根據加密軟體和服務開發商 Virgil Security, Inc 8 月 1 日的報告指出, Telegram 於 7 月 26 日所推出的個人身份識別的服務 Telegram Passport,可輕易遭受暴力破解法 (brute force attack) 的攻擊。
Telegram Passport 旨在替用戶加密個人身份信息,並讓他們與第三方共享身份證數據,例如:ICO 、加密錢包及任何需要遵守 KYC 規定的對象。根據 Telegram 官方形容,
用戶僅需上傳一次證明文件的檔案,即可與需要真實身份認證的服務供應商共享數據。
用戶的身份證明文件和個人數據將使用端對端加密並存儲在 Telegram 的雲端中,未來會將 Telegram Passport 的數據全數轉移到分散式的雲端中存儲,如此一來便無法將個人數據解密。
然而在 Virgil Security 的研究過程中,該服務的密碼保護措施引發了他們的關注。根據 Virgil Security 的說法,Telegram 使用 SHA-512 哈希算法,其原意本就不是用於保存密碼,而是用來校驗數據的完整性。
按照過去紀錄,這種算法會讓密碼更容易遭受暴力破解法的攻擊,即使密碼加鹽 (salted) 也不安全。在密碼學中,鹽值 (salt) 是隨機數據,在雜湊之前在密碼中插入特定的字串,這擴展了原始密碼的長度,提供了一些額外的保護。
Virgil 進一步列出他們所擔憂的安全問題:
- 用戶使用「只有自己知道的密碼」,對數據進行加密。
- 用戶將此數據上載到 Telegram 的雲端。
- 當用戶需要向第三方服務進行身份驗證時,需先解密該數據並為該服務的憑據重新加密。
該報告指出,以上 3 大因素都會暴露用戶的密碼哈希表 (password hash table),讓高端駭客有機可乘。該公司進一步解釋,
您上傳到 Telegram 雲端的數據安全性絕大多數依賴於您的密碼強度,因為利用哈希算法很容易發生暴力攻擊。再加上 Telegram 沒有使用數位簽章,這意味著如果用戶的數據被篡改,所有人將不得而知,甚至是用戶自身。
今年 3 月,Telegram 創始人 Pavel 和 Nikolai Durov 遭報導,他們已在第二輪的 ICO 中籌集了 8.5 億美元,用於開發 Telegram 通訊應用程式和區塊鏈平台 Telegraph Open Network (TON) 。