نگاهی به پیشینه، حال و آینده رمزنگاری (قسمت پایانی)

نمی‌توان به صورت دقیق تعیین کرد که پیشینه رمزنگاری (Cryptography) و پنهان‌سازی داده‌ها به چه زمانی باز می‌گردد. شاید از زمان پیدایش آن هزاران سال گذشته باشد. در بسیاری از منابع، برخی رویدادهای تاریخی به عنوان نخستین نمونه‌های به‌کار گرفته شده در این زمینه مطرح شده‌اند. به عنوان مثال، نخستین نمونه شناخته شده از رمزنگاری را به 1900 سال قبل از میلاد ارجاع می‌دهند که به مصریان باستان مربوط است.

برای مشاهده ادامه خبر به ادامه مطلب مراجعه کنید

اما واقعیت این است که هر زمانی که بشر قصد داشته چیزی را هنگام انتقال، از دید کسی پنهان کند یا طوری تغییر دهد که در هنگام کشف، مفهوم نباشد، می‌توان آن را نقطه آغاز رمزنگاری دانست.

پیش از آغاز بحث لازم است توضیح دهیم که در متون مختلف گاهی «رمزگشایی» و «شکستن رمز» در یک مفهوم به کار می‌روند که هر دو به معنای بازگرداندن پیام به حالت اول، اما بدون در اختیار داشتن کلید و اغلب به صورت غیرقانونی است. در تعریفی دیگر، «بازگردانی» و باز همان واژه «رمزگشایی» برای بازگرداندن متعارف پیام به حالت عادی به صورت متعارف و با استفاده از کلید که معمولاً به صورت قانونی، توسط مالک یا افراد مجاز انجام می‌شود، به کار می‌رود. برای جلوگیری از ابهام، ما در این متن سعی کرده‌ایم برای مفهوم دوم از واژه رمزگشایی استفاده نکنیم و «بازگردانی» را به کار ببریم.

رمزنگاری کوانتومی
عده‌ای معتقدند که رمزنگاری کوانتومی، آینده رمزنگاری خواهد بود. البته به دلیل نیاز به سخت‌افزار خاص، استفاده از این روش از تعدادی نمونه محدود فراتر نرفته است. به عنوان مثال، در این رابطه به نوعی لیزر نیاز است که فوتون‌های قطبی شده نوری را از طریق فیبرهای نوری یا هوا منتشر می‌کند. (شکل‌2) مزیت این روش بر این اصل استوار است که انجام امور مختلف رمزی و پنهانی را که ثابت شده یا گمان می‌رود با روش‌های ارتباطی کلاسیک (غیرکوانتومی) امکان‌پذیر نیست، امکان‌پذیر می‌کند. یکی از معروف‌ترین روش‌های مورد استفاده در رمزنگاری کوانتومی QKD است که یک ارتباط امن را با بهره‌گیری از ارتباط کوانتومی و با استفاده از تولید کلید تصادفی محرمانه مشترک بین دو سوی ارتباط توصیف می‌کند. در این روش امکان کد کردن بیت‌های کلید به شکل داده‌های کوانتومی قبل از ارسال توسط یکی از طرفین ارتباط وجود خواهد داشت. اگر شخص سومی تلاش کند که این بیت‌ها و الگو‌های آن‌ها را کشف کند، تغییراتی در ارتباط حاصل می‌شود و طرفین ارتباط متوجه وجود شخص سوم خواهند شد. این اتفاق به دلیل وجود ویژگی‌های خاص و قوانین موجود در تئوری کوانتومی و فیزیک کوانتومی است. استراق سمع کننده نیز با این که می‌تواند موجب بروز اختلال شده و مشکلاتی ایجاد کند، اما قادر به استخراج اطلاعات قابل استفاده‌ای نخواهد بود.

شکل۲: قطبیدگی فوتون‌های لیزر می‌تواند به عنوان کلید رمزنگاری مورد استفاده قرار گیرد.

