EGR:密码学专家揭示 Telegram Passport 中的安全问题

作者：

时间：1900/1/1 0:00:00

加密服务提供商VirgilSecurity,Inc.发布了一份报告，引起了人们对TelegramPassport安全性的担忧。

TelegramPassport是Telegram上个月引入的最新功能，允许用户上传个人身份证件，如护照，身份证和驾驶执照，以存储在Telegram云中。这些文件都是加密的，以便用户可以在不泄露其个人数据的情况下，在第三方服务上验证身份。

然而，Virgil公司认为这个功能根本不安全。

首先，Telegram使用安全散列算法2，在加密方面很弱。Virgil公司解释说，为了保护密码，黑客应该花更多的时间来猜测每个密码。

声音 | 观点：密码学人才短缺，影响了马来西亚的区块链发展:私人投资公司MW Partners Group Holdings Pte Ltd顾问Mark Pui表示，密码学领域的人才短缺，拖累了马来西亚数字账本技术的发展。

Mark声称：“我认为，现实是我们没有密码技术，这影响了我们领导区块链技术发展的能力。在马来西亚和全世界，区块链技术的应用仍然有限。但在发展方面，我们落后于其他所有人，因为我们没有技能，没有深厚的密码学技能。”（The Malaysian Reserve）[2019/11/29]

现在是2018年，一个顶级GPU可以每秒强力检查约15亿个SHA-512哈希值。

动态 | 谷歌将采用密码学以保持数据集的私密性:据wired报道，谷歌将发布一个名为Private Join and Compute的开源加密工具。它有助于连接来自不同数据集的数字列，以计算在整个数学过程中加密和不可读数据的总和，计数或平均值。只有计算结果才能被所有各方解密和查看 - 这意味着你只能获得结果，而不能获得你未拥有的数据。该工具的加密原理可以追溯到20世纪70年代和90年代，但谷歌已经重新利用并更新它们，以便与当今功能更强大、更灵活的处理器配合使用。[2019/6/21]

Salting是一种在密码中包含随机数据的方法；然而，即便这样也无助于SHA-512的情况。只有复杂的密码才能保证用户的账户免受黑客攻击。

声音 | “现代密码学之父”Whitfield Diffie：区块链的前景取决于能否为用户创造价值:据深圳侨报消息，近日，在第二届智荟深圳·海外专才深圳行上，“现代密码学之父”Whitfield Diffie表示，没有网络安全就没有稳定的经济、社会的正常运转，就不能保障大众的利益。而如今极为火热的区块链，其背后的核心支撑也正是公钥加密技术。他还指出，区块链在未来将会有更加庞大的用户群，而区块链的前景取决于能否为用户创造价值。同时，区块链的发展从一定程度上推动了加密技术的“复兴”，使区块链重新聚焦于产品的加密层面。[2019/4/18]

Virgil补充说，就业服务网站LinkedIn在2012年被黑客攻击，就因为它使用了SHA-2的前身SHA-1。那次黑客攻击暴露了800万LinkedIn用户的密码。次年，同样使用SHA-1的在线市场LivingSocial在类似的攻击中暴露了5000万个用户密码。因此，Telegram决定使用这种弱密码保护系统是令人惊讶的。

其次，Telegram称会对用户数据进行加密，然后将其发送到云端。然后对数据进行解密和重新加密，以确认用户在第三方服务上的身份。获得的数据不是完全随机的，并再次使用SHA-2。

Telegram在其官方博客文章中写道，这项服务是端到端加密的，只使用了用户知道的密码。然而，代码中存在的漏洞使用户容易受到黑客的攻击。Virgil公司提供了一些替代方案包括SCrypt，BCrypt，Argon2，BrainKey和Pythia。

2016年8月，黑客揭露了1500万伊朗Telegram用户的电话号码。当时，是因为客户使用了SMS完成用户认证过程的系统。由于TelegramPassport有敏感信息，因此这可能已成为黑客的目标。现在Telegram正处理这种情况并提高安全性。

链闻ChainNews：提供每日不可或缺的区块链新闻。

来源链接：www.ccn.com

本文来源于非小号媒体平台：

链闻速递

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：