برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید
اما واقعیت این است که هر زمانی که بشر قصد داشته چیزی را هنگام انتقال، از دید کسی پنهان کند یا طوری تغییر دهد که در هنگام کشف، مفهوم نباشد، میتوان آن را نقطه آغاز رمزنگاری دانست.
پیش از آغاز بحث لازم است توضیح دهیم که در متون مختلف گاهی «رمزگشایی» و «شکستن رمز» در یک مفهوم به کار میروند که هر دو به معنای بازگرداندن پیام به حالت اول، اما بدون در اختیار داشتن کلید و اغلب به صورت غیرقانونی است. در تعریفی دیگر، «بازگردانی» و باز همان واژه «رمزگشایی» برای بازگرداندن متعارف پیام به حالت عادی به صورت متعارف و با استفاده از کلید که معمولاً به صورت قانونی، توسط مالک یا افراد مجاز انجام میشود، به کار میرود. برای جلوگیری از ابهام، ما در این متن سعی کردهایم برای مفهوم دوم از واژه رمزگشایی استفاده نکنیم و «بازگردانی» را به کار ببریم.
رمزنگاری کوانتومی
عدهای
معتقدند که رمزنگاری کوانتومی، آینده رمزنگاری خواهد بود. البته به
دلیل نیاز به سختافزار خاص، استفاده از این روش از تعدادی نمونه محدود
فراتر نرفته است. به عنوان مثال، در این رابطه به نوعی لیزر نیاز است که
فوتونهای قطبی شده نوری را از طریق فیبرهای نوری یا هوا منتشر میکند.
(شکل2) مزیت این روش بر این اصل استوار است که انجام امور مختلف رمزی و
پنهانی را که ثابت شده یا گمان میرود با روشهای ارتباطی کلاسیک
(غیرکوانتومی) امکانپذیر نیست، امکانپذیر میکند. یکی
از معروفترین روشهای مورد استفاده در رمزنگاری کوانتومی QKD است که
یک ارتباط امن را با بهرهگیری از ارتباط کوانتومی و با استفاده از
تولید کلید تصادفی محرمانه مشترک بین دو سوی ارتباط توصیف میکند. در
این روش امکان کد کردن بیتهای کلید به شکل دادههای کوانتومی قبل از
ارسال توسط یکی از طرفین ارتباط وجود خواهد داشت. اگر شخص سومی تلاش کند
که این بیتها و الگوهای آنها را کشف کند، تغییراتی در ارتباط حاصل
میشود و طرفین ارتباط متوجه وجود شخص سوم خواهند شد. این
اتفاق به دلیل وجود ویژگیهای خاص و قوانین موجود در تئوری کوانتومی و
فیزیک کوانتومی است. استراق سمع کننده نیز با این که میتواند موجب بروز
اختلال شده و مشکلاتی ایجاد کند، اما قادر به استخراج اطلاعات قابل
استفادهای نخواهد بود.
شکل۲: قطبیدگی فوتونهای لیزر میتواند به عنوان کلید رمزنگاری مورد استفاده قرار گیرد.
آبجکتهای
کوانتومی ویژگی عجیبی دارند، به این ترتیب که فرآیند اندازهگیری و
سنجش یک سیستم کوانتومی در آن تداخل ایجاد کرده و شخص سومی که تلاش به
استراق سمع کلید میکند، باید به نحوی آن را اندازهگیری کند اما این
کار موجب بروز آشفتگی و نویز قابل کشف در ارتباط خواهد شد. با استفاده
از انطباق کوانتومی یا حصار کوانتومی و ارسال اطلاعات به حالت کوانتومی،
یک سیستم ارتباطی میتواند به گونهای پیادهسازی شود که قادر به کشف
استراق سمع باشد. البته QKD تنها برای تولید و ارسال کلید بهکار میرود
و هیچ دادهای را ارسال نمیکند. این کلید بعد از تولید میتواند در یک
الگوریتم رمزنگاری مناسب مانند One-Time Pad استفاده شود. ویژگی جالب
توجه این الگوریتم آن است که اگر برای آن یک کلید محرمانه و تصادفی
انتخاب شود و محرمانگی کلید تضمینشده باشد، اثبات میشود که این روش
کاملاً امن است. بنابراین اگر QKD و ارتباط کوانتومی محرمانگی کلید را
تضمین کنند، این ترکیب بسیار مطمئن خواهد بود.
