. 1 موضوع ضد و نقیض 
هر پیام واتس اپ از اختاپوس داده زاکربرگ تغذیه می کند – اما مدت هاست که بدیل دیگری وجود دارد که می توان از آن اجتناب کرد. اگر می خواهید از واتساپ فاصله بگیرید ، بسته به نیاز خود باید نگاهی دقیق بیندازید تا ببینید که آیا جایگزین واقعاً در حال بهبود است یا فقط به این معنی است: قبل از باران به هود بروید. به عنوان یک کاربر ، شما به معنای واقعی کلمه برای انتخاب فاسد هستید. اکنون پیامبران زیادی وجود دارند که داوری یا ارائه هر یک از آنها تقریباً غیرممکن است.
در این مقاله ، ابتدا می خواهم یک مرور کلی درباره عملکردهای فنی که پیام رسان های فعلی از آنها استفاده می کنند ، و همچنین مزایا و مضرات ناشی از این امر ارائه دهم. در بخش های بعدی از مجموعه مقالات "مسنجر" ، در مجموع هشت پیام رسان را معرفی می کنم و آنها را از نظر امنیت IT و حفاظت از داده ها در نظر می گیرم یا ارزیابی می کنم.
2. هرگز نمی توان یک پیام رسان "یک" داشت
همه افراد یک پیام رسان را تنظیم می کنند. این مهم است که یک کاربر به حد ممکن به تعداد افراد برسد ، در حالی که دیگری دوست دارد پیام را در گروه تبادل کند. مورد بعدی به ارتباط رمزگذاری شده یا ساده ترین عملیات ممکن اهمیت می دهد. در نهایت ، همه باید برای خود تصمیم بگیرند که کدام پیام رسان به بهترین وجه نیازهای خود را دارد – یک پشم برای تخم گذاری یا یک راه حل جهانی هرگز نخواهد بود. ما باید خود را از این خواسته رهایی دهیم و موضوع پیام رسان جدا شده از عواطف را در نظر بگیریم
2.1 آزادی انتخاب به هزینه دیگران
اساساً ، همه می توانند آزادانه از پیام رسان مورد نظر خود استفاده کنند. با این حال ، به نظر من این آزادی محدودیت هایی دارد. یعنی وقتی حقوق دیگران نقض می شود و به عنوان مثال داده های شخصی بدون رضایت شخص مورد نظر به سرور ارائه دهنده پیام رسان منتقل می شود.
مثال برجسته WhatsApp: WhatsApp از شماره تلفن یا مخاطبین شما به عنوان به اصطلاح "شناسه منحصر به فرد" استفاده می کند – ترکیبی از اعداد یا کاراکترهایی که می توانند برای شناسایی واضح ، به عنوان مثال سخت افزار ، نرم افزار ، افراد و غیره قبل از استفاده از واتساپ یا به طور مرتب استفاده شوند. در فواصل زمانی ، تمام شماره های تلفن دفترچه تلفن هوشمند به سرور واتس اپ ارسال می شود. کاربری که خود واتس اپ را استفاده نمی کند یا با شرایط موافقت نکرده است ، با ارسال شماره تلفن (رمزگذاری شده) خود از حق تعیین سرنوشت محروم می شود. بنابراین آزادی انتخاب کجا به پایان می رسد؟ مبحث ظریفی که در آن نماهای مختلف نمایش داده می شود.
2.2 WhatsApp: Mission: یک رویکرد نادرست است
به نظر من ، احترام گذاشتن نظرات و دیدگاه های دیگر ، حتی اگر آنها مناسب ما نباشند ، مهم است. به عنوان مثال ، انتقال به دنیای پیام رسان ها به این معنی است: بله ، WhatsApp کابوسی برای محافظت از داده ها در زیر پرچم فیس بوک است ، اما بسیاری از مردم از این موارد استفاده می کنند ، زیرا می توان برای دستیابی به عملا "همه" استفاده کرد. اما محکوم کردن یا تحریک کردن افراد به این دلیل که ترجیح می دهند WhatsApp یا پیام رسان دیگری را که شما رد می کنید ، ترجیح می دهند اشتباه باشد – و شاید به دلایل مهم. اصولاً ، این مسئله در مورد هدایت مردم به [گزینههای جایگزین بدون تمایل به ادعای مجرمانه است – اگر همتای شما برای استدلالهای شما باز است ، او ممکن است کمی نزدیکتر به پیامرسان "شما" نگاه کند.
