شبکه اجتماعی پارسی زبانانپارسی یار

پيام

اويس.

+ [تلگرام] آيا تلگرام، يک پيام‌رسان امن است؟ در نظر عامه مردم، تلگرام يک پيام‌رسان امن است؛ در اين يادداشت بنا داريم امنيت اين پيام‌رسان را کمي تخصصي‌تر مورد بررسي قرار ‌دهيم. امنيت اپليکشين تلگرام از سه منظر «ذخيره سازي اطلاعات روي سرور»، «امکان چت امن ( secret chat)» و «پروتکل امنيتي اين پيام‌رسان» قابل ارزيابي است. ذخيره اطلاعات روي سرور براي درک اين بخش، نگاهي به مکانيزم ساير پيام‌رسان‌ها بيندازيم. در پيام‌رسان‌هاي واتس‌اپ و الو، اطلاعات روي سرور مرکزي ذخيره نمي‌شوند. يعني به محض تحويل دادن به طرف مقابل چت، از سرور پاک شده و در آن مدت کوتاه نگه‌داري هم بصورت رمزنگاري شده است؛ اين سطح از امنيت قابل قبول است زيرا مهاجم درصورت دسترسي فيزيکي به سرور، با پيام‌هاي رمزنگاري شده روبرو مي‌شود. اما چون اطلاعات در گوشي طرفين چت ذخيره مي‌شود، پيام رسان امکان مولتي پلتفرم را ندارد. يعني در حالي‌که برنامه روي گوشي نصب است، امکان اتصال به نسخه دسکتاپ بصورت مستقل و بدون نياز به گوشي و آنلاين بودن گوشي شدني نيست. اما برخلاف تصور عامه که مزيت رقابتي تلگرام، امنيت نيست بلکه سرعت و مولتي‌پلتفرمينگ است که اين لازمه‌اش ذخيره سازي اطلاعات روي سرور است آن هم بصورت رمزنگاري نشده؛ و اين يعني ضعف امنيتي! چت امن(secret chat) تلگرام براي جبران اين ضعف امنيتي جدي، امکان چت امن يا همان secret chat را اضافه نمود که بصورت رمزگذاري سراسري (end to end encription) کار مي‌کند؛ يعني پيام‌ها و اطلاعات درمحل توليد پيام رمزنگاري شده و درمحل تحويل رمزگشايي مي‌شود و همچنين اينکه روي سرور ذخيره نمي‌شود. البته به‌نظر مي‌رسد تلگرام اين امکان "کم‌مصرف" را براي اقناع منتقدين کارشناسان امنيتي گذاشته است و معمولا کسي از اين آپشن استفاده نمي‌کند. چون هم نسبتا کند است و هم در نسخه هاي دسکتاپ و وب وجود ندارد. البته جايزه معروف تلگرام براي شکستن رمز نيز براي همين قسمت بوده است. پروتکل امنيتي تلگرام غم‌انگيز ترين قسمت ماجرا، پروتکل امنيتي است که در اين پيام‌رسان مورد استفاده قرار گرفته است و يکي از عوامفريبي‌هاي تلگرام است. تلگرام براي کل برنامه (به جز قسمت secret chat) از يک پروتکلِ خودساخته (يا به‌عبارتي من‌درآوردي) به نام mtproto استفاده کرده است. پروتکل هاي من‌درآوردي نقطه افتراق متخصصان رمزنگاري و افراد آکادميک از عوام است. افرادي که در حوزه‌هاي امنيتي تخصص ندارن، عموما اينگونه تصور مي‌کنند که داشتن پروتکل امنيتي خودساخته، يک ويژگي مثبت است در صورتي که کاملا اشتباه است زيرا طبق اصول امنيتي به جاي ساخت پروتکل هاي اختراعي که توسط متخصصان بررسي و واکاوي نشده است بايد از پروتکل هاي تست شده و استاندارد استفاده کرد. چرا که تا زماني که پروتکل توسط دانشمندان حوزه رمزنگاري (cryptography) بررسي و اثبات رياضي و الگوريتمي نشده است هيچ اثباتي درمورد امن بودن پروتکل وجود ندارد. نتيجه آنکه برخلاف گفته هاي شرکت تلگرام اين برنامه اصلا روي امنيت تمرکزي نداشته و بيشتر کارايي و سرعت مدنظرش بوده است. به همين خاطر است که طبق نظر متخصصان امنيت پيام‌رسان‌هايي را مي‌توان امن تلفي کرد که از پروتکل هاي امنيتي شناخته شده استفاده ميکنند مانند SSL که بسيار پرکاربرد است و حتي غولي به نام گوگل نيز از آن استفاده مي‌کند. اميد بهارلو کارشناس ارشد مهندسي امنيت اطلاعات دانشگاه صنعتي شريف @SotunAzad
اويس.
رتبه 0
0 برگزیده
1 دوست
فهرست کاربرانی که پیام های آن ها توسط دبیران مجله پارسی یار در ماه اخیر منتخب شده است.
برگزیدگان مجله اسفند ماه
vertical_align_top