Đang tải... (xem toàn văn)
Tìm Hiểu Cơ Chế Bảo Mật Của Ứng Dụng TELEGRAM (Luận Văn Thạc Sĩ) Công nghệ mạng internet phát triển đã mang mọi người trên thế giới gần nhau hơn.Tuy nhiên đòi hỏi nhu cầu liên lạc, trao đổi thông tin với nhau ngày càng lớn, đặc biệt là qua tin nhắn. Người dùng ngày càng muốn việc nhắn tin không chỉ thời gian truyền tin nhanh chóng mà còn phải đảm bảo tính riêng tư cho các tin nhắn, tránh các cuộc tấn công của hacker hay sự theo dõi của chính phủ. Nhu cầu về tính riêng tư đã sinh ra hàng loạt ứng dụng có độ bảo mật cao hứa hẹn đáp ứng hoàn toàn mong muốn của người dùng. Các dịch vụ như Telegram, Signal,whatsApp,.. đã giúp khái niệm "mã hóa đầu cuối" trở nên phổ biến. Mới đây nhất, Facebook cũng đã trang bị tính năng mã hóa tin nhắn đầu cuối cho ứng dụng nhắn tin Messager của họ. Về nội dung của đồ án được chia làm 3 chương như sau: Chương 1: Tổng quan ứng dụng nhắn tin có bảo mật Chương 2: Cơ chế bảo mật của ứng dụng nhắn tin Telegram Chương 3: Phân tích, đánh giá bảo mật của Telegram
1 Viện Công Nghệ Thông Tin Và Truyền Thông ĐẠI HỌC BÁCH KHOA HÀ NỘI Luận Văn Thạc Sĩ CƠ CHẾ BẢO MẬT CỦA ỨNG DỤNG TELEGRAM Nguyen Thanh Long Ha Noi, 2023 MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii CÁC KÝ HIỆU, CHỮ VIẾT TẮT vi DANH MỤC HÌNH VẼ viii LỜI NÓI ĐẦU Chương TỔNG QUAN ỨNG DỤNG NHẮN TIN CÓ BẢO MẬT 1.1 Ứng dụng nhắn tin có bảo mật 1.1.1 WhatsApp 1.1.2 Line 1.1.3 TextSecure 1.1.4 Telegram 10 1.1.5 WeChat 12 1.2 Ứng dụng nhắn tin Telegram 14 1.2.1 Giới thiệu vềTelegram 14 1.2.2 Đặc điểm bật củaTelegram 14 Chương CƠ CHẾ BẢO MẬT CỦA ỨNG DỤNG NHẮN TIN TELEGRAM 2.1 Một số ký hiệu, định nghĩa, khái niệm 18 2.1.1 Các ký hiệu 18 2.1.2 Hệ mật khóa đối xứng 18 2.1.2.1 Lược đồ mã hóa khóa bí mật 19 2.1.2.2 Advanced Encryption Standard (AES) 19 2.1.2.3 Infinite Garble Extension (IGE) 20 2.1.3 Định nghĩa an toàn 22 2.1.3.1 Giới thiệu oracles 22 2.1.3.2 Định nghĩa IND-CPA 23 2.1.3.2 Định nghĩa IND-CCA 25 2.1.3.3 Định nghĩa INP-PTXT 27 2.1.3.4 Định nghĩa: INT-CTXT 29 2.1.3.5 Mã hóa xác thực 30 2.2 Giao thức MTProto 31 2.2.1 Đăng ký thiết bị 31 2.2.2 Trao đổi khóa 34 2.2.3 Mã hóa thơng báo 37 2.2.3.1 Thứ tự thông báo 40 2.2.3.2 Giải mã thông báo 41 2.2.3.3 Tính xác thực tin nhắn mã hóa 44 2.2.4 Hàm dẫn xuất khóa 44 2.2.4.1 Chuyển tiếp bí mật 47 2.2.4.2 Khả tương thích ngược 48 Chương PHÂN TÍCH, ĐÁNH GIÁ CƠ CHẾ BẢO MẬT CỦA TELEGRAM 3.1 Một số phân tích đánh giá MTProto 50 3.1.1 Lỗ hổng padding ngẫu nhiên 50 3.1.1.1 Tấn công IND-CCA: mở rộng chiều dài padding 51 3.1.1.2 Tấn công IND-CCA: va chạm rõ padding 53 3.1.2 Tấn công dùng lại phản chiếu phiên cũ 54 3.1.3 Tấn công theo thời gian vào MTProto 55 3.2 Các công biết MTProto 56 3.2.1 Tấn công máy chủ độc hại MitM 56 3.2.2 Tấn công MitM bên thứ ba 57 3.2.3 Tấn công MitM bên thứ ba không bị phát 58 3.3 Cài đặt thử nghiệm ứng dụng nhắn tin Telegram 61 3.3.1 Mơ hình cài đặt 61 3.3.1.1 Cài đặt ứng dụng nhắn tin Telegram điện thoại 61 3.3.1.2 Cài đặt ứng dụng nhắn