تحلیلی بر پروتکل Signal؛ نرم‌افزار گفت‌گوی برخطِ ایمن!

۱اخیراً پژوهش‌گران دانشگاهی سه قاره‌ی مختلف برنامه‌ی محبوب رمزگذاری پایان به پایانِ Signal را مورد بررسی قرار داده‌اند، یافته‌های آن‌ها در بیشتر قسمت‌ها درخور ستایش است. این پروتکل، که دارای بیش از یک میلیارد کاربر است، و در برنامه‌هایی مانند فیس‌بوک، واتس‌اپ و سرویس‌های Allo گوگل استفاده می‌شود، هیچ شکاف مهمی ندارد.
این کارشناسان، که در دانشگاه‌ آکسفورد انگلستان، دانشگاه فن‌آوری کوئینزلند در استرالیا، و دانشگاه مک مستر کانادا تحصیل می‌کنند، مدعی شده‌اند که مقاله‌ای که آن‌ها طی هم‌کاری با یک‌دیگر ارائه نموده‌اند نخستین تحلیل عمقی است که روی هسته‌ی رمزگذاری این بستر انجام شده است.
محققان همچنین به این نتیجه رسیده‌اند که Signal پروتکل‌های امنیتی استاندارد را راضی کرده و می‌تواند مقابل نفوذهای احتمالی ایستادگی نماید.
کلیدهای جلسات کاری۱ بایست در مواجهه با سناریوهای مختلف حمله مخفی باقی بمانند، مثلاً اگر یک رمز طولانی‌مدت مورد نفوذ واقع شود اما یک رمز متوسط یا موقت دچار چنین رخدادی نشود (پنهان‌کاری رو به جلو۲)، و یا اگر وضعیت۳ فاش شود و سپس یک مرحله‌ی نامتقارن غیرقابل انتظار به وقوع بپیوندد.
به زبان رمزنگاری، پنهان‌کاری رو به جلو یک ویژگی است که از جلسات کاری گذشته مقابل نفوذهای آتی به کلیدهای رمز یا گذرواژه‌ها محافظت به عمل می‌آورد.
Signal از زمان آغاز فعالیت، خود را به عنوان «پروتکل تشدید پنهان‌کاری رو به جلو۴» معرفی نموده است که در محیط‌های پیام‌رسانی هم‌گام و ناهم‌گام عمل می‌کند. مفهوم «پروتکل تشدید پنهان‌کاری رو به جلو» که منجر به ایجاد چنین کلیدهایی برای جلسات کاری می‌شود به وسیله‌ی هر پیام ارسالی به‌روز می‌شود، و قدمت آن به پیام‌رسانی OTR بازمی‌گردد که Signal بر مبنای آن شکل گرفته است. این فن‌آوری که توسط Open Whisper Systems توسعه پیدا کرده، به‌طور پیوسته در طول یک جلسه‌ی کاری کلید را تقویت می‌کند. محققان Signal با مدل امنیتی تبادل کلید چند مرحله‌ای خود مورد ارزیابی قرار داده‌اند. با توجه به تحلیل‌های آن‌ها روی قابلیت‌های رمزنگاری این پروتکل می‌توان گفت که Signal امن است. محققان مدل خود را با این ایده که Signal مجموعه‌ای از الگوریتم‌ها است ویرایش کرده‌اند، سپس مشاهده کرده‌اند که چگونه ممکن است نفوذگری با این سناریو دست به کار شود. در این محیط مدل، شبکه به‌طور کامل تحت کنترل نفوذ‌گر قرار می‌گیرد، اما محققان به این نتیجه رسیده‌اند که کماکان می‌توانند محرمانگی و احراز هویت کلیدهای پیام را تأیید نمایند.
پژوهش‌گران می‌توانند در صورتی که تمایل داشته باشند در آینده امنیت این پروتکل را تقویت کنند؛ شاید این کار با قرض گرفتن عناصری از پروتکل NAXOS میسر باشد. توسعه‌دهندگان همچنین از یک رمز مشترک استاتیک-استاتیک DH در این کلید صحبت به میان آورده‌اند که می‌تواند از حدس خروجی مولد عدد تصادفی Signal جلوگیری کند.
این پژوهش‌گران می‌گویند که به‌کارگیری طرح NAXOS می‌تواند از قابل پیش‌بینی بودن مولد عدد تصادفی Signal جلوگیری به عمل بیاورد؛ NAXOS یک پروتکل تبادل کلید است نخستین بار در سال ۲۰۰۷ توسط مایکروسافت معرفی شد.
برنامه‌ی محبوب واتس‌اپ هم در ابتدای ۲۰۱۶ شروع به پشتیبانی از پروتکل Signal نمود. به گفته‌ی بنیان‌گذار Open Whisper Systems، استرنج پازو، این نسخه بسیار شبیه به چیزی است که توسط برنامه‌ی Signal استفاده شده است، به این معنا که واتس‌اپ نمی‌تواند مکالمات کاربران خود را رمزگشایی کند.
گوگل هم در ماه می پروتکل Signal را در برنامه‌ی پیام‌رسان Allo تعبیه کرده است، اما با درز این خبر که قابلیت مورد بحث به‌طور پیش‌فرض فعال نمی‌باشد و فقط در حالت incognito یا ناشناس مورد استفاده قرار می‌گیرد، مورد بمباران انتقادات قرار گرفت.

۱. Session
۲. forward secrecy
۳. state
۴. ratcheting forward secrecy protocol

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter