هل Telegram تطبيق مشفر حقًا؟

المؤلف: ماثيو جرينتم تجميعه بواسطة: Block unicorn

نبذة عن المؤلف، ماثيو جرين هو متخصص في التشفير وأستاذ في جامعة جونز هوبكنز. أقوم بتصميم وتحليل أنظمة التشفير المستخدمة في الشبكات اللاسلكية وأنظمة الدفع ومنصات حماية المحتوى الرقمي. في بحثي، قمت بدراسة الطرق المختلفة التي يمكن من خلالها استخدام تكنولوجيا التشفير لحماية خصوصية المستخدم.

استلهم هذا المقال من الأخبار المقلقة الأخيرة التي تفيد بأن السلطات الفرنسية ألقت القبض على الرئيس التنفيذي لشركة Telegram Pavel Durov لفشله في مراقبة المحتوى بشكل مناسب. على الرغم من أنني لا أعرف التفاصيل، إلا أن استخدام التهم الجنائية لإجبار شركات التواصل الاجتماعي يعد تصعيدًا مثيرًا للقلق، والأمور ليست بهذه البساطة التي تبدو عليها.

لكنني لا أريد أن أتحدث عن هذا الاعتقال اليوم.

ما أريد أن أتحدث عنه هو تفصيل محدد في التقرير، على وجه التحديد: يشير كل تقرير إخباري تقريبًا حول هذا الاعتقال إلى Telegram باسم "تطبيق التشفير"، هنا فيما يلي بعض الأمثلة:

هذا البيان يقودني إلى الجنون لأنه من منظور تقني محدود للغاية، فهو ليس خطأ. ومع ذلك، وعلى كافة المستويات المهمة، فهو يضلل الأشخاص بشكل أساسي بشأن Telegram وكيفية عمله عمليًا. مثل هذه المعلومات الخاطئة تضر بالصحفيين ومستخدمي Telegram، وخاصة أولئك الذين يمكن أن يتضرروا بشدة نتيجة لذلك.

الآن دعونا نتحدث عن التفاصيل.

هل Telegram مشفر؟

تستخدم العديد من الأنظمة التشفير بطريقة ما، ومع ذلك، عندما نتحدث عن التشفير في سياق خدمات المراسلة الخاصة الحديثة، غالبًا ما يكون المصطلح Has معنى محدد للغاية:يشير إلى استخدام التشفير الافتراضي من طرف إلى طرف لحماية محتوى رسائل المستخدم. عند استخدامها بطريقة متوافقة مع معايير الصناعة، تضمن هذه الميزة تشفير كل رسالة باستخدام مفاتيح التشفير المعروفة فقط للأطراف المتصلة وغير المتاحة لمشغل الخدمة.

من وجهة نظرك كمستخدم، يعني "تطبيق المراسلة المشفر" أنه في كل مرة تبدأ فيها محادثة، يمكن لرسائلك فقط أن يقرأها الشخص الذي تتحدث معه. إذا حاول مشغل خدمة الرسائل عرض محتويات رسائلك، فكل ما سيراه هو بيانات مشفرة عديمة الفائدة. تنطبق نفس الضمانات على أي شخص قد يخترق خوادم الموفر، بالإضافة إلى وكالات إنفاذ القانون التي تقدم مذكرات استدعاء للموفر، للأفضل أو للأسوأ.

من الواضح أن Telegram لا يلبي هذا التعريف الأكثر صرامة لسبب واحد بسيط: فهو لا يتيح التشفير الشامل بشكل افتراضي. إذا كنت تريد استخدام التشفير الشامل في Telegram، فيجب عليك تنشيط ميزة التشفير الشامل الاختيارية يدويًا والتي تسمى "المحادثات المشفرة" لكل محادثة خاصة. هذه الميزة غير ممكّنة بشكل صريح لمعظم المحادثات وتعمل فقط في المحادثات الفردية، ولا تعمل أبدًا في المحادثات الجماعية مع أكثر من شخصين.

باعتبارها "ميزة إضافية" غريبة، فإن تنشيط التشفير الشامل في Telegram يعد في الواقع أمرًا مرهقًا للغاية للمستخدمين غير الخبراء.

أولاً وقبل كل شيء، لا يظهر زر تنشيط تشفير Telegram في نافذة الحوار الرئيسية أو الشاشة الرئيسية. للعثور عليه في تطبيق iOS، كان علي النقر أربع مرات على الأقل - مرة للوصول إلى صفحة الملف الشخصي للمستخدم، ومرة ​​للحصول على قائمة مخفية لتظهر خيارات العرض، وأخيرًا لتأكيد رغبتي في استخدام التشفير. وحتى ذلك الحين، لم أتمكن فعليًا من بدء محادثة مشفرة لأن ميزة "الدردشة المشفرة" تعمل فقط إذا كان الشخص الذي تتحدث معه متصلاً بالإنترنت.

ابدأ "محادثة مشفرة" مع صديقي مايكل في أحدث تطبيق Telegram iOS. هذا الخيار غير مرئي مباشرة من واجهة الدردشة العادية. ويتطلب تنشيطه أربع نقرات:

(1) أدخل صفحة الملف الشخصي لمايكل (في الصورة على اليسار)،

(2) انقر فوق الزر "..." لعرض مجموعة الخيارات المخفية (الصورة الوسطى)،

(3) حدد "بدء الدردشة السرية" ,

(4) انقر فوق تأكيد في مربع حوار التأكيد "هل أنت متأكد من رغبتك في المتابعة". بعد ذلك، ما زلت لا أستطيع إرسال أي رسائل إلى مايكللأن ميزة الدردشة السرية في Telegram لا تعمل إلا إذا كان الشخص الآخر متصلاً بالإنترنت أيضًا.

بشكل عام، هذه تجربة مختلفة تمامًا عن إطلاق دردشة مشفرة جديدة في تطبيق مراسلة مشفر حديث متوافق مع معايير الصناعة، حيث يمكنك ببساطة فتح A نافذة الدردشة الجديدة ستفي بالغرض.

على الرغم من أن هذا قد يبدو وكأنه تصيد الأخطاء، إلا أن الفرق بين التشفير الافتراضي الشامل وهذه التجربة يمكن أن يكون كبيرًا. من الناحية العملية، هذا يعني أن الغالبية العظمى من محادثات Telegram الفردية - بالإضافة إلى كل دردشة جماعية - يمكن رؤيتها وتسجيلها بواسطة خوادم Telegram، والتي يمكنها عرض وتسجيل جميع الرسائل المرسلة بين محتوى المستخدمين. قد يمثل هذا أو لا يمثل مشكلة لكل مستخدمي Telegram، ولكن من الواضح أنه لا ينبغي الترويج لذلك على أنه مشفر بشكل آمن.

(إذا كنت مهتمًا بالتفاصيل وبعض الانتقادات الإضافية لبروتوكول التشفير الفعلي لـ Telegram، فسوف أشرح ذلك بمزيد من التفصيل أدناه.)

< p style="text-align: left;">هل التشفير الافتراضي مهم حقًا؟

ربما يكون الأمر مهمًا، وربما لا يكون كذلك! ويمكن النظر إلى هذه القضية من زاويتين مختلفتين.

إحدى الزوايا هي أن افتقار Telegram إلى التشفير الافتراضي أمر جيد تمامًا للعديد من الأشخاص. الحقيقة هي أن العديد من المستخدمين ببساطة لا يستخدمون Telegram كأداة مراسلة خاصة مشفرة. بالنسبة للعديد من الأشخاص، يعتبر Telegram بمثابة شبكة تواصل اجتماعي أكثر من كونه تطبيق مراسلة خاصة.

