التشفير
- 10 دقائق
التشفير هو وسيلة حسابية يتم من خلالها بحجب جميع المعلومات باستثناء المصرح لهم برؤيتها واستخدامها. قد يتم تشفير ملف البيانات، ويمكن أيضًا تشفير الجلسة التي يتم من خلالها التعامل مع تلك البيانات عبر الشبكة. تستخدم معظم مواقع الويب والخدمات حالياً بروتوكول أمان طبقة النقل (TLS) كوسيلة لتشفير نسبة استخدام الشبكة وتأمينها. أنت تعلم أن أحد المواقع يستخدم TLS عندما يتضمن سطر عنوان متصفحك معرّف البروتوكول https:// (بدلاً من http://)، ويتم تمثيل شهادة الخدمة التي تحمي الجلسة بنوع من رمز "التحقق" مثل علامة الاختيار الخضراء.
يلعب التشفير دورًا كبيرًا في أمان الإنترنت والتطبيقات المستضافة على منصات السحابة العامة. يمكن تشفير البيانات في الثبات (على سبيل المثال، في قاعدة بيانات AZURE SQL أو تخزين AWS S3) لجعلها عديمة الفائدة إذا سرقت، ويمكن تشفيرها في الحركة باستخدام TLS لحمايتها أثناء تنقلها عبر السلك بين الخدمات السحابية أو بين المستخدمين والخدمات السحابية. ويكمن التحدي الأكبر في توافر المفتاح. إذا تم تشفير البيانات، كيف وأين يمكنك تخزين مفتاح فك التشفير بحيث يمكن للتطبيق ولا يمكن للمهاجم استرداده؟ وعلاوة على ذلك، إذا كنت تستخدم TLS لتشفير نسبة استخدام الشبكة بين المتصفح وخادم الويب (أو، على سبيل المثال، بين خادم ويب وقاعدة بيانات أو تطبيق وموفر هوية مسؤول عن مصادقة المستخدمين)، فكيف يمكنك إتاحة المفاتيح دون الكشف عنها للمهاجمين المحتملين؟
للإجابة على هذه الأسئلة، لنراجع أساسيات التشفير الرقمي ونستكشف بعض الآليات المستخدمة لإتاحة المفاتيح لمن يصرح لهم بالحصول عليها دون تعريضها لغير المصرح لهم بالوصول إليها.
تشفير متماثل
في التشفير، المفتاح هو سلسلة من الأرقام المستخدمة لتغيير محتويات الرسالة - أي لتشفيرها أو فك تشفيرها. يعد التشفير المتماثل، الذي يُستخدم فيه مفتاح واحد لتشفير البيانات وفك تشفيرها، من بين أقدم أشكال التشفير. يتم استخدامه بشكل شائع لتشفير البيانات الثابتة في قواعد البيانات وخدمات التخزين السحابية.
وبمرور السنوات، تم تطوير العديد من الخوارزميات للتشفير المتماثل واعتمادها كمعايير، ويرجع ذلك جزئياً إلى أنه لم يجد أحد (حتى الآن) طريقة لكسرها. واحد من هؤلاء هو معيار التشفير المتقدم، أو AES. تم اعتماده من قبل المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) في عام 2001، واستبدل معيار تشفير البيانات (DES)، والذي يعتبر غير فعال في مواجهة أجهزة الكمبيوتر الحديثة. يتم استخدام AES-256، الذي يستخدم مفاتيح 256 بت، على نطاق واسع بواسطة الأنظمة الأساسية السحابية مثل AWS وAzure لتشفير البيانات التي يقومون بتخزينها.
