Cependant, en décembre 2020, la nouvelle s'est répandue dans les médias selon laquelle la célèbre société de hackers Cellebrite avait brisé le cryptage de ce messager crypto.
Et les lecteurs de Habr pour la correspondance secrète ne préfèrent pas du tout Signal, mais des conversations secrètes Telegram (du moins de ceux qui ont participé à notre enquête ).
Tout d'abord, je dois dire sur le "piratage" du cryptage Signal. En fait, il s'est avéré que le scientifique, par habitude, avait violé le journaliste. Non seulement Cellebrite n'a pas réussi à déchiffrer le cryptage, mais elle ne l'a jamais dit, et tout le battage médiatique est venu d'un article sur le site Web de la BBC avec un titre d'appât , car les journalistes ont mal compris l'essence de l'article de Cellebrite.
Cellebrite est probablement qualifiée. Leurs équipements et logiciels sont utilisés dans le domaine de la criminalistique, en particulier pour extraire le contenu des smartphones confisqués par les forces de l'ordre du monde entier (voir la base de clients divulguée de l'entreprise ).
Mais dans ce cas, Cellebrite s'est un peu déshonorée - et a maintenant supprimé l'article., ou plutôt, réduit à une compression sans détails techniques sous une rubrique différente (bien qu'au début une erreur 404 ait été effectivement émise à cette adresse). Afin de ne pas provoquer de telles tendances.
Certes, l'article lui-même était un peu prétentieux et drôle. Titre bruyant. Et il y a de telles perles:
:
[...] , , . Signal . , .
[...] , . . “pref_attachment_encrypted_secret”, “data” “iv”.
Autrement dit, les experts ont fièrement parlé de leurs réalisations, mais se sont moqués d'eux. La conversion en un fichier texte de l'historique des messages de la décharge a été donnée sous le titre "Briser le code", et ils ont décrit les choses les plus simples avec un tel pathétique que cela ressemble à de la satire. Eh bien, l'histoire a été mal interprétée dans les médias, qui ne comprenaient pas du tout de quoi il s'agissait.
En fait, le messager open source Signal est toujours considéré comme l'un des plus sécurisés. Son protocole a passé un audit de sécurité . L'auteur du programme Moxie Marlinspike compare"Piratage" de Cellebrite, comme si vous aviez pris un téléphone jailbreaké et lancé n'importe quelle application - et donc prétendument piraté un système crypté. Ou si une personne qui a une clé et une serrure à sa disposition serait considérée comme un casse-serrure.
Personne ne doute de la sécurité et de la sûreté du protocole Signal. Le code source complètement ouvert de tous les clients ne fait qu'ajouter à la fiabilité de l'ensemble du système.
Eh bien, qu'en est-il du protocole MTProto 2.0 dans Telegram? Voici une description de la partie qui est utilisée pour le chiffrement de bout en bout, c'est-à -dire pour les discussions secrètes. Des équipes scientifiques distinctes ont analysé la couche de sécurité de la première version de MTProto, et les résultats ont été extrêmement décevant , ou plutôt désastreux. De nombreuses erreurs graves ont été identifiées. Bien sûr, les développeurs de Telegram ont corrigé ces failles dans la deuxième version. Par exemple, ils sont passés de SHA-1 à SHA-256 et ainsi de suite. Le circuit est joli.
Mais la deuxième version n'a encore été testée par aucun des cryptographes indépendants et des institutions scientifiques, à notre connaissance.
Par conséquent, du point de vue de la qualité et de la fiabilité du cryptage, le choix reste en faveur de Signal. On dirait qu'Elon a raison.