سروش از نظر فنی امکان شنود ندارد/حتی خودمان هم توانایی شنود نداریم/سروش مثل تلفن ثابت نیست که بشود شنود کرد

اعتمادآنلاین| سیدمیثم سید صالحی، مدیر پیام‌رسان سروش گفتگویی درباره این پیام‌رسان داخلی و حاشیه‌های آن داشته که مشروحش در ادامه می‌آید:

پیام‌رسان‌ها برای مورد اعتماد مردم قرار گرفتن، می‌کوشند تا امنیت کاربران‌شان را حفظ کرده و اطلاعاتی در اختیار دستگاه‌های امنیتی و اطلاعاتی قرار ندهند. پیام‌رسان سروش به این لحاظ چه تدابیری اندیشیده و ابزارهای ایستادگی سروش در برابر فشارهای امنیتی چیست؟

پیرو مصوبه و آیین‌نامه جدیدی که قوه قضاییه هم تصویب کرده و پیرو فتوای رهبری برای این مساله، یک پروتکل دقیق حقوقی داریم. این پروتکل از قبل تهیه شده و مربوط به روزهای اخیر نیست؛ هر چند که طبق قوانین جدید آن را بازنویسی کردیم و خیلی محکم‌تر در مورد حریم خصوصی کاربران به صورت مفصل به آن پرداختیم. ما حافظ حریم خصوصی کاربران‌مان هستیم. اعتماد مردم به سروش سرمایه اصلی ما است. از وجه اقتصادی نیز به عنوان فعال اقتصادی جنبه‌های اجتماعی بی‌اعتمادی را درک می‌کنیم.

پیشتر گفته بودید که «با فتوای رهبری دیگر با خیال راحت به هیچ یک از درخواست‌های امنیتی پاسخ نداده‌ایم اما پیش از این درخواست‌هایی آمده بود که پاسخ داده نشده و به دلیل پاسخ ندادن نیز تحت فشار بودیم.» یعنی بعد از فتوای رهبری درخواست‌های امنیتی برای دادن اطلاعات کاربران وجود داشته است؟ از طرف چه نهادی بوده؟

خیر. چند نفر برداشت متناقض با متن داشتند. هیچ درخواستی بعد از فتوا و آیین نامه‌ای که قوه قضاییه داده، نداشتیم. قبل از آن هم به صورت خیلی محدود و آن هم شاید به دلیل مشخص نبودن قوانین در این حوزه بوده که بعد از مشخص شدن قوانین خیلی شفاف گفتیم نه هیچ داده‌ای را دادیم و نه می‌دهیم. من در متن اشاره کردم که درخواست قضایی بوده، نه امنیتی. نمی‌دانم با چه برداشتی می‌توان آن را امنیتی جلوه داد. در خواست قضایی خیلی روتین است. همه اوپراتورها حتی اپلیکیشن‌های عمومی مثل خرید و فروش و اسنپ درخواست‌هایی از سمت قوه قضاییه دارند. ما حتی در برابر این درخواست‌ها هم پاسخ ندادیم. با اینکه پرونده شاکی خصوصی هم داشته ما اطلاعات نداده و نمی‌دهیم.

متن مصاحبه شما صراحتا کلمه «درخواست‌های امنیتی» به کار رفته؛ نه قضایی. مصاحبه‌ای که خبرگزاری فارس منتشر کرده و خبرگزاری‌ها و رسانه‌های مختلف آن را نشر داده‌اند.

متن خبر فارس درخواست‌های قضایی نوشته شده است. در مورد امنیت کاربر سوال شد و من گفتم که درخواست در حوزه امنیت کاربران بوده است. اصلا نگفتم نهاد امنیتی درخواست داده است. این برداشت اشتباه است. واکنش‌هایی به حرف من صورت گرفت.

