واژه نامه امنیت سایبری

واژه نامه امنیت سایبریدر زیر لیستی از واژه های پرکاربرد در حوزه امنیت اطلاعات را معرفی می کنیم . در حقیقت به معرفی واژه نامه ی امنیت سایبری خواهیم پرداخت . این واژه نامه می تواند برای کسانی که در حوزه امنیت اطلاعات فعالیت می کنند یک راهنمای اولیه باشد .

واژه نامه ی امنیت سایبری

APP : مخفف Application می باشد که به برنامه های نرم افزاری مورد استفاده در اسمارت فون ها و تبلت ها اطلاق می شود .

مرورگر (Browser) : یک نرم افزاری است که به ارائه اطلاعات و سرویس های مختلف از طریق وب می پردازد .

شبکه (Network) : به تعداد دو یا بیشتر از دو کامپیوتر متصل به هم گفته می شود که امکان به اشتراک گذاری منابع را دارند .

روتر (Router) :یکی از تجهیزات شبکه می باشد که به انتقال بسته های داده ، از طریق شبکه به آدرس های مشخص شده توسط مدیر شبکه می پردازد . برخی مواقع آن را با نام دروازه (Gateway) نیز عنوان می کنند .

پلتفرم (Platform) : به یک سخت افزار پایه (دستگاه فیزیکی) و نرم افزار (سیستم عامل) گفته می شود که امکان اجرای برنامه های مختلف بر روی آن وجود دارد .

شبکه های خصوصی مجازی (VPN) : یک شبکه رمزگذاری شده که اغلب به ایجاد ارتباطات امن برای کاربران راه دور می پردازد . مثلا شبکه ایجاد شده بین دو اداره مختلف در یک سازمان .

بدافزار (Malware) : نرم افزارهای مخرب نظیر ویروس ها ، تروجان ها ، کرم ها و هر کد و محتوایی که به یک مهاجم امکان تاثیر گذاری بر روی عملکرد یک سیستم و یا سازمان دهی های مختلف را بدهد گفته می شود .

ویروس (Virus) : برنامه ای که می تواند خودش را تکثیر کند و نرم افزارها ، برنامه ها و حتی سیستم های دیگر را هم آلوده کند . در واقع نوعی بدافزار می باشد .

هکر (Hacker) : به طور کلی به کسی اطلاق می شود که دارای مهارت های کامپیوتری خاصی است و با استفاده از این مهارت ها سعی می کند تا امکان نفوذ به کامپیوترها ، سیستم ها و شبکه هایی که حق دسترسی به آن ها را ندارد ، پیدا کند .

مهاجم (Attacker) : یک عامل بدخواه که با نفوذ به سیستم ها سعی به تغییر ، سرقت و یا جعل اطلاعات مختلف می نماید تا به استفاده از آن ها به سوءاستفاده های مختلف بپردازد .

حمله (Attack) : به تلاش های مخرب به منظور آسیب رساندن ، مختل کردن و یا دسترسی غیر مجاز به سیستم های کامپیوتری و شبکه ها گفته می شود .

هانی پات (Honey pot) : شبکه ها یا سیستم های به ظاهر جذاب برای حمله یک مهاجم که محدودیت های سیستم های واقعی را ندارند و هدف آن ها شناسایی مهاجمان ، اهداف آن ها و یادگیری شیوه های حمله مهاجمان می باشد . به چندین هانی پات ، هانی نت (Honey net) گفته می شود .

دیواره آتش (Firewall) :سخت افزار یا نرم افزاری است که با استفاده از مجموعه ای از قوانین تعریف شده به کنترل ترافیک شبکه و جلوگیری از دسترسی غیر مجاز به اطلاعات حساس و یا شبکه می پردازد .

آسیب پذیری (Vulnerability) : یک ضعف و یک نقص در نرم افزار ، سیستم و حتی فرآیند که به مهاجم امکان نفوذ به سیستم و آسیب رسانی به عملکردها را می دهد .

رخنه (Breach) : یک آسیب پذیری در داده ها که به وسیله آن امکان دسترسی به سیستم کامپیوتری یا شبکه برای افراد غیر مجاز فراهم می شود .