آبجکت‌های کوانتومی ویژگی عجیبی دارند، به این ترتیب که فرآیند اندازه‌گیری و سنجش یک سیستم کوانتومی در آن تداخل ایجاد کرده و شخص سومی که تلاش به استراق سمع کلید می‌کند، باید به نحوی آن را اندازه‌گیری کند اما این کار موجب بروز آشفتگی و نویز قابل کشف در ارتباط خواهد شد. با استفاده از انطباق کوانتومی یا حصار کوانتومی و ارسال اطلاعات به حالت کوانتومی، یک سیستم ارتباطی می‌تواند به گونه‌ای پیاده‌سازی شود که قادر به کشف استراق سمع باشد. البته QKD تنها برای تولید و ارسال کلید به‌کار می‌رود و هیچ داده‌ای را ارسال نمی‌کند. این کلید بعد از تولید می‌تواند در یک الگوریتم رمزنگاری مناسب مانند One-Time Pad استفاده شود. ویژگی جالب توجه این الگوریتم آن است که اگر برای آن یک کلید محرمانه و تصادفی انتخاب شود و محرمانگی کلید تضمین‌شده باشد، اثبات می‌شود که این روش کاملاً امن است. بنابراین اگر QKD و ارتباط کوانتومی محرمانگی کلید را تضمین کنند، این ترکیب بسیار مطمئن خواهد بود.

رمزنگاری کوانتومی به عنوان روشی مطرح شده بود که تصور می‌شد می‌تواند به‌طور صد درصد اطلاعات را در برابر حملات محافظت کند. اما یک گروه تحقیقاتی در دانشگاه Linköping سوئد، یک حفره در این فناوری پیشرفته پیدا کرده‌ و نشان دادند که حتی رمزنگاری کوانتومی هم صد درصد امن نیست. آن‌ها نشان دادند که از نظر تئوری امکان استخراج کلید بدون جلب توجه با دستکاری همزمان بستر کوانتومی و بستر ارتباطی معمول وجود خواهد داشت. سپس با ارائه مقاله‌ای در نشریه IEEE Transactions راهکار حل این مشکل را با اعمال یک تغییر ارائه دادند. به گفته یکی از اعضای ارشد این گروه، انتظار نمی‌رفت که اشکالی در رمزنگاری کوانتومی یافت شود، اما این سیستم به واقع پیچیده است و با راهکار جایگزین آن‌ها، رمزنگاری کوانتومی می‌تواند یک فناوری امن باشد. با این حال، خطر دستیابی غیرمجاز به اطلاعاتی مانند تراکنش‌های مالی، نیاز هرچه بیشتر به فناوری‌ها و روش‌های پیشرفته‌تر رمزنگاری را ضروری می‌سازد. به گفته اندی کوردیال (Andy Cordial) مدیر شرکت Origin Storage در آینده باید بر دو فاکتوری شدن تعیین اعتبار در مقابل روش‌های تک‌فاکتوری و به عبارتی بر افزایش سطوح امنیت تأکید کرد. البته هرچقدر هم که رمزنگاری پیشرفته باشد، هرگز برای امنیت کامل کافی نخواهد بود.

رمزنگاری کافی نیست
با در دست داشتن یک ابزار پرقدرت رمزنگاری و با دانستن قابلیت‌های آن ابزار، این امکان وجود دارد که میزان اطمینان به این فناوری در راستای برقراری و حفظ امنیت بالاتر رود. بنابراین خوب است که همین‌جا به نقاط گمراه کننده آن نیز اشاره شود. اغلب تصور می‌شود که رمزنگاری می‌تواند به عنوان یک راه حل جامع برای انواع مسائل امنیتی امروز و آینده مطرح شود و می‌تواند جلوی حمله و نفوذ هکرها را بگیرد. اما این تصور اشتباه است و هرگز نمی‌توان رمزنگاری را سپری در برابر همه مشکلات امنیتی دانست.

