آینده پیامرسانی امن: چرا تمرکززدایی مهم است؟

از چت های رمزگذاری شده تا پیام های غیرمتمرکز
پیام رسان های رمزگذاری شده موج دومی دارند.
برنامههایی مانند WhatsApp، iMessage و Signal رمزگذاری سرتاسر (E2EE) را به یک انتظار پیشفرض تبدیل کردند. اما بیشتر آنها هنوز به شماره تلفن، سرورهای متمرکز و بسیاری از ابرداده ها وابسته هستند، مانند اینکه با چه کسی صحبت می کنید، چه زمانی، از کدام IP و در کدام دستگاه.
این همان چیزی است که ویتالیک بوترین در اخیر خود به دنبال آن است X پست و اهدا. او استدلال میکند که گامهای بعدی برای پیامرسانی ایمن، ایجاد حساب بدون مجوز بدون شماره تلفن یا مشتری خود را بشناسید (KYC) و حفظ حریم خصوصی فراداده بسیار قویتر است. در این زمینه، او Session و SimpleX را برجسته کرد و 128 اتر (ETH) را برای هر یک فرستاد تا به آن جهت ادامه دهد.
Session یک مطالعه موردی خوب است زیرا سعی می کند رمزگذاری E2E را با تمرکززدایی ترکیب کند. هیچ سرور پیام مرکزی وجود ندارد، ترافیک از طریق مسیرهای پیاز هدایت می شود و شناسه های کاربر به جای شماره تلفن، کلید هستند.
آیا می دانستید؟ چهل و سه درصد از افرادی که از وای فای عمومی استفاده می کنند گزارش دهید تجربه نقض داده ها، با حملات انسان در وسط و استشمام بسته در برابر ترافیک رمزگذاری نشده از شایع ترین دلایل است.
Session چگونه پیام های شما را ذخیره می کند
جلسه بر اساس هویت های کلید عمومی ساخته شده است. هنگامی که ثبت نام می کنید، برنامه یک جفت کلید به صورت محلی ایجاد می کند و یک شناسه جلسه را بدون نیاز به شماره تلفن یا ایمیل از آن استخراج می کند.
پیامها از طریق شبکهای از گرههای سرویس با استفاده از مسیریابی پیاز عبور میکنند، به طوری که هیچ گرهای نمیتواند هم فرستنده و هم گیرنده را ببیند. (شما می توانید مسیر گره پیام خود را در تنظیمات مشاهده کنید.) برای تحویل ناهمزمان زمانی که آفلاین هستید، پیام ها در گروه های کوچکی از گره ها به نام “Swarms” ذخیره می شوند. هر Session ID به یک گروه خاص نگاشت میشود و پیامهای شما به صورت رمزگذاری شده در آنجا ذخیره میشوند تا زمانی که مشتری شما آنها را واکشی کند.
از لحاظ تاریخی، پیامها دارای زمان پیشفرض در حدود دو هفته در ازدحام بودند. پس از آن، کپی شبکه از بین می رود و فقط آنچه در دستگاه های شما است باقی می ماند.
و بله، Session یک پایگاه داده محلی از چت ها و پیوست های شما را نگه می دارد تا بتوانید ماه ها یا سال ها به عقب بروید. به همین دلیل است که دانلود برنامه ممکن است حدود 60 تا 80 مگابایت باشد، اما اندازه نصب شده با ارسال رسانه، تصاویر کوچک حافظه پنهان و حفظ سابقه چت افزایش می یابد. اسناد عمومی و بررسیهای مستقل این شکاف بین ذخیرهسازی شبکه کوتاهمدت و ذخیرهسازی محلی طولانی مدت را توصیف کردهاند.
میتوانید این مورد را با حذف چتها، استفاده از پیامهای ناپدید شده یا پاک کردن رسانه کوتاه کنید. اگر هنوز می توانید آن را ببینید، در جایی از دستگاه شما زندگی می کند.

اعلانهای حالت سریع
اعلان ها جایی هستند که مبادله حریم خصوصی و تجربه کاربر (UX) آشکار می شود.
در iOS، Session دو حالت ارائه می دهد:
حالت آهسته، نظرسنجی پسزمینه است. برنامه به صورت دوره ای بیدار می شود و پیام های جدید را از طریق شبکه خود بررسی می کند. خصوصی تر است، اما می تواند با تأخیر یا غیرقابل اعتماد باشد، به خصوص اگر سیستم عامل شما نسبت به فعالیت پس زمینه تهاجمی باشد.
حالت سریع از اعلانهای فشاری استفاده میکند. Session از سرویس Apple Push Notification در iOS و رویکردی مشابه در Android برای ارائه هشدارهای به موقع استفاده می کند.
بیت بحث برانگیز حالت سریع است. با توجه به اسناد پشتیبانی خود Session، استفاده از آن به این معنی است:
آدرس IP دستگاه و کد فشاری شما در معرض یک سرور فشاری است که توسط Apple اداره می شود.
شناسه حساب Session و کد فشار شما با یک سرور فشار Session-run به اشتراک گذاشته میشود تا بداند کدام اعلانها را به کجا ارسال کند.
مهمتر:
سرورها محتویات پیام را نمی بینند زیرا آنها E2EE باقی می مانند.
جلسه می گوید اپل و گوگل همچنین نمی بینند که با چه کسی صحبت می کنید یا زمان دقیق پیام فراتر از آنچه که زیرساخت عمومی فشار آنها لزوماً ثبت می کند، نمی بینند.
اگر شما را آزار می دهد، حالت آهسته وجود دارد، اما با اعلان های از دست رفته یا دیرهنگام پرداخت می کنید. این انتخاب بخشی از چیزی است که پیام رسان های غیرمتمرکز اکنون کاربران را مجبور به فکر کردن در مورد آن می کنند.
صلاحیت قضایی، شفافیت و درخواست های دولت
حاکمیت سشن نیز تغییر کرده است.
این برنامه در ابتدا توسط بنیاد غیرانتفاعی Oxen Privacy Tech (OPTF) استرالیا هدایت می شد. در اواخر سال 2024، یک نهاد جدید سوئیسی، بنیاد فناوری Session (STF)، بر عهده گرفت سرپرستی پروژه گزارش نهایی شفافیت OPTF سه ماهه چهارم 2024 را پوشش می دهد. درخواست های بعدی توسط STF رسیدگی و منتشر می شود.
اسناد پشتیبانی Session در مورد درخواست های اطلاعات بیان می کند:
از آنجایی که Session غیرمتمرکز و E2EE است، بنیاد دسترسی خاصی به پیامها یا کلیدهای کاربر ندارد.
STF منتشر می کند گزارشهای شفافیت گذشتهنگر شامل خلاصه درخواستهای اجرای قانون و نحوه رسیدگی به آنها.
این صفحه شفافیت تقریباً به طور قطع نقطه مرجعی است که کاربران هنگام صحبت در مورد سایتی که نشان می دهد دولت ها چه زمانی اطلاعات درخواست می کنند در ذهن دارند. این سوابق عمومی است که بنیاد برای مستند کردن زمان دسترسی مقامات، درخواست آنها و نحوه پاسخ سشن حفظ می کند.
آنها واقعاً چه چیزی را می توانند تحویل دهند؟
بالقوه: گزارشها از وبسایتها، سرورهای فایل یا زیرساختهایی که مستقیماً کار میکنند، مانند رلههای فشار یا سرورهای STUN و TURN برای تماسها، مشروط به قوانین سوئیس و هرگونه درخواست بینالمللی قابل اجرا.
خیر: پیامهای رمزگشایی شده یا کلیدهای اصلی چتهای کاربر، با این فرض که پیادهسازی با توضیحات پروتکل مطابقت دارد.
رژیم بنیادی سوئیس در مقایسه با برخی از حوزههای قضایی نسبتاً ملایم به شفافیت است، که گزارشهای داوطلبانه و محدودیتهای فنی در دادهها را به ویژه مهم میسازد.
به عبارت دیگر، تمرکززدایی دولت ها را از درخواست باز نمی دارد، بلکه آنچه را که باید تحویل دهد محدود می کند.
آیا می دانستید؟ وقتی پلیس نفوذ کرد EncroChat شبکه تلفن رمزگذاری شده، بیش از 115 میلیون پیام مجرمانه را از حدود 60000 کاربر رهگیری کردند که منجر به دستگیری بیش از 6500 نفر و نزدیک به 900 میلیون یورو از دارایی های توقیف شده در سراسر جهان شد.
مقاومت کوانتومی، فراخوانی و “بتا برای همیشه؟”
نگرانی در حال حاضر برداشت است، بعدا رمزگشایی کنید. دشمنان می توانند امروز ترافیک رمزگذاری شده را ضبط کنند و منتظر بمانند تا رایانه های کوانتومی آینده طرح های کلید عمومی فعلی را بشکنند.
پاسخ Session یک طراحی مجدد پروتکل اصلی است. در یک وبلاگ اخیر پست، این تیم از Session Protocol v2 رونمایی کرد که هدف آن اضافه کردن موارد زیر است:
رازداری کامل رو به جلو با کلیدهای زودگذر
تبادل کلید پس کوانتومی با استفاده از ML-KEM (قبلاً CRYSTALS-Kyber)، KEM استاندارد شده توسط NIST نیز در PQXDH سیگنال و PQ3 اپل ظاهر می شود.
بنابراین، آیا امروز Session کوانتومی مقاوم است؟
نه به معنای دقیق آن. در حالی که نسخه 2 در حال توسعه است، همچنان بر رمزنگاری منحنی بیضوی کلاسیک متکی است. نقشه راه به طرحهای ترکیبی پس کوانتومی اشاره میکند، اما تا زمانی که این طرحها پیادهسازی، ممیزی و در همه مشتریان اجرا شوند، باید امنیت رمزگذاری استاندارد سرتاسر را با برنامهای برای ارتقا در نظر بگیرید.
تماس ها یکی دیگر از نگرانی های تکرار شونده است. با توجه به جلسه:
تماسهای صوتی و تصویری در دسترس هستند، اما همچنان یک ویژگی بتا هستند که باید از آن استفاده کنید.
آنها در حال حاضر از همتا به همتا استفاده می کنند WebRTC، که آدرس IP شما را در معرض دید طرف مقابل و سرور STUN یا TURN اجرا شده Session برای سیگنال دهی و رله رسانه ای قرار می دهد.
تماسهای مسیریابی پیاز از طریق Lokinet برنامهریزی شدهاند تا IPها را به طور کامل پنهان کنند، اما هنوز پیشفرض نیستند.
وبلاگ خود جلسه و سوالات متداول به صراحت هشدار دهد افرادی که در موقعیتهای بسیار حساس هستند ممکن است بخواهند در حال حاضر از فعال کردن تماسها اجتناب کنند.
بنابراین، بتا طولانی تا حدی بازتابی از سختی ترکیب تماسهای با تأخیر کم، مسیریابی پیاز و تضمینهای ناشناس جدی است.
آنچه تمرکززدایی در واقع برای شما تغییر می کند
Session هم وعده و هم محدودیت های پیام های امن غیرمتمرکز را نشان می دهد.
از جنبه مثبت:
شما می توانید بدون شماره تلفن یا ایمیل (یا هر شناسه) یک حساب کاربری ایجاد کنید که با ایده بوترین در مورد ایجاد حساب بدون مجوز مطابقت دارد.
پیامهای شما از طریق یک شبکه چند گره مسیریابی پیازی منتقل میشوند، که میزان فرادادهای را که هر اپراتور میتواند ببیند یا مجبور به ثبت نام شود، کاهش میدهد.
انتقال سرپرستی به سوییس و استفاده از مشتریان منبع باز و گزارشهای شفافیت ممکن است بررسی عمومی تغییرات در پایگاه کد یا زیرساخت را افزایش دهد.
اما تمرکززدایی ردای نامرئی نیست:
اگر دستگاه شما توقیف شود یا به خطر بیفتد، حافظه محلی روی تلفن شما همچنان یک خطر بزرگ است.
اعلانهای حالت سریع و تماسهای WebRTC ابردادههای سطح IP را به ارائهدهندگان زیرساخت نشت میدهند، حتی اگر آنها هرگز پیامهای متن ساده شما را نبینند.
حفاظت پس از کوانتومی تا زمانی که پروتکل v2 ارسال شود و بالغ شود، روی نقشه راه باقی می ماند.
اگر Session را در نظر دارید، منطقی است که حالت آهسته را بهعنوان پیشفرض خود در نظر بگیرید، اگر حفظ حریم خصوصی ابردادهها بیش از اعلانهای فوری اهمیت دارد. از پیامهای ناپدید شده استفاده کنید و به صورت دورهای چتها و رسانههای قدیمی را حذف کنید تا کمتر در دستگاههایتان باقی بماند. همین احتیاط در مورد تماس ها نیز صدق می کند. اگر پیوند یک Session ID به یک آدرس IP در موقعیت شما یک نگرانی است، ممکن است تا زمانی که پشته تماس به بلوغ برسد، غیرفعال نگه داشتن صدا و ویدیو ایمن تر باشد.
به طور کلی، E2EE به تنهایی دیگر کافی نیست. با افزایش فشار دولت ها بر پیام رسان ها و انتقال تهدیدات کوانتومی از تئوری به نقشه راه، تمرکززدایی، به حداقل رساندن ابرداده و ارتقاء پس از کوانتومی به بخش های اصلی پیام رسانی امن تبدیل می شوند. Session یکی از چندین پروژه است که تلاش میکند به این چالشها رسیدگی کند، که هر کدام معاوضهها، نقاط قوت و محدودیتهای خاص خود را دارند.

