ارز دیجیتالاقتصادی

آینده پیام‌رسانی امن: چرا تمرکززدایی مهم است؟


از چت های رمزگذاری شده تا پیام های غیرمتمرکز

پیام رسان های رمزگذاری شده موج دومی دارند.

برنامه‌هایی مانند WhatsApp، iMessage و Signal رمزگذاری سرتاسر (E2EE) را به یک انتظار پیش‌فرض تبدیل کردند. اما بیشتر آنها هنوز به شماره تلفن، سرورهای متمرکز و بسیاری از ابرداده ها وابسته هستند، مانند اینکه با چه کسی صحبت می کنید، چه زمانی، از کدام IP و در کدام دستگاه.

این همان چیزی است که ویتالیک بوترین در اخیر خود به دنبال آن است X پست و اهدا. او استدلال می‌کند که گام‌های بعدی برای پیام‌رسانی ایمن، ایجاد حساب بدون مجوز بدون شماره تلفن یا مشتری خود را بشناسید (KYC) و حفظ حریم خصوصی فراداده بسیار قوی‌تر است. در این زمینه، او Session و SimpleX را برجسته کرد و 128 اتر (ETH) را برای هر یک فرستاد تا به آن جهت ادامه دهد.

Session یک مطالعه موردی خوب است زیرا سعی می کند رمزگذاری E2E را با تمرکززدایی ترکیب کند. هیچ سرور پیام مرکزی وجود ندارد، ترافیک از طریق مسیرهای پیاز هدایت می شود و شناسه های کاربر به جای شماره تلفن، کلید هستند.

آیا می دانستید؟ چهل و سه درصد از افرادی که از وای فای عمومی استفاده می کنند گزارش دهید تجربه نقض داده ها، با حملات انسان در وسط و استشمام بسته در برابر ترافیک رمزگذاری نشده از شایع ترین دلایل است.

Session چگونه پیام های شما را ذخیره می کند

جلسه بر اساس هویت های کلید عمومی ساخته شده است. هنگامی که ثبت نام می کنید، برنامه یک جفت کلید به صورت محلی ایجاد می کند و یک شناسه جلسه را بدون نیاز به شماره تلفن یا ایمیل از آن استخراج می کند.

پیام‌ها از طریق شبکه‌ای از گره‌های سرویس با استفاده از مسیریابی پیاز عبور می‌کنند، به طوری که هیچ گره‌ای نمی‌تواند هم فرستنده و هم گیرنده را ببیند. (شما می توانید مسیر گره پیام خود را در تنظیمات مشاهده کنید.) برای تحویل ناهمزمان زمانی که آفلاین هستید، پیام ها در گروه های کوچکی از گره ها به نام “Swarms” ذخیره می شوند. هر Session ID به یک گروه خاص نگاشت می‌شود و پیام‌های شما به صورت رمزگذاری شده در آنجا ذخیره می‌شوند تا زمانی که مشتری شما آنها را واکشی کند.

از لحاظ تاریخی، پیام‌ها دارای زمان پیش‌فرض در حدود دو هفته در ازدحام بودند. پس از آن، کپی شبکه از بین می رود و فقط آنچه در دستگاه های شما است باقی می ماند.

و بله، Session یک پایگاه داده محلی از چت ها و پیوست های شما را نگه می دارد تا بتوانید ماه ها یا سال ها به عقب بروید. به همین دلیل است که دانلود برنامه ممکن است حدود 60 تا 80 مگابایت باشد، اما اندازه نصب شده با ارسال رسانه، تصاویر کوچک حافظه پنهان و حفظ سابقه چت افزایش می یابد. اسناد عمومی و بررسی‌های مستقل این شکاف بین ذخیره‌سازی شبکه کوتاه‌مدت و ذخیره‌سازی محلی طولانی مدت را توصیف کرده‌اند.

می‌توانید این مورد را با حذف چت‌ها، استفاده از پیام‌های ناپدید شده یا پاک کردن رسانه کوتاه کنید. اگر هنوز می توانید آن را ببینید، در جایی از دستگاه شما زندگی می کند.

اعلان‌های حالت سریع

اعلان ها جایی هستند که مبادله حریم خصوصی و تجربه کاربر (UX) آشکار می شود.

در iOS، Session دو حالت ارائه می دهد:

  • حالت آهسته، نظرسنجی پس‌زمینه است. برنامه به صورت دوره ای بیدار می شود و پیام های جدید را از طریق شبکه خود بررسی می کند. خصوصی تر است، اما می تواند با تأخیر یا غیرقابل اعتماد باشد، به خصوص اگر سیستم عامل شما نسبت به فعالیت پس زمینه تهاجمی باشد.

  • حالت سریع از اعلان‌های فشاری استفاده می‌کند. Session از سرویس Apple Push Notification در iOS و رویکردی مشابه در Android برای ارائه هشدارهای به موقع استفاده می کند.

