web-dev-qa-db-ja.com

テレグラム:サードパーティのsocks5プロキシを使用するユーザーのセキュリティリスク?

ユーザーが自分のTelegramクライアントにサードパーティのSOCKS5プロキシを使用することを決定した場合、ユーザーにとって考えられるセキュリティリスクは何ですか?

特に、プロキシがサインアップする人全員に同じログインとパスワードを使用するよう提案する場合( eg )。

特に、プロキシの所有者が、非プライベートのシングルユーザーからシングルユーザーへのチャットでユーザーの通信を盗聴することは可能ですか?

テレグラムにサードパーティのSOCKS5プロキシを選択/使用する場合、他にどのようなリスクを考慮する必要がありますか?

3
yurkennis

ほとんどの通信システムの最大のセキュリティ問題は、メッセージを傍受/傍受およびデコード/改ざんするサードパーティの機能です。このような攻撃は、「中間者攻撃」(MiTM)と呼ばれます。ピアから宛先に、またはその逆に送信するときにメッセージを保護するための多くのアプローチがあります。

たとえば、HTTPSプロトコルでは、クライアントプログラムはアプリケーション通信を開始する前にサーバーからパブリック証明書をダウンロードし、ダウンロードしたサーバーのパブリックキーを使用してメッセージを暗号化します。ただし、MiTMは接続を乗っ取り、サーバーのふりをして、偽の証明書を発行してユーザーをだますことができます。したがって、これにより、問題を「パッチ」するHPKPおよびHSTSが実装されます。これらのメカニズムは「Trust On First Use」(TOFU)に基づいているため、「パッチ」と呼ばれます。

一方、Telegramなどのメッセージングシステムは、サーバーのパブリック証明書をクライアント内に埋め込みます。これにより、仲介者が接続を偽装してメッセージを読み取るリスクが軽減されます。サーバーの秘密鍵なし。これは Telegram FAQの下 で言及されています。

要するに、ユーザーが強化されたテレグラムクライアントを使用していない場合、メッセージはかなり安全です(現在のCPUパワーの下で、暗号化キーの強度)。

4
mootmoot