Il 04 settembre 2015 01:10:45 CEST, Cristian Consonni <kikkocristian@xxxxxxxxx>
ha scritto:
Il 3 settembre 2015 23:32, Marco Ciampa <dmarc-noreply@xxxxxxxxxxxxx>...
ha scritto:
Insomma il classico man-in-the-middle, giusto?
Sì, giusto Daniele. Non ci avevo pensato (e sì, è il classico MITM,
Marco).
Noto ora che in effetti nelle FAQ dicono:
«Client-Server communication is protected from MiTM-attacks during DH
key generation by means of a server RSA public key embedded into
client software. After that, ***if both clients trust the server
software***, the Secret Chats between them are protected by the server
from MiTM attacks.»
(<https://core.telegram.org/techfaq#man-in-the-middle-attacks>)
ovviamente questo è un enorme se.
Dicono nella stessa FAQ che c'è un sistema per verificare le chiavi
con una bitmap, ma ovviamente non sembra (e non è) molto sicuro,
questo articolo lo spiega meglio di quanto possa fare:
http://www.alexrad.me/discourse/a-264-attack-on-telegram-and-why-a-super-villain-doesnt-need-it-to-read-your-telegram-chats.html