alharbi
06-06-2002, Thu 7:57 AM
التشفير وأمن الإنترنت
مقدمـــة
ينجم عن استخدام الإنترنت تحدّيات أمنية كثيرة لشبكات الشركات وأخطار متعددة، وقد شهد العامان الماضيان دخول آلاف الشركات إلى شبكة إنترنت، حيث أنشأت هذه الشركات مواقع لها على شبكة الوب، وزوّدت موظفيها بخدمات البريد الإلكتروني ومتصفّحات الإنترنت المختلفة، وأصبح بذلك أمام المستخدم الخارجي المسلّح ببعض المعرفة والمهارة في استخدام الإنترنت والذي تستهويه عمليات التخريب وإلحاق الضرر بالغير طريقة جديدة للتسلل إلى الأنظمة الداخلية، وأجهزة الشبكات، وحالما يصبح هذا الدخيل داخل شبكة الشركة، يمكنه أن يتجوّل فيها، ويخرّب أو يغيّر البيانات، أو يسرقها، مسبباً أضراراً من مختلف الأنواع. وحتى إذا أخذنا أكثر تطبيقات الإنترنت استخداماً، وهو البريد الإلكتروني، فإنه لا يعتبر مضموناً حيث من الممكن لمن لديه محلل بروتوكولات، وإمكانية الوصول إلى أجهزة الروتر Routers ، والأجهزة الشبكية الأخرى التي تعالج البريد الإلكتروني أثناء انتقاله من شبكة إلى شبكة عبر الإنترنت أن يقرأ ويغيّر الرسائل المرسلة ما لم تُتخذ الإجراءات اللازمة لضمان سلامتها.
تتصرّف بعض الشركات وكأن التحدّيات الأمنية لم تكن خطراً حقيقياً بالأمس القريب، حيث تتطلع إلى البنية التحتية لشبكة الإنترنت كوسيلة رخيصة نسبياً لربط شبكتين أو عدة شبكات محلية، معزولة جغرافياً، مع بعضها البعض، أو للربط عن بعد مع شبكة ما مهملين بذلك الأخطار المترتبة عن غياب نظم الأمن القوية، وتجدر الإشارة إلى أن الأعمال التجارية على شبكة الإنترنت، والتي تتطلّب الملايين من التبادلات المصرفية السرية، أصبحت قريبة من متناول الكثيرين.
ما هو التشفير؟
تقنية التشفير cryptography هي فن حماية المعلومات عن طريق تحويلها إلى رموز معينة غير مقروءة تدعى النصوص المشفرة cyphertext لا يمكن حلها إلا من خلال مفتاح سري يقوم بفك ذلك التشفير وتحويله إلى نص عادي مقروء، ونظراً للانتشار الكبير الذي حققته الاتصالات الإلكترونية وخصوصاً الإنترنت، فقد غدا الأمن الإلكتروني من أسخن القضايا التي يركز عليها العالم بأجمعه، وتستخدم تقنية التشفير في هذا المجال لحماية الرسائل الإلكترونية والمعلومات المهمة المنقولة إلكترونياً كالبيانات المتعلقة ببطاقات الائتمان والبيانات الخاصة بالشركات.
والهدف من التشفير هو ضمان حفظ الخصوصيات وعدم السماح لأحد بالعبث بها أو الاطلاع عليها وذلك كونها إما سرية أو خاصة جداً، ولا يمكن لأحد أن يفهم مضمون تلك المعلومات أو الرسائل إلا من لديه المفتاح السري الخاص بها والذي تتم عن طريقه عملية فك التشفير Decryption أي إعادة البيانات إلى صيغتها الأصلية كنص عادي.
وتتطلب كل من عمليتي التشفير وفك التشفير استخدام بعض التعليمات السرية التي يشار إليها عادة بمفاتيح خاصة. وتستخدم بعض تقنيات التشفير المفتاح نفسه في العمليتين في حين تختلف تلك المفاتيح من عملية لأخرى في تقنيات أخرى.
ولكن تقنيات التشفير اليوم أعقد بكثير وأكثر تطوراً من مجرد التشفير وفك التشفير، وفي الواقع أن موضوع أصالة وصحة البيانات والمعلومات لا يقل أهمية بالنسبة إلى الجميع عن موضوع الخصوصية، فكما نقوم في حياتنا اليومية بالتوقيع مثلاً على مستند ما أو البصم عليه للدلالة على أنه صحيح فإننا بحاجة في المقابل إلى نظام يضمن الشيء ذاته ولكن بطريقة إلكترونية، كما يشمل موضوع التشفير أموراً أخرى كثيرة فمن خلال أدوات معينة يمكن بناء برامج وأنظمة معقدة تتيح إمكانية الدفع باستخدام المال الإلكتروني.
أنواع التشفير وتقنياته
ويشهد موضوع التشفير الكثير من الاهتمام والتعديل حالياً وذلك من أجل تطويره بالشكل الذي يكون آمناً ومضموناً تماماً وأن يفي بكافة الأغراض، وفي الوقت ذاته فإن للتشفير أنواع كثيرة وتقنيات مختلفة، ومن تلك التقنيات هنالك تقنية المفتاح السري Secret Key وهي من التقنيات التقليدية التي يعتمد فيها كل من المرسل والمرسل إليه المفتاح السري ذاته، حيث يقوم الأول باستخدام ذلك المفتاح لتشفير الرسالة فيما يستخدمه الثاني لفك ذلك التشفير وقراءته، وتعرف هذه الطريقة باسم التشفير المتماثل symmetric cryptography. ولكن المشكلة التي تواجه مستخدمي هذا النوع من التشفير هي الاتفاق على مفتاح سري معين بدون أن يكتشف أحد الأمر، وتتفاقم هذه المشكلة إذا كان الطرفان في منطقتين بعيدتين جغرافياً عن بعضهما البعض، عندها سيتوجب عليهما إيجاد طريقة مضمونة للاتصال فيما بينهما كوسيط موثوق أو نظام هاتفي آمن أو أي طريقة أخرى تضمن عدم تسرب ذلك المفتاح السري، لأنه في حال تسرب ذلك المفتاح إلى شخص ما أثناء إرساله فإنه سيغدو بإمكان ذلك الشخص فيما بعد قراءة وتعديل وتزوير جميع الرسائل المشفرة مستخدماً المفتاح ذاته. وتدعى خطوات إعداد تلك المفاتيح ونقلها وتخزينها عملية إدراة المفاتيح والتي يجب أن تتعامل معها كافة تقنيات التشفير وذلك لأن جميع المفاتيح يجب أن تبقى سرية تماماً، وتواجه تقنية المفتاح السري بعض الصعوبات أحياناً فيما يتعلق بإدارة المفاتيح وخصوصاً في الأنظمة المفتوحة التي تتضمن أكثر من مستخدم، ولكن على كل حال تبقى هذه الطريقة أسرع من تقنية المفتاح العام.
المفتاح العام والتوقيع الرقمي
ولحل مشكلة إدارة المفتاح السري، قام شركتا وايتفيلد ومارتن هيلمان بعرض فكرة التشفير باستخدام المفتاح العام وذلك في العام 1976. ولتلك التقنية استخدامان أساسيان هما التشفير والتوقيع الرقمي Digital Signature. وباتباع تلك التقنية يصبح لكل مستخدم زوج من المفاتيح الأول يدعى المفتاح العام والثاني يدعى المفتاح الخاص. يتم نشر المفتاح العام فيما يظل المفتاح الخاص سرياً للغاية. وبذلك لم يعد هناك من حاجة لتبادل المعلومات السرية ما بين المرسل والمرسل إليه، فقط المفتاح العام هو الذي يتم تبادله في حين يبقى لكل طرف مفتاحه الخاص به. وبذلك لم يعد هناك ضرورة للبحث عن وسيلة اتصال آمنة تضمن وصول المعلومات السرية. وهكذا يصبح باستطاعة أي شخص بعث رسائل خاصة باستخدام معلومات عامة، في حين لا يمكن قراءة تلك الرسائل إلا عن طريق فك تشفيرها باستخدام المفتاح الخاص والذي لا يعلمه أحد سوى المرسل إليه. وبالطريقة ذاتها يمكن استخدام هذه التقنية لأمور أخرى كالتوقيع الإلكتروني وما إلى ذلك.
ولكن المفتاح السري الخاص المستخدم في هذه التقنية يمكن اشتقاقه من المفتاح العام وذلك كونهما مرتبطين ببعضهما بشكل دقيق. ولهذا السبب فإنه من الممكن كثيراً الهجوم على الأنظمة العاملة بتلك التقنية عن طريق استنتاج المفتاح الخاص من المفتاح العام. وبالتالي فإن الطريقة الأمثل والأبسط لدعم الحماية هي جعل إمكانية الاستنتاج أقرب إلى المستحيل. وعلى سبيل المثال تصمم بعض تلك التقنيات بشكل يجعل إمكانية اشتقاق المفتاح الخاص باستخدام المفتاح العام أمراً يتطلب إدخال رقم كبير جداً، وبهذه الحالة يكون إجراء الاستنتاج غير قابل للتطبيق حسابياً.
ولتوضيح مبدأ عمل هذه التقنية سنقوم بسرد المثال التالي، أحمد يريد إرسال رسالة سرية إلى علي، يقوم أحمد بالبحث عن المفتاح العام الخاص بعلي في المجلد الخاص به ومن ثم يستخدمه لتشفير الرسالة قبل أن يبعث بها إليه. وعندما يستلم علي الرسالة يقوم باستخدام المفتاح الخاص ليفك تشفير تلك الرسالة وقراءتها. وهكذا فإن أي شخص يستطيع إرسال رسالة إلى علي ولكن لا أحد سوى على يستطيع قراءة تلك الرسائل لأنه هو الوحيد الذي يملك المفتاح الخاص.
ثم يقوم أحمد بإجراء عملية حسابية على الرسالة مستخدماً بذلك مفتاحه الخاص وينتج عن تلك العملية ما يسمى بالتوقيع الرقمي والذي يلحق بالرسالة، وبدوره يقوم علي بإجراء عملية حسابية مشابهة للتحقق من صحة التوقيع وتشمل تلك العملية الرسالة المبعوثة والتوقيع المزعوم والمفتاح العام الخاص بأحمد، ووفقاً لارتباط رياضي بسيط يتبين بعد ذلك لعلي فيما إذا كان التوقيع صحيحاً أم لا.
