تأیید شده در سال ۲۰۲۶: auth_key_id پروتکل MTProto تلگرام به صورت متن واضح افشا میشود. این موضوع در ترکیب با سیستمهای Shahkar+SIAM+DPI ایران، قابلیت ردیابی طولانی مدت دستگاه را فراهم میکند. این مقاله راهکارهای VLESS+Reality، پروکسی MTProto و بازنشانی اجباری کلید را ارائه میدهد. همچنین اشتباهات املایی رایج را پوشش میدهد: mtrproto، mtporoto، мтпрото و رفعهای mtproto не работает.
به جای جستجوی لیست پروکسی رایگان mtproto ناپایدار که ظرف چند ساعت از کار میافتد، TGV یک پروکسی اختصاصی رایگان ۳ روزه ارائه میدهد – آیپی خصوصی، بدون اشتراک، سرعت کامل و محافظت در برابر DPI. بدون نیاز به کارت بانکی.
دریافت پروکسی اختصاصی رایگان ← ⚡ همچنین لیست بهروز روزانه پروکسی MTProto را در مرکز راهنما ببینید.املای صحیح MTProto است. اشتباهات املایی رایج شامل mtrproto، mtporoto، mptproto و мтпрото (روسی) است. شما در جای درستی هستید – TGV خدمات رسمی پروکسی MTProto و راهکارهای ضدسانسور ارائه میدهد. مشاهده راهنمای راهاندازی →
در ایران، لحظهای که یک چت تلگرام را باز میکنید، دستگاه شما قبلاً کارت شناسایی خود را به سیستم نظارت تحویل داده است.
این یک هشدار اغراقآمیز نیست – بلکه از یک ویژگی طراحی پروتکل رمزگذاری زیربنایی تلگرام به نام "auth_key_id" (شناسه کلید مجوز) ناشی میشود. در می ۲۰۲۶، یک گزارش ارزیابی فنی منتشر شده توسط شرکت امنیت سایبری مستقل Symbolic Software تأیید کرد که کلاینتهای تلگرام پیامهای MTProto را از طریق اتصالات TCP رمزنگاری نشده ارسال میکنند و باعث میشوند auth_key_id به صورت متن واضح در ترافیک شبکه افشا شود. هر نهادی با دسترسی غیرفعال به شبکه میتواند به راحتی این شناسه را استخراج کند. اگر mtproto не работает را تجربه میکنید، این افشا ممکن است با اثر انگشت DPI نیز مرتبط باشد.
این مقاله معماری نظارت منحصربهفرد ایران را با تجزیه و تحلیل ریسکهای خاص افشای auth_key_id ترکیب میکند، اثربخشی VPNها و پروکسیهای مختلف را ارزیابی میکند و در نهایت یک طرح دفاعی عملی برای کاربران ارائه میدهد.
مزیت اصلی سیستم نظارت ایران در ادغام لایه شبکه، لایه شبکه موبایل و لایه احراز هویت نهفته است. حتی اگر با موفقیت به یک سرور پروکسی متصل شوید، سیستم نظارت همچنان میتواند شما و دستگاه شما را از طرق مختلف شناسایی کند و افشای auth_key_id تلگرام این سیستمها را با یک شناسه دقیق اضافی فراهم میکند.
ایران شبکه اطلاعات ملی (NIN) را ساخته است که اینترنت داخلی را از اینترنت بینالمللی جدا میکند. مقامات از مدل مسدودسازی "لیست سیاه" به مدل "لیست سفید" تغییر یافتهاند و از پایگاههای داده SHAHKAR و HAMTA برای ردیابی مدارک هویتی و دستگاههای کاربران استفاده میکنند و به راحتی دسترسی عمومی به اینترنت بینالمللی را قطع میکنند در حالی که دسترسی ممتاز را برای گروههای خاص محفوظ نگه میدارند.
