Telegram Passport

[sabotag3x]

Comecei a utilizar o Telegram após conhecer as criptos, e cada dia que passa eu vejo ele como o melhor aplicativo mensageiro que tem por ai..

Ontem (26/07/2018), eles anunciaram o Telegram Passport, um método de autorização para serviços que exigem identificação pessoal, como ICOs.. Você envia os documentos uma vez para o Telegram Passport, e você pode utilizar sua ID para quantos serviços precisar.

No futuro, eles pretendem migrar os dados para uma nuvem descentralizada!


Para quem quiser ler o artigo completo, em inglês: https://telegram.org/blog/passport

[1715459490]

1715459490

[arthurbonora]

Eu também conheci o telegram pelas criptos, e também acho ele a frente dos demais, o sistema de criação de bots por exemplo, é fantástico como você consegue dar opções e usabilidade a plataforma.
me lembra muito os bots da antiga rede IRC, onde era apenas um bate - papo, mas que se fazia miséria com as possbilidades, tinha canal pra tudo (e era anos 00´s).

[Silenox]

Eu também comecei a usar o Telegram por causa das criptos, e nesse meio ano de uso dá pra ver que estão evoluindo bastante, sempre tem alguma novidade, com o tempo talvez supere a concorrência em popularidade aqui no Brasil e o pessoal migre pra ele.

[wilwxk]

O telegram tinha de tudo para ser o principal plataforma de mensagem instantânea no Brasil, na verdade até hoje eu me pergunto do motivo de entre todos os aplicativos que existem, usarmos o whatsapp, que é só mais um sem nenhum recurso em especial. O wechat por exemplo, já é usado até como forma de pagamento na china e afins.

Agora uma coisa boa pra lembrar foi aquela tentativa de ICO do telegram, ainda não entendi no que aquilo deu.

[lhvleao]

O Telegram está anos luz na frente da maioria dos mensageiros mais usados. Uso e gosto bastante mesmo. Eu comecei a usar numa daquelas quedas judiciais do whatsapp e nunca mais larguei. Pensei até que ele fosse fazer o maior sucesso justamente pelas funções que disponibiliza, mas assim que a situação voltou ao normal o pessoal voltou pro wpp

[DeltaX_Slayer]

O telegram tinha de tudo para ser o principal plataforma de mensagem instantânea no Brasil, na verdade até hoje eu me pergunto do motivo de entre todos os aplicativos que existem, usarmos o whatsapp, que é só mais um sem nenhum recurso em especial. O wechat por exemplo, já é usado até como forma de pagamento na china e afins.

Agora uma coisa boa pra lembrar foi aquela tentativa de ICO do telegram, ainda não entendi no que aquilo deu.

Comecei a utilizar o telegram por insistência de um amigo, inclusive ele me mandou esse artigo hoje. Depois que comecei me acostumei e falo sem medo que deixa o whatsapp no chinelo.
Acho que um dos motivos pelo qual telegram possa ser impopular à galera meio à parte de assuntos tecnológicos é pelo fato de que as operadoras oferecem varios descontos e planos sem franquia para whatsapp, o que motiva os demais de continuarem usando.

[alexrossi]

A unica coisa que me incomodou bastante do telegram foi o sync automatico dos contatos, que eu achei chato para quem gosta de privacidade. Espero que coloquem no futuro uma opçao pra tirar isso.

[Silenox]

A unica coisa que me incomodou bastante do telegram foi o sync automatico dos contatos, que eu achei chato para quem gosta de privacidade. Espero que coloquem no futuro uma opçao pra tirar isso.

Dá pra amenizar isso, vá até Configurações, depois Privacidade e Segurança e na opção Contatos escolha apagar contatos sincronizados, isso remove os contatos dos servidores do Telegram.

[galahads]

Eu vi, parece uma boa ferramenta, vamos ver isso em breve.

[wilwxk]

Lendo mais a fundo sobre o Passport, algo que me chamou atenção foi que essa feramenta traz muito mais praticidade do que segurança para o usuário, já que o telegram compartilharia os documentos com a empresa, e não apenas dar um "check" para ver se a pessoa possui os documentos já verificados pelo telegram.

[lhvleao]

Lendo mais a fundo sobre o Passport, algo que me chamou atenção foi que essa feramenta traz muito mais praticidade do que segurança para o usuário, já que o telegram compartilharia os documentos com a empresa, e não apenas dar um "check" para ver se a pessoa possui os documentos já verificados pelo telegram.

Particularmente quanto a esta nova utilidade, essa também foi a minha procupação. Mas se vc parar pra pensar, nada está seguro nesse ambiente digital. A qualquer site que vc disponibilize seus documentos, vc não tem a mínima noção de como eles gerem essas informações e com quem elas são compartilhadas.

[Croneon]

eu também gosto do Telegram, e parece ser seguro quanto à cryptografia e etc se não fosse assim China e Russia não teriam bloqueado o Telegram lá, mas essa de enviar documentos para nuvem já de problema com outros serviços

[Alveus]

Esses serviço de KYC vai ser top, vai evitar bastante o vazamento de dados por contar com a criptografia ponta-a-ponta do telegram. O telegram está muito na frente dos seus concorrentes em termos de inovação.

