Bestätigt 2026: Der auth_key_id-Wert von Telegram MTProto wird im Klartext übertragen. In Kombination mit dem iranischen Shahkar+SIAM+DPI-System ermöglicht dies eine langfristige Geräteverfolgung. Dieses Papier bietet VLESS+Reality, MTProto-Proxy und obligatorische Key-Resets. Deckt auch häufige Tippfehler ab: mtrproto, mtporoto, мтпрото sowie Lösungen für mtproto funktioniert nicht.
Anstatt nach einer instabilen kostenlosen MTProto-Proxy-Liste zu suchen, die innerhalb weniger Stunden stirbt, bietet TGV einen 3-tägigen kostenlosen dedizierten Proxy – private IP, keine gemeinsame Nutzung, volle Geschwindigkeit und Anti-DPI-Schutz. Keine Kreditkarte erforderlich.
Kostenlosen dedizierten Proxy anfordern → ⚡ Sehen Sie auch unsere täglich aktualisierte MTProto-Proxy-Liste im Hilfe-Center.Die korrekte Schreibweise ist MTProto. Häufige Tippfehler sind mtrproto, mtporoto, mptproto und мтпрото (Russisch). Sie sind hier richtig – TGV bietet offizielle MTProto-Proxy-Dienste und Anti-Zensur-Lösungen. Zur Installationsanleitung →
Sobald Sie im Iran einen Telegram-Chat öffnen, hat Ihr Gerät bereits seinen Ausweis an das Überwachungssystem übergeben.
Dies ist keine Panikmache – es beruht auf einer Entwurfseigenschaft des zugrundeliegenden MTProto-Verschlüsselungsprotokolls von Telegram namens "auth_key_id" (Autorisierungsschlüssel-Kennung). Im Mai 2026 bestätigte ein technischer Bewertungsbericht der unabhängigen Cybersicherheitsfirma Symbolic Software, dass Telegram-Clients MTProto-Nachrichten über unverschlüsselte TCP-Verbindungen übertragen, wodurch auth_key_id im Netzwerkverkehr im Klartext preisgegeben wird. Jede Instanz mit passivem Netzwerkzugriff kann diese Kennung leicht extrahieren. Wenn Sie auf mtproto funktioniert nicht stoßen, könnte diese Exposition auch mit DPI-Fingerprinting zusammenhängen.
Dieser Artikel kombiniert die einzigartige Überwachungsarchitektur des Iran, um die spezifischen Risiken der auth_key_id-Exposition zu analysieren, bewertet die Wirksamkeit verschiedener VPNs und Proxys und liefert schließlich einen praktischen Verteidigungsplan für Benutzer.
Der Kernvorteil des iranischen Überwachungssystems liegt in seiner Integration von Netzwerk-, Mobilfunknetz- und Identitätsauthentifizierungsebene. Selbst wenn Sie sich erfolgreich mit einem Proxy-Server verbinden, kann das Überwachungssystem Sie und Ihr Gerät auf verschiedene Weise identifizieren, und die auth_key_id-Exposition von Telegram liefert diesen Systemen eine zusätzliche, präzise Kennung.
Der Iran hat das Nationale Informationsnetz (NIN) aufgebaut, das das nationale Internet vom internationalen Internet trennt. Die Behörden sind von einem "Blacklist"-Blockierungsmodell zu einem "Whitelist"-Modell übergegangen und verwenden die SHAHKAR- und HAMTA-Datenbanken, um die Ausweisdokumente und Geräte der Nutzer zu verfolgen. Sie können den Zugang der Öffentlichkeit zum internationalen Internet leicht unterbrechen und gleichzeitig privilegierten Gruppen den Zugang vorbehalten.