tin Telegram-CLI pc-client 62 3.3.2 Thử nghiệm truyền tin ứng dụng Telegram-CLI 63 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 69 LỜI NĨI ĐẦU Trong mơi trường công nghệ mạng internet phát triển nay, vấn đề an tồn thơng tin ngày trở nên cấp bách Việc đảm bảo thông tin biết người có thẩm quyền yếu tố quan trọng nhiều lĩnh vực an ninh, quốc phòng, kinh tế, xã hội Do vậy, vai trò mật mã ngày trở nên quan trọng việc cung cấp tính chất bí mật, xác thực tồn vẹn cho nội dung thông tin Công nghệ mạng internet phát triển mang người giới gần hơn.Tuy nhiên địi hỏi nhu cầu liên lạc, trao đổi thơng tin với ngày lớn, đặc biệt qua tin nhắn Người dùng ngày muốn việc nhắn tin không thời gian truyền tin nhanh chóng mà cịn phải đảm bảo tính riêng tư cho tin nhắn, tránh công hacker hay theo dõi phủ Nhu cầu tính riêng tư sinh hàng loạt ứng dụng có độ bảo mật cao hứa hẹn đáp ứng hoàn toàn mong muốn người dùng Các dịch vụ Telegram, Signal,whatsApp, giúp khái niệm "mã hóa đầu cuối" trở nên phổ biến Mới nhất, Facebook trang bị tính mã hóa tin nhắn đầu cuối cho ứng dụng nhắn tin Messager họ Về nội dung đồ án chia làm chương sau: Chương 1: Tổng quan ứng dụng nhắn tin có bảo mật Chương 2: Cơ chế bảo mật ứng dụng nhắn tin Telegram Chương 3: Phân tích, đánh giá bảo mật Telegram Chương TỔNG QUAN ỨNG DỤNG NHẮN TIN CÓ BẢO MẬT 1.1 Ứng dụng nhắn tin có bảo mật Ngày nay, nhiều người sử dụng ứng dụng nhắn tin để giao tiếp Do đó, việc xây dựng ứng dụng nhắn tin năm qua với mục đích để thay tin nhắn SMS truyền thống, hầu hết số họ không xây dựng với bảo mật tính riêng tư Kể từ Edward Snowden cơng bố giấy tờ bí mật từ NSA chứa thông tin giám sát hàng loạt, nhu cầu trò chuyện bảo mật tăng lên Một u cầu cho trị chuyện an tồn để ngăn chặn dịch vụ tình báo bên thứ ba khác tham gia vào trình truyền thơng người dùng kiểm sốt người cung cấp không thu thập thông tin cá nhân người sử dụng người đưa tin Một khía cạnh khác kiểm tra, thơng tin cá nhân trích từ người thêm vào bạn bè cần thiết để thêm bạn bè Điều đặc biệt quan trọng để ngăn chặn nỗ lực sử dụng mạng truyền tin phương tiện để giám sát giai đoạn đầu APT (ví dụ công lừa đảo) Trong chương này, đồ án tìm hiểu, phân tích số ứng dụng nhắn tin bật liên quan đến vấn đề bảo mật Các tiêu chí định cho việc lựa chọn ứng dụng nhắn tin số điện thoại yêu cầu cho việc đăng ký người dùng mã bí mật truyền qua SMS (xác thực hai yếu tố) Một tiêu chí khác cho việc lựa chọn số ứng dụng thử nghiệm Điểm thứ ba kiểm tra ứng dụng nhắn tin tuyên bố hỗ trợ mã hoá đầu cuối, đặt trọng tâm vào bảo vệ riêng tư Các ứng dụng nhắn tin chọn WhatsApp, Line, WeChat, Telegram, TextSecure 1.1.1 WhatsApp Ứng dụng nhắn tin phổ biến mơi trường Android Miễn phí năm có sẵn cho nhiều tảng Thống kê tải xuống từ cửa hàng Google Play cho thấy ứng dụng cài đặt 1.000.000.000 lần (tính đến 02.07.2018) Các tính cung cấp ứng dụng gửi tin nhắn cho người khác, tạo trị chuyện nhóm chia sẻ phương tiện truyền thơng hình ảnh video Hơn nữa, khơng cần