راهنمای ارتباط امن با مخاطبان و همکاران، برای فعالان حقوق بشر

۱۲ اردیبهشت ۱۴۰۱

شبکه‌های مخابراتی و اینترنت، ارتباطات مردمی را بیش از پیش آسان کرده‌اند، اما متاسفانه نظارت را نیز به‌همین واسطه گسترش و رواج داده‌اند. بدون انجام اقدامات ضروری به‌منظور حفظ حریم خصوصی، هرگونه تماس تلفنی، پیامک، ایمیل، پیام فوری، گفت‌وگوی تصویری و صوتی و پیام‌های ارسالی در شبکه‌های اجتماعی، می‌تواند در برابر شنودکنندگان آسیب‌پذیر باشند.

در بهترین حالت، امن‌ترین روش حفظ حریم خصوصی برای برقراری ارتباط با دیگران، حضور شخصی و ارتباط رو در رو است؛ بدون اینکه کامپیوتر یا تلفن در آن دخیل باشد.

اما به‌عنوان یک فعال حقوق بشر، شما می‌توانید از بهترین روش موجود، یعنی رمزنگاری سرتاسری برای ارتباط امن با مخاطبان و همکاران استفاده کنید.


رمزنگاری سرتاسری چگونه کار می‌کند؟

رمزنگاری سرتاسری (End-to-End Encryption) تضمین می‌کند که اطلاعات توسط فرستنده اصلی آن به یک پیغام محرمانه و رمزدار تبدیل شده و تنها توسط گیرنده نهایی آن رمزگشایی می‌شود. این بدان معناست که هیچ‌کس نمی‌تواند برای مثال از طریق شبکه‌های وایفای عمومی یا بسترهای زیرساختی مربوط به ارائه‌دهندگان خدمات اینترنت و حتی وب‌سایت‌ها یا برنامه‌هایی که از آن‌ها استفاده می‌کنید، به پیام‌های شما دسترسی پیدا کند. همچنین، یکی از اصلی‌ترین ویژگی‌های رمزنگاری سرتاسری، این است که سازندگان آن نیز نمی‌توانند به پیام‌های شما دسترسی پیدا کنند.

در این میان، توجه داشته باشید که رمزنگاری سرتاسری را با رمزنگاری لایه‌ انتقال (transport-layer encryption) اشتباه نگیرید. در حالی که رمزنگاری سرتاسری در طول تمامی مسیر، یعنی از فرستنده تا گیرنده، از پیام‌ها محافظت می‌کند، رمزنگاری لایه‌ای فقط در حین حرکت و طی مسیر، یعنی از دستگاه فرستنده به سمت سرورهای برنامه و از سرورهای برنامه به سمت دستگاه گیرنده، از آن‌ها محافظت می‌کند. در این بین، ممکن است ارائه‌دهندگان خدمات پیام‌رسان یا وب‌سایتی که از آن استفاده می‌کنید، به نسخه‌های رمزگذاری نشده پیام‌های شما دسترسی پیدا کنند.

به بیانی دیگر، رمزنگاری سرتاسری به این شکل عمل می‌کند که هنگامی که دو نفر می‌خواهند از طریق رمزنگاری سرتاسری با یکدیگر ارتباط برقرار کنند، هرکدام باید قطعاتی رمزی برای رمزگذاری و رمزگشایی را تولید کنند که به آن‌ها کلید گفته می‌شود و غیرقابل جعل هستند.

همچنین کلیدهای ایجاد شده برای رمزنگاری سرتاسری،  به دو بخش کلید خصوصی و کلید عمومی تقسیم می‌‌شوند که کلید عمومی قابل ارسال به مخاطبان بوده و کلید خصوصی، می‌بایست همیشه به‌صورت محرمانه از آن نگهداری کرد.

با استفاده از این کلیدها می‌توان داده‌های مختلف را برای افراد به‌صورت ایمن رمزگذاری کرد تا تنها گیرنده و صاحب کلید خصوصی، بتواند آن را رمزگشایی کند. 

