Názor k článku Čtou ruské úřady zprávy na Telegramu? Kouzelné API neexistuje, tvrdí tvůrci od Vít Šesták - > kdyby tam byla nějaká zásadní zranitelnost, už...

> kdyby tam byla nějaká zásadní zranitelnost, už na ni někdo přijde

To si někdo mohl o SSL3 v roce 2014 myslet taky, a přišel POODLE (padding oracle). Mimochodem, zrovna u padding oracle bych si nebyl jistý ani u MTProto. Klient musí nejdříve data rozšifrovat, pak může teprve ověřit integritu zprávy kontrolou MAC. To je riskantní postup, protože porušení integrity se může projevit jak při pokusu o rozšifrování, tak při ověřování MAC, a při implementaci je potřeba být velmi opatrný, aby se útočník nedozvěděl (odlišnou reakcí nebo odlišným časováním), kde to selhalo.

Jistě pomůže, když se pro šifrování použije nějaká prověřená knihovna. Jenže jsem skeptický k existenci prověřené knihovny pro AES IGE, které se mimo Telegram snad nikde nepoužívá.

Navíc při snaze pochopit samotný protokol jsem měl dost špagetový pocit. Jedna bizarnost nezboří bezpečnost celého protokolu jen proto, že to někde (nejspíš zcela náhodou) zachrání jiná bizarnost. To ale znamená, že je potřeba být obezřetný při snaze protokol (nebo jeho implementaci) upravit, protože je to náchylné na chyby.

Tedy asi se shodnemez že když si na to jeden člověk vyhradí odpoledne, nejspíš nenajde nic nového významného. Když ale má někdo dostatečný rozpočet na hlubší analýzu, už bych si na to nesázel.

> Proto se mnohem častěji útočí na konce komunikace, kde těch zranitelností je podstatně více (ať už v klientu, systému nebo samotném zařízení).

Častěji? Asi ano. Zejména v situacích, kdy někdo má telefon, na který již dva roky nevyšla žádná záplata („Ale on přece skvěle funguje, tak proč ho měnit?“), to asi bude mnohem jednodušší. Pro sledování uživatelů s plně záplatovanými telefony ale může být pro RF zajímavé znát i vhodnou zranitelnost v MTProto, a nepřijde mi to až tak nereálné.