الفصل الرابع من شهادة Security Plus بعنوان: Explain the importance of using appropriate cryptographic solutions

 الفصل الرابع : Explain the importance of using appropriate cryptographic solutions

الجزء الأول : #1 

شرح أهمية استخدام الحلول التشفيرية المناسبة (Explain the importance of using appropriate cryptographic solutions):



يغطي هذا الفصل الهدف الرابع من النطاق الأول، وهو شرح أهمية استخدام الحلول التشفيرية المناسبة ، في العصر الرقمي، حيث يتغلغل البيانات في كل جوانب حياتنا، أصبح تأمين هذه البيانات أمرًا بالغ الأهمية. لقد ظهرت الحلول التشفيرية كحماة لهذا العالم الرقمي، حيث تحمي المعلومات الحساسة من التهديدات المتعددة التي تواجهها.

في قلب هذه الحلول تكمن بنية التشفير العامة (Public Key Infrastructure - PKI)، التي تتألف من مفاتيح عامة وخاصة، وشهادات، وآليات حفظ المفاتيح (key escrow)، التشفير، الذي يعتبر ركيزة أساسية لحماية المعلومات، يأتي بأشكال مختلفة، بما في ذلك التشفير الكامل للقرص (full-disk encryption)، وتشفير الملفات (file encryption)، وتشفير قواعد البيانات (database encryption)، والتي تعززها أدوات مثل الوحدات النمطية للمنصة الموثوقة (Trusted Platform Modules - TPMs) والوحدات الأمنية للأجهزة (Hardware Security Modules - HSMs).

إلى جانب التشفير، تشمل التقنيات التشفيرية الإخفاء (obfuscation)، والتجزئة (hashing)، والتوقيعات الرقمية (digital signatures)، وإدارة المفاتيح (key management)، وتعمل هذه التقنيات على إخفاء البيانات، والتحقق من صحتها، وحمايتها من الوصول غير المصرح به، وكما يقدم ظهور تقنية البلوكشين (blockchain) طبقة أمان لامركزية، مما يحدث ثورة في الصناعات من خلال ضمان سجلات غير قابلة للتلاعب، وفي صميم إطار عمل البلوكشين توجد الشهادات، التي تديرها سلطات الشهادات (Certificate Authorities - CAs)، مما يوفر سلسلة ثقة للاتصالات الرقمية.
 

ملاحظة:

سيتم توفير تفاصيل كاملة في نهاية الفصل.

 

بنية التشفير العامة (Public Key Infrastructure) :

يمكن أن يكون إنشاء بنية التشفير العامة (PKI) الخاصة بك أمرًا استراتيجيًا للمؤسسات والأفراد الذين يسعون إلى تعزيز الأمان، والتحكم، والثقة في اتصالاتهم ومعاملاتهم الرقمية. من خلال إنشاء بنية "PKI" داخلية، ويمكنك إصدار وإدارة الشهادات الرقمية، التي تعمل كأوراق اعتماد افتراضية تمكن من تحديد الهوية والمصادقة الآمنة للمستخدمين، والأجهزة، والخوادم في مختلف التطبيقات.

هذه البنية الداخلية تمكنك من تخصيص سياسات الشهادات، وتحديد قوة التشفير، وإملاء إجراءات التحقق وفقًا لاحتياجاتك الخاصة، مما يضمن نهج أمان مخصص يتوافق بدقة مع متطلباتك التشغيلية. علاوة على ذلك، توفر بنية "PKI" الداخلية المرونة في إلغاء الشهادات بسرعة في حالة حدوث اختراقات أمنية أو تغييرات في الموظفين، مما يعزز قدرتك على الحفاظ على موقف أمني استباقي.

سواء كان ذلك لحماية البيانات الحساسة، أو تمكين قنوات الاتصال المشفرة، أو ضمان سلامة المعاملات الرقمية، فإن إنشاء بنية PKI خاصة بك يمنحك القدرة على تعزيز نظامك الرقمي بطبقات من التشفير والمصادقة، مما يخلق بيئة يكون فيها السرية والمصداقية والموثوقية في المقدمة. في هذا الفصل، سوف نتوسع في الأسباب التي تجعلنا نقدم بنية PKI الخاصة بنا التي تركز على التشفير غير المتماثل، الذي من خلاله نقوم بتوليد كل من المفتاح العام والمفتاح الخاص كزوج من المفاتيح. دعونا نلقي نظرة أولاً على المفتاح العام والمفتاح الخاص وآلية حفظ المفاتيح (key escrow):

 

•  المفتاح العام (Public key): كما يوحي اسمه، صمم المفتاح العام للنشر على نطاق واسع ويمكن مشاركته بحرية دون المساس بالأمان، ودور المفتاح العام هو تشفير البيانات والتحقق من صحة التوقيعات الرقمية، وعلى سبيل المثال، إذا أراد أحمد إرسال بيانات حساسة إلى محمد ، فإنه يطلب نسخة من المفتاح العام لماري ويستخدمه لتشفير البيانات عن طريق تحويل النص العادي إلى نص غير قابل للقراءة (ciphertext)، وإذا اعترض كيان ضار البيانات المشفرة أثناء النقل، فلن يتمكن من قراءة الرسالة الأصلية بدون المفتاح الخاص لماري، حيث إن هذا هو المفتاح الوحيد الذي يمكنه فك تشفير البيانات، ولتحديد المفتاح العام، يكون التنسيق المعروف بـ (Public-Key Cryptography Standards - PKCS) هو P7b، وامتداد الملف هو .cer، ويعمل الملف كشكل من أشكال "إثبات الهوية" الرقمي، مثل الشهادة الفعلية (مثل جائزة أو دبلوم).

• المفتاح الخاص (Private key): يجب أن يبقى المفتاح الخاص سريًا وآمنًا لمنع الوصول غير المصرح به، ويتم الاحتفاظ به ولا يتم توزيعه أبدًا، وغالبًا ما يُخزن في أجهزة تشفير رقمية أو تعتمد على الأجهزة، ويكون محميًا بطبقات من إجراءات الأمان مثل كلمات المرور القوية والمصادقة البيومترية. يجب على مالك المفتاح الخاص توخي الحذر الشديد لمنع تعرضه.

  الوظيفة الأساسية للمفتاح الخاص هي فك التشفير، وعندما يتلقى محمد البيانات المشفرة من احمد، يمكنها استخدام مفتاحها الخاص لفك تشفير البيانات، وهذا يثبت صحة البيانات، حيث إن المفتاح الخاص من زوج المفاتيح هو الوحيد القادر على فك تشفير البيانات.

  كما يستخدم المفتاح الخاص لتوليد التوقيعات الرقمية، ويعمل التوقيع الرقمي كـ "ختم مصداقية" تشفيري للمحتوى الرقمي، ومن خلال توقيع البيانات بمفتاحهم الخاص، يقوم المرسل بإنشاء توقيع رقمي فريد يرتبط بشكل لا ينفصم بالمحتوى، ويمكن للمستلمين التحقق من هوية المرسل وسلامة المحتوى باستخدام المفتاح العام للمرسل للتحقق من التوقيع.

  في سياق عدم التنصل، يعتبر المفتاح الخاص مكونًا حاسمًا في إثبات هوية المرسل وضمان سلامة الاتصال الرقمي، ويمنع المرسل من إنكار أنه أرسل الرسالة لاحقًا، حيث إن مفتاحه الخاص الفريد هو الذي أنشأ التوقيع الرقمي الذي يثبت مشاركته، ولتحديد المفتاح الخاص، يكون التنسيق (PKCS) هو "P12"، وامتداد الملف هو "pfx" ويشبه الأمر كأن شخصًا يضع شهادة داخل مغلف ومفتاح يجلس خارج المغلف.

• حفظ المفاتيح (Key escrow): حفظ المفاتيح هو طرف ثالث موثوق مسؤول عن تخزين نسخ من المفاتيح التشفيرية بشكل آمن، ويعمل هذا كشبكة أمان في السيناريوهات التي يفقد فيها صاحب المفتاح الأصلي الوصول إلى مفتاحه الخاص بسبب أسباب مختلفة، مثل نسيان كلمة المرور، أو فشل الأجهزة، أو حتى الأحداث غير المتوقعة مثل وفاة صاحب المفتاح، ويمكن للطرف الثالث (غالبًا سلطة معينة) استرجاع المفتاح المخزن ومساعدة صاحب المفتاح في استعادة الوصول، وقد يقوم حفظ المفاتيح بتخزين المفاتيح التشفيرية باستخدام وحدة أمان الأجهزة (Hardware Security Module - HSM)، وهو جهاز مخصص مصمم لتوفير إجراءات أمان قوية لإدارة وحماية المفاتيح التشفيرية، والبيانات الحساسة، والعمليات التشفيرية. تستخدم وحدات "HSM" لحماية الأصول الرقمية، وضمان تخزين المفاتيح بأمان، وتنفيذ العمليات التشفيرية بمستوى عالٍ من الثقة والنزاهة.

 

 التشفير (Encryption):

في عصر يعتمد بشكل كبير على الاتصال الرقمي، أصبحت حماية البيانات ضرورة أمنية. التشفير، الذي يعد درعًا قويًا ضد التهديدات السيبرانية، أصبح الأساس في حماية المعلومات الحساسة. بينما نتعمق في طبقات التشفير، نكتشف التسلسل الهرمي المعقد للأمان، بدءًا من حماية القرص بالكامل وصولًا إلى حماية السجلات الفردية.
 

•  مستوى التشفير (Level Encryption) : مستوى التشفير يشير إلى قوة وتعقيد كل من الخوارزمية المستخدمة والمفتاح "cryptographic" المستخدم لحماية المعلومات الحساسة ،  التشفير يتضمن تحويل البيانات العادية (plaintext) إلى صيغة مشفرة غير قابلة للقراءة (ciphertext) من خلال خوارزمية ومفتاح "cryptographic" معين، والتشفير يلعب دورًا حيويًا في الحفاظ على سرية وأصالة البيانات، خاصةً أثناء نقلها عبر الشبكات أو تخزينها في بيئات قد تفتقر إلى ضمانات الأمان، وكلما زاد عدد البتات في المفتاح، زادت صعوبة كسره، مما يزيد من الأمان، ولكنه يتطلب وقتًا أطول للمعالجة.

 

• تشفير القرص بالكامل (Full-Disk Encryption - FDE): هو إجراء أمني قوي مصمم لحماية البيانات المخزنة على القرص الصلب أو القرص ذو الحالة الصلبة (SSD) للحاسوب، ويتم تحقيق ذلك عن طريق تشفير الجهاز التخزيني بالكامل، مما يجعله غير قابل للقراءة دون المفتاح المناسب لفك التشفير، ويمكن تعزيز أمان تشفير القرص بالكامل باستخدام "Trusted Platform Module (TPM)" حيث يتم تخزين المفاتيح. مثال على ذلك هو "Opal drive" الذي يستخدم للتشفير الذاتي، حيث يتم تخزين مفاتيح التشفير على القرص وليس على شريحة "TPM".

