آیا کلید طلایی واقعا حلال مشکلات رمزنگاری است؟

18 آذر 1394 آیا کلید طلایی واقعا حلال مشکلات رمزنگاری است؟

 روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران):در پی حملات تروریستی اخیر، بار دیگر هجمه علیه ابزار رمزنگاری شده در تماس‌ها و ارتباطات الکترونیکی بالا گرفت. این درحالیست که راهکارهای پیشنهادی برای رفع آسیب‌پذیری این ابزار ممکن است مشکلات بیشتری را به وجود بیاورد.

از روسیه و آمریکا گرفته تا چین و انگلیس، کشورهای قدرتمند دنیا همگی این شعار را سرر داده‌اند که ارتباطات الکترونیکی اعضای جامعه چنان رمزنگاری شده که دولت‌ها در مواقع لزوم نمی‌توانند به آن دسترسی پیدا کنند. در واقع این دولت‌ها ادعا می‌کنند که به همین دلیل قادر نیستند جلوی تروریست‌ها و دیگر افراد خرابکار و سواستفاده‌گر را بگیرند و همگی در پی آن هستند که «کاری در این باره انجام شود.»

یک اصل مشترک در راهکار تمام دولت‌ها این است که سیستم‌های رمزنگاری کنونی باید حفره‌ها و آسیب‌پذیری‌های مشخصی داشته باشد تا آژانس‌های ملی هر زمان که اراده کردند در شبکه‌های ارتباطی نفوذ کنند.

به تازگی مقاله‌ای در نشریه واشنگتن پست به چاپ رسید که برای رویکرد دولت‌ها به مساله رمزنگاری تعبیر شاعرانه و جالب «کلید طلایی» را به‌کار برد. نویسنده مقاله با اشاره به پرونده‌های متعدد آدم‌ربایی و خلافکاری‌های دیگر و ناتوانی بازرسان در تکمیل تحقیقات خود، مشکل را در نبود یک «کلید طلایی» برای دولت‌ها می‌بیند. نویسنده همچنین تاکید دارد که غول‌های دنیای فناوری از جمله گوگل، اپل، فیسبوک و تلگرام باید این کلید طلایی را دراختیار دولت‌ها قرار دهند.

فعلا بُعد اخلاقی قضیه را کنار بگذاریم و از این زاویه به ماجرا نگاه کنیم که اگر کلید مذکور را به نیروهای متعهد و وظیفه‌شناس پلیس بسپاریم چه خواهد شد؟ در این شرایط احتمال زیادی وجود خواهد داشت که آدم بدها هم به همین کلید دسترسی پیدا کنند.

مثال‌های متعددی در مورد خلق کلید طلایی وجود دارد، اما به بارزترین مثال یعنی «قفل‌های TSA» بسنده می‌کنیم. این قفل که مخصوص چمدان‌های مسافرتی است به‌وسیله اداره امنیت پرواز و حمل و نقل ایالات متحده (TSA) تعبیه شده است. ایده استفاده از این قفل ساده است؛ مسافران از قفل‌های مورد تایید TSA استفاده می‌کنند؛ قفل‌هایی که به وسیله یک شاه‌کلید به‌سادگی باز می‌شود تا ماموران امنیتی هرگاه لازم دانستند محتویات چمدان‌ها را بی‌دردسر و بدون شکستن قفل وارسی کنند. حدود 10 شاه کلید یا کلید طلایی برای باز کردن این دست چمدان‌ها وجود دارد. این درحالیست که خلافکاران و سارقان خرده‌پا برای باز کردن قفل این چمدان‌ها مجبورند به شیوه‌های دیگری متوسل شوند.

با این حال اخیرا تصاویر از تمام کلیدهای TSA به بیرون درز کرده که در پی آن طرح سه‌بعدی کلیدها نیز طراحی شده است. از این گذشته دست کامل کلیدهای طلایی قفل‌های TSA هم اکنون در چند بازار چینی به فروش گذاشته شده است. برای حل این مساله چه باید کرد؟ متاسفانه هیچ راه حلی وجود ندارد و عملا نمی‌توان قفل تمام چمدان‌های دنیا را با قفل‌های نو عوض کرد.

به مثال دیگری از این دست توجه کنید. فروشگاه‌های نرم‌افزاری یا همان App storeها ساختاری مشابه قفل‌های TSA دارند. در فروشگاه‌های نرم‌افزاری فرض براین است که فقط کارکنان این فروشگاه‌های می‌توانند اپلیکیشن‌ها را منتشر کنند، به‌طوریکه ابتدا سلامت هر اپلیکیشن را بررسی کرده و سپس با گواهی دیجیتال خود اپلیکیشن مورد نظر را روی سرویس دانلود قرار می‌دهند

در این شکی نیست که اپل سفت و سخت از کلید‌های امنیتی خود محافظت می‌کند، اما مهاجمان راه دیگری را برای عبور از ایست‌های بازرسی اپل پیدا کردند. برخی از توسعه‌دهندگان نرم‌افزاری هم فریب مهاجمان سایبری را خوردند و بی‌آنکه بدانند از کدهای نرم‌افزاری آلوده مهاجمان استفاده می‌کنند به آنها اجازه دادند کدهای بدافزاری را در اپلیکیشن‌ها تزریق کنند.

مهندسان امنیت اپل به موقع این آسیب‌پذیری را ردیابی و شناسایی نکردند تا App Store با تمام دبدبه و کبکبه‌اش خاستگاه ده‌ها اپلیکیشن آلوده به بدافزار شود که یکی از این اپلیکیشن‌ها یک نرم‌افزار ارسال و دریافت پیام محبوب بود.

 

 

نیم نگاهی هم به تاریخچه دنیای فناوری داشته باشیم و پرونده یک ابزار رمزنگاری دیسک‌های DVD را بازخوانی کنیم که تبلیغ و سروصدای زیادی برای آن به راه افتاد. در اواخر دهه 90 میلادی برخی دیسک‌های DVD به یک سیستم امنیت رمزنگاری برپایه الگوریتم بدنام CSS مجهز شدند. هدف آن بود که به وسیله این سیستم رمزنگاری دسترسی کاربران به محتوای دیسک‌های DVD براساس منطقه جغرافیایی آنها محدود شود؛ طرحی که در نهایت کامل شکست خورد و برچیده شد، به‌طوریکه فعالان دیجیتال برخی کلیدهای این قفل را رمزگشایی کرده و به رایگان دراختیار عموم قرار دادند تا همه در هر جای دنیا آزادانه فیلم‌های DVD تماشا کنند.

از تمام این مثال‌ها می‌توان درس گرفت که دسترسی افراد خیرخواه به اطلاعات با فرض اینکه افراد بدخواه به همان اطلاعات دسترسی پیدا نمی‌کنند یک طرح باطل و از پیش شکست‌خورده است. کافیست کلید طلایی به دست آدم بدها بیفتد تا شاهد باشیم که چگونه از اطلاعات و هویت اعضای جامعه به طرق مختلف مورد استفاده می‌شود؛ سناریویی که با دراختیار قرار دادن کلید طلایی به دست دولت‌ها بسیار محتمل‌الوقوع خواهد بود.

چنین پیشامدی عواقب تلخ و گاها جبران‌ناپذیری را به دنبال دارد، همانطور که در مورد لو رفتن کلید قفل‌های TSA و یا آلوده شدن میان‌افزار گوشی‌های هوشمند نیز اقدام چندان موثری را نمی‌توان انجام داد. در واقع خسارتی که لو رفتن کلیدهای طلایی –در هر شکل و قالبی- درپی دارند کاملا مزایای آن را تحت‌الشعاع قرار می‌دهد تا سپردن کلید طلایی دسترسی به ارتباطای الکترونیکی مردم به دست دولت‌ها نیز از همین حالا یک اشتباه بزرگ تلقی شود.

از این گذشته ایده کلید طلایی ممکن است در عمل جوال ندهد (مانند مثال قفل CSS روی دیسک‌های DVD). تروریست‌ها و خرابکارها اغلب از شیوه‌های رمزنگاری نامتعارف و منحصربه‌فرد خود استفاده می‌کنند و به همین دلیل کمتر ردپایی از خود به جا می‌گذارند. با درنظر گرفتن تمام این مسائل، دولت‌ها باید به فکر راه‌های دیگری برای تعقیب و شناسایی مجرمان و خلافکاران باشند؛ راه‌هایی کارآمدتر که حق و حقوق شهروندان را تضییع نکند.

 

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد. 

 

محصولات مرتبط

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد