有一个新的WhatsApp杀手级应用程序,称为Telegram。他们说它是开源的,并且具有更安全的加密。

但是他们将所有消息存储在服务器中,而WhatsApp不在任何服务器中存储任何消息,而仅将本地副本存储在服务器中。电话。

Telegram比WhatsApp更安全吗?

评论

简而言之,我想说没有什么能像Telegram,WhatsApp,Skype,BlackBerry等那样安全地工作了。所有这些东西(WhatsApp除外)都承诺了端到端加密,到目前为止,只有Telegram尚未交出他们向政府提供的加密密钥,仅仅是因为它们还不够大。微软和黑莓以某种方式使打破自己的安全性成为可能,并为印度和阿拉伯联合酋长国提供了一些明文。我不会错过任何应用程序来做到这一点。为了获得真正的安全性,请使用PGP / GPG或OTR等受信任的工具。

他们对自己的加密技术做了自己的事……所以,不。来自未来的欢喜享受!一位检查过它的人说:“加密货币就像是用叉子刺入了眼睛。”

从俄罗斯政府赢得与加密有关的审判并命令他们服从其密钥这一事实来看,

#1 楼

TL; DR:否,电报并不安全。
我想忽略与WhatsApp的比较,因为WhatsApp不会将自己宣传为“安全”消息传递选项。相反,我想重点关注Telegram是否安全。
Telegram的安全性是围绕他们的本地旋转MTProto协议构建的。大家都知道,密码学的第一个规则是不要自己加密。特别是如果您不是受过训练的密码学家。

由尼古拉·杜罗夫(Nikolai Durov)领导的电报背后的团队由六个ACM冠军组成,其中一半是数学博士学位。他们花了大约两年时间才推出了当前版本的MTProto。名称和学位在某些领域中的含义确实不如在其他领域中那么重要,但这是专业人员冗长而长期工作的结果。

资料来源:https://news.ycombinator。 com / item?id = 6916860
数学博士不是密码学家。他们发明的协议有缺陷。这是一篇不错的博客文章,解释原因。除此之外,Telegram发出了一个相当荒谬的挑战,向任何可以打破协议的人提供奖励。除了它们设置的术语之外,即使最荒唐的协议也难以破解。 Moxie Marlinspike的博客文章很好,解释了为什么挑战如此荒谬。
所以,不。电报绝对不是安全的。有关安全性的公认定义,而不是单一的电报。
如果您想在电话上使用一种真正的安全通信方式,请考虑使用信誉更好的项目,例如Signal或WhatsApp(自从这个答案首次提出以来,这些项目,现在使用信号协议进行端到端消息加密。)
UPDATE

2015年1月9日:已宣布对Telegram发起2 ^ 64攻击。
宣布。
2015年12月12日:一份新文件证明了
MTProto不安全IND-CCA。
2017年12月22日:用更新的建议代替了
CryptoCat的过时建议对于
Signal和WhatsApp。


评论


重申了很多批评,但到目前为止,我还没有听到一个非理论上的漏洞。任何人都可以通过网络读取加密的消息,更改内容而没有另一方注意(即使攻击者不知道解密的输出将是什么)还是欺骗发送者?如果没有,我认为这种自行设计的协议没有问题。所有协议都是由一个团队或另一个团队在某个时候设计的。

–吕克
2014年4月5日在16:27



@Luc我真的希望我可以拒绝评论。真?非标准加密不会让您感到紧张吗?您是否要鼓励人们在没有强大理论基础的情况下使用加密协议?当采用率达到临界水平并且发现严重漏洞时会发生什么?是的,协议需要人为设计。但是设计它们的人应该是受过训练的密码学家,并且该协议需要由其他受过训练的密码学家进行同行评审。

–user10211
2014年4月5日在16:39

实际上,将Cryptocat用作安全示例非常危险。它具有非常有争议的历史,许多知名的安全专家都认为这实际上很危险。因此,请从您的答案中删除它。您还应该提到Moxie为OpenWhisper工作。而且该OpenWhisper没有可用的iOS客户端。

–anu
2014年5月21日14:36

更新会很好。 Telegram对链接的博客进行了回复,看起来很多指控都是基于过时的文档或对文档的误解。他们还调整了黑客竞赛的规则。因此,这个答案对我来说似乎已被弃用。

–克里斯蒂安·斯特伦普弗(Christian Strempfer)
14年8月18日在11:54

刚刚发现,EFF已将其7/7的安全消息传递清单提供给Telegram秘密聊天eff.org/secure-messaging-scorecard

– Bibhas
15年3月13日在11:34

#2 楼

正如Telegram常见问题解答所提到的,有一个“秘密聊天”选项不会将聊天记录存储在其服务器上。

关于基本问题,“存储聊天是否会降低其安全性?”那是要考虑的东西。存储在服务器上的聊天确实意味着可以在服务器上制作副本以供以后解密。这增加了消息的曝光率。加密消息意味着解密消息的成本很高,但是仍然存在一些风险。

