ELE:密碼學專家揭示 Telegram Passport 中的安全問題_RAM

加密服務提供商VirgilSecurity,Inc.發布了一份報告，引起了人們對TelegramPassport安全性的擔憂。

TelegramPassport是Telegram上個月引入的最新功能，允許用戶上傳個人身份證件，如護照，身份證和駕駛執照，以存儲在Telegram云中。這些文件都是加密的，以便用戶可以在不泄露其個人數據的情況下，在第三方服務上驗證身份。

然而，Virgil公司認為這個功能根本不安全。

首先，Telegram使用安全散列算法2，在加密方面很弱。Virgil公司解釋說，為了保護密碼，黑客應該花更多的時間來猜測每個密碼。

IoTeX密碼學負責人Xinxin Fan博士被IEEE標準協會正式任命為P2418.4標準工作組副主席:官方消息，物聯網區塊鏈平臺IoTeX密碼學負責人Xinxin Fan博士被IEEE標準協會正式任命為P2418.4標準工作組——“區塊鏈技術在物聯網領域應用”副主席，該工作組致力于創建區塊鏈技術在物聯網（IoT）使用中的通用標準。

范博士將代表IoTeX與IEEE 2418.1標準工作組主席兼IEEE區塊鏈計劃聯合主席Ramesh Ramadoss博士一起工作，共同推動物聯網區塊鏈行業標準制定，目前加入該標準工作組的企業來自華為、思科、AMD、IBM、GE、戴爾等。這是IoTeX繼擔任IIC區塊鏈工作組聯合主席之后的又一標準制定的重要任命。

IEEE 全稱為「電氣和電子工程師協會」（Institute of Electrical and Electronics Engineers），成立于1884年，是目前全球最大的非營利性專業技術學會，致力于推動世界領先技術標準造福人類，在全球范圍內具有極大的權威性和影響力。[2021/5/7 21:34:08]

現在是2018年，一個頂級GPU可以每秒強力檢查約15億個SHA-512哈希值。

Nervos研究員論文被國際密碼學頂會歐密會收錄:近日，Nervos基金會密碼學研究員Alan Szepieniec的論文《Transparent SNARKs from DARK Compilers》被國際密碼學頂會歐密會收錄，同時，Alan也受邀在該會議上發表了主題演講。這項基礎性的工作為零知識證明領域貢獻了一種全新的無需Trusted Setup的通用工具，標志著 Nervos在2020年的研究工作又向前邁進了堅實的一步。

歐密會（Eurocrypt）是密碼學中最著名的學術會議國際密碼學協會所主辦的三大旗艦會之一，在CCF推薦列表和 CACR列表中均為A類會議，密碼學中最重要的文章一般都會在這三個會議中發布。Eurocrypt 2020是第39屆密碼技術理論與應用國際會議，首次在線上舉行。[2020/5/18]

Salting是一種在密碼中包含隨機數據的方法；然而，即便這樣也無助于SHA-512的情況。只有復雜的密碼才能保證用戶的賬戶免受黑客攻擊。

動態 | 量子鏈開發者在密碼學IACR電子期刊公布幻影隱私協議:金色財經報道，2月13日，量子鏈開發者在密碼學IACR電子期刊公布了基于智能合約的幻影隱私協議（Qtum Phantom Protocol），推動數字資產隱私領域發展。據介紹，幻影隱私協議基于zk-SNARK技術，對Merkle樹、hash算法等多個環節進行了改進，使得協議能夠高效地運行于智能合約上。量子鏈幻影隱私協議在智能合約的基礎上，實現隱私資產的發行和管理。相比AZTEC只能實現交易金額的隱私，無法隱藏交易地址。幻影協議實現了更徹底的隱私，可以同時隱藏交易金額和交易地址。該協議同時提供隱私資產和公開資產之間的互轉功能。據悉幻影隱私協議將率先在Qtum網絡部署，同時也計劃支持其他的智能合約網絡。[2020/2/14]

Virgil補充說，就業服務網站LinkedIn在2012年被黑客攻擊，就因為它使用了SHA-2的前身SHA-1。那次黑客攻擊暴露了800萬LinkedIn用戶的密碼。次年，同樣使用SHA-1的在線市場LivingSocial在類似的攻擊中暴露了5000萬個用戶密碼。因此，Telegram決定使用這種弱密碼保護系統是令人驚訝的。

其次，Telegram稱會對用戶數據進行加密，然后將其發送到云端。然后對數據進行解密和重新加密，以確認用戶在第三方服務上的身份。獲得的數據不是完全隨機的，并再次使用SHA-2。

Telegram在其官方博客文章中寫道，這項服務是端到端加密的，只使用了用戶知道的密碼。然而，代碼中存在的漏洞使用戶容易受到黑客的攻擊。Virgil公司提供了一些替代方案包括SCrypt，BCrypt，Argon2，BrainKey和Pythia。

2016年8月，黑客揭露了1500萬伊朗Telegram用戶的電話號碼。當時，是因為客戶使用了SMS完成用戶認證過程的系統。由于TelegramPassport有敏感信息，因此這可能已成為黑客的目標。現在Telegram正處理這種情況并提高安全性。

鏈聞ChainNews：提供每日不可或缺的區塊鏈新聞。

原文作者：HabibaTahir文章來源：區塊鏈鉛筆中文編譯：Miranda版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：www.ccn.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626971.html

Telegram電報

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

小心你的數字錢包！不了解黑客的7種手段你可能是下一個受害者

下一篇：

審計報告：韓國交易所Upbit被澄清，擁有100%用戶資金

Tags：ELERAMTELGRAMUSELESS價格RSK Infrastructure Framework3X Long Stellar Tokengram幣停止交易

PEPE