דף הבית   על אודות   צרו קשר   לפני האיתחול  
4 בפברואר2018

מה ההבדל בין ווטצאפ טלגרם וסיגנל


בפרקים הקודמים הכרנו את לודה ובלעם, חברים במחתרת המוחזקים בכלא של המשטר, ואת הדרכים המחוכמות בהן בחרו לתקשר כדי שמפקד הכלא החלקלק לא יחשף לתוכן דבריהם. אם החמצתם אותם, מומלץ לעצור ולקרוא אותם קודם. אנחנו נחכה כאן.

תקשורת היא חלק חשוב משגרת החיים של כולנו, ואמצעי התקשורת שלנו הפכו לכלי עבודה מרכזיים המשמשים אותנו למטרות רבות. גם בשביל לודה ובלעם, הדיסידנטים המוחזקים בבית הכלא השמור של המשטר, אמצעי התקשורת הם חשובים.

שיטת תקשורת אחת שהצליחו ידידינו הדיסידנטים להמציא עבדה כך: בלעם היה שולח הודעה מוצפנת לשאול מהקנטינה, ושאול היה מעביר את ההודעה המוצפנת ללודה. הבעיה החלה כאשר שאול קיבל צו ממפקד בית הכלא החלחלק שהכריח אותו להעביר אליו את תכני השיחות של לודה ובלעם. ההודעות בין בלעם לשאול היו מוצפנות, ובין שאול ללודה היו מוצפנות, אך שאול עדיין היה יכול לקרוא את תוכנן ולהעביר אותו למפקד הכלא החלקלק.

אפליקציות פופולריות מאוד, כמו פייסבוק מסנג’ר, גוגל הנגאאוטס, ורבות אחרות, פועלות באותה הצורה, וכך פועלים גם רוב שירותי הדואר האלקטרוני. אמנם התקשורת בין המשתמש לשירות היא מוצפנת, אבל בעלי השירות חשופים לתכנים הנשמרים אצלהם בשרתים. ממשלת ארצות הברית פונה לחברות הטכנולוגיה באמצעות “מכתבי ביטחון לאומי” (National security letters) וצווי FISA ודורשת מהם מידע על המשתמשים, הכולל פעמים רבות גם את תוכן שיחותיהם והתכתבויותיהם. אבל לא מדובר רק בממשלת ארה”ב. ממשלות רבות בעולם פונות, באמצעות שיתוף פעולה מודיעיני וצווי בית משפט אמריקאי, לחברות הללו ודורשות (ומקבלות) מידע. במחצית הראשונה של שנת 2017, למשל, ממשלת ישראל דרשה מפייסבוק מידע על 509 משתמשים ומגוגל מידע על 281 משתמשים באותה תקופה.

trust issues

מכאן, הבינו בלעם ולודה, לא תבוא הישועה. לכן, הם המשיכו להשתמש בשירותיו הטובים של שאול מהקנטינה, אך הפעם השתמשו בשירות החדש שפיתח שאול וקרא לו “מקצה לקצה”. בשירות הזה בלעם הצפין את תוכן ההודעה שלו עם הקופסה של לודה, ולודה הצפינה את הודעותיה עם הקופסה של בלעם, כך שלמרות שהמידע עדיין עבר דרך שאול, הוא לא יכול היה לדעת מה נאמר בתוכן ההודעות.

שיטת הפעולה הזו נקראת “הצפנה מקצה לקצה” (End to end encryption) ובהנחה שהיא נעשית כמו שצריך, היא מבטיחה שרק שולח ההודעה ומקבל ההודעה ידעו מה נאמר בה. אפליקציית ההודעות המיידיות המעולה “סיגנל” משתמשת בהצפנה מקצה לקצה, וכך גם ווטצאפ (אלא אם נקבע אחרת על ידי המשתמש) וטלגרם (שצריך לבקש את זה במיוחד, היא לא קיימת ברוב השיחות, ובלתי אפשרית לחלוטין בשיחות קבוצתיות). ישנם גם שירותי דואר אלקטרוני שמשתמשים בהצפנה מקצה לקצה (כמו פרוטון מייל למשל) כך שגם אם הממשלה תגיע אליהם עם צו לקבל את כל המידע של המשתמשים והודעות הדוא”ל שלהם, לא יהיה להם מה לתת.

