پيامرسانها براي مورد اعتماد مردم قرار گرفتن، ميكوشند تا امنيت كاربرانشان را حفظ كرده و اطلاعاتي در اختيار دستگاههاي امنيتي و اطلاعاتي قرار ندهند. پيامرسان سروش به اين لحاظ چه تدابيري انديشيده و ابزارهاي ايستادگي سروش در برابر فشارهاي امنيتي چيست؟
پيرو مصوبه و آييننامه جديدي كه قوه قضاييه هم تصويب كرده و پيرو فتواي رهبري براي اين مساله، يك پروتكل دقيق حقوقي داريم. اين پروتكل از قبل تهيه شده و مربوط به روزهاي اخير نيست؛ هر چند كه طبق قوانين جديد آن را بازنويسي كرديم و خيلي محكمتر در مورد حريم خصوصي كاربران به صورت مفصل به آن پرداختيم. ما حافظ حريم خصوصي كاربرانمان هستيم. اعتماد مردم به سروش سرمايه اصلي ما است. از وجه اقتصادي نيز به عنوان فعال اقتصادي جنبههاي اجتماعي بياعتمادي را درك ميكنيم.
پيشتر گفته بوديد كه «با فتواي رهبري ديگر با خيال راحت به هيچ يك از درخواستهاي امنيتي پاسخ ندادهايم اما پيش از اين درخواستهايي آمده بود كه پاسخ داده نشده و به دليل پاسخ ندادن نيز تحت فشار بوديم.» يعني بعد از فتواي رهبري درخواستهاي امنيتي براي دادن اطلاعات كاربران وجود داشته است؟ از طرف چه نهادي بوده؟
خير. چند نفر برداشت متناقض با متن داشتند. هيچ درخواستي بعد از فتوا و آيين نامهاي كه قوه قضاييه داده، نداشتيم. قبل از آن هم به صورت خيلي محدود و آن هم شايد به دليل مشخص نبودن قوانين در اين حوزه بوده كه بعد از مشخص شدن قوانين خيلي شفاف گفتيم نه هيچ دادهاي را داديم و نه ميدهيم. من در متن اشاره كردم كه درخواست قضايي بوده، نه امنيتي. نميدانم با چه برداشتي ميتوان آن را امنيتي جلوه داد. در خواست قضايي خيلي روتين است. همه اوپراتورها حتي اپليكيشنهاي عمومي مثل خريد و فروش و اسنپ درخواستهايي از سمت قوه قضاييه دارند. ما حتي در برابر اين درخواستها هم پاسخ نداديم. با اينكه پرونده شاكي خصوصي هم داشته ما اطلاعات نداده و نميدهيم.
متن مصاحبه شما صراحتا كلمه «درخواستهاي امنيتي» به كار رفته؛ نه قضايي. مصاحبهاي كه خبرگزاري فارس منتشر كرده و خبرگزاريها و رسانههاي مختلف آن را نشر دادهاند.
متن خبر فارس درخواستهاي قضايي نوشته شده است. در مورد امنيت كاربر سوال شد و من گفتم كه درخواست در حوزه امنيت كاربران بوده است. اصلا نگفتم نهاد امنيتي درخواست داده است. اين برداشت اشتباه است. واكنشهايي به حرف من صورت گرفت.
در خبرگزاري فارس از قول شما نوشته شده، «با فتواي رهبري ديگر با خيال راحت به هيچ يك از درخواستهاي امنيتي پاسخ ندادهايم اما پيش از اين درخواستهايي آمده بود كه پاسخ داده نشده و به دليل پاسخ ندادن نيز تحت فشار بوديم.»
خبر فارس جلوي من باز است و نوشته «درخواستهاي قضايي». شما از كدام سايت ميبينيد؟
از سايت خبرگزاري فارس ميبينم. پس شما ميگوييد در خواستها از طرف دستگاه قضايي بوده است؟
محدود بوده و شايد هم مديرعامل قبلي بيان كرده بود كه دوستان ميگفتند حتي ممكن است برايمان حكم جلب صادر شود. حدود دو يا سه ماه قبل بود كه آقاي جهرمي هم به اين موضوع واكنش نشان دادند و توييت كردند كه اين فضا بايد شفاف شود. در همان مورد هم نشان داديم هيچ اطلاعاتي را نه دادهايم و نه ميدهيم. ضمنا اين مورد شاكي خصوصي داشته است.
اگر يك نهاد بخواهد به اطلاعات شما دست پيدا كند، ميتواند پيامرسان را هك كند؟
قطعا اين اتفاق نشدني است. چون اگر بشود، كليه دادههاي اقتصادي و تراكنشهاي بانكي هم هكشدني بود. ما از همان پروتكل استفاده ميكنيم. اگر حفرهاي وجود داشت مطمئن باشيد لااقل بانكها از اين فضا استفاده نميكردند. از اين جهت سروش مطمئن است. ما به دنبال برگزاري يك مسابقه براي امنيت سروش هستيم كه متخصصين امنيت سروش را به آزمون بگذارند. كوچكترين نكته امنيتياي اگر پيدا شود، آن را رفع ميكنيم. در هفتههاي آتي اعلام رسمي خواهيم كرد. از نگاه فني به شما ميگويم كه پروتكل ما در دنيا قابل شكستن و بهرهبرداري نبوده و نيست.
در جايي از مصاحبه تان گفتيد كه «اگر توييتر و فيسبوك تابع شرايط كشور باشند، موافق فعاليت آنها هستيم.»