 

•  تشفير الملفات (File encryption): كل مستند فردي، صورة، أو جدول بيانات يصبح بمثابة صندوق كنز مليء بالأسرار المشفرة. الوصول غير المصرح به إلى هذه الملفات ينتج عنه مجرد خلط للأحرف، مما يجعل الملفات المسروقة غير قابلة للقراءة ولا قيمة لها. يمكن استخدام "Encrypted File System (EFS)" لتشفير الملفات حيث يتم تخزين المفاتيح في ملف تعريف المستخدم.

 

•  تشفير الأقسام (Volume Encryption): يقدم "BitLocker"، بالتكامل مع "TPM"، طبقة أمان قوية، مما يعزز عملية تشفير الأقسام. باستخدام شريحة "TPM"، يضمن "BitLocker" سلامة عملية إقلاع النظام وآليات التحقق من الهوية، يعمل هذا التآزر على إنشاء نهج أمني مزدوج: حيث تقوم "TPM" بتخزين مفاتيح التشفير الحيوية بأمان، في حين يقوم "BitLocker" بتشفير القسم بأكمله، مما يحول دون الوصول غير المصرح به إلى البيانات.

 

• تشفير قاعدة البيانات (Database encryption): داخل هذه المستودعات الرقمية للمعلومات، يتم تغليف قواعد البيانات الحيوية بدرع "cryptographic" ، تبقى السجلات الحساسة للعملاء والمعاملات المالية والأرشيفات السرية منيعة ضد أي هجوم سيبراني.

 

•  تشفير السجلات الفردية (Record-Level Encryption): يعد تشفير السجلات الفردية تقنية قوية لحماية البيانات من خلال تشفير سجلات منفصلة داخل قواعد البيانات أو مستودعات البيانات الأخرى، في هذا النهج، يتم تغليف كل سجل فردي بمفتاح تشفير خاص به، مما يزيد من تعقيد المحاولات غير المصرح بها لاختراق محتوى السجل الحساس.

 

•  تشفير الاتصالات (Transport/communication encryption) : في مقدمة حماية البيانات يأتي تشفير البيانات أثناء النقل. في المشهد الديناميكي للاتصال الرقمي، يعمل "Transport Layer Security (TLS)" كدرع أمان لحماية البيانات المرسلة. يستخدم "TLS" تشفيرًا لضمان أن المعلومات تكون غير قابلة للقراءة لأي شخص آخر غير المتلقي المقصود. عند استخدام "TLS" ، يتم تنفيذ سلسلة من الخطوات المعقدة:

 

•  Handshake: يبدأ المرسل والمستقبل عملية المصافحة، حيث يتفقان على معايير التشفير، ويتبادلان المفاتيح "cryptographic" ،ويصادقان على هوية بعضهما البعض.

•  التشفير (Encryption): بعد اكتمال المصافحة، ويبدأ نقل البيانات الفعلي، يتم تشفير البيانات باستخدام مفاتيح "symmetric".

•  النقل (Transmission): تمر البيانات المشفرة عبر الشبكات المختلفة، محمية من أي محاولات تجسس.

• فك التشفير (Decryption): عند الوصول إلى المتلقي المقصود، يتم فك تشفير البيانات باستخدام نفس المفتاح "symmetric".

 
التشفير يعمل كحارس للمعلومات الحساسة، من خلال حمايتها من الوصول غير المصرح به، وكحارس بوابة، من خلال التحكم في من يمكنه الوصول وقراءتها، وبدءًا من الحماية الكاملة للقرص الصلب إلى الطبقات المتقدمة من تشفير الملفات والحجم والسجلات، وتقوي هذه الهرمية الأمنية البيانات ضد الهجمات الإلكترونية المستمرة، وبينما نتنقل عبر هذه المستويات من التشفير، نُمكّن أنفسنا من دخول العصر الرقمي بثقة، ونعلم أن بياناتنا الثمينة محمية خلف حاجز معقد من التشفير.

يتطلب التشفير الفعّال عدة عناصر وطرق، وفي التشفير غير المتماثل، القلب الأساسي لهذا النوع، هناك مفتاحان، المفتاح الخاص والمفتاح العام، ولكل منهما دور فريد، والمفتاح الخاص، كما يوحي اسمه، يبقى سريًا ومحمياً من قبل الجهة المالكة له، ودوره هو فك تشفير البيانات وإنشاء التوقيعات الرقمية للمساعدة في توفير عدم التنصل (non-repudiation) ، في المقابل، المفتاح العام يتم مشاركته بشكل مفتوح مع أي شخص يرغب في التواصل بأمان مع مالك المفتاح، ودوره هو تشفير البيانات والتحقق من التوقيعات الرقمية، ورغم أن التشفير غير المتماثل يتفوق في تبادل المفاتيح الآمن وإنشاء التوقيعات الرقمية، إلا أن عدم كفاءته يظهر عند محاولة تشفير كميات كبيرة من البيانات بسبب طبيعته التي تتطلب موارد حسابية كبيرة. من أمثلة الخوارزميات غير المتماثلة: "RSA، Diffie–Hellman"، و "RSA، Diffie–Hellman".

في المقابل، يعتبر التشفير المتماثل طريقة مجربة وفعالة تشبه نقل البضائع من نقطة A إلى B ،تمامًا كما يتم ملء الصناديق بالمنتجات للنقل، يستخدم التشفير المتماثل مفتاحًا واحدًا وخوارزمية تشفير الكتل لحماية كميات كبيرة من البيانات، مما يضمن الأمان والسرعة. يتم استخدامه لتشفير البيانات باستخدام خوارزمية تشفير الكتل، حيث تكون الحزمة أو الكتلة من البيانات بطول ثابت. إذا لم تتمكن البيانات من ملء الحزمة بالكامل، يتم إضافة حشو.

من أمثلة الخوارزميات المتماثلة: "RSA، Diffie–Hellman" ، و
Encryption Standard (3DES—168 bit)، والخوارزمية الأكثر شهرة AES (Advanced Encryption)، و Standard (AES 256 bit) ، يمكنه إرسال المزيد من البيانات في كل حزمة ، وتم أختيار "AES" كمعيار تشفير جديد من قبل المعهد الوطني للمعايير والتقنية الأمريكي "NIST" ، في عام 2001 يستخدم "AES" خوارزمية تشفير الكتل ولكنه يوفر أمانًا أقوى بكثير مقارنة بـ DES أو 3DES ، يدعم أطوال المفاتيح 128 ، 192 ، 256 بت ، وتصميمه وخصائصه التشفيريه تجعله آمنًا للغاية ومناسباً لمجموعة واسعة من التطبيقات.

كما أن هناك أفكارًا رئيسية أخرى في التشفير تحتاج إلى معرفتها للاختبار، ومثل طرق تبادل المفاتيح، طبيعة الخوارزميات، أهمية طول المفتاح واستمراريته، والتشفير المتجانس (homomorphic encryption)، وسنقوم هنا بفحص كل من هذه العناصر بالتفصيل.

• تبادل المفاتيح (Key Exchange): هو عملية تأمين تسليم المفاتيح "cryptographic" من المرسل إلى المستقبل.

• طول المفتاح (Key Length): يؤثر بشكل مباشر على مقاومة البيانات المشفرة ضد الهجمات.

• طول عمر المفتاح (Key Longevity): يشير إلى مدة بقاء المفاتيح "cryptographic" آمنة وفعالة.

• التشفير المتماثل المتماثل (Homomorphic Encryption): يسمح بمعالجة البيانات المشفرة دون الحاجة إلى فك تشفيرها.

بفضل هذه الطبقات من الأمان، يمكننا مواجهة التهديدات السيبرانية مع ضمان أن بياناتنا تظل محمية خلف حاجز معقد من التشفير.


الأدوات (Tools):
الأدوات في مجال أمان البيانات والتشفير تلعب دورًا حاسمًا في تعزيز حماية المعلومات الحساسة وضمان سلامة التفاعلات الرقمية. هذا القسم يوضح أربع أدوات هامة، لكل منها غرضها وأهميتها الخاصة، دعونا نلقي نظرة:

• TPM: هو مكون أمني يعتمد على الأجهزة ومتكامل في أجهزة الحواسيب، ويقوم بتوليد وتخزين وإدارة المفاتيح التشفيرية في بيئة آمنة، ويضمن "TPM" سلامة عمليات إقلاع النظام، ويقدم مصادقة تعتمد على الأجهزة، ويدعم مهام التشفير، ويتم استخدامه لتعزيز أمان النظام من خلال حماية المفاتيح التشفيرية وتمكين عمليات إقلاع الأجهزة بشكل آمن.

• HSM: هو جهاز مادي مصمم لإدارة المفاتيح التشفيرية وإجراء عمليات التشفير وفك التشفير، وتوفر "HSM" بيئة آمنة للغاية لتخزين المفاتيح والعمليات التشفيرية، مما يحمي البيانات الحساسة من التهديدات الخارجية والداخلية. تُستخدم "HSM" بشكل شائع في صناعات مثل المالية، الرعاية الصحية، والتجارة الإلكترونية لضمان أمان العمليات التشفيرية الحيوية.

• Key management system: هو حل برمجي يُستخدم لإنشاء وإدارة وتخزين المفاتيح التشفيرية، ويوفر تحكمًا مركزيًا في إدارة دورة حياة المفاتيح، بما في ذلك توليد المفاتيح وتوزيعها وتدويرها وإلغائها، وتلعب أنظمة إدارة المفاتيح دورًا حيويًا في الحفاظ على أمان وإمكانية الوصول إلى المفاتيح التشفيرية، التي تعد ضرورية للتشفير والمصادقة والتوقيعات الرقمية.

• Secure enclave: هو ميزة أمان تعتمد على الأجهزة وتوجد في المعالجات الحديثة مثل شريحة "Apple T2"، يوفر بيئة منفصلة ومعزولة للعمليات الآمنة، مثل تخزين البيانات الحساسة وتنفيذ العمليات التشفيرية. تُستخدم "Secure enclaves" لحماية بيانات المستخدم والمعلومات البيومترية والمفاتيح التشفيرية من الهجمات المحتملة المعتمدة على البرامج.

تُستخدم هذه الأدوات لمعالجة تحديات الأمان المحددة وضمان بقاء البيانات سرية وآمنة ومحمية من العبث. سواء كان ذلك لحماية المفاتيح التشفيرية، تأمين المعاملات، أو الحفاظ على سلامة الأجهزة والبرمجيات، تلعب هذه الأدوات دورًا أساسيًا في بناء أساس أمني قوي في عالمنا الرقمي المتصل اليوم.
 

