据我了解，答案是否定的，用户身份验证不涉及 CA。用户生成公钥/私钥对并将公钥部分提供给服务器，但没有证书或签名操作作为响应。相反，服务器可能存储公钥的指纹（或者可能是整个密钥，我没有查看服务器实现）并使用客户端签名的挑战来验证密钥。授权 API 只涉及密钥 id。电报自己的常见问题解答只谈到随机数：

在密钥生成期间交换的各种秘密（nonce、server_nonce、new_nonce）保证了 DH-key 只能由发起交换的实例获得。

这既不像用于 X.509 的 CA 系统，也不像 OpenPGP 信任网络，而是一个高度集中的系统，假设客户端只有一个操作员。这里不需要 CA——Telegram 是唯一受信任的第三方。

（客户端确实通过通过 TLS 提供的证书来验证服务器，但是这个证书是固定在官方客户端中的，所以 CA 签名并不是唯一向客户端验证服务器身份的东西。）