تقنيات التشفير وأمن المعلومات

شعلة الشهداء

قنـــــــاص الكتيبة

طاقم الإدارة
فريق الدعم التقني
إنضم
31 أكتوبر 2013
المشاركات
1,887
مستوى التفاعل
5,605
النقاط
113
السلام عليكم ورحمة الله وبركاته

سأقوم بوضع الموضوع هنا وأترك للاشراف خيار نقله الى القسم الذي يرونه مناسب من عدمه

موضوعنا اليوم مهم جدا على حد سواء فالمعلومات الاستراتيجية السرية في حالة السلم أو الحرب أخذت أهمية واهتمام كبير في حمايتها والحصول عليها وكانت ولازالت تبنى الخطط على المعلومة ونوعها ومصداقيتها وملائمتها ولحماية المعلومات ونقلها والحفاظ على سريتها تطورت الوسائل التقنية والبشرية والرياضية في سبيل ذلك

نبدأو على بركة الله

1-1:المقدمة ( Introduction ):

إن أمنية المعلومات ناتجة من الحاجة إلى تناقل المعلومات الخاصة لكل من العبارات العسكرية والدبلوماسيـة. هذه الحاجة هي قديمة بقدم الحضارة نفسها. الأسبان القدماء مثلا, شفروا عباراتهم العسكرية. أما بالنسبة للصين, فانه يكفي فقط كتابة العبارات بلغتهم المعروفة والتي تعبر لغة خاصة, وذلك لان القليل من الناس يستطيعون قراءة الحروف الصينية. كانت قنوات الاتصال في السابق بسيطة جدا وكانت ترتب بأسلوب يعتمد في تامين السري على استخدام مراسلين موثوقين. تعتمد الأمنية لمثل هذا التنظيم على كل من موضع الثقة للمراسل وقابليته في أن يبقى محتفظا بالمواقف أو المواقع التي فيها يمكن أن تتعرض العبارات للانتهاك.

بسبب اكتشاف أنظمة الحاسبات واستخدام شبكات الحاسبة الواسعة بين الدول, فان القرن العشرين قد غير بصورة ملحوظة مدى مفاهيم الحماية. في الحاسبات المبكرة ( الأولى), فان الأمنية الفيزيائية ومعها سياسة الاختيار الملائم للكادر العامل في الحاسبة كان كافيا لتامين الأمنية. لكن هذا أصبح غير كاف وغير مرن بعد اكتشاف أنظمة حاسبات المشاركة الزمنية (Time-Sharing) والتي تتألف من عدة محطات طرفية موزعة في مساحة جغرافية واسعة.

من الجدير بالذكر أن امن وسلامة اتصال,ت الالكترونية في بدء ظهورها لم يكن هاما لان معظم المعلومات المخزونة فيها لم تكن ذات حساسية كبيرة, بعكس ماهي عليه اليوم, إذ كلما ازدادت وارتفعت قيمة المعلومات المخزونة في الحاسبات الالكترونية كلما ازدادت الرغبة لدى بعض الأفراد لمحاولة الوصول إليها من اجل التخريب أو من اجل الكسب غير المشروع بواسطة بيعها إلى الجهات الراغبة بذلك, لذا فقد أصبح امن هذه المعلومات على درجة كبيرة من الأهمية, كما أن التهاون في هذا الأمر قد يكلف الكثير, وكثيرا ما نطالع في الصحف عن قيام صراف بنك باستخدام توصيلته الآلية لتحويل نقود إلى حسابه الخاص, أو نسمع عن عابث في جهاز حاسبة الكترونية قام بإدخال رسالته الخاصة على قناة تلفزيونية عن طريق الدخول على احد قنوات الأقمار الصناعية.

هناك العديد من المسائل لكل من أنظمة حاسبات المشاركة الزمنية وشبكات الحاسوب, وان هذه المسائل لها ارتباط وثيق لحماية قنوات الاتصال والتي لا تربط فقط المحطات الطرفية إلى ما يقابلها من الحاسبات لكن إضافة إلى ذلك لها القابلية في تكوين شبكات اتصال مع الحاسبة المضيفة (Host). بسبب الخاصية الطبيعية لأي قناة اتصال , فان لدينا وسط اتصال والذي يمكن للعدو الوصول إليه , لهذا فان الحماية الفيزيائية ليست ذي فائدة . الوسيلة الوحيدة لتقوية الحماية في قنوات الاتصال هو بتطبيق التشفير (Cryptography).

لذلك,أخرى, فان تواجد عدة برامج للمستفيدين والتي تشارك نفس موارد الحاسبة تسبب تسربات للمعلومات غير القانونية ( غير الشرعية Illegal). لذلك , فان ميكانيكية سيطرة الوصول (Access Control ) للحاسب يجب أن تضمن تفاعل صحيح بين مختلف برامج المستفيد ( Processes) . إذا حدثت محاولة وصول غير قانونية, فان هذا الوصول يجب أن يمنع أو يعاق وان نظام التشغيل يجب عليه تسجيل هذه المحاولة.

للتشفير ( Cryptography ) تاريخ طويل وقد استخدمه المصريون القدماء قبل نحو 4000 سنة و له دور فاعل في سنوات القرن العشرين حيث لعب دورا حاسما في نتيجة الحربين العالميتين ( الأولى والثانية ) وعلى هذا الأساس فان له دور مسيطر في مجالات الجيش (المجالات العسكرية ) و الفعاليات الدبلوماسية و مهام الحكومات بشكل عام. استخدم التشفير كأداة من اجل حماية الأسرار الدولية و الاستراتيجيات.

بعد التزايد الواضح في أجهزة الحاسوب و أنظمة الاتصالات و خاصة عام 1960 أصبح من الضروري توفير وسائل لحماية المعلومات المتمثلة بأرقام (Digital)و ذلك يجب توفر خدمات أمنية أخرى.تم بذل المزيد من الجهود المؤثرة من قبل شركة IBMفي بداية السبعينات لغرض تبني طريقة تشفير للمعلومات سميت (Data Encryption Standard DES) والتي تعتبر من الطرق التشفيرية المعروفة في تاريخ دراسة التشفير و قد اعتبرت وسيلة فعالة لغرض تأمين أمنية للمعلومات الاقتصادية في مجال الموارد المالية.

في العام 1970 حدث تطور له أثـره الواضح عندما نشر كل من ديف وهيلمان ( Diffe & Hellman) بحثا تم من خلاله الإعلان عن ميلاد تشفير المفتاح العام (Public – Key Cryptography ) و تم كذلك توفير طريقة جديدة لتبادل المفتاح ، و التي تعني أن الأمنية (Security) تعتمد في الأساس على صفة ( صعوبة الحلIntractability ) للمشكلة اللوغاريثم المنفصلة (Discrete Logarithm Problem ) ، و على هذا الأساس فأن فكرة المفتاح العام أصبحت واضحة و ذات اهتمام واسع في مجال التشفير. فـي العام 1970 تمكـن كـل مـن رايفست وشاميـر وادلمـان Adleman, Shamir, Rivest) ) من اكتشاف أول طريقة تشفير معتمـدة على المفتاح العام و كذلك التواقيع الرقمية (Digital Signature ) و أطلقوا على هذه الطريقة بـ ( RSA ) نسبة إلى أسماء مكتشفيها. تعتمد الـ RSA على مسالة رياضية تتميز بالصعوبة أو التعقيد في الخطوات الرياضية و المستخدمة في تحليل العوامل (Factoring ) للأرقام الأولية الكبيرة (Prime Integers). و باستخدام مشكلة صعوبة الخطوات الرياضية فقد تم استحداث طرق جديدة و كفوءة معتمدا على تحليل العوامـل. ( هـذا التطبيق للمشكلة الرياضية الصعبة الحل ) أعاد الحياة في جهود العثور على طرق أكثر كفاءة لتحليل العوامل. إن الثمانينات قد أظهرت تقدما كبيرا في هذا المجال ولكن أي ( من هذه التقدميات ) لم يجعل نظام الـ RSA غير أمين (Insecure ). في العام 1985 أوجد ( EI-Gamal ) صنـف من التشفير يتمتـع بقوة كبيرة معتمـدا في ذلك علـى فكرة المفتاح العـام (Public-Key Scheme) .

احد المظاهر المهمة و الواضحة المعالم في استخدام المفتاح العام هو توفير التواقيع الرقمية. لقد تم إيجاد توقيع رقمي ( digital signature ) وذلك باستخدام طريقة الـ RSA و كـذلك تـم إيجـاد توقيـع رقمـي باستخدام طريقة EI-Gamal) ).

أن البحث عن طرق جديد للمفتاح العام, التحسينات لميكانيكيات التشفير المتوفرة حاليا, واثبات السرية استمرت بخطوات سريعة. لقد تم وضع لذلك قياسات (Standards ) مختلفة وبنى تحتية والتي تشتمل على التشفير واستخدمت هذه القياسات في التطبيق العملي بشكل فعال.إضافة إلى ذلك, تم تطوير منتجات الأمنية (Security Products ) لغرض تطوير وتوفير متطلبات الأمنية المطلوبة في المجتمعات المبنية في تعاملاتها على المعلوماتية بشكل واسع.
 
