WhatsApp-Alternative: Wie sicher ist Telegram wirklich

Nicht erst seit WhatsApp von Facebook übernommen wurde treibt es viele Anwender zu einem alternativen Anbieter: Telegram.

Der Dienst wirbt mit absoluter und totaler Verschlüsselung – welche Verschlüsselung es genau ist und welche Firma sich hinter dem Dienst verbirgt ist jedoch kaum bekannt.

Bekannt ist, dass der Dienst von den Brüdern Nikolai und Pawel Durow gegründet wurde. Diese haben in der Vergangenheit den russichen Facebook-Konkurrenten VK.com gegründet, welcher jedoch in keime Zusammenhang mit Telegram stehen soll. Zwar ist auf der deutschen Webseite angegeben, daß es eine Niederlassung in Berlin gibt – eine genaue Anschrift fehlt jedoch, und auch ein Blick in die Handelsregister von Berlin lassen weder eine entsprechende Firma noch den Namen Durow finden.

Undurchsichtiges Firmengeflecht

Die Telegram Messenger LLP ist unter der Londoner Adresse eines Unternehmens registriert, das seinen Hauptsitz auf den Seychellen hat. Gesellschafter dieses Unternehmens sind zwei Firmen mit Sitz auf den Jungferninseln und in Belize.

GPL – aber nicht vollständig

Als großer Vorteil wird häufig angegeben, daß Telegram unter der GPL veröffentlicht wurde. Dies stimmt jedoch nur teilweise – der Client steht unter der GPL, die verwendete Serverarchitektur ist allerdings nur über APIs erreichbar. Die Funktion dahinter liegt nicht offen. Hier ist lediglich bekannt, daß Telegram ein eigenes Protokoll verwendet: MTProto. 

MTProto und SHA-1

Als größte Gefahr wird von Sicherheitsexperten jedoch nicht das undurchsichtige Firmengeflecht gesehen, sondern die Verwendung von SHA-1 als Teil der verwendeten Verschlüsselung. SHA-1 wurde von der NSA entwickelt und gilt mittlerweile als unsicher, da es mit relativ geringem Aufwand faktorisiert werden kann.

Telegram nutzt das selbst entwickelte MTProto-Protokoll. Der Entwickler des Signal-Verschlüsselungsprotokolls Moxie Marlinspike und andere Kryptographieexperten kritisieren dabei, dass Telegrams Protokoll zwar kryptographische Verfahren einsetzt, jedoch in nicht bewährter Weise miteinander kombiniert.

Bei kryptographischen Protokollen wird per Hash eine Art Fingerabdruck der Nachrichten erzeugt, sodass der Empfänger feststellen kann, ob die Nachricht manipuliert wurde. Am Protokoll wurde kritisiert, dass das direkte Hashen des Klartextes mit dem bereits gebrochenen SHA-1 einen Single Point of Failure der gesamten Implementierung darstellen kann.

https://de.wikipedia.org/wiki/Telegram_Messenger

Leave a Reply

Your email address will not be published. Required fields are marked *