如果MTProto不安全的话，电报的秘密聊天安全吗？

Question

对于那些不知道的人来说：电报是一个部分开源的Whatsapp (服务器是封闭源代码)，它提供秘密聊天和正常聊天。秘密聊天用Diffie-Hellman密钥交换加密，并且是端到端加密的.我们可以用条形码来验证他的同龄人的签名。正常的聊天不是端到端的加密，而是在设备之间同步的好处。

电报因使用一种全新的协议MTProto而受到广泛批评。MTproto是否真正安全超出了这个问题的范围，让我们假设它是不安全的。

既然DH被用于秘密聊天，那么MTProto的妥协会不会破坏秘密聊天呢？DH和MTproto的耦合方式是否使MTProto失败，DH失败？或者这是分层的，以至于两个人必须失败才能让秘密谈话变得脆弱？

简而言之，如果一个人不信任MTProto，还能信任DH的秘密聊天吗？

注意: MTProto也使用DH进行设备注册，这是无关的。

有用的正式文件：

MTProto的详细描述

技术常见问题

秘密聊天

更新：

Anton Garcia Dosil说DH只是分发密钥的一种方式，而不是加密方法本身。这绝对是真的，我很抱歉在这里有点含糊不清。我问题的一个更清晰的表述是:一旦两个对等方交换DH密钥并开始端到端加密，MTProto是否使用已知的安全加密方法？还是使用另一个家庭酿造的加密方案？如果它确实使用已知的加密方法X来进行秘密聊天，那么X和MTproto的耦合方式是否会导致MTProto失败，X就会失败？或者这是分层的，以至于两个人必须失败才能让秘密谈话变得脆弱？

Answer 1

Diffie-Hellman (我猜他们以某种方式认证DH )的目标仅仅是密钥分配。

MTProto的目标是加密。

Diffie-Hellman为MTProto提供密钥，比方说。这是在一个更高的层次。虽然MTProto是“坏的”，但安全密钥的建立仍在进行。因此DH有效地实现了它的目的(密钥分配)。

话虽如此，如果您能够以某种方式强行使用密钥来破坏MTProto (例如keylength很小)，那么问题仍然是MTProto而不是DH。

协议的强度和最弱的一环一样强大。在这种情况下，如果我们认为MTProto是不可靠的，那么整个协议是不可靠的。

编辑:查看MTProto中的规范。我不确定完全理解这个问题，但我相信您会问，MTProto的“原子”元素是否可以通过糟糕的耦合而松散有效性。

• AES-256用于加密，这是可以接受的。
• SHA1作为哈希函数目前是可以接受的。
• Diffie-Hellman用于密钥建立，ok (只要有身份验证)。后来建立的密钥派生出一个加密密钥(时间和序列号)，以提供实体身份验证。

对于这个协议，我能看到的唯一问题是如果DH没有被认证。如果不是这样的话，任何人都可以生成加密密钥(使用在MITM中获得的共享密钥和透明传输的新鲜来源)。

对于端到端，他们也使用AES-256。不过，指纹看起来有点蹩脚(并且重复使用加密密钥)。

摘要= md5(key + iv)指纹=substr(摘要，0，4) XOR substr(摘要，4，4)

此外，他们似乎在欧洲央行模式下使用AES，这种方式也很糟糕，但总的来说，对于普通用户来说，协议似乎是“可以的”。如果你是斯诺登或阿桑奇，也许可以用别的东西以防万一;)

Answer 2

他们使用AES在IGE模式，而不是在欧洲央行模式。但无论如何，它不应该是正常的用户和更好的没有分组密码模式。

使用256位密钥aes_key和256位初始化向量aes-iv对数据进行加密，使用AES-256加密，具有无限的混淆扩展(IGE)。

由电报