به‌عنوان مثال، در یک ارتباط فرضی میان شما و یک وکیل بین‌المللی، پیش از آنکه پیامی را برای آن وکیل ارسال کند، متن پیام خود را با کلید عمومی او رمزگذاری می‌کنید تا فقط وکیل مد نظر شما بتواند آن را رمزگشایی کند. سپس این پیام رمزنگاری شده را از طریق بستر اینترنت ارسال می‌کنید.

در این بین، اگر شخصی ناشناس یا سازمانی امنیتی، شما و آن وکیل بین‌المللی را به‌صورت آنلاین در حال نظارت و شنود داشته باشد، حتی اگر به سرویسی که شما از آن برای ارسال این پیام استفاده می‌کنید دسترسی داشته باشد (مانند حساب ایمیل شما)، فقط داده‌های رمزگذاری شده را مشاهده خواهد کرد و نمی‌تواند پیام‌تان را بخواند. در چنین سناریویی، وقتی مخاطب شما پیام‌تان را دریافت می‌کند، باید از کلید خصوصی خود برای رمزگشایی پیام دریافتی استفاده کند. 


تماس‌های تلفنی و پیام‌های متنی در مقابل پیام‌های رمزنگاری شده اینترنتی

وقتی از تلفن ثابت یا تلفن همراه تماس می‌گیرید، حین برقراری تماس‌ صوتی، گفت‌وگوی شما رمزنگاری نمی‌شود. همچنین هنگام ارسال پیامک‌های مخابراتی یا همان SMS روی تلفن‌همراه، متن پیام‌ها به‌هیچ وجه رمزنگاری نمی‌شوند.

هر دو این موارد، به دولت‌ها یا هر شخص دیگری که دارای نفوذ در اپراتورهای مخابراتی است، اجازه می‌دهد پیام‌های شما را بخواند یا تماس‌های شما را ضبط کند. اگر ارزیابی ریسک شما شامل محدودیت‌های دولتی، قضایی یا امنیتی است، ممکن است ترجیح دهید از گزینه‌های رمزنگاری شده که از طریق اینترنت کار می‌کنند استفاده کنید. به‌عنوان یک امتیاز، بسیاری از این گزینه‌های جایگزین و رمزنگاری شده، خدمات ویدیویی نیز ارائه می‌دهند.

برخی از نرم‌افزارها که به‌صورت پیش‌فرض، امکان رمزنگاری سرتاسری پیامک‌ها و تماس‌های صوتی و تصویری را ارائه می‌دهند عبارتند از:

- سیگنال «Signal»
- واتس‌اپ «WhatsApp»
- وایر «Wire»

توجه داشته باشید، نرم‌افزارهای زیر، به‌طور پیش فرض، رمزنگاری سرتاسری را ارائه نمی‌دهند:

- گوگل هنگ‌اوتس « Google Hangouts»
- لاین «Like»
- اسنپ چت «Snapchat»
- وی چت «WeChat»

همچنین برخی از نرم‌افزارها، همچون فیس‌بوک مسنجر و تلگرام، فقط در صورت فعال کردن گزینه‌ی رمزنگاری سرتاسری به‌صورت دستی، رمزنگاری را ارائه می دهند. سایرین، مانند iMessage، تنها زمانی رمزنگاری سرتاسری را ارائه می‌دهند که هر دو کاربر از دستگاه خاصی استفاده کنند (در مورد آی‌مسیج، هر دو کاربر باید از آیفون استفاده کنند).

علاوه بر این موضوع، به خاطر داشته باشید که برخی از سرویس‌ها، مانند گوگل هنگ‌اوتس «Hangouts» در حالی قابلیت رمزنگاری پیام‌ها را تبلیغ می‌کنند که از کلیدهای ایجاد شده توسط سرویس خودشان استفاده می‌کنند که این موضوع، به معنی رمزنگاری سرتاسری نیست.