إن هجوم القوة الغاشمة على البيانات المشفرة باستخدام AES-256 قد يستغرق مليارات من أجهزة الكمبيوتر العملاقة مليارات السنين للتصدع ، ويُعد ذلك تبسيطًا للأمور. ويكفي القول أنه مع أجهزة الكمبيوتر الحالية، من غير المجدي من الناحية الحسابية فك تشفير البيانات المشفرة AES-256 بدون المفتاح. وبالتالي، فإن التحدي الأساسي في التشفير المتماثل ليس تشفير البيانات وفك تشفيرها، إنه يخزن المفتاح بطريقة تجعله متاحًا لجميع الأطراف التي تحتاجه، ولكن للمفوضين بالحصول عليه فقط.
تخزين المفاتيح وصيانتها
يعد تشفير البيانات (وفك تشفيرها) أمرًا سهلاً، ولكن تأمين المفاتيح المستخدمة لتشفيرها وفك تشفيرها ليس كذلك. في أي نظام اتصالات يتم فيه تخزين الأسرار، تصبح الأسرار نفسها الهدف الأكثر احتمالًا للجهات الخبيثة.
يوصي مهندسو الأمان بأن تستخدم المؤسسات خدمات إدارة المفاتيح التي أثبتت جدواها لضمان عدم إمكانية استغلال تخزين المفاتيح. يعد Azure Key Vault أحد الأمثلة على هذه الخدمة. يساعد مدير المفاتيح المؤسسة في الحفاظ على الامتثال للمعايير والأطر مثل PCI DSS (يتم مناقشتها لاحقًا في هذه الوحدة)، والتي تنص على تغيير مفاتيح التشفير / فك التشفير وغيرها من أسرار التشفير أو "تدويرها" بشكل دوري. كما أنه يقلل من فرصة نجاح المهاجم في استرداد مفتاح فك التشفير أو سلسلة اتصال قاعدة البيانات أو أي "سر" آخر.
Azure Key Vault هي خدمة SaaS تسمح للمستخدمين والتطبيقات بتخزين المفاتيح وكلمات المرور وسلاسل الاتصال والشهادات والأسرار الأخرى بطريقة آمنة للغاية. ويستخدم معرف Microsoft Entra لمصادقة المستخدمين، ويتكامل مع خدمات Azure الأخرى مثل Azure SQL Database وAzure Storage. ويمكن الوصول إليه أيضًا بواسطة API بحيث يمكن للتطبيقات استرداد الأسرار المخزنة هناك. للحصول على أقصى قدر من الحماية، يمكن تخزين الأسرار اختيارياً في وحدات أمان الأجهزة (HSM) المعتمدة من معايير معالجة المعلومات الفيدرالية (FIPS) 140-2 المستوى 2. يمكن مشاركة وحدات أمان الأجهزة (HSM) أو تخصيصها. ومن الأهمية بمكان معرفة أن الأسرار المخزنة في Azure Key Vault غير مرئية لشركة Microsoft.
بمجرد تخزين المفاتيح والأسرار الأخرى في Key Vault، يمكن إعداد النظام لتدوير قيمها تلقائياً، دون تدخل بشري. مما يجعل المؤسسة تمتثل لشروط PCI DSS. في حالة وقوع حادث أمني، أو أثناء تدقيق أمني منتظم، يعمل Key Vault كموقع مركزي لإنتاج سجلات IAM ذات الصلة بالمؤسسة بأكملها.
تقدم AWS خدمة مماثلة في شكل AWS Key Management Service (KMS). يدعم KMS أيضًا وحدات HSM المصادق عليها وفقًا لمعيار FIPS 140-2 المستوى 2 ، ويتكامل مع AWS CloudTrail لإنتاج سجل وصول قابل للتدقيق. توفر حقيقة دمج KMS وAzure Key Vault في الأنظمة الأساسية السحابية الخاصة بهما أمانًا إضافياً للتطبيقات المستضافة في هذه الأنظمة الأساسية. السر الذي لا يترك مركز البيانات أبدًا لأن التطبيقات التي تستخدمه وتُعد key vaults التي تُخزن في نفس الموقع هي أسرار أكثر أمانًا بالفعل.
التشفير غير المتماثل (تشفير المفتاح العمومي)
يعد التشفير المتماثل أمرًا رائعًا لتشفير البيانات في حالة الثبات، ولكنه تطرأ مشكلة عندما يرغب طرفان في تبادل الرسائل المشفرة. إذا قام بوب بتشفير رسالة وأرسلها إلى أليس، فكيف يتم فك تشفيرها؟ إذا أرسل بوب إلى أليس مفتاح فك التشفير، فقد يتم اختراق المفتاح (تتم سرقته)، وفي هذه الحالة لا يكون الأمان الذي يعتمد عليه بوب وأليس أمانًا على الإطلاق. التاريخ مليء بالأشخاص الذين فقدوا حياتهم لأن الاتصالات التي اعتقدوا أنها خاصة تبين أنها لم تكن خاصة على الإطلاق. ومن الأمثلة على ذلك ماري كوين أوف سكوتس، التي تم إعدامها لأنها استخدمت شفرة ضعيفة للتعتيم على الرسائل المرسلة إلى المتآمرين المشاركين أثناء التخطيط لاغتيال الملكة إليزابيث 1.
إن التحدي المتمثل في تبادل الرسائل المشفرة دون الكشف عن مفاتيح فك التشفير ليس تحديا أكاديمياً. يحدث ذلك في كل مرة تتصل فيها بعنوان URL https:// في متصفحك، وكلما وصل أحد التطبيقات إلى موفِّر هوية تابع لجهة خارجية، وفي أوقات أخرى. الحل هو التشفير غير المتماثل. في النظام غير المتماثل، يتم استخدام مفتاح واحد لتشفير رسالة، ويتم استخدام مفتاح آخر لفك تشفيرها. وبهذه الطريقة، يمكن تشفير رسالة موجهة إلى مستلم معين باستخدام مفتاح - المفتاح العام - الذي يتم توزيعه علنًا بواسطة المستلم. ويمكن استخدام المفتاح الثاني فقط لفك تشفير رسالة مشفرة بالمفتاح العام. يحتفظ المستلم بخصوصية هذا المفتاح ويصبح المفتاح الخاص. أحياناً يشار إلى المفاتيح غير المتماثلة كونها المفاتيح العامة الخاصة لهذا السبب.
الشهادات
إذا أراد بوب تلقي رسائل مشفرة من أليس، فيمكنه إرسال مفتاحه العام عبر البريد الإلكتروني أو كتابته على قطعة من الورق وتركه على مكتبها. ولكن إذا كان المتصفح يريد مفتاحًا عامًا من خادم ويب ويريد أيضًا التحقق من اتصاله بالخادم ويتأكد أنه متصل به، فكيف يفعل ذلك؟ هذا هو المكان الذي يأتي فيه دور الشهادات.
الغرض من الشهادة هو تقديم مفتاح عام إلى أي كيان من شأنه إثبات صحة حاملها. ويكون المرجع المصدق (CA) هو منتج هذه الشهادة، وهو موثوق به مع مهمة التحقق المادي من هوية كل شخص أو كيان شركة يسعى للحصول على الشهادة. وبالتالي، تُوقع كل شهادة من قبل المرجع المصدق باستخدام التعليمات البرمجية التي قد يتم الطعن فيها والتحقق منها.
المعيار الدولي لتنسيق شهادة الهوية الرقمية هو X.509، الذي تم تأسيسه في عام 1998. كما يوضح الشكل 3، يوجد ثلاثة إصدارات من X.509، وأصبحت ضرورية مع الإصدارات الأحدث التي تضيف حقولًا إضافية في المعاملات التي تشمل مقدمي خدمات الحوسبة السحابية، لا سيما عندما يشارك العديد من موفري الخدمة في إحدى الخدمات وتطلب هذه الأطراف معلومات إضافية حول المُصدر ومُوقع الشهادة.
![الشكل 3: أجزاء من شهادة X.509. [Courtesy Microsoft]](../../cmu-cloud-admin/cmu-cloud-security/media/fig8-3.png)
الشكل 3: أجزاء من شهادة X.509. [بإذن من مايكروسوفت]
عندما يتصل متصفح بخادم ويب باستخدام عنوان URL https://، فإنه يبدأ تأكيد اتصال TLS حيث يعرض خادم الويب شهادة للتحقق من أصالته واحتوائه على مفتاح عمومي. ولكنه لا يستخدم المفتاح العام لتشفير الطلبات التي يرسلها إلى الخادم. (يمكن ذلك، ولكن بينما سيتم تشفير الطلبات بحيث يمكن فقط لخادم الويب فك تشفيرها لأن الخادم فقط لديه المفتاح الخاص، فإن الاستجابات من الخادم ستكون غير آمنة لأنه يمكن فك تشفيرها من قبل أي شخص لديه المفتاح العام.) بدلا من ذلك، يستخدم المستعرض المفتاح العام لتشفير مفتاح جلسة متماثل يرسله إلى الخادم. بعد ذلك، يتم استخدام مفتاح الجلسة لتشفير (وفك تشفير) جميع الاتصالات بين المتصفح وخادم الويب. لذلك، يستخدم TLS مزيجًا من التشفير المتماثل وغير المتماثل: التشفير غير المتماثل لتشفير المفاتيح المتماثلة، والتشفير المتماثل لتشفير الطلبات والاستجابات.
لا يتم استخدام الشهادات فقط من قبل خوادم الويب. يتم استخدامها بواسطة موفري الهوية لتشفير عمليات تبادل بيانات الاعتماد ومن خلال خوادم قاعدة البيانات لتشفير اتصالات قاعدة البيانات والقيام بما هو أكثر من ذلك. وباختصار، يتم استخدامها في جميع أنحاء شبكة الإنترنت وداخل مراكز البيانات لتأمين البيانات أثناء الحركة. يُعد إدارة الشهادات جزءًا مهمًا من مسؤوليات مسؤول السحابة - الحصول عليها من مرجع مصدق موثوق به، وتثبيتها على خوادم الويب وخوادم قواعد البيانات وخوادم الهوية والأماكن الأخرى التي تكون مطلوبة فيها، وتجديدها قبل انتهاء صلاحيتها.
التشفير المتجانس
نظرًا لتطور التشفير كعملية وصناعة، فإن إحدى التقنيات الواعدة التي قد تلعب قريبًا دورًا مهمًا في أمان البيانات هي التشفير المتجانس (HE). إنها وسيلة للحصول على معلومات من كيان مشفر بينما تظل مشفرة تقنياً.
سيحل التشفير المتجانس (HE) محل إدارة المفاتيح غير المتماثلة، بالإضافة إلى، الحاجة إلى نظام إدارة مفتاح خاص أو مخزن. يمرر المستخدم الذي يسعى للمصادقة شهادة تحتوي على توقيع صالح لا يمتلك المستخدم حتى الوصول إليه. سيكون هذا التوقيع نتيجة دالة مشتقة مثل دالة التجزئة. للتحقق من صحة المستخدم، سيحصل موفر الهوية على مفتاح تحقق مشفر من المرجع المصدق ويستخدم هذا المفتاح لاستخراج التوقيع دون فك تشفير الشهادة بالفعل. ومازال البحث في هذه المنهجية مستمرًا، ويقتصر حالياً في الغالب على المؤسسات الأكاديمية والبحثية.
المراجع
- سيمون سينغ. الغرفة السوداء. https://simonsingh.net/The_Black_Chamber/maryqueenofscots.html.
اختبر معلوماتك
الملاحظات
هل كانت هذه الصفحة مفيدة؟
لا
هل تحتاج إلى مساعدة مع هذا الموضوع؟
هل تريد محاولة استخدام Ask Learn لتوضيح هذا الموضوع أو إرشادك خلاله؟