رمزگذاری دوسره برای مردم عادی به تنهایی کافی نیست. در این مطلب به تصمیم ها و تکنیک‌های موجود می‌پردازیم.

در ماه ژوئن ۲۰۱۷ پنج متحد اطلاعات امنیت همایشی در اوتاوا، کانادا ترتیب دادند تا شرکت‌های فناوری را برای رمزنگاری پیغام رسانی تروریستی قانع کنند. در ماه جولای، نخست وزیر استرالیا، مالکوم ترنبال، از شرکت‌ها دعوت کرد تمام سیستم‌هایی که پیغام‌های تماماً رمزگذاری شده و از فرستند به گیرنده می‌رسند، مسدود کند (این روش به رمزگذاری دوسره شناخته شده- End-to-End). رییس دفتر امنیت بریتانیا، اَمبِر راد در روزنامه های ۳۱ جولای بحثی را مطرح کرد که درباره‌ی مردم واقعی صحبت کرده بود. یعنی کسانی که نیازی به این رمزگذاری دو سر ندارند.

 

این ادعا در حالی مطرح شد که حدود یک میلیارد از همین مردم معمولی از اپلیکشین‌های پیغام رسانی امن مانند Signal و WhatsApp استفاده می‌کنند. پس امکانی برای کسانی که تصمیم می‌گیرند از این امنیت شبکه در آینده استفاده کنند باقی نمی‌گذارد. برخی شرکت‌های فناوریی هم هستند که شاید پاسخ مثبت داده و این رمزگذاری دو سره را بردارند و دیگرانی که از راه در رویی برای دسترسی دولتی در سال قبل گذشتند. تا به امروز دو دهه است که Clipper Chip (ماشین رمزگذاری حریم شخصی) در خبرها بود، ولی حالا با توجه به تهدیدهایی که در دهه نود هم مطرح شده بود از جنگ امنیتی در رمزگشایی دولت و اقتصاد و مشتری، دوباره مطرح شده. یک مساله برای یکی مثل من به عنوان پژوهشگر علوم کامپیوتر بسیار مهم است: ما مردم معمولی باید با امنیت بیشتری با ابزارهایمان کار کنیم چراکه مرتبه‌ای [شهروندی] بالاتر از ما وجود ندارد.

نقاط پایان ضعیف‌ترین لینک‌ها را دارند

حداقل تاکنون، راه حل‌های خوبی برای استفاده آسان از ارتباط امن برای کامپیوترها از جمله رمزگذاری دو سره‌ی پیغام‌هایمان داریم. رمزگذاری دو سره به این معناست که یک پیغام توسط فرستنده رمزگذاری شده و توسط دریافت کننده رمزگشایی می‌شود و هیچ شخص سومی نمی‌تواند پیغام را رمزگشایی کند. این دو سره بودن مهم است، ولی متخصصین امنیت برآنند که سال‌ها هشدار داده‌اند که با ارزش‌ترین جا برای داده‌های شما در طول انتقال از محلی به محل دیگر نیست، بلکه در زمان ذخیره سازی یا نمایش آن در یکی یا دیگری روی صفحه نمایش، روی حافظه جانبی یا ابزارهای مشابه در شبکه ابر است.

براساس افشای ویکی لیکس از ابزارهای هک سازمان سیا، اگر شخصی بتواند کنترل یک ابزار را در دست بگیرد، می‌تواند پیغام‌ها را بدون نیاز به رمزگشایی بخواند. و آن نقاط پایان اتصال، هر دو گوشی‌های هوشمند و کامپیوترهای شخصی هستند که همواره اینکار بسیار ساده‌تر خواهد بود. ولی چرا این نقاط پایان مهم‌ترین هستند؟ چون دوست نداریم شرایط نامناسبی پیش بیاید، یا با اضافه کردن مراقبت بیشتر در ابزارهایمان سخت‌تر می‌شود. به همین ترتیب قفل‌های متعدد برای یک در وارد شدن به آنجا را برایمان مشکل‌تر می‌کند چه برای صاحب خانه چه مهمان. ابداع روش‌های جدید برای مراقبت از نقاط پایان دیحیتال بدون کاهش ارش یا استفاده‌ی آن‌ها چالش برانگیز است، ولی فناوری‌های جدیدی هم هستند که افقی را پیش روی ما برای حل این مساله باز می‌کنند.

