加密服務(wù)提供商Virgil Security， Inc.發(fā)布了一份報(bào)告，引起了人們對(duì)Telegram Passport安全性的擔(dān)憂(yōu)。

Telegram Passport是Telegram上個(gè)月引入的最新功能，允許用戶(hù)上傳個(gè)人身份證件，如護(hù)照，身份證和駕駛執(zhí)照，以存儲(chǔ)在Telegram云中。這些文件都是加密的，以便用戶(hù)可以在不泄露其個(gè)人數(shù)據(jù)的情況下，在第三方服務(wù)上驗(yàn)證身份。

然而，Virgil公司認(rèn)為這個(gè)功能根本不安全。

首先，Telegram使用安全散列算法2（SHA-512），在加密方面很弱。Virgil公司解釋說(shuō)，為了保護(hù)密碼，黑客應(yīng)該花更多的時(shí)間來(lái)猜測(cè)每個(gè)密碼。

“現(xiàn)在是2018年，一個(gè)頂級(jí)GPU可以每秒強(qiáng)力檢查約15億個(gè)SHA-512哈希值?！?/p>

Salting是一種在密碼中包含隨機(jī)數(shù)據(jù)的方法；然而，即便這樣也無(wú)助于SHA-512的情況。只有復(fù)雜的密碼才能保證用戶(hù)的賬戶(hù)免受黑客攻擊。

Virgil補(bǔ)充說(shuō)，就業(yè)服務(wù)網(wǎng)站LinkedIn在2012年被黑客攻擊，就因?yàn)樗褂昧薙HA-2的前身SHA-1。那次黑客攻擊暴露了800萬(wàn)LinkedIn用戶(hù)的密碼。次年，同樣使用SHA-1的在線(xiàn)市場(chǎng)LivingSocial在類(lèi)似的攻擊中暴露了5000萬(wàn)個(gè)用戶(hù)密碼。因此，Telegram決定使用這種弱密碼保護(hù)系統(tǒng)是令人驚訝的。

其次，Telegram稱(chēng)會(huì)對(duì)用戶(hù)數(shù)據(jù)進(jìn)行加密，然后將其發(fā)送到云端。然后對(duì)數(shù)據(jù)進(jìn)行解密和重新加密，以確認(rèn)用戶(hù)在第三方服務(wù)上的身份。獲得的數(shù)據(jù)不是完全隨機(jī)的，并再次使用SHA-2。

Telegram在其官方博客文章中寫(xiě)道，這項(xiàng)服務(wù)是端到端加密的，只使用了用戶(hù)知道的密碼。然而，代碼中存在的漏洞使用戶(hù)容易受到黑客的攻擊。Virgil公司提供了一些替代方案包括SCrypt，BCrypt，Argon2，BrainKey和Pythia。

2016年8月，黑客揭露了1500萬(wàn)伊朗Telegram用戶(hù)的電話(huà)號(hào)碼。當(dāng)時(shí)，是因?yàn)榭蛻?hù)使用了SMS完成用戶(hù)認(rèn)證過(guò)程的系統(tǒng)。由于Telegram Passport有敏感信息，因此這可能已成為黑客的目標(biāo)?，F(xiàn)在Telegram正處理這種情況并提高安全性。