رمزنگاري: راه‌حلي براي حفظ امنيت داده‌ها

رمزنگاري: راه‌حلي براي حفظ امنيت داده‌ها
طبقه بندي موضوعي : امنيت اطلاعات
نويسنده : دني بردبري (www.ComputerWeekly.com)
مترجم : نازنين كي‌نژاد
ناشر : همكاران سيستم
تاريخ انتشار : 16/03/1384


الگوريتم‌هاي مخرب، مانند رمزنگاري متقارن ويژگي‌هاي متنوعي دارد. MD5 هنوز هم در بسياري از سيستم‌ها كاربرد دارد، اما در اواسط دهه‌ي 90 آژانس امنيت ملي، SHA-1 را جاي‌گزين آن كرد. البته امنيت اين روش نيز توسط جامعه‌ي رمزنگاران مورد سوال قرار گرفته است.
البته بايد توجه داشته باشيم كه شكست يك الگوريتم تمام يك پروژه را زير سوال نمي‌برد. ديويد نكاش، نايب رييس بخش تحقيقات و نوآوري شركت كارت هوشمند گمپلوس، مي‌گويد: ”وقتي كل عملكرد يك تابع زير سوال قرار مي‌گيرد، نتايج مستقيم و بلافاصله نيستند. بسياري از ايرادها در مرحله‌‌ي نظري باقي مانده، در دنياي واقعيت تحقق نمي‌‌يابند. به طور معمول كميته‌ي رمزنگاري پس از يك حمله‌ي تئوريك همه‌ي جوانب را بررسي و راه‌كارهاي لازم را به اطلاع افراد مي‌رساند.
كليد عمومي رمزگشايي هنوز هم با مشكلات زيادي روبه‌رو است، براي مثال همواره بايد از صحت كليدهاي عمومي و اختصاصي و جلوگيري از سواستفاده‌ي برخي افراد، از آن‌ها مطمئن شد. برخي سازمان‌هاي تاييد شده (مانند VeriSign) براي مديريت و كنترل توليد اين كليدها (زيربناي كليدهاي عمومي(PKI)) ايجاد شده است. اين سازمان‌ها علامت‌هاي مشخصي را براي كليدهاي شركت‌ها در نظر مي‌گيرند. البته به دليل مشكلاتي كه از جانب برخي شركت‌ها مانند شركت پشتيباني فناوري بالتيمور ايجاد شد، افراد ديرتر از آن‌چه كه انتظار مي‌رفت به اين روش اعتماد كردند.
با تمام اين توضيحات چه مشكلي وجود داشت؟ اندي مالهلند، مدير بخش فناوري روز در كپجميني، مي‌گويد: "در آن زمان پرداختن به چنين مساله‌اي هنوز خيلي زود بود. 5 سال در زمان توسعه‌ي PKI افراد نامناسبي به تجارت آن‌لاين مشغول بودند. در آن زمان حجم تجارت آن‌لاين بسيار كم بود." او مي‌گويد: "ما در واقع بدون هيچ فعاليت بازرگاني تبليغي موفقيت زيادي در PKI به دست آورديم. اما اگر PKI در سال 2005 ايجاد شده بود، عكس‌العمل‌ها متفاوت بود."
وكلاي PKI مانند وگارا براي مبارزه با اين نظريه‌ي عمومي كه استفاده از PKI را براي مصرف‌كنندگان مشكل مي‌داند، بيش‌تر فناوري مربوط به كليد عمومي مانند Secure Sockets Layer و Transport Layer Security را در اختيار عموم قرار مي‌دهد. اين فناوري آيكن قفل مربوط به مرورگر امنيتي را دربر دارد. براي بهره‌برداري از اين امكان نيازي به هيچ مجوزي نيست.
آرتر بارنز، مشاور ارشد موسسه‌ي امنيتي دياگنال، مي‌گويد در بسياري موارد وقتي به مجوز هر دو گروه مشتري و سرور نياز باشد PKI براي مصرف‌كنندگان مشهود و كارآمد نيست.
