Cloudflare از متنباز شدن Orange Meets با رمزنگاری End-to-End خبر داد.
شرکت Cloudflare با پیادهسازی رمزنگاری سرتاسری (End-to-End Encryption – E2EE) در اپلیکیشن تماس ویدیویی خود موسوم به Orange Meets، کد منبع این راهکار را بهمنظور شفافیت بیشتر بهصورت متنباز منتشر کرده است.
این اپلیکیشن از سال گذشته در دسترس بوده و در ابتدا بهعنوان نسخه دمو برای سرویس Cloudflare Calls (که اکنون با نام Realtime شناخته میشود) عرضه شد.
با معرفی رمزنگاری سرتاسری و رفع برخی مسائل مربوط به اعتماد و اعتبارسنجی، کاربران علاقمند به تضمینهای رمزنگاری قوی میتوانند از Orange Meets بهعنوان بستری برای ارتباطات ویدیویی امن در پروژههای تحقیقاتی یا نمونهسازی استفاده کنند.
طراحی رمزنگاری سرتاسری
Orange Meets رمزنگاری سرتاسری را بر پایه پروتکل Messaging Layer Security (MLS) پیادهسازی کرده است؛ پروتکلی که توسط IETF بهعنوان استانداردی برای تبادل کلید گروهی تعریف شده است.
پیادهسازی Rust-based پروتکل MLS در Orange Meets امکان توافق کلید گروهی بهصورت پیوسته را فراهم میکند و از ویژگیهایی مانند محرمانگی روبهجلو (Forward Secrecy)، امنیت پس از نفوذ (Post-Compromise Security) و مقیاسپذیری پشتیبانی میکند.
رمزنگاری بهطور کامل در سمت کاربر و با استفاده از WebRTC انجام میشود، در نتیجه Cloudflare و واحد Selective Forwarding Unit (SFU) صرفاً نقش واسط انتقال را داشته و هیچگونه دسترسی به محتوای ارتباطی رمزنگاریشده ندارند.
Cloudflare الگوریتمی تحت عنوان Designated Committer Algorithm معرفی کرده است که بهصورت ایمن، تغییرات پویای عضویت در گروه مانند پیوستن یا ترک کاربران در یک تماس ویدیویی را مدیریت میکند.
این سیستم در عمل، یک عضو مشخص را بهعنوان مسئول مدیریت بهروزرسانیهای MLS بهصورت کاملاً سمتکاربر تعیین میکند و بر اساس وضعیت گروه، بهطور خودکار یک Designated Committer جدید انتخاب میشود.
در هر جلسهی ویدیوکنفرانس، یک Safety Number نمایش داده میشود که نشاندهندهی وضعیت رمزنگاریشدهی گروه است و از کاربران خواسته میشود که این عدد را خارج از پلتفرم تأیید کنند.
این مکانیزم از حملات Monster-in-the-Middle (MitM) جلوگیری میکند؛ جایی که یک سرور مخرب ممکن است مواد کلیدی (key material) را جایگزین کند.
Cloudflare الگوریتم Designated Committer Algorithm را با استفاده از زبان مشخصسازی TLA+ مدلسازی رسمی کرده است؛ زبانی که برای اثبات ریاضی صحت عملکرد پروتکل در تمام شرایط ممکن بهکار میرود و قادر است باگهای ظریف و موارد خاص را شناسایی کند.
با این حال، باید تأکید کرد که Orange Meets بیشتر یک نمایش فنی و نمونهی متنباز محسوب میشود تا یک محصول نهایی برای مصرفکنندگان.
این ابزار در مقایسه با Zoom، Google Meet، Signal یا Microsoft Teams از نظر امکانات و سهولت استفاده در سطح پایینتری قرار دارد و هنوز مورد ارزیابی امنیتی کامل یا استفاده در شرایط واقعی قرار نگرفته است.
ابزار Cloudflare بیشتر مناسب توسعهدهندگانی است که به ادغام MLS و مباحث رمزنگاری علاقهمند هستند، همچنین برای علاقهمندان به حریم خصوصی و کاربرانی که میخواهند با تماس ویدیویی E2EE متنباز آزمایش انجام دهند، گزینهی مناسبی بهشمار میرود. همچنین برای پژوهشگران یا مهندسانی که قصد بررسی پیادهسازیهای MLS را دارند نیز کاربردی است.
Orange Meets نیاز به نصب ندارد و از طریق نسخهی دمو آنلاین قابل استفاده است.
همچنین کاربران میتوانند با استفاده از سورسکد موجود در مخزن GitHub، نسخهی اختصاصی خود را راهاندازی کنند.