3. ویژگی های فنی
در زیر به ویژگی های فنی و جزئیاتی می پردازیم که امروزه مسنجر را به طور قابل توجهی متمایز می کند و بر امنیت و حفاظت از راه حل های داده تأثیر می گذارد.
3.1 رمزگذاری رمزنگاری
مسنجر از روشهای مختلف رمزگذاری برای تضمین ارتباط "مقاوم در برابر لمس" استفاده می کند. تبادل پیام با استفاده از رمزگذاری نهایی به پایان (E2EE) محبوب و مفید است. از لحاظ تئوریکی ، این تکنیک از استراق سمع پیام های طرف های دیگر جلوگیری می کند و فقط شرکای ارتباطی مربوطه می توانند پیام ها را رمزگشایی کنند. این مزیت را دارد که مثلاً پیامهایی که به طور موقت روی سرورهای ذخیره شده توسط شخص ثالث قابل خواندن نیستند. اما در عمل ، اصل E2EE به احراز هویت متقابل دستگاهها یا کلیدها بستگی دارد. کسی که همتای خود را تأیید نمی کند ، هرگز نمی تواند مطمئن باشد که آیا آنها در واقع پیام را با شریک ارتباطی مورد نظر یا با شخص ثالث ناشناخته تبادل می کنند. برخی از پیام رسان ها برای ممانعت از اینگونه حملات در وسط (MITM) به E2EE ، امکان تأیید همتای خود و در نتیجه تضمین صحت شریک ارتباطی را به کار گرفته اند.
حتی E2EE کامل به اندازه دستگاه مربوطه که پیام ها در آن ذخیره می شود ، ایمن است. قانون E2EE خطرات مرتبط با نقاط پایانی ارتباطات پس از رمزگشایی پیام ها را در نظر نمی گیرد. این بدان معناست که: در حالت ایده آل ، E2EE در طول راه از گوش دادن به پیام ها محافظت می کند ، اما در مقابل حملات محلی محافظت نمی کند. بنابراین ، همیشه به یاد داشته باشید که اگر هدف از محرمانه بودن رعایت شود ، E2EE تنها بخش کوچکی از معما است. اقدامات بیشتر مانند جداسازی سیستم ماسهبازی / سیستم عامل ، رمزگذاری دستگاه نهایی (+ رمز عبور ایمن) و غیره برای حفظ هدف حفاظت ضروری است.
بسته به ترجیحات شخصی یا الزامات مورد نظر حفاظت ، ممکن است لازم باشد E2EE را طبق قوانین بیشتر تعریف کنید رمزنگاری را توسعه دهید:
- (معتبر) تکذیب شد : می توان انکار کرد که شریک مصاحبه کننده نمی تواند اثبات کند که شخص دیگر در واقع پیام را نوشت. به نظر می رسد گیج کننده است و در نگاه اول با احراز هویت شریک ارتباطی نیز مغایرت دارد. از منظر رمزنگاری ، احراز هویت و منفی بودن دوجانبه نیستند. تأیید اعتبار تنها تضمین می کند که گیرنده یا فرستنده همان شخصی است که فکر می کنید شما هستید. پروتکل هایی مانند پیام رسانی غیر ضبط شده (OTR) یا سیگنال سیگنال این تضاد را ایجاد می کنند.
- پیامدهای بدون عواقب : رازداری کامل جلو (PFS) تضمین می کند که حتی کسی که ارتباطات رمزگذاری شده را گوش کرده و ذخیره می کند ، ممکن است در صورت دستیابی به کلید خصوصی (بلند مدت) ، آن را رمزگشایی نکند. ارتباطات مبتنی بر کلیدهای مخفی (جلسات) است که همیشه بین شرکت کنندگان در ارتباطات تازه توافق شده است. اصل پشت PFS عدم وجود سازگاری و انكار (معتبر) را كه قبلاً نشان داده شده است ، تضمین می كند.
