یک ادعای عامیانه!

یک ادعای عامیانه
یک ادعای عامیانه

بعد از مسدود‌سازی تلگرام، تلاش کاربران ایرانی برای یافتن یک جایگزین مناسب با امکانات هم‌سطح برای تلگرام آغاز شد. در چند روز اخیر، با تیترهای هم‌محتوا در مورد یک پیام‌رسان داخلی مواجه شدم!

جایزه میلیاردی آی گپ برای هک این پیام رسان [+]
جایزه یک میلیارد تومانی پیام رسان ایرانی آی گپ برای هکرها [+]
جایزه یک میلیارد تومانی برای شنود آی‌گپ [+]
جایزه یک‌میلیارد تومانی پیام‌رسان "آی‌گپ" برای هکرهای گرامی! [+]

در نگاه اول، با یک ادعای بزرگ (همانند ادعای ابتدایی تلگرام) مواجه هستیم که تضمین‌کننده امنیت پیام‌رسان هست، ولی زمانیکه در ماجرا دقیق بشویم (که هدف این نوشته است)، جز یک فریب عامیانه چیزی نمی‌بینیم. در ادعای آقای کاظمی آمده است که:

این جایزه منوط به این است که (هکر) بتواند ۲ لایه رمزگذاری اختصاصی این پیام رسان را هک کرده و اطلاعات را بصوت متن ساده بدست آورد.

طبق صحبت‌های مطرح شده توسط آقای کاظمی، در دو لایه‌ی رمزگذاری اختصاصی از سیستم رمزنگاری متقارن AES256 استفاده شده‌ است که شکستن این سیستم رمز عملا غیرممکن است! یکی از اجزای ابتدایی که در ساختار طرح رمزنگاری AES وجود دارد، S-Box است که در حال حاضر شمارش تعداد S-Boxهای فعال در یک سیستم رمز AES از چالش‌های آکادمیک در رشته رمزنگاری به حساب می‌آید که هر بهبود در سرعت و دقت شمارش می‌تواند به عنوان مقاله‌ی سال انتخاب شود! واضح است که صحبت‌کردن درباره شکستن سیستم AES هجو است، و درواقع این ادعا در عین درست بودن، جز عوام‌فریبی چیزی نیست.

دغدغه کاربران ایرانی برای انتخاب نکردن پیام‌رسان‌های داخلی، عدم حفظ محرمانگی (Privacy) در پیام‌های خصوصی و گروه‌های کوچک خانوادگی و دوستانه است که در ساده‌ترین نگاه، می‌توان به عنوان زیرمجموعه‌ای از امنیت (Security) در نظر گرفت.

محرمانگی زیرمجموعه‌ای از امنیت است. (در ساده‌ترین حالت آن!)
محرمانگی زیرمجموعه‌ای از امنیت است. (در ساده‌ترین حالت آن!)

در تمام مراحل رمزنگاری داده‌های پیام‌رسان آی‌گپ، تمامی کلیدها بدون درگیرکردن مستقیم کاربر ایجاد می‌شوند. این کلیدها با استفاده از اطلاعاتی که نرم‌افزار می‌تواند از تلفن همراه کاربر بگیرد (همانند مشخصات سخت‌افزاری، شماره تلفن و ...) تولید می‌شوند که به معنی آن است که محرمانگی داده‌های کاربران برای سرورها و سیستم آی‌گپ وجود ندارد و به راحتی با توجه به دانستن الگوریتم‌های ساخت کلید، می‌توانند کلیدها را ایجاد کرده و به اطلاعات رمزشده دسترسی پیدا کنند.

یک راه ساده برای برقراری محرمانگی، درگیرکردن مستقیم کاربر بوسیله دریافت یک کلیدواژه از طرف وی است که این کلیدواژه به عنوان یک ورودی برای الگوریتم ساخت کلیدها استفاده شود. متاسفانه در هیچ پیام‌رسان (چه داخلی و چه خارجی) این پارامتر وجود ندارد! تنها مزیت نرم‌افزارهای خارجی، عدم همکاری شرکت‌های خارجی با نهادهای دولتی ایران است که کاربران را نسبت به محرمانگی متقاعد می‌کند.

ادعای امن بودن آی‌گپ با توجه به چالش، جایزه و موارد ذکر شده، فقط امنیت (Security) را تا حدی تضمین می‌کند، درحالیکه محرمانگی داده که دغدغه اصلی کاربر ایرانی است، هرگز برآورده نمی‌شود.