考虑到这一额外的风险,真正的问题就变成了(总是如此),“你在保护吗?”如果您担心传输过程中的安全通信,那么Telegram会显得“更安全”。如果您担心静态通信的安全性,那么WhatsApp似乎具有更好的模型,只是其中没有一个被加密。

答案是“取决于您的关注点”,加密比未加密要好,并且有Telegram的“安全聊天”选项。

2015年11月:

新研究显示了加密技术的深层问题:
https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a#.gb7od1j6i

评论


WhatsApp声称已使用axolotl端到端加密,并且已通过WhisperSystems验证。它是封闭源代码,因此您必须信任WhatsApp / WhisperSystems。

–哈维·梅里诺(JaviMerino)
16-4-27的7:35

太多的人不知道他们在说什么。在“中型”文章中,没有讨论加密的“深层问题”。它只是嵌入了Matthew Green的推文,并带有协议文档的链接。本文的其余部分与加密无关。我建议您删除链接。

– XP1
18年4月20日在12:54

中篇文章应被视为与Buzzfeed一样权威。通常,在Medium.com上表达的观点与正确信息相反。它不能得出Telegram的安全评估。您可以看到该文章的第一句话散布着垃圾。

– Groovenectar
19年3月3日在15:34

#3 楼

EFF的安全消息记分卡当前对“电报(秘密聊天)”的安全等级为100%。但是,Telegram使用的服务器软件未打开; cf.常见问题解答“为什么不开源所有内容?”

WhatsApp停靠在“代码是否开放给独立审查?”指标。电报现已完全打开;源代码在这里。打开后,您可以自己确认没有后门可能在封闭的应用程序中。 WhatsApp现已私有化(Facebook收购了它)。

Tox或Signal是一个很好的选择,它是开放的,并且仅对等/端对端加密,并且收到了很高的EFF评分。

#4 楼

EFF比较所有Messenger应用程序并将结果发布在Secure Messaging Scorecard链接中。

注意:EFF将秘密聊天模式下的Telegram与WhatsApp比较

EFF标准是:


正在传输的加密邮件?两者,电报都使用MTProto协议,而Whatsapp使用未公开的协议
加密,因此提供程序无法读取它? this criterion requires that all user communications are end-to-end encrypted. This means the keys necessary to decrypt messages must be generated and stored at the endpoints (i.e. by users, not by servers)电报有此标准,但Whatsapp没有。
您可以验证联系人的身份吗? this criterion requires that a built-in method exists for users to verify the identity of correspondents they are speaking with and the integrity of the channel, even if the service provider or other third parties are compromised电报有此标准,但Whatsapp却没有。

如果密钥被盗,过去的通信是否安全? this criterion requires that the app provide forward secrecy电报有此标准,但Whatsapp没有。

代码是否可以接受独立审查?电报有此标准,但Whatsapp没有。

安全设计是否正确记录? this criterion requires clear and detailed explanations of the cryptography used by the application电报有此标准,但是Whatsapp没有。

最近是否进行过任何代码审核? this criterion requires an independent security review has been performed within the 12 months prior to evaluation都拥有它

最后,结果是电报比Whatsapp更安全

评论


这不会在现有答案中添加任何信息。老实说,与WhatsApp相比并没有多大意义,因为它并不真正关注安全性。仅通过比较您还没有证明或否定Telegram的安全性。

–约翰
16-3-1在20:00



@John plz看到以上链接,EFF标准基于安全性和隐私性,EFF密码学家在这些观点中比较所有信使

–user93414
16年1月1日在21:31

是的,我知道。 Bibhas已在3月15日的评论中发布了此内容。请参阅Terry Chia的回答下的评论。比较并没有真正意义。

–约翰
16年1月1日在21:46

#5 楼

除了协议问题外,应用程序本身也不是很安全。 2015年2月,Zimperium发布了Telegram本地漏洞的详细分析,使攻击者可以完全访问纯文本消息。

基本上,即使协议是安全的,应用程序本身也不是安全通信中的薄弱环节。

根据Zimperium,Telegram团队从未做出回应他们的漏洞通知。它告诉我有关他们对安全性的总体看法,并与他们如何实现“安全聊天”保持一致:例如,不提供桌面支持,仅图形化的密钥指纹,仅输入密钥的可能性。 br />

评论


邮件未在内存中加密吗?如果要在屏幕上显示它们,则必须对其解密,从而将字符串作为纯文本存储在内存中。它如何使Telegram应用程序不安全?

–伙计
2015年11月13日在20:44

Zimperium是个玩笑。他们的“发现”总是无用的。他们实际上做了任何事都可以引起人们的注意。猜猜谁炒作了Stagefright?谁将这么多钱投入到像这样的无用漏洞中?是的,Zimperium。哦,有多少人使用Stagefright被黑了?喜欢... 0.0000000 ... 01%?也许?研究人员遵循了哪些步骤? ||我知道,手机是他们的事。但是他们所做的只是恐慌,别无其他。

– Apache
16 Jan 14 '13:51