معرفی ویژگی کشف تماس خصوصی توسط پیام‌رسان سیگنال

Signal

معرفی ویژگی کشف تماس خصوصی توسط پیام‌رسان سیگنال

تا چه حد با پیام رسان سیگنال آشنایی دارید؟اپلیکیشن سیگنال ( Signal) را تیم Whisper Systems ایجاد کرده و ازلحاظ امنیت به گفته ادوارد اسنودن حرف ندارد.توسعه‌دهندگان دو برنامه Redphone و TexySecure موفق شدند سیگنال را به‌صورت ارسال پیام رمزگذاری شده به‌صورت end-to-end تعریف کنند.سپتامبر ۲۰۱۵ اولین نسخه آی او اس سیگنال وارد بازار شد و اخیراً نیز نسخه اندرویدی آمده است.برخی ویژگی‌های سیگنال به شرح زیر است:ارسال و دریافت امن متن، عکس، ویدئو به‌صورت رایگان / صدای شفاف و باکیفیت در مکالمه / بدون لاگین کردن و تنها از طریق شماره تلفن قابلیت اتصال برقرار می‌شود / سرعت‌بالای ارسال و دریافت / نوتیفیکیشن ها با اجازه کاربر ارسال می‌شود / آرشیو مناسب دیتا

همانطور که پیش از این ذکر شد،پیام‌رسان سیگنال با افرادی که به حریم خصوصی خود اهمیت می‌دهند، بسیار محبوب درحالی‌که ارتباطات در برابر بهره‌برداری نفوذگران و دولت از طریق سیگنال محافظت می‌شوند، هنوز یک ویژگی وجود دارد که می‌تواند از دیدگاه حفظ حریم خصوصی، یعنی کشف تماس بهبود یابد.در حال حاضر، هنگامی‌که یک کاربر در سیگنال ثبت‌نام می‌کند، شماره تلفن‌های موجود در دفترچه‌ی تلفن دستگاه وی، به‌منظور تعیین اینکه کدام‌یک از مخاطبان از این برنامه‌ی پیام‌رسانی استفاده می‌کنند، با ورودی‌های پایگاه داده بر روی سامانه‌های Open Whisper مقایسه می‌شوند.

درحالی‌که تایید براساس درهم‌سازی‌های کوتاه شده‌ی SHA۲۵۶ شماره‌های تلفن همراه صورت می‌گیرد و داده‌های متن واضح نیستند، این درهم‌سازی‌ها می‌توانند در بیشتر موارد مورد نفوذ قرار بگیرند.به‌صورت تئوری نباید مشکلی وجود داشته باشد، چراکه سامانه‌های Open Whisper کشف تماس را درخواست نکرده و برای اثبات آن، کد منبع سیگنال را به‌صورت عمومی در دسترس قرار می‌دهد. با این حال، این امکان همواره وجود دارد که فردی، ازجمله نفوذگرها یا یک آژانس دولتی، کد را بر روی کارگزارهای سیگنال تغییر داده و شروع به ثبت درخواست کشف تماس می‌نماید.

شایان توجه است که؛به‌منظور جلوگیری از این موضوع، توسعه‌دهندگان سیگنال در حال تلاش برای پیدا کردن راهی برای پیاده‌سازی کشف تماس خصوصی می‌باشند. به‌نظر می‌رسد که این راه‌حل در انحصار فناوری برنامه‌های حفاظتی نرم‌افزار اینتل (SGX) است. SGX اینتل به توسعه‌دهندگان نرم‌افزار امکان می‌دهد تا بخش‌های خاصی از کد و اطلاعات را در برابر افشاء شدن محافظت کرده و یا با قرار دادن در یک ناحیه‌ی امن اجرا شده در حافظه با نام «enclave» آن‌ها را اصلاح نمایند.

 

signal

توسعه‌دهندگان سیگنال در حال کار کردن بر روی اجرای سرویس کشف تماس در برخی از ناحیه‌های تحت محاصره SGX هستند. هنگامی‌که مشتری کشف تماس را انجام می‌دهد، شناسه‌های رمزنگاری‌شده به‌طور مستقیم و از طریق یک اتصال ایمن، از دفترچه‌ی تلفن به محدوده‌ای که سرویس کشف را اجرا می‌کند، منتقل می‌شوند. این سرویس در اطلاعات تماس پایگاه داده‌ی کاربران ثبت شده جستجو کرده و نتایج به‌صورت رمزنگاری‌شده به مشتری ارسال می‌شود.

یکی دیگر از ویژگی‌های امنیتی مهم ارائه شده توسط SGX، پشتیبانی از «تصدیق امضای از راه دور» می‌باشد. تصدیق امضای از راه دور به مشتری این امکان را می‌دهد که کد در محدوده‌ی مورد انتظار اجرا می‌شود، در مورد سیگنال، تضمین می‌کند که کد در همان محدوده‌ای است که کد منبع عمومی توسط سامانه‌های Open Whisper ایجاد شده است.

در حال حاضر سرویس کشف تماس خصوصی، پیش‌نمایش فناوری بتا است. در ضمن، کد منبع برای سرویس کشف تماس خصوصی می‌تواند توسط هرکسی تجزیه و تحلیل شود. استفاده از فناوری SGX اینتل می‌تواند مزایای بسیاری داشته باشد، اما اخیرا محققان نشان داده‌اند که می‌تواند برای اهداف مخرب نیز مورد بهره‌برداری قرار بگیرد. در ماه مارس، گروهی از دانشگاه اتریش نشان دادند که بدافزار در حال اجرا بر روی SGX می‌تواند به میزبان حمله کرده و کلیدهای خصوصی RSA را استخراج نماید.

 

منبع

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *