விர்ஜில் செக்யூரிட்டி ஸ்லேம்ஸ் டெலிகிராமின் புதிய குறியாக்கம் மற்றும் முரட்டுத்தனமான தாக்குதலுக்கான பாதிப்பு

டெலிகிராமின் பாஸ்போர்ட் சேவை. UnderSpy

டெலிகிராமின் பாஸ்போர்ட் சேவையின் செய்தி நியூஸ்ஸ்டாண்டுகளைத் தாக்கியது போலவே, சேவையின் ஒரு அப்பட்டமான விமர்சனம் தலைமை தயாரிப்பு பாதுகாப்பு அதிகாரியிடமிருந்து முன் வந்தது விர்ஜில் செக்யூரிட்டி, இன்க். , அலெக்ஸி எர்மிஷ்கின். பாஸ்போர்ட்டின் பாதுகாப்பில் “பல முக்கிய” தவறுகளை எர்மிஷ்கின் வெளிச்சம் போட்டுக் காட்டினார், இது பலவீனமான SHA-512 ஹாஷிங் அல்காரிதம் மூலம் ஆசை-கழுவும் குறியாக்கத்தையும் கடவுச்சொல் பாதுகாப்பையும் எடுத்துக்காட்டுகிறது. விர்ஜில் செக்யூரிட்டி அதன் ட்விலியோவின் எண்ட்-டு-எண்ட் மறைகுறியாக்கப்பட்ட செய்தியிடல் மற்றும் அதன் மீறல்-ஆதார கடவுச்சொல் தீர்வுகள் பைத்தியா மற்றும் பிரைன்கே ஆகியவற்றுடன் இறுதி முதல் இறுதி குறியாக்கத்தில் நிபுணத்துவம் பெற்றிருப்பதால் இந்த கடுமையான விமர்சனம் ஆச்சரியமல்ல.

பெரிதும் மறைகுறியாக்கப்பட்ட மற்றும் சுய-அழிக்கக்கூடிய மெசஞ்சர் தளத்திற்கு பெயர் பெற்ற டெலிகிராம், சமீபத்தில் தனது புதிய சேவை டெலிகிராம் பாஸ்போர்ட்டை வெளியிடுவதாக அறிவித்தது, இது பயனர்கள் தங்கள் அடையாள ஆவணங்கள் மற்றும் முக்கியமான பயண / நிதி அறிக்கைகள் மற்றும் உரிமங்களை டிஜிட்டல் முறையில் ஒரே இடத்தில் சேமிக்க அனுமதிக்கிறது . இந்த தகவலை பாதுகாப்பாக சேமித்து, பின்னர் மூன்றாம் தரப்பு பயன்பாடுகள் மற்றும் பயனரின் விருப்பப்படி கிரிப்டோ பணப்பைகள் போன்ற சேவைகளுக்கு வழங்குவதற்காக பயன்பாடு கட்டப்பட்டுள்ளது.

விர்ஜில் செக்யூரிட்டியின் இணையதளத்தில் வெளியிடப்பட்ட விமர்சனத்தில், எர்மிஷ்கின் “பாஸ்போர்ட்டின் பாதுகாப்பு பல முக்கிய வழிகளில் ஏமாற்றமளிக்கிறது” என்று கூறி சுற்றுப்பட்டையிலிருந்து தொனியை அமைத்தார். பாஸ்போர்ட்டின் கடவுச்சொல் பாதுகாப்பு முறையைச் சுற்றியுள்ள மிகப் பெரிய கவலை, அதன் செயல்முறையின் மூன்று வழிகளிலும் தவறானது: கடவுச்சொல்லுடன் தரவை குறியாக்கம் செய்தல், தரவு குறியாக்க விசையை உருவாக்குதல் மற்றும் தரவை குறியாக்கி மேகக்கணியில் பதிவேற்றுதல்.

பாஸ்போர்ட்டால் பயன்படுத்தப்படும் ஹாஷிங் அல்காரிதம் SHA-512 ஆகும், இது 'கடவுச்சொற்களை ஹேஷிங் செய்வதற்கான வழிமுறையல்ல.' லிவிங் சோஷியல் சமரசம் செய்ததாக அறிக்கை மேற்கோளிட்டுள்ளது 50 மில்லியன் கடவுச்சொற்கள் 2013 இல் SHA-1 மற்றும் LinkedIn உடன் 2012 இல் 8 மில்லியன் கடவுச்சொற்களை சமரசம் செய்தது. குறியீட்டில் உப்பிடும் செயல்முறை இருந்தபோதிலும், இந்த வழிமுறை கடவுச்சொற்களை பாதிக்கக்கூடியதாக ஆக்குகிறது மற்றும் அறிக்கையின்படி, 1.5 பில்லியன் SHA-512 ஹாஷ்கள் ஒவ்வொரு நொடியும் உயர்மட்ட ஜி.பீ.யுகளில் செய்ய முடியும். இது ஒரு சிறிய கிரிப்டோகரன்சி சுரங்க பண்ணை மூலம் எளிதாக மேற்கொள்ளக்கூடிய தாக்குதல்.

