GN⁺: 텔레그램, 진정한 암호화 메시징 앱인가?

 (blog.cryptographyengineering.com)
9P by neo 20일전 | favorite | 댓글 2개
  • 최근 Telegram의 CEO Pavel Durov가 프랑스 당국에 의해 체포된 사건이 발생했음
  • 대부분의 뉴스가 Telegram을 "암호화된 메시징 앱"으로 묘사하는데, 이는 기술적으로는 맞지만 실제로는 잘못된 표현임

Telegram은 암호화를 사용하나?

  • 현대의 개인 메시징 서비스에서 암호화는 기본적으로 종단간 암호화를 의미함
  • Telegram은 기본적으로 종단간 암호화를 제공하지 않음
  • 사용자가 직접 "비밀 채팅" 기능을 활성화해야만 종단간 암호화가 가능함
  • 이 기능은 1:1 대화에서만 가능하며, 그룹 채팅에서는 사용할 수 없음
  • 비전문가가 이 기능을 활성화하기 어렵게 설계되어 있음

기본 암호화가 중요한가?

  • Telegram의 기본 암호화 부족은 많은 사용자에게 큰 문제가 아닐 수 있음
  • Telegram은 소셜 미디어 네트워크로 사용되는 경우가 많음
  • Telegram의 인기 있는 기능 중 하나는 "채널"과 대규모 공개 그룹 채팅임
  • 이러한 공개 채팅에서는 암호화가 큰 의미가 없음
  • 그러나 많은 사용자가 개인 메시지를 주고받을 때는 강력한 암호화가 필요함

Telegram은 암호화가 어렵다는 것을 알고 있음

  • Telegram의 암호화는 2016년부터 많은 비판을 받아왔음
  • Telegram은 여전히 기본 암호화를 제공하지 않으며, 사용자 경험도 개선되지 않았음
  • Telegram의 CEO Pavel Durov는 Telegram을 "보안 메신저"로 홍보하지만, 실제로는 그렇지 않음

지루한 암호화 세부사항

  • Telegram의 "비밀 채팅" 기능은 MTProto 2.0이라는 자체 프로토콜을 사용함
  • 이 프로토콜은 비표준 인증 암호화 모드를 사용하며, 전문가들이 많은 질문을 할 만한 요소가 많음
  • 실제로 사용되지 않는다면 암호화의 보안성은 큰 의미가 없음

알아야 할 다른 사항

  • 종단간 암호화는 데이터 유출을 방지하는 좋은 도구이지만, 메타데이터 문제는 여전히 남아 있음
  • 메타데이터는 누가 서비스를 사용하고, 누구와 대화하며, 언제 대화하는지를 포함함
  • 이러한 데이터는 Telegram의 서버에 저장되어 있으며, 수집하려는 사람들에게 유용함

GN⁺의 정리

  • 이 기사는 Telegram의 암호화 기능에 대한 오해를 바로잡고자 함
  • Telegram은 기본적으로 종단간 암호화를 제공하지 않으며, 사용자가 직접 활성화해야 함
  • Telegram의 암호화는 사용하기 어렵고, 많은 사용자가 이를 인식하지 못함
  • 메타데이터 문제는 여전히 남아 있으며, 이는 모든 소셜 미디어 네트워크와 개인 메신저에 해당됨
  • Signal이나 WhatsApp과 같은 기본 암호화를 제공하는 메신저를 추천함
neo 20일전  [-]
Hacker News 의견

  • 새로운 기기에서 비밀번호 복구 절차를 통해 계정에 로그인하여 이전 메시지를 확인할 수 있는지 테스트해보라는 의견이 있음

    • 가능하다면 법 집행 기관도 접근할 수 있음

  • Telegram은 메신저보다는 소셜 네트워크에 가깝다는 의견이 있음

    • 많은 유용한 채널이 있으며, 여러 나라에서 정보 공유에 중요한 역할을 함
    • 이 관점에서 보면 e2ee(종단간 암호화)는 그렇게 중요하지 않음
    • Reddit, X, Instagram 등 대부분의 소셜 미디어가 API를 닫는 시점에서 Telegram은 여전히 무료 API를 제공함

  • Telegram은 기본적으로 암호화되지 않으며, 암호화되더라도 중요한 정보를 연결된 기기에 신뢰해서는 안 된다는 의견이 있음

    • Telegram은 현재 최고의 커뮤니케이션 플랫폼임
    • 다양한 기능이 있으며, 다른 플랫폼에 비해 기능이 앞서 있음
    • 최근 사건 이후로도 Telegram이 잘 유지되기를 바람

  • 대부분의 비기술 사용자들이 Telegram이 일반적으로 e2ee라고 생각하는 것이 문제라는 의견이 있음

  • Telegram의 e2ee 제공 방식이 McDonalds의 샐러드 제공 방식과 같다는 의견이 있음

  • 암호화에 대해 잘 모르지만, Telegram의 분산 인프라가 기본적으로 나쁘지 않다는 의견이 있음

    • e2ee에만 집중하는 것은 오해를 불러일으킬 수 있음
    • Telegram은 분산된 인프라를 사용하여 데이터를 보호함
    • 여러 법적 시스템의 검토를 통과해야만 데이터를 제공할 수 있음
    • 지금까지 제3자에게 사용자 데이터를 공개한 적이 없음

  • 블로그 포스트 덕분에 Telegram이 안전하다고 주장하는 사람들에게 좋은 자료를 제공할 수 있게 되었다는 의견이 있음

    • Signal은 Sealed Sender라는 기능을 제공하여 메타데이터 문제를 어느 정도 줄일 수 있음

  • Telegram에 대한 기사가 기술자들에게는 잘 알려진 내용이지만, 대부분의 사용자들은 기자들에 의해 오도된다는 의견이 있음

    • 암호화가 필요한지 여부는 각 개인이 결정해야 함
    • 교육된 선택이 필요함

  • Telegram의 암호화가 그렇게 나쁘다면 왜 Pavel Durov가 체포되었는지 의문을 제기하는 의견이 있음

    • Telegram에서의 불법 활동 단속에 협조하지 않았다는 이유로 체포됨
    • 다른 소셜 네트워크의 CEO들은 체포되지 않음
    • Telegram이 백도어가 없기 때문인지 의문을 제기함

  • Telegram을 주로 p2p e2ee 오디오 통화에 사용한다는 의견이 있음

    • 이 기능이 매우 좋음
답변달기