پیام‌رسان‌های رمزگذاری‌شده در حال تجربه‌ی موج دوم محبوبیت خود هستند. اپ‌هایی مانند واتساپ، آی‌مسیج و سیگنال، رمزگذاری سرتاسری (E2EE) و تمرکززدایی را به یک استاندارد جهانی تبدیل کردند. با این حال، بیشتر آن‌ها هنوز به شماره تلفن، سرورهای مرکزی و حجم زیادی از داده‌های متادیتا وابسته‌اند. داده‌هایی مانند اینکه با چه کسی صحبت می‌کنید، چه زمانی، از چه IP و چه دستگاهیاستفاده می‌کنید.

در همین راستا، ویتالیک بوترین (بنیان‌گذار اتریوم) در پستی در شبکه X و با اهدای کمک مالی بزرگ، بر لزوم حرکت به‌سوی نسل بعدی پیام‌رسانی امن تأکید کرد.

او گفت که آینده پیام‌رسانی امن باید بر پایه‌ی ایجاد حساب بدون نیاز به شماره تلفن یا احراز هویت KYC و افزایش حفاظت از متادیتا بنا شود.

در این رابطه بخوانید‌ : آلت لیر چیست؟معرفی پلتفرم AltLayer و توکن ALT

بوترین در این زمینه به دو پروژه‌ی Session و SimpleX اشاره کرد و به هرکدام ۱۲۸ اتر (ETH) اهدا نمود تا توسعه در این مسیر ادامه یابد.

Session؛ ترکیب رمزگذاری سرتاسری و تمرکززدایی

Session یکی از نمونه‌های مهم در این حوزه است. این پیام‌رسان تلاش می‌کند تا رمزگذاری سرتاسری را با زیرساختی غیرمتمرکز ترکیب کند.

در این سیستم، هیچ سرور مرکزی‌ای برای پیام‌ها وجود ندارد. ترافیک از مسیرهای onion routing عبور می‌کند و شناسه‌ی کاربران به‌جای شماره تلفن، بر اساس کلیدهای رمزنگاری ساخته می‌شود.

آمار: ۴۳٪ از افرادی که از وای‌فای عمومی استفاده می‌کنند، حداقل یک‌بار تجربه‌ی نفوذ داده داشته‌اند. معمولاً از طریق حملات (MITM) یا شنود بسته‌های بدون رمزگذاری.

نحوه ذخیره پیام‌ها در Session

در Session، هر کاربر بر اساس هویت کلید عمومی تعریف می‌شود. هنگام ثبت‌نام، برنامه در دستگاه شما یک جفت کلید رمزنگاری تولید می‌کند و از آن یک شناسه‌ی Session ID استخراج می‌شود، بدون نیاز به شماره تلفن یا ایمیل.

پیام‌ها از طریق شبکه‌ای از نودهای خدماتی (Service Nodes) و با استفاده از مسیرهای پیازی (Onion Paths) منتقل می‌شوند.

هیچ نودی نمی‌تواند هم فرستنده و هم گیرنده را به‌طور هم‌زمان ببیند. برای زمانی که آفلاین هستید، پیام‌ها در گروه‌های کوچکی از نودها به نام Swarm ذخیره می‌شوند. هر Session ID به یک Swarm خاص متصل است و پیام‌های شما به‌صورت رمزگذاری‌شده در آن نگهداری می‌شوند تا زمانی که دستگاه‌تان آن‌ها را بازیابی کند.

در گذشته، پیام‌ها حدود دو هفته در Swarm باقی می‌ماندند و سپس حذف می‌شدند. فقط نسخه‌ی ذخیره‌شده روی دستگاه کاربر باقی می‌ماند.

برنامه Session همچنین یک پایگاه‌داده محلی از چت‌ها و فایل‌ها دارد تا بتوانید به تاریخچه‌ی گفت‌وگوهای قدیمی دسترسی داشته باشید. به همین دلیل، حجم نصب‌شده برنامه ممکن است بین ۶۰ تا ۸۰ مگابایت باشد اما با ارسال فایل و تصاویر، این حجم افزایش می‌یابد.

