امنيت واتساپ بالاتر است يا تلگرام؟
با تلگرام که آشناييد؟ نرمافزار پيامرسان کدباز موبايل (چيزي شبيه واتساپ و وايبر و…) که به امنيتش مينازد و ادعا ميکند پيامهاي ارسالي با آن بههيچعنوان قابل رصد، شنود، کنترل محتوا و فيلترينگ هوشمند نيست و حتي جايزهاي ۲۰۰ هزار دلاري براي هک آن در نظر گرفته است.حال در اين مطلب براي روشن شدن اين ادعا با بررسي سه فاکتور رمزنگاري اطلاعات، ذخيرهسازي پيامها و آسيبپذيريهاي امنيتي به مقايسه تلگرام و واتساپ بهعنوان يک نرمافزار مشابه و بسيار رايج ميپردازيم.
۱- رمزنگاري اطلاعات
تلگرام براي رمزنگاري و انتقال پيامها از پروتکلي به نام MTProto استفاده ميکند؛ اين پروتکل براي استفاده در تلگرام با تلفيق چند الگوريتم و پروتکل رمزنگاري دادهها نظير الگوريتم رمزنگاري متقارن AES 256 و الگوريتم رمزنگاري نامتقارن RSA 2048 و پروتکل انتقال کليد ديفي هلمن توسط يک تيم که اکثرا برندگان مسابقه ACM و داراي PhD رياضي هستند نوشته شده است.تماميپيامهايي که در تلگرام مبادله ميشود با استفاده از همين پروتکل رمزنگاري ميشود و اين فقط منحصر به پيامهاي متني نيست و تماميفايلهاي مبادلهشده اعم از عکس و فيلم و صوت و اسناد هم بهصورت end-to-end کدشده و رمزنگاري شده منتقل ميشوند.ولي در واتساپ به علت کدباز نبودن هيچ مشخص نيست که اطلاعاتي که مبادله ميشود آيا کد ميشود يا خير؟
۲- ذخيرهسازي پيامها
يکي از ويژگيهاي تلگرام مالتيپلتفرم بودن آن است؛ يعني تلگرام نسخه اندرويد، iOS، ويندوز، ويندوز فون و وب دارد و همهجا و همزمان ميتوان از آنها استفاده کرد و به پيامها و آرشيو آن دسترسي داشت.لازمه مالتيپلتفرم بودن اين است که پيامها در سروري ذخيره شوند تا وقتي مورد نياز بودند بارگذاري شوند و تلگرام همه پيامها را در سرورهايش ذخيره ميکند.ذخيرهشدن اطلاعات در يک سرور رابطه عکسي با امنيت دارد و اگرچه اين دادههاي ذخيره شده همگي کد شدهاند و کليدها و پيامها در سرورهاي يکساني قرار ندارند، ولي باز درصدي از امنيت را کاهش ميدهد.اما در واتساپ هيچ پيامي در هيچ سروري ذخيره نميشود مگر پيامهايي که به علت عدم اتصال گيرنده به شبکه هنوز به مقصد نرسيدهاند. براي اين نوع پيامها هم محدوديتي ۳۰ روزه در نظر گرفته ميشود و بعد از گذشت آن مدت حذف ميشوند.در اين مورد تا اينجاي کار واتساپ برتري امنيتي نسبي بر تلگرام داشت؛ اما تلگرام از اين مورد هم بهسادگي نگذشته است و براي کساني که به اين سطح از امنيت نياز دارند يک نوع چت با نام Secure Chat يا چت امن فراهم کرده است. در چت امن علاوه بر رمزنگاري end-to-end پيامها در سرور هم ذخيره نميشوند و فقط ميان فرستنده و گيرنده مبادله ميشوند.
۳- آسيب پذيريهاي امنيتي
تلگرام بر خلاف واتساپ کدباز است و چشمهاي بيشتري بر آن نظارت ميکنند، در نتيجه بسياري از آسيبهاي بالقوه احتمالا قبل از عمل شناسايي خواهند شد.اما واتساپ تاريخي از اين آسيبها و ضعفها داشته است کافي است «whatsApp Security» را گوگل کنيد تا خود شاهد ماجرا باشيد. اگرچه بعد از اينکه فيسبوک واتساپ را خريد انتظار ميرود با پشتيباني يک تيم قوي به سطح بالايي از امنيت برسد و بسياري از اين آسيبپذيريهايش کاهش يابد، اما بايد به ياد داشته باشيم هميشه فکر دستهجمعي بهتر از فکر يک عده محدود نتيجه خواهد داد.در کل ميتوان گفت چت امن تلگرام قطعا نسبت به واتساپ برتري دارد و در مورد مقايسه امنيت ميان چت معمولي تلگرام و واتساپ بايد گفت که اگر امنيت زمان ارسال براي ما در اولويت باشد، به علت رمزنگاري صورتگرفته برتري با تلگرام است و اگر امنيت پس از ارسال و دسترسي به پيامهايي که قبلا ردوبدل شدهاند نيز مهم باشد، واتساپ بر چت معمولي تلگرام ميچربد.