بسیاری از نفوذگرها با آگاهی از نقاط ضعف تنظیمات پیش‌فرض سیستم‌ها، کاستی‌ها و آسیب‌پذیری‌های پروتکل‌های شبکه و نرم‌افزارها، دست به سوءاستفاده و نفوذ می‌زنند. حتی برخی از ابزارها و نرم‌افزارهای امنیتی و رمزنگاری نیز نقاط ضعفی دارند که آن‌ها را در برابر ذهن جست‌وجوگر انسان تسلیم می‌کند. در برابر چنین مسائلی، دستان رمزنگاری کاملاً خالی خواهد بود و روش‌هایی غیر از رمزنگاری برای جلوگیری از ورود بیگانگان لازم خواهد بود. راه‌های بسیاری وجود دارد که به کمک آن‌ها می‌توان تأثیر رمزنگاری را در سیستمی که به آن نفوذ شده است از بین برده و به طور کامل خنثی کرد! تکیه کامل بر رمزنگاری و در نظر نگرفتن سایر مسائل امنیتی دقیقاً مثل آن است که در پشتی خانه را به قوی‌ترین قفل غیر قابل شکست مجهز کنید و در جلویی را به طور کامل باز بگذارید و دلگرم به قفل شکست‌ناپذیر خود باشید. متأسفانه اطمینان به روش‌های رمزنگاری مدرن در بسیاری موارد موجب شده است که درباره سایر مسائل امنیتی که تعدادشان کم هم نیست، غفلت شود. بنابراین با وجود پیشرفت‌های بزرگ در رمزنگاری و طراحی روش‌های توانمند، تا زمانی که سیستم‌ها، بسترهای ارتباطی و نوع ارتباطات در حال تغییر است، همواره مسائل جدیدی مطرح می‌شود که بدون بررسی، کشف و رعایت نکات مربوط به آن‌ها، قدرت رمزنگاری و به‌طور کلی‌تر، برقراری امنیت فاقد معنا خواهد بود.

پنهان‌سازی و رمزنگاری
زمانی که نمی‌توان حتی به توانمندترین روش‌های رمزنگاری به‌طور کامل اطمینان کرد، شاید بتوان با استفاده از استگانوگرافی یا پنهان‌سازی داده در داده و بالا بردن سطح امنیت توسط آن ضریب اطمینان را افزایش داد.«بهترین روش استگانوگرافی یا پنهان ساختن فرآیندهای رمزگونه در اطلاعات، به‌کارگیری یک ایده ابتکاری نامشکوک جدید است.» جمله قبل را دوباره بخوانید و کمی درباره آن تأمل کنید! اگر فکر می‌کنید این جمله به شما تنها بهترین روش پنهان‌سازی داده‌ها را می‌آموزد، من در به‌کارگیری یک روش ساده استگانوگرافی موفق بوده‌ام! بار دیگر به جمله آغازین این بند بازگردید و حروف اول آن را کنار هم بچینید و البته هرجا لازم دانستید بین حروف، فاصله قرار دهید تا این جمله پنهان کشف شود: «برای پس فردا بیا آنجا!»  اگر شما قبل از گفتن من، به آن جمله مشکوک شده بودید، در آن صورت تلاش من برای استگانوگرافی شکست خورده به شمار می‌آید. هرچند شانس من برای موفقیت بسیار زیاد بوده‌است و به احتمال زیاد، اکثر قریب به اتفاق خوانندگان یک مقاله به چیزی غیر از معنی جملات آن و درک مستقیم آن‌ها توجه نمی‌کنند. البته بعید نیست که خوانندگان از این پس به ادامه این مقاله یا حتی مقالات خاص دیگر مشکوک شوند. بنابراین تلاش دوباره برای این کار با احتمال بیشتری به شکست خواهد انجامید. اما مهم این است که قبل از آن هیچ شکی به این نوشته‌ها وجود نداشت و در صورتی که صریحاً به وجود این نوع اطلاعات پنهان اشاره نمی‌شد و از طرفی از این کار یک هدف واقعی امنیتی را دنبال می‌کردم، در نهایت به هدف خود یعنی انتقال اطلاعات محرمانه به مقصد، می‌رسیدم. البته همان‌طور که در ابتدا گفتیم، این روش دیگر لو رفته و من باید این روش را تنها در جایی به‌کار ببرم که مطمئن باشم مخاطبان آن قبلاً این مقاله را نخوانده‌اند یا اگر هم خوانده‌اند مطمئن باشم که افراد به اطلاعاتی که در اختیارشان قرار می‌دهم، مشکوک نخواهند شد و اصولاً دلیلی برای مشکوک شدن آن‌ها وجود نداشته باشد. اما اگر بار دیگر قصد دارم اطلاعات محرمانه دیگری را در حاملی پنهان کنم، بهتر است هم در انتخاب حامل و هم در نوع پنهان‌سازی به روشی جدید و ابتکاری عمل کنم؛ به طوری‌که آن حامل همچنان نامشکوک باقی بماند. حال اگر اطلاعاتی که قصد پنهان سازی آن را داریم، قبلاً به صورت رمز‌شده نیز در آمده باشند، حتی در صورت شک به وجود پیام در حامل، پیام به راحتی لو نخواهد رفت. یافتن حامل‌های جدید اطلاعات، طراحی روش پنهان‌سازی کارا و استفاده از روش‌های رمزنگاری قدرتمند در کنار هم می‌تواند با افزایش سطوح امنیت، قابلیت اطمینان را برای حفظ محرمانگی اطلاعات افزایش دهد.

"یک گروه تحقیقاتی در دانشگاه Linköping سوئد، حفره‌ای در رمزنگاری کوانتومی پیدا کرده‌ و نشان دادند که حتی این فناوری نیز صد درصد امن نیست."

نگاهی سازمانی به رمزنگاری
با وجود این که ممکن است بسیاری از مفاهیم امروزی از جمله رمزنگاری کوانتومی و روش‌های مکمل آن در آینده اهمیت بیشتری پیدا کنند یا حتی روش‌های جدید با قابلیت‌های خاصی مطرح شوند، اما در مفهوم پایه، دلیل به کارگیری و اصل نیاز به آن تغییری حاصل نخواهد شد. مستقل از الگوریتم و روش کارکرد و دریچه نفوذ به الگوریتم‌ها، خوب است نگاهی نیز به آینده سازمان‌ها از دریچه رمزنگاری داشته باشیم.

پس از مسائل نظامی و حکومتی که همواره نخستین و پراهمیت‌ترین موضوع مطرح در مباحث امنیتی به شمار می‌رود، رشد روز‌افزون شرکت‌ها و سازمان‌های مختلف با استفاده از فناوری اطلاعات و ارتباطات است که مسئله امنیت و حافظت از اطلاعات و ارتباطات را پررنگ‌تر می‌سازد. اما آیا شرکت‌ها خود را آماده کرده‌اند تا پاسخ‌گوی نیازهای آتی خود در این رابطه باشند؟ تحقیقات نشان می‌دهد که با رشد رمزنگاری وکاربردهای آن و در نتیجه استفاده از نرم‌افزار‌ها و ابزارهای متعدد و رمزنگاری داده‌های مختلف با کلید‌های متفاوت، سازمان‌ها نیازمند سیستم متمرکز و خودکار مدیریت کلید خواهند بود. سازمانی که از ده‌ها نرم‌افزار برپایه رمزنگاری استفاده می‌کند و صد‌ها نفر با آن ابزارها کار می‌کنند و مدام داده‌های جدید تولید می‌کنند و به داده‌های پیشین دسترسی می‌یابند، باید بتواند از این کلیدها به طریقی امن محافظت و رفتار کند، دسترسی و استفاده از کلیدها و تغییر آن‌ها را کنترل کند، الگویی برای تغییر آن‌ها در نظر بگیرد و آن را به صورت خودکار و مقاوم در برابر اشتباه اداره کند. در غیر این صورت اداره سازمان‌ها با مشکلاتی جدی مواجه خواهد شد. تبادل کلید، ذخیره‌سازی و حفاظت از کلید، استفاده درست و بجا از کلید، تعویض تناوبی کلید، مدیریت سطوح دسترسی به کلید و... از جمله مهم‌ترین مسائلی هستند که در مدیریت کلید مطرح می‌شوند.  همچنین زمانی که یک ارتباط چندگانه در یک سیستم مطرح است و یک پیام به‌طور همزمان به چندین نفر ارسال می‌شود، سیاست تولید و توزیع کلید و به‌طور کلی برقراری امنیت در این ارتباط چندگانه اهمیت بالاتری پیدا می‌کند و مدیریت کلید نقشی اساسی‌تر ایفا خواهد کرد.  