برای کاهش حجم، می‌توانید چت‌ها را حذف کنید، پیام‌های ناپدیدشونده فعال کنید یا فایل‌های رسانه‌ای را پاک نمایید. هر چیزی که هنوز قابل مشاهده است، در دستگاه شما باقی مانده است.

همچنین بخوانید : چه اتفاقی برای بیت کوین های گم شده رخ می دهد؟

اعلان‌ها و توازن بین حریم خصوصی و کارایی

در بخش اعلان‌ها، تضاد میان حریم خصوصی و تجربه کاربری (UX) آشکار می‌شود.

iOS، دو حالت وجود دارد:

• Slow Mode (حالت آهسته): برنامه به‌صورت دوره‌ای بیدار شده و پیام‌های جدید را از طریق شبکه خود بررسی می‌کند. این روش امن‌تر است اما ممکن است اعلان‌ها با تأخیر برسند.
• Fast Mode (حالت سریع): از سرویس‌های اعلان اپل و گوگل استفاده می‌کند تا پیام‌ها فوری‌تر نمایش داده شوند.

در حالت سریع، طبق مستندات رسمی Session:

• آدرس IP و توکن پوش نوتیفیکیشن شما برای سرور اپل یا گوگل قابل مشاهده است.
• شناسه حساب Session و توکن push شما به سرور Session ارسال می‌شود تا بداند اعلان‌ها را کجا بفرستد.

با این حال، هیچ‌یک از این سرورها محتوای پیام‌ها را نمی‌بینند چون همچنان رمزگذاری سرتاسری برقرار است.

Session می‌گوید اپل و گوگل نیز به هویت مخاطب یا زمان دقیق پیام‌ها دسترسی ندارند.

اگر این سطح از اشتراک داده برایتان زیاد است، می‌توانید حالت آهسته را فعال کنید اما با تأخیر در اعلان‌ها مواجه خواهید شد. این انتخاب بخشی از ویژگی جدید پیام‌رسان‌های غیرمتمرکز است.

حکمرانی، شفافیت و درخواست‌های دولتی

مدیریت پروژه Session نیز در سال ۲۰۲۴ دستخوش تغییر شد.

پیش‌تر، این اپ توسط بنیاد غیرانتفاعی Oxen Privacy Tech Foundation (OPTF) در استرالیا اداره می‌شد. اما از اواخر ۲۰۲۴، مسئولیت آن به بنیاد سوئیسی Session Technology Foundation (STF) واگذار شد.

آخرین گزارش شفافیت OPTF مربوط به سه‌ماهه چهارم سال ۲۰۲۴ است و از آن پس، گزارش‌ها توسط STF منتشر می‌شود.

طبق مستندات رسمی، از آن‌جا که Session غیرمتمرکز و کاملاً رمزگذاری‌شده است، بنیاد هیچ دسترسی ویژه‌ای به پیام‌ها یا کلیدهای کاربران ندارد.

STF گزارش‌های شفافیت دوره‌ای منتشر می‌کند که شامل درخواست‌های قانونی دولت‌ها و نحوه پاسخ‌گویی به آن‌هاست.

این صفحه شفافیت همان منبعی است که کاربران هنگام اشاره به «سایتی که نشان می‌دهد دولت‌ها چه زمانی درخواست اطلاعات می‌دهند» از آن یاد می‌کنند. در واقع، این صفحه سندی عمومی برای ثبت مواردی است که نهادهای قانونی درخواست داده و چگونگی پاسخ Session به آن‌ها را نشان می‌دهد.

چه داده‌هایی را می‌توان تحویل داد؟

به‌صورت واقع‌بینانه، اطلاعاتی که بنیاد Session Technology Foundation (STF) یا سرورهای مرتبط می‌توانند در پاسخ به درخواست‌های قانونی ارائه دهند، محدود است.