بر روی این معماری، سازمان تنظیم مقررات ارتباطات ایران با همکاری بزرگترین اپراتور داخلی، سیستم رهگیری قانونی (LIS) را ایجاد کرده است که عمدتاً شامل چهار زیرسیستم است: رهگیری قانونی (LI)، کنترل دستگاه غیرمجاز (CID)، سیستم SHAHKAR و سیستم SHAMSA. از جمله:
به محض اینکه دستگاه شما ترافیک تولید میکند، سیستم نظارت اطلاعات را از لایههای متعدد جمعآوری میکند: دستگاههای DPI ترافیک شبکه را در زمان واقعی تجزیه و تحلیل، پروتکلها را شناسایی و فراداده را استخراج میکنند. سیستم SIAM میتواند شماره تلفن و IMSI را از لایه شبکه موبایل به دست آورد. پایگاه داده SHAHKAR سیمکارتها را به هویت واقعی متصل میکند. هنگامی که این سیستمها با auth_key_id مرتبط میشوند، یک زنجیره لنگر هویت کامل تشکیل میشود. ترسناکترین بخش سیستم ایران قابلیتهای فنی فردی نیست، بلکه این معماری یکپارچه میان لایهای است: Shahkar سیمکارتها را به کارتهای ملی مرتبط میکند، SIAM میتواند دستگاهها را دستکاری کند، HAMTA مدلهای دستگاه را ثبت میکند – در ترکیب، auth_key_id به کلید نهایی برای باز کردن این در تبدیل میشود.
auth_key_id یک شناسه ۶۴ بیتی در پروتکل MTProto است. هنگامی که یک کلاینت تلگرام برای اولین بار وارد یک دستگاه میشود، یک کلید مجوز ۲۰۴۸ بیتی (auth_key) را از طریق تبادل کلید Diffie-Hellman تولید میکند و auth_key_id هش SHA-1 ۶۴ بیت پایین آن کلید است. این شناسه در جلوی هدر بیرونی MTProto در هر انتقال پیام قرار دارد و به سرور نشان میدهد "از کدام کلید برای رمزگشایی محتوای بعدی استفاده کنم."
ارزیابی فنی Symbolic Software تأیید میکند: auth_key_id در طول جلسات، تغییرات آیپی، سوئیچ شبکه و جابجایی جغرافیایی بدون تغییر باقی میماند و آن را به ابزاری قدرتمند برای ناظران غیرفعال شبکه برای ردیابی طولانی مدت یک دستگاه تبدیل میکند. هر واسطه شبکه – ISP، مدیر شبکه، سیستم نظارت دولتی – میتواند مقادیر auth_key_id را از طریق نظارت غیرفعال شبکه جمعآوری کند، بدون نیاز به حملات مرد میانی، شکستن گواهی یا دستکاری پروتکل. ضبط ساده بسته و رفع ابهام کافی است.
در مواجهه با سیستم نظارت چند لایه ایران، auth_key_id با چندین ریسک افشا مواجه است. چه از اتصال مستقیم استفاده کنید و چه از VPN، ممکن است در چندین گره کلیدی نشت کند:
| لایه نظارت | مکانیسم فنی | ریسک افشا |
|---|---|---|
| لایه شبکه (DPI) | ISP بستهها را از طریق دستگاههای DPI تجزیه و تحلیل میکند | حتی اگر VPN محتوا را رمزگذاری کند، auth_key_id به عنوان یک شناسه لایه برنامه ممکن است استخراج شود. اگر تلگرام از TCP رمزنگاری نشده استفاده کند، کاملاً در معرض دید است. این اغلب زمانی که DPI دست دادن را مختل میکند منجر به mtproto не работает میشود. |
| لایه شبکه موبایل (SIAM) | SIAM میتواند کاهش اجباری به 2G ناامن را اعمال کند، فراداده جمعآوری کند | auth_key_id را ثبت کرده و آن را با IMSI/شماره تلفن مرتبط میکند و هویت را دقیقاً به یک دستگاه شخصی قفل میکند. |
| لایه هویت (Shahkar) | سیمکارت به کارت ملی گره خورده، میتواند شمارههای خاص را هدف قرار دهد | اگر یک اتصال خاص (مانند ورود به وایفای هتل) auth_key_id را با هویت واقعی شما مرتبط کند، سیستم نظارت میتواند از Shahkar برای ردیابی تمام سوابق اتصال auth_key_id گذشته شما استفاده کند. |
| لایه فیزیکی (گیرنده IMSI) | استقرار ایستگاههای پایه جعلی در مکانهای اعتراضی | همزمان IMSI تلفن، مدل دستگاه و auth_key_id را ضبط میکند و یک نمایه هویت کامل دستگاه را تشکیل میدهد. |
| بازنگری غیرفعال | اپراتورها لاگهای طولانی مدت نگهداری میکنند | هنگامی که یک لنگر هویت به auth_key_id مرتبط میشود، سیستم نظارت میتواند لاگهای تاریخی را برای بازسازی الگوهای ارتباطی و ردپای رفتار در طی ماهها یا حتی سالها جستجو کند. |
ریسک افشای auth_key_id در پایداری و قابلیت پیوند آن نهفته است. این یک نشانگر موقتی در سطح جلسه نیست، بلکه یک شناسه ثابت است که به کلید مجوز طولانی مدت دستگاه گره خورده است. اگر یک اتصال واحد (مانند ثبتنام در وایفای هتل) auth_key_id شما را با هویت واقعی شما مرتبط کند، سیستم نظارت میتواند از این "لنگر" برای جستجوی تمام لاگهای ترافیک تاریخی استفاده کند – سوابق ارتباطی شما در چند ماه گذشته در شبکههای مختلف میتواند یکباره ردیابی شود، حتی اگر در آن زمان از VPN استفاده کرده باشید یا شبکه را تغییر داده باشید.
نتیجهگیری: تکیه بر این پروتکلها برای ساخت سرورهای VPN از ابتدا دیگر یک راهکار پایدار نیست.
Shadowsocks در اصل توسط توسعهدهندگان چینی برای دور زدن "دیوار آتش بزرگ" ساخته شد و از روشهای مبهمسازی غیراستاندارد استفاده میکند. سیستمهای DPI نمیتوانند ترافیک آن را به وضوح به عنوان پروکسی/VPN طبقهبندی کنند و به آن مزیت نسبی در محیط سانسور ایران میدهد. اما Shadowsocks یک نوش دارو نیست. فاقد شبیهسازی ویژگیهای پیشرفته مانند دست دادن TLS است و پس از استفاده طولانی مدت، الگوهای ترافیک آن ممکن است توسط سیستمهای یادگیری ماشین طبقهبندی و شناسایی شوند.
پروتکل VLESS به طور خاص برای فرار از تشخیص DPI طراحی شده است و اطلاعات مسیریابی را در TLS استاندارد میپیچد و ترافیک تولید شده را در سطح بسته از اتصالات HTTPS معمولی غیرقابل تشخیص میکند. با فناوری حملونقل REALITY، میتواند گواهیهای TLS وبسایتهای قانونی را برای پنهان کردن هدف واقعی قرض بگیرد. سیستمهای کاوش فعال ایران، هنگامی که یک سرور VLESS+Reality را کاوش میکنند، همان پاسخ یک وبسایت واقعی را دریافت میکنند و سرور عملکرد پروکسی خود را نشان نمیدهد. اپراتورهایی که سرورهای VLESS را به درستی در داخل ایران پیکربندی میکنند، نرخ تشخیص کمتر از ۵٪ را گزارش میدهند. سروری که در استانداردهای WireGuard ظرف چند روز مسدود میشد، میتواند در پیکربندی صحیح VLESS+Reality برای ماهها کار کند.
پروکسی MTProto به طور خاص برای تلگرام طراحی شده است و فقط برای تلگرام کار میکند. نمیتواند ترافیک مرورگر یا سایر برنامهها را پروکسی کند. در محیط سانسور ۲۰۲۶، تنها پروکسیهای نسل سوم MTProto که با "ee" شروع میشوند (فعال کردن Fake TLS) مؤثر باقی میمانند. اگر با mtproto не работает مواجه شدید، ارتقا به MTG 2.2.8 یا استفاده از یک پروکسی اختصاصی مانند TGV اغلب مشکل را حل میکند.
با این حال، حتی پروکسیهای Fake TLS MTProto نیز نمیتوانند auth_key_id را پنهان کنند. کلاینتهای تلگرام از TCP رمزنگاری نشده در لایه حملونقل استفاده میکنند و افشای auth_key_id یک مشکل طراحی اساسی پروتکل است – مهم نیست که پروکسی چقدر مبهمسازی کند، auth_key_id قبل از رسیدن به سرور پروکسی در معرض گرههای میانی شبکه قرار میگیرد. در ۱ آوریل ۲۰۲۶، چندین ISP روسیه شروع به شناسایی انتخابی دست دادنهای MTProto/FakeTLS تلگرام از طریق تجزیه و تحلیل اثر انگشت TLS کردند و باعث خرابی گسترده mtproto не работает شدند، در حالی که خدمات VLESS Reality در همان سرورها به طور عادی به کار خود ادامه میدادند.
در مواجهه با نظارت جامع ایران، هیچ ابزار واحدی برای تضمین امنیت مطلق کافی نیست. شما به یک استراتژی دفاع چند لایه نیاز دارید.
| لایه | استراتژی | نقاط پیادهسازی |
|---|---|---|
| لایه ۱: پروکسی ضدسانسور | استفاده از پروتکل VLESS + Reality | استقرار با Xray-core یا Sing-box، انتخاب دامنه تظاهر مناسب (مانند api.github.com, update.microsoft.com)، فعال کردن REALITY، ترجیحاً با مسیریابی غیرمتمرکز P2P. |
| لایه ۲: کانال اختصاصی تلگرام | پروکسی نسل سوم MTProto (Fake TLS) | استفاده از کلید مخفی با پیشوند ee، پورت ۴۴۳، با دامنه تظاهر معتبر؛ به عنوان کانال ورودی تلگرام. توجه: پروکسی MTProto فقط برای تلگرام کار میکند و نمیتواند مشکل افشای auth_key_id را حل کند. |
| لایه ۳: بازنشانی دورهای auth_key_id | بازنشانی منظم کلید مجوز، توقف ردیابی طولانی مدت (هسته اجباری) | کاملترین روش: به تنظیمات تلگرام → دستگاهها بروید، تمام جلسات مشکوک را خاتمه دهید. از خروج و ورود مجدد رسمی برای تولید یک auth_key_id کاملاً جدید استفاده کنید. استفاده از PFS نمیتواند از افشای شناسه جلوگیری کند اما میتواند دوره ردیابی را محدود کند. هر ۱-۳ ماه یک بار بازنشانی انجام دهید تا ریسک ردیابی طولانی مدت تا حد زیادی کاهش یابد. |
| لایه ۴: جداسازی هویت | جداسازی شدید هویت واقعی از ارتباطات حساس | از همان حساب تلگرام برای فعالیتهای حساس در شبکههای احراز هویت شده (وایفای هتل، شبکه شرکت) استفاده نکنید. برای ارتباطات حساس از Tor یا تونل VPS خارج از کشور قابل اعتماد استفاده کنید. از ثبتنام حسابهای حساس با شماره تلفنهای مرتبط با سیمکارت خودداری کنید. |
| لایه ۵: زنجیره چند لایه VPN/پروکسی | ترکیب پروتکلهای ضدسانسور | ترافیک تلگرام را ابتدا از پروکسی MTProto (ee Fake TLS) و سپس درون تونل VLESS قرار دهید، به طوری که auth_key_id در طول انتقال توسط چندین لایه رمزگذاری محافظت شود. |
| لایه ۶: شبکه غیرمتمرکز P2P | اجتناب از وابستگی به نقطه واحد | استفاده از یک شبکه غیرمتمرکز P2P از قطع کامل سرویس در صورت مسدود شدن یک آیپی جلوگیری میکند. |
از آنجا که پایداری auth_key_id بزرگترین ریسک است، بازنشانی دورهای مؤثرترین راه برای شکستن ردیابی طولانی مدت است.
توصیه میشود پروتکل VLESS + Reality را روی یک VPS مستقر کنید. با استفاده از Xray به عنوان مثال، مراحل مختصر:
bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ installxray x25519در معماری نظارت فعلی ایران، افشای auth_key_id یک ریسک حریم خصوصی قابل توجه و پایدار را تشکیل میدهد. نتیجهگیریهای کلیدی:
✅ VLESS+Reality در حال حاضر قویترین پروتکل ضدسانسور در داخل ایران است. همراه با بازنشانی دورهای auth_key_id، ریسک ارتباط هویت را تا حد زیادی کاهش میدهد.
✅ کاربران پولی TGV پروکسیهای MTProto نسل سوم با پیشوند ee و راهنمایی پیکربندی تونل VLESS حرفهای دریافت میکنند.
✅ همیشه کلیدها و پیکربندیهای پروکسی را از طریق کانالهای رسمی دریافت کنید. از نودهای رایگان با منبع ناشناس خودداری کنید.
✅ به کاربران پرخطر توصیه میشود ماهانه "خروج → ورود مجدد" را انجام دهند تا کلید مجوز را به طور کامل تغییر دهند.
✅ اگر با mtproto не работает مواجه شدید، ابتدا سعی کنید به MTG 2.2.8 ارتقا دهید یا برای یک پروکسی اختصاصی با پشتیبانی TGV تماس بگیرید.