التعديل الأخير:
-2 : نبذة تاريخية مختصرة عن الاتصالات السرية:
إن استخدام الاتصالات السرية بواسطة رسائل مرمزة كان موضوع التطبيق العملي عبر التاريخ القديم والحديث. فعند إرسال يوليوس قيصر إلى زعيمه كان يستخدم الشفرة الهجائية ليضمن عدم معرفة ما في الرسالة عند وقوعها في أيدي العدو. هذا النوع من الشفرة مازال يستخدم إلى حد الآن. واستخدمت الرموز والشفرات عبر التاريخ الأوربي للمساعدة في التخطيط للإطاحة بالملوك, ووضع خطط المعارك, وإرسال المعلومات المهمة.

وخـلال الثورة الأمريكية استحدث جورج واشنطن منظومة تجسسية لإيصال التقارير عن مقدرة الفوات البريطانية وتحركاتها. لغرض إرسال هذه المعلومات إلى أعوانه, وكان بحوزة كل جاسوس كتاب رموز ( ( code bookيحتوي على أرقام يمثل كل رقم منها كلمة معينة. تتضمن الرسالة المكتوبة بالرموز سلسلة من الأرقام تستعمل لغرض إرسال المعلومات الاستخبارية المجمعة حول العدو. لذلك كان هناك دور متميز للترميز في تامين حماية للمعلومات المرسلة.

وفي الحروب الحديثة تم استخدام الرموز والشفرات لضمان عدم تسرب المعلومات السرية إلى العدو. هنالك كتب كثيرة نشرت حول الاستخبارات العسكرية في الحرب العالمية الثانية وعن عملية كسر الرموز لكشف خطط العدو العسكرية للهجوم. وكل جانب حاول كسر رموز الجانب الآخر. واليوم تقوم كل من الولايات المتحدة والاتحاد السوفيتي بجمع المعلومات عن طريق السفن التجسسية والاستراق الالكتروني والأقمار الصناعية التجسسية.

من المكن توضيح القيمة الفعلية لكتب الرموز من خلال مراجعة قضية السفينة Glomar Explorer)). لقد بنيت سفينة الإنقاذ هذه لحساب وكالة المخابرات الأمريكية ( CIA ) بكلفة قدرها حوالي 130 مليون دولار لغرض انتشال غواصة سوفيتية غرقت في المحيط الهادي عام 1968. عند غرق الغواصة السوفيتية كانت تحمل صواريخ نووية وأجهزة الكترونية متطورة. بالإضافة إلى ذلك كان على متنها كتب الرموز ومكائن الرموز . وفي حالة العثور على هذه الكتب والمكائن فإنها تكون ذات فائدة هائلة لوكالة المخابرات الأمريكية. نستطيع بكل تأكيد أن نقول أن احد أسباب المحاولة المكلفة لاستعادة الغواصة هو احتمال الحصول على كتب الرموز هذه والتي تعتبر ذات قيمة عالية جدا.

في العام 1977 كانت هناك قضية بيع المعلومات بالغة السرية إلى الاتحاد السوفيتي من قبل شابين أمريكيين, احدهما كان لديه إذن بالدخول إلى غرفة الرموز التي تتعامل مع الرسائل العائدة لوكالة المخابرات والجيش والقوة البحرية والقوة الجوية الأمريكية. إن هذه الرسائل وبرفقتها الرموز الحقيقية أو كتب الرموز تعتبر ذات قيمة لا تثمن بالنسبة للسوفيت. إن الجانب الذي ذكرته الصحف حول هذه القصة بالطبع لم تذكر بالضبط ما تم بيعه من المعلومات المسروقة ( السوفيت وحدهم يعلمون بذلك ) وعل كل حال فنحن نعلم أن المتهمين حكم عليهما بالسجن لمدة 40 سنة.

1-3 : امنية نظم المعلومات:
إن موضوع الأمن في النظم الآلية للمعلومات يعتبر من أكثر المواضيع التي تنال اهتمام الباحثين والمتعاملين مع تلك النظم, لاشك إن انتشار الحاسبات الآلية ودخولها المطرد في إدارة نظم المعلومات المختلفة قد اثر تأثيرا مباشرا في تطوير ورفع كفاءة تلك النظم, لكن يظل هناك سؤالا مطروحا ألا وهو إلى أي مدى يمكن الاعتماد على هذه الحاسبات الآلية في إدارة تلك النظم بصورة دائمة ودقيقة, وعن مدى قدرتها في حماية أسرارنا وخصوصياتنا من الاعتداء ؟

إن الغرض الأساسي لهذا الفصل هو التعرض لهذا الموضوع الهام وتلخيص آراء ومقترحات بعض ذوي الخبرة في تصميم الطرق العلمية التي تساعد في رفع كفاءة الأمنية, ومن ثم كفاءة النظم الآلية للمعلومات.

1-4: تحليل العوامل المهددة لامن الانظمة الالية للمعلومات:
بناء على مسح إحصائي عن حوادث امن المعلومات في النظم الآلية اعد من قبل الحكومة الأمريكية وجد إن العوامل المؤثرة وتأثير كل عامل هي على النحو التالي:

أ: الأفعال غير المقصودة وتمثل 50% من نسبة الحوادث في امن المعلومات.

ب: عدم أمانة العاملين في الحاسب الآلي وتمثل 15-20% من نسبة الحوادث.

ج: الابتزاز والضغط ألمطلبي وتمثل 10% من الحوادث..

د: المياه والسوائل وعدم الالتزام بالمواصفات البيئية وتمثل 10%.

ه: الاعتداء الخارجي لا يتجاوز 5%

و: الكوارث الطبيعية والحريق ويمثل 10%.

من هذا يتضح إن العوامل الثلاثة الأولى أي تلك التي مصدرها الأفراد المتعاملين مع الحاسب الآلي قد تسببت في 80% من جملة الحوادث المهددة لأمن المعلومات في حين إن العوامل التي لا يدخل فيها العامل البشري لا تتعدى 20% وان تأثير العامل البشري الخارجي لا يتجاوز الـ 5% مما يشير إلى تركيز المشكلة في الأفراد المتعاملين مع الحاسب الآلي وسينظر إلى كل تلك العوامل نشئ من التفصيل في الأسطر التالية:
 
أ : افعال المتعاملين غير المقصودة والمهددة لامن المعلومات:
إن الأفعال غير المقصودة التي تؤدي إلى تسرب معلومات إلى جهات غير ذات صلاحية أو فقد ومسح معلومات هامة أو تغير في معلومات أو غير ذلك من مشاكل امن المعلومات تكون في الغالب نتيجة إلى ضغط شديد في العمل أو ضعف في القدرات الذاتية في الانضباط والاهتمام لدى المشغلين والمستخدمين.

فالتسرب غير المقصود للمعلومات يتم مثلا عن طريق إرسال تقارير بالخطأ غير المقصود أو نسيان إغلاق الشاشات فتبقى مفتوحة وهي عارضة لبيانات غير مسموح بعرضها أو استخدام أوراق الحاسب الآلي التالفة والتي تحتوي على بعض المعلومات الهامة في ملف الحاجيات أو وضع كلمة السر في مكان يسهل معرفتها فيه أو نتيجة لمشاكل في الأجهزة أو البرامج.

أما المسح غير المقصود فيتم في الغالب بعمل تنظيم المجاري عن طريق الخطأ لقرص يحتوي على معلومات هامة أو الكتابة على سجلات تحتوي على معلومات أو نقل الملف إلى مساحة تالفة في القرص, أو نتيجة لمشاكل في الأجهزة أو البرامج.

أما تغيير البيانات فاهم مسبباته هو الخطأ غير المقصود عند إدخال وتعديل البيانات.

ب: افعال المتعاملين المقصودة والمهددة لامن المعلومات:
تشمل الأفعال المقصودة بواسطة المتعاملين مع النظام معالجة محرفة أو تشغيل محرف للبرنامج أو الإطلاع الشخصي, أو إطلاع الآخرين لبيانات غير مسموح الإطلاع عليها, أو نقل بعض البرامج والبيانات الخاصة أو تدمير برنامج أو معلومة أو غير ذلك من الأفعال المقصودة و المهددة لأمن المعلومات.

أما الأفعال ففي الغالب ما يحاول الفاعل فعلها بإدخال ضمن الأفعال غير المقصود حتى تختفي الإغراض الخيانية فيها.

عند تحليل الدوافع التي تؤدي إلى خيانة المتعاملين مع النظام نجدها تتدرج من الخيانة العظمى وخدمة دولة محاربة بدافع اعتقادي أو سياسي أو مادي إلى خدمة مؤسسة أخرى منافسة بدافع مادي أو انتقامي إلى خدمة أفراد بتمليكهم معلومات عن أفراد آخرين منافسين بدافع مادي أو دافع صداقة أو خدمات ذوي القربى أو أصدقاء بتحسين بيانات تخصهم إلى الانتقام من زملاء أو غيرهم بدوافع وهو أدنى درجة من حيث الخطورة.

