الفصل : 6
العنوان : تنفيذ البنية التحتية للمفتاح العام ( Implementing Public Key Infrastructure)
PUBLIC AND PRIVATE KEY USAGE
Public key cryptography
بحيث هو النوع الثاني من ال encryption اللي هو ال asymmetric ونتكلم في هذه النقطة عن ال public key اكثر ,بحيث لما نكون نريد ان نعمل confidential:سرية , بحيث لما نكون نريد التواصل بسرية نقوم باستخدام ال public key في التشفير , بحيث انه بيكون في مفتاحين ال public وال private حيث انا وشخص رقم 1 نريد التواصل وانا هو صاحب التشفير معي المفتاحين , اذا لو اراد شخص التواصل معي انا او ارسال رسالة لي مشفرة نقوم باستخدام الpublic للتشفير , بحيث ارسل له ال public key فقط وهو يقوم بتشفير ما يريده هو ويرسل ليا الرسالة مشفرة واقوم انا بفكه بال private key اللي مش هيكون مع اي شخص كان ولا حتى اصلا هيتم ارساله لانه بيكون فقط لصاحب التشفير , ونفس الموضوع بالنسبة للشخص 1 هو ايضا سيكون لديه المفتاحين ولو شخص اراد التواصل معاه سيقوم بعمل نفس المهمة
ولكن لو اردنا ان نقوم بعمل شئ ما يسمى بال authenticate:اثبات , بحيث انا والشخص 1 , والشخص 1 اراد ان يتاكد من ان اللي هو بيكلمه هو انا , يريد تاكد من اني انا صاحب التشفير او يتاكد اني صديقه من خلال التشفير , بحيث سنقوم لتبديل العملية , بجعل الprivate key خاص بالتشفير وال public key خاص بفك التشفير , بحيث ساقوم انا بالتشفير من خلال المفتاح اللي معايا اللي هو ال private اللي مش اي احد غيري , وبعدها ارسل التشفير للشخص 1 واجعل ال public key هو اللي يقوم بالفك , فلو بالفعل فام بالفك اذا يبقا هو انا او انا صديقه , بحيث ال public key وال private key لا يعملون الا مع بعض , بحيث يكونوا مرتبطين ببعض واحد يشفر والاخر يفك وهذا سيكون لهدف , ويمكن ان نجعل اللي يقوم بالفك هو للتشفير والاخر للفك وسيكون الهدف شئ اخر ايضا , بحيث اللي يجعلنا نتاكد من ان مفيش شخص معاه ال private key الا ويكون هو صاحب التشفير , لذلك لو قام هو بالتفير من خلال ال private لو هو الشخص الصحيح لابد من ان يقوم ال public بالفك
confidential= (public key >>> private key)
authenticate= (private key >>>public key)
ولكن بالنسبة لعملية ال authenticate ممكن شخص يخاف ان يتعامل بيها , بحيث ارسالك للتشفير من خلال private key ممكن يكون تحت هجمة ال MITM بحيث ممكن ان يتم استخراج الفتاح من خلاله , لذلك نلجأ لطريقة تسمى Public Key Infrastructure او اختصارا نقول عليها ال PKI بحيث لما اكون اريد ان اتاكد من ان الشخص اللي اتعمال معاه هو موثوق , نستخدم ال PKI , مثلا كيف تتاكد من ان الموقع اللي انت فيه هو ليس صفحة مزورة مخادعة , بحيث كله من خلال ال PKI حيث هي مثل البطاقة او الشهادة الاثباتية للموقع او لل destination والجهة اللي بيتكون مسؤولة عن اخراج هذه الشهادات يسمى certificate authority (CA) بحيث ممكن نشبها بالاحوال المدنية المصرية ,واي موقع او سيرفر او جهاز يريد اثبات نفسه , يحصل على هذه الشهادة بحيث ال CA بتطلب منك معلومات مثل :
! جميع ال domains الخاصة بالموقع
! نوع ال hash المستخدم لحفظ البيانات في ال dataase
! نوع ال public key المستخدم
بحيث الشهادة بتحمل كل المعلومات الاثباتية بانك سيرفر موثوق منه وامن , وانك لا تتجسد او لاتزور هويتك بهوية جهاز او موقع اخر
لو ذهبت عند اي موقع حقيقي وموثوق ستجد فوق في اي متصفح علامة القفل 🔒, واللي من خلالها تقدر تضغط عليها وتشوف كل الشهادة من خلالها , والشهادة بتكون بتحتوي على كثير من الاشياء ن اهمها :
! نوع ال public key المستخدم
! اسم الجهة اللي انت اخذت منها الشهادة لانهم كثيرين ومختلفين
! رقم السيريال الخاص بالشهادة بحيث كل شهادة لها رقم سيريال وهذا يمنع من التزوير
! موعد انتهاء صلاحية الشهادة , مثل ما ايضا بطاقتك الشخصية او اقامتك لا بد من ان يكون لها موعد انتهاء صلاحيتها
! نوع ال hash المستخدم
العملية
بحيث لو نريد ان نفصل قليلا كل شئ يحدث بحيث سنقسمها على مراحل ,وهم :
المرحلة الاولى : ول سنقوم باخذ موقع مثل ال twitter , اذا في البداية سيقوم تويتر بالتوجه الى احد ال CA لاخذ الشهادة , بحيث سيرسل له رسالة باسم CSR وتاتي بطلب اخذ الشهادة , ويكون فيها كل المعلومات اللي يحتاج لها ال CA حتى يقوم باتمام الشهادة
المرحلة الثانية , وهي ان جهاز عادي اراد ان يتصفح Twitter ولاول مرة , فسيقوم هذا الجهاز بارسال HTTPS Request للتويتر , سيقوم بعدها Twitter بالرد برسالة HTTPS Response تحمل فيها صفحة الموقع للتصفح + Certificate Digital او ال PKI , وستكون الشهادة فيها كل المعلومات التي تثبت للجهاز بانه هو الموقع الصحيح فعلا وانه ليس مزور
المرحلة الثالثة : وهي في المرة القادمة لما يقوم الجهاز بالوصلالى تويتر سيرسل له ال Req ولكن سيكون مشفر , وهذا بسبب انه في المرة السابقة لما تم ارسال الشهادة كانت تحمل ال public key اللي يتم استخدامه للتشفير
 |
| توضيح لل PKI |
وال CA له نوعين
Private CA
وهي ان تكون الشبكة الخاصة بالشركة يكون فيها سيرفر يقدم الشهادات الثباتية لاثبات افراد المؤسسة او اجهزة الشبكة و windows server من احدى خدماته هي تقديم ال PKI
Public Key
وهي ان يكون عام للاشخاص جميعا للسرفرات او للاجهزة العادية اللتي تستخدم في الشبكات بحيث لو في شبكة لا يوجد private CA يمكن استخدام ال public وهو الافضل والاشهر , ويوجد الكثير من المواقع التي تقدم هذه الهدمة ومن اشهرها هي :
IdenTrust
Digicert
Sectigo / Comodo
GoDaddy
GlobalSign
بروتوكول ال SSL
لن نتكلم فيه بشكل تفصيلي ولكن ستجد ان شهادات ال PKI فيها ال SSL او تحمل اسمها , لان الشهادة عندما يتم ارسالها يتم ارسالها ببروتوكول ال SSL , بحيث لما نريد ارسال الشهادة لل Client ونريد ان نجميها من ان ياخذها اي شخص بحيث , من يحصل على الشهادة هو الكومبيوتر , لذلك البروتوكول هذا هو الخاص بهذه المهمة , والبروتوكول كبير وسيكون له شرح اخر مفصل
PKI Trust Modules
عندما تاخذ الشهادة تكون من CA وتنقسم انواع ال CA الى فئات بحيث هي :
Single CA
وهو انه يكون في issus certification او موزع او مصدر للشهادة واحدة فقط , وومن الممكن ان من يحصل على الشهادة ان يكون شخص او جهاز
بحيث لو انت في العمل وتسجل الدخول على حاسوبك باستخدام كلمة المرور واسم المستخدم , لو انت مربوط في الدومين الخاصة بالشركة او المؤسسة, فلو حبيت انك تسجل على اي جهاز في ال شركة غير جهازك انت بالمعلومات اللي معاك اللي هي ال pass وال user بتوعك , بالطبع هيرفض
في الشركات ان كل user يكون ليه شهادة يتنقل بيها في اي جهاز في الشركة او في الشبكة عادي , بحيث اول ما تدخل ال pass وال user في اي جهاز هيقبل وهيقوم بتثبيت الشهادة في الجهاز , ويعمل الجهاز معك عادي
من عيوبه انه لو انت تم اصدار لك شهادة من النوع ده , معناه انه مينفعش يتم اصدار لك شهادة الى من غيره , هو المصدر الوحيد لك حاليا للحصول على الشهادة