✅ داده‌هایی که احتمالاً قابل ارائه هستند:

• لاگ‌ها و داده‌های سیستمی از وب‌سایت‌ها، سرورهای فایل یا زیرساخت‌هایی که مستقیماً توسط Session اداره می‌شوند.
• مانند سرورهای پوش نوتیفیکیشن (Push Relays)، یا سرورهای STUN و TURN که برای تماس‌های صوتی و تصویری استفاده می‌شوند.

این داده‌ها تنها در چارچوب قوانین سوئیس و درخواست‌های بین‌المللی معتبر قابل ارائه هستند.

❌ داده‌هایی که قابل تحویل نیستند:

• پیام‌های رمزگشایی‌شده یا کلیدهای اصلی رمزگذاری چت‌ها، به شرط آنکه پیاده‌سازی نرم‌افزار با پروتکل رسمی Session مطابقت داشته باشد.

سیستم بنیادهای سوئیسی معمولاً مقررات سبک‌تری در شفافیت نسبت به برخی کشورها دارد. به همین دلیل، گزارش‌های شفافیت داوطلبانه و محدودیت‌های فنی در جمع‌آوری داده‌ها نقش بسیار مهمی در اعتمادسازی دارند.

به بیان دیگر، غیرمتمرکز بودن مانع درخواست دولت‌ها نمی‌شود، اما به‌شدت محدوده‌ی داده‌های قابل ارائه را کاهش می‌دهد.

جالب است بدانید: زمانی که پلیس اروپا به شبکه‌ی تلفن رمزگذاری‌شده EncroChat نفوذ کرد، بیش از ۱۱۵ میلیون پیام مجرمانه از حدود ۶۰ هزار کاربر را رهگیری نمود. این عملیات به ۶,۵۰۰ بازداشت و توقیف ۹۰۰ میلیون یورو دارایی در سراسر جهان منجر شد.

مقاومت در برابر کوانتوم، تماس‌ها و “نسخه بتای همیشگی”

یکی از نگرانی‌های کلیدی در حوزه امنیت ارتباطات، تهدیدی است که به آن “الان جمع کن، بعداً رمزگشایی کن” می‌گویند.

مهاجمان می‌توانند ترافیک رمزگذاری‌شده را امروز ذخیره کنند و در آینده با رایانه‌های کوانتومی آن را بشکنند.

پاسخ Session: بازطراحی پروتکل

تیم Session در یک پست وبلاگی، نسخه دوم پروتکل خود (Session Protocol v2) را معرفی کرد که هدفش افزایش مقاومت در برابر تهدیدات آینده است.

مهم‌ترین ویژگی‌های این نسخه شامل موارد زیر است:

• رمزگذاری با “امنیت پیش‌رو کامل” (Perfect Forward Secrecy) با استفاده از کلیدهای موقت
• مبادله کلید مقاوم در برابر کوانتوم با استفاده از ML-KEM (یا CRYSTALS-Kyber)، الگوریتم استانداردسازی‌شده توسط NIST که در پروتکل‌های جدید Signal (PQXDH) و Apple (PQ3) نیز استفاده می‌شود

اما آیا Session در برابر کوانتوم مقاوم است؟

فعلاً نه، حداقل به‌صورت کامل و عملیاتی.

نسخه فعلی هنوز از رمزنگاری کلاسیک منحنی بیضوی (ECC) استفاده می‌کند و نسخه مقاوم در برابر کوانتوم در حال توسعه است.

تا زمانی که این پروتکل جدید پیاده‌سازی، ممیزی و در تمام کلاینت‌ها اجرا نشود، سطح امنیت فعلی همان رمزگذاری استاندارد E2EE است.

وضعیت تماس‌های صوتی و تصویری در Session

تماس‌های صوتی و تصویری در Session هنوز در مرحله بتا قرار دارند و کاربران باید به‌صورت دستی فعالشان کنند.

