Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Представлен метод атаки на групповой чат WhatsApp и Signal"	+/–
Сообщение от opennews (ok), 11-Янв-18, 19:47
Группа исследователей безопасности из Рурского университета опубликовала (https://blog.cryptographyengineering.com/2018/01/10/attack-o... сведения (https://eprint.iacr.org/2017/713.pdf) о недоработках протокола в системе групповых чатов WhatsApp,  позволяющих при получение доступа к серверу организовать прослушивание закрытого чата, несмотря на применение оконечного (end-to-end) шифрования на стороне участников чата. Таким образом, поставлена под сомнение  способность групповых чатов WhatsApp обеспечить тайну переписки в случае компрометации инфраструктуры, диверсии персонала или предоставления доступа спецслужбам. Принцип работы группового чата WhatsApp и Signal сводится к тому, что каждый участник чата шифрует все отправляемые сообщения на своей стороне и рассылает всем участникам чата, используя групповой ключ. Каждый участник имеет подобный ключ, позволяющий остальным читать его сообщения (т.е. вместо создания ключей для всех связей в группе, создаются групповые ключи для каждого участника). При подключении нового участника, члены группы обмениваются новыми групповыми ключами. Слабой стороной WhatsApp является то, что участие в чате координируется сервером и каждый новый пользователь, который получил от сервера полномочия участия в чате, обретает возможность получения и отправки сообщений каждому участнику чата. В случае контроля за сервером можно обходным путём без получения пригласительного кода от члена группы добавить в группу фиктивного участника, который сможет установить  end-to-end соединения со всеми остальными участниками и получать отправляемые в чат сообщения. В мессенджере Signal недоработка связана с отсутствием проверки факта участия в группе пользователя отправившего управляющее сообщение c включением нового участника в группу. Данная особенность позволяет любому пользователю Signal отправить служебное сообщение с включением участника в группу, но для этого участник должен определить секретный идентификатор группы (128-разрядное случайное значение), узнать который нереально, даже имея доступ к серверу (идентификатор передаётся между участниками только в зашифрованном виде). В WhatsApp  сервер принимает большее участие в организации работы группы и не использует end-to-end шифрование для служебных сообщений управления группой, что позволяет на сервере перехватить идентификатор группы. Таким образом при наличии контроля за сервером WhatsApp можно определить идентификатор группы и инициировать подключение нового участника в чат, без ведома текущих членов группы. Moxie Marlinspike (https://en.wikipedia.org/wiki/Moxie_Marlinspike), один из авторов протокола Signal, скептически отнёсся (https://news.ycombinator.com/item?id=16117487) к  практической пользе от атаки на групповой чат, так как все участники группы получат уведомление о подключении нового участника и скрыть данное уведомление не получится, так как связь с каждым новым участником устанавливается на стороне клиента, а сервер лишь обслуживает метаданные и не имеет доступа непосредственно к переписке. Кроме того, атакующий сможет перехватить только новые сообщения, отправленные до его подключения к чату, все ранее отправленные в группу сообщения останутся зашифрованы ключами, недоступными атакующему. Данный подход оценивается как разумный компромисс между безопасностью и удобством работы. Например, в Telegram в групповых чатах к  сообщениям вообще не применяется  end-to-end шифрование и шифруются лишь потоки трафика между клиентом и сервером. В такой ситуации при наличии доступа к серверу можно  полностью контролировать всю переписку, включая возможность просмотра ранее отправленных в чат сообщений, и делать это незаметно  для участников чата. Тем временем, Facebook, который владеет сервисом WhatsApp, опубликовал (https://github.com/facebookresearch/asynchronousratchetingtree) на GitHub реализацию нового протокола ART (Asynchronous Ratcheting Tree (https://eprint.iacr.org/2017/666.pdf)) для создания защищённых групповых чатов. В протоколе используется end-to-end  шифрование и  гарантируется конфиденциальность передаваемых сообщений. Прототип реализации написан на языке Java и поставляется под лицензией CC-BY-NC. В отличие от систем групповых чатов подобных Signal, WhatsApp и Facebook Messenger, в ART предоставляется защита от подслушивания в случае компрометации одного из участников. Например, если кто-то получил контроль за одним из участников чата, в Signal он может прослушивать все дальнейшие разговоры группы. Для решения этой проблемы в  ART предложено использовать асимметричные предварительные ключи в сочетании с асимметричным одноразовым установочным ключом, которые позволяют выполнить обмен ключами для неполного набора участников и сохранить безопасность даже если некоторых участники не находятся в online или скомпрометированы. Установочный ключ генерируется создателем чата и используется только в процессе создания сеанса, давая возможность лидеру группы создать секретные ключи для участников, находящихся в offline. URL: https://blog.cryptographyengineering.com/2018/01/10/attack-o.../ Новость: http://www.opennet.me/opennews/art.shtml?num=47887
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Michael Shigorin (ok), 11-Янв-18, 19:47	–3 +/–
Facebook Asynchronous Ratcheting Tree -- это просто праздник какой-то.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

3. Сообщение от Аноним (-), 11-Янв-18, 19:51	+8 +/–
Moxie считает Telegram раздутой маркетолоками поделкой, в которой даже и близко безопасности нет. Отквочу немного: "I think the lesson to anyone watching is clear: don't build security into your products, because that makes you a target for researchers, even if you make the right decisions, and regardless of whether their research is practically important or not. It's much more effective to be Telegram: just leave cryptography out of everything, except for your marketing."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Telegram user (?), 11-Янв-18, 19:57	+/–
Начнём с того, что Signal зависим от GCM. О какой приватности в таком случае вообще может идти речь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #18, #19, #20

5. Сообщение от Аноним (-), 11-Янв-18, 20:00	–2 +/–
Да, ждем выхода из беты шифрования в Matrix и переходим/перетаскиваем знакомых на matrix/Riot
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

6. Сообщение от Аноним (-), 11-Янв-18, 20:03	–6 +/–
* ""только в России Telegram был оштрафован за непредоставление ключей шифрования сообщений. Это единственный подобный прецедент за 4 года работы Telegram на глобальном рынке."" https://vk.com/durov?w=wall1_2083400
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от foi (?), 11-Янв-18, 20:06	+/–
Какая пошлая шутка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

8. Сообщение от Аноним (-), 11-Янв-18, 20:10	+/–
Если к тому времени на планете ещё кто-нибудь останется
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (-), 11-Янв-18, 20:10	+1 +/–
Я вот одно не пойму... как можно оштрафовать приложение Telegram? Если оштрафовали компанию, то зачем ей существовать в России и ходить в их суды? Это обязательно для распространения чата в Google Play?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #23

10. Сообщение от Аноним (-), 11-Янв-18, 20:13	+/–
Штраф дали компании: ""Мещанский суд Москвы оштрафовал Telegram Messenger LLP на 800 тысяч рублей за непредоставление в ФСБ доступа к переписке (“ключей дешифровки”) пользователей Telegram."" https://vk.com/durov?w=wall1_2061401
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (-), 11-Янв-18, 20:13	+6 +/–
Не пошлая, а скабрёзная. Ничего пошлого в ней нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

15. Сообщение от Штольман (?), 11-Янв-18, 21:02	+/–
>Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки >WhatsApp >тайна переписки поделили на 0
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

17. Сообщение от Аноним (-), 11-Янв-18, 21:42	–1 +/–
да бред это все. Что знаю двое - то знают все =)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

18. Сообщение от Андрей (??), 11-Янв-18, 21:52	+1 +/–
Был. И появилась альтернативная реализация на websocket. А потом websocket перекочевали в официальный Signal.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #32

19. Сообщение от Андрей (??), 11-Янв-18, 21:57	+3 +/–
А ещё проще и надёжнее просто взять Jabber с OMEMO или Matrix/Riot.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #30, #63

20. Сообщение от Аноним (-), 11-Янв-18, 22:02	+3 +/–
С февраля прошлого года уже нет. Ну и push отправляет только сообщение вида "что-то произошло" на устройство, что именно произошло, разбирает проснувшаяся программа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

21. Сообщение от Аноним (-), 11-Янв-18, 22:14	–4 +/–
Почему Wire не упомянули? Он так же использует протокол Signal. Там нет этой уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #25, #29

22. Сообщение от anonymous (??), 11-Янв-18, 22:28	+/–
В мессенджере Signal ... участник должен определить секретный идентификатор группы (128-разрядное случайное значение), узнать который нереально, даже имея доступ к серверу (идентификатор передаётся между участниками только в зашифрованном виде). А в Signal есть уязвимость?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (-), 11-Янв-18, 22:32	+7 +/–
Это пиар-кампания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #52, #54

24. Сообщение от Аноним (-), 12-Янв-18, 04:20	+/–
>или предоставления доступа спецслужбам. this
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Moxie (?), 12-Янв-18, 06:18	+3 +/–
Очнись, дружок. Wire не использует протокол Signal.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #26