هنالك الكثير من التقنيات المشهورة المتبعة في عمليات التشفير، وأهم اثنتين من تلك التقنيات هما تقنية المفتاح السري وتقنية المفتاح العام اللذان مر ذكرهما سابقاً، ومن أهم تقنيات المفتاح السري وأكثرها رواجاً هذه الأيام هي تقنية معيار تشفير البيانات Data Encryption Standard والمسماة اختصاراً DES، وفي المقابل فإن أهم تقنيات المفتاح العام وأكثرها استخداماً هي تقنية آر إس إي والتي يمثل اسمها الأحرف الأولى من أسماء الأشخاص الذين قاموا بابتكارها وهم رافيست وشامير آدليمن، ومن تقنيات المفتاح العام الواسعة الانتشار أيضاً هناك تقنية حساب التوقيع الرقمي Digital Signature Algorithm (DSA) ولكنها تستخدم فقط للتوقيع وليس للتشفير.
ومن جهة أخرى فقد حققت أنظمة التشفير المعتمدة على المنحنيات البيضوية Elliptic Curve Cryptosystems ( ECCs) انتشاراً واسعاً في الفترة الأخيرة، ويرتكز عمل هذه التقنية على أشكال رياضية تعرف بالمنحنيات البيضوية.
والحقيقة أن للتشفير فوائد جمة وتطبيقات كثيرة جداً معظمها قيد الاستخدام حالياً، والتطبيق النموذجي للتشفير هو عبارة عن نظام مدمج خارج التقنيات الرئيسية وتتفاوت درجات التعقيد المتبعة في هذا النوع من الأنظمة، فمن التطبيقات البسيطة هناك الاتصال الآمن ومطابقة المعلومات الذاتية والتشارك السري والتحقق من أصالة البيانات وما شابه، أما التطبيقات المعقدة فتشمل أنظمة التجارة الإلكترونية والشهادات الموثقة والبريد الإلكتروني الآمن والولوج المضمون إلى الكمبيوتر وما إلى ذلك.
التقنيات الأكثر إنتشاراً
وبشكل عام فإنه كلما كانت التطبيقات أبسط كلما راج استخدامها أكثر ولهذا نلاحظ انتشاراً واسعاً لتطبيقات مماثلة المعلومات الذاتية والتحقق من أصالة البيانات ، في حين ما تزال أنظمة التجارة الإلكترونية في طورها التأسيسي، ولكن بالطبع فإن هناك استثناءات لتلك القاعدة، وبعبارة أخرى فإن تبني تلك الأنظمة يعتمد في الدرجة الأولى على مدى الحاجة لها، فعلى سبيل المثال حققت تقنية الطبقة المغلفة للمقبس الآمن SSL-encapsulated الخاص ببروتوكول HTTP رواجاً أكبر بكثير وأسرع من ذلك الذي حققته تقنية تشفير طبقة الوصلة Link-Layer الأكثر بساطة.
وكما هو معروف فإن أكثر أنظمة التشفير استخداماً هو نظام الاتصال الآمن والذي يمكن عن طريقه لأي شخصين إجراء اتصال مضمون فيما بينهما وذلك من خلال تشفير مضمون الرسائل المتبادلة مما يحول دون تسرب تلك المعلومات إلى أي طرف ثالث حتى ولو حصل على تلك الرسائل، ورغم أن ذلك النظام قد وجد منذ مئات السنين إلا أن مشكلة إدارة المفاتيح التي يعاني منها حدت من تداوله بشكل كبير.
مطابقة المعلومات الذاتية والتحقق من أصالة البيانات هما أيضاً من أوسع التطبيقات انتشاراً وأكثرها استخداماً، والتطبيق الأول هو عبارة عن الإجراءات المتخذة للتحقق من هوية شخص ما، فعلى سبيل المثال عند سحب مبلغ من المال من المصرف يطلب منك أمين الصندوق بطاقة تثبت شخصيتك كالبطاقة الشخصية أو رخصة القيادة أو جواز السفر أو ما إلى ذلك ليتأكد من أنك الشخص المزعوم، ويمكن لهذه العملية أن تتم بشكل إلكتروني عن طريق أنظمة التشفير، فالبطاقات الخاصة بالصراف الآلي ATM تكون مزودة برقم شخصي سري يسمى PIN أي Personal Identification Number والذي يتم على أساسه الربط ما بين الشخص وحسابه، وعندما تدخل بطاقتك في الصراف الآلي فإنه يطلب منك إدخال الرقم الشخصي الخاص بك والذي تتم من خلاله عمليات السحب والإيداع وما شابه، في حين يرفض الصراف أي محاولة للدخول في حال لم يكن الرقم صحيحاً، ويتشابه التطبيق الثاني وهو التحقق من أصالة البيانات تطبيق مطابقة المعلومات الذاتية وذلك في كونهما لا يتيحان عملية الدخول ما لم تقدم بعض البيانات الشخصية ولكن التطبيق الثاني أكثر أوسع استخداماً وذلك لأنه لا يتطلب بالضرورة مطابقة شخص أو هوية، بل يقوم بالتحقق من كون شخص ما وفقاً لبيانات معينة معطاة مصرح له بالنفاذ إلى ما يحاول الدخول إليه أم لا.
معايير التشفير
ونتيجة لذلك فقد ساهمت العديد من الحكومات والقطاع الخاص وبعض المنظمات الأخرى في تطوير مجموعة المعايير الخاصة بتقنية التشفير، ومن تلك المنظمات هناك ISO و ANSI و IEEE و NIST و IETF وغيرها الكثير، وهنالك أشكال متنوعة من تلك المعايير بعضها مطبق في الصناعات المصرفية وأخرى على الصعيد العالمي وأخرى في القطاعات الحكومية، وتساعد تلك المعايير المطورين على تصميم منتجات جديدة فبدلاً من إضاعة أوقات وصرف الكثير من المال والجهد في سبيل تطوير معيار جديد بإمكانهم الاستناد على معيار أساسي موجود مسبقاً ومن ثم التفرغ لتطوير منتجاتهم، ومن جهة أخرى فإن تلك العملية ستتيح للمستخدمين أيضاً فرصاً أكبر للاختيار ما بين الكم الهائل من المنتجات والخدمات.
وتعرف تقنية التشفير باستخدام المفتاح السري والتي تدعى أحياناً بالتشفير التماثلي بأنها الطريقة التقليدية في التشفير والتي تعتمد على مفتاح واحد يتم استعماله لإجراء عملية تشفير وفك تشفير رسالة ما، وتستخدم هذه الطريقة أيضاً في مجال التحقق من أصالة البيانات وتسمى حينها تقنية message authentication codes.
أما نظام المال الإلكتروني Electronic Money والذي يسمى أيضاً الأوراق المالية الرقمية فإنه ما يزال حتى الآن مبهماً بعض الشيء وغير معرف تماماً، ويستخدم تعبير المال الإلكتروني على الصفقات التجارية التي تتم مباشرة على الإنترنت مع إعطاء نتيجة نهائية عن الودائع أو المبالغ الصافية التي تم تناقلها من طرف لآخر، والأموال الإلكترونية ممكن أن تكون رصيد دائن أو مدين.
وما تزال الأوراق المالية الرقمية مجهولة وليس لها تعريف محدد وذلك لأنه لا يتم الإفصاح خلالها عن هوية العميل و هي مبنية على نظام توقيع غامض، في حين تعتبر بطاقات الاعتماد وبطاقات المدين من الأنظمة المعرفة لأنه يتم خلالها التعرف على هوية المتعاقدين.
وبما أن الأوراق النقدية الرقمية هي مجرد تمثيل رقمي للودائع المصرفية فإنه من السهل جداً تقليد أو تزوير هذه الأوراق ومن ثم صرفها لأكثر من مرة، ولهذا السبب فقد تم تنظيم تلك التقنية وفق أسس متينة مما وضع حداً لإمكانية صرف النقود الرقمية لأكثر من مرة دون أن يلاحظ ذلك مباشرة أو بعد فترة قصيرة، ومن طرق الحماية الأخرى تخزين تلك الأوراق النقدية الرقمية في جهاز آمن مما يعني ضمان عدم استخدامها لأكثر من مرة.
وهنالك تقنية حماية أخرى واسعة الانتشار وهي تقنية دعم الخصوصية Pretty Good Privacy والمسماة اختصاراً PGP وهي عبارة عن مجموعة برامج تم تطويرها في البداية من قبل فيليب زيمرمان الذي قام بابتكار بعض طرق التشفير المحددة الخاصة بالبريد الإلكتروني وتطبيقات تخزين الملفات، وذلك عندما قام باعتماد بعض أنظمة التشفير والبروتوكولات المميزة المرتبطة به ومن ثم الاستناد عليها في تطوير برنامج حماية قوي بإمكانه العمل مع أنظمة تشغيل متعددة، ويقدم هذا البرنامج إمكانية تشفير الرسائل، بالإضافة إلى التوقيع الرقمي وضغط الملفات والتوافق مع البريد الإلكتروني، وأنظمة التشفير المستخدمة في هذا النوع من البرامج هي ذاتها المحددة في تقنية RFC 2440 مرتبة حسب الأولوية، حيث يستخدم نظام ElGamal في عملية نقل المفتاح في حين يستخدم نظام Triple-DESو IDEA و CAST5 لتشفير الرسائل، بينما يستخدم نظام DSA أو RSA في التوقيع الإلكتروني، أما عمليات ضغط الرسائل والنقل والتخزين فتتم عن طريق البرنامج ZIP، وأخيراً يتم ضبط البريد الإلكتروني عن طريق استخدام تقنية Radix-64 conversation.
وتجدر الإشارة إلى أنه هنالك مجموعة من المعايير المتبعة في أنظمة التشفير والمتفق عليها على مستوى العالم، والمعيار الأول يسمى ANSI X9 وهو معيار طورته لجنة خاصة كانت تابعة لمؤسسة المعايير الأمريكية الوطنية وكانت هدف تلك اللجنة من وراء تطوير ذلك المعيار يتمثل في توفير الحماية اللازمة للصناعة المصرفية، وبشكل خاص لحماية الرقم الشخصي السري PIN ومعالجة الشيكات والتحويل الإلكتروني للأموال وما إلى ذلك.