برای خلاصه شدن ، چهار عامل باید با یکدیگر ارتباط برقرار کنند تا مکالمه از طریق مسنجر با مکالمه خصوصی خصوصی مطابقت داشته باشد: [19659020] تماس گیرندگان باید احراز هویت کنند ، بنابراین مطمئن شوید که او واقعاً شخصی است که شما می خواهید با او صحبت کنید. .
3.2 در مقابل فدراسیون در مقابل Decentralized
Central : خدماتی مانند واتس اپ ، توییتر و شرکت همچنین به عنوان Walled Garden شناخته می شوند. ارائه دهنده مسئولیت کنترل و کنترل سرویس ، کاربران و داده ها است. به عبارت دیگر: شما به عنوان یک کاربر در یک جزیره مستقر هستید که نمی تواند با جهان خارج ارتباط برقرار کند و شما به رحمت تهیه کننده هستید.
تقریباً همه پیام رسان های مسلط (WhatsApp ، Threema ، سیگنال و غیره) توسط یک دیوار باغ احاطه شده اند. این بدان معنی است: یک سرور یا خوشه سرور وجود دارد که در آن هر شرکت کننده باید ثبت نام کند. درنهایت ، کنترل بر کل سرویس و جهت آینده آن تنها مسئولیت ارائه دهنده خدمات مربوطه است. ارائه دهنده تصمیم می گیرد که آیا تبلیغ در آینده نمایش داده خواهد شد یا اینکه از ابرداده برای اهداف بازاریابی استفاده خواهد شد یا خیر. به طور خلاصه: ارائه دهنده متمرکز قدرت زیادی دارد که امیدوارم با احتیاط برخورد شود.
فدراسیون : اصل فدراسیون متفاوت عمل می کند. ما این را از زندگی روزمره با ارسال ایمیل می دانیم. ارائه دهندگان بی شماری هستند که با آنها می توانیم یک حساب کاربری باز کنیم. این سرورهای پست الکترونیکی از طریق پروتکل پست الکترونیکی (SMTP) به شبکه وصل می شوند و شما رایگان هستید که برای آنها پیام ارسال می کنید. معماری یا اصل فدراسیون با رویکردی باز برای شبکه های جمعی سازگار است ، که در آن هیچ کس مستثنی نیست. بر خلاف یک سرویس متمرکز ، هیچ ارائه دهنده ای قوانین بازی را مشخص نمی کند.
فدراسیون ، از جمله ، دو پروتکل را پشتیبانی می کند: XMPP و Matrix. هر دو به آنها امکان می دهند بدون هیچگونه وابستگی به تأمین کنندگان مرکزی ، ایده های خود را مبادله کنند یا یک شبکه ارتباطی را راه اندازی کنند. این دو پروتکل مخصوصاً برای افراد یا مؤسساتی که نیاز به استقلال زیاد دارند مناسب است .
غیر متمرکز : بودجه به طور کلی یک راه حل خوب است ، اما ضعفی مانند زیرساخت های مرکزی دارد: فراداده. آنها هنوز در دسترس هستند و حتی می توانند توسط چندین سرور دریافت یا مشاهده شوند. راه حل متکی به یک زیرساخت غیرمتمرکز (یا همتا به همتا) است که در آن شرکت کنندگان مستقیماً به یکدیگر متصل می شوند و به سرور احتیاج ندارند. زیرساختهای غیر متمرکز نیز دارای اشکالاتی هستند ، اما اگر هدف جلوگیری از مخفی کردن ابرداده باشد ، این طرح شبکه بهتر از دو مورد دیگر است. این رویکرد غیر متمرکز ، از جمله ، در وضعیت پیام رسان به کار می رود.
