نگاه کارشناس

پشت دیوار بی‌اعتمادی

نرم‌افزار پیام‌رسان تلگرام اکنون بیش از صد میلیون کاربر فعال دارد و کاربران ایرانی رتبه‌دار بیشترین کوچ از واتس‌اپ و وایبر به این نرم‌افزار هستند. در توصیف این نرم‌افزار واژه «رمزنگاری شده» به چشم می‌خورد که وجه تسمیه آن به‌کارگیری پروتکل رمزنگاری MTproto در تبادل پیام‌ها چه به‌صورت عادی و چه به‌صورت ایمن است.

کد خبر: ۸۹۰۴۲۷

در حالت ارسال و دریافت پیام به‌صورت عادی این نرم‌افزار از یک ساختار رمزنگاری Client/Server بهره می‌برد، ولی هنگامی که کاربر حالت چت ایمن را بر می‌گزیند، ساختار رمزنگاری به حالت

کاربر ـ کاربر تغییر می‌کند. در این حالت علاوه بر این‌که از پروتکل MTproto برای رمزنگاری استفاده می‌شود، الگوریتم رمزنگاری نامتقارن Diffie-Hellman توسط فرستنده و گیرنده برای تبادل کلید رمزنگاری به‌کار می‌رود. در این نوع چت پیام تبادلی تنها روی دستگاه فرستنده و گیرنده پیام قابل دسترسی است و امکان مشاهده آن روی دستگاه‌های دیگر وجود ندارد. MTproto در درون خود از الگوریتم رمزنگاری متقارن AES (با اندازه کلید 256 بیت) برای حفظ محرمانه‌بودن بهره می‌برد که تلاش برای یافتن کلید رمزگشایی به هزاران سال زمان نیاز دارد. این پروتکل از یک تابع درهم‌ساز (SHA-1) برای تامین صحت و اصالت پیام بهره می‌برد تا طرفین یک گفت‌وگو مطمئن باشند پیامی را که دریافت می‌کنند همانی است که باید باشد.

MTproto در عمل به اندازه‌ای موفق بوده که توجه گروه‌های تروریستی مانند داعش را به خود جلب کرده و آنها از پوشش‌های امنیتی تلگرام برای تبادل پیام استفاده می‌کنند. شاید این پرسش در ذهن مخاطب باشد که چرا به‌صورت پیش‌فرض تمام چت‌ها از خواص چت ایمن بهره نمی‌برد؟ پاسخ این پرسش در دنیای امنیت به برقراری توازن میان محرمانه بودن و سهولت استفاده از یک سرویس بر‌می‌گردد. به‌کارگیری توامان الگوریتم‌های رمزنگاری متقارن و نامتقارن در یک ساختار سربار پردازشی را بشدت بالا خواهد برد، از این رو تعمیم چنین سناریویی به تمام فضای چت امری ناممکن است. از سویی دیگر تلگرام تنها نرم‌افزاری است که بیش از هر نرم‌افزار پیام‌رسان قربانی حملات DDoS بوده است. حملاتی که ماهانه علیه یکی از سرورهای این نرم‌افزار انجام می‌شود و بزرگی آن گاه به 200 گیگابیت بر ثانیه می‌رسد و نتیجه آن کند شدن سرویس و در مواردی از دست خارج شدن آن است. تلگرام از ضعف‌های فرآیندی رنج می‌برد که امکان پایش کاربرانش را به دشمنان حفظ حریم شخصی می‌دهد. کافی است شماره تلفن (حساب کاربری تلگرام روی آن فعال شده است) کسی را که می‌خواهید او را زیر نظر بگیرید داشته باشید. با افزودن شماره قربانی به دفترچه تلفن گوشی خود به محض آنلاین شدن فرد مورد نظر خواهید توانست از Metadata که تلگرام از گوشی قربانی به گوشی شما می‌فرستد به اطلاعات ارزشمندی دست یابید و این اطلاعات می‌تواند حریم شخصی قربانی را مخدوش کند. مهاجم از روی این اطلاعات درخواهد یافت که فرد مورد نظر در چه زمانی و با چه کسی مشغول تبادل پیام بوده است.