บริการหนังสือเดินทางของโทรเลข UnderSpy
เช่นเดียวกับที่ข่าวของบริการ Passport ของ Telegram ได้รับความนิยมไปทั่วแผงหนังสือการวิพากษ์วิจารณ์อย่างตรงไปตรงมาเกี่ยวกับบริการดังกล่าวเกิดขึ้นจาก Chief Product Security Officer ที่ Virgil Security, Inc. , Alexey Ermishkin Ermishkin ให้ความกระจ่างเกี่ยวกับข้อผิดพลาด 'หลายคีย์' ในการรักษาความปลอดภัยของหนังสือเดินทางโดยเน้นการเข้ารหัสและการป้องกันรหัสผ่านที่ต้องการผ่านอัลกอริธึมการแฮช SHA-512 ที่อ่อนแอ การวิพากษ์วิจารณ์อย่างหนักนี้ไม่น่าแปลกใจเนื่องจาก Virgil Security เชี่ยวชาญในการเข้ารหัสแบบ end-to-end ด้วยการส่งข้อความที่เข้ารหัสแบบ End-to-End ของ Twilio และโซลูชันรหัสผ่านที่ป้องกันการละเมิด Pythia และ BrainKey
Telegram ซึ่งเป็น บริษัท ที่รู้จักกันดีในเรื่องของแพลตฟอร์ม Messenger ที่เข้ารหัสและทำลายตัวเองได้อย่างเข้มงวดเพิ่งประกาศเปิดตัว Telegram Passport บริการใหม่ล่าสุดซึ่งช่วยให้ผู้ใช้สามารถจัดเก็บเอกสารระบุตัวตนทั้งหมดตลอดจนการเดินทาง / งบการเงินและใบอนุญาตที่สำคัญในที่เดียวแบบดิจิทัล . แอปพลิเคชันนี้สร้างขึ้นเพื่อจัดเก็บข้อมูลนี้อย่างปลอดภัยจากนั้นส่งมอบให้กับแอปพลิเคชันและบริการของบุคคลที่สามเช่นกระเป๋าเงินดิจิทัลตามดุลยพินิจของผู้ใช้
ในคำวิจารณ์ที่เผยแพร่บนเว็บไซต์ของ Virgil Security Ermishkin ได้กำหนดเสียงที่ไม่ถูกต้องโดยระบุว่า 'การรักษาความปลอดภัยของหนังสือเดินทางทำให้ผิดหวังในหลาย ๆ ด้าน' เขาอธิบายว่าความกังวลที่ยิ่งใหญ่ที่สุดคือวิธีการป้องกันด้วยรหัสผ่านของ Passport ซึ่งมีข้อผิดพลาดในกระบวนการทั้งสามวิธี ได้แก่ การเข้ารหัสข้อมูลด้วยรหัสผ่านการสร้างคีย์เข้ารหัสข้อมูลและเข้ารหัสข้อมูลและอัปโหลดไปยังระบบคลาวด์
อัลกอริทึมการแฮชที่ใช้โดย Passport คือ SHA-512 ซึ่งเป็น 'อัลกอริทึมที่ไม่ได้มีไว้สำหรับการแฮชรหัสผ่าน' รายงานอ้างว่า LivingSocial บุกรุก 50 ล้านรหัสผ่าน ในปี 2013 ด้วย SHA-1 และ LinkedIn ได้โจมตีรหัสผ่าน 8 ล้านรหัสในปี 2555 ในลักษณะเดียวกัน แม้จะมีขั้นตอนการทำเกลือในรหัส แต่กลไกนี้ก็ทำให้รหัสผ่านมีความเสี่ยงและตามรายงาน แฮช SHA-512 1.5 พันล้านแฮช สามารถทำงานได้ทุกวินาทีใน GPU ระดับบนสุด นี่คือการโจมตีที่สามารถทำได้อย่างง่ายดายโดยฟาร์มขุด cryptocurrency ขนาดเล็ก
Telegram ไม่ได้รวม SCrypt, BCrypt, Argon 2 หรือสิ่งที่คล้ายกันในกระบวนการเข้ารหัสรหัสผ่าน เทคนิคการชุบแข็งเหล่านี้ไม่ได้ใช้โดย LivingSocial หรือ LinkedIn ทั้งที่ต้องทนทุกข์ทรมานจากผู้โจมตีที่ขโมยรหัสผ่านนับล้าน การขาดวิธีการป้องกันเช่นเดียวกับวิธีการที่กล่าวถึงก่อนหน้านี้เช่นเดียวกับ Pythia หรือ BrainKey ที่ Virgil Security ใช้ช่วยป้องกันช่องโหว่การโจมตีด้วยกำลังดุร้ายในระบบรหัสผ่าน แต่น่าเสียดายที่ Passport ไม่มีสิ่งนี้
นอกเหนือจากช่องโหว่ระยะเริ่มต้นนี้แล้วกระบวนการที่ Passport ใช้ในการสร้างคีย์เข้ารหัสยังใช้วิธีการที่ บริษัท คิดค้นขึ้นเองในการสุ่มไบต์แรกของอาร์เรย์แบบสุ่มซึ่งผลรวมคือ 0 mod 239 วิธีนี้จะถอดรหัสได้เร็วกว่ามาก ตรงข้ามกับวิธีการเข้ารหัส Hash Message Authentication Code (HMAC) และ Authenticated Encryption with Associated Data (AEAD) ซึ่ง Telegram เลือกที่จะไม่ใช้
ตามที่อธิบายโดย Ermishkin ผู้โจมตีที่ดุร้ายจะต้องคำนวณ SHA-512 โดยใช้เกลือสำหรับรหัสผ่านถัดไปเท่านั้นถอดรหัสคีย์กลาง (AES-NI) ค้นหาผลรวมที่ตรงกันคือ 0 mod 239 ค้นหาคีย์ถอดรหัสข้อมูลโดยใช้ SHA- 512 ตามที่เสร็จสิ้นในขั้นต้นและตรวจสอบการถอดรหัสของข้อมูลโดยลองใช้เซ็กเมนต์แรกเพื่อตรวจสอบไบต์ช่องว่างแรก
Ermishkin ยกข้อบกพร่องด้านความปลอดภัยเหล่านี้เพื่อปลุกระดมความตระหนักถึงภัยคุกคามที่แท้จริงที่เกิดจากการประนีประนอมของหนังสือเดินทางที่เป็นความลับทั้งหมด หลายปีที่ผ่านมา บริษัท ขนาดใหญ่พบการสูญเสียรหัสผ่านและความล้มเหลวในระบบของตน ไม่กี่ปีที่ผ่านมาและด้วยบริการที่มีคุณค่ามากขึ้นวิธีการป้องกันด้วยรหัสผ่านสำหรับหนังสือเดินทางในปัจจุบันของ Telegram นั้นไม่เพียงพอที่จะรักษาข้อมูลของผู้ใช้ให้ปลอดภัย
![[FIX] PlayStation Eye Cam Model: SLEH-00448 Driver Issue](https://jf-balio.pt/img/how-tos/74/playstation-eye-cam-model.jpg)
