تجربه‌های پراکنده‌ی یک مسعود
در صورت ناخوانا بودن نوشته‌ها، از مرورگر دیگری استفاده کنید.

توصیه‌های امنیتی را جدی بگیریم - تجربه‌های پراکنده‌ی یک مسعود
تجربه‌های پراکنده‌ی یک مسعود
214.005.00

حدود بیست سال قبل NIST مسابقه‌ای ترتیب داد و از همه‌ی اهل فن سراسر جهان دعوت کرد تا روش جدید رمزنگاری بلوکی متقارن ارائه بدن. هدف از این فراخوان جایگزین کردن روش رمزنگاری DES با روش امن‌تر بود. بعد از سه سال روش Rijndael از بین روش‌های پیشنهادی انتخاب و چند ماه بعد با عنوان استاندارد رمزنگاری پیشرفته ،Advanced Encryption Standard - AES، معرفی شد. این الگوریتم پایه‌ی ریاضی محکمی داره و از بین روش‌های پیشنهادی ریاضیدان‌های متخصص حوزه‌ی رمزنگاری و رمزشکنی انتخاب شده. پس می‌شه گفت هم پشتوانه‌ی علمی خوبی داره و هم مورد تایید سازمان‌های امنیتی بزرگ هست. با این وجود، همچنان حمله‌های مختلفی به اون صورت می‌گیره که اگرچه به طور کامل موفق نبودن، اما امید شکسته شدن AES رو زنده نگه داشتن.

    نرم‌افزار Telegram از روش رمزنگاری AES به همراه چند الگوریتم امتحان پس داده‌ی دیگه، مثل Diffie-Hellman، در ساختار امنیتی خودش استفاده می‌کنه و در مقایسه با نرم‌افزارهایی مثل Viber و Skype امن‌تر هست. پروتکل‌های امنیتی استفاده شده در این نرم‌افزار هم از تحقیقات چند ریاضیدان خبره به دست اومده. توسعه‌دهنده‌های تلگرام برای ثابت کردن امنیت بالای اون، سال ۲۰۱۴، مسابقه‌ای با عنوان «300,000$ for Cracking Telegram Encryption» رو اعلام عمومی کردن که در آخر برنده‌ای نداشت! با این وجود هنوز هم ابهاماتی در مورد امنیت این نرم‌افزار وجود داره.

    در مورد اینکه چرا با وجود استفاده از الگوریتم‌های امنی مثل AES و برگزاری مسابقه، همچنان امنیت تلگرام زیر سوال هست و چه امیدی وجود داره که شاید روزی خود AES هم شکسته شه، باید به چند نکته توجه داشت:

    اول، هر روش رمزنگاری وابسته به تنظیم پارامترهای مخصوص خودش هست. اگه کسی قوی‌ترین گاوصندوق دیجیتالی دنیا رو با رمز ساده قفل کنه و کلیدش رو هم روی گاوصندوق بذاره، فردا صبح حتما گاوصندوق رو خالی می‌بینه. الگوریتم رمزنگاری هم هرچقدر که قابل اطمینان به نظر برسه، اگه تنظیمات پارامترهای مختلف و روش تولید کلید رمز درست نباشه، ممکنه به نتیجه‌ی مطلوب نرسیم. در مورد نرم‌افزار تلگرام هم این شبهه وجود داره که آیا همه‌ی نکات امنیتی رعایت شدن؟

    دوم، زمانی که بحث انتقال اطلاعات روی شبکه پیش می‌یاد، فقط الگوریتم رمزنگاری نیست که اهمیت داره. باید مطمئن باشیم پارامترهایی مثل کلید رمز کاملا محرمانه منتقل می‌شن یا مورد توافق قرار می‌گیرن. مهم‌تر از اون اینکه باید مطمئن باشیم طرف ارتباطمون دقیقا همون کسی هست که باید باشه! شاید در مورد شبکه‌ی محلی محدود بشه هویت کاربر رو راحت تشخیص داد. اما زمانی که صحبت از شبکه‌ی گسترده‌ای مثل اینترنت هست، مسأله کمی پیچیده‌تر می‌شه. پس مستقل از امنیت روش رمز کردن اطلاعات، باید از امنیت انتقال اطلاعات هم مطمئن بود. در مورد نرم‌افزار تلگرام هم ممکنه بشه از این طریق نفوذ انجام داد.

    در عالم رمزنگاری یه اصل اساسی هست که می‌گه: «Don't Roll Your Own Crypto»؛ یعنی نباید از روش‌های رمزنگاری «من‌درآوردی» استفاده کرد. زمانی که فایلی رو با ایده‌ی خودمون رمز می‌کنیم، این احساس رو داریم که چون روش رمزنگاریمون مخفیانه هست، پس شکسته شدنش غیرممکنه. اما در واقع اینطور نیست و حتی ممکنه در کسری از ثانیه بشکنه! روش‌های تحلیل رمز خیلی پیشرفت داشتن و بازم خیلی جای پیشرفت دارن. حتی ممکنه روزی AES هم بشکنه! پروتکل‌های استفاده شده در تلگرام هم اگرچه از تحقیقات ریاضیدان‌های نخبه با استفاده از الگوریتم‌های شناخته شده به دست اومده، اما همچنان مثل یه الگوریتم «من‌درآوردی» مورد نقد و بررسی قرار می‌گیره.


امتیاز نوشته
  • 1
  • 2
  • 3
  • 4
  • 5
ارسال پیام

نام: *  

پست الکترونیک:

وبگاه:

متن پیام: *

right 01 02 03 04 05 06 07 08 09 10 11 12 13 14 left

 

سوال:   هفت هشت  تا؟    (عدد) تا    


» r

چهارشنبه، ۴ آذر ماه ۱۳۹۴، ساعت ۱۳:۱۸
12