تم التأكيد في 2026: يتم كشف auth_key_id في MTProto الخاص بتليجرام كنص عادي. بالاقتران مع نظام Shahkar+SIAM+DPI في إيران، فإنه يتيح تتبع الجهاز على المدى الطويل. تقدم هذه الورقة VLESS+Reality وبروكسي MTProto وإعادة تعيين المفتاح الإلزامية. يغطي أيضًا الأخطاء الإملائية الشائعة: mtrproto، mtporoto، мтпрото وإصلاحات لـ mtproto لا يعمل.
بدلاً من البحث عن قائمة بروكسي mtproto مجانية غير مستقرة تموت في غضون ساعات، تقدم TGV بروكسي مخصص مجاني لمدة 3 أيام – IP خاص، لا مشاركة، سرعة كاملة، وحماية مضادة لـ DPI. 无需 بطاقة ائتمان.
احصل على بروكسي مخصص مجاني → ⚡ تحقق أيضًا من قائمة بروكسي MTProto المحدثة يوميًا في مركز المساعدة.التهجئة الصحيحة هي MTProto. تشمل الأخطاء الإملائية الشائعة mtrproto، mtporoto، mptproto، و мтпрото (الروسية). أنت في المكان الصحيح – تقدم TGV خدمات بروكسي MTProto الرسمية وحلول مكافحة الرقابة المتقدمة. عرض دليل الإعداد →
في إيران، في اللحظة التي تفت فيها محادثة تليجرام، يكون جهازك قد سلم بالفعل بطاقة هويته إلى نظام المراقبة.
هذا ليس من باب الإنذار – بل ينبع من ميزة تصميم في بروتوكول تشفير MTProto الأساسي لتليجرام تسمى "auth_key_id" (معرف مفتاح التفويض). في مايو 2026، أكد تقرير تقييم تقني نشرته شركة الأمن السيبراني المستقلة Symbolic Software أن عملاء تليجرام ينقلون رسائل MTProto عبر اتصالات TCP غير مشفرة، مما يتسبب في كشف auth_key_id كنص عادي في حركة مرور الشبكة. يمكن لأي كيان لديه وصول سلبي إلى الشبكة استخراج هذا المعرف بسهولة. إذا كنت تعاني من mtproto لا يعمل، فقد يكون هذا الكشف مرتبطًا أيضًا ببصمة DPI.
تجمع هذه المقالة بين هندسة المراقبة الفريدة في إيران لتحليل المخاطر المحددة لكشف auth_key_id، وتقييم فعالية مختلف VPNs والبروكسيات، وتقدم أخيرًا خطة دفاع عملية للمستخدمين.
تكمن الميزة الأساسية لنظام المراقبة في إيران في تكامله بين طبقة الشبكة وطبقة الشبكة المحمولة وطبقة مصادقة الهوية. حتى إذا نجحت في الاتصال بخادم بروكسي، لا يزال بإمكان نظام المراقبة التعرف عليك وعلى جهازك من خلال وسائل متعددة، ويوفر كشف auth_key_id الخاص بتليجرام لهذه الأنظمة معرفًا إضافيًا دقيقًا.
بنيت إيران شبكة المعلومات الوطنية (NIN)، التي تفصل الإنترنت المحلي عن الإنترنت الدولي. تحولت السلطات من نموذج حظر "القائمة السوداء" إلى نموذج "القائمة البيضاء"، باستخدام قواعد بيانات SHAHKAR و HAMTA لتتبع وثائق هوية المستخدمين وأجهزتهم، مما يسهل قطع الوصول العام إلى الإنترنت الدولي مع الاحتفاظ بالوصول المميز لمجموعات محددة.
فوق هذه البنية، أنشأت هيئة تنظيم الاتصالات في إيران، بالتعاون مع أكبر مشغل محلي، نظام الاعتراض القانوني (LIS)، والذي يتضمن بشكل أساسي أربعة أنظمة فرعية: الاعتراض القانوني (LI)، التحكم بالأجهزة غير القانونية (CID)، نظام SHAHKAR، ونظام SHAMSA. من بينها:
بمجرد أن يولد جهازك حركة مرور، يجمع نظام المراقبة المعلومات من طبقات متعددة: تحلل أجهزة DPI حركة مرور الشبكة في الوقت الفعلي، وتحدد البروتوكولات، وتستخرج البيانات الوصفية؛ يمكن لنظام SIAM الحصول على أرقام الهواتف و IMSI من طبقة الشبكة المحمولة؛ تربط قاعدة بيانات SHAHKAR بطاقات SIM بالهويات الحقيقية. عندما ترتبط هذه الأنظمة بـ auth_key_id، يتم تشكيل سلسلة ربط هوية كاملة. الجزء الأكثر رعبًا في نظام إيران ليس القدرات التقنية الفردية، ولكن هذه البنية المتكاملة عبر الطبقات: يربط Shahkar بطاقات SIM بالهويات الوطنية، يمكن لـ SIAM التلاعب بالأجهزة، يسجل HAMTA نماذج الأجهزة – مجتمعة، يصبح auth_key_id المفتاح النهائي لفتح هذا الباب.
auth_key_id هو معرف 64 بت في بروتوكول MTProto. عندما يسجل عميل تليجرام الدخول لأول مرة إلى جهاز، فإنه يولد مفتاح تفويض 2048 بت (auth_key) من خلال تبادل مفاتيح Diffie-Hellman، و auth_key_id هو تجزئة SHA-1 ذات 64 بت السفلية لذلك المفتاح. يجلس في مقدمة رأس MTProto الخارجي في كل إرسال رسالة، مما يشير إلى الخادم "أي مفتاح لاستخدامه لفك تشفير المحتوى التالي."
يؤكد التقييم التقني لـ Symbolic Software: يظل auth_key_id دون تغيير عبر الجلسات وتغييرات IP وتبديل الشبكات والتحركات الجغرافية، مما يجعله أداة قوية للمراقبين السلبيين للشبكة لتتبع جهاز واحد على المدى الطويل. يمكن لأي وسيط شبكة – ISP، مسؤول الشبكة، نظام المراقبة الحكومي – جمع قيم auth_key_id من خلال مراقبة الشبكة السلبية، دون هجمات رجل في المنتصف، أو اختراق الشهادات، أو التلاعب بالبروتوكول. يكفي التقاط الحزم البسيط وإزالة التمويه.
في مواجهة نظام المراقبة متعدد الطبقات في إيران، يواجه auth_key_id مخاطر كشف متعددة. سواء باستخدام اتصال مباشر أو VPN، فقد يتسرب في عدة عقد رئيسية:
| طبقة المراقبة | الآلية التقنية | خطر الكشف |
|---|---|---|
| طبقة الشبكة (DPI) | يحلل ISP الحزم عبر أجهزة DPI | حتى إذا قام VPN بتشفير المحتوى، فقد يتم استخراج auth_key_id كمعرف على مستوى التطبيق؛ إذا استخدم تليجرام TCP غير مشفر، فإنه مكشوف بالكامل. هذا غالبًا ما يؤدي إلى mtproto لا يعمل عندما يعطل DPI المصافحات. |
| طبقة الشبكة المحمولة (SIAM) | يمكن لـ SIAM الخفض الإجباري إلى 2G غير آمنة، وجمع البيانات الوصفية | يسجل auth_key_id ويربطه بـ IMSI/رقم الهاتف، مما يربط الهوية بدقة بجهاز شخصي. |
| طبقة الهوية (Shahkar) | بطاقة SIM مرتبطة بالهوية الوطنية، يمكنها استهداف أرقام محددة | إذا قام اتصال معين (على سبيل المثال، تسجيل الدخول إلى Wi-Fi الفندق) بربط auth_key_id بهويتك الحقيقية، يمكن لنظام المراقبة استخدام Shahkar لتتبع جميع سجلات اتصال auth_key_id السابقة الخاصة بك. |
| الطبقة المادية (كاشف IMSI) | ينشر محطات قاعدة مزيفة في مواقع الاحتجاجات | يلتقط IMSI الهاتف ونموذج الجهاز و auth_key_id في وقت واحد، مما يشكل ملف تعريف هوية جهاز كامل. |
| إعادة النظر السلبية | يحتفظ المشغلون بسجلات طويلة الأجل | بمجرد ربط مرساة هوية بـ auth_key_id، يمكن لنظام المراقبة البحث في السجلات التاريخية لإعادة بناء أنماط الاتصال وآثار السلوك على مدى أشهر أو حتى سنوات. |
يكمن خطر كشف auth_key_id في ثباته وقابليته للربط. إنه ليس علامة مؤقتة على مستوى الجلسة، بل هو معرف ثابت مرتبط بمفتاح التفويض طويل الأجل للجهاز. إذا ربط اتصال واحد (على سبيل المثال، التسجيل في Wi-Fi الفندق) auth_key_id بهويتك الحقيقية، يمكن لنظام المراقبة استخدام هذا "المرساة" للبحث في جميع سجلات حركة المرور التاريخية – يمكن تتبع سجلات الاتصال الخاصة بك من الأشهر القليلة الماضية عبر شبكات مختلفة في وقت واحد، حتى لو كنت تستخدم VPN أو غيرت الشبكات في ذلك الوقت.
الخلاصة: الاعتماد على هذه البروتوكولات لبناء خوادم VPN ذاتية من الصفر لم يعد حلاً مستدامًا.
تم إنشاء Shadowsocks في الأصل من قبل مطورين صينيين لتجاوز "الجدار العظيم العظيم"، باستخدام طرق تشويش غير قياسية. لا يمكن لأنظمة DPI تصنيف حركة المرور الخاصة به بوضوح كبروكسي/VPN، مما يمنحه ميزة نسبية في بيئة الرقابة الإيرانية. لكن Shadowsocks ليس حلاً شاملاً. يفتقر إلى محاكاة الميزات المتقدمة مثل مصافحات TLS، وبعد الاستخدام طويل الأجل، قد يتم تصنيف أنماط حركة المرور الخاصة به والتعرف عليها بواسطة أنظمة التعلم الآلي.
تم تصميم بروتوكول VLESS خصيصًا لتجنب كشف DPI، وتغليف معلومات التوجيه في TLS القياسي، مما يجعل حركة المرور الناتجة على مستوى الحزم لا يمكن تمييزها عن اتصالات HTTPS العادية. باستخدام تقنية نقل REALITY، يمكنه استعارة شهادات TLS من مواقع الويب المشروعة لإخفاء الهدف الحقيقي. عندما تختبر أنظمة الاختبار النشط في إيران خادم VLESS+Reality، تتلقى نفس الاستجابة كموقع ويب حقيقي، ولا يكشف الخادم عن وظيفة البروكسي الخاصة به. يبلغ المشغلون الذين يقومون بتكوين خوادم VLESS بشكل صحيح داخل إيران عن معدلات كشف أقل من 5%. الخادم الذي سيتم حظره في غضون أيام بموجب معايير WireGuard يمكن أن يعمل لشهور تحت تكوين VLESS+Reality الصحيح.
تم تصميم بروكسي MTProto خصيصًا لتليجرام ويعمل فقط مع تليجرام؛ لا يمكنه توجيه حركة مرور المتصفح أو التطبيقات الأخرى. في بيئة الرقابة لعام 2026، تظل بروكسيات MTProto من الجيل الثالث التي تبدأ بـ "ee" (تمكين Fake TLS) فقط فعالة. إذا واجهت mtproto لا يعمل، فإن الترقية إلى MTG 2.2.8 أو استخدام بروكسي مخصص مثل TGV غالبًا ما يحل المشكلة.
ومع ذلك، حتى بروكسيات MTProto Fake TLS لا يمكنها إخفاء auth_key_id. يستخدم عملاء تليجرام TCP غير مشفر في طبقة النقل، وكشف auth_key_id هو مشكلة تصميم أساسية للبروتوكول – بغض النظر عن مقدار تشويش البروكسي، يتم كشف auth_key_id لعقد الشبكة الوسيطة قبل الوصول إلى خادم البروكسي. في 1 أبريل 2026، بدأ العديد من مزودي خدمة الإنترنت الروس في تحديد مصافحات Telegram MTProto/FakeTLS بشكل انتقائي عبر تحليل بصمة TLS، مما تسبب في فشل واسع النطاق لـ mtproto لا يعمل، بينما استمرت خدمات VLESS Reality على نفس الخوادم في العمل بشكل طبيعي.
