研究表明: Telegram Passport易受暴力攻擊

加密軟件及服務開發商Virgil Security, Inc.在8月1日的一篇報告中指出,聊天軟件Telegram近期發布的個人識別授權工具易受到暴力攻擊(brute force attacks)。

7月26日,Telegram宣布推出Telegram Passport,旨在加密用戶的個人身份信息,並讓他們與諸如ICO、加密貨幣錢包以及與遵循了解你的客戶 (KYC)規定相關的人士分享個人ID。

用戶的數據通過端到端加密被保存在Telegram雲上,隨後轉移到去中心化的雲上,在這裡個人數據因被視“隨機噪聲”而無法被解密。不過,在Virgil Security最近的研究中,該服務中的密碼保護引發了擔憂。

據Virgil Security表示,Telegram使用SHA-512,這是一種哈希算法,不能用於哈希密碼。這種算法使密碼易受暴力攻擊,即便它是加過salt的。在密碼學中,salt是給密碼添加的一個隨機值後綴,這擴展了原始密碼的長度,提供了一些額外的保護。

報告稱,當用戶加密個人數據時,會將其上傳到Telegram雲,且當用戶需要通過第三方服務確認真實性時,他們會解密該數據並為該第三方服務的憑證重新加密。所有這些因素都可能導致用戶密碼哈希表暴露於非常有效的黑客攻擊下。該公司進一步解釋說:

“你所上傳到Telegram雲的數據的安全性,不得不取決於你密碼的強度,因為在該哈希算法下密碼是極易受到暴力攻擊的。在缺乏數字簽名的情況下,你或’接受者不知情時數據就允許被修改。 "

今年3月,Telegram的創始人Pavel和Nikolai Durov報告稱,他們已經在第二輪ICO中籌集了8.5億美元,用於開發Telegram聊天應用程序和自己的區塊鏈平台Telegraph Open Network(TON)。 5月,Telegram的ICO計劃被取消,原因是該聊天應用程序在前兩輪ICO私募中已吸收了足夠的資金。