برای امنیت واقعی، تنها باید طرفین مکالمه دارای کلیدهایی باشند که به آن‌ها اجازه رمزنگاری و رمزگشایی بدهد. بنابراین، اگر از سرویسی استفاده می‌کنید کلیدها را ایجاد و کنترل می‌کند، باید بدانید که آن سرویس از رمزنگاری لایه‌ای استفاده می‌کند.


چقدر می‌توانید به خدمات پیام‌رسان‌ها خود اعتماد کنید؟

رمزنگاری سرتاسری می‌تواند از شما در برابر نظارت دولت‌ها، هکرها و خود سازندگان پیام‌رسان‌ها دفاع کند. اما ممکن است همه این گروه‌ها بتوانند تغییرات مخفیانه‌ای در نرم‌افزار مورد استفاده شما ایجاد کنند؛ به‌طوری که حتی با ادعای استفاده از رمزنگاری سرتاسری، داده‌های شما را بدون رمزنگاری یا رمزنگاری ضعیف ارسال کنند.

بسیاری از گروه‌های فعال در حوزه امنیت دیجیتال و حریم خصوصی، وقت خود را صرف پایش و نظارت ارائه‌دهندگان خدمات ارتباطی شناخته شده مانند واتس‌اپ و سیگنال می‌کنند تا از ارائه رمزنگاری سرتاسری که همواره این پیام‌رسان‌ها وعده آن را می‌دهند، اطمینان حاصل کنند. اما اگر نگران این خطرات هستید، می‌توانید از ابزارهایی استفاده کنید که از تکنیک‌های رمزنگاری شناخته شده و بازبینی شده عمومی استفاده می‌کنند و به صورت مستقل از سیستم‌های عمومی طراحی شده‌اند. OTR و PGP دو نمونه از این موارد هستند. این ابزارها برای کارکرد به مهارت کاربر متکی هستند، اغلب کاربرپسند نبوده و دارای پروتکل‌های قدیمی هستند که از تمام تکنیک‌های رمزنگاری مدرن استفاده نمی‌کنند.


چگونه از  OTR‌ استفاده کنید؟

به‌صورت کلی، Off-The-Record (OTR) یک پروتکل رمزنگاری سرتاسری برای مکالمات متنی به‌صورت آنی است که می‌تواند در صدر لیست انواع سرویس‌های پیام فوری مورد استفاده قرار گیرد. برخی از ابزارهایی که OTR را شامل می‌شوند عبارتند از:

- پیام‌رسان Pidgin برای ویندوز و لینوکس
- پیام‌رسان Adium برای macOS
- پیام‌رسان Jitsi برای ویندوز، لینوکس و macOS


چگونه از PGP استفاده کنید؟

به‌صورت کلی، نرم‌افزار PGP (یا Pretty Good Privacy) استانداردی برای رمزنگاری سرتاسری برای ایمیل است. PGP برای ایمیل، در برقراری ارتباط بین کاربران با تجربه فنی، که از پیچیدگی‌ها و محدودیت‌های PGP به خوبی آگاه هستند، بسیار مناسب و ایده‌آل است. برای راهنمایی دقیق در مورد نحوه نصب و استفاده از رمزنگاری PGP در ایمیل خود، به آموزش‌های زیر مراجعه کنید:

- نحوه استفاده از PGP برای macOS (به‌روزرسانی خواهد شد)
- نحوه استفاده از PGP برای ویندوز (به‌روزرسانی خواهد شد)
- نحوه استفاده از PGP برای لینوکس (به‌روزرسانی خواهد شد)


آنچه که رمزنگاری سرتاسری انجام نمی‌دهد؟

رمزنگاری سرتاسری تنها از محتوایات ارتباطات شما محافظت می‌کند و امکان رمزنگاری اطلاعات مربوط به ارتباطات شما را ندارد. این مساله به این معنی است که رمزنگاری سرتاسری از فراداده «Metadata» شما که شامل، عنوان و موضوع ایمیل یا برقراری ارتباط با چه کسی و در چه زمانی است، محافظت نمی‌کند. اگر از طریق تلفن همراه تماس می‌گیرید، اطلاعات مربوط به موقعیت مکانی شما نیز می‌تواند بخشی از فراداده ارتباط شما باشد.