phải thêm địa liên hệ vào ứng dụng ứng dụng tìm kiếm người dùng WhatsApp đăng ký danh bạ Đối với ứng dụng WhatsApp, từ chối tải lên tất địa liên lạc từ danh bạ, máy chủ thu thập thông tin tất địa liên hệ từ môi trường cá nhân Một vấn đề khác liên quan đến tính kiểm sốt người xem lần cuối người dùng trực tuyến Trong cài đặt, có tùy chọn cho phép xác định khơng xem đọc lần cuối cùng, hay người dùng đọc thơng điệp cụ thể Do đó, khơng thấy người dùng trực tuyến lần cuối Vấn đề với cài đặt người xem trạng thái trực tuyến người dùng Điều có nghĩa theo dõi trạng thái trực tuyến thực liên tục giây Đối với việc theo dõi này, công cụ WhatsSpy phát triển Bằng cách sử dụng cơng cụ này, theo dõi hoạt động trực tuyến người dùng WhatsApp toàn giới cách liên tục theo dõi tình trạng trực tuyến Hơn nữa, người dùng khơng có khả thay đổi cài đặt đó, khơng có biện pháp đối phó với hình thức theo dõi Đối với số người dùng, vòng tuần giám sát, kẻ cơng thu thập đầy đủ thơng tin thói quen hàng ngày thơng tin chi tiết làm giàu với thơng tin bên ngồi khác với thời gian giám sát dài Một khía cạnh khác, thơng tin bổ sung rị rỉ thơng qua hình ảnh người sử dụng thơng điệp trạng thái họ, mà nhiều trường hợp chứa thông tin cá nhân Danh sách sau hiển thị quyền chính, yêu cầu cài đặt vận hành WhatsApp, liệt kê điều khoản làm rị rỉ thơng tin cá nhân người dùng: Nhận dạng: Thêm xóa tài khoản, tìm tài khoản thiết bị, đọc liên hệ riêng người dùng Danh bạ: Chỉnh sửa danh bạ, đọc danh bạ người dùng Vị trí: Vị trí gần (dựa mạng), vị trí xác (GPS dựa mạng) Ảnh / phương tiện / tệp: Đọc nội dung nhớ USB người dùng, sửa đổi xóa nội dung nhớ USB người dùng Camera: Chụp ảnh quay phim Microphone: Ghi âm ID thiết bị thông tin gọi: Đọc trạng thái điện thoại nhận dạng Khác: Đọc thống kê đồng hóa, ghép nối với thiết bị Bluetooth, thay đổi cài đặt âm thanh, sửa đổi cài đặt hệ thống, sử dụng tài khoản thiết bị, quyền truy cập mạng tồn diện, đọc cấu hình dịch vụ Google 1.1.2 Line Một ứng dụng phổ biến khác Line từ Nhật Bản Thống kê tải xuống từ cửa hàng Google Play cho thấy, ứng dụng này cài đặt 500.000.000 lần (tính đến 28.06.2018) Ứng dụng có khả gửi tin nhắn, thực gọi âm / video chia sẻ tọa độ GPS Nó sử dụng điện thoại thơng minh, máy tính bảng máy tính cá nhân Giống WhatsApp, người dùng tạo trị chuyện nhóm trị chuyện riêng với người dùng khác Kể từ phiên 4.5.5 ứng dụng Android, hỗ trợ mã hoá đầu cuối thêm vào bao gồm khả hủy tin nhắn sau thời gian cụ thể Việc cài đặt Line yêu cầu số quyền cho phép ứng dụng truy cập vào lượng lớn thông tin người sử dụng điện thoại Tuy nhiên, phát ứng dụng yêu cầu điều khoản này, người dùng sử dụng chức mà họ yêu cầu Danh sách sau hiển thị quyền chính, yêu cầu cài đặt Line, liệt kê quyền làm rị rỉ thơng tin cá nhân người dùng: Lịch sử thiết bị ứng dụng: Truy xuất ứng dụng chạy Nhận dạng: Tìm tài khoản thiết bị Danh bạ: Đọc địa liên hệ bạn Vị trí: Vị trí gần (dựa mạng), vị trí xác (GPS dựa mạng), truy cập lệnh nhà cung cấp vị trí bổ sung