3.3 فراداده
هنگام استفاده از دستگاه ها و خدمات فنی ، ابرداده ایجاد می شود. این فوق داده می گوید بیشتر از آن چیزی که اغلب فرض می شود در مورد شخص است. به عنوان مثال ، تاریخچه مرور خود را به عنوان مثال ، از کدام صفحه در چه زمانی بازدید کنید. همانطور که بنیاد SHARE نشان داده است ، با تحقیق در مورد سابقه مرور شخص ، می توان آنها را در طول روز دنبال کرد. این باعث می شود علاقه ها ، ترجیحات و ترس های یک شخص نسبت به غریبه ها به همان اندازه قابل مشاهده باشد که گویی او از نگاه او نگاه می کند.
در رابطه با دنیای پیام رسان ها ، این بدان معنی است: علیرغم E2EE (به خاطر داشته باشید: رمزگذاری محتوای پیام) ، ابرداده پیام رسان چیزهای زیادی راجع به شخص می گوید:
- چه کسی آنلاین است وقتی
- با چند دستگاه آنلاین آنلاین است
- کسی (نمودار اجتماعی)
- چه کسی با چه کسی ، چه زمانی ، هنگام برقراری ارتباط
- آدرس های IP دستگاه ها
- […]
بنابراین ، با استفاده از یک ارتباط دهنده متمرکز ، باید به ارائه دهنده اعتماد کنیم که آنها را ننوشتن ، انتقال یا ارسال می کنند. از ابرداده جمع آوری شده به هیچ وجه استفاده نخواهد کرد. هنگام استفاده از راه حل های فدرال ، مانند XMPP یا Matrix ، ما کمی کنترل بیشتری بر روی ابرداده ها داریم – اما تنها در صورتی که سرور تحت کنترل ما باشد. در غیر این صورت ، مشکل باید به شیوه ای مشابه خدمات متمرکز ارزیابی شود. برای اجتناب یا انسداد حداکثر اطلاعات ، به نوعی ارتباطی که مبتنی بر زیرساخت مرکزی یا فدرال نباشد ، ضروری است. یک مثال Briar است که کاملاً بدون زیرساخت سرور مدیریت می شود و امکان تبادل پیام از طریق همتا به همتا امکان پذیر است.
ما به این سوال اساسی می رسیم: پیام رسان (متمرکز) چقدر ابرداده دارد یا آیا اپراتورهای سرور حتی برای تضمین عملکرد پیام رسان جمع می کنند؟ برای پیام رسان های متمرکز ، اکثر پاسخ های این سوال در سیگنال پیام رسان است که سعی می کند به لطف فناوری های جدید مانند فرستنده های مهر و موم شده یا ردیابی مخاطب خصوصی ، تا حد امکان از ابرداده استفاده نکند.
3.4 شناسه
در فناوری اطلاعات ، شخصی وجود دارد که یک نام خاص یا اختصاص یک شی را به یک مقدار ، نوع داده یا عملکرد مشخص کند. مسنجر ، مانند WhatsApp یا Signal ، از شماره تلفن کاربر به عنوان چنین شناسائی استفاده می کند. قبل از استفاده ، باید با استفاده از شماره تلفن ، که سپس به همراه شماره تلفن ها از دفترچه آدرس (به عنوان اختصار) به سرور ارائه دهنده ارسال می شود ، ثبت نام کنید. انتقال شماره تلفن ها از دفترچه آدرس خود به واتس اپ در ابتدا برای یک هدف بسیار ساده انجام می شود: WhatsApp می داند چه کسی از مخاطبین شما از WhatsApp نیز استفاده می کند ، و سپس می تواند آنها را مستقیماً در WhatsApp نمایش دهد – به اصطلاح Contact Discovery. با این وجود ، استفاده از این نوع یا شماره تلفن به عنوان شناسه ، خصوصاً از نظر حفظ حریم خصوصی نیست ، زیرا مطمئناً شماره تلفن ها به WhatsApp نیز می روند ، که برای آن کاربر با شرایط موافقت نکرده است.
بنابراین ، این سؤال مطرح است: در واقع با شماره تلفن آن دسته از مخاطبین که حساب واتس اپ ندارند ، چه اتفاقی می افتد؟ "قانون حمایت از داده های شخصی و اسناد الکترونیکی (PIPEDA)" سال 2013 (احتمالاً) جواب می دهد:
شماره های خارج از شبکه به عنوان مقادیر کدگذاری نشده برگشت ناپذیر ، ذخیره می شوند. واتس اپ از پردازش اعداد چند مرحله ای استفاده می کند و عملکرد هش "MD5" مرحله کلیدی است. شماره تلفن و مقدار نمک ثابت به عنوان ورودی به عملکرد هش عمل می کند ، و خروجی آن به 53 بیت کوتاه می شود و برای کد برای شماره ، با کد کشور ترکیب می شود. نتیجه یک مقدار 64 بیتی است که در جداول داده روی سرورهای WhatsApp ذخیره می شود. طبق گفته واتس اپ ، این رویه برای ایجاد شماره های ناشناس در خارج از شبکه (یعنی شماره سلولهای غیر کاربر)
واتس اپ بر این عقیده است که یک شماره تلفنی که دارای عملکرد هش MD5 است و نمک ثابت به 53 بیت کاهش می یابد ، و سپس به صورت ناشناس با کد کشور به عنوان یک مقدار 64 بیتی ذخیره شد. واقعیت این است که این رویه نمی تواند ناشناس سازی کافی را فراهم کند. همه شماره های تلفن "ناشناس" را می توان در چند دقیقه به راحتی ترمیم کرد.
بیایید بگوییم: بله ، WhatsApp شماره تلفن کاربران غیر کاربر را "ناشناس" می کند. نه ، به نظر من ناشناس ماندن کافی نیست. کاربرانی که خود از واتساپ استفاده نمی کنند و یا با شرایط و ضوابط موافقت کرده اند با ارسال شماره تلفن (رمزگذاری شده) خود از حق تعیین سرنوشت محروم می شوند.
مسنجر نشان می دهد كه روش دیگری وجود دارد یا شناسه های دیگری مانند Threema ، Conversations (XMPP) یا Riot.im (ماتریكس) مورد سؤال قرار می گیرند. در آنجا ، شناسه با شماره تلفن همراه نیست ، اما در مورد Threem ، یک شناسه 8 رقمی است که در صورت لزوم می تواند به دیگران منتقل شود. به همین ترتیب ، در دنیای XMPP یا ماتریسی که در آن می توانید یک حساب کاربری مناسب مانند آدرس ایمیل اختصاص داده شده را یک بار تصور کنید. همانند ایمیل ، شما به یکی از ارائه دهندگان سرور فدرال نیاز به "حساب چت" مناسب دارید تا بتوانید از طریق پروتکل های "XMMP" یا "ماتریس" گپ بزنید. سپس می توانید این "آدرس گپ" را برای مخاطبین مورد نظر خود از طریق سیستم مناسب مبادله کنید.
خلاصه : استفاده از شماره تلفن به عنوان شناسه مناسب است. اگر مخاطب شما از دفترچه تلفن شما همچنین از مسنجرهایی مانند WhatsApp یا Signal استفاده می کند ، می توانید مستقیماً گپ بزنید. با این حال ، این نوع از نظر محافظت از داده ها پسند نیست ، زیرا به این ترتیب شماره تلفن ها به واتس اپ و شرکت نیز می روند که از مسنجر استفاده نمی کنند.
3.5 منبع باز / شفاف
به نظر من ، اگر ما یا افراد دیگری (به جز برنامه نویسان برنامه) قادر به درک نحوه کار پیامرسان یا سیستم ها به طور کلی ، می توانیم به بیشترین کنترل ممکن روی داده های خود دست یابیم. منظور من افشای کامل کد منبع پیام رسان است. این گشودگی یک گام ضروری به سوی شفافیت بیشتر است.
و بله ، من می دانم که برخی از پیام رسان ها آنقدر پیچیده هستند که صریح بودن در بالا توضیح داده شده تضمین نمی کند که کد منبع پیام رسان ها هیچ بخشی از رمزهای رمزآمیز را که توصیف و معنی آنها دشوار است ، پنهان نمی کند. به همین دلیل است که هرگز نمی توانید 100٪ مطمئن باشید که از این پیام رسان ها جاسوسی می شوند. بنابراین ، ما نباید کورکورانه به برنامه های FOSS اعتماد کنیم.
