امنیت شبکه
حفظ امنیت داده ها جدیست !!
از زمان ظهور کامپیوترهای جدید همواره با مسئله رمزنگاری روبه رو بوده ایم. بنابراین وجود اولین کامپیوترهای قابل برنامه نویسی در جنگ جهانی دوم (Colossus) برای رمزگشایی پیغام های جنگ چندان هم تصادفی نبوده است.
رمزنگاری به معنای استفاده از رمزهای مخصوص در پیغام هاست؛ به این شکل که خواندن این مطالب بدون به کار بردن کلید رمزگشا (تراشه) یا محاسبات ریاضی امکان پذیر نیست. هرچه طول تراشه (تعدادبیت ها) بیشتر باشد حل معما سخت تر خواهدبود. با وجود آن که شکستن بسیاری از رمزها به شکل عملی امکان پذیر نیست، با صرف زمان و نیروی پردازش کافی تقریباً می توانیم همه رمزها را در بررسی های تئوری حل کنیم.
برنادر پارسن، مدیر ارشد بخش فناوری شرکت امنیت نرم افزار BeCrypt، در این باره توضیح می دهد که دو روش اصلی رمزگذاری مجزا وجود دارد. روش رمزنگاری متقارن که به دوران امپراتوری روم برمی گردد و رمزنگاری نامتقارن که قدمت چندانی ندارد.
در رمزنگاری متقارن یک فایل (برای مثال برای حفظ اطلاعات ذخیره شده در یک لپ تاپ در ماجرای سرقت) از یک تراشه منفرد برای رمزگذاری و رمزگشایی اطلاعات استفاده می شود. پارسن می گوید: «با افزایش درک عمومی نسبت به فعالیت های رمزشناسی، الگوریتم های زیادی مبتنی بر مسائل پیچیده ریاضی به این حوزه سرازیر شد.«
قبل از هر چیز باید بدانیم که این مسائل با استفاده از روش های معمول محاسبه قابل حل نیستند. همچنین بیان این نکته ضروری است که تنظیم این مسائل نه تنها به مهارت های خاصی در حوزه ریاضیات نیازمند است بلکه برای جلوگیری از بروز مشکلات به هنگام مبادله فایل ها، گروه های مختلف باید برای استفاده از الگوریتم های مشابه رمزنویسی و رمزگشایی با یکدیگر توافق داشته باشند.
در نتیجه این محاسبات و با ظهور کامپیوترهای مدرن در اواسط دهه ۷۰ استانداردهای این رشته به بازار معرفی شد. از اولین استانداردها می توانیم به استاندارد رمزنگاری اطلاعات (DES)، الگوریتمی که از تراشه هایی به طول ۵۶ بیت استفاده می کند، اشاره کنیم. در آن زمان بانک ها از DES در دستگاه های خودکار تحویل پول استفاده می کردند، اما با افزایش قدرت پردازش، DESهای سه تایی جای آنها را گرفتند. DESهای سه تایی اطلاعات مشابه را سه بار و با استفاده از الگوریتم DES اجرا می کردند، به این ترتیب عملکرد آن را تضمین می کردند.
پارسن می گوید: «در اواخر دهه ۸۰ شیوه فعالیت DESهای سه تایی زیر سئوال قرار گرفت. یک روش رمزنویسی جدید به نام AES (استاندارد رمزنویسی پیشرفته) در سال ۲۰۰۱ پیشنهاد شده است و هنوز هم بی هیچ مشکلی پاسخگوی مشکلات است.
رمزنویسی متقارن روش قابل قبولی است اما اگر می خواهید گیرنده، پیغام رمزی شما را رمزگشایی کند، چگونه اطمینان حاصل می کنید که این پیغام به فرد مورد نظر برسد؟ می توانید تراشه را با یک تراشه دیگر رمزنویسی کنید، اما مشکل فرستادن این تراشه دوم به گیرنده مورد نظر هنوز هم به قوت خود باقی است. نبود امکان انتقال فیزیکی پیام ها در تجارت راه را برای تجاوز و رمزگشایی بدون اجازه آنها برای افراد فرصت طلب گشوده است و این جا است که روش دوم؛ یعنی رمزنگاری نامتقارن (کلید عمومی رمزگشایی) قابلیت های خود را نشان می دهد. در کلید عمومی رمزگشایی از دو کلید استفاده می شود: روش عمومی و روش اختصاصی. در صورت استفاده یک روش برای رمزنگاری با روش دیگر رمزگشایی می کنیم. اگر شرکت A قصد دارد پیغامی را به شرکت B بفرستد از کلید عمومی شرکت B استفاده می کند. این کلید رمزنویسی در اختیار همه کارکنان این شرکت است. با یک بار رمزنگاری تنها راه برای رمزگشایی این پیغام به کار بردن کلید اختصاصی است که فقط فرد گیرنده آن را داراست. ایجادکنندگان این روش همچنین بخش امنیتی RSA را به وجود آوردند که در تولیدات فعلی خود نیز از الگوریتم فوق استفاده می کند.مایک وگارا، رئیس بخش مدیریت تولید RSA، در این باره می گوید: «کلید رمزنویسی متقارن همواره از روش نامتقارن سریع تر عمل می کند، بنابراین کافی است برای رمزنگاری از روش متقارن استفاده کرده و الگوریتم RSA را برای رمزگشایی به کار برید. کمترین طول تراشه AES، ۱۲۸ بیت و کمترین طول تراشه الگوریتم RSA، ۱۰۲۴ بیت است. اما عامل برقراری توازن در این میان به گفته نیکو ون سومرن، رئیس بخش فناوری در شرکت تولیدکننده تراشه های رمزنگاری، رمزگشایی RSA بسیار مشکل است. او ادعا می کند که از نظر زمانی رمزگشایی تراشه های RSA، ۳۰ هزار واحد زمانی طول می کشد. روش جایگزین الگوریتم RSA، منحنی رمزنگاری بیضوی است که با ۱۶۰ بیت کار می کند. از این منحنی به عنوان کلید رمزنگاری نامتقارن در تلفن های هوشمند استفاده می شود.
اما استفاده از این راه حل نیز مشکل تایید را حل نمی کند. اگر شرکت A با استفاده از کلید عمومی B تراشه ای را رمزنگاری نکند و آن را برای شرکت B ارسال کند، با هیچ روشی نمی توانیم بفهمیم که این تراشه را شرکت A فرستاده است. ممکن است پای دسته سومی در میان باشد و قصد آنها از فرستادن این پیغام گیج کردن شرکتB باشد. امضای دیجیتالی پایانی بود برای تمام این مشکلات، به این شکل که افراد تراشه ها و پیغام های ارسالی خود را امضا می کنند.شرکت Aبا استفاده از کلید خصوصی خود امضایی دیجیتالی طراحی می کند. مانند قبل این شرکت پیغام مورد نظر خود را با استفاده از یک الگوریتم متقارن رمزنگاری می کند، سپس با به کاربردن کلید عمومی B تراشه را رمزنگاری می کند. اما شرکت A با استفاده از یک الگوریتم محاسباتی به نام تابع مخرب پیغام بدون رمز را اجرا می کند. این تابع زنجیره ای منفرد از اعداد تولید می کند. سپس این زنجیره را با کلید اختصاصی خود رمزنگاری می کند. در مرحله آخر همه چیز به شرکت B ارسال می شود.
مانند گذشته شرکت B از کلید اختصاصی خود برای رمزگشایی تراشه متقارن و هم چنین پیغام Aاستفاده می کند. در مرحله بعد B از کلید عمومی A برای رمزگشایی زنجیره تخریب استفاده می کند. در واقع B همان الگوریتم مورد استفاده A را برای ساختن زنجیره یاد شده برای رمزگشایی به کار می برد. در صورت تطابق این دو الگوریتم، B به دو نکته اساسی پی می برید: اول این که این پیغام همان پیغام ارسالی A از طریق الگوریتم یاد شده است و در طول مسیر، مورد سوءاستفاده قرار نگرفته است. دیگر این که این پیغام، به طور قطع از جانب A ارسال شده است؛ زیرا B با کلید عمومی A آن را رمزگشایی کرده است. به این معنا که این پیغام با کلید اختصاصی مشابهی رمزنگاری شده است.
الگوریتم های مخرب، مانند رمزنگاری متقارن ویژگی های متنوعی دارد. MD۵ هنوز هم در بسیاری از سیستم ها کاربرد دارد، اما در اواسط دهه ۹۰ آژانس امنیت ملی، SHA-۱ را جایگزین آن کرد. البته امنیت این روش نیز توسط جامعه رمزنگاران مورد سئوال قرار گرفته است.
البته باید توجه داشته باشیم که شکست یک الگوریتم تمام یک پروژه را زیر سئوال نمی برد. دیوید نکاش، نایب رئیس بخش تحقیقات و نوآوری شرکت کارت هوشمند گمپلوس می گوید: «وقتی کل عملکرد یک تابع زیر سئوال قرار می گیرد، نتایج مستقیم و بلافاصله نیستند. بسیاری از ایرادها در مرحله نظری باقی مانده، در دنیای واقعیت تحقق نمی یابند. به طور معمول کمیته رمزنگاری پس از یک حمله تئوریک همه جوانب را بررسی و راهکارهای لازم را به اطلاع افراد می رساند.
کلید عمومی رمزگشایی هنوز هم با مشکلات زیادی روبه رو است، برای مثال همواره باید از صحت کلیدهای عمومی و اختصاصی و جلوگیری از سوءاستفاده برخی افراد، از آنها مطمئن شد. برخی سازمان های تایید شده (مانند VeriSign) برای مدیریت و کنترل تولید این کلیدها (زیربنای کلیدهای عمومی (PKI)) ایجاد شده است. این سازمان ها علامت های مشخصی را برای کلیدهای شرکت ها در نظر می گیرند. البته به دلیل مشکلاتی که از جانب برخی شرکت ها مانند شرکت پشتیبانی فناوری بالتیمور ایجاد شد، افراد دیرتر از آن چه که انتظار می رفت به این روش اعتماد کردند.
با تمام این توضیحات چه مشکلی وجود داشت؟ اندی مالهلند، مدیر بخش فناوری روز در کپجمینی می گوید: «در آن زمان پرداختن به چنین مسئله ای هنوز خیلی زود بود. ۵ سال در زمان توسعه PKI افراد نامناسبی به تجارت آن لاین مشغول بودند. در آن زمان حجم تجارت آن لاین بسیار کم بود.» او می گوید: «ما در واقع بدون هیچ فعالیت بازرگانی تبلیغی موفقیت زیادی در PKI به دست آوردیم. اما اگر PKI در سال ۲۰۰۵ ایجاد شده بود، عکس العمل ها متفاوت بود.»
وکلای PKI مانند وگارا برای مبارزه با این نظریه عمومی که استفاده از PKI را برای مصرف کنندگان مشکل می داند، بیشتر فناوری مربوط به کلید عمومی مانند Secure Sockets Layer و Transport Layer Security را در اختیار عموم قرار می دهد. این فناوری آیکون قفل مربوط به مرورگر امنیتی را دربردارد. برای بهره برداری از این امکان نیازی به هیچ مجوزی نیست.
آرتر بارنز، مشاور ارشد موسسه امنیتی دیاگنال، می گوید در بسیاری موارد وقتی به مجوز هر دو گروه مشتری و سرور نیاز باشد PKI برای مصرف کنندگان مشهود و کارآمد نیست.
افرادی که این مطلب را باور ندارند باید به مقاله «چرا جانی نمی تواند به راحتی به هر جا که می خواهد سرک بکشد؟» نوشته آلما ویتن نگاهی بیندازند. این مقاله به بررسی این مطلب می پردازد که بسیاری از افراد تحمل صرف ۹۰ دقیقه برای امضا و رمزنگاری پیغام های خود را ندارند و به همین دلیل عده بسیاری از شرکت کنندگان در تست ویتن در این تست شکست خوردند.
شرکت کنندگان در آزمون از PGP، یک ابزار نرم افزاری کلید عمومی رمزنگاری ساخته فیل زیمرمن در سال ،۱۹۹۱ استفاده می کردند. عملکرد PGP خارق العاده است، زیرا مشکلات مجوز بسیاری از گونه های PKI را با به کار بردن «دنیای وب تاوم با اعتماد» پشت سر گذاشته بود. در این مدل مجوز گواهی نامه جای خود را به افراد مورد اعتمادی که با امضا کردن به جای دیگران کلیدهای آنها را تایید می کنند.
PGPزیمرمن را در تعرض با دولت ایالات متحده قرار داد، مسئولان امنیتی این دولت معتقدند این روش کنترل امنیتی را دچار مشکل می کند. مسئله تا جایی پیش رفت که مسئولان امنیتی ایالات متحده علیه او اقامه دعوی کردند. مسئله دخالت حکومت ها در رمزنگاری هنوز هم مورد اعتراض بسیاری از شرکت های خصوصی است. گذشته از کنترل خارجی آگاهی دولت ها از رمزها و توانایی آنها به رمزگشایی، هسته مرکزی این مجادلات را به خصوص در انگلستان و پس از تصویب قانون نظارتی قدرت تحقیقات در سال ،۲۰۰۰ تشکیل می دهد.
گوین مک گینتی، مشاور حقوقی در مرکز مشاوره IT پینسنت ماسنز می گوید: این قانون دولت ها را در شرایط خاصی مجاز به جست وجو در حریم خصوصی اشخاص می داند. «اولین اصل در این مورد این است که شرکت ها در صورت امکان می توانند اطلاعات مورد نیاز ماموران دولت را بدون کلید آن در اختیار آنها قرار دهند، در غیر این صورت رمزگشایی مجاز است.«
همه این مسائل در بررسی های اولیه پاسخگو به نظر می رسد، اما برخی روش های رمزنگاری مانند steganography کارایی چنین قوانینی را زیر سئوال می برد. در این روش گونه ای از اطلاعات در پس زمینه گونه دیگر پنهان می شود: برای مثال یک پرونده فایل word در پس زمینه یک فایل Jpeg.
ویژگی های این ابزار جدید چندان مورد توجه بارنز قرار نگرفته است. او می گوید«: «steganographyبه عنوان یک ابزار غیرقابل کشف به بازار عرضه شده است ولی در مدتی کوتاه عکس این مطلب اثبات شده است. فقط باید بدانید دنبال چه نوع اطلاعاتی می گردید.
امروزه علم رمزنگاری به مرحله ای از رشد و پختگی رسیده است که به راحتی در معرض تغییرات گسترده قرار نمی گیرد. الگوریتم های متقارن و نامتقارن زیادی وجود دارند که برای راضی نگاه داشتن طرفداران رمز و رمزنگاری کفایت می کنند و بسیاری از آنها برای مدیران IT قابل تشخیص نیستند.با وجود این چالش ها هم چنان به قوت خود باقی است. عملکرد ضعیف PKI گودالی عمیق در بازار جهانی رمزنگاری برجای گذاشته است. برای پر کردن این فواصل به نوعی مدل مدیریت شناخت نیاز است.
شهره لیثی
کارشناس شبکه های کامپیوتری
منبع : سایت اطلاع رسانی امنیت اطلاعات ایران