26. Сообщение от Аноним (-), 12-Янв-18, 06:58	–3 +/–
>Wire provides end-to-end encryption for its instant messages. Wire's instant messages are encrypted with Proteus, a protocol that Wire Swiss developed based on the Signal Protocol. https://en.wikipedia.org/wiki/Wire_(software) Во многом это тот же протокол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #53

27. Сообщение от Че (?), 12-Янв-18, 07:13	+/–
Симметричные ключи, MDK и UDK. Никто не знает про них, что-ли?
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от ryoken (ok), 12-Янв-18, 07:16	+2 +/–
> да бред это все. Что знаю двое - то знают все =) Не, не так :). Насколько помню, изначально было такое: "Мужик сказал свинье, свинья - борову, а боров - всему городу". :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от Moxie (?), 12-Янв-18, 07:47	+1 +/–
> Почему Wire не упомянули? Он так же использует протокол Signal. Там нет > этой уязвимости? Wire работает на протеусе. Связь с протоколом Signal минимальна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #35

30. Сообщение от Аноним (-), 12-Янв-18, 07:50	–1 +/–
Matrix/Riot подобной атаке не подвержен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #37

31. Сообщение от Аноним (-), 12-Янв-18, 07:59	+/–
- Защищённые чаты!, - кричали они. - Меня никто не взломает!, - отвечало эхо.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Telegram user (?), 12-Янв-18, 08:39	+/–
И теперь клиент Signal не будет ругаться на отсутствие гуглосервисов и выключаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #36, #50

33. Сообщение от Аноним123 (?), 12-Янв-18, 10:26	+/–
на бесконечность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

34. Сообщение от А (??), 12-Янв-18, 10:37	+2 +/–
> Таким образом, поставлена под сомнение способность групповых чатов WhatsApp обеспечить тайну переписки Будто бы кто-то в нее верил раньше.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (-), 12-Янв-18, 11:00	–1 +/–
> Связь с протоколом Signal минимальна. Это форк сигнала, проснись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #38

36. Сообщение от Андрей (??), 12-Янв-18, 11:01	+/–
На Андроиде пользуюсь Conversations и Riot. Установить Signal необходимости не было, так что наверняка не знаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от Андрей (??), 12-Янв-18, 11:03	+/–
Что для джаббера, что для матрикса, есть исходные коды не только клиента, но и сервера - анализируй сколько хош. Раз учёные молчат, значит подобных уязвимостей не нашли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

38. Сообщение от Moxie (?), 12-Янв-18, 11:24	+1 +/–
>> Связь с протоколом Signal минимальна. > Это форк сигнала, проснись. Это ты дяде в садике расскажешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #41

39. Сообщение от Unicorn (?), 12-Янв-18, 12:15	+7 +/–
Только Ring и Tox, а не эти "анонимные" поделия с привязкой к номерам телефонов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #42

40. Сообщение от Moxie (?), 12-Янв-18, 12:49	–3 +/–
> Только Ring и Tox, а не эти "анонимные" поделия с привязкой к > номерам телефонов. со дня на день помрут эти твои ring и tox
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #44, #47

41. Сообщение от Андрей (??), 12-Янв-18, 13:24	+2 +/–
(Meg)Olm (Matrix), OMEMO (Jabber), Proteus (Wire) - это всё реализации одного и того же протокола Signal (Axolotl, double-ratchet). Изменены могут быть только параметры, не оказывающие никакого существенного влияния на безопасность протокола. И не стоит забывать, что Signal - это по большому счёту только сама криптография, а всё остальное - на усмотрение реализации. Отсюда вот такие баги, как в новости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #46

42. Сообщение от Андрей (??), 12-Янв-18, 13:35	–1 +/–
Протокол Signal признан безопасным. А есть исследования, подтверждающие безопасность Tox? И несмотря на то что Tox старше Signal (где есть поддержка multi-device), у Tox баг всё ещё не закрыт: https://github.com/irungentoo/toxcore/issues/843. А как известно, это одна из самых сложных частей реализации. Про Ring мне тоже не попадалось исследований.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

44. Сообщение от Арни (?), 12-Янв-18, 15:00	+3 +/–
5 лет уже хоронят. Сам раньше помрешь. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