در خبرگزاری فارس از قول شما نوشته شده، «با فتوای رهبری دیگر با خیال راحت به هیچ یک از درخواست‌های امنیتی پاسخ نداده‌ایم اما پیش از این درخواست‌هایی آمده بود که پاسخ داده نشده و به دلیل پاسخ ندادن نیز تحت فشار بودیم.»

خبر فارس جلوی من باز است و نوشته «درخواست‌های قضایی». شما از کدام سایت می‌بینید؟

از سایت خبرگزاری فارس می‌بینم. پس شما می‌گویید در خواست‌ها از طرف دستگاه قضایی بوده است؟

محدود بوده و شاید هم مدیرعامل قبلی بیان کرده بود که دوستان می‌گفتند حتی ممکن است برای‌مان حکم جلب صادر شود. حدود دو یا سه ماه قبل بود که آقای جهرمی هم به این موضوع واکنش نشان دادند و توییت کردند که این فضا باید شفاف شود. در همان مورد هم نشان دادیم هیچ اطلاعاتی را نه داده‌ایم و نه می‌دهیم. ضمنا این مورد شاکی خصوصی داشته است.

اگر یک نهاد بخواهد به اطلاعات شما دست پیدا کند، می‌تواند پیام‌رسان را هک کند؟

قطعا این اتفاق نشدنی است. چون اگر بشود، کلیه داده‌های اقتصادی و تراکنش‌های بانکی هم هک‌شدنی بود. ما از همان پروتکل استفاده می‌کنیم. اگر حفره‌ای وجود داشت مطمئن باشید لااقل بانک‌ها از این فضا استفاده نمی‌کردند. از این جهت سروش مطمئن است. ما به دنبال برگزاری یک مسابقه برای امنیت سروش هستیم که متخصصین امنیت سروش را به آزمون بگذارند. کوچک‌ترین نکته امنیتی‌ای اگر پیدا شود، آن را رفع می‌کنیم. در هفته‌های آتی اعلام رسمی خواهیم کرد. از نگاه فنی به شما می‌گویم که پروتکل ما در دنیا قابل شکستن و بهره‌برداری نبوده و نیست.

در جایی از مصاحبه تان گفتید که «اگر توییتر و فیسبوک تابع شرایط کشور باشند، موافق فعالیت آنها هستیم.»

این را از آقای وزیر پرسیدند و من هم پیرو حرف ایشان این مساله را گفتم. فضای ارتباطی و رسانه‌های کشور مسوولی دارد و آن هم دولت است. اگر کسی در این فضا شرایط دولت را بپذیرد، می‌تواند فعالیت کند. حرفی که زدم این است.

این «شرایط» چیست؟ آیا دولت با شما در مورد «شرایط» خود حرف زده است؟ شما چه چیزی را باید رعایت کنید؟

این شرایط همان قوانین عمومی‌ای است که در کشور رایج است. هر کسی بخواهد کسب و کاری در کشور شکل دهد باید هویتش را معلوم کند؛ از یک نهاد مسوول مجوز فعالیت بگیرد؛ حساب‌های بانکی، مالیات و بیمه‌اش را مشخص کند. همین فضا را برای کسب و کارهای خارجی می‌گذارد یا باید بگذارد. در این فضا دولت مسوول است؛ اگر بخواهد می‌تواند باز کند و اگر بخواهد می‌تواند ببندد.

دستگاه‌هایی در تمام دنیا تحت نظر نهادهای امنیتی وجود دارد که امکان شنود را فراهم می‌کنند. بر همین اساس هم برخی پیام‌رسان‌ها از ویژگی کدگذاری کردن بر پیام‌های صوتی و متنی و تصویری می‌گویند. پیام‌رسان سروش پیام‌ها را کدگذاری می‌کند؟ یا مدل دیگری برای شنود نشدن به کار می‌برد؟

سروش اصلا و ابدا به لحاظ فنی امکان شنود ندارد. حتی خودمان هم توانایی شنود نداریم . سروش مثل تلفن ثابت نیست که بشود شنود کرد. این یک سیستم نرم‌افزاری مبتنی بر کد است. پروتکل رایج برای حفظ امنیت رعایت شده است. همین الان هم خیلی از سرویس‌ها از همین پروتکل استفاده می‌کنند.

