- کارشناسان امنیتی، یکپارچگی سرویس پاسپورت تلگرام(Telegram Passport) را مورد سوال قرار دادند. طرح احراز هویت که هفتهی گذشته راهاندازی گردید سرویس KYC(سرویسی که احراز هویت از مبدا به مقصد را برای کاربران امکانپذیر میسازد) را برای کاربردهای ICO مورد استفاده قرار میدهد، که در آن اسناد شخصی توسط رمزگذاری فرد به فرد یا از مبدا به مقصد(end-to-end) محافظت شده است. کاربران ICO با اسناد شخصی توسط رمزنگاری از مبدا به مقصد محافظت میشوند. با این حال تصمیم تلگرام برای سرهم کردن روش رمزنگاری خود، مورد انتقادات بسیاری واقع شده است.
هیچگاه رمزنگاریت را سرهم نکن
سرهم کردن رمزنگاری(Rolling your own crypto) یا درست کردن روش رمزنگاری از پایه و بصورت دلخواه در صنعت امنیت اطلاعات به دلیل احتمال زیاد نمایان ساختن آسیبپذیری به امری منسوخ تبدیل شده است. این مسئله را میتوان از IOTA که به روش دشواری متوجه این قضیه شد پرسید! جکسون پالمر(Jackson Palmer) یکی از اولین کسانی بود که در رابطه با این با تلگرام تماس گرفت و مدت کوتاهی پس از خبر آسیبپذیری پاسپورت تلگرام(Passport Service) توییت کرد «بهتر است بخواهید قبل از ارسال اسناد هویتی خود به سرویسی که رمزارز خود را سرهم و بطور پیشفرض از رمزگذاری E2E پشتیبانی نمیکند مجددا فکر کنید.»
درحالی که پاسپورت تلگرام دارای رمزگذاری از مبدا به مقصد است ولی رمزگذاری اطلاعات ارسال شده به الگوریتم اختصاصی تلگرام وابسته است – اطلاعات بسیار با ارزش همانند پاسپورت و اسکن مدارک بانکی، مطمعنا برای هکرها(همانند ظرف عسل) بسیار جذاب است. گزارش جدیدی از Virgil Security بسیاری از عملکردهای درونی سرویس پاسپورت تلگرام را آشکار ساخت. بر اساس اطلاعاتی که این تیم امنیتی استخراج کرده است، همه چیز دلگرم کننده بنظر نمیرسد. در حالی که هک کردن سرویس حتی برای یک تیم پیشرفته یک امر عادی به حساب نمیآید، نقاط آسیبپذیری کافی برای ایجاد امکان رخنهی یک مهاجم وجود دارد.
گزارش نتیجهگیری میکند: «کدنویس معروف و ناشناسی با نقل قول میگوید«رمزنگاری خود را سرهم نکنید» در سال 2015، تلگرام به انتقاد مشابهی روبرو شد. در سال 2016، 15 میلیون شماره تلفن ایرانی بدلیل رخنه در قسمت احراز هویت تلگرام، لو رفت. هماکنون در سال 2018 و در پاسپورت تلگرام، هیچ نقل قولی معتبر نیست.»
اگر اطلاعات تلگرام شما در دسترس دیگران قرار بگیرد، نخواهید فهمید
یکی از مشکلات سیستم تلگرام برای رمزگذاری و ذخیرهسازی اطلاعات کاربران به کمک پاسپورت این است که هیچ امضای دیجیتالی در آن استفاده نشده است. این امضا بطور معمول به منظور بروزرسانی نرمافزاری که توسط شرکت منتشر میشود، مورد استفاده قرار میگیرد. به عنوان مثال، به هر کسی اجازه میدهد تا اطمینان حاصل کند، پکیج نرمافزاری که نصب میکند اصل بوده و دستکاری نشده است.
طبق اطلاعیهی Virgil Security:
از آنجایی که حملات Brute force(نوعی حملهی هکری که در آن هکرها بانک پسورد را به منظور ورود غیر مجاز بر روی صفحهی لاگین امتحان میکنند) بر روی الگوریتم رمزگذاری انتخاب شده به آسانی انجام پذیر است، امنیت اطلاعاتی که شما به سرویس ابری تلگرام ارسال میکنید به شدت به قدرت پسورد شما بستگی دارد. و فقدان وجود امضای دیجیتالی این امکان را میدهد که دادههای شما بدون اینکه شما و یا گیرنده قادر به تشخیص آن باشید تغییر داده شوند.
Virgil Security
ممکن است پاسپورت تلگرام ذاتا اشکالاتی داشته باشد، اما به وضوح روشهایی وجود دارد تا با استفاده از آنها میتوانند اطمینان کاربران و اعتبار تلگرام را افزایش دهند. درگذشته و در زمان رونمایی از این طرح «تعدادی از کاربران تلگرام حتی با وجود وعدهی رمزگذاری از مبدا تا مقصد، به طور طبیعی از ارسال اطلاعات شخصی خود به این پلتفرم ابراز نگرانی کردند.» مدیرعامل شرکت تلگرام پاول دورف(Pavel Durov) مردی کم حرف است، او از زمان ملحق شدنش به توییتر که تقریبا 10 سال از آن میگذرد، برای 1.45 میلیون دنبال کنندهی خود کمتر از 2000 بار توییت کرده است. او اگر بخواهد به نگرانیهای موجود در مورد امنیت رمزگذاری تلگرام خاتمه دهد، لازم است که به این سکوت خاتمه دهد.
فکر میکنید نگرانیهای موجود در مورد سرویس پاسپورت تلگرام توجیه پذیر است؟ نظر خود را به صورت کامنت با ما در میان بگذارید.