Auf dieser Architektur hat die iranische Kommunikationsregulierungsbehörde in Zusammenarbeit mit dem größten einheimischen Betreiber das Legal Intercept System (LIS) eingerichtet, das hauptsächlich aus vier Subsystemen besteht: Legal Interception (LI), Illegal Device Control (CID), SHAHKAR-System und SHAMSA-System. Darunter:
Sobald Ihr Gerät Datenverkehr erzeugt, sammelt das Überwachungssystem Informationen aus mehreren Schichten: DPI-Geräte analysieren den Netzwerkverkehr in Echtzeit, identifizieren Protokolle und extrahieren Metadaten; das SIAM-System kann Telefonnummern und IMSI aus der Mobilfunknetzschicht abrufen; die SHAHKAR-Datenbank bindet SIM-Karten an echte Identitäten. Wenn diese Systeme mit auth_key_id verknüpft werden, entsteht eine vollständige Identitätsverankerungskette. Das Beängstigendste am iranischen System ist nicht die einzelne technische Fähigkeit, sondern diese schichtenübergreifende integrierte Architektur: Shahkar verbindet SIMs mit nationalen IDs, SIAM kann Geräte manipulieren, HAMTA registriert Gerätemodelle – in Kombination wird auth_key_id zum endgültigen Schlüssel, der diese Tür öffnet.
auth_key_id ist eine 64-Bit-Kennung im MTProto-Protokoll. Wenn sich ein Telegram-Client zum ersten Mal auf einem Gerät anmeldet, generiert er einen 2048-Bit-Autorisierungsschlüssel (auth_key) über den Diffie-Hellman-Schlüsselaustausch, und auth_key_id ist der untere 64-Bit-SHA-1-Hash dieses Schlüssels. Er steht ganz am Anfang des äußeren MTProto-Headers jeder Nachrichtenübertragung und zeigt dem Server an, "welcher Schlüssel zum Entschlüsseln des folgenden Inhalts verwendet werden soll".
Die technische Bewertung von Symbolic Software bestätigt: auth_key_id bleibt über Sitzungen, IP-Wechsel, Netzwerkwechsel und geografische Veränderungen hinweg unverändert und ist daher ein mächtiges Werkzeug für passive Netzwerkbeobachter, um ein einzelnes Gerät langfristig zu verfolgen. Jeder Netzwerkzwischenhändler – ISP, Netzwerkadministrator, staatliches Überwachungssystem – kann auth_key_id-Werte durch passive Netzwerküberwachung sammeln, ohne Man-in-the-Middle-Angriffe, Zertifikatsknacken oder Protokollmanipulation. Einfache Paketerfassung und Deobfuskation reichen aus.
Angesichts des mehrschichtigen iranischen Überwachungssystems ist auth_keyId mehreren Expositionsrisiken ausgesetzt. Unabhängig davon, ob Sie eine Direktverbindung oder ein VPN verwenden, kann es an mehreren Schlüsselknoten preisgegeben werden:
| Überwachungsebene | Technischer Mechanismus | Expositionsrisiko |
|---|---|---|
| Netzwerkebene (DPI) | ISP analysiert Pakete über DPI-Geräte | Selbst wenn der VPN den Inhalt verschlüsselt, kann auth_key_id als Anwendungsschichtkennung extrahiert werden; wenn Telegram unverschlüsseltes TCP verwendet, ist es vollständig exponiert. Dies führt oft zu mtproto funktioniert nicht, wenn DPI die Handshakes stört. |
| Mobilfunknetzebene (SIAM) | SIAM kann erzwungenes Downgrade auf unsicheres 2G erzwingen, Metadaten sammeln | Zeichnet auth_key_id auf und verknüpft es mit IMSI/Telefonnummer, wodurch die Identität präzise an ein persönliches Gerät gebunden wird. |
| Identitätsebene (Shahkar) | SIM-Karte an nationale ID gebunden, kann bestimmte Nummern anvisieren | Wenn eine bestimmte Verbindung (z. B. Hotel-WLAN mit Anmeldung) auth_key_id mit Ihrer echten Identität verknüpft, kann das Überwachungssystem über Shahkar alle Ihre vergangenen auth_key_id-Verbindungsaufzeichnungen zurückverfolgen. |
| Physikalische Ebene (IMSI-Catcher) | Einsatz falscher Basisstationen an Protestorten | Erfasst gleichzeitig Telefon-IMSI, Gerätemodell und auth_key_id und erstellt ein vollständiges Geräteidentitätsprofil. |
| Passive Rückverfolgung | Betreiber speichern Langzeitprotokolle | Sobald ein Identitätsanker mit auth_key_id verknüpft ist, kann das Überwachungssystem in historischen Protokollen suchen, um Kommunikationsmuster und Verhaltensspuren über Monate oder sogar Jahre zu rekonstruieren. |
Das Risiko der auth_key_id-Exposition liegt in ihrer Persistenz und Verknüpfbarkeit. Es handelt sich nicht um einen temporären Sitzungsmarker, sondern um eine feste Kennung, die mit dem langfristigen Autorisierungsschlüssel des Geräts verbunden ist. Wenn eine einzige Verbindung (z. B. die Registrierung im Hotel-WLAN) Ihre auth_key_id mit Ihrer echten Identität verknüpft, kann das Überwachungssystem diesen "Anker" nutzen, um alle historischen Verkehrsprotokolle zu durchsuchen – Ihre Kommunikationsaufzeichnungen der letzten Monate aus verschiedenen Netzwerken könnten auf einmal zurückverfolgt werden, selbst wenn Sie zu diesem Zeitpunkt ein VPN oder ein anderes Netzwerk verwendet haben.
Fazit: Sich auf diese Protokolle zu verlassen, um selbst VPN-Server zu betreiben, ist keine nachhaltige Lösung mehr.
Shadowsocks wurde ursprünglich von chinesischen Entwicklern erstellt, um die "Große Firewall" zu umgehen, und verwendet nicht standardmäßige Obfuskierungsmethoden. DPI-Systeme können seinen Verkehr nicht eindeutig als Proxy/VPN klassifizieren, was ihm einen relativen Vorteil in der iranischen Zensurumgebung verschafft. Aber Shadowsocks ist kein Allheilmittel. Es fehlen erweiterte Funktionen wie TLS-Handshakes, und nach längerer Nutzung können seine Verkehrsmuster von maschinellen Lernsystemen klassifiziert und erkannt werden.
Das VLESS-Protokoll wurde speziell entwickelt, um der DPI-Erkennung zu entgehen, indem es Routing-Informationen in standardmäßiges TLS einbettet, sodass der erzeugte Verkehr auf Paketebene von gewöhnlichen HTTPS-Verbindungen nicht zu unterscheiden ist. Mit der REALITY-Transporttechnologie kann es die TLS-Zertifikate legitimer Websites ausleihen, um das echte Ziel zu verschleiern. Die aktiven Sondierungssysteme des Iran erhalten bei der Abfrage eines VLESS+Reality-Servers die gleiche Antwort wie von einer echten Website, und der Server gibt seine Proxy-Funktion nicht preis. Betreiber, die VLESS-Server im Iran korrekt konfigurieren, berichten von Erkennungsraten unter 5%. Ein Server, der unter WireGuard innerhalb weniger Tage blockiert würde, kann mit korrekter VLESS+Reality-Konfiguration monatelang laufen.
Der MTProto-Proxy wurde speziell für Telegram entwickelt und funktioniert nur für Telegram; er kann keinen Browser- oder anderen App-Datenverkehr proxieren. In der Zensurumgebung von 2026 sind nur noch MTProto-Proxys der dritten Generation mit "ee"-Präfix (aktiviertes Fake TLS) wirksam. Wenn Sie auf mtproto funktioniert nicht stoßen, löst ein Upgrade auf MTG 2.2.8 oder die Verwendung eines dedizierten Proxys wie dem von TGV das Problem oft.
Selbst Fake-TLS-MTProto-Proxys können auth_key_id jedoch nicht verbergen. Telegram-Clients verwenden auf der Transportschicht unverschlüsseltes TCP, und die auth_key_id-Exposition ist ein grundlegendes Designproblem des Protokolls – egal wie sehr der Proxy verschleiert, auth_key_id wird den Netzwerkzwischenknoten ausgesetzt, bevor es den Proxy-Server erreicht. Am 1. April 2026 begannen mehrere russische ISPs damit, Telegram MTProto/FakeTLS-Handshakes über TLS-Fingerabdruckanalyse selektiv zu identifizieren, was zu weit verbreiteten mtproto funktioniert nicht-Fehlern führte, während VLESS Reality-Dienste auf denselben Servern normal weiterarbeiteten.
Angesichts der umfassenden Überwachung im Iran reicht kein einzelnes Werkzeug aus, um absolute Sicherheit zu gewährleisten. Sie benötigen eine mehrschichtige Verteidigungsstrategie.
| Ebene | Strategie | Umsetzungspunkte |
|---|---|---|
| Ebene 1: Anti-Zensur-Proxy | Verwendung des VLESS+Reality-Protokolls | Bereitstellung mit Xray-core oder Sing-box, geeignete Tarn-Domain wählen (z. B. api.github.com, update.microsoft.com), REALITY aktivieren, vorzugsweise mit P2P-dezentralem Routing. |
| Ebene 2: Telegram-spezifischer Kanal | MTProto-Proxy der 3. Generation (Fake TLS) | Verwendung von ee-Präfix-Geheimnis, Port 443, mit seriöser Tarn-Domain; als Telegram-Eingangskanal. Hinweis: MTProto-Proxy funktioniert nur für Telegram und kann die auth_key_id-Exposition nicht beheben. |
| Ebene 3: Periodischer auth_key_id-Reset | Regelmäßiges Zurücksetzen des Autorisierungsschlüssels, Stopp der Langzeitverfolgung (zwingend erforderlich) | Am gründlichsten: Gehen Sie zu Telegram-Einstellungen → Geräte, beenden Sie alle verdächtigen Sitzungen; verwenden Sie die offizielle Abmeldung und Anmeldung, um einen brandneuen auth_key_id zu generieren. Die Verwendung von PFS kann die Identifikatorexposition nicht verhindern, aber den Rückverfolgbarkeitszeitraum begrenzen. Führen Sie den Reset alle 1-3 Monate durch, um das Langzeitverfolgungsrisiko erheblich zu reduzieren. |
| Ebene 4: Identitätsisolierung | Strikte Trennung von echter Identität und sensibler Kommunikation | Verwenden Sie dasselbe Telegram-Konto nicht für sensible Aktivitäten in authentifizierten Netzwerken (Hotel-WLAN, Firmennetzwerk). Für sensible Kommunikation nutzen Sie Tor oder einen vertrauenswürdigen VPS-Tunnel im Ausland. Vermeiden Sie die Registrierung sensibler Konten mit SIM-verknüpften Telefonnummern. |
| Ebene 5: Mehrschichtige VPN/Proxy-Kette | Kombination von Anti-Zensur-Protokollen | Leiten Sie Telegram-Datenverkehr zuerst durch einen MTProto-Proxy (ee Fake TLS) und dann innerhalb eines VLESS-Tunnels, sodass auth_key_id während der gesamten Übertragung durch mehrere Verschlüsselungsschichten geschützt ist. |
| Ebene 6: Dezentrales P2P-Netzwerk | Vermeidung von Einzelpunktabhängigkeit | Die Verwendung eines dezentralen P2P-Netzwerks verhindert eine vollständige Dienstunterbrechung, wenn eine einzelne IP blockiert wird. |
Da die Persistenz von auth_key_id das größte Risiko darstellt, ist die periodische Rücksetzung der effektivste Weg, um die Langzeitverfolgung zu unterbrechen.
Empfohlen wird die Bereitstellung des VLESS+Reality-Protokolls auf einem VPS. Kurze Schritte am Beispiel von Xray:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ installxray x25519Unter der derzeitigen Überwachungsarchitektur des Iran stellt die auth_key_id-Exposition ein erhebliches und anhaltendes Datenschutzrisiko dar. Wichtige Schlussfolgerungen:
✅ VLESS+Reality ist derzeit das robusteste Anti-Zensur-Protokoll im Iran; in Kombination mit periodischen auth_key_id-Resets reduziert es das Risiko der Identitätsverknüpfung erheblich.
✅ TGV-Zahlungskunden erhalten MTProto-Proxys der dritten Generation mit ee-Präfix und professionelle Anleitung zur VLESS-Tunnelkonfiguration.
✅ Beziehen Sie Proxy-Schlüssel und Konfigurationen immer über offizielle Kanäle; vermeiden Sie kostenlose Knoten unbekannter Herkunft.
✅ Risikoreichen Benutzern wird eine monatliche "Abmelden → Erneute Anmeldung" empfohlen, um den Autorisierungsschlüssel vollständig zu ändern.
✅ Wenn Sie auf mtproto funktioniert nicht stoßen, versuchen Sie zuerst ein Upgrade auf MTG 2.2.8 oder kontaktieren Sie den TGV-Support für einen dedizierten Proxy.