رمزگذاری دوسره برای مردم عادی به تنهایی کافی نیست. در این مطلب به تصمیم ها و تکنیکهای موجود میپردازیم.
در ماه ژوئن ۲۰۱۷ پنج متحد اطلاعات امنیت همایشی در اوتاوا، کانادا ترتیب دادند تا شرکتهای فناوری را برای رمزنگاری پیغام رسانی تروریستی قانع کنند. در ماه جولای، نخست وزیر استرالیا، مالکوم ترنبال، از شرکتها دعوت کرد تمام سیستمهایی که پیغامهای تماماً رمزگذاری شده و از فرستند به گیرنده میرسند، مسدود کند (این روش به رمزگذاری دوسره شناخته شده- End-to-End). رییس دفتر امنیت بریتانیا، اَمبِر راد در روزنامه های ۳۱ جولای بحثی را مطرح کرد که دربارهی مردم واقعی صحبت کرده بود. یعنی کسانی که نیازی به این رمزگذاری دو سر ندارند.
این ادعا در حالی مطرح شد که حدود یک میلیارد از همین مردم معمولی از اپلیکشینهای پیغام رسانی امن مانند Signal و WhatsApp استفاده میکنند. پس امکانی برای کسانی که تصمیم میگیرند از این امنیت شبکه در آینده استفاده کنند باقی نمیگذارد. برخی شرکتهای فناوریی هم هستند که شاید پاسخ مثبت داده و این رمزگذاری دو سره را بردارند و دیگرانی که از راه در رویی برای دسترسی دولتی در سال قبل گذشتند. تا به امروز دو دهه است که Clipper Chip (ماشین رمزگذاری حریم شخصی) در خبرها بود، ولی حالا با توجه به تهدیدهایی که در دهه نود هم مطرح شده بود از جنگ امنیتی در رمزگشایی دولت و اقتصاد و مشتری، دوباره مطرح شده. یک مساله برای یکی مثل من به عنوان پژوهشگر علوم کامپیوتر بسیار مهم است: ما مردم معمولی باید با امنیت بیشتری با ابزارهایمان کار کنیم چراکه مرتبهای [شهروندی] بالاتر از ما وجود ندارد.
نقاط پایان ضعیفترین لینکها را دارند
حداقل تاکنون، راه حلهای خوبی برای استفاده آسان از ارتباط امن برای کامپیوترها از جمله رمزگذاری دو سرهی پیغامهایمان داریم. رمزگذاری دو سره به این معناست که یک پیغام توسط فرستنده رمزگذاری شده و توسط دریافت کننده رمزگشایی میشود و هیچ شخص سومی نمیتواند پیغام را رمزگشایی کند. این دو سره بودن مهم است، ولی متخصصین امنیت برآنند که سالها هشدار دادهاند که با ارزشترین جا برای دادههای شما در طول انتقال از محلی به محل دیگر نیست، بلکه در زمان ذخیره سازی یا نمایش آن در یکی یا دیگری روی صفحه نمایش، روی حافظه جانبی یا ابزارهای مشابه در شبکه ابر است.
براساس افشای ویکی لیکس از ابزارهای هک سازمان سیا، اگر شخصی بتواند کنترل یک ابزار را در دست بگیرد، میتواند پیغامها را بدون نیاز به رمزگشایی بخواند. و آن نقاط پایان اتصال، هر دو گوشیهای هوشمند و کامپیوترهای شخصی هستند که همواره اینکار بسیار سادهتر خواهد بود. ولی چرا این نقاط پایان مهمترین هستند؟ چون دوست نداریم شرایط نامناسبی پیش بیاید، یا با اضافه کردن مراقبت بیشتر در ابزارهایمان سختتر میشود. به همین ترتیب قفلهای متعدد برای یک در وارد شدن به آنجا را برایمان مشکلتر میکند چه برای صاحب خانه چه مهمان. ابداع روشهای جدید برای مراقبت از نقاط پایان دیحیتال بدون کاهش ارش یا استفادهی آنها چالش برانگیز است، ولی فناوریهای جدیدی هم هستند که افقی را پیش روی ما برای حل این مساله باز میکنند.
راه حلهای نسل آینده
فرض کنید سازمانی مجرم یا رژیم بدخواه، بخواهد ارتباط شما یا هرکس دیگری را جاسوسی کند. برای مراقبت از خودتان، ابزار رمزگذاری دوسره را نصب کردهاید، مانند Signal برای پیغام دادن. این مسالهی شنود حتی با اجازهی دادگاه برای رژیم بدخواه هم بسیار دشوار است. ولی اگر این رژیم بدخواه شما را دور بزند و روی ابزارتان نرم افزار جاسوسی نصب کند چه؟
برای مثال، میتواند بازی مورد علاقه شما (ClashBrids) را با نسخهای مطلوب، جا به بزند. یا همان بدخواه، از بدافزاری با تکنیک جستجوی شبکه به عنوان راه در رو به ماشین شما استفاده کند. با کنترل نقطه سرچشمه دادههای شما، حتی پیش از رمزگشایی میتواند پیغامهای شما را بخواند. برای نگاهبانی در مقابل این روشهای نفوذ، باید امنیت نقطه سرچشمهی بازی را به چند روش بهبود ببخشیم تا از امنیتش مطمئن شویم:
- جاسوس آن بازی را وقتی نرم افزارش را نصب میکنیم، به عنوان یک شرکت خود را جا نمیزند.
- کسی با اپلیکیشن ClashBrids پیش یا پس از نصب، مورد جستجو قرار نمیگیرد.
- این اپلیکیشن هیچ راه درو یا روزنه های امنیتی ندارد که جاسوس بتواند مورد نظر پس از نصب نرم افزار توسط ما، سو استفاده کند.
- علاوه بر این اگر کاربرها میتوانستند امنیت اپلیکیشنشان تحت کنترل خود به دست گیرند، خوب بود، بجای اینکه به فروشنده اپلیکشین تکیه کنیم که برای امنیت شبکه خود به شرکت دیگری وابسته است.
متخصصین امنیت کامپیوتر دربارهی ایدهی فناوری بلوکچین (Blockchain)، هیجان زده هستند که با این ایده باید بتوان به امنیت شبکه ما در دو نقطه شروع و پایان کمک کند. بلوکچین، فناوری ست که پایهی بیتکوین (Bitcoin) و دیگر ارزهای رمزی، اطلاعات تایید شده و غیر قابل تغییر عمومی درست میکند. امنیت سر خط بدان معناست که متخصصین کامپیوتر باید بتوانند ابزارهایی بلوکچین پایه برای کمک به تایید مبدا اپلیکیشنهایمان ابداع کنند. همچنین میتوانیم از بلوکچینها برای تایید دادههایی که دستکاری نشدهاند و حریم شخصیمان استفاده کنیم. و تا زمانی که کُد منبع این برنامه ها رایگان باشد تا ماهیتشان را بررسی کنیم، (مانند Signal) جامعهی امنیت شبکه میتواند تایید کند که هیچ راه دروی سرّی وجود ندارد.
با هر فناوری نوینی، اطلاعات غلط و حاشیهای بسیاری حول بلوکچین و کارهایی که میکنند وجود دارد. زمان میبرد تا از تمام ایدهها تعدادی غربال شوند و به ابزار توسعه امنیت شکبه برای استفادهی عموم تبدیل شوند. در این میان، ما تا جایی که ممکن است باید از رمزگذاری دوسره استفاده کنیم. باید از صحت رمز ورود مطمئن باشیم و اینکه اصلا چه چیزی به عنوان اپلیکشین نصب میکنیم. در نهایت باید بقبولانیم که مردم واقعی همواره باید به بهترین شکل ممکن از مکانیسم امنیت استفاده کنند، پس باید بتوانیم خودمان تصمیم بگیریم چگونه و چه زمان در مقابل نظارت مقاومت کنیم.
منبع:
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.