شما حاضر هستید کلید‌گذاری پیام‌های‌تان را به سرویس‌های اطلاعاتی و امنیتی بدهید؟

این بحث تخصصی است. برخی از این کلیدها به اصطلاح فنی آن‌فلای (unfly) تولید می‌شود. بین دو طرف پیام در یک لحظه این کلید تولید، مبادله و مبتنی بر آن رمز می‌شود. با این مدل قاعدتا نمی‌توان این کلید را به جایی داد. زمانی که پیام تمام می‌شود، کلید به طور کامل از بین می‌رود.

تفاوت بر سر این است که کد در لحظه تغییر کرده و غیر قابل دستیابی شود. آیا پیام‌رسان سروش چنین قابلیتی دارد؟

به لحاظ فنی پروتکل TLSو SSL که ما آن را استفاده می‌کنیم مبتنی بر زمان است. آنها یک عدد باینری مبتنی بر تایم یونیک تولید می‌کنند که این عدد در هر صدم ثانیه در حال تغییر است.

فتوای رهبری برای پیام‌رسان شما تا چه اندازه خط قرمز محسوب می‌شود؟

این فتوا برای ما اطمینان‌بخش بوده و این پایبندی همگانی را به دنبال داشته که درجه اهمیت این حریم خصوصی مشخص شود. ما از این بابت ممنون ایشان هستیم.

شما تا کجا مقابل فشارهایی که ممکن است در آینده به شما وارد شود تا اطلاعات را در اختیار برخی نهادها بگذارید، می‌ایستید؟

فشار وجود ندارد.

در شرایط حساس کشور اگر بخواهند به اطلاعات پیام‌رسان شما دست یابند، چطور؟

فتاوا استثنا ندارند و ما هم امکان ندارد که در این فضا وارد شویم که بخواهیم اعتماد مردم را در هر موضوعی دچار آسیب کنیم. البته بحث در جاهایی فنی می‌شود. مواردی از آن به لحاظ فنی نشدنی است. کارهای ما در عرصه فنی پشتوانه‌ای است تا این فتوا را در عمل پیاده کنیم. کاری می‌کنیم که همکارانی که در بانک‌های اطلاعاتی با داده‌ها ارتباط هستند و عملا کدها یا فایل‌ها و سرور‌ها را نگهداری می‌کنند، نیز دسترسی به این فایل‌ها نداشته باشند. ما از به روز‌ترین فناوری‌ها استفاده می‌کنیم. پروتکلی که تلگرام استفاده می‌کند ناشناخته است و هیچ جا هم تست نشده اما پروتکلی که ما استفاده می‌کنیم شناخته شده بین‌المللی است.

شما می‌گویید سروش پروتکل امنیتی را استفاده می‌کند. راه راستی‌آزمایی آن چیست؟

عنوان پروتکل را گفتم و یکی از راه‌های راست‌آزمایی‌اش این است که اطلاعات گوگل را از سرور آن برداشت کنید. چون همه از همین پروتکل استفاده می‌کنند.

چقدر از دولت بابت حمایت از محصول داخلی‌تان پول گرفته اید؟

وامی برای این حوزه تخصیص داده‌اند و ما توانسته‌ایم که این وام را بگیریم.

چقدر؟

از دولت وام پنج میلیاردی گرفتیم. تلاش‌مان این است که نهایت استفاده را از این برای توسعه کسب و کارمان ببریم. با مواردی مثل رایگان کردن پهنای باند از این سرمایه در گردش استفاده می‌کنیم. در مقابل این پول ضمانت دادیم و بعد از دوره تنفس باید ماهانه اقساطش را بدهیم.

منبع: روزنامه اعتماد