SMS: Nhận tin nhắn văn (SMS) Điện thoại: Trực tiếp gọi số điện thoại, đọc nhật ký gọi Ảnh / phương tiện / tệp: Đọc nội dung nhớ USB bạn, sửa đổi xóa nội dung nhớ USB người dùng Camera: Chụp ảnh quay phim Microphone: Ghi âm ID thiết bị thông tin gọi: Đọc trạng thái điện thoại nhận dạng Với lượng lớn quyền truy cập này, dễ dàng sử dụng ứng dụng để theo dõi người dùng Trong trình liệt kê người dùng, người dùng yêu cầu nhận tin nhắn, hỏi xem người dùng bị chặn bổ sung Nếu mục tiêu thêm vào, kẻ cơng xem đăng nạn nhân Hơn nữa, chặn yêu cầu, xem ảnh thơng báo trạng thái Qua thường dễ dàng thu thập ảnh người dùng thường xuyên yêu cầu ID người dùng, ID mã QR số điện thoại người Một tính ứng dụng tùy chọn để từ chối tải lên danh bạ điện thoại cá nhân q trình xác thực Một tính khác Lines gọi chat riêng Phiên trò chuyện cung cấp mã hóa đầu cuối để chuyển thơng tin cá nhân Tuy nhiên, tính khơng có sẵn cho trị chuyện nhóm cần phải kích hoạt cách rõ ràng trị chuyện riêng, cho phép nhà cung cấp xem tất giao tiếp trị chuyện nhóm tính riêng tư Ngoài ra, Line cung cấp khả xác định người dùng sử dụng ID người dùng Vì vậy, số điện thoại khơng phải chia sẻ với địa liên lạc chí người không biết, cho phép ẩn thông tin (đôi cá nhân) Một tính liên quan đến bảo mật khác có mã thơng báo người dùng truyền tin nhắn lấy thông tin liên lạc từ nội dung tin nhắn, ngăn lại việc xuất số điện thoại người dùng (đặc biệt xem xét sử dụng ID người dùng làm phương tiện để thiết lập truyền thông) 1.1.3 TextSecure Ứng dụng nhắn tin giới thiệu với việc sử dụng mã hóa mạnh dễ sử dụng cho người chuyên gia đáng tin cậy gọi điện thoại bình thường gửi tin nhắn bình thường Mọi tin nhắn, trị chuyện nhóm trị chuyện riêng tư, mã hóa cách sử dụng mã hóa đầu cuối (end-to-end) Hơn nữa, nhà cung cấp khơng có quyền truy cập siêu liệu cho trò chuyện theo nhóm thành viên nhóm, tiêu đề nhóm biểu tượng hình đại diện nhóm Trong phiên 2.7.0, việc hỗ trợ mã hoá tin nhắn SMS MMS kết thúc tin nhắn SMS / MMS cố khác xảy với việc trao đổi khóa Một mục đích TextSecure cố gắng không lưu siêu liệu người dùng Các số điện thoại có danh bạ tải lên băm Vấn đề với giải pháp phạm vi kết hợp nhỏ Hơn nữa, điều cho phép tạo tất giá trị băm so sánh chúng với giá trị băm địa liên hệ tải lên người dùng Như nhà phát triển TextSecure 55 key ^ (pow(gb, a) mod p) © nonce Một máy chủ độc hại thực công xen gửi hai nonces khác để khóa cuối giống hệt nhau, hình 3.3 56 A S y < g, p B g, p K - — - — > gA ^ ga mod p -——> < - — - gs ^ gs mod p ——> D (ft 1)2048 Bnonce Bnonce ^ I0,1/ ' „b —— -> gB ^ g mod p gSB ^ gs mod p gSB ^ gS mod p < - — gAB ^ gSB ® Bnonce g g AB ^ SB ® Bnonce gAS ^ gSA mod p g g AS ^ S mod p — -—— < A — Anonce ^ g AS ® gAB gAB ^ gAS ® Anonce Hình 3.3: Tấn cơng MitM máy chủ độc hại Trong bước cuối cùng, thấy A tính bí mật chia sẻ gAB ^ gAS ® Anonce, từ cách Anonce chọn, điều tương đương với g AB ^ gAS ® gAS ® gAB Tấn cơng xảy giả định người dùng gửi giá trị DH công khai họ đến máy chủ trước cung cấp cho họ nonce Bằng cách này, máy chủ nhận bí mật chia sẻ cho phiên, có quyền truy cập vào tất tin nhắn gửi Đây điều nghiêm trọng Telegram tuyên bố giới thiệu nhầm lẫn, bị loại bỏ khỏi giao thức, làm dấy lên nghi ngờ tác giả Telegram cố ý cài đặt backdoor vào giao thức để ln có cách truy cập trị chuyện mã hóa đầu cuối 3.2.2 Tấn công MitM bên thứ ba Một công xen chứng minh Vico Như thể hình 3.4, thực client đầu cuối 57 Linux khơng thức Nó giả định người dùng sử dụng ứng dụng client độc hại gửi tất thông tin liên lạc thông qua người trung gian, người có quyền truy cập đầy đủ vào tất tin nhắn A E B ga ^ ga modp - ——> ge ^ ge modp — > gb ^ gb modp J ge ( gb X—X— K AE ^ ga K AE ^ g mod p K EB ^ mod geb p mod p K EB ^ gb mod p Hình 3.4: Tấn công MitM bên thứ ba Tấn công bị phát người dùng so sánh key fingerprints hình 2.9 Điều thực client độc hại sử dụng A nhận key fingerprints KEB từ kẻ đứng hiển thị thay tính từ KAE Nhưng trường hợp client độc hại chuyển tiếp tất tin nhắn giải mã tới người trung gian hoàn toàn an tồn Cuộc cơng giảm nhẹ người dùng không sử dụng ứng dụng client từ nguồn không đáng tin cậy xác minh key fingerprints dự định 3.2.3 Tấn công MitM bên thứ ba không bị phát Một công xen đưa Rizzo cộng Thay giả định người dùng khơng so sánh key fingerprints, cơng họ tìm kiếm xung đột fingerprints để cơng hồn tồn không bị phát cho thấy cách thao tác tình bậc hai độ phức tạp 58 việc tìm kiếm va chạm 59 Cách tiếp cận không bị phát thể hình 3.5 Khi người dùng A bắt đầu trị chuyện bí mật với người dùng B yêu cầu ga chuyển tiếp qua người dùng thứ ba E, tốt E làm gửi yêu cầu riêng g đến B Khi B phản hồi với gb, B E thỏa thuận khóa KEB E phải đưa phản hồi g đến A mà khóa KAE có fingerprints KEB Điều địi hỏi 2128 hoạt động, 2127 để có xác suất tìm kiếm va chạm 50% A E B ga ^ ga mod p - —^ g ^ ge mod p > gb ^ gb mod p «—-— ge2 ^ ge mod p < - — K AE rr K AE a ^ ga2 mod T^ p K EB ^ gea e ^ gb mod p -1 mod p KEB ^ gb1 mod p Hình 3.5: Tấn công MitM không bị phát Giả thiết đối thủ có khả có A B hai bắt đầu trị chuyện bí mật lúc, phương tiện kỹ nghệ xã hội Ý nghĩa điều E chưa cam kết với giá trị e1, tự lựa chọn e1 e2, hình 3.6 60 A E ga ^ ga mod p - —■—> od p p e2 ^ geỵ ^ g K B K AE K ge mod p - —> mod ^ ge a p EB K EB ^ ge mod p mod ^ gb p Hình 3.6: Có tự lựa chọn e1, e2 đồng thời, cần bậc hai số phép tính yêu cầu Điều cho phép kẻ công thực công ngày sinh, giảm độ phức tạp việc tìm kiếm va chạm authkey tới bậc hai nó, A/2128 = 264 Điều cần thực cho e1 e2, tổng chi phí cơng 264 + 264 = 265 phép tính để có xác suất tìm kiếm va chạm 50% 61 3.3 Cài đặt thử nghiệm ứng dụng nhắn tin Telegram 3.3.1 Mơ hình cài đặt Server Phone Pc-client 192.168.0.10 192.168.20.108 Hình 3.7: Mơ hình truyền tin Trên thiết bị đầu cuối pc-client cài đặt ứng dụng nhắn tin Telegram-CLI Trên thiết bị đầu cuối smart phone cài đặt ứng dụng Telegram tải từ Google play App store 3.3.1.1 Cài đặt ứng dụng nhắn tin Telegram điện thoại Việc cài đặt Telegram điện thoại với hệ điều hành iOS ta cần truy cập vào App store nhập tên ứng dụng tìm kiếm “Telegram” sau tiến hành tải máy Khi q trình kết thúc, ấn “Start Massaging” để truy cập vào ứng dụng 62 Hình 3.8: Ứng dụng Telegram iOS 3.3.I.2 Cài đặt ứng dụng nhắn tin Telegram-CLI pc-client • Hệ điều hành sử dụng ubuntu 14.04 LTS • Xây dựng Telegram-CLI Telegram CLI không phân phối Linux thông qua gói thức, muốn sử dụng phần mềm này, ta cần phải tự xây dựng Trước xây dựng cách xác, ta cần cài đặt chương trình phụ thuộc quan trọng tập tin Cài đặt công cụ gói cần thiết: sudo apt-get install git sudo apt-get install libreadline-dev libconfigdev libssl-dev lua5.2 liblua5.2-dev libevent-dev libjansson-dev libpython-dev make Khi tất phụ thuộc hoạt động xác máy tính Linux, thật an tồn để bắt đầu xây dựng Telegram-CLI Để bắt đầu, sử dụng công cụ Git để lấy mã nguồn 63 git recursiv clone https://github.com/vysheng/tg Truy cập đến thư mục nguồn Telegram-CLI cd tg Từ đây, ta cần phải chạy cơng cụ cấu hình Cơng cụ qt máy tính Linux, kiểm tra phụ thuộc tổng thể đảm bảo tất thứ sẵn sàng để tiếp tục Cấu hình thành cơng khơng có lỗi xuất ./configure Bắt đầu trình xây dựng cho Telegram-CLI cách gọi lệnh: make Việc biên dịch thời gian, để thiết bị đầu cuối chạy hoàn tất 3.3.2 Thử nghiệm truyền tin ứng dụng Telegram-CLI Khởi động ứng dụng với lệnh: cd ~ / tg bin / telegram-cli -k tg-server.pub Khi giao diện thiết bị đầu cuối Telegram mở ra, ta cần đăng nhập vào tài khoản Đăng nhập thơng qua thiết bị đầu cuối giống với việc sử dụng ứng dụng Telegram thức Linux Nhập số điện thoại kết nối với tài khoản để tiếp tục Nếu số đúng, Telegram gửi mã đăng nhập qua ứng dụng Telegram khác mà đăng nhập qua văn Nhập mã, sau nhấn phím enter tip tc âeđ vandat@ubuntu: ~/tg vandat@ubuntu:-$ cd tg vandat@ubuntu:~/tg$ bln/telegram-cll -k tg-server.pub 64 Telegram-cll version 1.4.1, Copyright (c) 2013-2015 Vitaly Valtman Telegram-cll comes with ABSOLUTELY NO WARRANTY; for details type 'show_llcense' This is free software, and you are welcome to redistribute it under certain conditions; type 'show_license' for details Telegram-cli uses llbtgl version 2.1.0 Telegram-cll Includes software developed by the OpenSSL Project for use In the OpenSSL Toolkit, (http://www.openssl.org/) I: config dlr=[/home/vandat/.telegram-cll] phone number: 84988558340 code ('CALL' for phone code): 85411 User Đạt Trấn updated flags User oặt Trấn online (was online [2018/06/27 01:38:11]) Hình 3.9: Màn hình đăng nhập Telegram-CLI Bắt đầu trình sử dụng Telegram-CLI để nhắn tin: dùng lệnh contact_lits để hiển thị danh sách tất người bạn mà bạn bè có Telegram Để xem trò chuyện diễn dùng lệnh dialog_list Telegram hỗ trợ hai chế độ nhắn tin nhắn tin thơng thường nhắn tin bảo mật với SecretChat Nhắn tin chế độ thông thường dùng lệnh: msg Text - gửi tin nhắn đến người ngang hàng chat_with_peer bắt đầu phiên trò chuyện với người ngang hàng /exit /quit để kết thúc chế độ 65 Hình 3.10: Nhắn tin thơng thường Trị chuyện bí mật: create_secret_chat - tạo trị chuyện bí mật với người dùng visualize_key - in trực quan hóa khóa mã hóa Nên so sánh với đối tác 66 Hình 3.11: Trị chuyện bí mật trực quan khóa mã hóa Ngồi Telegram cịn nhiều tính khác trị chuyện nhóm, gửi tin nhắn đa phương tiện, gõ lệnh help để biết chức khác mà TelegramCLI thực Kết luận chương 3: Trong chương đưa số phân tích đánh giá chế bảo mật ứng dụng nhắn tin Telegram tập trung vào giao thức MTProto với lỗ hổng padding ngẫu nhiên số công lên MTProto, công biết MTProto Cài đặt thử nghiệm ứng dụng nhắn tin Telegram-CLI để hiểu biết cách thức hoạt động cuả ứng dụng chế độ nhắn tin thông thường chế độ SecretChat trị chuyện bí mật 67 KẾT LUẬN > Một số nội dung mà đề tài đạt sau: - Tìm hiểu tổng quan số ứng dụng nhắn tin tiêu biểu có hỗ trợ mã hóa end-to-end đặt trọng tâm vào bảo vệ riêng tư, giới thiệu ứng dụng nhắn tin Telegram số đặc điểm bật nó; - Tìm hiểu chế bảo mật ứng dụng nhắn tin Telegram, tập trung vào giao thức MTProto: q trình đăng ký thiết bị, trao đổi khóa, mã hóa thơng báo, hàm dẫn xuất khóa; - Tìm hiểu, đưa số phân tích đánh giá MTProto: Lỗ hổng padding, số công lên giao thức MTProto > Hạn chế: Thời gian nghiên cứu kiến thức hạn chế nên đồ án chưa thể tối ưu hóa phần mềm mơ để hiểu rõ mã nguồn, cách thức hoạt động MTProto thực nghiệm công lên MTProto > Hướng phát triển đề tài: Nhu cầu sử dụng điện thoại thông minh hay máy tính để nhắn tin với thơng qua mạng internet ngày tăng, yêu cầu ứng dụng phải đáp ứng tính bảo mật trị chuyện bí mật người dùng, cần thiết phát triển ứng dụng nhắn tin có tính bảo mật cao Trong thời gian tới, có thời gian để nghiên cứu tiếp Telegram, em tập trung nghiên cứu theo số hướng sau: - Xây dựng ứng dụng nhắn tin Telegram phía client cho riêng cách sử dụng API hỗ trợ; - Nghiên cứu sâu mã nguồn MTProto để hiểu rõ cách thức hoạt động tùy biến số nguyên thủy mật mã để nâng cao độ an toàn cho 68 Telegram; - Tiếp tục nghiên cứu, cập nhật phân tích, đánh giá chế bảo mật Telegram thông qua kết công bố, thực công thử nghiệm cho công biết đề xuất giải pháp khắc phục TÀI LIỆU THAM KHẢO [1] Hayk Saribekyan, Akaki Margvelashvili, Security Analysis of Telegram, 2017 [2] https: //telegram.org [3] Jakob Bjerre Jakobsen, A practical cryptanalysis of the Telegram messaging protocol, 2015 [4] Jesus Diaz Vico Telegram: bypassing the authentication protocol 2014 [5] J Katz and Y Lindell Introduction to Modern Cryptography: Principles and Protocols Chapman & Hall/CRC Cryptography and Network Security Series Taylor & Francis, 2007 ISBN 9781584885511 URL https: //books google dk/books?id=TT tVKHdOcDoC [6] Juliano Rizzo and Alexander Jung-Loddenkemper A 264 Attack On Telegram, And Why A Super Villain Doesn't Need It To Read Your Telegram Chats http://bit.ly/1wQspqc, 2015 [7] Linux Command-line interface for Telegram https://github.com/vysheng/tg [8] Telegram Secret chats, end-to-end encryption https://core telegram.org/api/end-to-end, 2013