إبهام البيانات (Obfuscation):

إبهام البيانات يتضمن جعل الكود أو البيانات أو المعلومات أكثر تعقيدًا وصعوبة في الفهم عمدًا ، تُستخدم هذه التقنية في تطوير البرمجيات لردع محاولات الهندسة العكسية (reverse-engineering) وحماية الملكية الفكرية، من خلال تعمية الطبيعة الحقيقية للكود، يضيف إبهام البيانات طبقة إضافية من الحماية، مما يجعل من الصعب على الجهات الخبيثة فك الشفرات واستغلال الثغرات. هناك بعض التقنيات المستخدمة لتحقيق ذلك:

• Steganography: تخيل رسائل سرية مخبأة داخل مظاريف تبدو بريئة. تعمل "Steganography" على هذا المبدأ، حيث تسمح بإخفاء المعلومات الحساسة داخل بيانات تبدو غير ضارة مثل الصور أو الملفات الصوتية. من خلال تعديل المحتوى الرقمي بشكل غير ملحوظ، تضمن "Steganography" أن العيون غير المصرح لها لن تكون على دراية بوجود الرسائل المخفية. تُستخدم هذه التقنية في التواصل السري والتوقيع الرقمي على الوثائق.

• Tokenization: تعمل "Tokenization" كقفل رقمي، حيث تقوم بتحويل البيانات الحساسة إلى رموز فريدة لا تحمل أي قيمة ذاتية. عندما يتم إجراء معاملة ما، يُستخدم الرمز بدلاً من البيانات الأصلية، مما يقلل من المخاطر المرتبطة بمعالجة المعلومات الحساسة. تعزز "Tokenization" الأمان من خلال تقليل تعرض البيانات الفعلية، مما يجعلها جزءًا أساسيًا من أنظمة الدفع الحديثة واستراتيجيات حماية البيانات.

• Data masking: يشبه "Data masking" ارتداء قناع لإخفاء الهوية، ويتضمن إخفاء البيانات الحساسة عن طريق استبدال القيم الأصلية بأخرى وهمية، وتعد هذه التقنية ضرورية لإنشاء بيئات اختبار آمنة ومشاركة البيانات للتحليل دون انتهاك الخصوصية، ويضمن Data masking بقاء المعلومات الحساسة مخفية مع الحفاظ على هيكل وسلامة مجموعة البيانات، وتخيل سيناريو تحتاج فيه منظمة رعاية صحية إلى مشاركة بيانات المرضى لأغراض البحث دون انتهاك لوائح الخصوصية، ويمكن استخدام "Data masking" لاستبدال أسماء المرضى الحقيقية والمُعرفات بقيم وهمية، مما يضمن إخفاء الهوية مع الحفاظ على هيكل مجموعة البيانات.

التجزئة (Hashing):

في مجال الأمن السيبراني، تُعتبر دوال التجزئة الأساس لحماية البيانات، فهي لا تُمكّننا فقط من الحفاظ على سلامة البيانات، بل تلعب أيضًا دورًا حيويًا في تعزيز أمان كلمات المرور، ومن المهم فهم تنسيق قيم التجزئة، وأهميتها في ضمان سلامة البيانات، ودورها الأساسي في تعزيز أمان كلمات المرور.

قيمة التجزئة هي تمثيل مختصر للبيانات المدخلة التي يتم إنشاؤها بواسطة دالة التجزئة. تظهر كأنها سلسلة عشوائية من الأحرف، بغض النظر عن حجم البيانات الأصلية، ورغم تعقيدها الظاهري، تلتزم قيم التجزئة بتنسيق محدد يتألف من خصائص رئيسية تحددها خوارزمية التجزئة، وهي دالة أحادية الاتجاه، لذلك لا يمكنك عكس التجزئة لمعرفة المعلومات التي تم إنشاؤها منها، وبغض النظر عن طول المدخلات، تنتج دالة التجزئة قيمة تجزئة ذات حجم ثابت، وهذا التوحيد يُبسط عملية التخزين والمقارنة، وفكرة أخرى مهمة هي الإنتاج الفريد، حيث تهدف دوال التجزئة إلى توليد قيم تجزئة فريدة للمدخلات المختلفة لتقليل احتمالية أن تنتج مدخلات مختلفة نفس قيمة التجزئة (تسمى هذا "التصادم")، ويتم تنفيذ التجزئة باستخدام خوارزميات التجزئة، واثنتين من الخوارزميات الأكثر شيوعًا هما (SHA (160 Bit و MD5 (128 Bit) .

السببان الرئيسيان لاستخدام التجزئة هما:

• سلامة البيانات (Data integrity): يمكن أن تساعدك التجزئة في ضمان عدم تغيير بياناتك بأي شكل من الأشكال، وإذا قمت بتجزئة ملف قبل تنزيله من الإنترنت وتجزئته بعد ذلك وظل الملف كما هو، فذلك يعني أن سلامة البيانات قد تم الحفاظ عليها. إذا لم يحدث ذلك، فهذا يعني أن الملف قد تم التلاعب به.

• أمان كلمات المرور (Password security): التجزئة هي دالة أحادية الاتجاه تحول كلمات المرور إلى رموز غير قابلة للكسر باستخدام قواعد معقدة. قد يحاول القراصنة كسر الشفرة، لكن التصميم المعقد للتجزئة يجعل من ذلك أمرًا صعبًا للغاية، مثل الضياع في متاهة دون القدرة على إيجاد المخرج. هذه التشفير الذكي يحافظ على أمان كلمات المرور، ويخلق عالماً حيث تبقى كلمة المرور الحقيقية مخفية، مغطاة بطبقة من التعقيد.