توجه داشته باشید که فراداده‌ها می‌توانند اطلاعات بسیاری را درمورد در معرض افشاء قرار دهند؛ حتی اگر محتوایات ارتباط شما مخفی بماند.

فراداده مربوط به تماس‌های تلفنی مستقیم و همچنین تماس‌های برقرار شده از طریق پیام‌رسان‌های صوتی، می‌تواند اطلاعات بسیار خصوصی و حساسی را در معرض افشاء قرار دهند. برای مثال:

- فراداده مشخص می‌کند که شما ساعت ۴:۳۵ بعد از ظهر با دفتر کانون وکلا تماس داشته‌اید و ۱۸ دقیقه صحبت کرده‌اید؛ اما این موضوع شامل اینکه در مورد چه چیزی صحبت کرده‌اید نخواهد بود.

- فراداده مشخص می‌کند که شما از طریق یک پیام‌رسان، با انجمن حمایت از زنان تماس گرفته‌اید، اما موضوع این تماس همچنان مخفی باقی می‌ماند.

- فراداده مشخص می‌کند که شما با خانواده یک فعال صنفی بازداشتی صحبت کرده‌اید و سپس در همان ساعت با یک وکیل و بعد از آن، با انجمن حمایت از حقوق کارگران صحبت داشته‌اید؛ اما مشخص نمی‌کند که در مورد چه چیزی به‌صورت دقیق صحبت کرده‌اید.


سایر ویژگی‌های مهم

رمزنگاری سرتاسری تنها یکی از چندین ویژگی‌ مهم امنیتی محسوب میشود که ممکن است در ارتباطات ایمن برای شما مهم باشد. همان‌طور که در بالا توضیح داده شد، رمزنگاری سرتاسری برای جلوگیری از دسترسی شرکت‌ها و دولت‌ها به پیام‌های شما عالی است. اما برای بسیاری از مردم، شرکت‌ها و دولت‌ها بزرگترین تهدید نیستند و بنابراین رمزنگاری سرتاسری ممکن است اولین اولویت آن‌ها نباشد.

به‌عنوان مثال، اگر فردی نگران همسر، والدین یا کارفرمای خود در دسترسی فیزیکی به گوشی خود است، ارسال پیام با قابلیت حذف خودکار (disappearing) ممکن است عامل تعیین‌کننده او در انتخاب پیام‌رسان باشد. ممکن است شخص دیگری نگران شماره تلفن خود باشد و بنابراین استفاده از نام مستعار و شماره‌ای غیر شماره تلفن اصلی او، ممکن است اهمیت بیشتری داشته باشد.

به‌طور کلی، ویژگی‌های امنیت و حریم خصوصی، تنها متغیرهای با اهمیت، در انتخاب روش ارتباطی ایمن نیستند. یک برنامه با ویژگی‌های امنیتی عالی، اگر هیچ یک از دوستان و مخاطبان شما از آن استفاده نکنند، ممکن است برای شما بی‌ارزش شود و کاربردی نداشته باشد؛ همچنین محبوب‌ترین و پرکاربردترین برنامه‌ها می‌توانند بر اساس کشورها و جوامع، متفاوت باشند. کیفیت پایین خدمات یا پرداخت هزینه برای یک برنامه نیز می‌تواند یک پیام‌رسان را برای برخی افراد نامناسب کند.

در پایان، باید بدانید که هرچه بیشتر درمورد مسائل امنیتی بدانید، می‌توانید آگاهانه‌تر تصمیم بگیرید راحت‌تر از قبل، در میان انبوه گسترده اطلاعات متناقض و گاه منسوخ موجود، حرکت کنید.