Cloudflare از متن‌باز شدن Orange Meets با رمزنگاری End-to-End خبر داد.

شرکت Cloudflare با پیاده‌سازی رمزنگاری سرتاسری (End-to-End Encryption – E2EE) در اپلیکیشن تماس ویدیویی خود موسوم به Orange Meets، کد منبع این راهکار را به‌منظور شفافیت بیشتر به‌صورت متن‌باز منتشر کرده است.

این اپلیکیشن از سال گذشته در دسترس بوده و در ابتدا به‌عنوان نسخه دمو برای سرویس Cloudflare Calls (که اکنون با نام Realtime شناخته می‌شود) عرضه شد.

با معرفی رمزنگاری سرتاسری و رفع برخی مسائل مربوط به اعتماد و اعتبارسنجی، کاربران علاقمند به تضمین‌های رمزنگاری قوی می‌توانند از Orange Meets به‌عنوان بستری برای ارتباطات ویدیویی امن در پروژه‌های تحقیقاتی یا نمونه‌سازی استفاده کنند.

طراحی رمزنگاری سرتاسری

Orange Meets رمزنگاری سرتاسری را بر پایه پروتکل Messaging Layer Security (MLS) پیاده‌سازی کرده است؛ پروتکلی که توسط IETF به‌عنوان استانداردی برای تبادل کلید گروهی تعریف شده است.

پیاده‌سازی Rust-based پروتکل MLS در Orange Meets امکان توافق کلید گروهی به‌صورت پیوسته را فراهم می‌کند و از ویژگی‌هایی مانند محرمانگی رو‌به‌جلو (Forward Secrecy)، امنیت پس از نفوذ (Post-Compromise Security) و مقیاس‌پذیری پشتیبانی می‌کند.

رمزنگاری به‌طور کامل در سمت کاربر و با استفاده از WebRTC انجام می‌شود، در نتیجه Cloudflare و واحد Selective Forwarding Unit (SFU) صرفاً نقش واسط انتقال را داشته و هیچ‌گونه دسترسی به محتوای ارتباطی رمزنگاری‌شده ندارند.

Cloudflare الگوریتمی تحت عنوان Designated Committer Algorithm معرفی کرده است که به‌صورت ایمن، تغییرات پویای عضویت در گروه مانند پیوستن یا ترک کاربران در یک تماس ویدیویی را مدیریت می‌کند.

این سیستم در عمل، یک عضو مشخص را به‌عنوان مسئول مدیریت به‌روزرسانی‌های MLS به‌صورت کاملاً سمت‌کاربر تعیین می‌کند و بر اساس وضعیت گروه، به‌طور خودکار یک Designated Committer جدید انتخاب می‌شود.

در هر جلسه‌ی ویدیوکنفرانس، یک Safety Number نمایش داده می‌شود که نشان‌دهنده‌ی وضعیت رمزنگاری‌شده‌ی گروه است و از کاربران خواسته می‌شود که این عدد را خارج از پلتفرم تأیید کنند.

این مکانیزم از حملات Monster-in-the-Middle (MitM) جلوگیری می‌کند؛ جایی که یک سرور مخرب ممکن است مواد کلیدی (key material) را جایگزین کند.

Cloudflare الگوریتم Designated Committer Algorithm را با استفاده از زبان مشخص‌سازی TLA+ مدل‌سازی رسمی کرده است؛ زبانی که برای اثبات ریاضی صحت عملکرد پروتکل در تمام شرایط ممکن به‌کار می‌رود و قادر است باگ‌های ظریف و موارد خاص را شناسایی کند.

با این حال، باید تأکید کرد که Orange Meets بیشتر یک نمایش فنی و نمونه‌ی متن‌باز محسوب می‌شود تا یک محصول نهایی برای مصرف‌کنندگان.

این ابزار در مقایسه با Zoom، Google Meet، Signal یا Microsoft Teams از نظر امکانات و سهولت استفاده در سطح پایین‌تری قرار دارد و هنوز مورد ارزیابی امنیتی کامل یا استفاده در شرایط واقعی قرار نگرفته است.

ابزار Cloudflare بیشتر مناسب توسعه‌دهندگانی است که به ادغام MLS و مباحث رمزنگاری علاقه‌مند هستند، همچنین برای علاقه‌مندان به حریم خصوصی و کاربرانی که می‌خواهند با تماس ویدیویی E2EE متن‌باز آزمایش انجام دهند، گزینه‌ی مناسبی به‌شمار می‌رود. همچنین برای پژوهشگران یا مهندسانی که قصد بررسی پیاده‌سازی‌های MLS را دارند نیز کاربردی است.

Orange Meets نیاز به نصب ندارد و از طریق نسخه‌ی دمو آنلاین قابل استفاده است.

همچنین کاربران می‌توانند با استفاده از سورس‌کد موجود در مخزن GitHub، نسخه‌ی اختصاصی خود را راه‌اندازی کنند.