برخی از سیستم‌ها ممکن است از انواع مختلف کلید‌ها استفاده کنند و برخی دیگر بیش از یک کلید داشته باشند. زمانی هم که سیستم از کلید متقارن استفاده می‌کند، مسئله حفاظت از کلید و مدیریت آن‌ها حیاتی‌تر خواهد بود. مدیریت درست و موفق کلید برای امنیت یک سیستم بسیار حیاتی و مهم است و از برخی جهات مهم‌ترین و مشکل‌ترین مسئله رمزنگاری به‌شمار می‌رود زیرا با خط مشی سازمان، سیاست کاری سیستم، آموزش کاربران و تعاملات بین دپارتمانی و بین سازمانی در ارتباط است. رمزنگاری ابزار قدرتمند و مفیدی است، اما هرگونه اشتباه، چه در الگوریتم و چه در به‌کارگیری آن، در بهترین حالت هیچ نوع امنیتی را به همراه نخواهد داشت و در بدترین حالت داده‌های ما را تا ابد قفل‌شده و به صورت رمز باقی خواهد گذاشت. حفاظت از داده‌ها مهم است اما حفاظت از کلید رمزنگاری نیز به همان اندازه مهم است چراکه اگر کلید گم شود، اطلاعاتی که با آن قفل شده‌اند نیز غیر قابل استفاده خواهند شد. به بیان ساده، رمزنگاری بدون مدیریت درست کلیدها معادل با نابودی و تخریب اطلاعات خواهد بود.

 بنابراین در نظر گرفتن یک خط مشی برای مدیریت کلیدها و ساختن یک زیرساخت مناسب برای اجرای آن، نقش مهمی در به کارگیری موفق رمزنگاری و حفظ امنیت ایفا خواهد کرد.دراین میان، گاه این پرسش مطرح می‌شود  که چه روشی در رمزنگاری هرگز شکسته نخواهد شد. به اعتقاد من هر روش طول عمری دارد و تا مدت زمانی خاص می‌تواند امن به شمار رود. اما یا پس از مدتی راه نفوذ به آن پیدا می‌شود یا آسیب‌پذیری‌های آن کشف می‌شود. کسانی هم هستند که اعتقاد دارند روزی هکرها متوقف خواهند شد که البته ممکن  است این نظر کمی غیر واقعی به نظر برسد زیرا در صورت امن بودن روش‌ها نیز، هکرها هرگز از کشف کاستی‌ها خطاهای انسانی و حتی نرم‌افزاری ناامید نخواهند شد. به هر حال، حفاظت از داده‌ها و مدیریت کلیدها از یک چالش سطح فناوری اطلاعات، به یکی از مهم‌ترین چالش‌های سطوح مدیریت سازمان‌ها تبدیل شده و با این اوصاف، دور نیست زمانی مسائل و مفاهیم جدیدی در این حوزه مطرح ‌شود.

قسمت اول مقاله