کمیته رکن چهارم – پیامرسان سیگنال با افرادی که به حریم خصوصی خود اهمیت میدهند، بسیار محبوب شده و حتی اخیرا توسط مجلس سنای آمریکا برای استفادهی رسمی توسط کارکنان تایید شده است.
درحالیکه ارتباطات در برابر بهرهبرداری نفوذگران و دولت از طریق سیگنال محافظت میشوند، هنوز یک ویژگی وجود دارد که میتواند از دیدگاه حفظ حریم خصوصی، یعنی کشف تماس بهبود یابد.
در حال حاضر، هنگامیکه یک کاربر در سیگنال ثبتنام میکند، شماره تلفنهای موجود در دفترچهی تلفن دستگاه وی، بهمنظور تعیین اینکه کدامیک از مخاطبان از این برنامهی پیامرسانی استفاده میکنند، با ورودیهای پایگاه داده بر روی سامانههای Open Whisper مقایسه میشوند. درحالیکه تایید براساس درهمسازیهای کوتاه شدهی SHA۲۵۶ شمارههای تلفن همراه صورت میگیرد و دادههای متن واضح نیستند، این درهمسازیها میتوانند در بیشتر موارد مورد نفوذ قرار بگیرند.
بهصورت تئوری نباید مشکلی وجود داشته باشد، چراکه سامانههای Open Whisper کشف تماس را درخواست نکرده و برای اثبات آن، کد منبع سیگنال را بهصورت عمومی در دسترس قرار میدهد. با این حال، این امکان همواره وجود دارد که فردی، ازجمله نفوذگرها یا یک آژانس دولتی، کد را بر روی کارگزارهای سیگنال تغییر داده و شروع به ثبت درخواست کشف تماس مینماید. بهمنظور جلوگیری از این موضوع، توسعهدهندگان سیگنال در حال تلاش برای پیدا کردن راهی برای پیادهسازی کشف تماس خصوصی میباشند. بهنظر میرسد که این راهحل در انحصار فناوری برنامههای حفاظتی نرمافزار اینتل (SGX) است. SGX اینتل به توسعهدهندگان نرمافزار امکان میدهد تا بخشهای خاصی از کد و اطلاعات را در برابر افشاء شدن محافظت کرده و یا با قرار دادن در یک ناحیهی امن اجرا شده در حافظه با نام «enclave» آنها را اصلاح نمایند.
توسعهدهندگان سیگنال در حال کار کردن بر روی اجرای سرویس کشف تماس در برخی از ناحیههای تحت محاصره SGX هستند. هنگامیکه مشتری کشف تماس را انجام میدهد، شناسههای رمزنگاریشده بهطور مستقیم و از طریق یک اتصال ایمن، از دفترچهی تلفن به محدودهای که سرویس کشف را اجرا میکند، منتقل میشوند. این سرویس در اطلاعات تماس پایگاه دادهی کاربران ثبت شده جستجو کرده و نتایج بهصورت رمزنگاریشده به مشتری ارسال میشود. یکی دیگر از ویژگیهای امنیتی مهم ارائه شده توسط SGX، پشتیبانی از «تصدیق امضای از راه دور» میباشد. تصدیق امضای از راه دور به مشتری این امکان را میدهد که کد در محدودهی مورد انتظار اجرا میشود، در مورد سیگنال، تضمین میکند که کد در همان محدودهای است که کد منبع عمومی توسط سامانههای Open Whisper ایجاد شده است.
بنیانگذار سامانههای Open Whisper توضیح میدهد: «از آنجایی که enclave نرمافزارهایی که از راه دور اجرا میشوند را تایید میکند، و نیز کارگزار از راه دور و سامانهی عامل هیچ دیدی بر روی enclave ندارند، این سرویس چیزی در مورد محتوای درخواست مشتری مطلع نمیشود. درست مانند آنکه جستجوی محلی بر روی دستگاه مشتری اجرا میشود.» درحالیکه بهنظر میرسد این فرایند آسان است، چالشهای بسیاری وجود دارند که توسعهدهندگان سیگنال باید بر آن غلبه کنند. در حال حاضر سرویس کشف تماس خصوصی، پیشنمایش فناوری بتا است. در ضمن، کد منبع برای سرویس کشف تماس خصوصی میتواند توسط هرکسی تجزیه و تحلیل شود. استفاده از فناوری SGX اینتل میتواند مزایای بسیاری داشته باشد، اما اخیرا محققان نشان دادهاند که میتواند برای اهداف مخرب نیز مورد بهرهبرداری قرار بگیرد. در ماه مارس، گروهی از دانشگاه اتریش نشان دادند که بدافزار در حال اجرا بر روی SGX میتواند به میزبان حمله کرده و کلیدهای خصوصی RSA را استخراج نماید.
منبع : news.asis.io
