یک پیام‌رسان امن باید چه ویژگی‌هایی داشته باشد و امن‌ترین پیام‌رسان‌های دنیا کدام‌اند؟
نویسنده خبر : مدیر سایت    
پنج شنبه 20 اردیبهشت 1397
    
تعداد بازدید: 105
    
زبان : فارسی
         
دسته بندی : عمومی
    
تاریخ درج خبر : 1397/2/20
منبع : http://www.1pezeshk.com/archives/2018/05/secure-messaging-apps-comparison.html

این روزها یکی از مباحث داغ میان کاربران، امنیت پیام‌رسان‌ها است. هر کاربری تمایل دارد از پیام‌رسانی استفاده کند که اصطلاحا امن و مطمئن است.

ولی یک پیام‌رسان چه ویژگی‌ها و فاکتورهایی باید داشته باشد تا امن تلقی شود؟ به عبارت دیگر، از کجا می‌توان فهمید یک پیام‌رسان امن است؟ آیا فقط در صفحه وب این پیام‌رسان نوشته شده باشد که رمزنگاری شده است یا پیام‌ها را رمزنگاری می‌کند؛ کافی است؟

بسیاری از کاربران چنین تصوری دارند و پیام‌رسان‌هایی مانند تلگرام یا واتساپ را امن می‌دانند چون از رمزنگاری End-to-End استفاده می‌کند و در اصطلاح عرف هیچ‌کس نمی‌تواند این پیام‌ها و اطلاعات را مشاهده یا رمزگشایی کند.

در دنیا، موسسات تحقیقاتی فراوانی روی وضعیت امنیت پیام‌رسان‌ها فعالیت می‌کنند و مدام مشغول ارزیابی سطح امنیتی این اپلیکیشن‌ها هستند. یکی از این منابع معتبر و شناخته شده، سایت secure messaging apps  است که به طور دوره‌ای وضعیت امنیت پیام‌رسان‌های مطرح دنیا با کاربران قابل توجه را بررسی و گزارش می‌کند.

ویژگی‌های یک پیام‌رسان امن؟

نگاهی به جدول مقایسه منتشر شده در این سایت، ما را با یک واقعیت بزرگ روبرو می‌کند. اینکه یک پیام‌رسان باید چه ویژگی‌های داشته باشد تا امن محسوب شود.

در این جدول بیش از ۳۰ ویژگی یا مورد ذکر شده که پیام‌رسان‌ها باید برای رسیدن به یک سطح امنیتی قابل قبول رعایت کنند یا دارای آن ویژگی و امکانات باشند. این جدول به ما می‌گوید حتی معروف‌ترین پیام‌رسان‌ها مانند تلگرام، واتساپ، سیگنال و غیره نیز چندان امن نیستند و موارد زیادی را رعایت نکردند.

برخی از ویژگی‌های امنیتی ذکر شده در سایت secure messaging apps برای یک پیام‌رسان امن به شرح زیر هستند:

آیا ملزم به دادن اطلاعات کاربران به سازمان‌ها و نهادهای امنیتی است؟

قابلیت‌ها نظارتی توکار در پیام‌رسان گنجانده شده است؟

آیا پیام‌رسان گزارش‌های شفافی ارایه می‌کند؟

موضع پیام‌رسان و مجموع عمومی‌اش درباره حریم خصوصی کاربران چیست؟

آیا اطلاعات مشتریان را جمع‌آوری می‌کند؟ (اینجا طبیعتا جمع‌آوری اطلاعات با ذخیره اطلاعات روی سرورهای پیام‌رسان متفاوت است)

آیا خود برنامه پیام‌رسان اطلاعات مشتریان را جمع‌آوری می‌کند؟

به طور پیش‌فرض رمزگذاری اطلاعات فعال است؟

از کدام سیستم‌ها و استانداردهای رمزنگاری استفاده می‌کند؟

آیا اپلیکیشن‌ها و سرورها به طور کامل اوپن‌سورس هستند؟

آیا می‌توان به طور ناشناس وارد پیام‌رسان شد؟

آیا بدون نیاز به شناسایی یا تایید می‌توان اطلاعات به طور مستقیم روی سرور قرار داد؟

آیا به طور دستی امکان احرازهویت اثرانگشت وجود دارد؟

می‌توان تنظیمات پیام‌رسان را برای مقابله با حملات MITM فعال کرد؟

آیا تمام اطلاعات کاربران از جمله پیام‌ها، فهرست‌ها، شماره تلفن‌ها و غیر «هش» می‌شوند؟

آیا پیام‌رسان قابلیت تولید و نگه‌داری یک کلید رمزنگاری خصوصی را دارد؟

آیا شرکت سازنده می‌تواند پیام‌ها را مشاهده کند؟

آیا پیام‌رسان موضوع محرمانگی را به طور کامل اجرا می‌کند؟

آیا اپلیکیشن متادیتاها را هم رمزنگاری می‌کند؟

آیا اپلیکیشن از متد TLS/Noise برای رمزنگاری ترافیک شبکه استفاده می‌کند؟

آیا پیام‌رسان اطلاعات را روی خود دستگاه‌های کاربران هم رمزنگاری می‌کند؟

آیا امکان استفاده از احرازهویت دو مرحله‌ای را می‌دهد؟

آیا هنگام پشتیبان‌گیری روی سرویس‌های ابری امکان رمزنگاری دارد؟

این فهرست هنوز ادامه دارد که دیگر برای طولانی نشدن مطلب، از ذکر دیگر موارد خودداری کردیم. علاقه‌مندان می‌توانند رویسایت secure messaging apps جدول کامل ویژگی‌های یک پیام‌رسان امن را مشاهده کنند.

کدام پیام‌رسان‌ها امن‌تر هستند؟

همان‌طور که می‌بینید یک پیام‌رسان امن باید تمام این ویژگی‌ها را رعایت کرده باشد. طبیعی است که هیچ پیام‌رسانی نتوانسته تمام ویژگی‌های گفته شده را داشته باشد.

مطابق آخرین مقایسه و ارزیابی انجام شده روی سایت secure messaging apps که مربوط به ۲۵ فوریه ۲۰۱۸ است (در واقع آخرین به‌روزرسانی جدول ویژگی‌های امنیتی پیام‌رسان‌ها)، به نظر می‌رسد پیام‌رسان‌های Signal و Threema و Wire بهتر از پیام‌رسان‌های دیگر ظاهر شده‌اند.

این پیام‌رسان‌ها نزدیک به ۲۰ ویژگی امنیتی از ۳۰ مورد ذکر شده را رعایت کردند و در بسیاری از موارد، بالاترین نمره را گرفتند. برخی از پیام‌رسان‌ها یک ویژگی امنیتی را رعایت کرده ولی به طور کامل پیاده‌سازی نکردند.

جالب است در این جدول، پیام‌رسان‌هایی مانند تلگرام و واتساپ چندان خوب ظاهر نشدند و جزو پیام‌رسان‌های کاملا امن محسوب نمی‌شوند. پیام‌رسان تلگرام تنها ۷ ویژگی امنیتی را به طور کامل رعایت کرده است و بدتر از آن، در چندین ویژگی اصلا مشخص نیست که چگونه رفتار می‌کند. یعنی مستندات این پیام‌رسان یا اطلاعات فنی انتشاری درباره‌اش ناقص است و امکان بررسی آن‌ها وجود نداشته است.

مثلا نمی‌دانیم تلگرام در هنگام پشتیبان‌گیری اطلاعات روی سرویس‌های ابری، قابلیت رمزنگاری اطلاعات دارد یا خیر؟

همین‌طور مشخص نیست تلگرام روی خود دستگاه‌های iOS و اندروید کاربران، پیام‌ها را رمزنگاری می‌کند یا خیر؟

تلگرام متادیتاها را رمزنگاری نمی‌کند و امکان خواندن پیام‌ها توسط مدیران این شرکت وجود دارد. همین‌طور، تمام اطلاعات کاربران را هش نمی‌کند. گزارش‌های شفاف نمی‌دهد و مجموع عمومی آن از نظر اهمیت دادن به حریم خصوصی کاربران ضعیف ارزیابی شده است.

تلگرام اطلاعات کاربران را جمع‌آوری می‌کند و سیستم رمزنگاری آن RSA 2048 و AES 256 و SHA-1 است که چندان پیشرفته نیست.

قطعا نمی‌توان تنها براساس ارزیابی و مقایسه یک سایت و موسسه تصمیم‌گیری کرد ولی دانستن اطلاعات فوق درباره پیام‌رسان‌ها می‌تواند دیدگاه‌مان نسبت به یک پیام‌رسان امن را تغییر یا بهبود دهد تا آگاهانه‌تر و با دانش کافی درباره امنیت یک پیام‌رسان تصمیم‌گیری کنیم و به جمع‌بندی برسیم.

البته قطعا منظور ما از این پست نادیده گرفتن ویژگی‌های کاربری خوب تلگرام یا برجسته کردن کامل نبودن ویژگی‌های امنیتی آن نیست، در واقع می‌خواستیم تاکید کنیم که در شرایطی که کاربران ایرانی دسترسی محدودی به تلگرام، آن هم با ترفند دارند، چقدر باید حواسمان برای استفاده از پیامرسان‌های جانشین جمع باشد و نیز اینکه مسئله امنیت اطلاعات آنقدر تخصصی است که شما به صرف خارجی بودن یک اپلیکیشن یا تضمین سست مدیران یک اپلیکیشن دیگر، نباید سهل‌انگاری به خرج بدهید و زود تصمیم بگیرید.

 

از   0   رای
0

  نظرات
دیدگاه های ارسال شده توسط شما، پس از تایید مدیر سایت در وب سایت منتشر خواهد شد.
پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
پیام هایی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.