نام نویسنده: نازنين كى نژاد
شرق – از زمان ظهور كامپيوترهاى جديد همواره با مسئله رمزنگارى روبه رو بوده ايم. بنابراين وجود اولين كامپيوترهاى قابل برنامه نويسى در جنگ جهانى دوم (Colossus) براى رمزگشايى پيغام هاى جنگ چندان هم تصادفى نبوده است.
رمزنگارى به معناى استفاده از رمزهاى مخصوص در پيغام هاست؛ به اين شكل كه خواندن اين مطالب بدون به كار بردن كليد رمزگشا (تراشه) يا محاسبات رياضى امكان پذير نيست. هرچه طول تراشه (تعدادبيت ها) بيشتر باشد حل معما سخت تر خواهدبود. با وجود آن كه شكستن بسيارى از رمزها به شكل عملى امكان پذير نيست، با صرف زمان و نيروى پردازش كافى تقريباً مى توانيم همه رمزها را در بررسى هاى تئورى حل كنيم.
برنادر پارسن، مدير ارشد بخش فناورى شركت امنيت نرم افزار BeCrypt، در اين باره توضيح مى دهد كه دو روش اصلى رمزگذارى مجزا وجود دارد. روش رمزنگارى متقارن كه به دوران امپراتورى روم برمى گردد و رمزنگارى نامتقارن كه قدمت چندانى ندارد.
در رمزنگارى متقارن يك فايل (براى مثال براى حفظ اطلاعات ذخيره شده در يك لپ تاپ در ماجراى سرقت) از يك تراشه منفرد براى مزگذارى و رمزگشايى اطلاعات استفاده مى شود. پارسن مى گويد: «با افزايش درك عمومى نسبت به فعاليت هاى رمزشناسى، الگوريتم هاى زيادى مبتنى بر مسائل پيچيده رياضى به اين حوزه سرازير شد.»
قبل از هر چيز بايد بدانيم كه اين مسائل با استفاده از روش هاى معمول محاسبه قابل حل نيستند. همچنين بيان اين نكته ضرورى است كه تنظيم اين مسائل نه تنها به مهارت هاى خاصى در حوزه رياضيات نيازمند است بلكه براى جلوگيرى از بروز مشكلات به هنگام مبادله فايل ها، گروه هاى مختلف بايد براى استفاده از الگوريتم هاى مشابه رمزنويسى و رمزگشايى با يكديگر توافق داشته باشند.
در نتيجه اين محاسبات و ب ظهور كامپيوترهاى مدرن در اواسط دهه ۷۰ استانداردهاى اين رشته به بازار معرفى شد. از اولين استانداردها مى توانيم به استاندارد رمزنگارى اطلاعات (DES)، الگوريتمى كه از تراشه هايى به طول ۵۶ بيت استفاده مى كند، اشاره كنيم. در آن زمان بانك ها از DES در دستگاه هاى خودكار تحويل پول استفاده مى كردند، اما با افزايش قدرت پردازش، DESهاى سه تايى جاى آنها را گرفتند. DESهاى سه تايى اطلاعات مشابه را سه بار و با استفاده از الگوريتم DES اجرا مى كردند، به اين ترتيب عملكرد آن را تضمين مى كردند.
پارسن مى گويد: «در اواخر دهه ۸۰ شيوه فعاليت DESهاى سه تايى زير سئوال قرار گرفت. يك روش رمزنويسى جيد به نام AES (استاندارد رمزنويسى پيشرفته) در سال ۲۰۰۱ پيشنهاد شده است و هنوز هم بى هيچ مشكلى پاسخگوى مشكلات است.
رمزنويسى متقارن روش قابل قبولى است اما اگر مى خواهيد گيرنده، پيغام رمزى شما را رمزگشايى كند، چگونه اطمينان حاصل مى كنيد كه اين پيغام به فرد مورد نظر برسد؟ مى توانيد تراشه را با يك تراشه ديگر رمزنويسى كنيد، اما مشكل فرستادن اين تراشه دوم به گيرنده مورد نظر هنوز هم به قوت خود باقى است. نبود امكان انتقال فيزيكى پيام ها در تجارت راه را براى تجاوز و رمزگشايى بدون اجازه آنها براى افراد فرصت طلب گشوده است و اين جا است كه روش دوم؛ يعنى رمزنگارى نامتقارن (كلد عمومى رمزگشايى) قابليت هاى خود را نشان مى دهد. در كليد عمومى رمزگشايى از دو كليد استفاده مى شود: روش عمومى و روش اختصاصي. در صورت استفاده يك روش براى رمزنگارى با روش ديگر رمزگشايى مى كنيم. اگر شركت A قصد دارد پيغامى را به شركت B بفرستد از كليد عمومى شركت B استفاده مى كند. اين كليد رمزنويسى در اختيار همه كاركنان اين شركت است. با يك بار رمزنگارى تنها راه براى رمزگشايى اين پيغام به كار بردن كليد اختصاصى است كه فقط فرد گيرنده آن را داراست. ايجادكنندگان اين روش همچنين بخش امنيتى RSA را به وجود آوردند كه در توليدات فعلى خود نيز از الگوريتم فوق استفاده مى كند.
مايك وگارا، رئيس بخش مديريت توليد RSA، در اين باره مى گويد: «كليد رمزنويسى متقارن همواره از روش نامتقارن سريع تر عمل مى كند، بنابراين كافى است براى رمزنگارى از روش متقارن استفاده كرده و الگوريتم RSA را براى رمزگشايى به كار بريد. كمترين طول تراشه AES، ۱۲۸ بيت و كمترين طول تراشه الگوريتم RSA، ۱۰۲۴ بيت است. اما عامل برقرارى توازن در اين ميان به گفته نيكو ون سومرن، رئيس بخش فناورى در شركت توليدكننده تراشه هاى رمزنگارى، رمزگشايى RSA بسيار مشكل است. او ادعا مى كند كه از نظر زمانى رمزگشايى تراشه هاى RSA، ۳۰ هزار واحد زمانى طول مى كشد. روش جايگزين الگوريتم RSA، منحنى رمزنگارى بيضوى است كه با ۱۶۰ بيت كار مى كند. از اين منحنى به عنوان كليد رمزنگارى نامتقارن در تلفن هاى هوشمند استفاده مى شود.
اما استفاده از اين راه حل نيز مشكل تاييد را حل نمى كند. اگر شركت A با استفاده از كليد عمومى B تراشه اى را رمزنگارى نكند و آن را براى شركت B ارسال كند، با هيچ روشى نمى توانيم بفهميم كه اين تراشه را شركت A فرستاده است. ممكن است پاى دسته سومى در ميان باشد و قصد آنها از فرستادن اين پيغام گيج كردن شركتB باشد. امضاى ديجيتالى پايانى بود براى تمام اين مشكلات، به اين شكل كه افراد تراشه ها و پيغام هاى ارسالى خود را امضا مى كنند.
شركت Aبا استفاده از كليد خصوصى خود امضايى ديجيتالى طراحى مى كند. مانند قبل اين شركت پيغام مورد نظر خود را با استفاده از يك الگوريتم متقارن رمزنگارى مى كند، سپس با به كاربردن كليد عمومى B تراشه را رمزنگارى مى كند. اما شركت A با استفاده از يك الگوريتم محاسباتى به نام تابع مخرب پيغام بدون رمز را اجرا مى كند. اين تابع زنجيره اى منفرد از اعداد توليد مى كند. سپس اين زنجيره را با كليد اختصاصى خود رمزنگارى مى كند. در مرحله آخر همه چيز به شركت B ارسال مى شود.
مانند گذشته شركت B از كليد اختصاصى خود براى رمزگشايى تراشه متقارن و هم چنين پيغام A استفاده مى كند. در مرحله بعد B از كليد عمومى A براى رمزگشايى زنجيره تخريب استفاده ى كند. در واقع B همان الگوريتم مورد استفاده A را براى ساختن زنجيره ياد شده براى رمزگشايى به كار مى برد. در صورت تطابق اين دو الگوريتم، B به دو نكته اساسى پى مى بريد: اول اين كه اين پيغام همان پيغام ارسالى A از طريق الگوريتم ياد شده است و در طول مسير، مورد سوءاستفاده قرار نگرفته است. ديگر اين كه اين پيغام، به طور قطع از جانب A ارسال شده است؛ زيرا B با كليد عمومى A آن را رمزگشايى كرده است. به اين معنا كه اين پيغام با كليد اختصاصى مشابهى رمزنگارى شده است.
الگوريتم هاى مخرب، مانند رمزنگارى متقارن ويژگى هاى متنوعى دارد. MD5 هنوز هم در بسيارى از سيستم ها كاربرد دارد، اما در ااسط دهه ۹۰ آژانس امنيت ملى، SHA-1 را جايگزين آن كرد. البته امنيت اين روش نيز توسط جامعه رمزنگاران مورد سئوال قرار گرفته است.
البته بايد توجه داشته باشيم كه شكست يك الگوريتم تمام يك پروژه را زير سئوال نمى برد. ديويد نكاش، نايب رئيس بخش تحقيقات و نوآورى شركت كارت هوشمند گمپلوس مى گويد: «وقتى كل عملكرد يك تابع زير سئوال قرار مى گيرد، نتايج مستقيم و بلافاصله نيستند. بسيارى از ايرادها در مرحله نظرى باقى مانده، در دنياى واقعيت تحقق نمى يابند. به طور معمول كميته رمزنگارى پس از يك حمله تئوريك همه جوانب را بررسى و راهكارهاى لازم را به اطلاع افراد مى رساند.
كليد عمومى رمزگشايى هنوز هم با مشكلات زيادى روبه رو است، براى مثال همواره بايد از صحت كليدهاى عمومى و اختصاصى و جلوگيرى از سوءاستفاده برخى افراد، از آنها مطمئن شد. برخى سازمان هاى تاييد شده (مانند VeriSign) براى مديريت و كنترل توليد اين كليدها (زيربناى كليدهاى عمومى (PKI)) ايجاد شده است. اين سازمان ها علامت هاى مشخصى را براى كليدهاى شركت ها در نظر مى گيرند. البته به دليل مشكلاتى كه از جانب برخى شركت ها مانند شركت پشتيبانى فناورى بالتيمور ايجاد شد، افراد ديرتر از آن چه كه انتظار مى رفت به اين روش اعتماد كردند.
با تمام اين توضيحات چه مشكلى وجود داشت؟ اندى مالهلند، مدير بخش فناورى روز در كپجمينى مى گويد: «در آن زمان پرداختن به چنين مسئله اى هنوز خيلى زود بود. ۵ سال در زمان توسعه PKI افراد نامناسبى به تجارت آن لاين مشغول بودند. در آن زمان حجم تجارت آن لاين بسيار كم بود.» او مى گويد: «ما در واقع بدون هيچ فعاليت بازرگانى تبليغى موفقيت زيادى در PKI به دست آورديم. اما اگر PKI در سال ۲۰۰۵ ايجاد شده بود، عكس العمل ها متفاوت بود.»
وكلاى PKI مانند وگارا براى مبارزه با اين نظريه عمومى كه استفاده از PKI را براى مصرف كنندگان مشكل مى داند، بيشتر فناورى مربوط به كليد عمومى مانند Secure Sockets Layer و Transport Layer Security را در اختيار عموم قرار مى دهد. اين فناورى آيكون قفل مربو به مرورگر امنيتى را دربردارد. براى بهره بردارى از اين امكان نيازى به هيچ مجوزى نيست.
آرتر بارنز، مشاور ارشد موسسه امنيتى دياگنال، مى گويد در بسيارى موارد وقتى به مجوز هر دو گروه مشترى و سرور نياز باشد PKI براى مصرف كنندگان مشهود و كارآمد نيست.
افرادى كه اين مطلب را باور ندارند بايد به مقاله «چرا جانى نمى تواند به راحتى به هر جا كه مى خواهد سرك بكشد؟» نوشته آلما ويتن نگاهى بيندازند. اين مقاله به بررسى اين مطلب مى پردازد كه بسيارى از افراد تحمل صرف ۹۰ دقيقه براى امضا و رمزنگارى پيغام هاى خود را ندارند و به همين دليل عده بسيارى از شركت كنندگان در تست ويتن در اين تست شكست خوردند.
شركت كنندگان در آزمون از PGP، يك ابزار نرم افزارى كليد عمومى رمزنگارى ساخته فيل زيمرمن در سال ،۱۹۹۱ استفاده مى كردند. عملكرد PGP خارق العاده است، زيرا مشكلات مجوز بسيارى از گونه هاى PKI را با به كار بردن «دنياى وب تاوم با اعتماد» پشت سر گذاشته بود. در اين مدل مجوز گواهى نامه جاى خود را به افراد مورد اعتمادى كه با امضا كردن به جاى ديگران كليدهاى آنها را تاييد مى كنند.
PGP زيمرمن را در تعرض با دولت ايالات متحده قرار داد، مسئولان امنيتى اين دولت معتقدند اين روش كنترل امنيتى را دچار مشكل مى كند. مسئله تا جايى پيش رفت كه مسئولان امنيتى ايالات متحده عله او اقامه دعوى كردند. مسئله دخالت حكومت ها در رمزنگارى هنوز هم مورد اعتراض بسيارى از شركت هاى خصوصى است. گذشته از كنترل خارجى آگاهى دولت ها از رمزها و توانايى آنها به رمزگشايى، هسته مركزى اين مجادلات را به خصوص در انگلستان و پس از تصويب قانون نظارتى قدرت تحقيقات در سال ،۲۰۰۰ تشكيل مى دهد.
گوين مك گينتى، مشاور حقوقى در مركز مشاوره IT پينسنت ماسنز مى گويد: اين قانون دولت ها را در شرايط خاصى مجاز به جست وجو در حريم خصوصى اشخاص مى داند. «اولين اصل در اين مورد اين است كه شركت ها در صورت امكان مى توانند اطلاعات مورد نياز ماموران دولت را بدون كليد آن در اختيار آنها قرار دهند، در غير اين صورت رمزگشايى مجاز است.»
همه اين مسائل در بررسى هاى اوليه پاسخگو به نظر مى رسد، اما برخى روش هاى رمزنگارى مانند steganography كارايى چنين قوانينى را زير سئوال مى برد. در اين روش گونه اى از اطلاعات در پس زمينه گونه ديگر پنهان مى شود: براى مثال يك پرونده فايل word در پس زمينه يك فايل Jpeg.
ويژگى هاى اين ابزار جديد چندان مورد توجه بارنز قرار نگرفته است. او مى گويد: «steganography به عنوان يك ابزار غيرقابل كشف به بازار عرضه شده است ولى در مدتى كوتاه عكس اين مطلب اثبات شده است. فقط بايد بدانيد دنبال چه نوع اطلاعاتى مى گرديد.»
امروزه علم رمزنگارى به مرحله اى ا رشد و پختگى رسيده است كه به راحتى در معرض تغييرات گسترده قرار نمى گيرد. الگوريتم هاى متقارن و نامتقارن زيادى وجود دارند كه براى راضى نگاه داشتن طرفداران رمز و رمزنگارى كفايت مى كنند و بسيارى از آنها براى مديران IT قابل تشخيص نيستند.
با وجود اين چالش ها هم چنان به قوت خود باقى است. عملكرد ضعيف PKI گودالى عميق در بازار جهانى رمزنگارى برجاى گذاشته است. براى پر كردن اين فواصل به نوعى مدل مديريت شناخت نياز است.