المصدر اي تي بي
مقدمـــة
ينجم عن استخدام الإنترنت تحدّيات أمنية كثيرة لشبكات الشركات وأخطار متعددة، وقد شهد العامان الماضيان دخول آلاف الشركات إلى شبكة إنترنت، حيث أنشأت هذه الشركات مواقع لها على شبكة الوب، وزوّدت موظفيها بخدمات البريد الإلكتروني ومتصفّحات الإنترنت المختلفة، وأصبح بذلك أمام المستخدم الخارجي المسلّح ببعض المعرفة والمهارة في استخدام الإنترنت والذي تستهويه عمليات التخريب وإلحاق الضرر بالغير طريقة جديدة للتسلل إلى الأنظمة الداخلية، وأجهزة الشبكات، وحالما يصبح هذا الدخيل داخل شبكة الشركة، يمكنه أن يتجوّل فيها، ويخرّب أو يغيّر البيانات، أو يسرقها، مسبباً أضراراً من مختلف الأنواع. وحتى إذا أخذنا أكثر تطبيقات الإنترنت استخداماً، وهو البريد الإلكتروني، فإنه لا يعتبر مضموناً حيث من الممكن لمن لديه محلل بروتوكولات، وإمكانية الوصول إلى أجهزة الروتر Routers ، والأجهزة الشبكية الأخرى التي تعالج البريد الإلكتروني أثناء انتقاله من شبكة إلى شبكة عبر الإنترنت أن يقرأ ويغيّر الرسائل المرسلة ما لم تُتخذ الإجراءات اللازمة لضمان سلامتها.
تتصرّف بعض الشركات وكأن التحدّيات الأمنية لم تكن خطراً حقيقياً بالأمس القريب، حيث تتطلع إلى البنية التحتية لشبكة الإنترنت كوسيلة رخيصة نسبياً لربط شبكتين أو عدة شبكات محلية، معزولة جغرافياً، مع بعضها البعض، أو للربط عن بعد مع شبكة ما مهملين بذلك الأخطار المترتبة عن غياب نظم الأمن القوية، وتجدر الإشارة إلى أن الأعمال التجارية على شبكة الإنترنت، والتي تتطلّب الملايين من التبادلات المصرفية السرية، أصبحت قريبة من متناول الكثيرين.
ما هو التشفير؟
تقنية التشفير cryptography هي فن حماية المعلومات عن طريق تحويلها إلى رموز معينة غير مقروءة تدعى النصوص المشفرة cyphertext لا يمكن حلها إلا من خلال مفتاح سري يقوم بفك ذلك التشفير وتحويله إلى نص عادي مقروء، ونظراً للانتشار الكبير الذي حققته الاتصالات الإلكترونية وخصوصاً الإنترنت، فقد غدا الأمن الإلكتروني من أسخن القضايا التي يركز عليها العالم بأجمعه، وتستخدم تقنية التشفير في هذا المجال لحماية الرسائل الإلكترونية والمعلومات المهمة المنقولة إلكترونياً كالبيانات المتعلقة ببطاقات الائتمان والبيانات الخاصة بالشركات.
والهدف من التشفير هو ضمان حفظ الخصوصيات وعدم السماح لأحد بالعبث بها أو الاطلاع عليها وذلك كونها إما سرية أو خاصة جداً، ولا يمكن لأحد أن يفهم مضمون تلك المعلومات أو الرسائل إلا من لديه المفتاح السري الخاص بها والذي تتم عن طريقه عملية فك التشفير Decryption أي إعادة البيانات إلى صيغتها الأصلية كنص عادي.
وتتطلب كل من عمليتي التشفير وفك التشفير استخدام بعض التعليمات السرية التي يشار إليها عادة بمفاتيح خاصة. وتستخدم بعض تقنيات التشفير المفتاح نفسه في العمليتين في حين تختلف تلك المفاتيح من عملية لأخرى في تقنيات أخرى.
ولكن تقنيات التشفير اليوم أعقد بكثير وأكثر تطوراً من مجرد التشفير وفك التشفير، وفي الواقع أن موضوع أصالة وصحة البيانات والمعلومات لا يقل أهمية بالنسبة إلى الجميع عن موضوع الخصوصية، فكما نقوم في حياتنا اليومية بالتوقيع مثلاً على مستند ما أو البصم عليه للدلالة على أنه صحيح فإننا بحاجة في المقابل إلى نظام يضمن الشيء ذاته ولكن بطريقة إلكترونية، كما يشمل موضوع التشفير أموراً أخرى كثيرة فمن خلال أدوات معينة يمكن بناء برامج وأنظمة معقدة تتيح إمكانية الدفع باستخدام المال الإلكتروني.
