1. صاحب ایالات متحده 
مسنجر سیم منبع خود را در سوئیس – توسعه در برلین اتفاق می افتد. در پایان ماه ژوئیه سال 2019 ، Wire Swiss GmbH توسط Wire Group Holdings Inc. خریداری شد. (داور ، ایالات متحده). بنابراین صاحب مشاغل در ایالات متحده است. این برنامه به صورت رایگان در Android و iOS در دسترس است. علاوه بر فروشگاه های محبوب برنامه ، Wire for Android را می توان مستقیماً از وب سایت این شرکت نیز بارگیری کرد.
برای استفاده از سیم ، به شماره تلفن نیاز ندارد . همچنین می توانید با استفاده از یک آدرس ایمیل ثبت نام کنید. اگر برنامه به مخاطبین ذخیره شده شما دسترسی پیدا کند ، می توانید سایر کاربران سیم را پیدا کنید. کد منبع مشتری و زیرساخت های سمت سرور به صورت رایگان در دسترس همه (منبع آزاد) است.
سیم دارای پروتکل پروتئوس بود ، و مشتری های Android و iOS توسط شرکت های امنیتی مستقل Kudelski Security و X41 D-Sec مورد بررسی قرار گرفتند. بررسی ها به طور کلی مثبت بودند ، اما دو سال پیش بودند یا در مارس 2018 انجام شده بودند.
این مقاله بخشی از یک سری مقاله ها است:
2. رمزگذاری رمزنگاری
برای برقراری ارتباط ضد آب ، سیم از رمزگذاری نهایی به پایان (E2EE) برای محتوای پیام استفاده می کند. برای این منظور ، مسنجر از پروتکل پروتئوس – یک اجرای جداگانه از پروتکل سیگنال (نام قبلی پروتکل Axolotl) استفاده می کند ، که در سیگنال مسنجر استفاده می شود. اتفاقاً ، اجرای پروتکل سیگنال در سیم تقریباً به اختلاف قانونی بین سیم و بنیاد سیگنال ختم شد. در فوریه سال 2017 پروتکل پروتئوس در معرض ممیزی امنیتی قرار گرفت که در آن چندین آسیب پذیری غیرقانونی یافت شد. رضایت کلی: کلیه محتوای ارتباطی (پیام ها ، پرونده ها ، و غیره) به صورت پیش فرض رمزگذاری شده E2EE هستند – هم برای چت فردی و هم گروهی. پروتکل سیگنال مانند پروتکل سیگنالینگ ، از انکار و ناسازگاری معتبر پشتیبانی می کند (پنهان کاری کامل برای جلو (PFS)).
اگر همتای خود را تأیید نکنید ، هرگز نمی توانید مطمئن باشید که در واقع در حال تبادل پیام با شریک ارتباطی مورد نظر یا احتمالاً با شخص ثالث ناشناخته هستید. برای این منظور ، Wire تأیید اثر انگشت (رشته) را ارائه می دهد:
پس از تأیید اثر انگشت ، یک نماد آبی از نشانه در مقابل نام شخصی که با او صحبت می کنید نمایش داده می شود. ].
توجه
جزئیات بیشتر در مورد رمزگذاری و رمزنگاری استفاده شده را می توان در سند رسمی امنیت سیم یافت.
3. مرکزی فدرال Decentralized
در Wire ، کلیه ارتباطات و تبادل پیام از طریق سرورهای آمازون مستقر در اتحادیه اروپا (AWS) صورت می گیرد. سیم در نظر دارد فدراسیون بین سرورهای سیم را در آینده ای نه چندان دور پیاده سازی کند. با این حال ، در حال حاضر مشخص نیست چه زمانی این ویژگی در دسترس خواهد بود. توسعه دهنده در مورد GitHub در اکتبر 2019 اظهار داشت: [
بروزرسانی: بحث های داخلی پیرامون فدراسیون ادامه دارد (بین سرورهای سیم به عنوان اولین قدم).
کاری که شما باید انجام دهید:
الف) فدراسیون XMPP بین سرورهای Wire
ب) XMPP API بین سرورهای سیم و سرویس گیرندگانما هرگز برنامه ای برای اجرای b) نداریم. سیم). حداقل در چند سال آینده نیست. روی این قسمت تمرکز نکنید.
ما برای اولین بار قصد داریم فدراسیون را بین سرورهای سیم پیاده سازی کنیم. مشخص نیست از XMPP استفاده می کند یا نه.
[…]
بنابراین اکنون یک سرور یا خوشه سرور وجود دارد که در آن هر شرکت کننده باید ثبت نام کند. کنترل بر کل سرویس و جهت گیری آینده آن تنها مسئولیت شرکت Wire Group Holdings Inc.