وكمان العيب القاتل انه لو حصل ليه اختراق او خرب , عناه كده مش هيكون في اي مصدر لاصدار الشهادات في الشبكة او في الشركة , ولو حد اراد ان ياخذ شهادة لن يستطيع , وسيكون هناك عطل يوخر من حركة الشركة بالناحية الامنية , ولو شم شخص بهذا الخبر ستبدا الاستغلالات او ما شابه
وبيكون النوع هذا Single-Point of Failure بمعنى نفطة فشل واحدة
Hierarchical (Intermediate CA )
وهو ال CA الهرمي
بحيث يكون مقسم الى :
Root
Issuing
بحيث لما تروح لواحد مش شغال غيره هيكون شغال , بحيث السيناريو الوحيد اللي يقوم باطفاء ال CAs كلها في نفس الوقت , او مرة واحدة , وهو لو تم اصابة. ال root كلها الهرم بيتهد
وبيكون لكل CA ليه معلوماته وخصائص , يعني يعطيك public key مختلف او اصدار مختلف وعلى حسب ال CA اللي انت رايح له , وهذا على عكس تماما ال Single CA لانه بيكون عبارة اصلا عن CA واحد فقط
ولكن كيف ال CA root اصبح Root , بكل بساطة انه بيكون معاه شهادة تسمى ال Self-Signed ويكون هو اللي قام باصدارها بنفسه , بحيث لما يكون مربوط باكثر من CA ويكون هو الاعلى او الاول في المجموعة كلها , فقط
وال root ايضا هو Single-Point of Failure
ويوجد تصنيفه اخرى لل CA :
Online vs Offline CAs
بحيث سناخذ مثال للتوضيح افضل , بحيث لما يكون في موظف لديه دوام يكون من الساعة كذا الى كذا , بحيث هو جالس وقته كامل , والموظف الاخر يكون في اللبيت عادي الى ان يقوم احد بطلبه لاداء مهمة ما هو ياتي في هذا الوقت وبعد الانتهاء يذهب وينتظر شخص اخر بالاتصال به ليقوم بعمله
نفس النظام في ال CA ال Online وهو شخص طلب منه شئ يرد في الحال لانه لديه دوام , وال offline العكس , ولكن مشكلة ال Online انه ممكن ان يتم تعريضه لهجمات كثيرة جدا وبتكون اكثر لو كان ال CA هو ال root , لذلك بنجعل ال CA في secure area لما يكون مفيش عمل , ولما ياتي خص بالطلب , يخرج من مكانه ويقوم بالمهمة فقط , ويرجع مرة اخرى وهذا هو ال Offline CA ويكون هو الامن والاكثر استخداما ايضا
REGISTRATION AUTHORITIES AND CSRS
وهي ما العمليات اللي عشان اخذ منها الشهادة من ال CA :
حيث بيعمل حساب في ال CA
تقوم بارسال طلب التوقيع ويتم هذا من خلال بروتوكول ال CRS
تقوم بعدها بادخال المعلومات المهمة لاتمام التوقيع وتكون معلومات تثبت بانك الشخص الحقيقي
CERTIFICATE REVOCATION LISTS
وهي اسباب وقف الشهادة ,ويكون هناك نوعين لوقف الشهادة وهي يا اما تكون , كليا او مؤقتا
=اختراق الشهادة (كليا)
=وقف الخدمة بذات نفسها (كليا)
=صاحب الشهادة اختفى او مات (كليا)
=الشخص واخد اجازة (مؤقتا)
=الدومين تم تغييره (كليا)
=اسائة استخدام الشهادة (كليا)
OpenSSL
وهو انت الان لديك ال CA او تريد ان تقوم بتشغيله , بحيث هناك طريقتين او نظامين للعمل فيهم وهم :
لو لديك windows وتستخدم windows server للمؤسسة , لا بد من تشغيل شئ ما يسمى بال Active Directory Certification Services
لو لديك linux بتشتغل في ال linux server مع تثبيت حزمة تسمى OpenSSL وبتكون بالطبع free
حيث سريعا , هذه الشهادة بكل اختصار هي شهادة تقوم بحماية ال private key من الكشف , والصد ضد هجمات ال MITM , وبتكون للاشخاص او الاجهزة مثل السيرفرات وبالطبع المواقع تكون على سيرفرات لذلك تكون ايضا للمواقع , وتكون بصيغة ال X.509 ومنظمة ال IETF هي المعترفة بيها
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock
