التشفير: أقرب مما نتصوّر

الأربعاء 06 نيسان 2016

جاءت هجمات باريس كفرصة ذهبية لم يوفرها السياسيّون من الخلفيات الاستخباراتية لمهاجمة «التشفير» وإلصاق تهمة زعزعة الأمن الوطني به. فدعا مدير السي آي إيه ومدير شرطة نيويورك للتقليل من صلابة التشفير وتقنيات الخصوصية لتحقيق هدف مكافحة الإرهاب. لكن ما لم تذكره هذه الأصوات، هو أن أكبر أخطار الإنترنت الآن هي الجريمة الإلكترونية التي يحصل معظمها بسبب ثغرات أمنيّة في البنية التحتية أو الأنظمة أو ممارسات المستخدمين.

إن صحت التوقعات التي تتحدث عن أن 75 مليار جهاز سيتصل بالانترنت بحلول 2020، ستكون كل ثغرة أمنية تدعو لها السلطات تحت ذريعة محاربة الإرهاب سببًا في إضعاف الشبكة بأكملها وتعريض عدد أكبر من المستخدمين لجرائم انتحال الشخصيّة والاختراق.

لم ينشأ التشفير مع نشوء داعش، بل كان وليد جهود وزارة الدفاع الأمريكية في تأمين شبكات اتصالاتها من الاختراق منذ الحرب العالمية الثانية، إلى أن أصبح عصب البنية التحتية لتأمين معظم معاملات العالم العصريّ. ويكفي لنعلم مقدار توغّله في حياتنا أن نتذكر أنه في كل مرة نقوم بها بمكالة هاتفية أو تصفح أو استخدام البطاقة الشرائية على الإنترنت فإننا نستخدم نوعًا ما من التشفير لنكمل معاملتنا بأمان نسبيّ.

قد نحتاج إلى توظيف أدوات إضافية لتحكيم أمان بريدنا الإلكتروني والملفات على حواسيبنا، حتى نجعل من محاولة اختراقها عملية أكثر تكلفة وجهدًا، وتتطلب استخدام برمجيات معقدة. لكن في هذا المقال، نستعرض كيف يتجلّى التشفير في معاملاتنا اليومية، لا كخدمة إضافيّة نشترك بها أو نطلبها، بل كأساس أمان الشبكة للتصدي لأدوات اختراق بدائية متوافرة للجميع.

كلما تصفحت موقعًا يبدأ عنوانه بـhttps

طريق بياناتنا إلى أي موقع الكتروني يمر بأكثر من نقطة حتى يصل إلى خادم الموقع. إن لم تكن بياناتنا إلى خادم الموقع مشفرة، يستطيع أي فضولي بأدوات بسيطة متصلة بهذه النقط اعتراض مسارنا وتفحص ما نقوم به على الإنترنت. وعلينا أن نقلق إن كان الموقع الذي يطلب منّا أي نوع من المعلومات الشخصية لا يتبنى بروتوكول https، يظهر في بداية الرابط. حرف s في https هو مفتاح التشفير، إذ تحوّل البيانات المنقولة بيننا وبين الموقع الذي طلبه متصفحنا من مقروءة إلى مشفّرة لا تستطيع أي جهة، مثل مزود الخدمة أو محاول الاختراق، قراءتها.

يعتمد بروتوكول https على بروتوكول طبقة المنافذ الآمنة (SSL/TLS) الذي تنشئ قناة آمنة تقوم بتعمية شكل البيانات القادمة من جهاز الكمبيوتر لخادم الموقع بناء على مفتاح معين. وهناك درجات لصلابة هذه التعمية، فكلما زاد الرقم في نوع التشفير مثلًا (RSA 2048 bit مقابل RSA 1024 bit) يكون التشفير أكثر إحكامًا بسبب زيادة تعقيد مفاتيح التشفير لخليط الحروف في البيانات المشفرة.

عام 2014، تلقت شركة ياهو انتقادات كبيرة، أولًا لأنها انتظرت حتى ذلك العام لتتبنى بروتوكول https بشكل تلقائي، وثانيًا لأنها حتى عندما فعلت ذلك لجأت لطريقة تشفير أقل إحكامًا (مفتاحًا واحدًا لتشفير كل البيانات التي تصل الشركة من أي مستخدم). النوع الأقوى من طرق تشفير https هو الذي يتغير بتغير الجلسة بين المستخدم وبين الموقع كالتشفير الذي تتبناه غوغل وفيسبوك وتويتر (Elliptical Curve Diffie-Hellman Exchange). لشرحٍ تقني أوسع عن الفرق بين الـhttps والـhttp، يمكن القراءة هنا.

كلما أنشأت أو بدلت كلمة سر

هل يجب أن يحصل حارس عمارتك على نسخة من مفتاح شقته التي تسكنها؟ إن كان الجواب لا، فلا يجب أن يعرف الموظف المسؤول عن قواعد البيانات في شركة بريدك الإلكتروني أو بنكك كلمة السر الخاصة بحسابك. معظم المواقع التي تطلب منك فتح حساب، تستخدم نوع تشفير يحوّل مجموعة الحروف التي تدخلها في خانة «كلمة السر» إلى خليط حروف وأرقام مبنيّة على مفتاح تشفير معين. لكن كيف تُخترق بعض المواقع إذًا وتسرب معلومات الحسابات وكلماتها السرية؟

لفك شيفرة كلمات السر، نحتاج إما إلى مفتاح التشفير أو إلى تجريب عدد هائل من احتماليات كلمات السر. يعتمد هذا على طريقة التشفير التي يستخدمها الموقع. فقد يترك الموقع مفتاح تشفير كلمات السر على خادمه، فلا يحتاج المخترق إلا ذلك المفتاح لتحويل جميع كلمات السر المخزنة لأصلها. أما إن كانت عملية التشفير أكثر تعقيدًا (hash and salted passwords) بإضافة أحرف ورموز عشوائية إلى كل كلمة سر قبل تشفيرها، يستخدم المخترق عندها برامج تولّد الملايين من احتماليات كلمات السر إلى أن تصل إلى مجموعة الأرقام والأحرف المتوافقة مع كلمة السر المستعملة. مع أن العملية ممكنة، إلّا أن إتمامها يحتاج الكثير من الوقت والجهد والمال، وتسمى طريقة الاختراق هذه Brute Force. وكلما كانت كلمة السر أكثر تعقيدًا، زادت صعوبتها على برامج الاختراق. لشرح تقني أوفى عن طرق تشفير المواقع لكلمات السر، أقرأ/ي هنا.

كلما أرسلت رسالة على تطبيق للتراسل

عند إرسالك صورًا لسلطة الأفوكادو التي تناولتها، تتعرض الصورة لعمليات تشفير وتخزين مختلفة، بحسب نوع تطبيق المحادثة. إذ يتفاوت إحكام التشفير الذي توظفه هذه التطبيقات، أقواها التي تحوّل الرسالة إلى مجموعة من البيانات غير المفهومة لأي مخترق، والتي لن يفهمها إلا جهازك والجهاز على الطرف الآخر دون أن يخزن أي منها على خادم الشركة، ولن تستطيع حتى الشركة اختراق هذه الرسائل، ويسمى هذا النوع من التعمية End-to-End. إلى الآن، أشهر التطبيقات التي تبنّت تعمية الEnd-to-End هو تطبيق Signal، ولحق به تطبيق واتساب فقط في شهر نيسان من هذا العام. كما أن خاصية «Secret Chat» على تليغرام تستخدم End-to-End. أما رسائل تليغرام العادية فتستخدم تشفيرًا أقل إحكامًا، وتخزن الرسالة ومفتاح التشفير على خادمها قبل أن تصل للمستقبل. تلاقي تطبيقات مثل واتساب وتليغرام انتقادات أخرى كون كود التطبيقات هذه غير مفتوح للتمحيص من قبل التقنيين. لمعلومات أكثر عن أمان تطبيقات المراسلة، اقرأ/ي هنا.