ج: الابتزاز والضغط المطلبي:
لاشك إن من أهم مميزات الآلية هو تقليص الاعتماد على الإنسان الذي هو معرض للتوقف من العمل لأسباب صحية أو طبيعية أو بدافع تحسين واقعه المعيشي بترك العمل والانتقال إلى جهة أخرى أو عن طريق الوسائل النقابية المعروفة.

وان كنا بالإلية قد تخلصنا لحد كبير من هذا النوع من المشاكل إلا أننا في الجانب الأخر لابد إن نكون في اشد الحذر من أننا سنكون تحت هيمنة تقصير المشرفين على مركز الحاسب الآلي, وربما يكون هذا التقصير مقصود لأحدى الدوافع التي ذكرناها في تحليل الأعمال المقصودة والمؤثرة في امن المعلومات أو غير مقصودة للأسباب التي ذكرناها في إعمال غير العاملين في الحاسب الآلي أي دور في هذه الحوادث كأن يحدث انفجار في مواسير المياه أو نظام مياه وإطفاء الحريق لأسباب مجهولة أو تحت ذبذبة كهربية عالية جدا لعطب مفاجئ في نظام الكهرباء المركزي.

ه: الاعتداء الخارجي:

ونعني بالاعتداء الخارجي إن يتمكن شخص من غير المتعاملين مع النظام من الإطلاع أو تغيير أو مسح أو سرقة بعض أو كل معلومات النظام, وان كان هذا النوع من الحوادث لا يزيد على 5% من جملة الحوادث المهددة لأمن أنظمة المعلومات لكن في حالة الحاسبات الشخصية والتي عم انتشارها في هذا العقد فصارت تعتمد عليها كثير من المؤسسات الصغيرة خاصة في نظم الأعمال المكتبية ربما تزيد هذه النسبة كثيرا كما أشارت دراسات أخرى في هذا المجال وذلك لسهولة حملها وتشغيلها.

و: الكوارث الطبيعية والحريق:
إن الكوارث الطبيعية والحريق يمثلان تهديدا امنيا لكل الأنظمة وليس لأنظمة المعلومات وحدها, لكن ذلك التهديد الأمني ربما يكون اقل خطورة وأيسر معالجة في الأنظمة الآلية للمعلومات حيث المرونة في خزن ومناقلة وإمكانية وجود نسخ مسندة للبرامج والبيانات في أماكن بعيدة ومتعددة.

1-5 : المتطلبات الفنية لامن النظم الالية للمعلومات:
تعتبر مرحلة تحليل وتصميم امن النظام من أهم المراحل في بناء الأنظمة الآلية للمعلومات, بل وتقاس كفاءته الأمنية, وذلك لتداخل مرحلة تصميم امن النظام مع كل المراحل الأخرى وتأثيره فيها على ضوء تجارب المصممين للنظم الآلية للمعلومات عموما والمهتمين بمجال الأمن في النظم الآلية للمعلومات.

هناك عدة متطلبات فنية أساسية وضرورية لتصميم امن النظم الآلية للمعلومات وربما أهمها:

أ: الدراسة التحليلية لامن النظم:
إن الدراسة التحليلية لتحديد مناطق التهديد لأمن ومستوى الخطورة في كل منطقة ثم تصميم طرق الإنقاذ من كل منطقة من مناطق التهديد لابد إن تمثل جزءا أساسيا للغاية عند تحليل وتصميم النظام الآلي للمعلومات كما إن مستخدم النظام نفسه لابد إن يوثق الخطوات العملية التي يجب إن يقوم بها في أي حالة من حالات الكوارث في كتيب استخدام النظام.

ب: التوثيق:
أكدت كثير من الدراسات إن التوثيق في الأنظمة الآلية للمعلومات من اضعف الثغرات في امن تلك الأنظمة ويهدف التوثيق إلى جعل الأنظمة مفهومة للمستخدمين والمشغلين ومفهومة للمصممين حتى يمكنهم من الصيانة المستقبلية ومفهومة للمبرمجين حتى يتمكنون من صيانة البرامج على ضوء التصميم وغيرها من الصيانة العادية. إن جعل الأنظمة مفهومة للجميع كل في مجاله يحمي الأنظمة من احتكار أو ابتزاز المصمم الأساسي أو المبرمج الأساسي للأنظمة كما يجعل الاستخدام والتشغيل غير محتكرا لفئة محددة, لهذا يؤمن التوثيق الاستخدام الامثل والمستمر للأنظمة وهي غير معتمدة على أفراد. ومن ناحية أخرى يجب مراعاة إن التوثيق سلاح ذو حدين فيمكن إن يكشف التوثيق الممتاز الأنظمة لأشخاص غير مأذون لهم بذلك مما يستوجب عمل حماية خاصة وجيدة لوثائق النظام كما إن التوثيق الضعيف يمكن إن يؤدي إلى فقدان القدرة في التحكم مع استمرارية الزمن.

ج: امن البرامج والبيانات:
لقد لوحظ إن كثير من المبرمجين يقومون بعمل الصيانة العادية في البرامج على النسخ الأصلية للنظام فإذا حدثت أي مشكلة في برنامج ما يصعب عليهم بل قد يستحيل عليهم متابعة تلك المشكلة لعدم موافقة تلك البرامج موافقة تامة للوثيقة الأساسية للنظام. لهذا يجب المحافظة على النسخة الأصلية للبرنامج المصدر وان يقوم المبرمجون بعمل اختباراتهم وبياناتهم على نسخة أخرى وعند الانتهاء من عمل الاختبارات وأجازة تشغيلها يتم تعديل النسخة الأصلية وتوثيق ذلك التعديل ثم نقلها إلى التنفيذ وبنفس الأسلوب يجب التعامل مع ملف البيانات خاصة الملفات الرئيسية فيجب تسجيل أي تغيير يحدث في محتويات تلك الملفات للمراجعة إذا لزم الأمر.

د: امن التشغيل:
يشمل امن التشغيل التحكم في الإدخال والتعديل والإطلاع في قسم المستخدمين والتنسيق بين قسم المستخدم والحاسب الآلي في توزيع المسؤوليات والتأكد من تشغيل الأعمال والبرامج الصحيحة في قسم الحاسب الآلي وضمان التشغيل المستمر للأجهزة متى طلب ذلك. نقطة الضعف في التشغيل هي عدم استيعاب المشغلين لظروف التشغيل استيعابا جيدا أو محاولة إثبات بعضهم عدم قدرة الأخر أو تغير أوقات الدوام أو ترك العمل . أما نقطة الضعف الأساسية في استمرارية عمل الحاسب الآلي تكمن في عدم التزام الشركات بعقود الصيانة.

ه: برامج امن النظام:
برامج امن النظام هي برامج مساعدة يتم تصميمها لتمكن من مراقبة أي تغيير في الملفات سواء كانت برامج أو بيانات ويتم ذلك بالطريقة الخاملة وهي تسجيل أي تغيير منذ البداية ليتم مراجعته مؤخرا أو بالطريقة الحية وهي عدم السماح بالتغيير منذ البداية إلا بناء على صلاحية مبرمجة, إلا انه يجب الانتباه هنا إلى صعوبة التحكم في العاملين بالحاسب الآلي وخاصة المبرمجين نسبة لخبرتهم وقدرتهم على تجاوز هذه البرامج.

كذلك تقوم برامج النظام بتشغيل محاولات اختراق النظام مثل مسح المعلومات في الملف المخترق ( طبعا لابد من وجود نسخة مساندة ) أو قفل الجهاز إذا حصل اختراق الكتروني أو عمل تشفير معقد للحماية إذا حدث الاختراق.
 
و: الامن في نظم الاتصالات وقواعد البيانات:
يشمل الأمن هنا التوثق من الطرفيات والمستخدمين وذلك بالتحكم الفيزيائي (سنتعرض له بشئ من التفصيل في مجال أخر ) والتحكم المنطقي بعمل كلمات السر وربطها بنوع الاستخدام وتغييرها من وقت لأخر وبرمجة الطرفيات لتنفصل أليا إذا ظلت دون استخدام لفترة معينة أو إذا اخطأ المستخدم في كلمات عدة مرات.


كذلك يشمل الأمن في نظم الاتصال تسجيل كل الملاحظات في أي طرف ونوع الاستخدام إضافة بالطبع إلى التعرف على الشخص المستخدم عن طريق (رقم التعريف ) والتوثق منه بكلمة السر أو البطاقة الممغنطة أو غيرها ( التعرف ) وربط ذلك بنوع من الاستخدام ( الصلاحية ) يتم ذلك في الغالب بتركيب أو تصميم نظام المعلومات بطريقة بنائية تكاملية يتم الانتقال فيه من بنية إلى أخرى عن طريق برامج تحكم خاصة تقوم بخزن معلومات عن الشخص الذي دخل إلى هذه البنية وتاريخ ووقت الدخول ونوع الحركة أو الاستخدام الذي قام به. هذه الخاصية متوفرة في كثير من نظم التشغيل وبالأخص في نظم قواعد المعلومات حيث يشترك عدد ضخم من المستفيدين في التعامل مع قاعدة المعلومات كل في الجزئية والبنية التي تخصه.