على وجه التحديد، يحتوي Telegram على ميزتين شائعتين تجعلانه مثاليًا لحالة الاستخدام هذه. إحداها هي القدرة على إنشاء "قنوات" والاشتراك فيها، والتي تعمل كل منها كشبكة بث حيث يستطيع شخص واحد (أو مجموعة من الأشخاص) دفع المحتوى إلى ملايين القراء. عندما تقوم ببث رسالة إلى آلاف الغرباء، ليس من المهم الحفاظ على خصوصية محتوى الدردشة.

يدعم Telegram أيضًا الدردشات الجماعية العامة الكبيرة مع آلاف المستخدمين. يمكن أن تكون هذه المجموعات مفتوحة للعامة أو يمكن إعدادها لتكون مخصصة للمدعوين فقط. على الرغم من أنني شخصيًا لا أفكر مطلقًا في مشاركة دردشة جماعية مع آلاف الأشخاص، إلا أنني سمعت أن العديد من الأشخاص يحبون هذه الميزة. في مجموعة عامة كبيرة مثل هذه، لا تهم الطبيعة غير المشفرة للدردشة الجماعية على Telegram كثيرًا - ففي النهاية، من يهتم بالتشفير عندما تتحدث في ساحة عامة؟

لكن Telegram لا يقتصر على هذه الميزات، والعديد من المستخدمين الذين ينضمون إلى هذه الميزات سيفعلون أيضًا أشياء أخرى.

تخيل أنك تجري محادثة جماعية كبيرة في "ساحة عامة". في هذه البيئة، قد لا يكون هناك توقع بخصوصية قوية، لذا فإن التشفير الشامل ليس مهمًا بالنسبة لك. لكن لنفترض أنك وخمسة من أصدقائك غادرت الساحة لإجراء محادثة خاصة. هل تستحق هذه المحادثة حماية خصوصية قوية؟ لا يهم لأن Telegram لا يقدم هذا النوع من الحماية، على الأقل ليس في التشفير الافتراضي، والذي لا يحميك من مشاركة المحتوى من خوادم Telegram.

وبالمثل، لنفترض أنك تستخدم ميزات الوسائط الاجتماعية في Telegram بشكل أساسي لاستهلاك المحتوى بدلاً من إنشائه. ولكن في أحد الأيام، لاحظ صديقك، الذي يستخدم Telegram أيضًا لأسباب مماثلة، وجودك على المنصة وقرر إرسال رسالة خاصة إليك. هل أنت قلق بشأن الخصوصية الآن؟ هل ستقومون بتشغيل ميزة "الدردشة المشفرة" يدويًا - على الرغم من أن ذلك يتطلب أربع نقرات صريحة عبر قائمة مخفية وسيمنعكم من التواصل فورًا إذا انقطع اتصال أحدكم؟

أظن بشدة أن العديد من الأشخاص ربما انضموا إلى Telegram بسبب ميزات الوسائط الاجتماعية الخاصة به ولكن سينتهي بهم الأمر أيضًا باستخدامه في المحادثات الخاصة. أعتقد أن Telegram يعرف ذلك ويميل إلى الترويج لنفسه على أنه "تطبيق مراسلة آمن" ويتحدث عن ميزات تشفير النظام الأساسي على وجه التحديد لأنهم يعلمون أنها ستجعل الناس يشعرون بمزيد من الراحة. لكن في الواقع، أظن أيضًا أن عددًا قليلًا من هؤلاء المستخدمين يستخدمون بالفعل ميزات التشفير في Telegram. قد لا يعرف العديد من المستخدمين أنهم بحاجة إلى تشغيل التشفير يدويًا وقد يعتقدون أنهم يستخدمون التشفير بالفعل.

هذا يقودني إلى نقطتي التالية.

يعلم Telegram أنه من الصعب تشغيل تشفيره، لكنه يواصل الترويج لمنتجه كتطبيق مراسلة آمن

< p style="text-align: left;">منذ عام 2016 (وربما قبل ذلك)، تعرضت ميزات تشفير Telegram لانتقادات شديدة للعديد من الأسباب التي ذكرتها في هذه المقالة. في الواقع، تم تقديم العديد من هذه الانتقادات من قبل الخبراء، بما فيهم أنا، في محادثات مع بافيل دوروف على تويتر منذ سنوات عديدة.

على الرغم من التفاعلات اللاذعة أحيانًا مع دوروف، في ذلك الوقت كنت لا أزال أعتقد في الغالب أن Telegram لديه نوايا حسنة. أعتقد أن Telegram مشغولة بتوسيع شبكتها، وبمرور الوقت سوف تعمل على تحسين جودة وسهولة استخدام التشفير الشامل للمنصة: على سبيل المثال، من خلال جعلها افتراضية، ودعم الدردشات الجماعية، وإتاحة بدء المحادثات المشفرة مع أصبح من الممكن استخدام المستخدمين دون اتصال بالإنترنت. أفترض أنه على الرغم من أن Telegram قد يكون تابعًا وليس قائدًا، فإنه سيصل في النهاية إلى مستوى من الوظائف يمكن مقارنته بـ Signal وWhatsApp على بروتوكولات التشفير. بالطبع، هناك احتمال آخر وهو أن تتخلى Telegram عن التشفير تمامًا وتركز على أن تصبح منصة لوسائل التواصل الاجتماعي.

ما حدث بالفعل جعلني في حيرة أكبر.

لم يقم مالك Telegram بتحسين قابلية استخدام التشفير الشامل، ولم تتغير تجربة المستخدم المشفرة إلا بالكاد منذ عام 2016. وعلى الرغم من بعض الترقيات لخوارزميات التشفير الأساسية التي تستخدمها المنصة، فإن تجربة مستخدم الدردشة السرية في عام 2024 ستكون تقريبًا هي نفسها التي كانت عليها قبل ثماني سنوات. وعلى الرغم من ذلك، نمت قاعدة مستخدمي تيليجرام ما بين 7 إلى 9 مرات خلال نفس الفترة.

في هذه الأثناء، يواصل الرئيس التنفيذي لشركة Telegram Pavel Durov الترويج بقوة لـ Telegram باعتباره "تطبيق مراسلة آمن". في الآونة الأخيرة، كان ينتقد بشدة Signal وWhatsApp على قناته الشخصية على Telegram، مما يشير إلى أن هذه الأنظمة مخفية من قبل حكومة الولايات المتحدة وأن بروتوكول التشفير المستقل لـ Telegram فقط هو الجدير بالثقة حقًا.

قد يكون هذا مفهومًا إذا كانت هذه حجة فنية مشروعة بين نظامين أساسيين يدعمان التشفير الشامل بشكل افتراضي. ومع ذلك، فإن Telegram ليس له مكان في هذه المناقشة. لم يعد من الممتع رؤية منظمة Telegram تشجع المستخدمين على الابتعاد عن تطبيقات المراسلة التي تقوم بالتشفير افتراضيًا، بينما ترفض هي نفسها تنفيذ الميزات الأساسية التي من شأنها تشفير رسائل المستخدم على نطاق واسع. في الواقع، بدأ يبدو ضارًا بعض الشيء.

ما هي تفاصيل التشفير الأخرى الموجودة؟

هذه مدونة تشفير، لذا سأكون مقصرا إذا لم أقضي بعض الوقت في شرح بروتوكولات التشفير المملة. سأفوت أيضًا فرصة رائعة للتأمل في التفاصيل الداخلية لتشفير Telegram، والتي دائمًا ما تجعلني أشعر بالذهول في كل مرة أنظر إليها.

ولجعل الأمر أقل إيلامًا، سأشرح هذه التفاصيل في فقرة واحدة. إذا لم تكن مهتمًا، فلا تتردد في تخطيها.

