در مورد حفظ حریم خصوصی چت های مخفی، وان اشاره می کند که Cathcart در مورد تایید نشدن مستقل پروتکل رمزگذاری End To End تلگرام (E2EE) اشتباه می کند. تیمی از دانشگاه اودینه ایتالیا پروتکل MTProto 2.0 را که تلگرام برای ایمن سازی چت هایش استفاده می کند تأیید کرده است – می توانید مقاله آنها را پیدا کنید. اینجا (PDF).
تلگرام می نویسد: این پست به ادعاهای مختلف در مقاله Wired، از جمله ادعای مربوط به ردیابی موقعیت مکانی می پردازد – این تنها در صورتی امکان پذیر است که کاربر به صراحت موقعیت مکانی خود را برای عموم قابل مشاهده کند، که تنها 0.01 درصد از کاربران انجام داده اند.
بنابراین، اگر از هر یک از برنامهها استفاده میکنید، مطمئن شوید که اثر انگشت را به درستی بررسی کردهاید – یک چت مخفی تا زمانی که این کار را انجام ندهید واقعاً مخفی نیست و نمیتوانید از همان چت یا سایر چتهای ناامن برای بررسی مطابقت اثر انگشت استفاده کنید.
منبع: https://www.gsmarena.com/telegram_responds_to_whatsapp_allegations-news-57554.php
آنها به مشکلی اشاره میکنند که میتواند امنیت چتهای مخفی را از بین ببرد – هنگام شروع یک چت مخفی، برای کاربر حیاتی است که اثر انگشت کلیدهای احراز هویت را از طریق یک کانال خارجی امن بررسی کند. در غیر این صورت، حملات مرد میانی امکان پذیر است (یعنی شخص ثالثی پیام ها را شنود می کند و احتمالاً حتی آن را تغییر می دهد). محققان خاطرنشان می کنند که چنین خطای کاربر هنگام استفاده از برنامه سیگنال نیز امکان پذیر است.
تلگرام لیستی از 9 خطا را در مقاله Wired جمع آوری کرده است که می توانید در ادامه آن را پیدا کنید telegram.ph (ابزار انتشار حداقلی توسط تلگرام). پست با “این لیست در حال گسترش است” به پایان می رسد.
ایجاد یک چت مخفی و تأیید کلید رمزگذاری
تجسم پروتکل MTProto 2.0
سخنگوی تلگرام، رمی وان، با ما تماس گرفت تا ادعاهای ویل کاتکارت، رئیس وایرد و واتساپ درباره امنیت اپلیکیشن چت محبوب را رد کند. به گفته وان، مقاله Wired حاوی خطاهای زیادی است و تیم تحریریه نظرات و پاسخهای تلگرام را نادیده گرفته است که به نوبه خود Cathcart را گمراه میکند.
توجه داشته باشید که این یک تأیید پروتکل است تا یک پیاده سازی خاص. اما برنامه تلگرام متن باز است و از نسخه 5.13 از بیلدهای قابل تکرار استفاده می کند. «ساختهای قابل تکرار» به این معنی است که میتوانید کد منبع در دسترس عموم را کامپایل کنید و تأیید کنید که کد دستگاه بهدستآمده با کد میزبانی شده در فروشگاه App Apple، فروشگاه Google Play و وبسایت خود تلگرام یکسان است. سرورهای تلگرام منبع باز نیستند، اگرچه تیم Udine نیز پروتکل MTProto 2.0 را در حضور سرورهای مخرب تأیید کرد.