تشفير وتس اب، هل هو حقيقي؟

التحديث الاخير لتطبيق وتس اب أعلن ان التطبيق الان يوفر تشفير من طرف لطرف. ولكن هل هذا التشفير حقيقي؟ كيف تغلبوا على مشكلة التوثيق؟ هل المعلومات فعلا تصل من طرف لأخر بدون امكانية اطلاع اي جهة اخرى؟

باختصار وقبل الدخول في تفاصيل تقنية فإن ما قام به مطورو وتس اب في التحديث الأخير هو عمل رائع و تشفير فعلي من طرف لطرف دون امكانية فك التشفير. ولكن هناك عيب واحد، وهو أنك لن تستطيع التأكد من ان رسائلك فعلا تصل للشخص الذي تقوم بمراسلته مباشرة دون وجود شخص يتنصت عليكم. تقنيا بالإمكان وجود شخص ثالث بالمنتصف بينك وبين الطرف الاخر وبإمكان هذا الشخص فعليا استقبال رسائلك وفك التشفير وقراءتها ومن ثم اعادة التشفير وتمريرها للشخص المقصود، وايضا استلام الرد من الطرف الاخر وتمريره لك بعد قراءته دون علم أي منكم.

whatsap-auth

الحل:
مطورو وتس اب يعلمون بوجود هذا النقص في البروتوكول المستخدم، وقد أوجدوا حلا ذكيا لهذه الاشكالية. فعند الدخول لأي محادثة بينك وبين شخص آخر وعند الضغط على خيار معلومات ومن ثم الضغط على خيار التشفير ستجد مجموعة ارقام و رمز مربع، مكتوب اسفله: انه للتأكد من ان الشخص الذي تراسله هو نفسه من يستقبل الرسائل، بالإمكان تصوير الرمز المربع للشخص الاخر من خلال الضغط على “مسح الرمز” او مقارنة الارقام الموجودة عندك و عنده و التأكد انها متطابقة. عند تطابق الرمزين بإمكانك ان تكون متأكد انه لا يوجد شخص بينكم وان الرسائل تصله مباشرة.

حاليا هذه هي الطريقة الوحيدة التي تضمن لك أنك فعلا تتواصل مع الشخص المطلوب مباشرة دون وجود شخص في المنتصف. في حال عدم تطابق الارقام او الرمز، هذا يعني وجود شخص في المنتصف يقوم بالتنصت على محادثاتكم.

whatsapp-sec

ما يهمني هنا ان هناك ميزة رائعة ولكنها للأسف معطلة في الوضع الاعتيادي ويجب عليك تفعيلها. عند الذهاب الى اعدادات وثم اختيار الحساب واختيار الامان سيظهر لك خيار “اظهار إشعارات الأمان” و سيكون بوضع مغلق. عليك تشغيل هذه الميزة والتي سأقوم بشرحها الان.

هذه الميزة تجعل الوتس اب يعطيك تنبيه في حال تغيير رمز الامان من قبل الطرف الاخر. تغيير رمز الامان قد يكون بسبب تغيير الشخص لجواله او اعادة تركيب الوتس اب، او دخول طرف في المنتصف بينكم وهذا هو المهم بالنسبة لنا. ففي حال ظهور رسالة بأن رمز الامان للشخص الاخر قد تغير. بإمكانك سؤال الطرف الآخر إذا ما كان قد غير جواله او اعاد تركيب الوتس اب لمعرفة إذا ما كان هناك من يراقب محادثتكم.

من المهم ذكره هنا انه في الوضع الطبيعي فان الرسالة يتم تشفيرها عندما تخرج من جهازك ولا يتم فك التشفير الا عند وصولها للهدف. فليس بإمكان سيرفرات وتس اب او من يعملون هناك بفك التشفير او الاطلاع على الرسائل (الا في حالة عدم التأكد من رمز الامان). وليس هناك حاجة لتخزين اي مفاتيح تشفير في سيرفرات وتس اب او اي معلومات تخص التشفير. ففي حال التأكد من الرمز والتأكد انه لا يوجد شخص في المنتصف ستكون الرسالة فعليا مشفرة وآمنة من طرف لطرف. ولكن في حال عدم التأكد من الرمز سيظل السؤال دوما هل هناك شخص في المنتصف يراقب الرسائل ويطلع عليها او لا.

أخيرا، رغم ان المحادثات نفسها مشفرة ومحمية ولكن، وكما ذكرت الاتفاقية في تطبيق الوتس اب، تستطيع الشركة استخراج معلومات تخص المحادثات مثل اوقات الإرسال والاستقبال وارقام الجوال للمرسل والمستقبل وأي معلومة تجبر الشركة قانونيا على تسليمها للجهات المختصة.

تفاصيل للمهتمين:

لا مجال للشك ان افضل طريقة للتأكد من رمز الأمان هو وجودك بجانب الشخص فعليا و مقارنة الارقام او الكود، ولكن بالطبع لست محتاجا ان تكون بقرب الشخص الاخر لعمل التأكيد. بإمكانك اخذ صورة لهذه الارقام و ارسالها للشخص الاخر ليقوم بمطابقة الارقام و التأكد، ولكن من الافضل ارسالها عن طريق برنامج اخر غير الوتس اب لان الشخص في المنتصف يستطيع استبدال الصورة بصورته.

ماهو رمز الأمان؟

هو ليس مفتاح التشفير وليس رمز يحتاج ان يكون مخفي. هو رمز مخصص فقط لاتصالك مع الشخص الاخر. بمعنى انه لكل شخص تقوم بالاتصال به يتم انشاء رمز خاص لاتصالكم هذا. الرمز لا يخصك و لا يخص الشخص الاخر و انما يخص الاتصال بينكم. لذلك لن يكون لك رمز مخصص و ستجد ان الرمز يختلف لكل محادثة. الرمز يتم تكوينه بناء على معطيات من الطرفين، لذلك في حال تغيير احد الاشخاص لجهازه يتم تغيير الرمز.

التشفير المستخدم يعتمد بروتكول “signal” و الذي يعد مفتوح المصدر. من المهم التنبيه ان كود وتس اب نفسه ليس مفتوح المصدر ولكنه يعتمد على بروتكول مفتوح المصدر.

بقلم: د. خالد عدنان العيسى – خبير متخصص في أمن المعلومات يمكنكم متابعته على تويتر

تعليقات عبر الفيسبوك