تعتمد ميزة الدردشة السرية في Telegram على بروتوكول مخصص يسمى MTProto 2.0، وفقًا لما أعتقد أنه أحدث مواصفات التشفير. يستخدم هذا النظام تبادل مفاتيح Diffie-Hellman ذو المجال المحدود 2048 بت، مع معلمة المجموعة (على ما أعتقد) التي يختارها الخادم. (نظرًا لأن تبادل مفاتيح Diffie-Hellman يتطلب تفاعل كلا المستخدمين عبر الإنترنت، فلا يمكن إعداد الدردشة المشفرة إذا كان أحد المستخدمين غير متصل بالإنترنت.) يتم التعامل مع حماية MITM من قبل المستخدم النهائي، الذي يجب عليه مقارنة بصمات الأصابع الرئيسية. يوفر الخادم بعض القيم العشوائية الغريبة (القيم العشوائية) التي لا أفهم غرضها تمامًا* - تُستخدم هذه لجعل تبادل المفاتيح غير آمن تمامًا ضد الخوادم الضارة (ولكن تم إصلاح هذه المشكلة منذ فترة طويلة*). يتم بعد ذلك استخدام المفاتيح التي تم إنشاؤها في وضع التشفير الموثق الأكثر روعة وغير القياسي - وهو وضع يسمى Infinitely Obfuscated Extensions (IGE)، والذي يعتمد على AES ويستخدم SHA2 للتعامل مع المصادقة. **

ملاحظة: في الفقرة أعلاه، كل ما قمت بوضع علامة "*" عليه هو خبير تشفير يتمتع بخلفية مشابهة للتدقيق الأمني ​​الاحترافي في المرة القادمة سأرفع يدي لطرح الأسئلة. لن أخوض في هذا الأمر، لكن يكفي أن أقول إن تشفير Telegram غير عادي للغاية.

إذا طلبت مني تخمين ما إذا كان البروتوكول وتنفيذ محادثات Telegram السرية آمنين، فسأقول على الأرجح أنه كذلك. بصراحة، لا يهم لأنه لا يهم مدى أمانه إذا لم يستخدمه الأشخاص فعليًا.

حظر تعليق يونيكورن: ببساطة، يستخدم نظام التشفير في Telegram بعض التقنيات المعقدة لحماية المعلومات، ولكن من حيث تجربة المستخدم وإعداداته واستخدامه، كلها نسبيًا معقد. قد تبدو بعض التفاصيل الفنية مبهمة، خاصة استخدام الأرقام العشوائية وكيفية حماية المفاتيح.

أخيرًا

على الرغم من أن التشفير الشامل ما نحن عليه هي واحدة من أفضل الأدوات التي تم تطويرها على الإطلاق لمنع خروقات البيانات، ولكن هذه ليست القصة بأكملها. واحدة من أكبر مشكلات الخصوصية في المراسلة هي الكم الهائل من البيانات الوصفية - وهي في الأساس بيانات حول من يستخدم الخدمة، ومع من يتحدثون، ومتى يتحدثون.

عادةً لا تكون هذه البيانات محمية عن طريق التشفير الشامل. حتى في تطبيقات البث فقط، مثل قنوات Telegram، هناك الكثير من البيانات الوصفية المفيدة حول من يستمع إلى البث. تعتبر المعلومات في حد ذاتها ذات قيمة بالنسبة للناس، كما يتضح من المبالغ الضخمة من الأموال التي تنفقها هيئات البث التقليدية على جمع هذه البيانات. حاليًا، قد تكون كل هذه المعلومات موجودة على خوادم Telegram، وهي متاحة لأي شخص يريد جمعها.

أنا لا أنتقد Telegram على وجه التحديد، حيث أن كل شبكات التواصل الاجتماعي وتطبيقات المراسلة الخاصة الأخرى تقريبًا تعاني من نفس المشكلة. ولكن تجدر الإشارة إلى ذلك، لكنني أذكر هذه المشكلات لتجنب جعلك تعتقد أن مجرد التشفير يكفي.