Telegram é realmente um app de mensagens criptografadas?

 (blog.cryptographyengineering.com)
9 pontos por GN⁺ 2024-08-26 | 2 comentários | Compartilhar no WhatsApp
  • Recentemente, ocorreu o caso da prisão do CEO do Telegram, Pavel Durov, pelas autoridades francesas
  • A maioria das notícias descreve o Telegram como um "app de mensagens criptografadas", o que é tecnicamente correto, mas na prática é uma forma enganosa de dizer isso

O Telegram usa criptografia?

  • Nos serviços modernos de mensagens privadas, criptografia normalmente significa criptografia de ponta a ponta
  • O Telegram não oferece criptografia de ponta a ponta por padrão
  • A criptografia de ponta a ponta só é possível quando o usuário ativa manualmente o recurso "chat secreto"
  • Esse recurso só está disponível em conversas 1:1 e não pode ser usado em chats em grupo
  • Ele foi projetado de uma forma que dificulta a ativação por usuários leigos

A criptografia padrão é importante?

  • A falta de criptografia padrão no Telegram pode não ser um grande problema para muitos usuários
  • O Telegram é frequentemente usado como uma rede social
  • Um dos recursos mais populares do Telegram são os "canais" e os grandes chats públicos em grupo
  • Nesses chats públicos, a criptografia não tem muito significado
  • Porém, muitos usuários precisam de criptografia forte ao trocar mensagens privadas

O Telegram sabe que a criptografia é difícil

  • A criptografia do Telegram vem recebendo muitas críticas desde 2016
  • O Telegram ainda não oferece criptografia padrão, e a experiência do usuário também não melhorou
  • O CEO do Telegram, Pavel Durov, promove o Telegram como um "mensageiro seguro", mas na prática não é bem assim

Detalhes tediosos sobre criptografia

  • O recurso de "chat secreto" do Telegram usa um protocolo próprio chamado MTProto 2.0
  • Esse protocolo usa um modo de criptografia autenticada fora do padrão, com muitos elementos que dariam margem a várias perguntas por parte de especialistas
  • Se a criptografia não for realmente usada, sua segurança tem pouca relevância prática

Outras coisas que você deve saber

  • A criptografia de ponta a ponta é uma boa ferramenta para evitar vazamento de dados, mas o problema dos metadados continua existindo
  • Metadados incluem quem usa o serviço, com quem a pessoa conversa e quando essas conversas acontecem
  • Esses dados ficam armazenados nos servidores do Telegram e são úteis para quem quiser coletá-los

Resumo do GN⁺

  • Este artigo busca corrigir equívocos sobre os recursos de criptografia do Telegram
  • O Telegram não oferece criptografia de ponta a ponta por padrão, e o usuário precisa ativá-la manualmente
  • A criptografia do Telegram é difícil de usar, e muitos usuários não percebem isso
  • O problema dos metadados continua existindo, e isso vale para todas as redes sociais e mensageiros privados
  • Recomenda-se usar mensageiros que oferecem criptografia por padrão, como Signal ou WhatsApp

Leituras relacionadas

2 comentários

 
GN⁺ 2024-08-26
Comentários do Hacker News

  • Há quem sugira testar se é possível entrar na conta em um novo dispositivo pelo processo de recuperação de senha e ver mensagens antigas

    • Se for possível, então as autoridades também podem acessar

  • Há quem diga que o Telegram está mais para rede social do que para mensageiro

    • Há muitos canais úteis e ele tem um papel importante no compartilhamento de informações em vários países
    • Nessa perspectiva, e2ee (criptografia de ponta a ponta) não é tão importante
    • Num momento em que a maior parte das redes sociais, como Reddit, X e Instagram, está fechando suas APIs, o Telegram ainda oferece uma API gratuita

  • Há quem diga que o Telegram não é criptografado por padrão e que, mesmo quando é, não se deve confiar informações importantes a dispositivos vinculados

    • O Telegram é atualmente a melhor plataforma de comunicação
    • Tem vários recursos e está à frente de outras plataformas nesse aspecto
    • Esperam que o Telegram continue bem mantido mesmo após o incidente recente

  • Há quem diga que o problema é que a maioria dos usuários não técnicos acha que o Telegram normalmente usa e2ee

  • Há quem diga que a forma como o Telegram oferece e2ee é como o McDonalds oferecer salada

  • Há quem diga que não entende muito de criptografia, mas que a infraestrutura distribuída do Telegram não é ruim por si só

    • Focar apenas em e2ee pode induzir ao erro
    • O Telegram protege os dados usando infraestrutura distribuída
    • Só pode fornecer dados após passar pelo escrutínio de vários sistemas legais
    • Até hoje, nunca divulgou dados de usuários a terceiros

  • Há quem diga que, graças ao post do blog, agora tem um bom material para mostrar a pessoas que afirmam que o Telegram é seguro

    • O Signal oferece um recurso chamado Sealed Sender, que ajuda a reduzir em alguma medida o problema dos metadados

  • Há quem diga que esse tipo de artigo sobre o Telegram é algo bem conhecido entre pessoas técnicas, mas que a maioria dos usuários é induzida ao erro por jornalistas

    • Cabe a cada pessoa decidir se precisa de criptografia ou não
    • É preciso fazer uma escolha informada

  • Há quem questione por que Pavel Durov foi preso se a criptografia do Telegram é tão ruim assim

    • Ele foi preso por não cooperar com o combate a atividades ilegais no Telegram
    • CEOs de outras redes sociais não são presos
    • Levanta-se a dúvida se isso acontece porque o Telegram não tem backdoor

  • Há quem diga que usa o Telegram principalmente para chamadas de áudio p2p com e2ee

    • Esse recurso é muito bom