 

راه حل‌های نسل آینده

فرض کنید سازمانی مجرم یا رژیم بدخواه، بخواهد ارتباط شما یا هرکس دیگری را جاسوسی کند. برای مراقبت از خودتان، ابزار رمزگذاری دوسره را نصب کرده‌اید، مانند Signal برای پیغام دادن. این مساله‌ی شنود حتی با اجازه‌ی دادگاه برای رژیم بدخواه هم بسیار دشوار است. ولی اگر این رژیم بدخواه شما را دور بزند و روی ابزارتان نرم افزار جاسوسی نصب کند چه؟

برای مثال، می‌تواند بازی مورد علاقه شما (ClashBrids) را با نسخه‌ای مطلوب، جا به بزند. یا همان بدخواه، از بدافزاری با تکنیک جستجوی شبکه به عنوان راه در رو به ماشین شما استفاده کند. با کنترل نقطه سرچشمه داده‌های شما، حتی پیش از رمزگشایی می‌تواند پیغام‌های شما را بخواند. برای نگاهبانی در مقابل این روش‌های نفوذ، باید امنیت نقطه سرچشمه‌ی بازی را به چند روش بهبود ببخشیم تا از امنیتش مطمئن شویم:

  • جاسوس آن بازی را وقتی نرم افزارش را نصب می‌کنیم، به عنوان یک شرکت خود را جا نمی‌زند.
  • کسی با اپلیکیشن ClashBrids پیش یا پس از نصب، مورد جستجو قرار نمی‌گیرد.
  • این اپلیکیشن هیچ راه درو یا روزنه های امنیتی ندارد که جاسوس بتواند مورد نظر پس از نصب نرم افزار توسط ما، سو استفاده کند.
  • علاوه بر این اگر کاربرها می‌توانستند امنیت اپلیکیشن‌شان تحت کنترل خود به دست گیرند، خوب بود، بجای اینکه به فروشنده اپلیکشین تکیه کنیم که برای امنیت شبکه خود به شرکت دیگری وابسته است.

متخصصین امنیت کامپیوتر درباره‌ی ایده‌ی فناوری بلوک‌چین (Blockchain)، هیجان زده هستند که با این ایده باید بتوان به امنیت شبکه ما در دو نقطه شروع و پایان کمک کند. بلوک‌چین، فناوری ست که پایه‌ی بیتکوین (Bitcoin) و دیگر ارزهای رمزی، اطلاعات تایید شده و غیر قابل تغییر عمومی درست می‌کند. امنیت سر خط بدان معناست که متخصصین کامپیوتر باید بتوانند ابزارهایی بلوک‌چین پایه برای کمک به تایید مبدا اپلیکیشن‌هایمان ابداع کنند. همچنین می‌توانیم از بلوک‌چین‌ها برای تایید داده‌هایی که دستکاری نشده‌اند و حریم شخصی‌مان استفاده کنیم. و تا زمانی که کُد منبع این برنامه ها رایگان باشد تا ماهیت‌شان را بررسی کنیم، (مانند Signal) جامعه‌ی امنیت شبکه می‌تواند تایید کند که هیچ راه دروی سرّی وجود ندارد.

با هر فناوری نوینی، اطلاعات غلط و حاشیه‌ای بسیاری حول بلوک‌چین و کارهایی که می‌کنند وجود دارد. زمان می‌برد تا از تمام ایده‌ها تعدادی غربال شوند و به ابزار توسعه امنیت شکبه برای استفاده‌ی عموم تبدیل شوند. در این میان، ما تا جایی که ممکن است باید از رمزگذاری دوسره استفاده کنیم. باید از صحت رمز ورود مطمئن باشیم و اینکه اصلا چه چیزی به عنوان اپلیکشین نصب می‌کنیم. در نهایت باید بقبولانیم که مردم واقعی همواره باید به بهترین شکل ممکن از مکانیسم امنیت استفاده کنند، پس باید بتوانیم خودمان تصمیم بگیریم چگونه و چه زمان در مقابل نظارت مقاومت کنیم.


منبع:

Scientific American

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *