ظاهرا تنها چیزی که
در دنیا عادلانه تقسیم شده عقله!
چون کسی اعتراض نمی کنه مال من کمه!
👤 دكارت
@roozbeh_learning 👈🏼
در دنیا عادلانه تقسیم شده عقله!
چون کسی اعتراض نمی کنه مال من کمه!
👤 دكارت
@roozbeh_learning 👈🏼
چطور از هر انچه گوگل در باره ما میداند یک کپی داشته باشیم ؟😐
@roozbeh_learning 👈🏼
https://www.cnbc.com/2018/03/29/how-to-download-a-copy-of-everything-google-knows-about-you.html
@roozbeh_learning 👈🏼
https://www.cnbc.com/2018/03/29/how-to-download-a-copy-of-everything-google-knows-about-you.html
CNBC
How to download a copy of everything Google knows about you
Here's how to download a copy of of everything Google knows about you.
🔴 خطر طعمه شدن در حمله فیشینگ برای دارندگان اکانت PMI ازموسسه بین المللی مدیریت پروژه امریکا
اگر ایمیلی از ادرس فوق دریافت کردید بهیچ عنوان روی دکمه یا کلیدی در آن کلیک نکنید
@roozbeh_learning 👈🏼
اگر ایمیلی از ادرس فوق دریافت کردید بهیچ عنوان روی دکمه یا کلیدی در آن کلیک نکنید
@roozbeh_learning 👈🏼
در این ایمیل خبری از راه افتادن یک سایت جدید کاریابی اعلام شده است . واز شما میخواهد که ابتدا پسورد خود را عوض کنید
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
بهیچ عنوان روی هیچ لینک و دکمه ای در آن ایمیل کلیک نکنید چون PMI از این آدرس اون هم با این محتوا ایمیلی نمیفرستد .
@roozbeh_learning 👈🏼
@roozbeh_learning 👈🏼
https://instagram.com/p/BhKNAdpnMQX/
پروژه سر پل ذهاب :
دغدغم اين بود كه نشون بدم شرافت و اميد مردم رو كه در اين شرايط سخت سفره هاي هفت سين رو برپا كردن و تلاش ميكنن براي اميد داشتن
@negartari
@roozbeh_learning 👈🏼
پروژه سر پل ذهاب :
دغدغم اين بود كه نشون بدم شرافت و اميد مردم رو كه در اين شرايط سخت سفره هاي هفت سين رو برپا كردن و تلاش ميكنن براي اميد داشتن
@negartari
@roozbeh_learning 👈🏼
Instagram
Everyday Iran
People in the city of Sar Pol-e Zahab celebrate Norouz despite the fact that they still live in ill-conditioned temporary shelters since an earthquake of 7.3 M shook the city more than five months ago. Five months ago a powerful magnitude-7.3 #earthquake…
4_5922390211873997653.pdf
806.6 KB
توضیحات دوره فوق
🥗پیش نیاز :
SSCP or Security+
🥗پیش نیاز :
SSCP or Security+
NIST Releases Draft NISTIR 8011 Volume 3
درفت جلد سوم از استاندارد فوق مرتبط با مدیریت دارایی های نرم افزاری از سوی NIST ارایه شد
Automation Support for Security Control Assessments: Software Asset Management
NISTIR 8011 will ultimately consist of 13 volumes. Volumes 1 and 2 were published in 2017. Volume 3 provides details specific to the software asset management security capability. The remaining 10 ISCM security capability volumes will provide details specific to each capability but will be organized in a very similar way to Volumes 2 and 3.
فرصت اظهار نظر شما در مورد این درفت :
The public comment period is open through May 4th 2018.
اعلام نظر به ادرس :
sec-cert@nist.gov
@roozbeh_learning 👈🏼
اکادمی آموزش روزبه
درفت جلد سوم از استاندارد فوق مرتبط با مدیریت دارایی های نرم افزاری از سوی NIST ارایه شد
Automation Support for Security Control Assessments: Software Asset Management
NISTIR 8011 will ultimately consist of 13 volumes. Volumes 1 and 2 were published in 2017. Volume 3 provides details specific to the software asset management security capability. The remaining 10 ISCM security capability volumes will provide details specific to each capability but will be organized in a very similar way to Volumes 2 and 3.
