image

"Telegram Passport kwetsbaar voor bruteforce-aanvallen"

vrijdag 3 augustus 2018, 15:55 door Redactie, 6 reacties

De versleutelde chat-applicatie Telegram lanceerde vorige week een nieuwe dienst voor het versleuteld opslaan van identiteitsbewijzen, maar die is kwetsbaar voor bruteforce-aanvallen, zo claimt securitybedrijf Virgil Security. Telegram Passport moet het eenvoudiger voor gebruikers maken om hun identiteitsbewijs te delen met diensten die hier om vragen.

Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden. Telegram stelt dat gegevens "end-to-end versleuteld" worden opgeslagen. Voor de versleuteling wordt gebruik gemaakt van een wachtwoord dat alleen de gebruiker weet. Volgens Virgil Security maakt Telegram gebruik van het SHA-512-algoritme voor het hashen van het wachtwoord. Dit algoritme zou echter nooit voor het hashen van wachtwoorden bedoeld zijn, aldus het securitybedrijf.

"Het beschermen van wachtwoorden met SHA-512, zelfs wanneer er van een salt gebruik gemaakt wordt, stelt wachtwoorden en hun gebruikers bloot aan bruteforce-aanvallen", aldus Alexey Ermishkin van het securitybedrijf. Een snelle videokaart kan 1,5 miljard SHA-512-hashes per seconde controleren. Wanneer er met tien videokaarten wordt gewerkt zijn alle hashes van wachtwoorden die uit 8 karakters bestaan binnen 5 dagen te achterhalen, stelt Ermishkin.

Verder blijkt dat Telegram geen volledig willekeurige sleutel voor het versleutelen van de data genereert. "De veiligheid van de data die je naar Telegrams cloud uploadt is grotendeels afhankelijk van de sterke van je wachtwoord, aangezien bruteforce-aanvallen door het gekozen algoritme eenvoudig zijn. En de afwezigheid van een digitale handtekening maakt het mogelijk om je data aan te passen zonder dat jij of de ontvanger dit kunnen vertellen", zegt Ermishkin. Een interne of externe aanvaller die toegang tot de wachtwoordhashes heeft kan vervolgens een bruteforce-aanval uitvoeren.

Hij merkt op dat end-to-end-encryptie een marketingfeature is geworden die aan twee kanten snijdt. "Wanneer mensen 'end-to-end versleuteld' zien, denken ze dat hun gegevens veilig naar een derde partij worden gestuurd, zonder dat het is te ontsleutelen of aan te passen. Helaas hebben Telegram Passport-gebruikers een vals gevoel van vertrouwen over de veiligheid en privacy van hun data, aangezien het geschonden kan worden door de zwakte van Telegrams wachtwoordveiligheid", besluit Ermishkin.

Reacties (6)
03-08-2018, 16:14 door Anoniem
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden.
Alleen al deze opmerking zou iedereen wakker moeten maken. Je paspoort met ISBN in een cloud zetten. Dan vraag je om misbruik.

Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....

Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!

TheYOSH
03-08-2018, 16:32 door Anoniem
Door Anoniem:
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden.
Alleen al deze opmerking zou iedereen wakker moeten maken. Je paspoort met ISBN in een cloud zetten. Dan vraag je om misbruik.

Het is toch al jaren bekend dat deze end-to-end encryptie een wassen neus is... Want code is niet inzichtelijk. Er wordt afgeweken van de security standaarden. Men implementeert weer een eigen security model. Dit alles laat duidelijk zien, dat bedrijven niets geven om security. Maar alleen aan commercie. Want niets is gratis....

Waarom niet gewoon PGP gebruiken? Is al jaren veilig en secure. Je moet als consument alleen wel vaker een wachtwoord intypen en je moet zelf goed op je sleutels letten. Dan en alleen dan is security veilig. Als jij je eigen privé sleutel beheerd. Zolang Whatsapp of Telegram dat voor jou doet, is het nooit secure!

TheYOSH

Je hebt groot gelijk, maar ze willen het hun gebruikers ook zo gemakkelijk mogelijk maken... De gulden middenweg tussen veiligheid en gebruiksgemak zoeken is zeer moeilijk als het op iets zoals dit aankomt.
03-08-2018, 19:07 door Anoniem
Door Anoniem:
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden.
Alleen al deze opmerking zou iedereen wakker moeten maken. Je paspoort met ISBN in een cloud zetten. Dan vraag je om misbruik.

TheYOSH

Is je paspoort een boek dan dat het een ISBN nummer heeft? :)
05-08-2018, 01:37 door Anoniem
Door Anoniem:
Hiervoor kunnen gebruikers bijvoorbeeld een kopie van hun paspoort naar de Telegram-cloud uploaden.
Je paspoort met ISBN in een cloud zetten.
Ik denk dat je uploaden met ISDN bedoelt, want daarmee zou dat nog kunnen, als je nog heel antiek doet. ISBN heeft iets met boeken te maken en boeken mag je niet uploaden van Tim Kulk.
05-08-2018, 14:28 door Anoniem
Ik zou nooit mijn paspoort uploaden naar wie dan ook. Ze kunnen het krijgen van mij via de email als erom gevraagd wordt.
05-08-2018, 23:06 door Anoniem
Wanneer er met tien videokaarten wordt gewerkt zijn alle hashes van wachtwoorden die uit 8 karakters bestaan binnen 5 dagen te achterhalen, stelt Ermishkin.

Ik zie alleen niet zo snel hoe hier wachtwoorden ontstaan uit 8 of minder karakter. Jij?

Zie: https://core.telegram.org/passport, en vertel maar eens met zekerheid waar een sha512 hash wordt gedaan van
8 karakters of minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.