كيف يعمل التشفير الشامل على WhatsApp

  • يستخدم WhatsApp تشفيرًا شاملاً يعتمد على Signal: يتم تشفير الرسائل على الجهاز ويتم فك تشفيرها فقط على جهاز المستلم.
  • لا يغطي E2EE البيانات العامة أو بعض البيانات الوصفية مثل الاسم والصورة والملف الشخصي وأوصاف المجموعة.
  • هناك مخاطر تتجاوز التشفير: هجمات MITM إذا لم يتم التحقق من المفتاح، والبرامج الضارة على الأجهزة.
  • من الممكن التحقق من التشفير باستخدام رمز الاستجابة السريعة (QR) أو 60 رقمًا؛ ومع ذلك، هناك خلافات وقيود (التقارير والنسخ الاحتياطية والأبواب الخلفية المحتملة).
Joaquin Romero

11 دقيقة

هكذا يعمل التشفير الشامل على واتساب

في السنوات الأخيرة، أصبح الحديث عن الخصوصية في الرسائل شائعًا كقول "مرحبًا"، وهذا صحيح: فنحن نشارك النصوص والصور والمقاطع الصوتية والمستندات يوميًا، دون أن تقع في أيدي غير أمينة. في هذا السياق، التشفير من البداية إلى النهاية (E2EE) إنها القطعة الأساسية التي تعدك بأن ما ترسله لن يراه إلا أولئك الذين يجب أن يروه.

يتضمن واتساب هذه الميزة افتراضيًا، ومع أن هذه أخبار رائعة، إلا أنه من المهم فهم آلية عملها بدقة، وما تغطيه، وما لا تغطيه. إليك بعض التفاصيل المهمة: ليس كل ما تفعله في التطبيق آمنًا.هناك مخاطر لا يمكن للتشفير التخفيف منها، وهناك عمليات خاصة معينة (مثل تقارير الدردشة) تسمح بمراجعة المحتوى للتحقق من وجود انتهاكات للقواعد.

ما هو التشفير التام بين الأطراف؟

ببساطة، E2EE هو نظام يتم من خلاله فقط المرسل والمستقبل يمتلكان المفاتيح ضروري لقراءة الرسالة. كل شيء آخر - بما في ذلك الخوادم الوسيطة - يرى بيانات مشفرة لا معنى لها.

تخيل أنك أرسلت طردًا بقفل، والشخص الآخر يملك المفتاح الوحيد لفتحه؛ إذا اعترض أحدهم الطرد، فسيجد كتلة معدنية يصعب الوصول إليها. هذه هي الفكرة: يتم حماية المحتويات طوال الرحلة. ويتم فك تشفيرها فقط على جهاز المستلم.

يتناقض هذا النهج مع الأنظمة التقليدية القائمة على الخادم والتي، كما شوهدت بشكل متكرر في عام 2016، إنهم يقومون بالتشفير فقط بين العميل والخادم.يمكن لمزود الخدمة فك تشفير البيانات وإعادة تشفيرها داخل بنيته التحتية، مما يزيد من احتمالية تعرضها للخطر. إن تقليل عدد الجهات التي تتعامل مع النص العادي هو ما يجعل التشفير من البداية إلى النهاية (E2EE) أكثر متانة.

المشاركات
المادة ذات الصلة:
يضيف تطبيق Google Messages التشفير من طرف إلى طرف

كيف يقوم WhatsApp بتنفيذ تشفير E2EE؟

يعتمد تطبيق واتساب على مخطط يعتمد على بروتوكول الإشارةلكل محادثة مجموعة مفاتيح خاصة بها، وعند إرسال رسالة، تُشفَّر على هاتفك قبل إرسالها. يعمل الخادم كخادم مراسلة فقط: يخزِّن ويُعيد توجيه الرسائل، ولكن لا يمكن فك الشفرة المحتوى.