في مواجهة المراقبة الشاملة في إيران، لا تكفي أداة واحدة لضمان الأمان المطلق. أنت بحاجة إلى استراتيجية دفاع متعددة الطبقات.
| الطبقة | الاستراتيجية | نقاط التنفيذ |
|---|---|---|
| الطبقة 1: بروكسي مضاد للرقابة | استخدم بروتوكول VLESS + Reality | انشر باستخدام Xray-core أو Sing-box، اختر نطاق تمويه مناسب (مثل api.github.com، update.microsoft.com)، قم بتمكين REALITY، ويفضل مع توجيه P2P اللامركزي. |
| الطبقة 2: قناة خاصة بتليجرام | بروكسي MTProto من الجيل الثالث (Fake TLS) | استخدم سرًا مسبوقًا بـ ee، المنفذ 443، مع نطاق تمويه حسن السمعة؛ كقناة واردة لتليجرام. ملاحظة: يعمل بروكسي MTProto فقط مع تليجرام ولا يمكنه حل كشف auth_key_id. |
| الطبقة 3: إعادة تعيين auth_key_id الدورية | إعادة تعيين مفتاح التفويض بانتظام، وإيقاف التتبع طويل المدى (إلزامي أساسي) | الأكثر شمولاً: انتقل إلى إعدادات تليجرام ← الأجهزة، قم بإنهاء جميع الجلسات المشبوهة؛ استخدم تسجيل الخروج وتسجيل الدخول الرسمي لإنشاء auth_key_id جديد تمامًا. لا يمكن لاستخدام PFS منع كشف المعرف ولكن يمكنه الحد من فترة التتبع. قم بإجراء إعادة التعيين كل 1-3 أشهر لتقليل خطر التتبع طويل المدى بشكل كبير. |
| الطبقة 4: عزل الهوية | افصل الهوية الحقيقية بدقة عن الاتصال الحساس | لا تستخدم نفس حساب تليجرام للأنشطة الحساسة على الشبكات الموثقة (Wi-Fi الفندق، شبكة الشركة). للاتصال الحساس، استخدم Tor أو نفق VPS موثوق به في الخارج. تجنب تسجيل الحسابات الحساسة بأرقام هواتف مرتبطة ببطاقة SIM. |
| الطبقة 5: سلسلة VPN/بروكسي متعددة الطبقات | اجمع بين بروتوكولات مكافحة الرقابة | مرر حركة مرور تليجرام أولاً عبر بروكسي MTProto (ee Fake TLS) ثم قم بتغليفها داخل نفق VLESS، بحيث يتم حماية auth_key_id بطبقات تشفير متعددة طوال الإرسال. |
| الطبقة 6: شبكة P2P اللامركزية | تجنب الاعتماد على نقطة واحدة | يمنع استخدام شبكة P2P اللامركزية انقطاع الخدمة بالكامل إذا تم حظر عنوان IP واحد. |
نظرًا لأن ثبات auth_key_id هو الخطر الأكبر، فإن إعادة التعيين الدورية هي الطريقة الأكثر فعالية لكسر التتبع طويل المدى.
يوصى بنشر بروتوكول VLESS + Reality على VPS. باستخدام Xray كمثال، خطوات موجزة:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ installxray x25519في ظل هندسة المراقبة الحالية في إيران، يشكل كشف auth_key_id خطرًا كبيرًا ومستمرًا على الخصوصية. الاستنتاجات الرئيسية:
✅ VLESS+Reality هو حاليًا أقوى بروتوكول مضاد للرقابة داخل إيران؛ إلى جانب إعادة تعيين auth_key_id الدورية، فإنه يقلل بشكل كبير من خطر ربط الهوية.
✅ يحصل المستخدمون المدفوعون في TGV على بروكسيات MTProto من الجيل الثالث (مسبوقة بـ ee) وإرشادات تكوين نفق VLESS احترافية.
✅ احصل دائمًا على مفاتيح وتكوينات البروكسي من خلال القنوات الرسمية؛ تجنب العقد المجانية مجهولة المصدر.
✅ يُنصح المستخدمون ذوو المخاطر العالية بإجراء "تسجيل الخروج ← تسجيل الدخول مرة أخرى" شهريًا لتغيير مفتاح التفويض بالكامل.
✅ إذا واجهت mtproto لا يعمل، فحاول أولاً التحديث إلى MTG 2.2.8 أو اتصل بدعم TGV للحصول على بروكسي مخصص.