👇 T.me/daneshvadanestan #پروتکل_امنیتی_ضدامنیتی #امید_بهارلو نوشت: آیا تلگرام، یک پیام‌رسان امن است؟ در نظر عامه مردم، تلگرام یک پیام‌رسان امن است؛ امنیت اپلیکشین تلگرام از سه منظر «ذخیره سازی اطلاعات روی سرور»، «امکان چت امن ( secret chat)» و «پروتکل امنیتی این پیام‌رسان» قابل ارزیابی است. ▪️ذخیره اطلاعات روی سرور برای درک این بخش، نگاهی به مکانیزم سایر پیام‌رسان‌ها بیندازیم. در پیام‌رسان‌های واتس‌اپ و الو، اطلاعات روی سرور مرکزی ذخیره نمی‌شوند. یعنی به محض تحویل دادن به طرف مقابل چت، از سرور پاک شده و در آن مدت کوتاه نگه‌داری هم بصورت رمزنگاری شده است؛ این سطح از امنیت قابل قبول است زیرا مهاجم درصورت دسترسی فیزیکی به سرور، با پیام‌های رمزنگاری شده روبرو می‌شود. اما چون اطلاعات در گوشی طرفین چت ذخیره می‌شود، پیام رسان امکان مولتی پلتفرم را ندارد. یعنی در حالی‌که برنامه روی گوشی نصب است، امکان اتصال به نسخه دسکتاپ بصورت مستقل و بدون نیاز به گوشی و آنلاین بودن گوشی شدنی نیست. اما برخلاف تصور عامه که مزیت رقابتی تلگرام، امنیت نیست بلکه سرعت و مولتی‌پلتفرمینگ است که این لازمه‌اش ذخیره سازی اطلاعات روی سرور است آن هم بصورت رمزنگاری نشده؛ و این یعنی ضعف امنیتی! ▪️چت امن(secret chat) تلگرام برای جبران این ضعف امنیتی جدی، امکان چت امن یا همان secret chat را اضافه نمود که بصورت رمزگذاری سراسری (end to end encription) کار می‌کند؛ یعنی پیام‌ها و اطلاعات درمحل تولید پیام رمزنگاری شده و درمحل تحویل رمزگشایی می‌شود و همچنین اینکه روی سرور ذخیره نمی‌شود. البته به‌نظر می‌رسد تلگرام این امکان "کم‌مصرف" را برای اقناع منتقدین کارشناسان امنیتی گذاشته است و معمولا کسی از این آپشن استفاده نمی‌کند. چون هم نسبتا کند است و هم در نسخه های دسکتاپ و وب وجود ندارد. البته جایزه معروف تلگرام برای شکستن رمز نیز برای همین قسمت بوده است. ▪️پروتکل امنیتی تلگرام غم‌انگیز ترین قسمت ماجرا، پروتکل امنیتی است که در این پیام‌رسان مورد استفاده قرار گرفته است و یکی از عوامفریبی‌های تلگرام است. تلگرام برای کل برنامه (به جز قسمت secret chat) از یک پروتکلِ خودساخته (یا به‌عبارتی من‌درآوردی) به نام mtproto استفاده کرده است. پروتکل های من‌درآوردی نقطه افتراق متخصصان رمزنگاری و افراد آکادمیک از عوام است. افرادی که در حوزه‌های امنیتی تخصص ندارن، عموما اینگونه تصور می‌کنند که داشتن پروتکل امنیتی خودساخته، یک ویژگی مثبت است در صورتی که کاملا اشتباه است زیرا طبق اصول امنیتی به جای ساخت پروتکل های اختراعی که توسط متخصصان بررسی و واکاوی نشده است باید از پروتکل های تست شده و استاندارد استفاده کرد. چرا که تا زمانی که پروتکل توسط دانشمندان حوزه رمزنگاری (cryptography) بررسی و اثبات ریاضی و الگوریتمی نشده است هیچ اثباتی درمورد امن بودن پروتکل وجود ندارد. ➕نتیجه آنکه برخلاف گفته های شرکت تلگرام این برنامه اصلا روی امنیت تمرکزی نداشته و بیشتر کارایی و سرعت مدنظرش بوده است. به همین خاطر است که طبق نظر متخصصان امنیت پیام‌رسان‌هایی را می‌توان امن تلفی کرد که از پروتکل های امنیتی شناخته شده استفاده میکنند مانند SSL که بسیار پرکاربرد است و حتی غولی به نام گوگل نیز از آن استفاده می‌کند. 💬امید بهارلو کارشناس ارشد مهندسی امنیت اطلاعات دانشگاه صنعتی شریف 🔴 ما را در پیامرسان های ایرانی #سروش و #ایتا همراهی نمایید!👇 _ #دانایی_مقدمه_توانایی! نشانی ما را در #پیامرسان_های_داخلی پیامرسان #سروش 👇 http://sapp.ir/daneshvadanestan پیامرسان #ایتا 👇 eitaa.com/daneshvadanestan