe Extension). Dieser Modus ist heute praktisch nicht mehr im Einsatz, kein bekanntes Krypto-Protokoll nutzt ihn. Weiterhin verwendet Telegram SHA-1, welches zwar noch nicht faktisch gebrochen wurde, aber schon seit einigen Jahren als potenziell unsicher gilt.

Außerdem nutzt Telegram eine neue Variante, die Verschlüsselung und die Authentifizierung zu kombinieren, die als MAC-and-Encrypt bezeichnet wird. Die Frage, wie man diese Kombination korrekt einsetzt, hat die Kryptographen-Gemeinde in den vergangenen Jahren viel beschäftigt. Grob lassen sich drei Varianten ausmachen, die als MAC-then-Encrypt, Encrypt-then-MAC und MAC-and-Encrypt bezeichnet werden. Mit MAC-then-Encrypt und MAC-and-Encrypt gab es zahlreiche Probleme. Das bekannteste Problem mit MAC-then-Encrypt ist wiederum die Lucky-Thirteen-Attacke gegen TLS. MAC-and-Encrypt wurde lange Zeit von SSH verwendet und hat ebenfalls zu Problemen geführt. Inzwischen sind sich Kryptographen einig, dass Encrypt-then-MAC die sicherste Variante ist. Details dazu hat der Kryptograph Dan Boneh in einem Video ausführlich erklärt.

Dass Telegram ungewöhnliche Konstruktionen einsetzt, heißt zwar nicht, dass das Protokoll unsicher ist, es widerspricht aber der gängigen Praxis guter Kryptographie. Man versucht in aller Regel, auf bewährte und ausführlich untersuchte Technologien zu setzen, weil dort weniger unangenehme Überraschungen drohen.

Der VLC-Entwickler Geoffroy Couprie hat zahlreiche weitere Probleme des Telegram-Protokolls in einem Blogeintrag besprochen. Er verweist dabei auch auf ein Problem, mit dem sich wohl eine Man-in-the-Middle-Attacke auf die Ende-zu-Ende-Verschlüsselung durchführen lässt, allerdings ist die Quelle nur auf Russisch verfügbar. Die Telegram-Entwickler haben auf einige der Einwände in ihrer FAQ reagiert, doch sonderlich überzeugend wirken die Antworten nicht.

Wir hätten den Telegram-Entwicklern gerne Fragen zum Contest und ihrem Protokoll gestellt und ihnen eine Möglichkeit zur Stellungnahme geboten. Doch leider scheiterten sämtliche unserer Versuche, in Kontakt zu treten. Eine Mailadresse für Presseanfragen gibt es nicht, beim Support wurden unsere Mails nicht beantwortet und auch auf Twitter reagierten die Entwickler nicht.

 Telegram: Der wertlose Krypto-Contest
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 239,00€
  2. 289€
  3. 259€ + Versand oder kostenlose Marktabholung

Achim 21. Mär 2018

... Salzstangenkrümel. Die Überbleibsel vom Kryo-Öffnungsversuch.

tha_specializt 16. Aug 2017

Komm, lass bleiben jetzt - deine Vermutungen und Fantasien sind mittlerweile recht...

frostbitten king 04. Mär 2014

Danke, endlich einer der es schafft sachlich zu erklären. Ich bin da schon längst drüber...

DerGoldeneReiter 04. Mär 2014

Wenn die Telegram-Entwickler ein etabliertes Kryptographieverfahren (Diffie-Hellman) mit...

DerGoldeneReiter 03. Mär 2014

Ich lasse mir das gleich patentieren. :D


Folgen Sie uns
       


Honor 20 Pro - Hands on

Das Honor 20 Pro ist das neue Oberklasse-Smartphone der Huawei-Tochter. Als Besonderheit gibt es eine Vierfachkamera, um für möglichst viele Objektivsituationen gewappnet zu sein. Hinweis vom Hersteller: "Bei den gezeigten Geräten der Honor-20-Serie handelt es sich um Demoversionen, die sich in Aussehen und Funktion von der finalen Version unterscheiden können."

Honor 20 Pro - Hands on Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Dark Mode: Wann Schwarz-Weiß-Denken weiterhilft
Dark Mode
Wann Schwarz-Weiß-Denken weiterhilft

Viele Nutzer und auch Apple versprechen sich vom Dark Mode eine augenschonendere Darstellung von Bildinhalten. Doch die Funktion bringt andere Vorteile als viele denken - und sogar Nachteile, die bereits bekannte Probleme bei der Arbeit am Bildschirm noch verstärken.
Von Mike Wobker

  1. Sicherheitsprobleme Schlechte Passwörter bei Ärzten
  2. DrEd Online-Arztpraxis Zava will auch in Deutschland eröffnen
  3. Vivy & Co. Gesundheitsapps kranken an der Sicherheit

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    •  /