افرادي كه اين مطلب را باور ندارند بايد به مقاله‌ي ”چرا جاني نمي‌تواند به راحتي به هر جا كه مي‌خواهد سرك بكشد؟“ نوشته‌ي آلما ويتن نگاهي بيندازند. اين مقاله به بررسي اين مطلب مي‌پردازد كه بسياري از افراد تحمل صرف 90 دقيقه براي امضا و رمزنگاري پيغام‌هاي خود را ندارند و به همين دليل عده‌ي بسياري از شركت‌كنندگان در تست ويتن در اين تست شكست خوردند.
شركت‌كنندگان در آزمون از PGP، يك ابزار نرم‌افزاري كليد عمومي رمزنگاري ساخته‌ي فيل زيمرمن در سال 1991، استفاده مي‌كردند. عملكرد PGP خارق‌العاده است؛ زيرا مشكلات مجوز بسياري از گونه‌هاي PKI را با به كار بردن ”دنياي وب تاوم با اعتماد“ پشت سر گذاشته بود. در اين مدل مجوز گواهي‌نامه جاي خود را به افراد مورد اعتمادي كه با امضا كردن به جاي ديگران كليدهاي آن‌ها را تاييد مي‌كنند.
PGP زيمرمن را در تعرض با دولت ايالات متحده قرار داد، مسئولان امنيتي اين دولت معتقدند اين روش كنترل امنيتي را دچار مشكل مي‌كند. مساله تا جايي پيش رفت كه مسئولان امنيتي ايالات متحده عليه او اقامه‌ي دعوي كردند. مساله‌ي دخالت حكومت‌ها در رمزنگاري هنوز هم مورد اعتراض بسياري از شركت‌هاي خصوصي است. گذشته از كنترل خارجي آگاهي دولت‌ها از رمزها و توانايي آن‌ها به رمزگشايي، هسته‌ي مركزي اين مجادلات را به خصوص در انگلستان و پس از تصويب قانون نظارتي قدرت تحقيقات در سال 2000، تشكيل مي‌دهد.
گوين مك‌گينتي، مشاور حقوقي در مركز مشاوره‌ي IT پينسنت ماسنز، مي‌گويد: اين قانون دولت‌ها را در شرايط خاصي مجاز به جست‌وجو در حريم خصوصي اشخاص مي‌داند. ”اولين اصل در اين مورد اين است كه شركت‌ها در صورت امكان مي‌توانند اطلاعات مورد نياز ماموران دولت را در بدون كليد آن در اختيار آن‌ها قرار دهند، در غير اين صورت رمزگشايي مجاز است.“
همه‌ي اين مسايل در بررسي‌هاي اوليه پاسخ‌گو به نظر مي‌رسد، اما برخي روش‌هاي رمزنگاري مانند steganography كارايي چنين قوانيني را زير سوال مي‌برد. در اين روش گونه‌اي از اطلاعات در پس‌زمينه‌ي گونه‌ي ديگر پنهان مي‌شود: براي مثال يك پرونده‌ي فايل word در پس‌زمينه‌ي يك فايل Jpeg.
ويژگي‌هاي اين ابزار جديد چندان مورد توجه بارنز قرار نگرفته است. او مي‌گويد: "steganography به عنوان يك ابزار غير قابل كشف به بازار عرضه شده است ولي در مدتي كوتاه عكس اين مطلب اثبات شده است. فقط بايد بدانيد دنبال چه نوع اطلاعاتي مي‌گرديد."
امروزه علم رمزنگاري به مرحله‌اي از رشد و پختگي رسيده است كه به راحتي در معرض تغييرات گسترده‌ قرار نمي‌گيرد. الگوريتم‌هاي متقارن و نامتقارن زيادي وجود دارند كه براي راضي نگاه‌داشتن طرف‌داران رمز و رمزنگاري كفايت مي‌كنند و بسياري از آن‌ها براي مديران IT قابل تشخيص نيستند.
با وجود اين چالش‌ها هم‌چنان به قوت خود باقي است. عملكرد ضعيف PKI گودلي عميق در بازار جهاني رمزنگاري برجاي گذاشته است. براي پر كردن اين فواصل به نوعي مدل مديريت شناخت نياز است.