فرصت اظهار نظر شما در مورد این درفت :
The public comment period is open through May 4th 2018.
اعلام نظر به ادرس :
sec-cert@nist.gov
@roozbeh_learning 👈🏼
اکادمی آموزش روزبه
امشب یک کپی از گفتمان بین کاربران متخصص امنیت در خصوص امنیت پیام رسانهای داخلی را درج میکنیم :
👇👇👇
👇👇👇
Sajjad Naficy:
✅دروغ و راست آنچه در مورد #پیامرسانهای_ایرانی شنیدهاید
◀️به قلم سجاد نفیسی، فوق لیسانس امنیت IT دانشگاه صنعتی شریف
این روزها درباره امنیت پیامرسانهای ایرانی مطالب ضد و نقیضی منتشر میشود که متاسفانه فاقد بار کارشناسی و تخصصی لازم و آمیخته به اشتباهات فاحش فنی است. بعد از پرسش چندی از نزدیکان، بر این شدم که به زبان علمی ولی حتیالامکان ساده مسائل مطرح شده را برای عموم توضیح دهم.
حقیر اطلاعرسانی صحیح و بیان حقایق را - فارغ از جهتگیری سیاسی و غیرسیاسی - یک وظیفه همگانی میدانم و معتقدم ایران جز به تلاش ما نه از شایعات پاک شده و نه کسی غیر از ما آنرا خواهد ساخت. لذا خواهش من این است که با توجه به حجم بالای مطالب غلط در این زمینه و لزوم روشنگری، عزیزان در انتشار این مطالب تا حد امکان کمک نمایند.
1️⃣سوال: آیا پیامرسانهای ایرانی امن هستند؟
به غیر از یک مورد به اصطلاح لو دادن شماره موبایل اکانتهای خاص، تا کنون نقص امنیتی جدی در پیامرسانهای ایرانی گزارش نشده است.
2️⃣سوال: آیا پیغامهای من در پیامرسان سروش/ایتا/... قابل شنود است؟
خیر؛ این دو پیامرسان از امنترین پروتکل جهانی جهت ارتباط بهره میبرند که به طور کامل غیرقابل شنود است. این پروتکل در تمامی تراکنشهای مالی و بانکی، تبادلات ایمیل، ارتباطات متنی و صوتی و ... توسط تمام سازمانهای و شرکتهای جهانی از گوگل، میکروسافت، اپل و ... استفاده شده و به امنیت آن اعتماد میشود.
به واسطه این گستردگی و اتفاق نظر، حتی میتوان ادعا نمود امنیت این پروتکل از امنیت پروتکلی که تلگرام جهت انتقال مطالب استفاده میکند (که پروتکل امنی است) به مراتب بالاتر است.
3️⃣سوال: پس ماجرا تصاویر و فیلمهای منتشر شده در این زمینه شنود پیامهای این پیامرسانها چیست؟
متاسفانه نگاه سطحی و غیرتخصصی باعث انتشار مطالب غلط بسیاری - حتی از سمت افرادی که تخصص IT در زمینههای غیر رمزنگاری دارند - شده است.
پروتکل SSL که در این پیامرسانها (و همه دنیا) جهت امنیت ارتباطات استفاده میشود در بستر شبکه غیرقابل شنود است.
نکتهای که باعث تولید این فیلمها و اشتباه نویسندگان و مخاطبین شده است، عدم توجه به یک نکته ریز در تامین امنیت این پروتکل است: این پروتکل تا زمانی امن است که دستگاه شما بتواند سروری که با آن ارتباط دارد را احراز هویت کند.
اگر هر موضوعی (مانند نصب یک نرمافزار با دسترسی روت) باعث اختلال در این احراز هویت شود، طبعا این پروتکل دیگر امن نخواهد بود. دوستانی که این فیلمها را تهیه کردهاند، با نصب نرمافزار روی گوشی و آلوده کردن آن توانستهاند ترافیک ارتباطی را شنود کنند.
هیچ کس بدون دسترسی به گوشی شما و نصب نرمافزار روی آن، قادر به دیدن محتوای پیامها نیست. طبعا کسی که به گوشی شما دسترسی داشته باشد، خیلی کارهای بهتری میتواند بکند: میتواند نرمافزار پیامرسان را با نرمافزار دیگری جایگزین کند تا همه پیامها را برای وی ارسال کند. میتواند نرمافزار جاسوسی و شنود روی گوشی شما نصب کند. و ...