46. Сообщение от Moxie (?), 12-Янв-18, 15:18	+/–
> (Meg)Olm (Matrix), OMEMO (Jabber), Proteus (Wire) - это всё реализации одного и > того же протокола Signal (Axolotl, double-ratchet). Изменены могут быть только параметры, > не оказывающие никакого существенного влияния на безопасность протокола. > И не стоит забывать, что Signal - это по большому счёту только > сама криптография, а всё остальное - на усмотрение реализации. Отсюда вот > такие баги, как в новости. Судя по вики, матрикс - самостоятельный протокол, ипользующий библиотеку Olm только для "дополнительного шифрования между комнатами". В остальном это другой протокол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #49

47. Сообщение от А (??), 12-Янв-18, 15:39	–1 +/–
Тоже самое про венду и линь говорили, оба живы и умирать не собираются :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

49. Сообщение от Андрей (??), 12-Янв-18, 17:18	+/–
Не знаю по какой вики. Но изобрести безопасный крипто-протокол - это годы работы мастеров. Matrix - это группа (javascript-)программистов, а не крипто-спецов. Они работали только над конкретной реализацией, изменив кое-какие непринципиальные параметры. https://en.wikipedia.org/wiki/Double_Ratchet_Algorithm#Appli... Как видно, тут и Riot, и прочие знакомые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

50. Сообщение от Signal user (?), 12-Янв-18, 18:36	+1 +/–
>И теперь клиент Signal не будет ругаться на отсутствие гуглосервисов и выключаться? Он уже давно этого не делает. Просто предупреждает, что мол у тебя, чувак, нет GCM, всё может работать чуть-чуть помедленнее. В итоге работает без малейших проблем, и сообщения, и видеозвонки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

51. Сообщение от Аноним (-), 12-Янв-18, 21:31	+/–
У Signal получается как таковой проблемы нет. Если он не может читать сообщение в группе. Если получил доступ к серверу, то тут уже туши свет
Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от _ (??), 12-Янв-18, 23:39	+/–
Да сто пудов! Иначе было бы что то типа как к гуглям - 800000 но _в_день_ пока не исполнят :) А так дура(ф) лохов ишет :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #58

53. Сообщение от _ (??), 12-Янв-18, 23:42	+1 +/–
Запорожец и Феррари тоже во многом те же автомобили :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

54. Сообщение от qsdg (ok), 13-Янв-18, 00:04	–1 +/–
А за что штрафовать пиар-компанию, если она делает только пиар, а не мессенджер? Или я просто не понял шутки...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #55

55. Сообщение от qsdg (ok), 13-Янв-18, 00:07	+/–
> А за что штрафовать пиар-компанию, если она делает только пиар, а не > мессенджер? > Или я просто не понял шутки... Да и потом, штрафы суды обычно не дают одноразово. Обычно вердикт типа такого: 1. Штраф сегодня на такую-то сумму. 2. Указание исправить нарушение до какой-то даты. 3. За каждый день после этой даты идёт дополнительный штраф (aka счётчик). 4. В случае злостного невыполнения судебных требований -- прекращение ведения любого бизнеса компании, аннулирование лицензий итп. Поэтому "телеграму выписали штраф" звучит как-то неполно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #56

56. Сообщение от rshadow (ok), 13-Янв-18, 04:51	+/–
Да все полно. Просто все было выполнено. Адреса, пароли, явки переданы куда надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

57. Сообщение от Murz (ok), 13-Янв-18, 09:19	+/–
У Matrix/Riot реализация щифрования понадёжней даже несмотря на децентрализацию: https://matrix.org/docs/guides/e2e_implementation.html Так зачем же людям использовать эту коммерческую закрытую хрень, если уже есть надёжная и бесплатная опенсоурс реализация?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

58. Сообщение от Аноним (-), 13-Янв-18, 10:04	+/–
Ты то умён не по годам =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

59. Сообщение от Аноним (-), 13-Янв-18, 10:58	+/–
Почитайте, будет интересно: http://dolboeb.livejournal.com/3164007.html http://dolboeb.livejournal.com/3167688.html http://dolboeb.livejournal.com/3149444.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #61

60. Сообщение от Аноним (-), 13-Янв-18, 11:54	+/–
> даже несмотря на децентрализацию чего? Не путайте с tox/ring
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

61. Сообщение от Носик (?), 13-Янв-18, 12:53	+/–
Этот худила, слава б—гу отдал концы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #62

62. Сообщение от Аноним (-), 13-Янв-18, 13:02	+/–
Аргументируйте, почему так его назвали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Аноним (-), 17-Янв-18, 00:56	+/–
Лучше Tox, там нет сервера который так и просит чтобы его хакнули и который в два счета будет метаданные собирать на всю толпу. Не ваш сервер так сервер собеседника. На свой вы врядля всех переманите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема