Павел Дуров пообещал $200 тыс. расшифровщику трафика мобильного приложения Telegram
Основатель «ВКонтакте» открыл протокол и исходный код, чтобы найти разработчика, который сможет сделать протокол нерушимым.
Павел Дуров, основавший американскую компанию Digital Fortress, пообещал вознаграждение в размере $200 тыс. тому, кто сможет расшифровать трафик мобильного приложения Telegram. Данные соревнования, обычно, организуются в маркетинговых целях, а не ради доказательства качества продукта.
После длительного изучения уязвимость в программе была обнаружена русским исследователем под псевдонимом x7mz, который опубликовал статью по теме на сайте «Хабрахабр». В программных интерфейсах защищенных чатов Telegram, где применяется end-to-end шифрование, x7mz обнаружил модифицированный алгоритм обмена ключами Диффи-Хеллмана.
key = pow(g_b, a) mod dh_prime был изменен на key = (pow(g_b, a) mod dh_prime) xor nonce
Эксперт был возмущен тем, что наличие nonce в алгоритме не делает ключ безопасней для клиента, а лишь "выворачивает его наизнанку". В случае, если nonce разная, существует возможность того, что ключи пользователей совпадут и пользователь будет прослушиваться не зная об этом. Тем не менее, если nonce совпадет сегодня, то он может не совпасть завтра, когда офис Digital Fortress навестят АНБ или ФСБ.
Будучи человеком слова, Павел Дуров согласился с замечаниями и выплатил x7mz $100 тыс. Вместо чувства потери, основатель «Вконтакте» горд своим соотечественником, который обошел американских криптографов на HackerNews и не жалеет о своем решении открыть протокол и исходный код. Дуров уверен, что программист получил вполне заслуженное вознаграждение. Несмотря на это, поиски разработчика, который сможет сделать протокол нерушимым и получить $200,000 продолжаются.
Устали от того, что Интернет знает о вас все?