رمزنگاري: راهحلي براي حفظ امنيت دادهها
طبقه بندي موضوعي : امنيت اطلاعات
نويسنده : دني بردبري (www.ComputerWeekly.com)
مترجم : نازنين كينژاد
ناشر : همكاران سيستم
تاريخ انتشار : 16/03/1384
الگوريتمهاي مخرب، مانند رمزنگاري متقارن ويژگيهاي متنوعي دارد. MD5 هنوز هم در بسياري از سيستمها كاربرد دارد، اما در اواسط دههي 90 آژانس امنيت ملي، SHA-1 را جايگزين آن كرد. البته امنيت اين روش نيز توسط جامعهي رمزنگاران مورد سوال قرار گرفته است.
البته بايد توجه داشته باشيم كه شكست يك الگوريتم تمام يك پروژه را زير سوال نميبرد. ديويد نكاش، نايب رييس بخش تحقيقات و نوآوري شركت كارت هوشمند گمپلوس، ميگويد: ”وقتي كل عملكرد يك تابع زير سوال قرار ميگيرد، نتايج مستقيم و بلافاصله نيستند. بسياري از ايرادها در مرحلهي نظري باقي مانده، در دنياي واقعيت تحقق نمييابند. به طور معمول كميتهي رمزنگاري پس از يك حملهي تئوريك همهي جوانب را بررسي و راهكارهاي لازم را به اطلاع افراد ميرساند.
كليد عمومي رمزگشايي هنوز هم با مشكلات زيادي روبهرو است، براي مثال همواره بايد از صحت كليدهاي عمومي و اختصاصي و جلوگيري از سواستفادهي برخي افراد، از آنها مطمئن شد. برخي سازمانهاي تاييد شده (مانند VeriSign) براي مديريت و كنترل توليد اين كليدها (زيربناي كليدهاي عمومي(PKI)) ايجاد شده است. اين سازمانها علامتهاي مشخصي را براي كليدهاي شركتها در نظر ميگيرند. البته به دليل مشكلاتي كه از جانب برخي شركتها مانند شركت پشتيباني فناوري بالتيمور ايجاد شد، افراد ديرتر از آنچه كه انتظار ميرفت به اين روش اعتماد كردند.
با تمام اين توضيحات چه مشكلي وجود داشت؟ اندي مالهلند، مدير بخش فناوري روز در كپجميني، ميگويد: "در آن زمان پرداختن به چنين مسالهاي هنوز خيلي زود بود. 5 سال در زمان توسعهي PKI افراد نامناسبي به تجارت آنلاين مشغول بودند. در آن زمان حجم تجارت آنلاين بسيار كم بود." او ميگويد: "ما در واقع بدون هيچ فعاليت بازرگاني تبليغي موفقيت زيادي در PKI به دست آورديم. اما اگر PKI در سال 2005 ايجاد شده بود، عكسالعملها متفاوت بود."
وكلاي PKI مانند وگارا براي مبارزه با اين نظريهي عمومي كه استفاده از PKI را براي مصرفكنندگان مشكل ميداند، بيشتر فناوري مربوط به كليد عمومي مانند Secure Sockets Layer و Transport Layer Security را در اختيار عموم قرار ميدهد. اين فناوري آيكن قفل مربوط به مرورگر امنيتي را دربر دارد. براي بهرهبرداري از اين امكان نيازي به هيچ مجوزي نيست.
آرتر بارنز، مشاور ارشد موسسهي امنيتي دياگنال، ميگويد در بسياري موارد وقتي به مجوز هر دو گروه مشتري و سرور نياز باشد PKI براي مصرفكنندگان مشهود و كارآمد نيست.