டெலிகிராம் அதன் கடவுச்சொல் குறியாக்க செயல்பாட்டில் SCrypt, BCrypt, Argon 2 அல்லது போன்றவற்றை சேர்க்கவில்லை. இந்த கடினப்படுத்தும் நுட்பங்களை லிவிங் சோஷியல் அல்லது லிங்க்ட்இன் பயன்படுத்தவில்லை, அவர்கள் மில்லியன் கணக்கான கடவுச்சொற்களை திருடிய தாக்குதல் நடத்தியவர்களின் கைகளில் பாதிக்கப்பட்டுள்ளனர். முன்னர் குறிப்பிட்டது போன்ற பாதுகாப்பு முறைகள் இல்லாதது மற்றும் விர்ஜில் செக்யூரிட்டி பயன்படுத்திய பைத்தியா அல்லது பிரைன்கே போன்றவை கடவுச்சொல் அமைப்புகளில் முரட்டுத்தனமான தாக்குதல் பாதிப்புகளைத் தடுக்கின்றன, ஆனால் துரதிர்ஷ்டவசமாக பாஸ்போர்ட்டில் இவை எதுவும் இருப்பதாகத் தெரியவில்லை.

இந்த ஆரம்ப கட்ட பாதிப்புக்கு கூடுதலாக, பாஸ்போர்ட் அதன் குறியாக்க விசையை உருவாக்க பயன்படுத்தும் செயல்முறையானது, ஒரு சீரற்ற வரிசையின் முதல் பைட்டை சீரற்றதாக்குவதற்கான நிறுவனத்தின் சொந்தமாக கண்டுபிடிக்கப்பட்ட முறையைப் பயன்படுத்துகிறது, அதாவது தொகை 0 மோட் 239 ஆகும். இந்த முறை டிக்ரிப்ட் செய்ய மிக விரைவானது பாரம்பரியமாகப் பயன்படுத்தப்படும் ஹாஷ் செய்தி அங்கீகாரக் குறியீடு (HMAC) மற்றும் அசோசியேட்டட் டேட்டா (AEAD) சைபர் முறைகளுடன் அங்கீகரிக்கப்பட்ட குறியாக்கத்தை எதிர்த்து டெலிகிராம் பயன்படுத்த வேண்டாம் என்று தேர்வு செய்தது.

எர்மிஷ்கின் விளக்கமளித்தபடி, ஒரு மிருகத்தனமான தாக்குதல் தாக்குபவர் அடுத்த கடவுச்சொல்லுக்கு உப்பைப் பயன்படுத்தி SHA-512 ஐ மட்டுமே கணக்கிட வேண்டும், இடைநிலை விசையை (AES-NI) டிக்ரிப்ட் செய்ய வேண்டும், 0 மோட் 239 என்று பொருந்தக்கூடிய தொகை கண்டுபிடிக்க வேண்டும், SHA- ஐப் பயன்படுத்தி தரவு மறைகுறியாக்க விசையைக் கண்டறியவும் ஆரம்பத்தில் செய்தபடி 512, மற்றும் முதல் பகுதியை அதன் முதல் திணிப்பு பைட்டை சரிபார்க்க முயற்சிப்பதன் மூலம் தரவின் மறைகுறியாக்கத்தை சரிபார்க்கவும்.

அனைத்து ரகசிய பாஸ்போர்ட்டின் சமரசத்தாலும் முன்வைக்கப்படும் உண்மையான அச்சுறுத்தலுக்கான விழிப்புணர்வை ஏற்படுத்த எர்மிஷ்கின் இந்த பாதுகாப்பு குறைபாடுகளை எழுப்புகிறார். பல ஆண்டுகளுக்கு முன்பு, பெரிய நிறுவனங்கள் கடவுச்சொல் இழப்புகள் மற்றும் அவற்றின் கணினிகளில் தோல்விகளைக் கண்டன. சில ஆண்டுகளில் மற்றும் அதிக மதிப்புமிக்க சேவையுடன், டெலிகிராமின் பாஸ்போர்ட்டிற்கான கடவுச்சொல் பாதுகாப்பின் தற்போதைய முறைகள் அதன் பயனர்களின் தரவைப் பாதுகாப்பாக வைத்திருக்க போதுமானதாக இல்லை.