Telegram Passport

[girino]

(...)
edit: achei uma documentação sobre a implementação do Passport: https://core.telegram.org/passport
embora não diga como é feita a encriptação, mostra como é feita a desencriptação.. imagino que o processo seja o inverso da encriptação..

Cara, a menos que eles tenham mudado depois desses caras falarem mal, as criticas deles não fazem sentido. o hash512 é usado em conjunto com um sistema de chaves privadas (RSA) para gerar uma senha a ser usada por AES. O sha512 é usado exatamente como deve, sem risco de segurança nenhum.

[1715210358]

1715210358

[1715210358]

1715210358

[1715210358]

1715210358

[1715210358]

1715210358

[1715210358]

1715210358

[1715210358]

1715210358

[DeltaX_Slayer]

(...)
edit: achei uma documentação sobre a implementação do Passport: https://core.telegram.org/passport
embora não diga como é feita a encriptação, mostra como é feita a desencriptação.. imagino que o processo seja o inverso da encriptação..

Cara, a menos que eles tenham mudado depois desses caras falarem mal, as criticas deles não fazem sentido. o hash512 é usado em conjunto com um sistema de chaves privadas (RSA) para gerar uma senha a ser usada por AES. O sha512 é usado exatamente como deve, sem risco de segurança nenhum.

Girino, obrigado pela resposta detalhada! Nada como a opinião de alguém que manja. Eu, ao fazer meu tcc sobre criptomoedas tive que tentar entender a parte técnica da coisa, então eu busquei bastante informação para poder afirmar ser algo totalmente seguro. Quando eu vi eles acusando falha no algoritmo achei bem estranho. Agora como a galera percebeu a isca para se comprar os supostos programas de proteção, dá pra notar o teor totalmente parcial.

[wilwxk]

(...)
edit: achei uma documentação sobre a implementação do Passport: https://core.telegram.org/passport
embora não diga como é feita a encriptação, mostra como é feita a desencriptação.. imagino que o processo seja o inverso da encriptação..

Cara, a menos que eles tenham mudado depois desses caras falarem mal, as criticas deles não fazem sentido. o hash512 é usado em conjunto com um sistema de chaves privadas (RSA) para gerar uma senha a ser usada por AES. O sha512 é usado exatamente como deve, sem risco de segurança nenhum.

Essa documentação foi feita mais para as empresas usarem para integrar o passports, mas dando uma olhada rápida com certeza a criptografia não está sendo mal aplicada, e a encriptação seria o mesmo modelo das mensagens, criptografada e armazenada na nuvem deles, no fundo eles só criaram um suporte especial para o envio de documentos onde antes era só mensagens.

E sobre o sha2 ou AES ser um dos problemas... eu acho que nem vale a pena comentar né.

[thms]

Criptografia de chave privada:

Criptografia de chave privada é outra coisa completamente diferente. É uma criptografia reversível e assimétrica. isso quer dizer que não há perda de informação e é possível recuperar a mensagem original completa. O processo usa duas chaves, uma delas para cifrar e a outra para decifrar a informação. A produção da chave publica a partir da privada é trivial, mas a recuperação da chave privada através da publica é virtualmente impossivel. O mesmo dá pra dizer da mensagem cifrada: é impossível recuperar a chave privada a partir da mensagem cifrada. Essa criptografia serve também para fazer assinaturas eletronicas. A assinatura eletronica é simplesmente uma mensagem criptografada com a chave privada que pode ser decifrada co ma chave pública. Assim vc consegue garantir que apenas o destinatário lê a mensagem, e o destinatário pode ter certeza de que quem enviou a mensagem foi realmente o remetente, sem ninguem no meio do caminho ler o alterar a mensagem.

O certo não é Criptografia de chave pública?

Além disso, a assinatura eletrônica não tem como objetivo criptografar a mensagem e sim provar a autoria. Para garantir que apenas o destinatário leia a mensagem, é necessário criptografar com a chave pública do destinatário (independente de assinatura). Até por essa razão que se chama "Criptografia de chave pública" porque é ela que é usada para criptografar e não a chave privada.

[girino]

O certo não é Criptografia de chave pública?

Tanto faz, mas usei o termo que foi usado na pergunta e no artigo postado. Mas sim, o termo mais comum é criptografia de chave publica.

Além disso, a assinatura eletrônica não tem como objetivo criptografar a mensagem e sim provar a autoria. Para garantir que apenas o destinatário leia a mensagem, é necessário criptografar com a chave pública do destinatário (independente de assinatura). Até por essa razão que se chama "Criptografia de chave pública" porque é ela que é usada para criptografar e não a chave privada.

Talvez eu tenha me expressado mal. Mas sim, "a assinatura eletrônica não tem como objetivo criptografar a mensagem e sim provar a autoria.". O processo que você descreve (cifrar com chave publica para decifrar com chave privada) não é o processo de assinatura. É o processo de criptografia. O processo de assinatura consiste na mensagem criptografada com a chave privada, para ser decifrada com a chave publica (o contrario do que é feito na criptografia). Assim tem-se uma mensagem possível de ser lida por todos, mas que so pode ser produzida pelo possuidor da chave privada.

[wilwxk]

O certo não é Criptografia de chave pública?