رمزنگاری
کوانتومی به عنوان روشی مطرح شده بود که تصور میشد میتواند بهطور صد
درصد اطلاعات را در برابر حملات محافظت کند. اما یک گروه تحقیقاتی در
دانشگاه Linköping سوئد، یک حفره در این فناوری پیشرفته پیدا کرده و
نشان دادند که حتی رمزنگاری کوانتومی هم صد درصد امن نیست. آنها نشان
دادند که از نظر تئوری امکان استخراج کلید بدون جلب توجه با دستکاری
همزمان بستر کوانتومی و بستر ارتباطی معمول وجود خواهد داشت. سپس با
ارائه مقالهای در نشریه IEEE Transactions راهکار حل این مشکل را با
اعمال یک تغییر ارائه دادند. به گفته یکی از اعضای ارشد این گروه،
انتظار نمیرفت که اشکالی در رمزنگاری کوانتومی یافت شود، اما این سیستم
به واقع پیچیده است و با راهکار جایگزین آنها، رمزنگاری کوانتومی
میتواند یک فناوری امن باشد. با این حال، خطر دستیابی غیرمجاز به
اطلاعاتی مانند تراکنشهای مالی، نیاز هرچه بیشتر به فناوریها و
روشهای پیشرفتهتر رمزنگاری را ضروری میسازد. به گفته اندی کوردیال
(Andy Cordial) مدیر شرکت Origin Storage در آینده باید بر دو فاکتوری
شدن تعیین اعتبار در مقابل روشهای تکفاکتوری و به عبارتی بر افزایش
سطوح امنیت تأکید کرد. البته هرچقدر هم که رمزنگاری پیشرفته باشد، هرگز
برای امنیت کامل کافی نخواهد بود.
رمزنگاری کافی نیست
با
در دست داشتن یک ابزار پرقدرت رمزنگاری و با دانستن قابلیتهای آن
ابزار، این امکان وجود دارد که میزان اطمینان به این فناوری در راستای
برقراری و حفظ امنیت بالاتر رود. بنابراین خوب است که همینجا به نقاط
گمراه کننده آن نیز اشاره شود. اغلب تصور میشود که رمزنگاری میتواند به
عنوان یک راه حل جامع برای انواع مسائل امنیتی امروز و آینده مطرح شود و
میتواند جلوی حمله و نفوذ هکرها را بگیرد. اما این تصور اشتباه است و
هرگز نمیتوان رمزنگاری را سپری در برابر همه مشکلات امنیتی دانست.
بسیاری
از نفوذگرها با آگاهی از نقاط ضعف تنظیمات پیشفرض سیستمها، کاستیها و
آسیبپذیریهای پروتکلهای شبکه و نرمافزارها، دست به سوءاستفاده و
نفوذ میزنند. حتی برخی از ابزارها و نرمافزارهای امنیتی و رمزنگاری نیز
نقاط ضعفی دارند که آنها را در برابر ذهن جستوجوگر انسان تسلیم
میکند. در برابر چنین مسائلی، دستان رمزنگاری کاملاً خالی خواهد بود و
روشهایی غیر از رمزنگاری برای جلوگیری از ورود بیگانگان لازم خواهد بود.
راههای بسیاری وجود دارد که به کمک آنها میتوان تأثیر رمزنگاری را
در سیستمی که به آن نفوذ شده است از بین برده و به طور کامل خنثی کرد!
تکیه کامل بر رمزنگاری و در نظر نگرفتن سایر مسائل امنیتی دقیقاً مثل آن
است که در پشتی خانه را به قویترین قفل غیر قابل شکست مجهز کنید و در
جلویی را به طور کامل باز بگذارید و دلگرم به قفل شکستناپذیر خود
باشید. متأسفانه اطمینان به روشهای رمزنگاری مدرن در بسیاری موارد موجب
شده است که درباره سایر مسائل امنیتی که تعدادشان کم هم نیست، غفلت
شود. بنابراین با وجود
پیشرفتهای بزرگ در رمزنگاری و طراحی روشهای توانمند، تا زمانی که
سیستمها، بسترهای ارتباطی و نوع ارتباطات در حال تغییر است، همواره
مسائل جدیدی مطرح میشود که بدون بررسی، کشف و رعایت نکات مربوط به آنها،
قدرت رمزنگاری و بهطور کلیتر، برقراری امنیت فاقد معنا خواهد بود.
پنهانسازی و رمزنگاری
زمانی
که نمیتوان حتی به توانمندترین روشهای رمزنگاری بهطور کامل اطمینان
کرد، شاید بتوان با استفاده از استگانوگرافی یا پنهانسازی داده در داده
و بالا بردن سطح امنیت توسط آن ضریب اطمینان را افزایش داد.«بهترین
روش استگانوگرافی یا پنهان ساختن فرآیندهای رمزگونه در اطلاعات،
بهکارگیری یک ایده ابتکاری نامشکوک جدید است.» جمله قبل را دوباره بخوانید
و کمی درباره آن تأمل کنید! اگر فکر میکنید این جمله به شما تنها
بهترین روش پنهانسازی دادهها را میآموزد، من در بهکارگیری یک روش
ساده استگانوگرافی موفق بودهام! بار دیگر به جمله آغازین این بند
بازگردید و حروف اول آن را کنار هم بچینید و البته هرجا لازم دانستید بین
حروف، فاصله قرار دهید تا این جمله پنهان کشف شود: «برای پس فردا بیا
آنجا!» اگر شما قبل از گفتن من، به آن جمله مشکوک شده بودید، در آن صورت
تلاش من برای استگانوگرافی شکست خورده به شمار میآید. هرچند شانس من
برای موفقیت بسیار زیاد بودهاست و به احتمال زیاد، اکثر قریب به اتفاق
خوانندگان یک مقاله به چیزی غیر از معنی جملات آن و درک مستقیم آنها
توجه نمیکنند. البته بعید نیست که خوانندگان از این پس به ادامه این
مقاله یا حتی مقالات خاص دیگر مشکوک شوند. بنابراین تلاش دوباره برای این
کار با احتمال بیشتری به شکست خواهد انجامید. اما مهم این است که قبل
از آن هیچ شکی به این نوشتهها وجود نداشت و در صورتی که صریحاً به وجود
این نوع اطلاعات پنهان اشاره نمیشد و از طرفی از این کار یک هدف واقعی
امنیتی را دنبال میکردم، در نهایت به هدف خود یعنی انتقال اطلاعات
محرمانه به مقصد، میرسیدم. البته همانطور که در ابتدا گفتیم، این روش
دیگر لو رفته و من باید این روش را تنها در جایی بهکار ببرم که مطمئن
باشم مخاطبان آن قبلاً این مقاله را نخواندهاند یا اگر هم خواندهاند
مطمئن باشم که افراد به اطلاعاتی که در اختیارشان قرار میدهم، مشکوک
نخواهند شد و اصولاً دلیلی برای مشکوک شدن آنها وجود نداشته باشد. اما
اگر بار دیگر قصد دارم اطلاعات محرمانه دیگری را در حاملی پنهان کنم،
بهتر است هم در انتخاب حامل و هم در نوع پنهانسازی به روشی جدید و
ابتکاری عمل کنم؛ به طوریکه آن حامل همچنان نامشکوک باقی بماند. حال اگر
اطلاعاتی که قصد پنهان سازی آن را داریم، قبلاً به صورت رمزشده نیز در
آمده باشند، حتی در صورت شک به وجود پیام در حامل، پیام به راحتی لو
نخواهد رفت. یافتن حاملهای جدید اطلاعات، طراحی روش پنهانسازی کارا و
استفاده از روشهای رمزنگاری قدرتمند در کنار هم میتواند با افزایش سطوح
امنیت، قابلیت اطمینان را برای حفظ محرمانگی اطلاعات افزایش دهد.
"یک گروه تحقیقاتی در دانشگاه Linköping سوئد، حفرهای در رمزنگاری کوانتومی پیدا کرده و نشان دادند که حتی این فناوری نیز صد درصد امن نیست." |
نگاهی سازمانی به رمزنگاری
با
وجود این که ممکن است بسیاری از مفاهیم امروزی از جمله رمزنگاری
کوانتومی و روشهای مکمل آن در آینده اهمیت بیشتری پیدا کنند یا حتی
روشهای جدید با قابلیتهای خاصی مطرح شوند، اما در مفهوم پایه، دلیل به
کارگیری و اصل نیاز به آن تغییری حاصل نخواهد شد. مستقل از الگوریتم و
روش کارکرد و دریچه نفوذ به الگوریتمها، خوب است نگاهی نیز به آینده
سازمانها از دریچه رمزنگاری داشته باشیم.
پس
از مسائل نظامی و حکومتی که همواره نخستین و پراهمیتترین موضوع مطرح در
مباحث امنیتی به شمار میرود، رشد روزافزون شرکتها و سازمانهای مختلف
با استفاده از فناوری اطلاعات و ارتباطات است که مسئله امنیت و حافظت
از اطلاعات و ارتباطات را پررنگتر میسازد. اما آیا شرکتها خود را
آماده کردهاند تا پاسخگوی نیازهای آتی خود در این رابطه باشند؟
تحقیقات نشان میدهد که با رشد رمزنگاری وکاربردهای آن و در نتیجه
استفاده از نرمافزارها و ابزارهای متعدد و رمزنگاری دادههای مختلف با
کلیدهای متفاوت، سازمانها نیازمند سیستم متمرکز و خودکار مدیریت کلید
خواهند بود. سازمانی که از دهها نرمافزار برپایه رمزنگاری استفاده
میکند و صدها نفر با آن ابزارها کار میکنند و مدام دادههای جدید
تولید میکنند و به دادههای پیشین دسترسی مییابند، باید بتواند از این
کلیدها به طریقی امن محافظت و رفتار کند، دسترسی و استفاده از کلیدها و
تغییر آنها را کنترل کند، الگویی برای تغییر آنها در نظر بگیرد و آن
را به صورت خودکار و مقاوم در برابر اشتباه اداره کند. در غیر این صورت
اداره سازمانها با مشکلاتی جدی مواجه خواهد شد. تبادل کلید، ذخیرهسازی
و حفاظت از کلید، استفاده درست و بجا از کلید، تعویض تناوبی کلید،
مدیریت سطوح دسترسی به کلید و... از جمله مهمترین مسائلی هستند که در
مدیریت کلید مطرح میشوند. همچنین زمانی که یک ارتباط چندگانه در یک
سیستم مطرح است و یک پیام بهطور همزمان به چندین نفر ارسال میشود،
سیاست تولید و توزیع کلید و بهطور کلی برقراری امنیت در این ارتباط
چندگانه اهمیت بالاتری پیدا میکند و مدیریت کلید نقشی اساسیتر ایفا
خواهد کرد. برخی از سیستمها ممکن است از انواع مختلف کلیدها استفاده
کنند و برخی دیگر بیش از یک کلید داشته باشند. زمانی هم که سیستم از
کلید متقارن استفاده میکند، مسئله حفاظت از کلید و مدیریت آنها
حیاتیتر خواهد بود. مدیریت درست و موفق کلید برای امنیت یک سیستم بسیار
حیاتی و مهم است و از برخی جهات مهمترین و مشکلترین مسئله رمزنگاری
بهشمار میرود زیرا با خط مشی سازمان، سیاست کاری سیستم، آموزش کاربران و
تعاملات بین دپارتمانی و بین سازمانی در ارتباط است. رمزنگاری ابزار
قدرتمند و مفیدی است، اما هرگونه اشتباه، چه در الگوریتم و چه در
بهکارگیری آن، در بهترین حالت هیچ نوع امنیتی را به همراه نخواهد داشت و
در بدترین حالت دادههای ما را تا ابد قفلشده و به صورت رمز باقی خواهد
گذاشت. حفاظت از دادهها مهم است اما حفاظت از کلید رمزنگاری نیز به
همان اندازه مهم است چراکه اگر کلید گم شود، اطلاعاتی که با آن قفل
شدهاند نیز غیر قابل استفاده خواهند شد. به بیان ساده، رمزنگاری بدون
مدیریت درست کلیدها معادل با نابودی و تخریب اطلاعات خواهد بود.
بنابراین
در نظر گرفتن یک خط مشی برای مدیریت کلیدها و ساختن یک زیرساخت مناسب
برای اجرای آن، نقش مهمی در به کارگیری موفق رمزنگاری و حفظ امنیت ایفا
خواهد کرد.دراین میان، گاه
این پرسش مطرح میشود که چه روشی در رمزنگاری هرگز شکسته نخواهد شد. به
اعتقاد من هر روش طول عمری دارد و تا مدت زمانی خاص میتواند امن به
شمار رود. اما یا پس از مدتی راه نفوذ به آن پیدا میشود یا
آسیبپذیریهای آن کشف میشود. کسانی هم هستند که اعتقاد دارند روزی هکرها
متوقف خواهند شد که البته ممکن است این نظر کمی غیر واقعی به نظر برسد
زیرا در صورت امن بودن روشها نیز، هکرها هرگز از کشف کاستیها خطاهای
انسانی و حتی نرمافزاری ناامید نخواهند شد. به هر حال، حفاظت از دادهها
و مدیریت کلیدها از یک چالش سطح فناوری اطلاعات، به یکی از مهمترین
چالشهای سطوح مدیریت سازمانها تبدیل شده و با این اوصاف، دور نیست زمانی
مسائل و مفاهیم جدیدی در این حوزه مطرح شود.