DOMANDA quanto è sicuro in realtà Telegram?

[DRKLG]

già fatto una ricerca rapida sul forum, ma nessun post corrisponde alle parole chiavi

mi chiedevo quanto fosse sicuro in realtà Telegram.. ok spesso vi sono news di come esso non fornisca i dati agli enti governativi e co (come spesso fanno molte altre aziende, apparte i gestori telefonici ma vabbè), mi chiedevo appunto quanto fosse sicuro esso, e quali fossero i potenziali problemi, per chi ne mastica di più di me

tempo fa avevo notato che le chat criptate fossero unicamente le chat segrete, le altre invece non erano specificate.. inoltre se fossero così esse potrebbero essere facilmente intercettate via conessione?
inoltre se le chat sono protette da una chiave di criptazione per ogni volta qualsichesivoglia accedere, in teoria non dovrebbe essere la stessa cosa nella memoria interna del telefono e non unicamente nell'app?, voglio dire l'app con la pass, non ti fa accedere alle tue chat se non hai la pass, mentre accedendo semplicemente ai alla cartella telegram,, si possono accedere a tutti i file di esso, senza alcun tipo di problema

 

[icox]

Risposta breve: no, Telegram non e' sicuro.

Risposta lunga: la criticita' maggiore sta nell'aver scelto di utilizzare un sistema di cifratura "home-made" (MTProto) che e' una pratica sempre sconsigliata se non si e' esperti di crittografia, e' sempre meglio affidarsi a soluzioni testate ed accettate dalla comunita' scientifica.
Nella pratica, i tuoi messaggi sono cifrati e protetti (nel caso di "chat segrete" anche end-to-end) il problema e' che usano un protocollo ideato da loro che e' "malvisto" da chi si occupa di sicurezza e crittografia (qui per esempio trovi una tesi interessante), anche se comunque non e' mai stato forzato che io sappia.

L'applicazione piu' sicura (fra quelle che conosco) e' Signal, utilizza un sistema di cifratura largamente testato e ritenuto sicuro. Stesso discorso per le app che usano lo stesso protocollo, per esempio Whatsapp (anche se loro usano una variante se non erro).

Se vuoi approfondire, questo e' un buon punto di partenza.


Telegram rimane, imho, uno dei migliori client per quanto riguarda funzionalita' e praticita' d'uso, ma se uno volesse uno strumento sicuro allora Telegram non sarebbe in cima alla lista.

 

[Bibbolo]

Non ho letto l'articolo (mancanza di tempo e "lettura veloce in inglese" arruginita :D) ma rimango abbastanza basito, credevo che Telegram fosse uno dei più sicuri se non il più sicuro...

Una cosa è certa, Whatsapp lo metterei in fondo alla classifica, non fosse altro per il suo padrone.. (Comunque, basta leggere un pò di articoli che si trovano anche in rete, come questo per esempio).

 

[DRKLG]

Risposta breve: no, Telegram non e' sicuro.

Risposta lunga: la criticita' maggiore sta nell'aver scelto di utilizzare un sistema di cifratura "home-made" (MTProto) che e' una pratica sempre sconsigliata se non si e' esperti di crittografia, e' sempre meglio affidarsi a soluzioni testate ed accettate dalla comunita' scientifica.
Nella pratica, i tuoi messaggi sono cifrati e protetti (nel caso di "chat segrete" anche end-to-end) il problema e' che usano un protocollo ideato da loro che e' "malvisto" da chi si occupa di sicurezza e crittografia (qui per esempio trovi una tesi interessante), anche se comunque non e' mai stato forzato che io sappia.

L'applicazione piu' sicura (fra quelle che conosco) e' Signal, utilizza un sistema di cifratura largamente testato e ritenuto sicuro. Stesso discorso per le app che usano lo stesso protocollo, per esempio Whatsapp (anche se loro usano una variante se non erro).

Se vuoi approfondire, questo e' un buon punto di partenza.


Telegram rimane, imho, uno dei migliori client per quanto riguarda funzionalita' e praticita' d'uso, ma se uno volesse uno strumento sicuro allora Telegram non sarebbe in cima alla lista.

si sapevo la storia del protocollo ma volevo capire se la cifreatura fosse applicata ovunque o solo in determinate chat dove è specificato...

 

[icox]

Tutte le comunicazioni client-server sono ovviamente protette ma per i messaggi "normali" le chiavi sono tenute sui server di Telegram. In altre parole devi fidarti di quello che ti dicono: non accedono ai tuoi dati e non concedono accesso a terzi, ma potenzialmente possono farlo. Per impedirlo devi ricorrere alla cifratura end-to-end, usando quelle che loro chiamano "chat segrete": in questo modo le chiavi rimangono sui device da cui inoltri il messaggio e non sono in alcun modo decifrabili (salvo falle nel sistema di cifratura).

Altre app (come appunto Signal o Whatsapp) implementano invece di default una crittografia end-to-end, il che le rende preferibili se si guarda alla sicurezza.
Poi di Whatsapp se ne puo' parlare, come riportato da Bibbolo il loro e' un sistema leggermente modificato per agevolare il recupero/consegna dei messaggi in casi limite (offline, cambio telefono/chiavi), alcuni esperti hanno sollevato qualche critica a riguardo ma in generale e' ritenuto sicuro e piu' affidabile di MTProto.

Ad oggi comunque che io sappia nessuno dei sistemi e' stato violato, in futuro chissa'. Da un punto di vista prettamente tecnico, se cerchi qualcosa di molto sicuro per il momento Signal e' una delle migliori scelte.

 

[Bibbolo]

Tra l'altro Telegram è stato più volte utilizzato dai terroristi per le loro comunicazioni riservate, e non risulta che siano state decifrate; non di certo hanno mai preferito Whatsapp o simili.. ci sarà un motivo

 

[icox]

Cosa usino i terroristi non lo so e non credo sia rilevante.
Da un punto di vista tecnico, il protocollo di Whatsapp (meglio ancora Signal) e' piu' sicuro di quello di Telegram, o meglio e' ritenuto piu' affidabile da esperti e comunita' scientifica. Fermo restando che entrambi hanno criticita', trovi una serie di link interessanti nei link che ho postato poco piu' su.

Possiamo poi stare a discutere su chi e' il proprietario di cosa, quale ti stia piu' simpatico e quale delle 2/3 si preferisce, ma questi sono altri discorsi :asd:

 

[Bibbolo]

I link da te postati sono molto interessanti e appena avrò modo proverò Signal. Tuttavia quando si parla di sicurezza, al di là delle informazioni teorico-tecniche di indubbia importanza, ci si basa anche sull'esperienza. Se un sistema che in teoria non è ritenuto molto sicuro non è mai stato violato nonostante diversi tentativi a mio avviso è da preferire ad uno che, sebbene definito super sicuro in partenza, è stato violato o, peggio ancora, del quale siano state ammesse backdoor dai loro sviluppatori per motivi di sicurezza governativa. Quanto ai "padroni" non si tratta certo solo di simpatie o antipatie, ma mi pare evidente che Zuckerberg-privacy/sicurezza non sia un binomio credibile. Per quanto ci si sforzi e per quanto il suo ruolo lo richieda.