در حال حاضر این تماس‌ها از فناوری WebRTC همتابه‌همتا (Peer-to-Peer) استفاده می‌کنند.

این به آن معناست که آدرس IP شما برای طرف مقابل و سرورهای (STUN/TURN) قابل مشاهده است.

در نقشه راه آینده، تیم توسعه در حال کار روی تماس‌های مبتنی بر شبکه Lokinet است تا IP کاربران به‌طور کامل پنهان شود، اما این ویژگی هنوز به حالت پیش‌فرض تبدیل نشده است.

سشن هشدار می‌دهد افرادی که در شرایط بسیار حساس امنیتی هستند، بهتر است فعلاً تماس‌های صوتی یا تصویری را فعال نکنند.

دلیل این “بتای طولانی‌مدت” همان چالش فنی بزرگ میان تاخیر پایین، مسیریابی پیازی و حفظ ناشناسی واقعی است.

تمرکززدایی واقعاً چه تغییری برای کاربر ایجاد می‌کند؟

پروژه Session تصویری واقعی از وعده‌ها و محدودیت‌های پیام‌رسان‌های غیرمتمرکز ارائه می‌دهد.

✅ مزایا:

• می‌توانید بدون شماره تلفن، ایمیل یا هرگونه احراز هویت، حساب بسازید، مطابق با دیدگاه ویتالیک بوترین درباره‌ی «حساب‌های بدون مجوز».
• پیام‌های شما از طریق شبکه‌ای چندنودی و مبتنی بر مسیر پیازی ارسال می‌شوند که حجم متادیتای قابل مشاهده برای هر نود را به حداقل می‌رساند.
• انتقال حاکمیت پروژه به سوئیس و متن‌باز بودن کدها و گزارش‌های شفافیت باعث افزایش نظارت عمومی بر تغییرات می‌شود.

⚠️ محدودیت‌ها:

• ذخیره پیام‌ها روی گوشی همچنان یک ریسک بزرگ است، مخصوصاً اگر دستگاه توقیف یا هک شود.
• اعلان‌های سریع (Fast Mode) و تماس‌های WebRTC ممکن است سطحی از متادیتای IP را به سرورهای زیرساختی نشان دهند.
• مقاومت کوانتومی هنوز در نقشه راه است تا زمانی که پروتکل نسخه ۲ به‌طور کامل اجرا و پایدار شود.

توصیه‌های امنیتی برای کاربران Session

اگر حفظ حریم خصوصی متادیتا برایتان مهم‌تر از دریافت فوری پیام‌هاست:

• Slow Mode را به‌صورت پیش‌فرض فعال کنید.
• از پیام‌های ناپدیدشونده استفاده کنید.
• هر از گاهی چت‌ها و فایل‌های رسانه‌ای قدیمی را پاک کنید تا داده‌های ذخیره‌شده روی دستگاه کاهش یابد.
• تا زمانی که تماس‌های امن مبتنی بر Lokinet عرضه نشده‌اند، تماس‌های صوتی و تصویری را غیرفعال نگه دارید.

جمع‌بندی: آینده پیام‌رسانی امن

رمزگذاری سرتاسری به‌تنهایی دیگر کافی نیست. با افزایش فشار دولت‌ها بر پیام‌رسان‌ها و ظهور تهدیدات کوانتومی، سه فاکتور حیاتی آینده ارتباطات امن را شکل می‌دهند:

1. تمرکززدایی واقعی (Decentralization)
2. کاهش جمع‌آوری متادیتا (Metadata Minimization)
3. به‌روزرسانی‌های مقاوم در برابر کوانتوم (Post-Quantum Security)

Session یکی از پروژه‌هایی است که تلاش می‌کند میان این سه ستون تعادل برقرار کند، هرچند با چالش‌ها و مصالحه‌های خاص خود.

ترجمه شده توسط مجله خبری نیپوتو