توجه
از آنجا که سرور و کد منبع مشتری به صورت عمومی قابل مشاهده است ، توسعه بیشتر مستقل سیم یا چنگال نیز بدون تأثیر Wire Group Holdings Inc. امکان پذیر خواهد بود.
4. ابرداده
در بیانیه حفاظت از داده ها مشخص نشده است كه ابرداده سیم در حین استفاده جمع آوری یا پردازش می كند. فقط با نگاهی به سند رسمی سیم ، شفافیت بیشتری فراهم می کند:
- بانک اطلاعاتی با ابرداده متن ساده : قبلاً در ماه مه 2017 ، من متوجه شدم که سرورهای سیمی اطلاعات را در یک جدول پایگاه داده ذخیره می کنند در مورد اینکه چه کسی از چه کسی ارتباط برقرار می کند. و به عنوان متن ساده در این شرایط تاکنون هیچ چیز تغییر نکرده است. پروتکل پروتئوس بنابراین با پروتکل سیگنال تفاوت دارد که بر جلوگیری از ابرداده تأکید دارد. وایر بیانیه رسمی در مورد چگونگی لازم برای ذخیره کردن متن ساده منتشر کرده است:
این به ما اجازه می دهد تا در صورت استفاده از چندین دستگاه ، پشتیبانی بهتری ارائه دهیم – به عنوان مثال ، برای همگام سازی اتصالات با سایر دستگاه ها.
بنابراین یکی از ضروریات فنی به منظور همگام سازی فرایندهای گپ بین چندین دستگاه کاربر است.
- گزارش های خرابی و آمار کاربر ناشناس : براساس داده های موجود در کاغذ سفید حریم خصوصی ، مشتری سیم گزارشات خرابی و آمار استفاده جمع را جمع می کند. آنها در ابتدا بصورت محلی ذخیره می شوند و در فواصل منظم با سیم و تأمین کنندگان خارجی مانند HockeyApp ، Raygun و Mixpanel همزمان می شوند. به ویژه ، Mixpanel از صحنه خوبی از صحنه حفاظت از داده ها برخوردار نیست. اما ، از آنجا که نسخه 3.31.777 سیم حاوی خدمات ردیابی خارجی یا کتابخانه نیست. با این حال ، این تغییر هنوز در کاغذ سفید حفظ حریم خصوصی ذکر نشده است ، اگرچه قبلاً در آوریل 2019 اتفاق افتاده است. به طور خلاصه: کاغذ سفید حریم شخصی جاری نیست و باید تغییر کند.
علاوه بر این مضرات ، باید موارد مثبت را نیز گزارش دهید:
- کتاب آدرس : این وسیله توسط سیم فقط در دستگاه انتهایی مدیریت یا ذخیره می شود. اگر کاربر انتقال اختیاری کتاب آدرس خود را انتخاب کند ، شماره تلفن مخاطب خوانده و رمزگذاری می شود (SHA-256). اطلاعات دوباره پس از مقایسه بر روی سرور حذف می شوند.
- مواد اصلی : یک جفت کلید (لازم برای E2EE) بصورت محلی در دستگاه کاربر ایجاد می شود. کلید خصوصی فقط در دستگاه باقی می ماند و ارسال نمی شود.
- اخبار / گفتگوهای گروهی : هنگامی که پیامی به گیرنده مناسب ارسال می شود ، از سرور حذف می شود. این پیام حداکثر 30 روز قبل از رد در سرورهای سیمی ذخیره می شود.
برای جلوگیری از ابرداده ، مهم است كه سیم را می توان به طور مستقل از Google اداره كرد. مسنجر را می توان به صورت فایل APK از طریق وب سایت Wire به طور مستقل از فروشگاه Google Play بدست آورد. سیم حتی در Android بدون Google و # 39 پشتیبانی می شود و نیازی به Firebase Cloud Messaging (FCM) ندارد – WebSockets اعلان را از طریق FCM جایگزین می کند.
برعکس ، Wire نمی تواند به فروشگاه F-Droid سازگار با داده باشد زیرا در حال حاضر هیچ نسخه ای وجود ندارد که بدون موارد اختصاصی (کتابخانه های Google و غیره) ارسال شود.
5. شناسه
ثبت نام در سیم را می توان با استفاده از شماره تلفن یا آدرس ایمیل انجام داد. برخلاف بسیاری از پیام رسان های دیگر ، سیم به یک شناسه اجازه می دهد که با شماره تلفن همراه نباشد. یک استثنا دلپذیر.
پس از ثبت نام ، می توانید مخاطبین را با استفاده از نام کاربری سیم یا شناسه کاربر سیم (Name) به صورت دستی اضافه کنید. به صورت اختیاری می توان کتاب آدرس محلی را با سرورهای سیمی مقایسه کرد. شماره تلفنهای مخاطب ابتدا مخلوط می شوند (SHA-256) و سپس برای مقایسه به سرور سیمی ارسال می شوند. در صورت تطبیق ، مخاطب در لیست مخاطبین سیم نمایش داده می شود.
در مورد سیم ، شناسه کاربر لزوماً با شماره تلفن همراه نیست ، همانطور که در مورد واتس اپ یا سیگنال وجود دارد. Contact Discovery از طریق تلفن اختیاری است.
6. منبع باز شفافیت
کد منبع مشتری سیمی منبع باز (مجوز GPLv3) است و بنابراین برای همه قابل مشاهده است. این امر همچنین مربوط به قسمت سرور است – کد منبع در GitHub در دسترس است. این بدان معنی است که ، به طور معمول ، بررسی های امنیتی مستقل امکان پذیر است. این گشودگی یک گام ضروری به سوی شفافیت بیشتر است. پروتکل سیمی ، سرویس گیرندگان (Android ، iOS) ، برنامه اینترنت و تلفن توسط شرکت های امنیتی مستقل Kudelski Security و X41 D-Sec آزمایش شده اند. به طور کلی ، بررسی ها مثبت بودند اما از دو سال پیش یا در مارس 2018 انجام شده بودند. آخرین ممیزی پروتکل کابل حتی سه سال پیش صورت گرفت. بازرسی مجدد معنی دارد.
گشودن به منبع کل زیرساخت های مشتری و سرور ، همانطور که قبلاً گفته شد ، شفافیت و در نتیجه اعتماد را تضمین می کند – اما این توسط شرکت وایر گروه هولدینگس به شدت آسیب دیده است. (داور ، ایالات متحده آمریکا)) – من این را در نوامبر 2019 گزارش کردم. این باعث شد تا سوالات مهم رسانه های مختلف در وایر به وجود آید. غیرقابل درک: سیم در ابتدا به کاربران خود آگاهی نمی داد ، اما کسب فقط در صورت درخواست تأیید شد:
مشتریان فعلی و آینده Wire هنوز از آلمان و سوئیس سرویس و مجوز دارند. تیم توسعه در برلین باقی مانده است ، سرورها در اروپا هستند. این بدان معناست که وایر همچنان تحت حمایت قوانین حفاظت از داده ها در سوئیس و اروپا است.
در این مرحله ، مشخص نیست که ایالات متحده چه تاثیری قانونی بر داده های (کاربر) یا سیم دارد. این امر به ویژه با توجه به فوق داده های رمزگذاری نشده که توسط Wire در مورد هر کاربر ذخیره شده است ، بسیار مشکل ساز است. علاوه بر این ، وب سایت Wire حاکی است که این شرکت در سوئیس مستقر است:
مستقر در سوئیس ، سرور در اتحادیه اروپا
تقریباً همزمان با کسب این شرکت توسط Wire Group Holdings Inc. ، اخباری مبنی بر جمع آوری سیم وجود داشت. بیش از 8 میلیون دلار از Morpheus Ventures و سایر سرمایه گذاران. Morpheus Ventures دارای نمونه کارهایی است که شامل شرکت هایی در زمینه مراقبت های بهداشتی ، بیمه عمر ، هوش مصنوعی (زبانی) و تجزیه و تحلیل داده های مشتریان خصوصی می شود. بنابراین ، تمام بخش هایی که از روش های تهاجمی از مجموعه های داده های بزرگ برای زنده ماندن در بازار استفاده می کنند. در این زمینه این سؤال پیش می آید ، چرا شرکتی که سبد سهامش در آنالیز داده های مشتری تمرکز دارد ، در شرکتی سرمایه گذاری می کند که وظیفه آن محافظت دقیقا از این اطلاعات است؟
ظاهراً سیم در حال استفاده از یک مدل تجاری جدید با شرکت ها به عنوان مشتری است. در وب سایت Wire اکنون فقط پیشنهادات پرداخت شده توسط انتقال بانکی تبلیغ می شود. این همچنان باقی مانده است که آیا نسخه فعلی برنامه Wire برای کاربران خصوصی آزاد خواهد ماند یا خیر که آیا اصلاً در دسترس خواهد بود.
به طور کلی ، مالکیت شرکت Wire Group Holdings Inc. یک غذای بسیار ملایم را ایجاد می کند که ادوارد اسنودن در توییتر به شرح زیر اظهار داشت:
اگر یک روزنامه نگار فنی هستید ، باید در پشت پرده داستان را بنویسید. این درست نیست برای شرکتی که ادعا می کند یک پیام رسان امن را تأمین می کند – ادعا می کند به تعداد زیادی از مدافعان حقوق بشر تکیه کرده است – و ما به حقایق نیاز داریم.
7. خوب است بدانید
در زیر نکاتی وجود دارد که ارزش آن را می دانید که Wire ارائه می دهد:
- نسخه رایانه و اینترنت : کاربران می توانند مکالمات خود را بر روی چندین دستگاه همگام سازی کنند – مشتری مناسب برای دسک تاپ (Windows / Mac) ، مرورگرها. (سیم برای وب) و تلفن های هوشمند (Android ، iOS) وجود دارد.
- تماس صوتی و تصویری : سیم همچنین امکان برقراری تماس صوتی یا تصویری رمزگذاری شده را ارائه می دهد. انتقال از طریق WebRTC است و توسط DTLS و SRTP محافظت می شود. حداکثر چهار کاربر می توانند همزمان در یک کنفرانس ویدیویی شرکت کنند.
- اتاق های مهمان : با تشکر از عملکرد اتاق مهمان ، می توانید شرکای خارجی را دعوت کنید بدون اینکه در Wire وارد شوید ، به گپ بزنید.
8. سیم: مزایا و معایب در یک نگاه
مثبت:
- به طور پیش فرض ، رمزگذاری جامع چت های گروهی و گپ ها فعال است.
- از طریق نسخه وب مرورگر (روی دسک تاپ) که می توانید صحبت کنید
- این سیم بدون اتصال شماره تلفن
- قابل استفاده است
- اتصالات صوتی رمزگذاری شده امکان پذیر است ، از جمله تلفن ویدیویی برای چهار کاربر به طور همزمان
- مشتری و سرور هستند. نرم افزار منبع باز ، بنابراین شما می توانید کد منبع را مشاهده کنید
- ممیزی های خارجی سیم سطح بالای امنیتی را تأیید می کند (ممیزی ها در حال حاضر دو تا سه سال پیش هستند)
- همچنین می توانید در تلفن های هوشمند بدون Google و … استفاده شود.
- ماژول ردیابی یکپارچه (کاربر) (گرچه کاغذهای حریم خصوصی متفاوت است)
منفی: [19659053] فوق داده حساس به عنوان متن ساده روی سرورهای سیمی ذخیره می شود
سیم کارهای بسیاری را به خوبی انجام می دهد. پروتکل پروتئوس هر چهار عامل (E2EE ، تأیید اعتبار ، PFS و انکار) را شامل می شود ، به طوری که یک مکالمه سیمی با مکالمه یک به یک محافظت شده از [لمس] شخصی شخصی مطابقت دارد. ثبت نام لزوماً نباید از طریق شماره تلفن انجام شود ، اما یک آدرس ایمیل به عنوان شناسه نیز امکان پذیر است. مشتری و سرور هر دو نرم افزار منبع باز هستند و توسعه دهندگان حتی قول فدراسیون را می دهند. به طور کلی ، استدلال های شدیدی برای استفاده از سیم وجود دارد
با این حال ، حفظ حریم خصوصی و امنیت فقط مبتنی بر فناوری نیست بلکه اعتماد است. وایر با تصمیم به پنهان کردن اطلاعات در مورد مالکیت و قوانین خود از کاربران ، Wire را به طور جدی اعتماد به پیام رسان خود را نقض کرد. این از دست دادن اعتماد به نفس می تواند به معنای پایان یک بازار پیام رسان بسیار رقابتی باشد.
منابع نقاشی :
آرم سیم: https://wire.com
درباره نویسنده
نام من مایک کوکتز است این وبلاگ برای مباحث مربوط به امنیت و مربوط به حفاظت از داده برای درک و در دسترس همه آسان تر است.
در کارهای مستقل من به عنوان پنتستر (Kuketz IT-Security) من به نقش یک "هکر" می پردازم و به دنبال نقاط ضعف در سیستم های IT ، برنامه ها و برنامه های اینترنتی هستم. علاوه بر این ، من مدرس امنیت فناوری اطلاعات در دانشگاه دوتایی در کارلسروهه و از جمله دیگران به عنوان نویسنده مجله کامپیوتر ج.
وبلاگ کوکتز یا شخص من به طور مرتب در رسانه ها (heise online ، Sdeddeutsche Zeitung و غیره) حضور دارد.
اطلاعات بیشتر ➡
مرا از طریق
مرا دنبال کنید. اگر می خواهید در مورد پست های فعلی مطلع شوید ، روش های مختلفی برای دنبال کردن وبلاگ خود وجود دارد:
به روز بمانید ➡