الـ Salting:

في سياق الأمن السيبراني، يشير مصطلح "Salting" إلى تقنية إضافة بيانات عشوائية (أو "ملح") إلى كلمات المرور قبل تجزئتها وتخزينها. تعمل هذه التقنية كدفاع قوي ضد هجمات متعددة، بما في ذلك هجمات "rainbow table" والهجمات العنيفة "brute-force attacks"، ومن خلال إدخال عنصر من عدم التوقع، تزيد "Salting" بشكل كبير من الجهد المطلوب للقراصنة لمحاولة كسر كلمات المرور المُجزأة، حيث تضيف طبقة إضافية من الأمان من خلال إدخال العشوائية في عملية التجزئة.
 

التوقيعات الرقمية (Digital Signatures):

في جوهرها، التوقيع الرقمي هو مكافئ إلكتروني للتوقيع اليدوي، حيث يرتبط بشكل فريد بالموقع والمحتوى الذي يتم توقيعه. يتجاوز الأمر مجرد صورة، حيث يتضمن تقنيات التشفير التي تضمن أصالة المستند وسلامته وعدم إنكار المشاركة فيه، بعبارات أبسط، يضمن التوقيع الرقمي أن المستند لم يتم العبث به وأن الموقع لا يمكنه إنكار تورطه.

تُصنع التوقيعات الرقمية من خلال مزيج متطور من التشفير. يستخدم الموقع مفتاحه الخاص لتوليد رمز فريد (أو "توقيع") يخص المستند، ويُضاف هذا الرمز إلى المستند، مما يُثبت أصالته ويمنع التعديلات، يمكن للمستلم استخدام المفتاح العام للموقع للتحقق من صحة التوقيع، مما يضمن سلامة وأصل المستند. توفر هذه العملية الآمنة ختم موافقة إلكتروني، مما يُحدث ثورة في عملية التحقق من المستندات في العصر الرقمي.

الـ Key Stretching:

Key stretching هي تقنية تشفير تهدف إلى تحويل كلمة المرور إلى مفتاح أطول وأكثر تعقيدًا. الهدف هو إبطاء عملية اشتقاق كلمة المرور الأصلية، مما يجعل من الصعب جدًا على المهاجمين اختراق النظام من خلال الهجمات العنيفة أو هجمات القاموس "dictionary attacks" ، وفي جوهرها، تقوم "Key stretching" بزيادة الوقت والجهد المطلوبين لمحاولات الاختراق. يمكن تنفيذ "Key stretching" من خلال تقنيات مختلفة، بما في ذلك:

• Password-Based Key Derivation Function 2 (PBKDF2): هذه الطريقة واسعة الاستخدام تقوم بتكرار دالة التجزئة عدة مرات، مما يبطئ عملية اشتقاق المفتاح بشكل فعال.

• Bcrypt: تم تصميم "Bcrypt" خصيصًا لمعالجة تجزئة كلمات المرور، حيث يدمج الملح "rounds" متعددة من التجزئة لزيادة الوقت المطلوب لكل تكرار.

 

البلوكتشين (Blockchain):

أصلاً كقاعدة لـ "Bitcoin" ، تجاوز البلوكتشين أصوله ليصبح سجلاً رقمياً يعتمد على مجموعات بيانات تسمى "blocks"، موزعة عبر عدد لا يحصى من الحواسيب، وهي استراتيجية تضمن الأمان من خلال اللامركزية. العبث به يكون عديم الفائدة، حيث يتطلب تغيير البيانات تغيير النسخ على كل جهاز حاسوب، وهو ما يعتبر استراتيجية أمان تعتمد على العدد الكبير.

بخلاف العملات المشفرة، يمكن للبلوكتشين تسجيل المعاملات المالية والطبية وعقود الملكية. يحتوي كل block على بيانات وتجزيئات، مكونة سلسلة داخل هذا السجل العام الموزع. لإضافة block جديد، يقوم جهاز حاسوب بحل لغز، معلناً جاهزيته للشبكة، وهي عملية تُعرف باسم "proof of work"  ،بمجرد القبول، ينضم block الجديد إلى السلسلة. المعلومات من البلوكتشين، وهو سجل عام موزع وموثوق، تضمن الدقة.

كمثال، تخيل أشقاء يرثون منزلاً. إذا تم حفظ سندات الملكية على البلوكتشين، يمكنهم تتبع تاريخه داخل السجل العام، أو البلوكتشين، لإثبات الملكية.

السجل العام المفتوح (Open Public Ledger):

السجل العام المفتوح هو عنصر أساسي في أنظمة البلوكتشين، وهو في الأساس سجل رقمي لجميع المعاملات التي حدثت داخل شبكة البلوكتشين، وما يميزه هو انفتاحه، حيث يمكن لكل مشارك في الشبكة الوصول إلى هذا السجل، مما يسمح لهم بمشاهدة والتحقق من المعاملات في الوقت الفعلي. الفوائد الرئيسية للسجل العام المفتوح تشمل:

• اللامركزية: على عكس قواعد البيانات المركزية التقليدية (حيث يتحكم كيان واحد في السجل)، فإن السجل العام المفتوح هو لامركزي. تُوزع نسخ متعددة من السجل عبر العقد "nodes" (أي الحواسيب) داخل شبكة البلوكتشين.

• الأمان: من الصعب للغاية العبث بالسجل، بسبب الطابع اللامركزي والتشفيري للنظام.

• تسجيل المعاملات: عندما تحدث معاملة، تُبث إلى الشبكة، حيث تُسجل. يتحقق المشاركون في الشبكة من صحة المعاملة، مما يضمن أنها تتوافق مع القواعد المحددة مسبقًا للبلوكتشين.

 

• آليات التوافق (Consensus mechanisms): للحفاظ على دقة وسلامة السجل، تُستخدم آليات التوافق مثل "proof of work" أو "proof of stake" ، تضمن هذه الآليات اتفاق المشاركين في الشبكة على شرعية المعاملات قبل إضافتها إلى السجل.

• الثبات والتسلسل الزمني: بمجرد التحقق من المعاملة وإضافتها إلى السجل، تصبح جزءًا دائمًا من السلسلة. يحتوي كل "block" في السلسلة على مرجع للـ block السابق، مما يخلق تسلسلاً زمنياً يكاد يكون من المستحيل العبث به.

• الشفافية: الطبيعة المفتوحة للسجل تعني أن أي شخص يمكنه التحقق من المعاملات بشكل مستقل. تعزز هذه الشفافية الثقة والمساءلة داخل الشبكة.

 

الشهادات الرقمية (Certificates):

في عالمنا الرقمي المتصل اليوم، لم يكن تأمين المعلومات الحساسة أكثر أهمية من أي وقت مضى. وسط تعقيدات المعاملات عبر الإنترنت وتبادل البيانات، تظهر الشهادات الرقمية كمنارة للثقة والأمان.
 

• سلطات الشهادات (Certificate Authorities - CAs): في العصر الرقمي اليوم، الثقة هي الأساس للتفاعلات الآمنة عبر الإنترنت، وتلعب سلطات الشهادات دورًا محوريًا كحراس للأصالة. تتحقق من الهويات الرقمية باستخدام مفاتيح التشفير، مما يضمن أن المواقع التي نزورها والبيانات التي نشاركها حقيقية. في قلب هذه العملية يكمن المفتاح الجذري  "root key"، الذي يُستخدم لتوقيع الشهادات، ولا تتحقق هذه العملية من الشهادات فقط، بل تربطها أيضًا بالمفتاح الجذري، مما يخلق سلسلة

 ثقة غير قابلة للكسر، ومع تقدم التكنولوجيا وتوسع العوالم الرقمية، يصبح فهم أهمية سلطات الشهادات أمرًا ضروريًا، فهي تقف كحماة للثقة الرقمية، مما يضمن أن تكون تجاربنا عبر الإنترنت آمنة وحقيقية.

تأتي سلطات الشهادات بنوعين: عبر الإنترنت وغير متصلة، وتتحقق سلطات الشهادات عبر الإنترنت من المفاتيح بسرعة في الوقت الفعلي، لتواكب وتيرة العالم الرقمي، وأما سلطات الشهادات غير المتصلة، فتُعطي الأولوية للأمان من خلال العمل في بيئات معزولة، بعيداً عن التهديدات عبر الإنترنت. يوازن هذا الخيار بين الراحة والأمان، ويمكن أن تكون سلطات الشهادات عامة أو خاصة، تتعهد سلطات الشهادات العامة بالمصادقة على مواقع الويب المتاحة عبر الإنترنت، بينما تؤمن سلطات الشهادات الخاصة الشبكات الداخلية والاتصالات، ويجب على الشركات اختيار سلطة الشهادات المناسبة وفقًا لاحتياجاتها:

• Root of trust: المفتاح الجذري هو نقطة البداية للثقة في بنية المفتاح العام **PKI**. يُستخدم لإنشاء الشهادة الجذرية **root certificate**، وهي شهادة موقعة ذاتيًا تعمل كمثبت لسلسلة الشهادات بأكملها. عندما يواجه جهاز المستخدم شهادة رقمية، يمكنه التحقق من صحتها عن طريق التحقق من سلسلة الشهادات **certificate chain**. إذا كان يمكن تتبع الشهادة إلى شهادة جذرية موثوقة، يمكن اعتبار الاتصال آمناً وحقيقياً.

• صلاحية الشهادة (Certificate validity): تعمل الشهادات الرقمية كحراس للثقة عبر الإنترنت، مما يسمح بالاتصال الآمن والمعاملات عبر الإنترنت من خلال التحقق من هويات الكيانات على الإنترنت. هذه الشهادات، مع ذلك، ليست محصنة ضد مرور الوقت أو التغيرات في حالة الأمان. تُحافظ صلاحية الشهادات، وهي جانب حيوي من الحفاظ على بيئة رقمية آمنة، من خلال آليات مثل قوائم إبطال الشهادات **CRLs** وبروتوكول حالة الشهادة عبر الإنترنت **OCSP**.

• CRLs: تحتوي هذه القوائم على الأرقام التسلسلية للشهادات التي تم إبطالها أو تعرضت للاختراق أو انتهت صلاحيتها. تقوم CAs بإدارة هذه القوائم ونشرها بانتظام. عندما يواجه المستخدم شهادة رقمية، يمكنه مقارنة رقمها التسلسلي مع CRL لتحديد ما إذا كانت قد أُبطلت. إذا كان الرقم التسلسلي للشهادة موجودًا في القائمة، فإنها تُعتبر غير صالحة. يمكن أن تكون CRL كبيرة الحجم ويتم تنزيلها من CA.

• OCSP: يعالج OCSP بعض أوجه القصور في CRLs، وأحدها هو السرعة. OCSP أسرع بشكل كبير. بينما قد يستغرق تنزيل قائمة CRLs الكبيرة وقتًا طويلاً، يتيح OCSP التحقق الفوري من صحة الشهادة من خلال السماح للأنظمة بإرسال استفسار مباشر إلى خادم CA. عندما يحتاج المستخدم إلى التحقق من صلاحية الشهادة الرقمية، يتم إرسال طلب إلى OCSP responder التابع لـ CA، ويتم تلقي استجابة توضح ما إذا كانت الشهادة لا تزال صالحة أو أُبطلت أو انتهت صلاحيتها.