اين را از آقاي وزير پرسيدند و من هم پيرو حرف ايشان اين مساله را گفتم. فضاي ارتباطي و رسانههاي كشور مسوولي دارد و آن هم دولت است. اگر كسي در اين فضا شرايط دولت را بپذيرد، ميتواند فعاليت كند. حرفي كه زدم اين است.
اين «شرايط» چيست؟ آيا دولت با شما در مورد «شرايط» خود حرف زده است؟ شما چه چيزي را بايد رعايت كنيد؟
اين شرايط همان قوانين عمومياي است كه در كشور رايج است. هر كسي بخواهد كسب و كاري در كشور شكل دهد بايد هويتش را معلوم كند؛ از يك نهاد مسوول مجوز فعاليت بگيرد؛ حسابهاي بانكي، ماليات و بيمهاش را مشخص كند. همين فضا را براي كسب و كارهاي خارجي ميگذارد يا بايد بگذارد. در اين فضا دولت مسوول است؛ اگر بخواهد ميتواند باز كند و اگر بخواهد ميتواند ببندد.
دستگاههايي در تمام دنيا تحت نظر نهادهاي امنيتي وجود دارد كه امكان شنود را فراهم ميكنند. بر همين اساس هم برخي پيامرسانها از ويژگي كدگذاري كردن بر پيامهاي صوتي و متني و تصويري ميگويند. پيامرسان سروش پيامها را كدگذاري ميكند؟ يا مدل ديگري براي شنود نشدن به كار ميبرد؟
سروش اصلا و ابدا به لحاظ فني امكان شنود ندارد. حتي خودمان هم توانايي شنود نداريم . سروش مثل تلفن ثابت نيست كه بشود شنود كرد. اين يك سيستم نرمافزاري مبتني بر كد است. پروتكل رايج براي حفظ امنيت رعايت شده است. همين الان هم خيلي از سرويسها از همين پروتكل استفاده ميكنند.
شما حاضر هستيد كليدگذاري پيامهايتان را به سرويسهاي اطلاعاتي و امنيتي بدهيد؟
اين بحث تخصصي است. برخي از اين كليدها به اصطلاح فني آنفلاي (unfly) توليد ميشود. بين دو طرف پيام در يك لحظه اين كليد توليد، مبادله و مبتني بر آن رمز ميشود. با اين مدل قاعدتا نميتوان اين كليد را به جايي داد. زماني كه پيام تمام ميشود، كليد به طور كامل از بين ميرود.
تفاوت بر سر اين است كه كد در لحظه تغيير كرده و غير قابل دستيابي شود. آيا پيامرسان سروش چنين قابليتي دارد؟
به لحاظ فني پروتكل TLSو SSL كه ما آن را استفاده ميكنيم مبتني بر زمان است. آنها يك عدد باينري مبتني بر تايم يونيك توليد ميكنند كه اين عدد در هر صدم ثانيه در حال تغيير است.
فتواي رهبري براي پيامرسان شما تا چه اندازه خط قرمز محسوب ميشود؟
اين فتوا براي ما اطمينانبخش بوده و اين پايبندي همگاني را به دنبال داشته كه درجه اهميت اين حريم خصوصي مشخص شود. ما از اين بابت ممنون ايشان هستيم.
شما تا كجا مقابل فشارهايي كه ممكن است در آينده به شما وارد شود تا اطلاعات را در اختيار برخي نهادها بگذاريد، ميايستيد؟
فشار وجود ندارد.
در شرايط حساس كشور اگر بخواهند به اطلاعات پيامرسان شما دست يابند، چطور؟
فتاوا استثنا ندارند و ما هم امكان ندارد كه در اين فضا وارد شويم كه بخواهيم اعتماد مردم را در هر موضوعي دچار آسيب كنيم. البته بحث در جاهايي فني ميشود. مواردي از آن به لحاظ فني نشدني است. كارهاي ما در عرصه فني پشتوانهاي است تا اين فتوا را در عمل پياده كنيم. كاري ميكنيم كه همكاراني كه در بانكهاي اطلاعاتي با دادهها ارتباط هستند و عملا كدها يا فايلها و سرورها را نگهداري ميكنند، نيز دسترسي به اين فايلها نداشته باشند. ما از به روزترين فناوريها استفاده ميكنيم. پروتكلي كه تلگرام استفاده ميكند ناشناخته است و هيچ جا هم تست نشده اما پروتكلي كه ما استفاده ميكنيم شناخته شده بينالمللي است.
شما ميگوييد سروش پروتكل امنيتي را استفاده ميكند. راه راستيآزمايي آن چيست؟
عنوان پروتكل را گفتم و يكي از راههاي راستآزمايياش اين است كه اطلاعات گوگل را از سرور آن برداشت كنيد. چون همه از همين پروتكل استفاده ميكنند.
چقدر از دولت بابت حمايت از محصول داخليتان پول گرفته ايد؟
وامي براي اين حوزه تخصيص دادهاند و ما توانستهايم كه اين وام را بگيريم.
چقدر؟
از دولت وام پنج ميلياردي گرفتيم. تلاشمان اين است كه نهايت استفاده را از اين براي توسعه كسب و كارمان ببريم. با مواردي مثل رايگان كردن پهناي باند از اين سرمايه در گردش استفاده ميكنيم. در مقابل اين پول ضمانت داديم و بعد از دوره تنفس بايد ماهانه اقساطش را بدهيم.
سروش اصلا و ابدا به لحاظ فني امكان شنود ندارد. حتي خودمان هم توانايي شنود نداريم . سروش مثل تلفن ثابت نيست كه بشود شنود كرد.