هنوز ، افشای کد منبع یک مسیر در جهت صحیح است ، زیرا به شخص با منابع مناسب اجازه می دهد خود کد را بررسی کند و در صورت لزوم ، آن را با نیازهای خود تطبیق و بهبود بخشد. مهمترین نقطه ضعف پیام رسان ها مانند WhatsApp یا Threema عدم شفافیت مربوط به دارایی آنها در پردازش داده ها است. زیرا با این پیام رسان های محفوظ ما نمی دانیم و اغلب نمی توانیم بررسی کنیم که آنها واقعاً چه کاری انجام می دهند (بدون اطلاع ما).
به نظر من ، یک پیام رسان که کد منبع آن کاملاً باز نیست ، توصیه می شود یا در حد محدود توصیه نمی شود ، مهم نیست که آیا ممیزی های خارجی یا ممیزی های امنیتی شرکت هایی وجود داشته اند که گواهینامه راه حل امنیتی مناسب در سطح بالا باشند. این سازنده نیست که باید تعیین کند که چه کسی می تواند کد منبع را ببیند بلکه کاربر مطمئن است.
4. ماتریس پیام آوران
اکنون پیام رسان های زیادی وجود دارند که ارزیابی یا ارائه هریک از آنها غیرممکن است. به عنوان بخشی از یک مقاله ، هشت پیام رسان زیر را بررسی خواهم کرد:
- Telegram
- Signal
- Threema
- سیم
- مکالمات (XMPP)
- Briar
- Riot.im (Matrix)
- Delta گپ
در این مقاله می خواهم در مورد ماتریس پیام رسان ، اطلاعاتی راجع به عملکردهای مختلف (فنی) پیام رسان های مختلف کسب کنم. با کلیک روی ماتریس یک صفحه بزرگتر باز می شود:
ماتریس مسنجر در انجمن Kuketz ایجاد و نگهداری می شود. شرکت کنندگان در مورد صحت اطلاعات در موضوع بحث می کنند و بحث می کنند
توجه
اگر افزودنی ها و نظرات خود را به ماتریس پیام رسان دارید ، مستقیماً از انجمن استفاده کنید.
5. نتیجه گیری
بحث پیامرسان ها اغلب با تعصبات ، ایده ها و دانش فنی شکل می گیرد. در زمینه سلسله مقالات ، بنابراین می خواهم به پیام رسان های فوق الذکر تا حد امکان عینی نگاه کنیم و بحث های داغ را به جایی برسانم که در آن اطلاعات می توانند به صورت عینی بین خودشان تبادل شوند و از سوئیس می آید. از سال 2018 ، حدود 5 میلیون کاربر (خصوصی) اخبار مربوط به این سرویس را تبادل می کنند.
منابع تصویر :
کبوتر: فریپیک از www.flaticon.com دارای مجوز توسط CC 3.0 BY
نویسنده
![] مایک کوکتز](https://buycialisgentr.com/wp-content/uploads/2020/01/1580175570_451_دنیای-دیوانه-مسنجر-مسنجر-قسمت-1-1-وبلاگ-ا.png "Mike Kuketz")
نام من من و مایک کوکتز این وبلاگ را برای امنیت می نویسیم – و مربوط به حریم خصوصی مباحث ساده تر برای درک و در دسترس همه است.
در کارهای مستقل من به عنوان پنتستر (Kuketz IT-Security) به نقش "هکر" می پردازم و به دنبال نقاط ضعف در سیستم های IT ، برنامه ها و برنامه های اینترنتی هستم. علاوه بر این ، من مدرس امنیت فناوری اطلاعات در دانشگاه علمی کاربردی کارلسروهه و ، در میان دیگران ، به عنوان نویسنده مجله رایانه ای هستم.
وبلاگ کوکتز یا شخص من به طور منظم در رسانه ها (heise آنلاین ، Sdedeutsche Zeitung و غیره) ارائه می شود.
اطلاعات بیشتر ➡
مرا از طریق
مرا دنبال کنید] اگر می خواهید در مورد پست های فعلی مطلع شوید ، روش های مختلفی برای دنبال کردن وبلاگ شما وجود دارد:
به روز بمانید ➡