يک نکته مهم
بسياري از مواردي که در بالا در مورد ذخيرهسازينشدن پيامها يا ذخيره بهصورت کدشده در سرور مطرح شد ميتواند صرفا يک ادعا باشد و ممکن است از سوي اين شرکتها رعايت نشود. براي نمونه، افشاگريهاي ادوارد اسنودن درباره پروژه پريزم نشان ميداد که بسياري از غولهاي فناوري اطلاعات، اطلاعات کاربران را براي جاسوسي در اختيار دولت قرار ميدادند.
۱- رمزنگاري اطلاعات
تلگرام براي رمزنگاري و انتقال پيامها از پروتکلي به نام MTProto استفاده ميکند؛ اين پروتکل براي استفاده در تلگرام با تلفيق چند الگوريتم و پروتکل رمزنگاري دادهها نظير الگوريتم رمزنگاري متقارن AES 256 و الگوريتم رمزنگاري نامتقارن RSA 2048 و پروتکل انتقال کليد ديفي هلمن توسط يک تيم که اکثرا برندگان مسابقه ACM و داراي PhD رياضي هستند نوشته شده است.تماميپيامهايي که در تلگرام مبادله ميشود با استفاده از همين پروتکل رمزنگاري ميشود و اين فقط منحصر به پيامهاي متني نيست و تماميفايلهاي مبادلهشده اعم از عکس و فيلم و صوت و اسناد هم بهصورت end-to-end کدشده و رمزنگاري شده منتقل ميشوند.ولي در واتساپ به علت کدباز نبودن هيچ مشخص نيست که اطلاعاتي که مبادله ميشود آيا کد ميشود يا خير؟
۲- ذخيرهسازي پيامها
يکي از ويژگيهاي تلگرام مالتيپلتفرم بودن آن است؛ يعني تلگرام نسخه اندرويد، iOS، ويندوز، ويندوز فون و وب دارد و همهجا و همزمان ميتوان از آنها استفاده کرد و به پيامها و آرشيو آن دسترسي داشت.لازمه مالتيپلتفرم بودن اين است که پيامها در سروري ذخيره شوند تا وقتي مورد نياز بودند بارگذاري شوند و تلگرام همه پيامها را در سرورهايش ذخيره ميکند.ذخيرهشدن اطلاعات در يک سرور رابطه عکسي با امنيت دارد و اگرچه اين دادههاي ذخيره شده همگي کد شدهاند و کليدها و پيامها در سرورهاي يکساني قرار ندارند، ولي باز درصدي از امنيت را کاهش ميدهد.اما در واتساپ هيچ پيامي در هيچ سروري ذخيره نميشود مگر پيامهايي که به علت عدم اتصال گيرنده به شبکه هنوز به مقصد نرسيدهاند. براي اين نوع پيامها هم محدوديتي ۳۰ روزه در نظر گرفته ميشود و بعد از گذشت آن مدت حذف ميشوند.در اين مورد تا اينجاي کار واتساپ برتري امنيتي نسبي بر تلگرام داشت؛ اما تلگرام از اين مورد هم بهسادگي نگذشته است و براي کساني که به اين سطح از امنيت نياز دارند يک نوع چت با نام Secure Chat يا چت امن فراهم کرده است. در چت امن علاوه بر رمزنگاري end-to-end پيامها در سرور هم ذخيره نميشوند و فقط ميان فرستنده و گيرنده مبادله ميشوند.
۳- آسيب پذيريهاي امنيتي
تلگرام بر خلاف واتساپ کدباز است و چشمهاي بيشتري بر آن نظارت ميکنند، در نتيجه بسياري از آسيبهاي بالقوه احتمالا قبل از عمل شناسايي خواهند شد.اما واتساپ تاريخي از اين آسيبها و ضعفها داشته است کافي است «whatsApp Security» را گوگل کنيد تا خود شاهد ماجرا باشيد. اگرچه بعد از اينکه فيسبوک واتساپ را خريد انتظار ميرود با پشتيباني يک تيم قوي به سطح بالايي از امنيت برسد و بسياري از اين آسيبپذيريهايش کاهش يابد، اما بايد به ياد داشته باشيم هميشه فکر دستهجمعي بهتر از فکر يک عده محدود نتيجه خواهد داد.در کل ميتوان گفت چت امن تلگرام قطعا نسبت به واتساپ برتري دارد و در مورد مقايسه امنيت ميان چت معمولي تلگرام و واتساپ بايد گفت که اگر امنيت زمان ارسال براي ما در اولويت باشد، به علت رمزنگاري صورتگرفته برتري با تلگرام است و اگر امنيت پس از ارسال و دسترسي به پيامهايي که قبلا ردوبدل شدهاند نيز مهم باشد، واتساپ بر چت معمولي تلگرام ميچربد.
يک نکته مهم
بسياري از مواردي که در بالا در مورد ذخيرهسازينشدن پيامها يا ذخيره بهصورت کدشده در سرور مطرح شد ميتواند صرفا يک ادعا باشد و ممکن است از سوي اين شرکتها رعايت نشود. براي نمونه، افشاگريهاي ادوارد اسنودن درباره پروژه پريزم نشان ميداد که بسياري از غولهاي فناوري اطلاعات، اطلاعات کاربران را براي جاسوسي در اختيار دولت قرار ميدادند.