ز: تطوير وتنفيذ النظم:

عند تطوير أو تصميم أي نظام يجب إتباع الطرق العلمية الصحيحة في التصميم كم يجب مراجعته جيدا واختباره والتأكد من خلوه من الأخطاء قبل بدء التنفيذ وكذلك يجب التأكد من تدريب موظفي التشغيل والاستخدام تدريبا جيدا يضمن تشغيلهم واستخدامهم للنظام بطريقة أمنة ومتدرجة قبل الاعتماد كليا عليه.

1-6 : المتطلبات الادارية لامن النظم الالية للمعلومات:
تكملة المتطلبات الفنية التي يجب مراعاتها في بناء النظم الآلية للمعلومات لحماية تلك النظم هناك عدة واجبات إدارية أهمها:

أ: التنظيم الاداري:
أولا: تنظيم إدارة خاصة بأمن النظم الآلية للمعلومات يناط بها تحديد الساسة الأمنية للنظام من حيث الإدخال, التعديل ومن حيث ضمان استمرارية العمل بالكفاءة المطلوبة. بعد تحديد هذه الساسة يجب توثيقها وتوقيعها بواسطة المسول الإداري للحاسب الآلي وكل العاملين والمستخدمين.

ثانيا: يحدد مشرفا للأمن بالحاسب الآلي تقع على عاتقه التأكد من التزام العاملين بالسياسة الأمنية المرسومة وتنسيق التدريب الفني في هذا المجال والمساعدة في التصميم والبرمجة لتنفيذ المتطلبات الفنية لهذه السياسة.

ثالثا: يحدد مسؤول امن يمثل المستخدم ويكون مسؤلا لدى الجهة المستخدمة للنظام من ضمان التزام إدارة الحاسب الآلي بالسياسة الأمنية المحددة وتحديد مستوى الصلاحية لكل المتعاملين مع النظام.

رابعا: يحدد قسم للمراجعة في إدارة الأمن مهمته عمل وتنفيذ نظام دقيق للمخزون من أجهزة وأشرطة وأقراص وتوثيق ومكتبات وقطع غيار وأوراق طباعة وحبر وغيرها من المستلزمات التشغيلية.

ب: خطط الطوارئ:
لابد من وضع الخطط لاستمرارية عمل النظام في حالة المشاكل الكبيرة كتعطل الحاسب الآلي تعطلا طويلا أو غير ذلك من الحالات الطارئة لابد من قياس المشاكل التي سيواجهها مستخدم النظام في هذه الحالات ووضع البدائل على ضوء ذلك فمثلا في النظم المصرفية أو نظم الحجوزات الجوية حيث لا غنى عن الحاسب الآلي ولو بضع دقائق يستوجب وجود نظام مساند يعمل بطريقة فورية في حالة الطوارئ في حين إن هناك أنظمة أخر يمكنها الاستغناء عن الحاسب الآلي عدة أيام دون إن تتأثر تأثرا كبيرا. هذا من ناحية الاستمرار التشغيلي المباشر للحاسب الآلي أما النواحي الأخرى الهامة غير المباشرة أو المساندة كالكهرباء المستمرة والثابتة أو التبريد الموزون المستمر فهي ضرورية للتشغيل الخالي من الأخطاء إذ إن الزيادة الشديدة في التيار الكهربائي والارتفاع غير المحتمـل في درجات الحرارة كلها تؤدي إلى أخطاء في تشغيل ومعالجة البيانات. كذلك يجب مراعاة إن الانقطاع المفاجئ للتيار والإطفاء المباشر للحاسب الآلي كثيرا ما يؤدي إلى فقد بعض المعلومات أو السجلات.

ج: الامن الفيزيائي لمركز المعلومات والحاسب الالي:
يشمل الأمن الفيزيائي بمركز المعلومات والحاسب الآلي حمايته من الحريق والسوائل والغبار والكهرواستاتيكا وكذلك ضمان الكهرباء الكافية والمستلزمات البيئية من حرارة ورطوبة موزونة إضافة إلى التحكم في زيارة ودخول الأفراد إلى المبنى أو المكاتب أو إلى المكاتب الحساسة أو إلى مكتبات المراجع والأشرطة والأقراص ووثائق النظام أو إلى صالة الحاسب الآلي أو إلى طرفية المشغل أو إلى مفاتيح التبريد, كذلك التحكم في الوصول إلى المراكز الفرعية للطرفيات أو خطوط الاتصال أو غيرها من الأشياء المؤثرة في امن النظام الآلي للمعلومات.

د: مراقبة الأفراد:

يمثل الأفراد خط الدفاع الرئيسي في امن المعلومات خاصة المتعاملين مع النظام كما اشرنا سابقا.

فامن الأنظمة الآلية للمعلومات يعتمد أولا وأخيرا على أمانة الأفراد المتعاملين معها فلا يكفي التأكد من أخلاقيات الموظف وأهليته عند تعيينه بل يجب إن تستمر مراقبته لان التغيير السلوكي متوقع في أي وقت كذلك يجب عدم الاعتماد على موظف واحد بأي حال من الأحوال وان كان لابد من ذلك فيجب إن يشمل ذلك الموظف إشرافا ومراقبة دقيقة وتوثيقا دقيقا لأعمال وتدريب مساعدين لهم. عند انتهاء خدمات أي موظف يجب سحب صلاحيته قبل فترة كافية فهناك عدة حوادث انتقام من موظفين أنهيت خدماتهم.

ه: الصيانة والتامين:

تعتبر الصيانة خط الدفاع الثاني في امن الأنظمة الآلية للمعلومات ووجود الصيانة ضمان للتشغيل المستمر للأنظمة كما إن التامين التجاري يغطي تكلفة إرجاع المعلومات المفقودة وتغطية الخسارة الناتجة عن تعطيل النظام إضافة لتغطية الأجهزة إذا لم تغطى بواسطة عقود الصيانة.

و:- مراقبة المعالجة:

نعني بمراقبـة المعالجة التأكد من المعالجة الصحيحة ( الابتداء الصحيح للتشغيل) سواء كان إدخال أو تعديل أو استفسار ثم التوثق من إن هذه المعالجة تمت بإذن الجهات ذات الصلاحية ( صلاحية التشغيل ) ثم التأكد من إدخال الحركة هو الإدخال الصحيح وذلك بتكرار الإدخال مثلا وعمل شاشة مختلفة لكل نوع من الإدخال إضافة لذلك لابد إن يكون للنظام خاصية التعرف على الأخطاء والتعرف على عدم الدقة في المعالجة وعمل تقرير بذلك, وأخيرا يجب إن تخدم التقارير المطبوعة أهداف محددة لإدارات محددة كما يجب تجنب الطباعة الزائدة التي قد تؤدي إلى تسرب المعلومات وضياع الورق. كذلك يجب إن تعكس التقارير المطبوعة الأنشطة المختلفة للأنظمة وتمثل بهذه مراجعة غير مباشرة للبيانات والمعالجة وحركة النظام بصفة عامة.
 
1-7 : الخلاصة:


نخلص من الفقرات السابقة إن الكفاءة الأمنية أو امن النظم الآلية للمعلومات تعتمد بدرجة عالية تتجاوز الـ 80% على الأفراد المتعاملين مع تلك الأنظمة وبصفة خاصة على مدى التزامهم الأخلاقي, ولما كان الالتزام الأخلاقي من المواضيع الفلسفية والنظرية المعقدة التي يصعب التحكم فيها. يصبح الحل الواقعي هو تقليص الاعتماد على الأفراد والاتجاه نحو الكفاءة الإدارية.


فالتحكم في الآلية وضمان استمرارية تشغيلها وحماية مبانيها وبيئتها وغير ذلك مما يعرف بالحماية الفيزيائية أكثر أمكانا وعملا من مراقبة الأفراد وسلوكياتهم. بالطبع ليس من المعقول التخلص من العامل البشري نهائيا لهذا كان مراجعة التزام العاملين بأخلاقيات المهنة من وقت لأخر والتأكد من وجود أفراد مساندين لهم عدة بدائل في كل عمل من المتطلبات الأساسية في امن النظم الآلية للمعلومات إضافة إلى المراقبة والمراجعة المنتظمة لكل أنشطة النظام.




يتبع للتوسع أكثر ان شاء الله في حلقات أخرى
 
السلام ........
فعلا موضوع رائع ومناسب لهذا العصر .. عصر التكنولوجيا .. ولكنه بحاجة الى دراسة بتعمق كبير يعطيك العافية .
 
السلام ........
فعلا موضوع رائع ومناسب لهذا العصر .. عصر التكنولوجيا .. ولكنه بحاجة الى دراسة بتعمق كبير يعطيك العافية .
لا شكر على واجب سعيد أخي بأن الموضوع أعجبك
البحث سيتم التوسع فيه أخي ان شاء الله في الحلقات القادمة وشكرا .
 