افرادي كه اين مطلب را باور ندارند بايد به مقالهي ”چرا جاني نميتواند به راحتي به هر جا كه ميخواهد سرك بكشد؟“ نوشتهي آلما ويتن نگاهي بيندازند. اين مقاله به بررسي اين مطلب ميپردازد كه بسياري از افراد تحمل صرف 90 دقيقه براي امضا و رمزنگاري پيغامهاي خود را ندارند و به همين دليل عدهي بسياري از شركتكنندگان در تست ويتن در اين تست شكست خوردند.
شركتكنندگان در آزمون از PGP، يك ابزار نرمافزاري كليد عمومي رمزنگاري ساختهي فيل زيمرمن در سال 1991، استفاده ميكردند. عملكرد PGP خارقالعاده است؛ زيرا مشكلات مجوز بسياري از گونههاي PKI را با به كار بردن ”دنياي وب تاوم با اعتماد“ پشت سر گذاشته بود. در اين مدل مجوز گواهينامه جاي خود را به افراد مورد اعتمادي كه با امضا كردن به جاي ديگران كليدهاي آنها را تاييد ميكنند.
PGP زيمرمن را در تعرض با دولت ايالات متحده قرار داد، مسئولان امنيتي اين دولت معتقدند اين روش كنترل امنيتي را دچار مشكل ميكند. مساله تا جايي پيش رفت كه مسئولان امنيتي ايالات متحده عليه او اقامهي دعوي كردند. مسالهي دخالت حكومتها در رمزنگاري هنوز هم مورد اعتراض بسياري از شركتهاي خصوصي است. گذشته از كنترل خارجي آگاهي دولتها از رمزها و توانايي آنها به رمزگشايي، هستهي مركزي اين مجادلات را به خصوص در انگلستان و پس از تصويب قانون نظارتي قدرت تحقيقات در سال 2000، تشكيل ميدهد.
گوين مكگينتي، مشاور حقوقي در مركز مشاورهي IT پينسنت ماسنز، ميگويد: اين قانون دولتها را در شرايط خاصي مجاز به جستوجو در حريم خصوصي اشخاص ميداند. ”اولين اصل در اين مورد اين است كه شركتها در صورت امكان ميتوانند اطلاعات مورد نياز ماموران دولت را در بدون كليد آن در اختيار آنها قرار دهند، در غير اين صورت رمزگشايي مجاز است.“
همهي اين مسايل در بررسيهاي اوليه پاسخگو به نظر ميرسد، اما برخي روشهاي رمزنگاري مانند steganography كارايي چنين قوانيني را زير سوال ميبرد. در اين روش گونهاي از اطلاعات در پسزمينهي گونهي ديگر پنهان ميشود: براي مثال يك پروندهي فايل word در پسزمينهي يك فايل Jpeg.
ويژگيهاي اين ابزار جديد چندان مورد توجه بارنز قرار نگرفته است. او ميگويد: "steganography به عنوان يك ابزار غير قابل كشف به بازار عرضه شده است ولي در مدتي كوتاه عكس اين مطلب اثبات شده است. فقط بايد بدانيد دنبال چه نوع اطلاعاتي ميگرديد."
امروزه علم رمزنگاري به مرحلهاي از رشد و پختگي رسيده است كه به راحتي در معرض تغييرات گسترده قرار نميگيرد. الگوريتمهاي متقارن و نامتقارن زيادي وجود دارند كه براي راضي نگاهداشتن طرفداران رمز و رمزنگاري كفايت ميكنند و بسياري از آنها براي مديران IT قابل تشخيص نيستند.
با وجود اين چالشها همچنان به قوت خود باقي است. عملكرد ضعيف PKI گودلي عميق در بازار جهاني رمزنگاري برجاي گذاشته است. براي پر كردن اين فواصل به نوعي مدل مديريت شناخت نياز است.
خرید آسان و آسوده
سایت های مورد نیاز شما
اگر نیاز به اطلاعات مختلفی دارید به سایتهای زیر رجوع کنید.
۱۳۸۷ تیر ۱, شنبه
اشتراک در:
نظرات پیام (Atom)
هیچ نظری موجود نیست:
ارسال یک نظر