کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

به‌دنبال تصمیم اتحادیه اروپا جهت تبدیل قابلیت‌های پیام‌‌رسانی میان پلتفرم‌ها به‌‌عنوان الزامی قانونی، چالش‌های رمز‌گذاری و قابلیت‌های همکاری آن با پیام‌رسانی‌ها توسط کارشناسان امنیتی مورد بحث و مذاکره قرار گرفته است.

بحث‌ها زیادی پیرامون این‌که آیا قابلیت همکاری پیام‌رسانی در قانون بازارهای دیجیتال (DMA) لحاظ شود یا خیر، وجود داشته است. یکی از مسائلی که در مورد آن در این میان به‌عنوان موضوغی کلیدی مورد مباحثه قرار گرفته است، رمزگذاری انتها به انتها بوده است.

زمینه

ما قبلاََ هم پیشینه‌ی این موضوع را خلاصه کرده‌ایم:

ایده‌ی قابلیت همکاری پیام رسانی، این است که پیام‌رسانی فوراََ باید همانند ایمیل شود. هرکدام از ما می‌توانیم تا از سرویس‌ها و برنامه‌ها مورد نظر خود استفاده کنیم، درحالی که هنوز هم می‌توانیم با یکدیگر ارتباط برقرار کنیم.

بنابراین، ممکن است من از تلگرام استفاده کنم و شما آن را در واتس‌اپ خود دریافت کنید. ممکن است مادر شما پیامی را در پلفترم فیس‌بوک برای‌تان ارسال کند و شما آن را در آی‌مسیج دریافت کنید. در حقیقت، همانند عملکرد ایمیل ما پیام‌ها را برای اشخاص ارسال می‌کنیم و نه برای سرویس‌ها.

اتحادیه‌ی اروپا مدت‌هاست که بر روی قانون بزرگ ضدانحصار کار می‌کند که با‌ نام قانون بازارهای دیجیتال (DMA) شناخته می‌شود. اهداف کلیدی و اصلی این قانون که برای آن برنامه‌ریزی‌هایی صورت گرفته است، این است که اطمینان حاصل شود استارت‌آپ‌های فناوری، بدون این‌که از رشد آن‌ها توسط شرکت‌های بزرگ جلوگیری شود قادر به‌ ورود به بازار باشند و درعین‌‌حال مصرف‌کنندگان نیز بتوانند از ثمرات رقابت آن‌ها، بهترین خدمات را با کم‌ترین قیمت داشته باشند.

بحث‌های داخلی زیادی در مورد محدوده‌ی مناسب این قانون، به‌ویژه در مورد این‌که آسیا الزاماتی که اعلام شده‌اند باید در قابلیت همکاری پیام‌رسانی نیز گنجانده شوند یا خیر، وجود داشته است. برخی از افراد با استدلال‌هایی که احتملاََ اجرا شدن آن‌ها کابوس عظیمی خواهد بود، مخالفت کرده‌اند.

استدلال ما این است که اگرچه قابلیت همکاری پیام‌رسانی حقیقتاََ برای غول‌های فناوری کابوس بزرگی باشد، اما این برای مصرف‌کنندگان کابوس بزرگی خواهد بود. با این‌حال، بیش‌تر مباحثه‌ای که پیرامون این موضوع انجام شده است بر روی بخش کابوس آن تمرکز کرده است.

چالش‌های رمزگذاری با قابلیت همکاری در پیام‌رسانی، مسیرهای متفاوتی را جهت پیاده‌‌سازی رمز‌گذاری به‌وجود می‌آورد و پلتفرم‌های پیام‌رسان متفاوت، راه‌حل‌های متنوعی را برای حفظ حریم خصوصی خود انتخاب کرده‌اند. اما، حتی در مواردی که دو سرویس از روش‌های رمزگذاری یکسانی استفاده کرده‌اند، همجنان کلید‌های متفاوت و مشابه‌ای جهت ارتباط میان افراد وجود دارد. این بدان معناست که شما نمی‌توانید پیام رمزگذاری شده‌ی E2E را به فرد دیگری ارسال کنید.

The Verge، از نگرانی‌های متفاوتی که توسط کارشنان امنیتی ابراز شده است، گزارش می‌دهد. این گزارش در مورد نیاز به خدمات پیام‌رسانی برای ایجاد تغییرات عمده در رویکردهای مربوطه است.

استیون بلووین، محقق سرشناس امنیت اینترنت و استاد علوم کامپیوتر در دانشگاه کلمبیا، می‌گوید:

تلاش‌ برای تطبیق دو معماری رمز‌نگاری متفاوت به‌ آن سادگی که به‌نظر می‌رسد، امکان‌پذیر نیست. طرفی و یا طرفی دیگر باید تغییرات اساسی ایجاد کند. طرحی که فقط در زمانی کار می‌کند که هر دو طرف آنلاین باشند، بسیار متفاوت‌تر از طرحی است که با پیام‌های ذخیره شده کار می‌کند. چگونه این دو سیستم با‌هم تعامل خواهند داشت؟

وی در ادامه استدلال کرده است که این‌ می‌تواند به‌معنای حذف ویژگی‌ها جهت رسیدن به‌ کم‌ترین مخرج‌ مشترک میان خدمات باشد.

مسئله‌ی دومی که وجود دارد این است که این آسیب‌پذیری امنیتی در پلتفرم پیام‌رسانی می‌تواند به‌طور مؤثر همه‌ی آن‌ها را در معرض سوءاستفاده قرار دهد. در ارتباط با این موضوع، هر سرویس باید به روش سرویس دیگر جهت تأیید هویت کاربر اعتماد کند.

چگونه می‌توانید به تلفن خود بگویید که می‌خواهیم با چه کسی صحبت کنید و چگونه تلفن آن شخص را برای شما پیدا می‌کند؟ الکس استاموس، مدیر رصدخانه‌ی اینترنت استنفورد و افشر ارشد امنیتی سابق فیس‌بوک در‌این‌باره گفت:

هیچ راهی جهت اجازه دادن به رمز‌گذاری در سرتاسر پیام‌ها، بدون اعتماد به هر ارائه‌دهنده‌ای برای مدیریت هویت‌ها وجود ندارد. اگر هدف این است تا همه‌ی سیستم‌های پیام‌رسانی دقیقاََ با کاربران به‌ یک‌شکل رفتار کنند، پس این کابوسی برای حریم خصوصی و امنیت است.

را‌ه‌حل‌های بالقوه

با این‌حال، منبع باز E2E غیرانتفاعی ماتریکس گفته‌ است که راه‌هایی برای حل کردن این مشکل وجود دارد.

تعجبی ندارد که پلتفرم منبع باز ماتریکس که خود راه‌حل‌اش را اتخاذ می‌کند، از همین موارد محسوب می‌شود. استفاده از کدهای منبع باز، به‌نفع هر محقق امنیتی است تا بتواند یک‌پارچه بودن سیستم رمزگذاری مورد استفاده‌ی خود را تأیید کند. حتی ویل کاتارت که رئیس واتس‌اپ است نیز، از تماس برای قابلیت همکاری پیام‌رسانی شدیداََ انتقاد کرده است و امکان انجام این ایده را تأیید نمی‌کند.

مورد دیگری که وجود دارد، رمزگشایی و رمزگذاری مجدد در مسیر است که معمولاََ کل اساس رمزگذاری E2E را می‌تواند به‌خطر اندازد. البته انجام این‌کار در ماشین‌های خود کاربران صورت می‌گیرد.

لپ‌تاپ‌ و یا تلفن شما، به‌طور مؤثری اتصال خود را به آی‌مسیج، واتس‌اپ و یا هر چیز دیگری حفظ می‌کند؛ گویا وارد سیستم خود شده‌اید. اما نکته‌ای که وجود دارد این است که پس از رمز‌گذاری مجدد، پیام‌ها به Matrix منتقل می‌شوند.

این‌ها، خطرات اضافه‌ای را ایجاد نمی‌کند، چراکه کاربر نهایی با ماشینی که در معرض خطر قرار گرفته است می‌تواند پیام‌هایی که آن‌ها هم در معرض خطر هستند را نشان دهند.

حرف آخر

در نهایت، کارشناسان امنیتی در دو مورد، اتفاق‌نظر دارند:

• امکان همکاری پیام رسان بدون به‌خطر انداختن رمزگذاری E2E، امکان‌پذیر است.
• این‌کار بسیار دشوار است و نیاز به کار کردن زیادی دارد.

نکته‌ی دوم بدان معناست که که این اتفاق به این زودی‌ها رخ نخواهد داد و اتحادیه‌ی اروپا نیز از این موضوع آگاه است. انتظار می‌رود که مهلت ارائه‌‌ی این اتفاق، بسیار دیرتر از مهلت‌های مربوط به رعایت سایر الزامات قانون بازارهای دیجیتال باشد.