ننتظر الاعضاء الكرام لتنشيط الموضوع واثرائه
 
موضوع ممتاز اخي عادل
في سياق الموضوع تم الاستعانة بالهنود الحمر من طرف الجيش الامريكي في الحرب العالمية الثانية حتى لا يتمكن اليابانيين من فهم الاوامر والرسائل على اللاسلكي والجزائريين في حرب التحرير كانت كل الاتصلات تتم باللهجة الامزيغية حتى لا يفهمها الفرنسيين
 
السفينة الأمريكية التي تحدث عنها الموضوع Glomar Explorer والتي كان المخطط لها انتشال الغواصة السوفياتية

fig1-1-1.jpg


6a00d8341c630a53ef013487e09f10970c-800wi
 
موضوع ممتاز اخي عادل
في سياق الموضوع تم الاستعانة بالهنود الحمر من طرف الجيش الامريكي في الحرب العالمية الثانية حتى لا يتمكن اليابانيين من فهم الاوامر والرسائل على اللاسلكي والجزائريين في حرب التحرير كانت كل الاتصلات تتم باللهجة الامزيغية حتى لا يفهمها الفرنسيين
شكرا أخي عزيز
بالفعل الاستعانة باللهجات واللغات المحلية التي يجهلها العدو كانت لوقت قريب نافعة جدا في نقل المعلومة والحفاظ عليها لكن الجهات الطامعة في تحليل المعلومات والوصول اليها واعتراضها قد انتبهت لهذا الأمر ولعنا كلنا نتذكر كيف استعانة الوم أ ببعض المهاجرين عندها لفهم لهجات سكان شمال افريقيا
وكما لاحظت فان الاتجاه حاليا الى استخدام طبقات متعددة لحماية المعلومات فبجانب اللهجات الغير مفهومة يتم استخدام التشفير اليدوي وبعده يتم اضافة طبقة أخرى من التشفير أو الحماية وهكذا
وربما حماية وسائل ايصال المعلومات فأحيانا الوسائل البدائية أأمن من الوسائل الحديثة
 
أمنية المعلومات والتشفير Information Security and Cryptography )):

سوف نتعامل مع المعلومات (Information ) بأنـها كمية مفهومة Understood Quantity)) لذلك فكل ما يتعلق بها من تأمين سرية هذه المعلومات معتمدا على التشفير يجب أن يكون أيضا مفهوما. أن أمنية المعلومات تعتمد على عدة طرق معتمدة في ذلك على الحالة والمتطلبات ( state and requirements). من المهم جداً أن يتضح لكافة المشتركين في أمنية المعلومات الأهداف المتعلقة بأمنية المعلومات.بعض هذه الأهداف ملخصة في الجدول 1.1:

على العموم, فان أمنية كل من أنظمة المشاركة الزمنية وشبكات الحاسوب تتألف من ثلاث مكونات:

- أمنية مركز ( أو مراكز) الحاسبات.

- أمنية المحطات الطرفية.

- أمنية قنوات الاتصال.

تحتاج حماية مراكز الحاسبات لعدد مختلف من مقاييس الأمنية ( security measurements). المقياس الأول هو أن المراكز يجب حمايتها من أي كوارث طبيعية مثل الفيضانات, الحريق, الزلازل. الخ. كذلك فان البناية يجب أن تحمى ضد النشاطات الخارجية مثل الهجومات الإرهابية, الاستراق ( اختلاس السمـع Eavesdropping ) الخ, كـل هذه المقاييس يمكن أن ينظر لها بأنها أمنيـة خارجيـة (External Security) . الأمنيـة الداخلية Internal)), على كل حال, تشمل مقاييس حماية تستخدم داخل نظام الحاسبة ( مثلا ميكانيكية سيطرة وصول أمينة access control mechanism, أنظمة مراقبة لمحاولات الوصول غير الشرعية, ميكانيكية التعرف على المستفيد Identification) ), الخ ) ومقاييس أخرى تطبق خارج الحاسبة مثل الاختيار المناسب والصحيح للكادر العامل في الحاسبة, حماية فيزيائية لمكونات الحاسبة, إستراتيجية نسخ إضافيـة مناسبة (Backup), الخ ). أظهرت التجارب أن المحطات الطرفية هي الأجزاء الأكثر تعرضا للانتهاك من باقي أجزاء الحاسبة. معظم محاولات الوصول غير المشروعة تنشا من المحطات الطرفية. لغرض تقليص فرصة نجاح أي وصول غير شرعي, ويجب وضعها في بنــايات أمينة ( هذا الأجراء يؤدي إلى تقوية الأمنية الفيزيائية الجزئية )).

يستخدم التشفير لغرض حماية المعلومات التي يمكن أن يتم عليها وصول غير شرعي والتي تكون حالة المقاييس الأخرى للحماية غير كافية. لذلك فان التشفير يمكن تطبيقه لحماية قنوات الاتصال وقواعد البيانات الفيزيائية.

إن العملية الأولية (Primitive) لعلم التشفير هو عملية التشفير Encryption)) وهي عبارة عن عمليات حسابية خاصة تعمل على العبارات Messages)) وتحولها إلى تمثيل لا معنى له لكل الإطراف عدا المستقبل المقصود. إن التحويلات التي تعمل وتؤثر على العبارات هي معقدة الحل ( صعبة الحل ) بحيث أنها ابعد عن وسائل العدو لإبطال العمل. عملية التشفيرEncryption)) هي عملية تحويل البيانات إلى صيغة بحيث تكون اقرب إلى عدم الإمكانية القراءة كلما أمكن ذلك بدون معرفة مناسبة ( مثلا, وجـود مفتاح ). إن الهدف من هذه العملية هو ضمان الخصوصية (privacy ) وذلك بالاحتفاظ بالمعلومات بصيغة مخفية من أي شخص أخر والذي هو غير الشخص المقصود, حتى أولئك اللذين يملكون وصول إلى البيانات المشفرة. من جانب أخر فان عملية فتح الشفرة (Decryption(هي عكس عملية التشفير, أي أنها عملية تحويل البيانات المشفرة إلى صيغتها الأصلية.


كل أنظمة التشفير الحديثة ( Cryptosystems) في الغالب وبدون استثناء تعتمد على الصعوبة لعكس ( Reverse) تحويل التشفير (Encryption ) كقاعدة للاتصال الأمين (Secure Communication ). إن التشفير الآن هو أكثر من عملية التشفير وفتح الشفرة. إثبات الشخصية Authentication))هو جزء أساسي من حياتنا والذي يمثل الخصوصية.نحتاج إلى تقنيات الكترونية لتوفير إثبات الشخصية. يوفر التشفير ميكانيكيات خاصة لمثل هذه الإجراءات. أما التواقيع الرقمية فإنها تقوم بربط وثيقة معينة إلى المعالج بمفتاح معين, بينما ختم الوقت ( timestamp ) فانه يربط الوثيقة مع منشئها في وقت معين. يمكن استخدام هذه التقنيات التشفيرية للسيطرة على الوصول إلى مشغل قرص مشترك أو أي وسط أخر.
يتم اختيار خوارزمية التشفير من بين مجموعة تحويلات معكوسة Invertible Transformations)) تدعى النظام العام ( General System), نظام التشفير (Cryptosystem) أو للسهولة يعرف نظام (System). إن العامل (Parameter ) الذي يختار تحويل محدد من هذه التحويلات يدعى مفتاح التشفير (Enciphering Key ) أو للسهولة مفتاح (Key ). نعني بنظام التشفير (Cryptosystem ) بأنه عبارة عن خوارزمية, زائدا كل النصوص المشفرة الممكنة, والمفاتيح الممكنة.


خلال عدة قرون تم إيجاد عدد من البروتوكولات المحكمة والميكانيكيات والتي تتعامل وتؤمن أمنية المعلومات عند تناقل المعلومات بواسطة وثائق فيزيائية(مادية).غالباً ما تكون أهداف أمنية المعلومات لايمكن تحقيقها فقط من خلال الخوارزميات الرياضية و البروتوكولات لكن تتطلب تقنيات أجرائيه Procedural Techniques)) وكذلك الالتزام بالقواعد و القوانين لغرض الوصول إلى النتيجة المطلوبة. مثلاً، خصوصية الرسائل تكون مزودة بظروف مختومة، وقد يمكن أن تتعرض هذه العملية للإساءة وذلك باستخدام البريد من قبل شخص غير مخول (Not Authorized ).
 
في بعض الأحيان فأن الأمنية يمكن تحقيقها ليس فقط من خلال المعلومات نفسها لكن أيضاً من خلال الوثيقة الفيزيائية المسؤولة عن تسجيل تلك المعلومات. إن طريقة تسجيل البيانات لم تتغير بصورة هامة خلال الفترات الزمنية التي حدثت في تطور البيانات أما من ناحية خزن المعلومات فقد كان يتم على الورق ثم تطور ليصبح الخزن على وسائط مغناطيسية ويمكن إرسالها من خلال أنظمة الاتصالات. إن التغيير الملحوظ الذي حصل هو إمكانية نسخ وتغيير محتويات المعلومات. الآن يستطيع أي مستفيد أن يعمل عدد من النسخ لجزء من المعلومات المخزونة إلكترونياً وان جميع النسخ الناتجة تكون مشابهة الى النسخة الأصلية. إن عملية خزن المعلومات على الورق تعتبر عملية صعبة، بينما خزن أو انتقال هذه المعلومات مع أجهزة إلكترونية يعتبر من العمليات المميزة. وبوجود هذه الحالة الأخيرة فانه يتطلب تأمين أمنية للمعلومات و التي لا تعتمد على الوسط الفيزيائي المستخدم لتسجيل ونقل المعلومات ولكن أهداف الأمنية تتحقق من خلال المعلومات نفسها.


تعتبر التواقيع الرقمية ( Digital Signatures ) أحد الأدوات الأساسية المستخدمة في أمنية المعلومات. وهذه هي الكتلة التي تبنى عليها العديد من الخدمات والتي منها على سبيل المثال لا الحصر عدم الإنكار, إثبات صحة مصدر البيانات, التعرف (Identification ), والشهادة (Witness ). بعد تعلم أساسيات الكتابة, بالامكان التعلم على كيفية عمل توقيع كتابي (Handwritten ) لغرض التعرف (Identification ). وفي عمر التعاقد مع الاتصال فان التوقيع يتطور لكي يكون جزء متمم للهوية الشخصية (Identity ). يرمي هذا التوقيع إلى إن يكون جزء مميز (Unique ) للشخص ويخدم وسيلة للتعرف, التخويل (Authorization ), التثبت أو (Validation ). باستخدام المعلومات الالكترونية فان فكرة التوقيع تحتاج إلى إعادة تحديد ; وهي إن تكون ببساطة شئ ما مميز للموقع (Signer ) وتكون مستقلة عن المعلومات الموقع عليها. يعتبر الاستنساخ الالكتروني (Electronic Replication ) للتوقيع هو أمر في منتهى البساطة بحيث إن إضافة توقيع إلى وثيقة غير موقعة من قبــل منشأ التوقيـع أمر في غايـة التفاهة (Triviality ).

يستخدم التوقيع الرقمي لغرض التعريف (Identification) بالأجزاء (مثل شخص معين، جهاز معين، …… ) المطلوب التثبت من صحة تخويلها. اعتاد المستفيدون على استخدام التواقيع اليدوية و التي أصبحت تمثل غرض تعريفي لذلك الشخص. يجب أن يكون التوقيع الرقمي مميز وفريد للمستفيد ويعتبر وسيلة للتعريف، التخويل وكذلك التحقق (Validation). في المعلومات الرقمية فإن فكرة التوقيع تحتاج إلى إعادة نظر، إنها ليست ببساطة عبارة عن شئ مميز للموقع Signer)) وغير معتمداً على المعلومات الموقعة.

لغرض الوصول إلى أمنية المعلومات في الوسط الإلكتروني فإن ذلك يحتاج لعدد هائل من التقنيات و المهارات القانونية.
 
: تعريف: التشفير ( Cryptography ):

التشفـير عبـارة عـن دراسـة التقنيات الرياضية المتعلقـة بعـدد من مظاهر أمنية المعلومـات مثـل الوثوقية (Confidentiality)، تكامل البيانات ( Data Integrity)، إثبـات شخصيـة الكينونة (Entity Authentication ) وإثبات شخصية مصدر البيانات ( Data Origin Authentication ).إن التشفير ليس عبارة عن وسيلة لتزويد أمنية المعلومات فقط وإنما عبارة عن مجموعة من التقنيات.

فكرة نظام التشفير (Cipher System ) هي إخفاء المعلومات الموثوقة بطريقـة معينـة بحيث يكـون معناها غير مفهوما للشخص غير المخـول. وان أي شخص يعتـرض عبـارة معينـة ( أي يحصـل عليها ) مرسلـة من المشفـر ( Cryptographer) إلى مستقبل العبارة يسمى المعترض (Interceptor). إن هدف التشفير هو الزيادة (maximize ) إلى الحد الأقصى لعدم الترتيب لغرض إخفاء المعلومات ,لذلك فان تقليص عدد الاختيارات الممكنة وذلك بمراقبة النماذج الثنائية الغير مقبولة تميل إلى امتلاك نوع من الترتيب .

يمكن إن يعرف التشفير أيضا على انه علم الكتابة السرية وعدم فتح شفرة هذه الكتابـة السرية من قبل غير المخوليـن. بالنسبة لعلـم التشفير كدراسـة فانـه يعـود قدمـه للاف السنين, وقد تم تطويـره من قبـل متخصصي الرياضيـات, أمثال ( Francois Vite 1540-1603 ) و ( John Willias 1616-1703 ) . مـن وجهـة نظـر الرياضيـات الحديثـة, فانـه يرى سمات للإحصاء ( William F. Friedman 1920 ) والجبر ( Lester S.Hill 1929 ) . في الحرب العالمية الثانية أصبح للرياضيات اهتماما كبيرا في هذا المجال, كمثال على ذلك ( Hans Rohrbach 1903-1993 ) في المانيا و ( Alan Mathison Turing 1912-1954 ) في إنكلترا, ( A.Adrin Albert 1905-1972 ) و ( Marshall Hall b.1910 ) كان لهما الاهتمام المتزايد في هذا الحقل في الولايات المتحدة .

القضايا الرياضية التي لعبت دورا مهما في علم التشفير الحالي تشمل نظرية الأعـداد ( Number Theory ), نظرية المجموعات ( Group Theory ), المنطق ( Combinatory Logic), نظرية التعقيد (Complexity Theory), ونظرية المعلومات (Information Theory). يمكن أن ينظر إلى حقل التشفير عل انه جزء من الرياضيات التطبيقية وعلم الحاسبات. على العكس من ذلك, فان علماء الحاسبات اللذين يعملون علـى التشفير قـد أصبح لهم اهتمام عملي متزايد بما يتعلق بأنظمة التشغيل, قواعد البيانات, وشبكات الحاسبات, مشتملا ذلك تناقل البيانات. إن الجزء الأكبر من عمل الأمنية هو معرض للانتهاك معتمدا في ذلك على الذكاء الناتج من حل رموز عالية الدرجة وكذلك الشفرات. يرتبط علم التشفير أيضا ارتباطا مباشرا مع علم الإجرام (Criminology ). هناك العديد من المصادر التي تتطرق إلى علم الإجرام, واعتياديا مرفق معها تقارير تؤكد نجاح عمليات تحليل الشفرة وإدارتها.

أصبح هناك اهتمام تجاري في التشفير بعد اكتشاف التلغراف والمتركز على إنتاج كتب للموز (Code Books ), وبعد تصميم وتركيب ماكنات التشفير الميكانيكية والالكترونية. استخدم الحاسبات الالكترونية بعد ذلك لغرض كسر الشفرات وأصبحت هناك محاولات ناجحة لكسر الشفرات في الحرب العالمية الثانية.تعتبر الحاسبـات المبرمجة أجهزة ملائمة بشكل كامل كماكنة تشفير , لكن هذه الحالة لم يكن ممكنا انتشارها بسرعة في الاتصالات الخاصة بسبب الأدلة التي تثبت أن التشفير هو علم معلن.

أهداف التشفير ( Cryptographic Objectives ):

لقد تم التطرق إلى كافة أهداف أمنية المعلومات في الجدول (1-1) ، ويمكن وضع هذه الأهداف بأربعة أطر وهي:

1- الوثوقية ( Confidentiality ) : هي عبارة عن خدمة معينة تمنع من خلالها معرفة محتويات المعلومات عن جميع المشتركين عدا الأشخاص المخولين بامتلاك هذه المعلومات . يعتبر مفهوم الأمنية ( Secrecy) مرادفا لكل من الوثوقية والخصوصية (Privacy ).

2- تكامل البيانات ( Data Integrity ) عبارة عن خدمة موجهة لإغراض احتواء التغييرات الغير مسموح بها (Unauthorized) للبيانات ولتحقيق هذا الهدف يجب تمتلك الإمكانية لكشف معالجة البيانات من قبل الأطراف الغير مخولة. تشمـل معالجة البيانات عمليات مثل الحشر (Insertion ), الحذف (Deletion) والإحلال (Substitution). يجب أن يكون مستقبل الرسالة قادرا على إثبات أن العبارة لم يتم تحويرها أثناء الإرسال و أن العدو يجب أن لا يكون قادرا على إحلال عبارة كاذبة بدلا من عبارة شرعية.

3- إثبات الشخصية (Authentication) :عبارة عن خدمة أو وظيفة تتعلق بتحقيق التعريف (Identification ) ,هذه الوظيفة تطبق على كل من المشتركين في الاتصال (Two Parties ) وعلى المعلومات أيضا حيث أن الأطراف المشتركة عند الاتصال عليها أن تعرف بعضها إلى البعض الأخر . أما ما يخص المعلومات المستلمة فيجب أن تطابق شخصياً المعلومات الأصلية التي أرسلت وكذلـك تاريخ إرسـال المعلومات ومحتويات المعلومات ووقت الإرسال, لهذه الأسباب يقسم التشفير اعتماداً على الخاصية أعلاه إلى صنفين رئيسين هما :

أ - إثبات شخصية الكينونة (Entity Authentication) .

ب - إثبات شخصية مصدر البيانات (Data Origin Authentication).

أن طريقة إثبات شخصية مصدر البيانات تزودنا ضمنياً بتكامل البيانات (Data Integrity ).

نستنتج من هذا انه في إثبات الشخصية يجب أن يكون ممكنا لمستقبل العبارة أن يتحقق من مصدرها ; وان العدو يجب أن لا يكون قادرا على التنكر بأنه شخص معين أخر.

4: عدم الإنكار ( Non- Repudiation ) : عبارة عن خدمة أو وظيفة والتي تمنع أي كينونة (Entity ) من أن ينكر أي تعهد أو عمل سابق تم أجرائه . لذلك عند حصول مثل هذا النـزاع (Dispute ) بين الأطراف المشتركة في إنكار ما تم اتخاذه من أعمال فيجب توفير وسيلة معينة لحل هذا النزاع. يتم توفر هذه الوسيلة من خلال أجراء معين يتضمن إشراك طرف ثالث موثوق. يجب على المرسل أن لا يكون قادرا على الإنكار الكاذب بعد فترة ويدعي انه قد أرسل عبارة.

أن الهدف الأساسي للتشفير هو تحديد هذه الأهداف في كل من الجانب النظري والعمليات.



إضافة إلى ذلك فان هدف التشفير هو لجعل الرسالة أو السجل غير قابل للإدراك من قبل الأشخاص غير المخولين. إن أي محاولة لإعادة تشفير ( re-encipher ), إعادة إرسال نفس الرسالة – بصورة صحيحة , فانه في هذه الحالة يمثل خطر امني كبير , لذلك يجب أن يكون هناك تجاه تشفيري متشدد لمنع مثل هذه الحالات .

هناك أدوات تشفير والتي تدعى أحيانا ( الأساسيات ) أو الأوليات Primitives ) والتي تستخدم في توفير أمنية المعلومات وان هذه الأدوات يمكن تخمينها (أو تقييمها Evaluated ) من خلال عدة مظاهر مثل :

1- مستوى الأمنية ( Level of Security) : هذه الخاصية من الصعوبة التعبير كميـا عنهـا (Quantity ) . غالبا ما تعطى بمفردات اومفاهيم عدد العمليات المطلوبة ( باستخدام أحسن الطرق المعروفة حاليا ) لكي يحبط الأهداف المضادة. يعرف مستوى الأمنية مثاليا من خلال حد أعلى لكمية العمل الضروري لإحبـاط الأهـداف المضادة وهذا أحيانا يسمى عامل الشغل (Work Factor).

2- الوظيفية (Functionality) : أن الأوليات (Primitives) تحتاج لان تدمج لغرض مواجهة أو تحقيق عدد من أهداف الأمنية . ويتم اختيار أي من الأوليات من خلال فعالية تلك الأوليات. ماهو أي من الأساسيات الأكثر فعالية سيحدد الخصائص الأساسية للأوليات والأولية التي سيتم اختيارها هي تلك التي تتميز بفعالية أكثر.



index.php
 

المرفقات

  • الشكل 1.png
    الشكل 1.png
    17.4 KB · المشاهدات: 3,709
السلام ...
اخي العزيز شعلة الشهداء اسمح لي بالاستفادة من مقولتك في المعهد الفني للتكنولوجيا واكون لك من الشاكرين
 
السلام ...
اخي العزيز شعلة الشهداء اسمح لي بالاستفادة من مقولتك في المعهد الفني للتكنولوجيا واكون لك من الشاكرين
سأكون سعيد بذلك أخي هادي
 

مصطلحات فنية وأفكار أساسية ( and ConceptsBasic Terminology ):


أن المتخصص في موضوع التشفير عليه أن يلم ببعض المصطلحات والأفكار المستخدمة من اجل الوصول إلى فهم لما يتم تنفيذه من خلال خوارزميات التشفير المختلفة.




إن نظام التشفير قد يأخذ صيغة واحدة من بين عدة صيغ, مثلا مجموعة ايعازات, جزء من مكون مادي ( Hardware) أو برنامج, واحد هذه الصيغ يتم اختياره بواسطة مفتاح التشفير.


1: مديـات التشفير (Encryption domain and codomains )


1st- تشير إلى مجوعة محددة يطلق عليها أبجدية التعريف ( Alphabet of Definition) , كمثال علـى ذلـك A={0,1} , تسمى الابجديـة الثنائية ( Binary Alphabet ) . كما هو معروف فأن كل حرف أبجدي يمكن تمثيله بسلسلة من الأرقام الثنائية .

M: تشير إلى مجموعة تسمى مساحة العبارة (Message Space). تتكون M من سلسة من الرموز ضمن مجموعة الحروف الأبجدية وأي عنصر في M يسمى العبارة الواضحة (Plaintext Message ) أو باختصار النص الواضح (Plaintext ) لذلك فقد تكون Mسلسلة من الأرقام الثنائية أو رموز حسابية (Computer Codes).


C: تشير إلى مجموعة تسمى مساحة التشفير (Ciphertext Space ) ومتكونة من سلسلة من الرموز المكونة للحروف الأبجدية والتي تختلف صيغتها أو شكلها (Form ) عن العبارة الأصلية (M) . أن أي عنصر من Cيسمى النص المشفر (Ciphertext).




التحويلات التشفيرية ( Encryption and Decryption Transformations ):


K : يشير إلى مجموعة تسمى مساحة المفتاح (Key Space ), كل عنصر من k يسمى مفتاح ( Key ) .


كل عنصر e تابع إلى k ( e ε k ) يحدد لنا عنصر من M إلى Cويطلق عليها Ee حيث تسمى دالة التشفير. يجب أن تعمل Ee في كلا الاتجاهين أي أنها تمكن من تحويل نص وضح إلى مشفر وبالعكس (Bijection).كل عنصر d تابع إلى


k ( dÎk ) ، فأن التعبير Dd . يشير إلى إمكانية تحويل C ألى M ( بمعنى آخر Dd:c → m ) ويطلق عليها دالة فتح الشفرة ) أو تحويل فتح الشفرة (Decryption Transformation ) . أن عملية تطبيق دالة Ee إلى عبارة m ( m ε M ) عادةً ما تشير إلى تشفير العبارة m أما عملية تطبيق الدالة Dd . إلى عبارة مشفرة c ( c ε C ) فيشار لها بإعادة فتح التشفير للعبارة c .


طريقة التشفير تتألف من مجموعة تحويلات التشفير ( Ee: eÎK ) وما يقابلها من مجموعة ( Dd: d ε K ) من تحويلات فتح الشفرة وبخاصية أن كل e Îk يوجد مفتاح واحد d Îk بحيث ان Dd=E-1e وبمعنى أخر :


Dd=(Ee(m))=m


لكل عنصر m ÎM . يطلـق على مفهـوم التشفير أحيانا بالشفرة (Cipher ) .


المفاتيح e وd يشيران إلى زوج مفتاح ويشار له أحيانا بـ ( e ,d) يمكن أن يكون e وd متساويان .


وعلى هذا الأساس ولغرض بناء نظام تشفير فنحتاج إلى مايلي:


1- مساحة العبارة الواضحة M.


2- مساحة العبارة المشفرة C.


3- مساحة المفتاح K.


4- تحويلات التشفير Ee: cÎK .


5- تحويلات فتح الشفرة Dd. :dÎK .




كل تحويل تشفير Ek’يعرف بواسطة خوارزمية تشفير E والتي هي عامة للجميع ومفتاح K’ والذي يميزها عن باقي التحويلات ( أي أن المفتاح يميز طريقة تشفير عن أخرى ) , بينما تحويل فتح الشفرة هو معكوس تحويل التشفير.




تسمى خوارزمية التشفير أيضا شفرة (Cipher ) , والتي هي الوظيفة الرياضية المستخدمة في عملية التشفير وفتح الشفرة . إذا كانت أمنية أي خوارزمية معتمدة على الحفاظ على أسلوب أو طريقة تعمل الخوارزمية بسرية, فإنها تسمى خوارزمية مقيدة (Restricted Algorithm). أخذت الخوارزميات المقيدة اهتماما تاريخيا, لكنها الآن غير ملائمة لمقاييس الوقت الحاضر حيث تتضمن الكثير من المساويء, فانه مثلا إذا حدث وان شخص ما اكتشف صدفة أمنية الطريقة, فانه أي شخص يستطيع تغيير الخوارزمية. التشفير الحديث حل هذه المشكلة باستخدام المفتاح (Key ) ويشار له بـ k . هذا المفتاح قد يكون أي عدد كبير من القيم. مدى المفاتيح الممكنة يسمى مساحة المفتاح Key Space )). كل الأمنية المستخدمة تعتمد على المفتاح ( أو المفاتيح ), ولا تعتمد على تفاصيل الخوارزمية. هذا يعني أن الخوارزمية يمكن أن تعلن وتحلل.




أنظمة التشفير يجب أن تحقق ثلاث متطلبات عامة :


1: تحويلات التشفير وفتح الشفرة يجب أن تكون كفؤة لكل المفاتيح.


2: النظام يجب أن يكون سهل الاستعمال.


3: أمنية النظام يجب أن تعتمد فقط على أمنية المفاتيح وليس على أمنية الخوارزمية E , D .


المبادئ العملية الأساسية في نظام التشفير المستخدم في الجيوش:


الشفرة المستخدمة في الجيوش يجب أن تحقق أهدافا عملية طبيعية تتناسب والواجبات المناطة بها والظروف القائمة أو المحيطة, حيث يتطلب تحقيق مايلي في نظام التشفير المستخدم:


1: الموثوقية أو التعويل (Reliability),


2: الأمنية (Secrecy ) ,


3: السرعة (Rapidity ) ,


4: المرونة (Flexibility ) ,


5: الاقتصاد (Economy ) .


تكون أهمية هذه المتطلبات نسبية, ولكن بشكل عام فان ترتيبها يدل على أهميتها. فالموثوقية المطلوبة في نظام التشفير وأجهزته تعني إجراءات التشفير عند تطبيقها على نصوص واضحة ومحولة إلى نصوص مشفرة, يجب أن تتمكن الجهة المستلمة للنص المشفر من حل الشفرة بفترة زمنية مناسبة بشكل صحيح وبدون التباس والحصول على النص الأصلي كاملا. أما الأمنية فإنها تعني حماية المعلومات المرسلة بواسطة نظام التشفير. السرعة تعني سرعة تشفير الرسائل والمعلومات وسرعة حلها والحصول على النص الواضح .



هناك علاقة قوية بين الأمنية والسرعة فتزداد احدهما على حساب الأخرى ووفقا للظروف والمتطلبات الأخرى التي توفق بين الأمنية والسرعة . إن أقصى حد من الأمنية في اغلب الأوقات تكون هي الهدف وخاصة بالنسبة للمعلومات المهمة, لذلك يضحى بالسرعة لإعداد درجة كبيرة من الأمنية.
 

1 -14 : تحليل الشفرة ( Cryptanalysis ):-


إن الجهد الكامل للتشفير هو الحفاظ على النص الواضح ( أو المفتاح, أو كلاهما) بصورة سرية من المتنصتين ( أو ببساطة يسمون الأعداء ). إن الأعداء تم افتراضهم على أنهم يملكون كامل الوصول إلى الاتصالات بين المرسل والمستقبل.


تحليل الشفرة عبارة عن دراسة التقنيات الرياضية لغرض الإستفادة منها في محاولة التعرض أو إحباط (Defeat) التقنيات التشفيرية, أي بمعنى أخر لكسر الشفرات. تكون الشفرة قابلة للكسر إذا كان بالا مكان تحديد النص الواضح آو المفتاح مـن النص لمشفـر, أو تحديد المفتـاح مـن زوج المعلومات النص الواضح – النص المشفر. إن تحليل الشفرة هو علم استرجاع النص الواضح لعبارة معينة بدون الوصول إلى المفتاح. تحليل الشفرة الناتج قد يسترجع النص الواضح أو المفتاح. قد يوجد ضعف في نظام التشفير والذي في الأخيـر يؤدي إلى نتائج سابقة ( فقدان المفتـاح خلال وسائل غير تحليليـة يسمى التعـرض (Compromise ) .




يجب ملاحظة أن المفاتيح التشفيرية والنصوص الواضحة التي تملك انتظامات متوقعة تكون ضعيفة بسبب أنها تنتج نصوص مشفرة والتي يمكن تحليلها لكشف أما النص الواضح أو المفتاح .


إن علم التشفير ( Cryptography) يتعامل مع التصميم والتحليل للأنظمة التي توفر اتصالات أمينة (Secure ) أو عليه مقاومة علم تحليل الشفرة ( Cryptanalysis) . إن أي نظام يطلق عليه انه معرض للخطر أو الانتهـاك ( Compromised) بواسطة علم تحليل الشفرة إذا كان بالامكان استرجاع العبارة الأصلية أو النص الواضح من النص المشفر بدون معرفة المفتاح المستخدم في خوارزمية التشفير . يتعلق علم فتح الشفرة بتخصص عالي للرياضيات التطبيقية حيث يأخذ فرع منها مثل نظريـة الاحتماليـة , نظرية الأعداد , الإحصاء والجبر . يجب على محلل الشفرة (Cryptanalyst ) أن يكون ذو قبلية كبيرة جدا في كل هذه الحقول وان لديه القدرة على استيعابها جيدا . كذلك فان على محلل الشفرة أن يحصل على فوائد من المعلومات الثانوية حول النظام مثلا طبيعة خوارزمياته , لغـة الاتصـال , أو محتوى وسياق العبارات والصفات الإحصائية للغة النص الواضح ( مثلا , الحشو Redundancy ) .


إذا امتلك المفتاح تسلسل منتظم والذي يمكن استنتاجه من فحص النص الواضح , فان محتويات على الأقل بعض من النص الواضح يمكن استرجاعه من قبل محلل الشفرة . علاوة على ذلك , فان محلل الشفرة قد يكون قادرا أيضا على استنتاج الخوارزمية التي أنتجت المفتاح , والتسلسل المستخدم لبدايتها . مثل هذا المفتاح يعتبر ضعيفا . أمثلة على المفاتيح الضعيفة هي تلك المفاتيح التي تستخدم تنفيذ طويل للواحدات او الاصفار . على كل حال , فان أي مفتاح يمكن اعتباره ضعيفا إذا امتلك مايلي : الانتظامات الإحصائية , له هيكل أو تركيب واضح , يظهر التماثل , أو يمكن توقعه في وقت متعدد الحدود.


تعتبر مشكلة علم فتح الشفرة هي مشكلة تعريف النظام (System Identification Problem ) وان هدف علم التشفير هو بناء أنظمة والتي يصعب التعرف عليها . على نظام التشفير بناء أنظمة تشفيرية بحيث تتصف بالصعوبة من اجل ا التعرف عليها .


من هنا يمكن القول أن التشفير هو عملية تصميم أنظمة التشفير . وتحليل الشفرة (Cryptanalysis ) هو الاسم المعطى لعملية استنتاج النص الواضح من النص المشفر بدون معرفة المفتاح . في الواقع العملي فان محلل الشفرة غالبا ما يكون مهتما أيضا باستنتاج المفتاح إضافة إلى النص الواضح . يشمل مصطلح الـ (Cryptology ) كلا من علم التشفير (Cryptography ) وعلم تحليل الشفرة (Cryptanalysis ) .


وفقا لما حدده فريندمان ( William F. Friendman ) , فان تحليل الشفرة يشتمل على تحديد اللغة المستخدمة , نظام التشفير العام , المفتاح المحدد , والنص الواضح .يحتاج تحليل الشفرة إلى تطبيق الوسائل الصحيحة في الموضع الصحيح . من الشائع لتحليل الشفرة , فان المسالة المطروحة هي ليست فقط الجهد المبذول , لكن كذلك الوقت المتوفر .


التشفير وتحليـل الشفرة هما مظهـران مـن مظاهـر دراسـة علم التشفير ( Cryptology ) , كل منهما يعتمد على الآخر ويؤثر احدهما في الآخر في تفاعل معين لغرض وضع تحسينات لتقوية أمنية تحليل الشفرة من جانب واحد والجهود لجعل هجومات أكثر كفاءة من جانب آخر . يكون من النادر الحصول على النجاح في هذه المهمة , حيث أن عملية الفشل هي الشائعة في هذا المجال . كل الجهود الرئيسة التي وضعت في الحرب العالمية الثانية قد نجحت – على الأقل بين فترة وأخرى – في حل أنظمة تشفير العدو , لكن كل هذه المحاولات في بعض الأحيان تواجه دفاعات , على الأقل جزئيا . إن هذه الأشياء سوف لاتكون مختلفة كليا في القرن الحادي والعشرين .


إن لمحلل الشفرة في بعض الأحيان وقت كافي لإنجاز عمله , حيث لا توجد شفرة لايمكن كسرها , هذه العبارة يجب طبعا إثباتها بدرجة معقولة . إن قول بول ريفرز المشهور " اذا كان الرقم واحد يعني البر والرقم اثنان يعني البحر , لايمكن كسر هذه الشفرة من قبل البريطانيين حتى ولـو استخدمـوا أحدث الحاسبات الالكترونية , والسبب في ذلك هو عدم توفر المعلومات الكافية " .


تجدر الإشارة إلى أن التقديرات الحسابية بالنسبة لمعدل أو الوقت المطلوب لفك نظام تشفير المعلومات محددة بالوقت الذي يستغرقه جهاز حاسبة الكترونية كبيرة لإيجاد كافة رموز الرقم الأصلية بحجم الكلمة المراد تحويلها .


الآن لنعرف ماذا يعني كسر نظام تشفيري . محلل الشفرة , أو العدو كما يطلق عليه في المعتاد , فانه يفترض في هذا العدو أن تكون لديه المعرفة الكاملة بدالة التشفير e ودالة فتح الشفرة d . بالإضافة إلى ذلك , فان هذا العدو قد يملك العديد من المعلومات الجانبية ( الإضافية ) مثلا إحصائيات اللغة , معرفة بمحتوى موضوع الرسالة , الخ .


إن العدو بالتأكيد لديه بعضا من النص المشفر , لكن جميع الأعداء يعوزهم المفتاح والذي منه يستطيع أن يستخدم d لغرض فتح الشفرة C بنجاح . هذه الحالة موضحة في الشكل 1 .2 .


شكل 1. 2: فعاليات العدو لكسر الشفرة .




index.php

 

المرفقات

  • فعاليات العدو لكسر الشفرة.png
    فعاليات العدو لكسر الشفرة.png
    13 KB · المشاهدات: 3,542
عودة
أعلى