بیت بحث برانگیز حالت سریع است. با توجه به اسناد پشتیبانی خود Session، استفاده از آن به این معنی است:

  • آدرس IP دستگاه و کد فشاری شما در معرض یک سرور فشاری است که توسط Apple اداره می شود.

  • شناسه حساب Session و کد فشار شما با یک سرور فشار Session-run به اشتراک گذاشته می‌شود تا بداند کدام اعلان‌ها را به کجا ارسال کند.

مهمتر:

  • سرورها محتویات پیام را نمی بینند زیرا آنها E2EE باقی می مانند.

  • جلسه می گوید اپل و گوگل همچنین نمی بینند که با چه کسی صحبت می کنید یا زمان دقیق پیام فراتر از آنچه که زیرساخت عمومی فشار آنها لزوماً ثبت می کند، نمی بینند.

اگر شما را آزار می دهد، حالت آهسته وجود دارد، اما با اعلان های از دست رفته یا دیرهنگام پرداخت می کنید. این انتخاب بخشی از چیزی است که پیام رسان های غیرمتمرکز اکنون کاربران را مجبور به فکر کردن در مورد آن می کنند.

صلاحیت قضایی، شفافیت و درخواست های دولت

حاکمیت سشن نیز تغییر کرده است.

این برنامه در ابتدا توسط بنیاد غیرانتفاعی Oxen Privacy Tech (OPTF) استرالیا هدایت می شد. در اواخر سال 2024، یک نهاد جدید سوئیسی، بنیاد فناوری Session (STF)، بر عهده گرفت سرپرستی پروژه گزارش نهایی شفافیت OPTF سه ماهه چهارم 2024 را پوشش می دهد. درخواست های بعدی توسط STF رسیدگی و منتشر می شود.

اسناد پشتیبانی Session در مورد درخواست های اطلاعات بیان می کند:

  • از آنجایی که Session غیرمتمرکز و E2EE است، بنیاد دسترسی خاصی به پیام‌ها یا کلیدهای کاربر ندارد.

  • STF منتشر می کند گزارش‌های شفافیت گذشته‌نگر شامل خلاصه درخواست‌های اجرای قانون و نحوه رسیدگی به آنها.

این صفحه شفافیت تقریباً به طور قطع نقطه مرجعی است که کاربران هنگام صحبت در مورد سایتی که نشان می دهد دولت ها چه زمانی اطلاعات درخواست می کنند در ذهن دارند. این سوابق عمومی است که بنیاد برای مستند کردن زمان دسترسی مقامات، درخواست آنها و نحوه پاسخ سشن حفظ می کند.

آنها واقعاً چه چیزی را می توانند تحویل دهند؟

  • بالقوه: گزارش‌ها از وب‌سایت‌ها، سرورهای فایل یا زیرساخت‌هایی که مستقیماً کار می‌کنند، مانند رله‌های فشار یا سرورهای STUN و TURN برای تماس‌ها، مشروط به قوانین سوئیس و هرگونه درخواست بین‌المللی قابل اجرا.

  • خیر: پیام‌های رمزگشایی شده یا کلیدهای اصلی چت‌های کاربر، با این فرض که پیاده‌سازی با توضیحات پروتکل مطابقت دارد.

رژیم بنیادی سوئیس در مقایسه با برخی از حوزه‌های قضایی نسبتاً ملایم به شفافیت است، که گزارش‌های داوطلبانه و محدودیت‌های فنی در داده‌ها را به ویژه مهم می‌سازد.

به عبارت دیگر، تمرکززدایی دولت ها را از درخواست باز نمی دارد، بلکه آنچه را که باید تحویل دهد محدود می کند.

آیا می دانستید؟ وقتی پلیس نفوذ کرد EncroChat شبکه تلفن رمزگذاری شده، بیش از 115 میلیون پیام مجرمانه را از حدود 60000 کاربر رهگیری کردند که منجر به دستگیری بیش از 6500 نفر و نزدیک به 900 میلیون یورو از دارایی های توقیف شده در سراسر جهان شد.

مقاومت کوانتومی، فراخوانی و “بتا برای همیشه؟”

نگرانی در حال حاضر برداشت است، بعدا رمزگشایی کنید. دشمنان می توانند امروز ترافیک رمزگذاری شده را ضبط کنند و منتظر بمانند تا رایانه های کوانتومی آینده طرح های کلید عمومی فعلی را بشکنند.

پاسخ Session یک طراحی مجدد پروتکل اصلی است. در یک وبلاگ اخیر پست، این تیم از Session Protocol v2 رونمایی کرد که هدف آن اضافه کردن موارد زیر است:

  • رازداری کامل رو به جلو با کلیدهای زودگذر

  • تبادل کلید پس کوانتومی با استفاده از ML-KEM (قبلاً CRYSTALS-Kyber)، KEM استاندارد شده توسط NIST نیز در PQXDH سیگنال و PQ3 اپل ظاهر می شود.

بنابراین، آیا امروز Session کوانتومی مقاوم است؟

نه به معنای دقیق آن. در حالی که نسخه 2 در حال توسعه است، همچنان بر رمزنگاری منحنی بیضوی کلاسیک متکی است. نقشه راه به طرح‌های ترکیبی پس کوانتومی اشاره می‌کند، اما تا زمانی که این طرح‌ها پیاده‌سازی، ممیزی و در همه مشتریان اجرا شوند، باید امنیت رمزگذاری استاندارد سرتاسر را با برنامه‌ای برای ارتقا در نظر بگیرید.

تماس ها یکی دیگر از نگرانی های تکرار شونده است. با توجه به جلسه:

  • تماس‌های صوتی و تصویری در دسترس هستند، اما همچنان یک ویژگی بتا هستند که باید از آن استفاده کنید.

  • آنها در حال حاضر از همتا به همتا استفاده می کنند WebRTC، که آدرس IP شما را در معرض دید طرف مقابل و سرور STUN یا TURN اجرا شده Session برای سیگنال دهی و رله رسانه ای قرار می دهد.

  • تماس‌های مسیریابی پیاز از طریق Lokinet برنامه‌ریزی شده‌اند تا IPها را به طور کامل پنهان کنند، اما هنوز پیش‌فرض نیستند.

وبلاگ خود جلسه و سوالات متداول به صراحت هشدار دهد افرادی که در موقعیت‌های بسیار حساس هستند ممکن است بخواهند در حال حاضر از فعال کردن تماس‌ها اجتناب کنند.

بنابراین، بتا طولانی تا حدی بازتابی از سختی ترکیب تماس‌های با تأخیر کم، مسیریابی پیاز و تضمین‌های ناشناس جدی است.

آنچه تمرکززدایی در واقع برای شما تغییر می کند

Session هم وعده و هم محدودیت های پیام های امن غیرمتمرکز را نشان می دهد.

از جنبه مثبت:

  • شما می توانید بدون شماره تلفن یا ایمیل (یا هر شناسه) یک حساب کاربری ایجاد کنید که با ایده بوترین در مورد ایجاد حساب بدون مجوز مطابقت دارد.

  • پیام‌های شما از طریق یک شبکه چند گره مسیریابی پیازی منتقل می‌شوند، که میزان فراداده‌ای را که هر اپراتور می‌تواند ببیند یا مجبور به ثبت نام شود، کاهش می‌دهد.

  • انتقال سرپرستی به سوییس و استفاده از مشتریان منبع باز و گزارش‌های شفافیت ممکن است بررسی عمومی تغییرات در پایگاه کد یا زیرساخت را افزایش دهد.

اما تمرکززدایی ردای نامرئی نیست:

  • اگر دستگاه شما توقیف شود یا به خطر بیفتد، حافظه محلی روی تلفن شما همچنان یک خطر بزرگ است.

  • اعلان‌های حالت سریع و تماس‌های WebRTC ابرداده‌های سطح IP را به ارائه‌دهندگان زیرساخت نشت می‌دهند، حتی اگر آنها هرگز پیام‌های متن ساده شما را نبینند.

  • حفاظت پس از کوانتومی تا زمانی که پروتکل v2 ارسال شود و بالغ شود، روی نقشه راه باقی می ماند.

اگر Session را در نظر دارید، منطقی است که حالت آهسته را به‌عنوان پیش‌فرض خود در نظر بگیرید، اگر حفظ حریم خصوصی ابرداده‌ها بیش از اعلان‌های فوری اهمیت دارد. از پیام‌های ناپدید شده استفاده کنید و به صورت دوره‌ای چت‌ها و رسانه‌های قدیمی را حذف کنید تا کمتر در دستگاه‌هایتان باقی بماند. همین احتیاط در مورد تماس ها نیز صدق می کند. اگر پیوند یک Session ID به یک آدرس IP در موقعیت شما یک نگرانی است، ممکن است تا زمانی که پشته تماس به بلوغ برسد، غیرفعال نگه داشتن صدا و ویدیو ایمن تر باشد.

به طور کلی، E2EE به تنهایی دیگر کافی نیست. با افزایش فشار دولت ها بر پیام رسان ها و انتقال تهدیدات کوانتومی از تئوری به نقشه راه، تمرکززدایی، به حداقل رساندن ابرداده و ارتقاء پس از کوانتومی به بخش های اصلی پیام رسانی امن تبدیل می شوند. Session یکی از چندین پروژه است که تلاش می‌کند به این چالش‌ها رسیدگی کند، که هر کدام معاوضه‌ها، نقاط قوت و محدودیت‌های خاص خود را دارند.



منبع

دیدگاهتان را بنویسید

دکمه بازگشت به بالا