[sabotag3x]

Matéria no Criptomoedasfacil sobre falhas de segurança no Telegram Passport: https://www.criptomoedasfacil.com/nova-aplicacao-do-telegram-contem-falhas-de-seguranca-e-dados-de-usuarios-podem-ser-facilmente-hackeados/

[DeltaX_Slayer]

Matéria no Criptomoedasfacil sobre falhas de segurança no Telegram Passport: https://www.criptomoedasfacil.com/nova-aplicacao-do-telegram-contem-falhas-de-seguranca-e-dados-de-usuarios-podem-ser-facilmente-hackeados/

Uma coisa que eu achei estranho foi o seguinte: o protocolo bitcoin usa SHA 256 para a criação dos endereços. Se o Telegram usa SHA 512 para criptografar as informações, não seria algo tão seguro quanto? A empresa falou que as GPUs usariam facilmente bruteforce para quebrar a criptografia, mas até hoje não conheço caso de alguém acertando na loto e minerando uma private key kkkkk (pelo menos até onde eu sei)
Obs: sou newbie nessa área, então vou esperar os mais experientes me corrigirem.

[alegotardo]

Matéria no Criptomoedasfacil sobre falhas de segurança no Telegram Passport: https://www.criptomoedasfacil.com/nova-aplicacao-do-telegram-contem-falhas-de-seguranca-e-dados-de-usuarios-podem-ser-facilmente-hackeados/

Uma coisa que eu achei estranho foi o seguinte: o protocolo bitcoin usa SHA 256 para a criação dos endereços. Se o Telegram usa SHA 512 para criptografar as informações, não seria algo tão seguro quanto? A empresa falou que as GPUs usariam facilmente bruteforce para quebrar a criptografia, mas até hoje não conheço caso de alguém acertando na loto e minerando uma private key kkkkk (pelo menos até onde eu sei)
Obs: sou newbie nessa área, então vou esperar os mais experientes me corrigirem.

Os caras piraram, ou então eu é que devo ter dormido alguns anos a mais ontem à noite.
Não há qualquer evidência de que o algoritmo SHA-V2 já possa ter sido quebrado.

Vários certificados digitais de servidores, empresas e pessoas utilizam seguramente esse algoritmo hoje em dia.

Se eu estiver errado, por favor, apontem uma fonte confiável do contrário.

[Gustavo Livecoins]

olha o telegram é o mensageiro mais funcional que já utilizei até aqui, muito bom mesmo, com esse recurso promete ser maior ainda, e isso abre precedentes. claro que estamos dando nossos dados a eles, mas não creio que seja algo inseguro tanto quanto outras plataformas, exemplo facebook e outras mais.

eu uso whatsapp pq a galera usa muito mesmo, já queria ter desinstalado a muito tempo, mas fazer o que né.. já usei o Viber, mas é na pegada whatsapp, testei recentemente o Signal, gostei também dele, mas para mim o Telegram é o mais completo até aqui, sem dúvidas!

[girino]

li o artigo, e aqui vão minhas considerações:

1- sha2/sha512 é seguro. O que eles provavelmente estão dizendo é que com GPUs vc consegue fazer um ataque de força bruta qualificado (i.e. reduzindo o espaço de busca com dados estatisticos e informações anteriores) com alguma chance de sucesso. Se for bem implementado, não vejo esse risco.
2- Sim, é verdade que usar scrypt ou bcrypt vai reduzir a chance de ataques de força bruta, isso pode ser feito em cima do sha512 numa boa (são algoritmos de resistencia a GPU). Ainda assim, para saber se é necessário, é preciso ver como eles usam o sha512.
3- “a ausência de assinatura digital permite que seus dados sejam modificados sem que você ou o destinatário seja capaz de identificar”. Verdade, mas não vi evidencias de que não há assinatura digital. o sha512 pode ser usado pra gerar assinatura digital também.
4- essa tal virgil está tentando vender as ferramentas deles (brainkey e pithya sugeridos são deles, imagino que os outros sejam deles ou tenham implementações comerciais feitas por eles).
5- é de desonestidade intelectual MUITO grande dizer que sites que usam sha1 foram hackeados. sha1 e sha2 só tem em comum o nome. O sha1 foi quebrado, mas o sha2 nunca foi. FUD imenso!

Eu levaria com um pé atrás essa afirmação de que o serviço é inseguro, até que outras fontes confirmem.

[girino]

Recebi umas duvidas em inbox, vou trazer aqui pra responder.

Apontaram que o SHA512 usado nas senhas do Telegram Passport é vulnerável a ataques de força bruta..
Qual a diferença entre usar o SHA512 para encriptar senhas e nas private keys de alguma moeda? É por que as private keys usam outras técnicas em conjunto? como ECDSA, etc?
Por que ele é não é(ou é) tão seguro para encriptar senhas? Por conta de senhas fracas?
Quanto tempo levaria para encontrar tal hash sem conhecer nenhuma parte da senha com uma GPU normal? Esse tempo depende do comprimento da senha?

SHA512:

SHA512 (SHA2 com 512 bits) é um algoritmo de hash. Ele é não reversível. Você cria um "hash", um "resumo", da informação (senha, arquivo, etc) e é impossível (literalmente) recuperar a informação criptografada porque parte da informação é perdida no processo. Mas o SHA512 não é projetado para usar como hash de senhas. Ele é projetado para processar grandes quantidades de dados e gerar um identificador único, como por exemplo, os hashes das transações de bitcoin, ou os identificadores de blocos.

Força bruta:

Para o uso com senha, ele fica suscetível a ataques de força bruta porque senhas são pequenas. A tabela abaixo mostra o tempo necessário para uma força bruta com varios tipos de senha:

Code:

  Tipo de senha           | Tempo
--------------------------+------------------
 6 dígitos ASCII          | 40 minutos
 8 dígitos ASCII          | 18 meses
 8 dígitos alfanuméricos  | 2 dias

A maioria das senhas encaixaria na terceira categoria. Enfim, sha512 não é apropriado pra isso. Mas como eu disse, tem de ver como ele é usado. Se for usado apenas tirando um hash da senha, é realmente inseguro. Se for usado em combinação com sistemas de resistencia a força bruta (como scrypt, bcrypt ou hashcash) ele é tão bom quanto qualquer outro.

Criptografia de chave privada:

Criptografia de chave privada é outra coisa completamente diferente. É uma criptografia reversível e assimétrica. isso quer dizer que não há perda de informação e é possível recuperar a mensagem original completa. O processo usa duas chaves, uma delas para cifrar e a outra para decifrar a informação. A produção da chave publica a partir da privada é trivial, mas a recuperação da chave privada através da publica é virtualmente impossivel. O mesmo dá pra dizer da mensagem cifrada: é impossível recuperar a chave privada a partir da mensagem cifrada. Essa criptografia serve também para fazer assinaturas eletronicas. A assinatura eletronica é simplesmente uma mensagem criptografada com a chave privada que pode ser decifrada co ma chave pública. Assim vc consegue garantir que apenas o destinatário lê a mensagem, e o destinatário pode ter certeza de que quem enviou a mensagem foi realmente o remetente, sem ninguem no meio do caminho ler o alterar a mensagem.

Ainda assim, gerenciar as chaves privadas é algo complexo. Você precisa trazer a segurança para dentro do computador/celular do usuário. por isso hardware wallets são tão comuns. Ela também  não é apropriada para armazenar senhas de segura, e sim para troca de mensagens assinadas entre usuários.

São bastante resistentes a força bruta por serem lentas e difíceis de calcular. Por esse mesmo motivo, ninguem usa elas diretamente. Você usa a cripto de chave privada para cifrar uma senha aleatória e usa essa senha aleatória com um algoritmo mais rápido, de chave secreta (onde a mesma chave cifra e decifra a mensagem), como o AES. Ai envia junto da mensagem cifrada com AES a chave aleatória cifrada com a chave publica do remetente.

ECDSA:

ECDSA é um variação de sistemas de chave publica que não permite cifrar ou decifrar mensagens, apenas assiná-las. (DSA = Digital Signature Algorithm). Ele usa chaves mais curtas que outros sistemas de chave privada, mas ainda tem os mesmos problemas de gerenciamento de chaves. No bitcoin ele é usado como prova de posse dos bitcoins. Ao emitir uma transação, você assina usando a chave privada correspondente ao endereço (chave publica) do destinatário da transação anterior. Como se fosse o "endosso" de um cheque: Você recebe um cheque nominal, e assina no verso desse cheque, indicando que ele deve ser pago a um terceiro. Não serve também para guardar senhas de forma segura (a informação pode ser recuperada).

Minha opinião sobre a suposta falha de segurança está no post anterior.

[sabotag3x]

Excelente @girino! Nada como a opinião de alguém que entende do assunto..

-snip-
4- essa tal virgil está tentando vender as ferramentas deles (brainkey e pithya sugeridos são deles, imagino que os outros sejam deles ou tenham implementações comerciais feitas por eles).
-snip-

Agora que abri os links dentro do artigo deles, realmente parece uma jogada de marketing, já que todos links levam ao próprio site deles..

-snip-
Ainda assim, gerenciar as chaves privadas é algo complexo. Você precisa trazer a segurança para dentro do computador/celular do usuário. por isso hardware wallets são tão comuns. Ela também  não é apropriada para armazenar senhas de segura, e sim para troca de mensagens assinadas entre usuários.
-snip-

Ou seja, no final das contas, o mais importante é a situação do computador do usuário, certo? Afinal já vimos inúmeros casos de roubos por phishing, etc.. Será que as carteiras de hardware vão adicionar tais sistemas de identidade?

Obrigado pelas respostas!


edit: achei uma documentação sobre a implementação do Passport: https://core.telegram.org/passport
embora não diga como é feita a encriptação, mostra como é feita a desencriptação.. imagino que o processo seja o inverso da encriptação..