أنواع التشفير وتقنياته
ويشهد موضوع التشفير الكثير من الاهتمام والتعديل حالياً وذلك من أجل تطويره بالشكل الذي يكون آمناً ومضموناً تماماً وأن يفي بكافة الأغراض، وفي الوقت ذاته فإن للتشفير أنواع كثيرة وتقنيات مختلفة، ومن تلك التقنيات هنالك تقنية المفتاح السري Secret Key وهي من التقنيات التقليدية التي يعتمد فيها كل من المرسل والمرسل إليه المفتاح السري ذاته، حيث يقوم الأول باستخدام ذلك المفتاح لتشفير الرسالة فيما يستخدمه الثاني لفك ذلك التشفير وقراءته، وتعرف هذه الطريقة باسم التشفير المتماثل symmetric cryptography. ولكن المشكلة التي تواجه مستخدمي هذا النوع من التشفير هي الاتفاق على مفتاح سري معين بدون أن يكتشف أحد الأمر، وتتفاقم هذه المشكلة إذا كان الطرفان في منطقتين بعيدتين جغرافياً عن بعضهما البعض، عندها سيتوجب عليهما إيجاد طريقة مضمونة للاتصال فيما بينهما كوسيط موثوق أو نظام هاتفي آمن أو أي طريقة أخرى تضمن عدم تسرب ذلك المفتاح السري، لأنه في حال تسرب ذلك المفتاح إلى شخص ما أثناء إرساله فإنه سيغدو بإمكان ذلك الشخص فيما بعد قراءة وتعديل وتزوير جميع الرسائل المشفرة مستخدماً المفتاح ذاته. وتدعى خطوات إعداد تلك المفاتيح ونقلها وتخزينها عملية إدراة المفاتيح والتي يجب أن تتعامل معها كافة تقنيات التشفير وذلك لأن جميع المفاتيح يجب أن تبقى سرية تماماً، وتواجه تقنية المفتاح السري بعض الصعوبات أحياناً فيما يتعلق بإدارة المفاتيح وخصوصاً في الأنظمة المفتوحة التي تتضمن أكثر من مستخدم، ولكن على كل حال تبقى هذه الطريقة أسرع من تقنية المفتاح العام.
المفتاح العام والتوقيع الرقمي
ولحل مشكلة إدارة المفتاح السري، قام شركتا وايتفيلد ومارتن هيلمان بعرض فكرة التشفير باستخدام المفتاح العام وذلك في العام 1976. ولتلك التقنية استخدامان أساسيان هما التشفير والتوقيع الرقمي Digital Signature. وباتباع تلك التقنية يصبح لكل مستخدم زوج من المفاتيح الأول يدعى المفتاح العام والثاني يدعى المفتاح الخاص. يتم نشر المفتاح العام فيما يظل المفتاح الخاص سرياً للغاية. وبذلك لم يعد هناك من حاجة لتبادل المعلومات السرية ما بين المرسل والمرسل إليه، فقط المفتاح العام هو الذي يتم تبادله في حين يبقى لكل طرف مفتاحه الخاص به. وبذلك لم يعد هناك ضرورة للبحث عن وسيلة اتصال آمنة تضمن وصول المعلومات السرية. وهكذا يصبح باستطاعة أي شخص بعث رسائل خاصة باستخدام معلومات عامة، في حين لا يمكن قراءة تلك الرسائل إلا عن طريق فك تشفيرها باستخدام المفتاح الخاص والذي لا يعلمه أحد سوى المرسل إليه. وبالطريقة ذاتها يمكن استخدام هذه التقنية لأمور أخرى كالتوقيع الإلكتروني وما إلى ذلك.
ولكن المفتاح السري الخاص المستخدم في هذه التقنية يمكن اشتقاقه من المفتاح العام وذلك كونهما مرتبطين ببعضهما بشكل دقيق. ولهذا السبب فإنه من الممكن كثيراً الهجوم على الأنظمة العاملة بتلك التقنية عن طريق استنتاج المفتاح الخاص من المفتاح العام. وبالتالي فإن الطريقة الأمثل والأبسط لدعم الحماية هي جعل إمكانية الاستنتاج أقرب إلى المستحيل. وعلى سبيل المثال تصمم بعض تلك التقنيات بشكل يجعل إمكانية اشتقاق المفتاح الخاص باستخدام المفتاح العام أمراً يتطلب إدخال رقم كبير جداً، وبهذه الحالة يكون إجراء الاستنتاج غير قابل للتطبيق حسابياً.
ولتوضيح مبدأ عمل هذه التقنية سنقوم بسرد المثال التالي، أحمد يريد إرسال رسالة سرية إلى علي، يقوم أحمد بالبحث عن المفتاح العام الخاص بعلي في المجلد الخاص به ومن ثم يستخدمه لتشفير الرسالة قبل أن يبعث بها إليه. وعندما يستلم علي الرسالة يقوم باستخدام المفتاح الخاص ليفك تشفير تلك الرسالة وقراءتها. وهكذا فإن أي شخص يستطيع إرسال رسالة إلى علي ولكن لا أحد سوى على يستطيع قراءة تلك الرسائل لأنه هو الوحيد الذي يملك المفتاح الخاص.
ثم يقوم أحمد بإجراء عملية حسابية على الرسالة مستخدماً بذلك مفتاحه الخاص وينتج عن تلك العملية ما يسمى بالتوقيع الرقمي والذي يلحق بالرسالة، وبدوره يقوم علي بإجراء عملية حسابية مشابهة للتحقق من صحة التوقيع وتشمل تلك العملية الرسالة المبعوثة والتوقيع المزعوم والمفتاح العام الخاص بأحمد، ووفقاً لارتباط رياضي بسيط يتبين بعد ذلك لعلي فيما إذا كان التوقيع صحيحاً أم لا.
هنالك الكثير من التقنيات المشهورة المتبعة في عمليات التشفير، وأهم اثنتين من تلك التقنيات هما تقنية المفتاح السري وتقنية المفتاح العام اللذان مر ذكرهما سابقاً، ومن أهم تقنيات المفتاح السري وأكثرها رواجاً هذه الأيام هي تقنية معيار تشفير البيانات Data Encryption Standard والمسماة اختصاراً DES، وفي المقابل فإن أهم تقنيات المفتاح العام وأكثرها استخداماً هي تقنية آر إس إي والتي يمثل اسمها الأحرف الأولى من أسماء الأشخاص الذين قاموا بابتكارها وهم رافيست وشامير آدليمن، ومن تقنيات المفتاح العام الواسعة الانتشار أيضاً هناك تقنية حساب التوقيع الرقمي Digital Signature Algorithm (DSA) ولكنها تستخدم فقط للتوقيع وليس للتشفير.
ومن جهة أخرى فقد حققت أنظمة التشفير المعتمدة على المنحنيات البيضوية Elliptic Curve Cryptosystems ( ECCs) انتشاراً واسعاً في الفترة الأخيرة، ويرتكز عمل هذه التقنية على أشكال رياضية تعرف بالمنحنيات البيضوية.
والحقيقة أن للتشفير فوائد جمة وتطبيقات كثيرة جداً معظمها قيد الاستخدام حالياً، والتطبيق النموذجي للتشفير هو عبارة عن نظام مدمج خارج التقنيات الرئيسية وتتفاوت درجات التعقيد المتبعة في هذا النوع من الأنظمة، فمن التطبيقات البسيطة هناك الاتصال الآمن ومطابقة المعلومات الذاتية والتشارك السري والتحقق من أصالة البيانات وما شابه، أما التطبيقات المعقدة فتشمل أنظمة التجارة الإلكترونية والشهادات الموثقة والبريد الإلكتروني الآمن والولوج المضمون إلى الكمبيوتر وما إلى ذلك.
التقنيات الأكثر إنتشاراً
وبشكل عام فإنه كلما كانت التطبيقات أبسط كلما راج استخدامها أكثر ولهذا نلاحظ انتشاراً واسعاً لتطبيقات مماثلة المعلومات الذاتية والتحقق من أصالة البيانات ، في حين ما تزال أنظمة التجارة الإلكترونية في طورها التأسيسي، ولكن بالطبع فإن هناك استثناءات لتلك القاعدة، وبعبارة أخرى فإن تبني تلك الأنظمة يعتمد في الدرجة الأولى على مدى الحاجة لها، فعلى سبيل المثال حققت تقنية الطبقة المغلفة للمقبس الآمن SSL-encapsulated الخاص ببروتوكول HTTP رواجاً أكبر بكثير وأسرع من ذلك الذي حققته تقنية تشفير طبقة الوصلة Link-Layer الأكثر بساطة.
وكما هو معروف فإن أكثر أنظمة التشفير استخداماً هو نظام الاتصال الآمن والذي يمكن عن طريقه لأي شخصين إجراء اتصال مضمون فيما بينهما وذلك من خلال تشفير مضمون الرسائل المتبادلة مما يحول دون تسرب تلك المعلومات إلى أي طرف ثالث حتى ولو حصل على تلك الرسائل، ورغم أن ذلك النظام قد وجد منذ مئات السنين إلا أن مشكلة إدارة المفاتيح التي يعاني منها حدت من تداوله بشكل كبير.
مطابقة المعلومات الذاتية والتحقق من أصالة البيانات هما أيضاً من أوسع التطبيقات انتشاراً وأكثرها استخداماً، والتطبيق الأول هو عبارة عن الإجراءات المتخذة للتحقق من هوية شخص ما، فعلى سبيل المثال عند سحب مبلغ من المال من المصرف يطلب منك أمين الصندوق بطاقة تثبت شخصيتك كالبطاقة الشخصية أو رخصة القيادة أو جواز السفر أو ما إلى ذلك ليتأكد من أنك الشخص المزعوم، ويمكن لهذه العملية أن تتم بشكل إلكتروني عن طريق أنظمة التشفير، فالبطاقات الخاصة بالصراف الآلي ATM تكون مزودة برقم شخصي سري يسمى PIN أي Personal Identification Number والذي يتم على أساسه الربط ما بين الشخص وحسابه، وعندما تدخل بطاقتك في الصراف الآلي فإنه يطلب منك إدخال الرقم الشخصي الخاص بك والذي تتم من خلاله عمليات السحب والإيداع وما شابه، في حين يرفض الصراف أي محاولة للدخول في حال لم يكن الرقم صحيحاً، ويتشابه التطبيق الثاني وهو التحقق من أصالة البيانات تطبيق مطابقة المعلومات الذاتية وذلك في كونهما لا يتيحان عملية الدخول ما لم تقدم بعض البيانات الشخصية ولكن التطبيق الثاني أكثر أوسع استخداماً وذلك لأنه لا يتطلب بالضرورة مطابقة شخص أو هوية، بل يقوم بالتحقق من كون شخص ما وفقاً لبيانات معينة معطاة مصرح له بالنفاذ إلى ما يحاول الدخول إليه أم لا.
