هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور
هفته نامه عصر ارتباط - اولین و پر تیراژترین هفته نامه iCT کشور

جایزه يك میلیارد تومانی برای هک آی‌گپ یا پروتکلAES

علی کیایی‌فر

چندی پیش مدیر پیام‌رسان داخلی آی‌گپ در وبلاگ خود برای هک کردن آی‌گپ جایزه یک میلیارد تومانی را با پیش‌شرط‌های زیر تعیین کرده است:

«این جایزه منوط به این است که:

1. ‌بتواند دو لایه (بدون در نظر گرفتن لایه SSL ) رمزگذاری اختصاصی این پیام‌رسان را هک کرده و اطلاعات را به‌صوت متن ساده به‌دست آورد. (ارفاق برای سهولت کار شما هکر گرامی‌)

2.‌ رمزشکنی باید با ابزار‌هايی همانند وایرشارک که یک ابزار تحلیل‌کننده شبکه است، قابل رویت باشد.

نکته‌ای که نیاز به شفاف‌سازی دارد، این است که طبق گفته مدیر آی‌گپ، از الگوریتم رمزنگاری AES براي رمزنگاری پیام‌های تبادلی ميان کلاینت و سرور استفاده شده است. با توجه به اینکه AES یک الگوریتم استاندارد و امن (تا به امروز) است، بدیهی است که هیچ فردی نه‌تنها در ایران که در کل دنیا نمی‌تواند به‌نحوی که خواسته شده، پروتکل AES را بشکند و به‌وسیله ابزاری مانند وایرشارک، محتوای داخلی پیام‌ها را نشان دهد. (اگر هم سازمان NSA یا دیگر سازمان‌های اطلاعاتی و جاسوسی قادر به این کار باشند، برای حفظ این برتری استراتژیک خود، به‌خاطر یک میلیارد تومان جایزه آن را اعلام نخواهند کرد.)

در واقع مدیر پیام‌رسان آی‌گپ به جای تعیین جایزه برای هک کردن پیام‌رسانش، شرط و شروط گذاشته که اگر می‌توانید بیایید پروتکل AES را هک کنید.

این خبر باعث شد برخی از رسانه‌های غیرتخصصی در تمجید از امنیت این پیام‌رسان، اخباری را منتشر کنند، درحالی‌که مدیر پیام‌رسان بومی ‌با این پیش‌شرط‌ها در حقیقت چالشی را با جایزه یک میلیارد تومانی برای هک کردن پروتکل جهانی و بسیار امن AES طرح کرده است.

در مورد پروتکل AES بد نیست بدانیم:

پروتکل AES در سال 2000 ابداع شد. اگر در این پروتکل از ‌Block Size‌های 128 بیتی استفاده شود، شما به تعداد 2 به توان 128 عدد کلید خواهید داشت. به این ترتیب اگر سوپرکامپیوتری داشته باشید که بتواند در هر ثانیه 50 میلیارد کلید را تست کند، بیش از  5.000.000.000.000.000.000.000 (5 ضربدر 10 به توان 21) سال طول خواهد کشید تا بتوانید کلید را کشف کنید!

تعیین جایزه برای کشف باگ (Bug Bounty) یک پدیده رایج در دنیاست. گوگل و فیس‌بوک و مایکروسافت و... مکررا سابقه برگزاری چنین مسابقاتی را دارند، حتی شرکت‌هایی مانند Hackerone و Bugcrowd به‌طور تخصصی این سرویس را ارايه می‌کنند. معمولا هم در شرایط جایزه اعلام می‌کنند که جایزه به چه حمله‌ها یا آسیب‌پذیری‌هایی تعلق نمی‌گیرد تا افراد وقت و انرژی خود را صرف آن حمله‌ها نکرده و بعدا مدعی نشوند. اما مدیر پیام‌رسان آی‌گپ برخلاف رویه رایج در دنیا اعلام کرده که هکرها باید بتوانند پروتکل رمزنگاری اختصاصی این پیام‌رسان (بخوانید ‌AES‌) را هک کنند!

به مدیر پیام‌رسان آی‌گپ پیشنهاد می‌کنیم یک میلیارد تومان را برای توسعه پیام‌رسان خود نگه دارند و هر وقت از امنیت آن مطمئن شدند، بدون گذاشتن پیش شرط، دوباره جایزه تعیین کنند!

در شکل زیر تفاوت امنیت پروتکل AES با سایر پروتکل‌ها قابل درک است.

درج دیدگاه

بررسی بازی