عند وصول الرسالة إلى جهاز المستلم، يستخدم التطبيق كلمة مروره لفتحها. وينطبق المبدأ نفسه على الصور والفيديوهات والملاحظات الصوتية والمكالمات. الحماية شاملة للمحتوى الذي تشاركه في المحادثة.

تتم هذه العملية بسلاسة تامة. لستَ مضطرًا لكتابة كلمات مرور في كل مرة تتحدث فيها؛ فالتطبيق يُجري ذلك في الخلفية. في الواقع، يُشير واتساب نفسه إلى ذلك. ليس لديه إمكانية الوصول المباشر إلى المحتوى لأن التشفير وفك التشفير يحدثان بالكامل على الأجهزة.

هل يستطيع WhatsApp رؤية الدردشة إذا أبلغ عنها شخص ما؟

من المهم توضيح هذه النقطة لأنها مسألة حساسة. عندما يُبلغ مستخدم عن محادثة لاحتمال انتهاكها للقواعد، تُشير الشركة إلى أنها قد... مراجعة المحتوى المرتبط بهذه الشكوى لتقييم ما حدث. عمليًا، يسمح النظام بإرسال مواد كافية لتحليل المخالفة إلى واتساب عند إصدار التقرير.

بعبارة أخرى، إذا أبلغ عنك شخص ما، يتم تمكين عملية تسمح الوصول إلى الرسائل من تلك الدردشة لأغراض الإشرافالهدف هو التحقق من الإساءة أو البريد العشوائي أو السلوك المحظور، واتخاذ الإجراءات اللازمة عند الضرورة. هذا لا يعني أن الموظفين يطلعون على محادثاتك يوميًا؛ بل هو سير عمل محدد يُفعّل عند تقديم التقارير، ويخدم... فرض معايير الخدمة.

هكذا يعمل التشفير الشامل على واتساب

ما الذي لا يغطيه التشفير من البداية إلى النهاية: البيانات المرئية والبيانات الوصفية؟

يحمي التشفير الشامل محتوى رسائلك، ولكنه لا يحمي كل ما حولك في التطبيق. كقاعدة عامة، المعلومات التي تنشرها (صورتك ووصف ملفك الشخصي) ليس جزءًا من التشفير الشامل.

بالإضافة إلى ذلك، يمكن لـ WhatsApp رؤية أسماء وأوصاف المجموعات التي تنتمي إليها. يتيح هذا، من بين أمور أخرى، تغذية أنظمة آلية تكتشف الأنشطة غير المقبولة المحتملة (مثل تلك المتعلقة بإساءة معاملة الأطفال) والتدخل فيها.

ولا ينبغي لنا أن ننسى أن بعض المعلومات السياقية - ما نسميه البيانات الوصفية، مثل أوقات الشحن أو الأشخاص الذين تتواصل معهم - ليس بالضرورة أن يتم تشفيره من البداية إلى النهايةتحتاج المنصة إلى بعض هذه المعلومات لتشغيل الخدمة، وهذا يعني أن هناك بيانات لا تتمتع بنفس الحماية التي يتمتع بها محتوى الرسالة.

الفرق بين E2EE والتشفير أثناء النقل

يحمي التشفير أثناء النقل البيانات أثناء انتقالها من جهازك المحمول إلى الخادم وعودتها إلى المستلم، ولكن قد يحدث فك التشفير عند الخادم. هذا يفتح الباب أمام الأخطاء، أو الوصول غير المصرح به، أو طلبات البيانات. على عكس التشفير من طرف إلى طرف (E2EE)، الخادم لا يرى محتوى النص العادي أبدًا.تقليل المخاطر بشكل كبير.

ومن الجدير بالذكر أيضًا أن بعض الخدمات استخدمت المصطلح بطريقة مربكة. لافابيت وهوشميل حتى أنها عُرضت على أنها E2EE، على الرغم من أن تصميمها لم يكن كذلك تمامًا. آخرون، مثل تيليجرام أو جوجل ألولقد تعرضت هذه البرامج لانتقادات بسبب عدم تمكين التشفير من البداية إلى النهاية بشكل افتراضي في جميع وظائفها، وهو ما قد يؤدي إلى سوء فهم حول المستوى الفعلي للحماية.

المفاتيح والبروتوكولات والتفاوض: كيف يتم إرساء الأسرار

لضمان أن المستخدمين النهائيين فقط يعرفون السر، يمكن لأنظمة E2EE استخدام مفاتيح مشتركة مسبقًا (كما في PGP) أو أسرار لمرة واحدة مستمدة من تلك الأسرار الأولية (DUKPT). يمكنهم أيضًا التفاوض على مفتاح جديد أثناء التنقل باستخدام تبادل مفاتيح ديفي-هيلمان، كما هو الحال في OTR.

أثناء تلك المفاوضات هناك خطر كلاسيكي: هجوم الرجل في المنتصف (MITM)في هذا السيناريو، ينتحل طرف ثالث هوية أحد الأطراف المعنية ويحصل على مفتاح يسمح له بقراءة كل شيء. لمنع ذلك، تتضمن البروتوكولات مصادقة نقطة النهاية باستخدام سلطات التصديق، الشبكات الموثوقة أو أنظمة التحقق اليدوي.

الطريقة البسيطة للتحقق هي المقارنة بصمات المفاتيح العامةتُعرض هذه البيانات كسلاسل سداسية عشرية قابلة للقراءة، على سبيل المثال: 43:51:43:a1:b5:fc:8b:b7:0a:3a:a9:b1:0f:66:73:a8. إذا تحقق الطرفان من نفس بصمة الإصبع عبر قناة بديلة موثوقة، ينخفض ​​خطر الاحتيال من قِبل الوسيط (MITM).

تقوم بعض التطبيقات بتحويل تلك الكتل إلى كلمات طبيعية في لغة المستخدم، يُفضّل آخرون سلسلةً أساسها ١٠ لتحسين التحديد. في المراسلة الحديثة، عادةً ما يكون من الأنسب عرض بصمة الإصبع كـ رمز الاستجابة السريعة حتى يتمكن الشخص الآخر من مسحها ضوئيًا من جهازه.

كيفية التحقق من التشفير الشامل على WhatsApp؟

على الرغم من أن واتساب يطبق تلقائيًا التشفير من طرف إلى طرف (E2EE)، إلا أن هناك أداة للتحقق من أنك وجهات اتصالك تتشاركان المفتاح الصحيح. تعرض هذه الميزة رمز الاستجابة السريعة ومعرف رقمي مكون من 60 رقمًا حتى تتمكن من المقارنة بين أنفسكم.

  1. افتح الدردشة مع الشخص الذي تريد التحقق من الأمان معه.
  2. دخول معلومات الاتصال من اسم الدردشة في الأعلى.
  3. ابحث عن القسم التشفيرسوف ترى رمز الاستجابة السريعة والرمز الرقمي.
  4. مسح رموز الاستجابة السريعة الخاصة ببعضكم البعض —أو مقارنة الأرقام الـ 60- للتأكد من تطابقهما.

إذا كان كل شيء على ما يرام، فهذا يعني عدم وجود وسطاء يُغيّرون المفاتيح. نادرًا ما يكون هذا التحقق الإضافي ضروريًا للاستخدام اليومي، ولكن فهو يأتي مفيدًا جدًا في السياقات الحساسة. أو عندما تريد أن تكون آمنًا بشكل خاص.

المخاطر التي لا يخففها E2EE: الأمان على الحواف

لا يحل نموذج E2EE مشاكل الأجهزة التي تتطلب التشفير وفك التشفير. إذا كان هاتفك المحمول مخترقًا بواسطة البرمجيات الخبيثةيمكن للمهاجم قراءة الرسائل التي تم فك تشفيرها بالفعل، أو تسجيل ضغطات المفاتيح، أو سرقة المفاتيح قبل التشفير أو بعده.