معايير التشفير
ونتيجة لذلك فقد ساهمت العديد من الحكومات والقطاع الخاص وبعض المنظمات الأخرى في تطوير مجموعة المعايير الخاصة بتقنية التشفير، ومن تلك المنظمات هناك ISO و ANSI و IEEE و NIST و IETF وغيرها الكثير، وهنالك أشكال متنوعة من تلك المعايير بعضها مطبق في الصناعات المصرفية وأخرى على الصعيد العالمي وأخرى في القطاعات الحكومية، وتساعد تلك المعايير المطورين على تصميم منتجات جديدة فبدلاً من إضاعة أوقات وصرف الكثير من المال والجهد في سبيل تطوير معيار جديد بإمكانهم الاستناد على معيار أساسي موجود مسبقاً ومن ثم التفرغ لتطوير منتجاتهم، ومن جهة أخرى فإن تلك العملية ستتيح للمستخدمين أيضاً فرصاً أكبر للاختيار ما بين الكم الهائل من المنتجات والخدمات.
وتعرف تقنية التشفير باستخدام المفتاح السري والتي تدعى أحياناً بالتشفير التماثلي بأنها الطريقة التقليدية في التشفير والتي تعتمد على مفتاح واحد يتم استعماله لإجراء عملية تشفير وفك تشفير رسالة ما، وتستخدم هذه الطريقة أيضاً في مجال التحقق من أصالة البيانات وتسمى حينها تقنية message authentication codes.
أما نظام المال الإلكتروني Electronic Money والذي يسمى أيضاً الأوراق المالية الرقمية فإنه ما يزال حتى الآن مبهماً بعض الشيء وغير معرف تماماً، ويستخدم تعبير المال الإلكتروني على الصفقات التجارية التي تتم مباشرة على الإنترنت مع إعطاء نتيجة نهائية عن الودائع أو المبالغ الصافية التي تم تناقلها من طرف لآخر، والأموال الإلكترونية ممكن أن تكون رصيد دائن أو مدين.
وما تزال الأوراق المالية الرقمية مجهولة وليس لها تعريف محدد وذلك لأنه لا يتم الإفصاح خلالها عن هوية العميل و هي مبنية على نظام توقيع غامض، في حين تعتبر بطاقات الاعتماد وبطاقات المدين من الأنظمة المعرفة لأنه يتم خلالها التعرف على هوية المتعاقدين.
وبما أن الأوراق النقدية الرقمية هي مجرد تمثيل رقمي للودائع المصرفية فإنه من السهل جداً تقليد أو تزوير هذه الأوراق ومن ثم صرفها لأكثر من مرة، ولهذا السبب فقد تم تنظيم تلك التقنية وفق أسس متينة مما وضع حداً لإمكانية صرف النقود الرقمية لأكثر من مرة دون أن يلاحظ ذلك مباشرة أو بعد فترة قصيرة، ومن طرق الحماية الأخرى تخزين تلك الأوراق النقدية الرقمية في جهاز آمن مما يعني ضمان عدم استخدامها لأكثر من مرة.
وهنالك تقنية حماية أخرى واسعة الانتشار وهي تقنية دعم الخصوصية Pretty Good Privacy والمسماة اختصاراً PGP وهي عبارة عن مجموعة برامج تم تطويرها في البداية من قبل فيليب زيمرمان الذي قام بابتكار بعض طرق التشفير المحددة الخاصة بالبريد الإلكتروني وتطبيقات تخزين الملفات، وذلك عندما قام باعتماد بعض أنظمة التشفير والبروتوكولات المميزة المرتبطة به ومن ثم الاستناد عليها في تطوير برنامج حماية قوي بإمكانه العمل مع أنظمة تشغيل متعددة، ويقدم هذا البرنامج إمكانية تشفير الرسائل، بالإضافة إلى التوقيع الرقمي وضغط الملفات والتوافق مع البريد الإلكتروني، وأنظمة التشفير المستخدمة في هذا النوع من البرامج هي ذاتها المحددة في تقنية RFC 2440 مرتبة حسب الأولوية، حيث يستخدم نظام ElGamal في عملية نقل المفتاح في حين يستخدم نظام Triple-DESو IDEA و CAST5 لتشفير الرسائل، بينما يستخدم نظام DSA أو RSA في التوقيع الإلكتروني، أما عمليات ضغط الرسائل والنقل والتخزين فتتم عن طريق البرنامج ZIP، وأخيراً يتم ضبط البريد الإلكتروني عن طريق استخدام تقنية Radix-64 conversation.
وتجدر الإشارة إلى أنه هنالك مجموعة من المعايير المتبعة في أنظمة التشفير والمتفق عليها على مستوى العالم، والمعيار الأول يسمى ANSI X9 وهو معيار طورته لجنة خاصة كانت تابعة لمؤسسة المعايير الأمريكية الوطنية وكانت هدف تلك اللجنة من وراء تطوير ذلك المعيار يتمثل في توفير الحماية اللازمة للصناعة المصرفية، وبشكل خاص لحماية الرقم الشخصي السري PIN ومعالجة الشيكات والتحويل الإلكتروني للأموال وما إلى ذلك.
المصدر اي تي بي