من یک چالش ساده و قابل آزمون برای عموم مطرح میکنم:
مدعیان، کافیست امنیت نرمافزار دیگری مثل ایمیل گوگل (جیمیل) را به همین شیوه تست کنند. خواهید دید که گوگل هم، برای ارسال و دریافت ایمیلهای شما از همین پروتکل SSL استفاده میکند و با نصب نرمافزار شنود روی گوشی، میتوانید متن ایمیلها را به راحتی بخوانید. میدانیم که جیمیل طوری طراحی شده که به ادعای سازندگان آن امکان شنود ایمیلها حتی توسط دولتها و هکرها وجود نداشته باشد. سوال این است که آیا جیمیل ناامن است؟!
جواب این است که خیر. و همین جواب در مورد پیامرسانهای داخلی هم صدق میکند.
توضیح فنی این موضوع و نحوه تهیه فیلم ها را میتوانید در این لینک بخوانید: http://telegra.ph/%D8%A7%D9%86%D8%AA%D9%82%D8%A7%D8%AF-%D8%A7%D8%B2-%D9%BE%DB%8C%D8%A7%D9%85%E2%80%8C%D8%B1%D8%B3%D8%A7%D9%86-%D8%A8%D9%88%D9%85%DB%8C-%DB%8C%D8%A7-%D9%BE%D8%B1%D9%88%D8%AA%DA%A9%D9%84-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-SSL-04-05
4️⃣سوال: پس آیا کل هیاهو سر هیچ بوده و هیچ مشکلی در پیامرسانهای داخلی وجود نداشته است؟
چرا، در مورد پیامرسان سروش، یک ضعف امنیتی وجود داشته که برطرف شده است. این ضعف امنیتی به هر کاربری اجازه میداد که بتواند شماره موبایل واقعی ادمین یک کانال را به دست بیاورد.
مشابه همین ضعف امنیتی، چند سال پیش در یکی از نسخههای نرمافزار تلگرام هم وجود داشته و برطرف شده است.
باید دانست که ضعف امنیتی در هر نرمافزاری ممکن است وجود داشته باشد و وجود داشته است، اما در حال حاضر ضعف امنیتی دیگری برای پیامرسانهای داخلی منتشر نشده است.
👉@yek_mohandes
✅دروغ و راست آنچه در مورد #پیامرسانهای_ایرانی شنیدهاید
◀️به قلم سجاد نفیسی، فوق لیسانس امنیت IT دانشگاه صنعتی شریف
این روزها درباره امنیت پیامرسانهای ایرانی مطالب ضد و نقیضی منتشر میشود که متاسفانه فاقد بار کارشناسی و تخصصی لازم و آمیخته به اشتباهات فاحش فنی است. بعد از پرسش چندی از نزدیکان، بر این شدم که به زبان علمی ولی حتیالامکان ساده مسائل مطرح شده را برای عموم توضیح دهم.
حقیر اطلاعرسانی صحیح و بیان حقایق را - فارغ از جهتگیری سیاسی و غیرسیاسی - یک وظیفه همگانی میدانم و معتقدم ایران جز به تلاش ما نه از شایعات پاک شده و نه کسی غیر از ما آنرا خواهد ساخت. لذا خواهش من این است که با توجه به حجم بالای مطالب غلط در این زمینه و لزوم روشنگری، عزیزان در انتشار این مطالب تا حد امکان کمک نمایند.
1️⃣سوال: آیا پیامرسانهای ایرانی امن هستند؟
به غیر از یک مورد به اصطلاح لو دادن شماره موبایل اکانتهای خاص، تا کنون نقص امنیتی جدی در پیامرسانهای ایرانی گزارش نشده است.
2️⃣سوال: آیا پیغامهای من در پیامرسان سروش/ایتا/... قابل شنود است؟
خیر؛ این دو پیامرسان از امنترین پروتکل جهانی جهت ارتباط بهره میبرند که به طور کامل غیرقابل شنود است. این پروتکل در تمامی تراکنشهای مالی و بانکی، تبادلات ایمیل، ارتباطات متنی و صوتی و ... توسط تمام سازمانهای و شرکتهای جهانی از گوگل، میکروسافت، اپل و ... استفاده شده و به امنیت آن اعتماد میشود.
به واسطه این گستردگی و اتفاق نظر، حتی میتوان ادعا نمود امنیت این پروتکل از امنیت پروتکلی که تلگرام جهت انتقال مطالب استفاده میکند (که پروتکل امنی است) به مراتب بالاتر است.
3️⃣سوال: پس ماجرا تصاویر و فیلمهای منتشر شده در این زمینه شنود پیامهای این پیامرسانها چیست؟
متاسفانه نگاه سطحی و غیرتخصصی باعث انتشار مطالب غلط بسیاری - حتی از سمت افرادی که تخصص IT در زمینههای غیر رمزنگاری دارند - شده است.
پروتکل SSL که در این پیامرسانها (و همه دنیا) جهت امنیت ارتباطات استفاده میشود در بستر شبکه غیرقابل شنود است.
نکتهای که باعث تولید این فیلمها و اشتباه نویسندگان و مخاطبین شده است، عدم توجه به یک نکته ریز در تامین امنیت این پروتکل است: این پروتکل تا زمانی امن است که دستگاه شما بتواند سروری که با آن ارتباط دارد را احراز هویت کند.
اگر هر موضوعی (مانند نصب یک نرمافزار با دسترسی روت) باعث اختلال در این احراز هویت شود، طبعا این پروتکل دیگر امن نخواهد بود. دوستانی که این فیلمها را تهیه کردهاند، با نصب نرمافزار روی گوشی و آلوده کردن آن توانستهاند ترافیک ارتباطی را شنود کنند.
هیچ کس بدون دسترسی به گوشی شما و نصب نرمافزار روی آن، قادر به دیدن محتوای پیامها نیست. طبعا کسی که به گوشی شما دسترسی داشته باشد، خیلی کارهای بهتری میتواند بکند: میتواند نرمافزار پیامرسان را با نرمافزار دیگری جایگزین کند تا همه پیامها را برای وی ارسال کند. میتواند نرمافزار جاسوسی و شنود روی گوشی شما نصب کند. و ...
من یک چالش ساده و قابل آزمون برای عموم مطرح میکنم:
مدعیان، کافیست امنیت نرمافزار دیگری مثل ایمیل گوگل (جیمیل) را به همین شیوه تست کنند. خواهید دید که گوگل هم، برای ارسال و دریافت ایمیلهای شما از همین پروتکل SSL استفاده میکند و با نصب نرمافزار شنود روی گوشی، میتوانید متن ایمیلها را به راحتی بخوانید. میدانیم که جیمیل طوری طراحی شده که به ادعای سازندگان آن امکان شنود ایمیلها حتی توسط دولتها و هکرها وجود نداشته باشد. سوال این است که آیا جیمیل ناامن است؟!
جواب این است که خیر. و همین جواب در مورد پیامرسانهای داخلی هم صدق میکند.
توضیح فنی این موضوع و نحوه تهیه فیلم ها را میتوانید در این لینک بخوانید: http://telegra.ph/%D8%A7%D9%86%D8%AA%D9%82%D8%A7%D8%AF-%D8%A7%D8%B2-%D9%BE%DB%8C%D8%A7%D9%85%E2%80%8C%D8%B1%D8%B3%D8%A7%D9%86-%D8%A8%D9%88%D9%85%DB%8C-%DB%8C%D8%A7-%D9%BE%D8%B1%D9%88%D8%AA%DA%A9%D9%84-%D8%AC%D9%87%D8%A7%D9%86%DB%8C-SSL-04-05
4️⃣سوال: پس آیا کل هیاهو سر هیچ بوده و هیچ مشکلی در پیامرسانهای داخلی وجود نداشته است؟
چرا، در مورد پیامرسان سروش، یک ضعف امنیتی وجود داشته که برطرف شده است. این ضعف امنیتی به هر کاربری اجازه میداد که بتواند شماره موبایل واقعی ادمین یک کانال را به دست بیاورد.
مشابه همین ضعف امنیتی، چند سال پیش در یکی از نسخههای نرمافزار تلگرام هم وجود داشته و برطرف شده است.
باید دانست که ضعف امنیتی در هر نرمافزاری ممکن است وجود داشته باشد و وجود داشته است، اما در حال حاضر ضعف امنیتی دیگری برای پیامرسانهای داخلی منتشر نشده است.