הידד! צהלו בלעם ולודה. כל שעלינו לעשות זה להשתמש בשירות המוצפן מקצה לקצה שפיתח שאול מהקנטינה, והמידע שלהם יהיה בטוח מעינו הפקוחה של מפקד הכלא החלקלק. ברם, כאשר ביקש בלעם משאול שיראה לו איך עובד השירות החדש שלו, שאול סרב. “סמוך עלי”, הוא אמר לו. “אם אחיך שאול אומר שזה מוצפן - אז זה מוצפן”. אבל, אמר בלעם, אתה פעם לקחת כסף מהמשווק של עוגות הבית כדי לספר לו למי מהאסירים יש חולשה למתוקים כדי שיוכל לשלוח לו מסר שיווקי מיוחד. “שמע”, מלמל שאול, “הפעם אני באמת מתכוון לזה, סמוך על סמוך”.

וכאן אנחנו מגיעים לבעייה מספר אחת של הפרטיות: אמון (Trust) - במי אנחנו אמורים לבטוח עם המידע שלנו. הקוד של ווטצאפ הוא קוד סגור, קרי, אין לנו (או למומחים עליהם אנחנו סומכים) גישה לבדוק אם הוא באמת מוצפן ובטוח כפי שמספרים לנו. יתרה מכך, פייסבוק, החברה שווטצאפ נמצאת בבעלותה, היא חברה נכלולית שאוספת ומוכרת כל שביב של מידע עלינו, המשתמשים, לכל מי שמוכן לשלם. האם הייתם סומכים עליהם?

“יודע מה?” אמר שאול, “יש לי מוצר חדש, אני קורא לו ‘מברקון’, בוא, אראה לך איך בנויה הקופסה שמצפינה את ההודעה שלך. משוכלל, נכון? המצאתי את ההצפנה הזו בעצמי”. בלעם התרשם וכמעט התפתה, אך לפני שקנה את הסיפור של שאול הוא שאל: “ואיך אתה מעבד את הקופסאות המוצפנות? אפשר לראות את הארון בהן אתה שומר אותן כדי לוודא שאין בו דלתות אחוריות או פרצות?”. “שמע, ידידי, אתה ממש מגזים, הראיתי לך את הקופסה והסברתי לך איך היא עובדת, מה אתה מבלבל לי את המוח עכשיו עם הארון? סמוך על סמוך!”

וככה, פחות או יותר, נראה הטיעון של אפליקציית המסרים המידיים “טלגרם”. החוק הראשון בהצפנה הוא - לעולם אל תפתחו קריפטוגרפיה משל עצמכם, ולמרות זאת, טלגרם המציאו אלגוריתם הצפנה שספג ביקורת רבה. כמו כן, בניגוד לטענות החברה, לפיהן הם עובדים בקוד פתוח, הם מאפשרים לצפות רק בקוד צד הלקוח, ולא בצד השרת. גם אם אנחנו מקבלים את ההנחה (הבעייתית מאוד) שההצפנה שלהם סבירה והאפליקציות שלהם נחמדות, אין לנו שום שקיפות לגבי מה קורה מאחורי הקלעים. למרות להיטות המעריצים של האפליקציה הזו, אי אפשר לטעון שהיא באמת פועלת בקוד פתוח, ומכאן - נדרש אמון מלא ביושרם של מפעילי השירות, בדיוק כמו במקרה של ווטצאפ. שתי נקודות בעייתיות נוספות בטלגרם הן העדר הצפנה מקצה לקצה בשיחות קבוצתיות, והעובדה שהם משתמשים בטרמינולוגיה מבלבלת לגבי הצפנה בכלל: אין הצפנה מקצה לקצה כברירת מחדל (ההצפנה קיימת רק בין הלקוח לשרת, כמו בפייסבוק מסנג’ר למשל), והמשתמש צריך ליזום יצירת “שיחה סודית” על מנת להפעיל הצפנה מקצה לקצה.

“אני”, הכריזה לודה, “לא סומכת על אף אחד. בטח לא על שאול מהקנטינה”. וכך בחרו לודה ובלעם בשירות אחר, “אות” שמו, שחשף את כל צפונותיו, הראה איך עובד כל חלק וחלק בו, ואף נבדק על ידי מומחים רבים שפירסמו את מסקנותיהם ואיששו את בטיחותו.

מבין שלוש האלטרנטיבות הפופולריות, רק סיגנל הוא באמת קוד פתוח, שנבדק על ידי מומחים מהשורה הראשונה, וקיבל את חותמת האיכות שלהם. אתם יכולים לבטוח בפייסבוק, כמובן, או בטלגרם, אבל זה כבר עניין של אמון ואמונה.

בפרק הבא בקורותיהם של לודה ובלעם בכלא של המשטר: מה זה בלוקצ’יין, ואיך עובדים מטבעות קריפטו.