• الشهادات الموقعة ذاتيًا (Self-signed certificates): الشهادة الموقعة ذاتيًا هي شهادة رقمية يتم إنشاؤها وتوقيعها من قبل نفس الجهة التي أُصدرت لها. على عكس الشهادات الصادرة عن CAs الموثوقة من أطراف ثالثة، فإن الشهادات الموقعة ذاتيًا لا يتم التحقق منها من قبل جهة خارجية. هذا يعني أن الجهة التي تُصدر الشهادة تصادق على هويتها دون أي تحقق خارجي. يمكن وضع الشهادات الموقعة ذاتيًا على عدة خوادم داخلية.

• شهادات الطرف الثالث (Third-party certificates): شهادات الطرف الثالث تشبه بطاقات الهوية على الإنترنت. يتم إصدارها من قبل CAs الذين يتحققون من أن الموقع أو الخدمة حقيقية. على عكس بطاقات الهوية المصنوعة محليًا، فإن هذه الشهادات معترف بها عالميًا، مثل الشهادات الموقعة ذاتيًا، مما يجعلها موثوقة. إذا كنت تتاجر عبر الإنترنت، فستحتاج إلى شهادات طرف ثالث موثوقة على موقعك. بعض الأمثلة على الأطراف الثالثة التي تبيع الشهادات تشمل DigiCert، GlobalSign، GeoTrust، وThawte.

• إنشاء طلب توقيع الشهادة (Certificate Signing Request - CSR): عندما يسعى فرد أو منظمة للحصول على شهادة رقمية من CA موثوقة، يقومون بإنشاء CSR. يحتوي هذا الملف على تفاصيل أساسية مثل اسم الجهة والنطاق والمفتاح العام. تمامًا مثلما يصمم المهندس المعماري مخططًا قبل بناء مبنى، يوضح CSR العناصر الأساسية اللازمة للتحقق من هوية الطالب وإنشاء شهادة رقمية موثوقة. يجب أن يوضح الغرض من الشهادة، حيث توجد أنواع مختلفة من الشهادات.

• Wildcard: بالنسبة لشهادة wildcard لدومين يسمى securityplus.training، فإن الشهادة ستكون على شكل *.securityplus.training ويمكن استخدامها على عدة خوادم ويب عامة. يمكن تثبيت شهادة wildcard واحدة على عدة خوادم داخل نفس الدومين، مما يقلل من تكاليف شراء شهادات متعددة. على سبيل المثال، في دومين securityplus.training، يوجد خادمان يُدعيان web وmail. الشهادة wildcard هي *.securityplus.training، وعند تثبيتها ستعمل مع Fully Qualified Domain Names (FQDNs)، وهو مزيج من أسماء الهوست والدومين، مثل web.securityplus.training وmail.securityplus.training. يمكن استخدامها لاحقًا مع المزيد من الخوادم.

 

الملخص  (Summary):

في هذا الفصل، نظرنا في كيفية أن أهمية حماية البيانات الحساسة في البيئة الرقمية المتصلة اليوم تعتبر أمرًا بالغ الأهمية. تمثل الشهادات رموزًا للثقة والأمان في هذا السياق المعقد، حيث تهيمن المعاملات عبر الإنترنت وتبادل البيانات، ومع تقدمنا في رحلتنا عبر الطرق السريعة الرقمية، يصبح فهم الشهادات أمرًا أساسيًا لحماية الهويات عبر الإنترنت وفهم الآليات التي تدعم التفاعلات الرقمية الآمنة.

ناقشنا كيف أن إعداد "PKI" خاص بك يعتبر خطوة استراتيجية لتعزيز الأمن والثقة في الاتصالات الرقمية، واستكشفت هذه الرحلة مواضيع متعددة، بدءًا من الدور الأساسي لـ "CAs" إلى "CAs" و "OSCP"، وغيرها.

ناقشنا أيضًا كيف تلعب "CAs" دورًا محوريًا في التحقق من الهويات الرقمية، باستخدام مفاتيح التشفير لضمان صحة المواقع والبيانات، الجذر الأساسي، الذي يعتبر أساس سلسلة الثقة، يرتكز عليه كامل هيكلية الشهادات. وتضمن صلاحية الشهادات (التي تدعمها آليات مثل CRLs و OCSP) التواصل الآمن. تسرد "CRLs" الشهادات التي تم إبطالها أو اختراقها، بينما يوفر "OCSP" التحقق الفوري.

كما ألقينا نظرة على كيفية أن الشهادات الموقعة ذاتيًا وشهادات الطرف الثالث لها أهمية خاصة، حيث يتم الاعتراف بالأخيرة عالميًا وتعتبر موثوقة. إن عملية إنشاء طلب توقيع الشهادة (CSR) للحصول على شهادة رقمية تتضمن تفاصيل رئيسية مثل أسماء الكيانات، وتعمل شهادات "wildcard" للدومين مثل "*.domain.com " على تقليل التكاليف من خلال العمل عبر عدة خوادم داخل نفس الدومين.

النهاية:

تقدم هذه الرحلة عبر الشهادات رؤى حول النسيج المعقد للأمان الرقمي، حيث تعتبر الثقة والمصداقية أمرين بالغين الأهمية ، الفصل القادم سيكون الفصل الخامس، وسيتناول مقارنة ومناقشة الجهات الفاعلة الشائعة في التهديدات ودوافعها ، وفي النهاية أستطيع أن أقول أنك تستطيع الانضمام إلينا عبر الرابط التالي ، لكي تشاركنا رأيك وأفكارك.