پيام
+
[تلگرام]
آيا تلگرام، يک پيامرسان امن است؟
در نظر عامه مردم، تلگرام يک پيامرسان امن است؛ در اين يادداشت بنا داريم امنيت اين پيامرسان را کمي تخصصيتر مورد بررسي قرار دهيم.
امنيت اپليکشين تلگرام از سه منظر «ذخيره سازي اطلاعات روي سرور»، «امکان چت امن ( secret chat)» و «پروتکل امنيتي اين پيامرسان» قابل ارزيابي است.
ذخيره اطلاعات روي سرور
براي درک اين بخش، نگاهي به مکانيزم ساير پيامرسانها بيندازيم. در پيامرسانهاي واتساپ و الو، اطلاعات روي سرور مرکزي ذخيره نميشوند. يعني به محض تحويل دادن به طرف مقابل چت، از سرور پاک شده و در آن مدت کوتاه نگهداري هم بصورت رمزنگاري شده است؛ اين سطح از امنيت قابل قبول است زيرا مهاجم درصورت دسترسي فيزيکي به سرور، با پيامهاي رمزنگاري شده روبرو ميشود. اما چون اطلاعات در گوشي طرفين چت ذخيره ميشود، پيام رسان امکان مولتي پلتفرم را ندارد. يعني در حاليکه برنامه روي گوشي نصب است، امکان اتصال به نسخه دسکتاپ بصورت مستقل و بدون نياز به گوشي و آنلاين بودن گوشي شدني نيست. اما برخلاف تصور عامه که مزيت رقابتي تلگرام، امنيت نيست بلکه سرعت و مولتيپلتفرمينگ است که اين لازمهاش ذخيره سازي اطلاعات روي سرور است آن هم بصورت رمزنگاري نشده؛ و اين يعني ضعف امنيتي!
چت امن(secret chat)
تلگرام براي جبران اين ضعف امنيتي جدي، امکان چت امن يا همان secret chat را اضافه نمود که بصورت رمزگذاري سراسري (end to end encription) کار ميکند؛ يعني پيامها و اطلاعات درمحل توليد پيام رمزنگاري شده و درمحل تحويل رمزگشايي ميشود و همچنين اينکه روي سرور ذخيره نميشود. البته بهنظر ميرسد تلگرام اين امکان "کممصرف" را براي اقناع منتقدين کارشناسان امنيتي گذاشته است و معمولا کسي از اين آپشن استفاده نميکند. چون هم نسبتا کند است و هم در نسخه هاي دسکتاپ و وب وجود ندارد. البته جايزه معروف تلگرام براي شکستن رمز نيز براي همين قسمت بوده است.
پروتکل امنيتي تلگرام
غمانگيز ترين قسمت ماجرا، پروتکل امنيتي است که در اين پيامرسان مورد استفاده قرار گرفته است و يکي از عوامفريبيهاي تلگرام است. تلگرام براي کل برنامه (به جز قسمت secret chat) از يک پروتکلِ خودساخته (يا بهعبارتي مندرآوردي) به نام mtproto استفاده کرده است. پروتکل هاي مندرآوردي نقطه افتراق متخصصان رمزنگاري و افراد آکادميک از عوام است. افرادي که در حوزههاي امنيتي تخصص ندارن، عموما اينگونه تصور ميکنند که داشتن پروتکل امنيتي خودساخته، يک ويژگي مثبت است در صورتي که کاملا اشتباه است زيرا طبق اصول امنيتي به جاي ساخت پروتکل هاي اختراعي که توسط متخصصان بررسي و واکاوي نشده است بايد از پروتکل هاي تست شده و استاندارد استفاده کرد. چرا که تا زماني که پروتکل توسط دانشمندان حوزه رمزنگاري (cryptography) بررسي و اثبات رياضي و الگوريتمي نشده است هيچ اثباتي درمورد امن بودن پروتکل وجود ندارد.
نتيجه آنکه برخلاف گفته هاي شرکت تلگرام اين برنامه اصلا روي امنيت تمرکزي نداشته و بيشتر کارايي و سرعت مدنظرش بوده است. به همين خاطر است که طبق نظر متخصصان امنيت پيامرسانهايي را ميتوان امن تلفي کرد که از پروتکل هاي امنيتي شناخته شده استفاده ميکنند مانند SSL که بسيار پرکاربرد است و حتي غولي به نام گوگل نيز از آن استفاده ميکند.
اميد بهارلو
کارشناس ارشد مهندسي امنيت اطلاعات
دانشگاه صنعتي شريف
@SotunAzad