Tanto faz, mas usei o termo que foi usado na pergunta e no artigo postado. Mas sim, o termo mais comum é criptografia de chave publica.

Existem pessoas que referem a criptografia de chave privada como a simétrica e a de chave pública como a assimétrica, então é bom tomar cuidado nessas ocasiões, mas pra mim eles são a mesma coisa também.

Além disso, a assinatura eletrônica não tem como objetivo criptografar a mensagem e sim provar a autoria. Para garantir que apenas o destinatário leia a mensagem, é necessário criptografar com a chave pública do destinatário (independente de assinatura). Até por essa razão que se chama "Criptografia de chave pública" porque é ela que é usada para criptografar e não a chave privada.

Talvez eu tenha me expressado mal. Mas sim, "a assinatura eletrônica não tem como objetivo criptografar a mensagem e sim provar a autoria.". O processo que você descreve (cifrar com chave publica para decifrar com chave privada) não é o processo de assinatura. É o processo de criptografia. O processo de assinatura consiste na mensagem criptografada com a chave privada, para ser decifrada com a chave publica (o contrario do que é feito na criptografia). Assim tem-se uma mensagem possível de ser lida por todos, mas que so pode ser produzida pelo possuidor da chave privada.

Eu acho ruim relacionar a ideia de assinatura com o processo de criptografar usando uma chave privada (já que geralmente "criptografar" está relacionada a ideia de esconder algo), já que a assinatura sempre (pelo menos quando a pessoa sabe o que está fazendo) é feita sobre o hash da mensagem original, isso quer dizer que sempre que alguém quer criar uma mensagem assinada, ela também precisa oferecer a mensagem original junto a assinatura que foi feita sobre o hash da mensagem, por exemplo, no bitcoin as transações não podem conter só umas informações assinadas, endereços preciso ter as informações em formato legível e ter só uma assinatura sobre o hash dessas informações.

[thms]

O processo que você descreve (cifrar com chave publica para decifrar com chave privada) não é o processo de assinatura. É o processo de criptografia.

Ué mas onde que eu disse que criptografar com chave pública é o processo de assinatura?

O que eu estava contestando é quando vc falou isso:

A assinatura eletronica é simplesmente uma mensagem criptografada com a chave privada que pode ser decifrada co ma chave pública. Assim vc consegue garantir que apenas o destinatário lê a mensagem

Não se criptografa com a chave privada. A mensagem deve continuar legível com a assinatura. E a assinatura não garante(e nem foi feita pra garantir) que apenas o destinatário leia a mensagem! É um erro conceitual.

[thms]

Existem pessoas que referem a criptografia de chave privada como a simétrica e a de chave pública como a assimétrica, então é bom tomar cuidado nessas ocasiões, mas pra mim eles são a mesma coisa também.

A grandíssima sacada de gênio foi justamente criptografar com a chave pública, por isso o nome. Mudou totalmente o conceito.

Realmente "Criptografia de Chave Privada" é isso que vc falou, o antigo método de uma chave única para abrir e fechar o cofre.

[girino]

O processo que você descreve (cifrar com chave publica para decifrar com chave privada) não é o processo de assinatura. É o processo de criptografia.

Ué mas onde que eu disse que criptografar com chave pública é o processo de assinatura?

O que eu estava contestando é quando vc falou isso:

A assinatura eletronica é simplesmente uma mensagem criptografada com a chave privada que pode ser decifrada co ma chave pública. Assim vc consegue garantir que apenas o destinatário lê a mensagem

Não se criptografa com a chave privada. A mensagem deve continuar legível com a assinatura. E a assinatura não garante(e nem foi feita pra garantir) que apenas o destinatário leia a mensagem! É um erro conceitual.

Acho que estamos com dificuldade muito grande de nos comunicar, pois não estou dizendo NADA de diferente do que vc está dizendo. A unica diferença entre o que eu digo e o que vc diz é:

- O processo de assinatura usando sistemas de cripto assimetrica consistem em cifrar a mensagem original (ou um hash dela, como bem apontou o wilwxk) usando a chave privada.

Mas de novo, essa discussão é totalmente inútil, porque são picuinhas não afetam em nada o texto original (inclusive eu poderia remover isso da minha explicação original e responder todas as duvidas levantadas do mesmo jeito). Então, se quiser continuar insistindo que estou errado forçando interpretações erradas do que eu disse, fique a vontade. Eu já passei da idade de ficar discutindo por migalha de "mérito". Boa sorte com sua atitude.

[girino]

(...)

Eu acho ruim relacionar a ideia de assinatura com o processo de criptografar usando uma chave privada (já que geralmente "criptografar" está relacionada a ideia de esconder algo), já que a assinatura sempre (pelo menos quando a pessoa sabe o que está fazendo) é feita sobre o hash da mensagem original, isso quer dizer que sempre que alguém quer criar uma mensagem assinada, ela também precisa oferecer a mensagem original junto a assinatura que foi feita sobre o hash da mensagem, por exemplo, no bitcoin as transações não podem conter só umas informações assinadas, endereços preciso ter as informações em formato legível e ter só uma assinatura sobre o hash dessas informações.

você tá certo. na mensagem original eu comecei usando "cifrar" que não tem a conotação de esconder, mas acabei deslizando nessa parte. O termo criptografar ficar realmente ambiguo nesse contexto.