لزيادة الحماية، تقوم بعض الطرق بعزل توليد المفاتيح وتخزينها في أجهزة مخصصة، مثل البطاقة الذكية أو مشاريع مثل Google Project Vault. ومع ذلك، إذا مرّ النص العادي المُدخل والمُخرج عبر النظام، يمكن لحصان طروادة التجسس على المحادثة أون تيمبو حقيقية.

هناك تكتيك آخر يتمثل في العمل على جهاز معزول تمامًا - دون اتصال بالإنترنت - لمعالجة بيانات حساسة للغاية. ومع ذلك، حتى هذا النهج له حدوده: ففي حالة ستكسنت وأظهرت الدراسة أن البرمجيات الخبيثة قادرة على تجاوز الفاصل المادي (الفجوة الهوائية) والوصول إلى شبكات كان من المعتقد أنها محكمة الإغلاق، كما حدث مع محطة نطنز في إيران.

لمكافحة سرقة المفاتيح باستخدام البرامج الضارة، تم اقتراح ما يلي تقسيم قاعدة الحوسبة الموثوقة على جهازين متصلين في اتجاه واحد، بطريقة تمنع إدخال برمجيات خبيثة وتسريب الأسرار. ومع ذلك، لا توجد خطة مضمونة النجاح.

النسخ الاحتياطي والتشفير من جانب العميل

تقدم بعض خدمات النسخ الاحتياطي ومشاركة الملفات تشفير جانب العميلمع أنه قد يبدو مشابهًا، إلا أنه يختلف عن المراسلة الشاملة (E2EE)، إذ لا يركز على حماية الاتصالات التفاعلية بين المستخدمين. في الواقع، يُستخدم مصطلح E2EE أحيانًا كمرادف، لكن التكافؤ بينهما ليس دقيقًا.

على WhatsApp والتطبيقات الأخرى، دعم قد يكون لديهم حالة مختلفة: إذا قمت بعمل نسخة في السحابة، فأنت بحاجة إلى التحقق مما إذا كانت هذه النسخة مشفرة بحيث يكون لديك المفتاح فقط، أو إذا كان ذلك عن طريق التصميم، قد يكون من الممكن الوصول إليه في ظل ظروف معينة. إنها نقطة جوهرية يتجاهلها الكثيرون.

حالات حقيقية وخلافات: الأبواب الخلفية والتصميم

يقدم التاريخ الحديث أمثلة لكيفية تقديم تصميم المنصة أبواب خلفيةفي عام 2013، أظهرت الوثائق التي سربها إدوارد سنودن أن سكيب تضمنت آليةً تُمكّن مايكروسوفت من إيصال الرسائل إلى وكالة الأمن القومي الأمريكية (NSA) رغم أنها مُشفّرة رسميًا. يُبرز هذا التناقض بين التسويق والبنية الفعلية أهمية فهم نموذج الأمن فهمًا شاملًا.

في الوقت نفسه، هناك أيضًا خدمات تعرضت لانتقادات بسبب تمكينها لـ E2EE في أوضاع محددة فقط أو عدم تمكينها افتراضيًا. هذا هو الحال مع تيليجرام في بعض الدردشات ومن الآن فصاعدا جوجل ألوحيث تعتمد الحماية على الوضع الذي اختاره المستخدم، وهو ما قد يكون مربكًا ويترك المحادثات دون الحماية المتوقعة.

E2EE في التطبيقات الأخرى وفي البريد الإلكتروني

الاستخدام الأكثر انتشارًا لـ E2EE هو في المراسلة. الكتروني يُشفّر الرسائل بين أجهزة Apple من البداية إلى النهاية، لذا لا تستطيع Apple نفسها قراءتها. أما على نظام Android، فالوضع أكثر تنوعًا: لا يفرض النظام معيارًا واحدًا، كل تطبيق يقرر استراتيجيتهم، على الرغم من أن العديد من التطبيقات على Google Play تقدم بالفعل E2EE.

سامسونج جالاكسي ايه كوانتوم
المادة ذات الصلة:
تم الإعلان عن Samsung Galaxy A Quantum بتقنية التشفير الكمومي

بالإضافة إلى الواتساب، سيجنل إنه معيارٌ لتركيزه على الخصوصية، مع تشفيرٍ شاملٍ افتراضيٍّ للرسائل والمكالمات ومكالمات الفيديو. يُظهر هذا النظام البيئي أن E2EE أصبح المعيار الذهبي للتواصل الشخصي.

يمكن أن يكون البريد الإلكتروني مفيدًا أيضًا، ولكنه عادةً ما يتطلب المزيد من الإعداد. PGP يمكنك تشفير رسائل البريد الإلكتروني وتوقيعها لضمان السرية والنزاهة. بعض مقدمي الخدمة، مثل بروتون ميلإنهم يدمجون PGP لتبسيطه، بينما يقوم آخرون، مثل توتايقومون بتنفيذ تشفيرهم الخاص من البداية إلى النهاية بين مستخدمي الخدمة.

ممارسات المصادقة والتحقق الجيدة

لكي تفي E2EE بوعدها، يجب إغلاق باب MITM بـ مصادقة موثوقة من المفاتيح. يمكنك الاعتماد على جهات إصدار الشهادات (نموذج الويب الكلاسيكي) أو على شبكة موثوقة حيث الناس يتحققون من الناس.

مقارنة بصمات الأصابع الرئيسية عبر قنوات مختلفة - مكالمة هاتفية، أو حضوريًا، أو باستخدام رمز الاستجابة السريعة - أمر بسيط وفعال للغاية. إذا تطابقت بصمات الأصابع، لا يوجد وسطاء أنهم استبدلوا كلمات مرورك. هذه الممارسة، مهما بدت بسيطة، تُحدث الفرق بين الخصوصية الموعودة والخصوصية المُثبتة.

ماذا يعني هذا بالنسبة لحياتك اليومية؟

مع تفعيل E2EE افتراضيًا، يمكنك الدردشة براحة بال، مع العلم أن المحتوى محمي من البداية إلى النهاية. مع ذلك، تذكر أن ليس كل شيء مشفراعتني بجهازك، قم بتنشيط قفل رقم التعريف الشخصيقم بتحديث نظامك، وكن حذرًا من الروابط المشبوهة، وراقب المكان الذي تقوم فيه بعمل النسخ الاحتياطية، لأن المهاجم الصبور يفضل مهاجمة الرابط الأضعف.

ونقطة عملية أخيرة: إذا أدت المحادثة إلى سلوك مسيء، فهناك آلية لمنع ذلك. تقرير كما رأينا، يفتح هذا المجال لواتساب لفحص المواد لتطبيق سياساته. الخصوصية ليست رخصة للمضايقة أو انتهاك القواعد؛ إذ يمكن للمنصة اتخاذ الإجراءات اللازمة. إغلاق الحسابات إذا تم اكتشاف انتهاكات.

Cryptomator
المادة ذات الصلة:
كيفية إضافة طبقة ثانية من التشفير إلى ملفاتك على Google Drive أو Dropbox

يوفر التشفير الشامل في WhatsApp حماية حقيقية للمحتوى، ولكن من المهم فهم القيود: ما يحميه وما يتركهيوضح هذا الدليل كيفية التحقق من المعلومات، والمخاطر التي لا تزال قائمة على الأجهزة، وفي أي الحالات يُمكن للخدمة مراجعة الرسائل المُبلغ عنها. بفضل هذه الخارطة الواضحة وممارسات الأمان الجيدة، ستتمتع بمحادثات أكثر أمانًا دون التضحية بالراحة التي تتوقعها من تطبيق مراسلة حديث. قم بمشاركة هذا الدليل وسيتمكن المزيد من المستخدمين من التعرف على ما هو التشفير الشامل لتطبيق WhatsApp.


تجسس WhatsApp
قد تهمك:
كيف تتجسس على WhatsApp أو تحتفظ بنفس الحساب على محطتين مختلفتين
تابعونا على أخبار جوجل