TEL:密碼學專家揭示 Telegram Passport 中的安全問題_GRAM

加密服務提供商VirgilSecurity,Inc.發布了一份報告，引起了人們對TelegramPassport安全性的擔憂。

TelegramPassport是Telegram上個月引入的最新功能，允許用戶上傳個人身份證件，如護照，身份證和駕駛執照，以存儲在Telegram云中。這些文件都是加密的，以便用戶可以在不泄露其個人數據的情況下，在第三方服務上驗證身份。

然而，Virgil公司認為這個功能根本不安全。

首先，Telegram使用安全散列算法2，在加密方面很弱。Virgil公司解釋說，為了保護密碼，黑客應該花更多的時間來猜測每個密碼。

瑞士密碼學家Christian Cachin：Ripple網絡中沒有共識:瑞士密碼學家、伯爾尼大學計算機科學家Christian Cachin在其博客文章“Ripple網絡中沒有共識”中表示，對Ripple協議的技術分析表明，在陳述的假設下，其既不能確保安全，也不能確保其活動性。文章稱，借助其模型可證明，即使在極端溫和的對抗條件下，Ripple的協議也無法達成共識，并且可能妨礙安全性和活力。尤其是，網絡可以在Ripple聲明的UNL重疊的標準條件下，且在只有極小部分的惡意節點的情況下分叉。在網絡忽略或延遲正確節點之間的消息的時間段內，惡意節點可能只是向正確的節點發送沖突消息。其還演示了即使所有節點都具有相同的UNL并且只有一個拜占庭節點，Ripple的共識協議也可能會失去活力。如果發生這種情況，則必須手動重新啟動系統。文章得出結論稱，Ripple網絡的共識協議很脆弱，無法確保計算機科學和區塊鏈從業人員普遍理解的共識。[2020/12/3 22:55:52]

現在是2018年，一個頂級GPU可以每秒強力檢查約15億個SHA-512哈希值。

林煌博士：輕模式的隱私應用是密碼學技術在隱私保護實踐中很重要的一步:在今日的《金色深核》線上直播中，針對“假設我們要解決多公司之間數據需要保密且共同使用的問題，三個技術路線如何去做？去年Maskbook火了一下，各位如何看待這種“輕模式”的隱私應用？”Suterusu林煌博士表示關于多個公司之間進行保密數據的安全計算，這個需要結合零知識證明和安全多方計算才能解決。如果我們考慮一種簡單的情況，只有兩方進行安全計算，一方可以將自己的數據用門限同態加密方案的公鑰加密后傳輸給另一方，另一方依據加密自己的數據生成密文，然后在兩個密文上做預定的同態運算，最后雙方合作把完成同態操作的密文解密。零知識證明可用于保證這個過程的計算可靠性（computational integrity），比如如何保證生成的加密密文確實是按照正確加密步驟生成的密文且加秘方知道原始明文呢？我們可以使用零知識證明算法針對加密電路生成能夠驗證明文和密文之間符合加密電路邏輯的證明。輕模式的隱私應用毫無疑問是密碼學技術在隱私保護實踐中很重要的一步，但這個領域還有很多可以做的事情。[2020/3/11]

Salting是一種在密碼中包含隨機數據的方法；然而，即便這樣也無助于SHA-512的情況。只有復雜的密碼才能保證用戶的賬戶免受黑客攻擊。

人物 | Ripple首席密碼學家轉任首席技術官:據Ripple官方消息，Ripple前首席密碼學家David Schwartz現轉任該公司首席技術官（CTO）。[2018/7/12]

Virgil補充說，就業服務網站LinkedIn在2012年被黑客攻擊，就因為它使用了SHA-2的前身SHA-1。那次黑客攻擊暴露了800萬LinkedIn用戶的密碼。次年，同樣使用SHA-1的在線市場LivingSocial在類似的攻擊中暴露了5000萬個用戶密碼。因此，Telegram決定使用這種弱密碼保護系統是令人驚訝的。

其次，Telegram稱會對用戶數據進行加密，然后將其發送到云端。然后對數據進行解密和重新加密，以確認用戶在第三方服務上的身份。獲得的數據不是完全隨機的，并再次使用SHA-2。

Telegram在其官方博客文章中寫道，這項服務是端到端加密的，只使用了用戶知道的密碼。然而，代碼中存在的漏洞使用戶容易受到黑客的攻擊。Virgil公司提供了一些替代方案包括SCrypt，BCrypt，Argon2，BrainKey和Pythia。

2016年8月，黑客揭露了1500萬伊朗Telegram用戶的電話號碼。當時，是因為客戶使用了SMS完成用戶認證過程的系統。由于TelegramPassport有敏感信息，因此這可能已成為黑客的目標。現在Telegram正處理這種情況并提高安全性。

鏈聞ChainNews：提供每日不可或缺的區塊鏈新聞。

原文作者：HabibaTahir文章來源：區塊鏈鉛筆中文編譯：Miranda版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：www.ccn.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626971.html

Telegram電報

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

小心你的數字錢包！不了解黑客的7種手段你可能是下一個受害者

下一篇：

審計報告：韓國交易所Upbit被澄清，擁有100%用戶資金

Tags：EGRGRAMRAMTELEGR幣GramleverRAMP幣Intelligent Trading Tech

火幣APP