دوشنبه ۴ام بهمن ۱۳۹۵ ۰۸:۲۶:۲۶ بعد از ظهر

امنیت در تلگرام

کد خبر: 56969
تعداد بازدیدکننده: 316
تاریخ: ۳۰ فروردین ۱۳۹۴

با تلگرام که آشنایید؟ نرم افزار پیام رسان کدباز موبایل(چیزی شبیه واتس اپ و وایبر و…) که به امنیتش می‌نازد و ادعا می کند که پیام های ارسالی با آن به هیچ عنوان قابل رصد، شنود، کنترل محتوا و فیلترینگ هوشمند نیست و حتی جایزه ای ۲۰۰ هزار دلاری برای هک آن در نظر گرفته است.

حال در این مطلب برای روشن شدن این ادعا با بررسی سه فاکتور رمز نگاری اطلاعات، ذخیره سازی پیام ها و آسیب پذیری های امنیتی به مقایسه تلگرام و واتس‌اپ به عنوان یک نرم افزار مشابه و بسیار رایج می پردازیم.

 

۱- رمز نگاری اطلاعات

تلگرام برای رمزنگاری و انتقال پیام ها از پروتکلی به نام MTProto استفاده می کند؛ این پروتکل جهت استفاده در تلگرام با تلفیق چندین الگوریتم و پروتکل رمز نگاری داده ها نظیر الگوریتم رمز نگاری متقارن AES 256 و الگوریتم رمز نگاری نا متقارن RSA 2048 و پروتکل انتقال کلید دیفی هلمن توسط یک تیم که اکثرا برندگان مسابقه ACM و دارای PhD ریاضی هستند نوشته شده است.

تمامی پیام های که در تلگرام مبادله می شود با استفاده از همین پروتکل رمزنگاری می شود و این فقط منحصر به پیام های متنی نیست و تمامی فایل های مبادله شده اعم از عکس و فیلم و صوت و اسناد هم به صورت end-to-end کد شده و رمزنگاری شده منتقل می شوند.

ولی در واتس اپ به علت کدباز نبودن هیچ مشخص نیست که اطلاعاتی که مبادله می شود آیا کد می شود یا خیر؟

 

۲- ذخیره سازی پیام ها

یکی از ویژگی های تلگرام مالتی پلتفرم بودن آن است. یعنی تلگرام نسخه اندروید، iOS، ویندوز، ویندوز فون و وب دارد و همه جا و همزمان می توان از آن ها استفاده کرد و به پیام ها و آرشیو آن دسترسی داشت.

لازمه مالتی پلتفرم بودن این است که پیام ها در سروری ذخیره شوند تا وقت مورد نیاز بودند بارگزاری گردند و تلگرام همه پیام ها را در سرورهایش ذخیره می کند.

ذخیره شدن اطلاعات در یک سرور رابطه عکسی با امنیت دارد و اگر چه این داده های ذخیره شده همگی کد شده اند و کلیدها و پیام ها در سرورهای یکسانی قرار ندارند ولی باز درصدی از امنیت را کاهش می دهد.

اما در واتس اپ هیچ پیامی در هیچ سروری ذخیره نمی شود مگر پیام هایی که به علت عدم اتصال گیرنده به شبکه هنوز به مقصد نرسیده اند. که برای این نوع پیام ها هم محدودیتی ۳۰ روزه در نظر گرفته می شود و بعد از گذشت آن مدت حذف می شوند.

در این مورد تا اینجای کار واتس اپ برتری امنیتی نسبی بر تلگرام داشت؛ اما تلگرام از این مورد هم به سادگی نگذشته است و برای کسانی که به این سطح از امنیت نیاز دارند یک نوع چت با نام Secure Chat یا چت امن فراهم کرده است. در چت امن علاوه بر رمز نگاری end-to-end پیام ها در سرور هم ذخیره نمی شوند و فقط بین فرستنده و گیرنده مبادله می گردند.

 

۳- آسیب پذیری های امنیتی

تلگرام بر خلاف واتس اپ کدباز است و چشم های بیش تری بر آن نظارت می کنند در نتیجه بسیاری از آسیب های بالقوه احتمالا قبل از عمل شناسایی خواهند شد.

و اما واتس آپ تاریخی از این آسیب ها و ضعف ها داشته است کافی است «whatsApp Security» را گوگل کنید تا خود شاهد ماجرا باشید. اگر چه بعد از این که فیسبوک واتس اپ را خرید انتظار می رود با پشتیبانی یک تیم قوی به سطح بالایی از امنیت برسد و بسیاری از این آسیب پذیری هایش کاهش یابد اما باید به خاطر داشته باشیم همیشه فکر دسته جمعی بهتر از فکر یک عده محدود نتیجه خواهد داد.

 

و در نتیجه…

در کل می توان گفت که چت امن تلگرام قطعا نسبت به واتس اپ برتری دارد و در مورد مقایسه امنیت بین چت معمولی تلگرام و واتس اپ باید گفت که اگر امنیت زمان ارسال برای ما در اولویت باشد به علت رمزنگاری صورت گرفته برتری با تلگرام است و اگر امنیت پس از ارسال و دسترسی به پیام هایی که قبلا رد و بدل شده اند نیز مهم باشد واتس اپ بر چت معمولی تلگرام می چربد.

 

یک نکته بسیار مهم

بسیاری از مواردی که در بالا در مورد عدم ذخیره سازی پیام ها و یا ذخیره به صورت کد شده در سرور مطرح شد می تواند صرفا یک ادعا باشد و ممکن است از سوی این شرکت ها رعایت نگردد.

برای نمونه افشاگری های ادوارد اسندون درباره پروژه پریزم نشان می داد که بسیاری از غول های فناوری اطلاعات، اطلاعات کاربران را برای جاسوسی در اختیار دولت قرار می دادند.

سید احسان شریعتی

۷ نظر

  1. ایزدی می‌گه:

    جالب بود ممنون .
    فقط اگه مقدور لست برای افرادی که آشنا نیستند ر خی از موراد را مانند رمز نگاری end-to-end – الگوریتم رمز نگاری نا متقارن RSA 2048 و پروتکل انتقال کلید دیفی هلمن را بیشتر توضیح دهید .

    • سید احسان شریعتی می‌گه:

      رمز نگاری end-to-end: یعنی پیام هایی که از این طریق ارسال میشه از مبدا تا مقصد به صورت رمز شده منتقل میشه
      رمز نگاری متقارن: نوعی از رمز نگاری که با یک کلید رمز شده و با همان کلید از رمز خارج می شود.
      رمزنگاری نامتقارن: نوعی رمز نگاری که با یک کلید رمز شده و با کلید دیگری از رمز خارج می شود.
      پروتکل تبادل کلیددیفی-هلمن: پروتکلی است که با آن کلیدهای رمزنگاری را منتقل می کنند.

  2. زمان انتخاب می‌گه:

    آقای شریعتی برای اینکه بگه خیلی حالیمه و بلدم ، مراجع را به صورت انگلیسی داده ، در صورتی که این مراجع نسخه ی فارسی هم دارن . مثل ویکیپدیا که کنارش گزینه ی ترجمه ی فارسی هم وجود داره . با موارد دیگر که در سایت آمده . این خصلت ما ایرانیا بده که برای اینکه فخر بفرشیم از زبان بیگانه سوءاستفاده می کنیم .

    • سید احسان شریعتی می‌گه:

      این برداشت شماست و کاملا محترم
      ولی اگر مقایسه کوچکی بکنید می بینید که منابع انگلیسی بسیار کامل تر هستند و به شخصه ترجیح میدم اون ها را بخونم

    • غلامعلی تشکری می‌گه:

      آقای شریعتی
      خواهشمندم که تبلیغ این نرم افزار هایی که فقط موجب هدر رفتن وقت جوانان می شود و در آنها کار مفیدی صورت نخواهد گرفت جدا پرهیز کنید.
      می خواستم بدانم که این نرم افزار های تلفن همراه چه سودی داشته اند که انقدر سینه چاک آنها هستید.
      آیا می دانید که آبروی چند ین نفر بخاطر این نرم افزارها و این افکار شیطانی غرب بر باد رفته؟؟؟
      فقط متاسفم از سایت خوب بافق فردا که مطالب شما را در سایتش انتشار می دهد.

  3. . می‌گه:

    آقای شریعتی ، آیا شما خلاف قوانین هفته نامه ی عصر ارتباطات عمل نکردید ؟
    شما نباید این مقاله را قبل از انتشار توسط هفته نامه ، در سایت بافق فردا منتشر می کردید.
    http://www.alef.ir/vdciqvarwt1aq52.cbct.html?268465