👉@yek_mohandes
Telegraph
انتقاد از پیامرسان بومی، یا پروتکل جهانی SSL؟
این مطلب در پاسخ به ادعاهایی که پروتکل SSL را جهت رمزنگاری کافی ندانسته، و در نتیجه پیامرسانهای سروش و ایتا را ناامن میخوانند منتشر شده است. پروتکل SSL که در این پیامرسانها (و همه دنیا) جهت امنیت ارتباطات استفاده میشود در بستر شبکه غیرقابل شنود است.…
M3hdi:
سلام و احترام خدمت شما
آقای مهندس همانطور که در بیانیه خودتان فرمودید، موضوع را به زبان ساده بیان نمودید و هدفتان از آن بیانیه انتشار در گروه های غیرتخصصی بوده است لذا از شما درخواست میکنم در صورت امکان در این گروه تخصصی موضوع را یکبار برای همیشه بصورت کامل و تخصصی بیان نمایید تا بنده و احتمالا برخی از دوستان دیگر از مطالب مذکور بهره لازم را ببریم
به عنوان مثال شما بفرمایید آیا در پروتکل SSL یا TLS مذکور از چه الگوریتم های رمزنگاری و چه طول کلیدی استفاده شده که شما با اطمینان از آن سخن میگویید؟ یا اینکه از چه نسخه SSL یا TLS استفاده شده؟ آیا نسخه مذکور آسیب پذیری امنیتی ندارد؟ آیا در ارتباطات کلاینت با سرور برای انتقال فایل های حجیم از Secret Key نیز استفاده میشود یا خیر؟ و اگر میشود از چه الگوریتم و چه مکانیزمی که اطمینان میدهید غیرقابل هک و شنود است؟ البته سوالات بیشتر و تخصصی تر هم هست که در صورت تمایل حضرتعالی و باقی دوستان به جای مباحث غیرفنی و حاشیه ای راجع به آنها صحبت شود تا امثال بنده از دانش فنی جنابعالی و باقی اساتید بهره فنی لازم را ببریم.
باسپاس
سلام و احترام خدمت شما
آقای مهندس همانطور که در بیانیه خودتان فرمودید، موضوع را به زبان ساده بیان نمودید و هدفتان از آن بیانیه انتشار در گروه های غیرتخصصی بوده است لذا از شما درخواست میکنم در صورت امکان در این گروه تخصصی موضوع را یکبار برای همیشه بصورت کامل و تخصصی بیان نمایید تا بنده و احتمالا برخی از دوستان دیگر از مطالب مذکور بهره لازم را ببریم
به عنوان مثال شما بفرمایید آیا در پروتکل SSL یا TLS مذکور از چه الگوریتم های رمزنگاری و چه طول کلیدی استفاده شده که شما با اطمینان از آن سخن میگویید؟ یا اینکه از چه نسخه SSL یا TLS استفاده شده؟ آیا نسخه مذکور آسیب پذیری امنیتی ندارد؟ آیا در ارتباطات کلاینت با سرور برای انتقال فایل های حجیم از Secret Key نیز استفاده میشود یا خیر؟ و اگر میشود از چه الگوریتم و چه مکانیزمی که اطمینان میدهید غیرقابل هک و شنود است؟ البته سوالات بیشتر و تخصصی تر هم هست که در صورت تمایل حضرتعالی و باقی دوستان به جای مباحث غیرفنی و حاشیه ای راجع به آنها صحبت شود تا امثال بنده از دانش فنی جنابعالی و باقی اساتید بهره فنی لازم را ببریم.
باسپاس
arash
سلام، بدون توجه به اینکه اساسا پیام های رسان های داخلی ( اگر بتونیم نام داخلی رو ترجمه کنیم و بنا بر اون تعریف به نرم افزارهایی مثل موارد نامبرده بگیم بومی) امن هستند یا نه بایدعرض کنم، تحلیلهایی که انجام شده در این نوشته، چندان هم صحیح نیست. در بخش رمز نگاری، اشاره شد که پروتکل SSL یا TLS، کاملا امن و غیرقابل نفوذ / شنود است که میدونیم متاسفانه فرض نادرستیه. در صورتی که شک دارید یا فراموش کردید لطفا به آسیب پذیری های چند سال اخیر یه نگاهی بندازید. صرفنظر از این، پیاده سازی پروتکل در تمامی نقاط میانی حایز اهمیته، شاهدیم که در بخش های متعددی، اساسا ترافیک آفلود میشه، یا از گواهینامه Self Sign استفاده میشه، گواهینامه صادر شده مشکلاتی داره ( توسط CA چندان معتبری امضا نشده) / پیکربندی نادرست / فعال بودن الگوریتم های قدیمی در بخش Key Agreement / Encryption / Sign پروتکل رو آسیب پذیری کرده و .... / در نظر داشته باشید فرض اینکه تمامی سرویس های مهم دنیا بر بستر فقط SSL/TLS در حال ارایه خدمات هستند فرض نادرستیه. لطفا برای این منظور مراجعه کنید به پیکربندی شبکه پرداخت و تجهیزات مورد استفاده. در استانداردی مثل PCI DSS اشاره شده رمزنگاری End to End. در واقع SSL/TLS رمزنگاری Point to Point محسوب میشه نه E2EE. فکر نمیکنم نیازی به تشریح تفاوت این دو باشه. حالا اگر برگردیم به بحث اپلیکیشن های پیام رسان، اولا استفاده از SSL/TLS حداقل الزام امنیتی محسوب میشه نه نهایت امنیت. میدونید که میشه روی اون هم MITM انجام داد. به عنوان مثال اگر اپلیکیشن حساسی SSL Pinning رو به درستی انجام نده امکان اجرای همچین حملاتی افزایش پیدا میکنه ( ضمن اینکه با وجود اون هم در برخی موارد روش های دور زدن گزارش شده). در عین حال، این نیاز برای پیام رسان وجود داره که از رمزنگاری E2E پشتیبانی کنه به صورتی که واقعا سرویس دهنده هم حتی قادر نباشه پیام رو رمزگشایی کنه. این یه ضرورت هست نه یه گزینه قابل انتخاب. مشابه این مورد در Signal Protocol یا MTProto. برای من سوال واقعا چطور و بر اساس چه تحلیل رمزنگاری گفته شده که پروتگل های مورد استفاده در تلگرام یا واتس آپ یا سیگنال امن نیست! یا SSL از اون امن تره. آیا به تا حال حجم عظیم مستندات مربوط به پیاده سازی رمزنگاری End2End مورد استفاده در این پروتکل ها که به شدت هم پیچیده و تحلیل رمزنگاری اون واقعا فقط در توان معدود متخصصین رمزنگاریه، مطالعه شده؟ کلی مقاله در این زمینه داریم تو سطح اینترنت. لطفا یه بررسی بفرمایید اول و بعد تحلیل و مقایسه بفرمایید. ار طرفی برای پیاده ساز یاین چنین پروتکل پیچیده و حساسی جزئیات فوق العاده حساسی برای پیاده سازی وجود داره . از تولید و تبادل / توافق مستمر کلید، تولید سکرت،، مشتق سازی کلید رمزنگاری متقارن، امضا کلید و ... کلی مساله دیگه که مطمئنا در حال حاضر در پیام های رسان که چه عرض کنم در خیلی از پیام های معمولی در دنیا هم وجود نداره و در نقطه مقابل پروتکل های فوق العاده امنی مثل Axolotl یا MTProto. به نظر وقتش یا دست از تحلیل اشتباه بکشیم یا اینکه بپذیریم فعلا توانمون این هست.
سلام، بدون توجه به اینکه اساسا پیام های رسان های داخلی ( اگر بتونیم نام داخلی رو ترجمه کنیم و بنا بر اون تعریف به نرم افزارهایی مثل موارد نامبرده بگیم بومی) امن هستند یا نه بایدعرض کنم، تحلیلهایی که انجام شده در این نوشته، چندان هم صحیح نیست. در بخش رمز نگاری، اشاره شد که پروتکل SSL یا TLS، کاملا امن و غیرقابل نفوذ / شنود است که میدونیم متاسفانه فرض نادرستیه. در صورتی که شک دارید یا فراموش کردید لطفا به آسیب پذیری های چند سال اخیر یه نگاهی بندازید. صرفنظر از این، پیاده سازی پروتکل در تمامی نقاط میانی حایز اهمیته، شاهدیم که در بخش های متعددی، اساسا ترافیک آفلود میشه، یا از گواهینامه Self Sign استفاده میشه، گواهینامه صادر شده مشکلاتی داره ( توسط CA چندان معتبری امضا نشده) / پیکربندی نادرست / فعال بودن الگوریتم های قدیمی در بخش Key Agreement / Encryption / Sign پروتکل رو آسیب پذیری کرده و .... / در نظر داشته باشید فرض اینکه تمامی سرویس های مهم دنیا بر بستر فقط SSL/TLS در حال ارایه خدمات هستند فرض نادرستیه. لطفا برای این منظور مراجعه کنید به پیکربندی شبکه پرداخت و تجهیزات مورد استفاده. در استانداردی مثل PCI DSS اشاره شده رمزنگاری End to End. در واقع SSL/TLS رمزنگاری Point to Point محسوب میشه نه E2EE. فکر نمیکنم نیازی به تشریح تفاوت این دو باشه. حالا اگر برگردیم به بحث اپلیکیشن های پیام رسان، اولا استفاده از SSL/TLS حداقل الزام امنیتی محسوب میشه نه نهایت امنیت. میدونید که میشه روی اون هم MITM انجام داد. به عنوان مثال اگر اپلیکیشن حساسی SSL Pinning رو به درستی انجام نده امکان اجرای همچین حملاتی افزایش پیدا میکنه ( ضمن اینکه با وجود اون هم در برخی موارد روش های دور زدن گزارش شده). در عین حال، این نیاز برای پیام رسان وجود داره که از رمزنگاری E2E پشتیبانی کنه به صورتی که واقعا سرویس دهنده هم حتی قادر نباشه پیام رو رمزگشایی کنه. این یه ضرورت هست نه یه گزینه قابل انتخاب. مشابه این مورد در Signal Protocol یا MTProto. برای من سوال واقعا چطور و بر اساس چه تحلیل رمزنگاری گفته شده که پروتگل های مورد استفاده در تلگرام یا واتس آپ یا سیگنال امن نیست! یا SSL از اون امن تره. آیا به تا حال حجم عظیم مستندات مربوط به پیاده سازی رمزنگاری End2End مورد استفاده در این پروتکل ها که به شدت هم پیچیده و تحلیل رمزنگاری اون واقعا فقط در توان معدود متخصصین رمزنگاریه، مطالعه شده؟ کلی مقاله در این زمینه داریم تو سطح اینترنت. لطفا یه بررسی بفرمایید اول و بعد تحلیل و مقایسه بفرمایید. ار طرفی برای پیاده ساز یاین چنین پروتکل پیچیده و حساسی جزئیات فوق العاده حساسی برای پیاده سازی وجود داره . از تولید و تبادل / توافق مستمر کلید، تولید سکرت،، مشتق سازی کلید رمزنگاری متقارن، امضا کلید و ... کلی مساله دیگه که مطمئنا در حال حاضر در پیام های رسان که چه عرض کنم در خیلی از پیام های معمولی در دنیا هم وجود نداره و در نقطه مقابل پروتکل های فوق العاده امنی مثل Axolotl یا MTProto. به نظر وقتش یا دست از تحلیل اشتباه بکشیم یا اینکه بپذیریم فعلا توانمون این هست.
arash
در عین حال، در secret chat تلگرام شما فقط رمزنگاری End to End رو ندارید. شما Perfect Forward Secrecy هم می بینید. هر پیام افشا شده ( به فرض موفق بودن حمله روی کلید رمزنگاری مثلا AES-256-CBC) تنها منجر به افشای یک پیام میشه نه پیام قبلی و نه بعدی.
بله SSL/TLS پروتکل های امنی محسوب میشن هیچ شکی نیست ولی برای خیلی سناریوها فقط الزامی هستند نه کافی.
در عین حال، در secret chat تلگرام شما فقط رمزنگاری End to End رو ندارید. شما Perfect Forward Secrecy هم می بینید. هر پیام افشا شده ( به فرض موفق بودن حمله روی کلید رمزنگاری مثلا AES-256-CBC) تنها منجر به افشای یک پیام میشه نه پیام قبلی و نه بعدی.
بله SSL/TLS پروتکل های امنی محسوب میشن هیچ شکی نیست ولی برای خیلی سناریوها فقط الزامی هستند نه کافی.