حادثه (Incident) : یک رخنه در قوانین امنیتی برای یک سیستم و سرویس که می تواند شامل موارد زیر باشد :

تلاش برای دستیابی غیر مجاز به یک سیستم یا داده

استفاده غیرمجاز از یک سیستم برای پردازش و یا ذخیره سازی داده ها

تفییر یک سیستم ، نرم افزار و حتی سخت افزار بدون اجازه خود مالکین آن

قطع ارتباطات و یا حملات DoS

گواهینامه (Certificate) : یک فرم دیجیتالی برای یک کامپیوتر ، کاربر یا سازمان که به احرازهویت آن ها کمک کرده و باعث حفظ امنیت اطلاعات می شود .

مدارک هویتی (Credentials) : مدارک احراز هویتی یک کاربر که برای احراز هویت یک شخص استفاده می شود و می تواند شامل رمزهای عبور ، توکن ها و گواهینامه های دیجیتالی باشد .

اطلاعات در استراحت (Data at rest) : توصیفی است از داده های ذخیره شده در حافظه دائمی از قبیل هارددیسک ها ، رسانه های قابل حمل و یا سیستم های پشتیبان گیری .

Malvertising : شیوه ای که در آن با استفاده از تبلیغات آنلاین به انتقال بدافزارها به سیستم های کامپیوتری پرداخته می شود .

کاهش خطرات (Mitigation) : اقدام هایی که سازمان ها و افراد می توانند برای به حداقل رساندن ریسک های امنیتی انجام دهند .

خطرات داخلی (Insider Risk) : به پتانسیل موجود برای کارهای خرابکانه توسط افراد درون یک سازمان و یا کاربران قانونی که حق دسترسی به قسمت های مختلف را دارند گفته می شود .

رمزنگاری (Cryptography) : توابع ریاضی که از افشاشدن اطلاعات  در مقابل افراد غیرمجاز جلوگیری می کند و تنها کسانی امکان دسترسی به اطلاعات را دارند که کلید رمز را داشته باشند .

حمله Brute Force :مهاجم با استفاده از توان محاسباتی کامپیوترها ، ترکیب های چندگانه ای را برای شناسایی رمز عبور ایجاد می کند و با رمزعبور کشف شده به قسمت های غیرمجاز دسترسی پیدا می کند .

حمله دیکشنری (Dictionary Attack) : یک نوع از حمله Brute Force می باشد که در آن مهاجم با استفاده از مجموعه ای از رمزهای قابل قبول سعی در حدس زدن کلمات عبور می کند .

حمله دانلود (Download Attack) : نصب یک بدافزار یا ویروس به صورتی که کاربر هیچ اطلاعی از نصب آن نداشته باشد و بدون رضایت کاربر به رصد وی و کپی برداری از اطلاعات بپردازد .

حمله بهره برداری (Exploit Attack) : به نرم افزارها و یا داده های اشاره می کند که از آسیب پذیری های موجود در سیستم برای ضربه زدن به آن استفاده می کنند .

فیشینگ : به سرقت بردن اطلاعات حساس بانکی و شخصی افراد از طریق صفحات جعلی وب و یا ایمیل های اسپم .

Pharming : حمله به زیرساخت یک شبکه که در نتیجه باعث انتقال کاربران آن شبکه به یک وب سایت غیرقانونی می شود ، این در حالی است که کاربر آدرس سایت را درست وارد کرده است ولی به مکانی دیگر منتقل می شود .

Sanitisation : با استفاده از شیوه های تخریب فیزیکی یا الکترونیکی به پاک کردن و حذف اطلاعات از حافظه ها مبادرت می شود .

Smishing : فیشینگ با پیامک . در این حمله با ارسال پیام های متنی به کاربران از آن ها اطلاعات حساس نظیر اطلاعات بانکی پرسیده می شود و یا آن را ترغیب به ورود به سایت های جعلی می کنند .

Pentest : آزمون نفوذ . یک آزمایش مجاز بر روی شبکه کامپیوتری یا سیستم امنیتی می باشد که به هدف شناسایی ضعف های امنیتی می پردازد و سعی می کند تا این ضعف ها را از طریق شیوه های اثبات ریاضی برای مدیران شبکه معلوم نماید .


تهیه و گردآوری : مسعود معاونی

منبع : منابع مختلف


 

دیکشنری حملات در رمزنگاری

دیکشنری حملات در رمزنگاری

دیکشنری حملات در رمزنگاری

حملات مطرح در سیستم های رمزنگاری :

در این پست قصد داریم به معرفی حملات مطرح در سیستم های رمزنگاری و پروتکل های امنیتی بپردازیم . این پست در حقیقت یک دیکشنری آنلاین از انواع حملات رمزنگاری می باشد . شما هم می توانید در بخش کامنت های این پست در تکمیل این دیکشنری به ما کمک کنید .

(پست مشابه : واژه نامه امنیت سایبری)

حمله شماره ۱ :

حمله سرقت تایید کننده یا حمله خودی :

(Stolen verifier attack OR Insider attack) :

در اغلب احراز هویت های مبتنی بر رمز عبور ، سرور اطلاعات مشتریان را در پایگاه داده خود ذخیره می کند (مانند کلمه عبور ، اطلاعات بیومتریک و…) و این کار به هدف احراز هویت مشتری بوسیله تایید کننده (verifier ) صورت می پذیرد .

بنابراین سرور می تواند ، همواره هدف اولیه حمله کننده باشد . زیرا حمله کننده می تواند به راحتی اطلاعات حساسی از کاربران را به دست آورد .

در مجموع در این حمله یک هکر تلاش می کند سرور را هک کرده و به استخراج اطلاعات مشتری از پایگاه سرور بپردازد و از آن اطلاعات با جازدن خود به جای کاربران سواستفاده کند .

 

حمله شماره ۲ :

حمله حدس زدن رمز عبور :

(Password guessing attack):

در این حمله مهاجم(adversary) سوابق پیام های احراز هویت بین مشتری و سرور را بررسی کرده ، سپس با استفاده از یک فرهنگ لغت (dictionary) رمزهای عبور گوناگون را انتخاب و تست می کند و سپس با استفاده از پیام های تاییدهویت تلاش می کند تا رمز عبور صحیح را بدست آورد .

اگر مهاجم بتواند رمز عبور را درست حدس بزند ، می تواند از این به بعدخود را به عنوان یک مشتری قانونی جابزند و هویت خود را برای سرور جعل کند . حتی اگر رمز درست پیدا نشود ، مهاجم می تواند  آن قدر رمزهای عبور دیگر را از فرهنگ لغت امتحان کند و این عمیات را تا زمانی تکرار کند تا به رمز عبور صحیح برسد .

در این حمله به بررسی دو زیر حمله می پردازیم :

  • حمله فرهنگ لغت ، واژه نامه (dictionary attack) :

همانطور که در بالا گفته شد ، در این حمله به حدس زدن کلمه عبور با کمک یک فرهنگ لغت که حملات رایج را شناسایی می کند می پردازیم .

 

  • حمله نیروی نفوذی (Brute force attack):

در واقع نوعی حمله حدس زدن رمز عبور شم می باشد . که در آن مهاجم سعی می کند تا به هر شکل  ممکن ترکیب ، یا کدی که رمز عبور شما بر مبنای آن شکل گرفته است را پیدا کند . این نوع حمله ممکن است زمان طولانی طول بکشد . برای مقابله با این حمله تا جای ممکن رمز عبور خود را پیچیده و بزرگ در نظر بگیرید .

 

  • حمله واقعه نگار (keylogger attack):

در این حمله مهاجم به دنبال ضربه زدن به کلید و یا نظارت سیستمی می باشد . این حمله هویت یک کاربر واقعی را به کمک نرم افزارها یا سخت افزارهای مخرب جعل می کند . این نرم افزار ها یا سخت افزارها در این نوع حمله عصای دست یک هکر می باشند و هکر به کمک آن ها به سادگی رمز عبور یک قربانی را بدست می آورد . این برنامه تمام کلیدهای که یک کاربر فشار میدهد و یا عملاتی که در حال پردازش آن است را ضبط و ثبت و ذخیره می کند . این اطلاعات به راحتی برای فرد دیگری فرستاده می شود ، لاگرهای امروز به شدت در حال توسعه و رشد هستند تا حدی که امکان ضبط صوت و تصویر را هم دارند .

 

  • حمله درب پشتی (Back door):

درب پشتی در یک برنامه پیچیده یا پروتکل احراز هویت راهی برای دور زدن احراز هویت و دسترسی عادی می باشد . معمولا طراحان ، درب پشتی را برای مقاصد مختلف در حین طراحی قرار می دهند و پس از آماده شدن محصول آن را حذف می کنند . بسیاری از برنامه های موجود در اینترنت دارای حفره های (درب های پشتی ) مناسب می باشد که در واقع روزنه ایبرای نفوذ مهاجمین محسب می شود .

حمله شماره ۳ :

حمله Denning –sacco attack :

یا حمله تعدد (multiplicity attack):

این حمله زمانی رخ می دهد که مشتری و یا سرور شمامل یک کلید نشست قدیمی باشد . هنگامی که مهاجم (adversary) یک کلید جلسه قدیمی را بدست آورد ، تلاش می کند تا یک کلید بلند مدت خصوصی (به عنوان مثال رمز عبور مشتری ) را پیدا کند و یا کلید جلسه دیگر را از طریق کلید نشست قدیمی بدست آورد . در واقع در این حمله با به خطر افتادن یک کلید نشست تازه ، کل طرح به خطر خواهد افتاد .

 

حمله شماره ۴ :

حمله خودداری از خدمات  DOS , DDOS)) :

حمله DOS  مخفف (Denial Of Service) و حمله DDOS مخفف (Distributed Denial Of Service) می باشد .در این حملات مهاجم ، از دسترسی کاربران مجاز به منابع مجاز جلوگیری می کند .

باید توجه داشت که حملات اینترنتی و سایبری فقط شامل بدست آوردن و تخریب الگوریتم یک پروتکل نمی باشد . در بسیاری از حملات هدف اختلال در روند و عدم دسترسی کاربران به امکانات مجاز می باشد . این حملات معمولا به وب سرورهای بانک ها ، درگاههای پرداخت الکترونیکی و name server ها می باشد .

در این حملات مهاجم درخواست های متعددی را به سرور ارسال می کند تا بدین شکل دسترسی و مدیریت سرور بر روی منابع را کاهش دهد .

در هر دو حمله DOS ,DDOS هدف جلوگیری از ادامه فعالیت است اما تفاوت در منابع می باشد . در DOS مهاجم از یک منبع استفاده می کند ولی در DDOS مهاجم از چندین سیستم که در یک محیط گسترش یافته اند برای حمله استفاده می کند .

حمله شماره ۵ :

حمله اصلاح :

Modification attack  :

در این حمله یک مهاجم تلاش می کند تا در فرآیند احراز هویت اطلاعات تغییری ایجاد کرده و یا اصلاحاتی بوجود بیاورد . هدف در این جا حمله به یکپارچگی اطلاعات است ، این حمله باعث محرومیت از خدمات می شود .

حمله شماره ۶ :

حمله تصدیق دوجانبه :

Mutual authentication :

تصدیق دوجانبه بدین معنی است که کلاینت و سرور برای یکدیگر در همان پروتکل موجود تصدیق شوند . اگر این امکان در یک پروتکل فراهم نباشد مهاجم می تواند به عنوان یک سرور قانونی و یا مشتری به جعل هویت بپردازد .

 

حمله شماره ۷ :

حمله مردی در میانه :

Man – In – Middle attack  :

این حمله در واقع نوعی از استراق سمع فعال است که در آن مهاجم با قربانیان رابطه ای مستقل برقرار کرده و به ارسال پیام های استاندارد بین سرور و کاربر(یا دو کاربر بایکدیگر یا حتی دو سرور با یکدیگر ) می پردازد و سعی در جلب اعتماد آن ها دارد به طوری که آن ها باور می کنند که به صورت مستقیم در حال گفتگو هستند در حالی که اتصال خصوصی آنها توسط یک مهاجم کنترل می شود .

حمله شماره ۸ :

کلید نشست امنیتی :

Session key security  :

این ویژگی بدان معنی است که در پایان تبادل کلید نشست ، کسی جز دوطرف نشست (کلاینت وسرور)از کلید اطلاعی نداشته باشد . نقض این ویژگی می تواند حمله ای را بوجود آورد .

حمله شماره ۹ :

محرمانگی مناسب رو به جلو یا عقب :

perfect forward secrecy or perfect backward secrecy  :

محرمانه بودن اطلاعات در آینده و یا حفظ اطلاعاتی که در گذشته اتفاق افتاده از نیازهای امنیتی مهم برای پروتکل های امنیتی است . یک پروتکل برای حفظ محرمانگی (رو به جلو یا عقب) تضمین می کند حتی اگر کلید درازمدت (اصلی) یک کاربر یا حتی سرور (به عنوان مثال رمز عبور) به خطر بیفتد ، هرگز کسی نمی تواند کلید نشست قبلی را بیابد .

حمله شماره ۱۰ :

شناخته شدن (لورفتن) کلید محرمانه :

Known – key secrecy  :

این پروتکل تضمین می کند که حتی اگر مهاجم بتواند یک کلید نشست قدیمی بدست بیاورد ، نتواند هیچ کلید نشست مشتق شده دیگری را بدست آورد . این بدان معنا است که کلیدهای نشست مستقل از یکدیگر هستند .

تا زمانی که طرح های امنیتی در حال رشد باشند دنیای حملات رمزنگاری نیز رشد خود را خواهند داشت پس در حال تکمیل……. ارتباط

گردآورنده : مسعود معاونی

ایمیل جهت ارتباط : moaveni1@gmail.com

مرجع جامع معرفی ارزهای دیجیتال(Cryptocurrencies)؛مفاهیم مقدماتی

معرفی ارزهای دیجیتال

معرفی ارزهای دیجیتال

مفاهیم مقدماتی :
ما تصمیم داریم تا در چند مقاله به بررسی ارزهای دیجیتال و مفاهیم پایه ای مهم در این زمینه بپردازیم ، هنگامی که ما در حال تهیه این مقاله بودیم ، بیش از ۹۰۰ ارز دیجیتال وجود داشت که هر کدام ویژگی های خاصی را دارند ، اما ازلحاظ ساختاری بسیار مشابه یکدیگر هستند . ارزهای دیجیتال قابلیت های متنوع و توانایی های بسیاری را ارائه می دهند که این باعث می شود تا سازمان ها و دولت های بسیاری به سوی این نوع از پول دیجیتال حرکت کنند . امروزه ما شاهد ایجاد ارزهای دیجیتال مشهوری همچون Bitcoin ، Ethereum  ، XRP  ، Citcoin Cash ، EOS ، Stellar ، Litecoin ، Caradano ، Monero و .. می باشیم . شما می توانید برای دیدن لیست کامل ارزهای دیجیتال به لینک زیر بروید :
https://coinmarketcap.com/coins/views/all
ایجاد اولین ارزهای دیجیتال به سال ۲۰۰۹ و بیتکوین برمی گردد . به همین دلیل است که ما امروزه ارزهای دیجیتال را با نام بیتکوین می شناسیم(البته ارزش بیشتر بیتکوین نسبت به سایر ارزها هم در مطرح شدن نام آن بی تاثیر نبوده است و در واقع بیتکوین یک ارز مرجع در بین سایر ارزهای دیجیتال محسوب می شود) . معمولا ارزهای دیجیتال دارای یک سری استانداردهای مشترک می باشند که در همه آن ها رعایت می شود ، بنابراین ما در این مقاله به بررسی بیتکوین به عنوان مرجع رسمی آموزش می پردازیم .
خالق بیتکوین (Satochi Nakamota) به دنبال ایجاد یک پول با ثبات بود که تنها به تئوری های امن ریاضی وابسته باشد و چندان اثری از اقتصادهای پرچالش و بازارهای پرنوسان نپذیرد .درباره این که اولین بار بیت کوین توسط چه کسانی ارائه گردیده است ، اختلاف نظرات بسیاری وجود دارد .

مطالب مشابه:
اهمیت رو به رشد شبکه ها در اقتصاد دیجیتالی
کاربرد فناوری اطلاعات در اقتصاد دیجیتال
مدیریت ریسک دیجیتال
اعتماد ،امنیت و کارآیی ؛ چطور بلاکچین با کمک هوش مصنوعی این موارد را تامین خواهند کرد ؟

 


ویژگی های مهم ارزهای دیجیتال :
  • نداشتن ماهیت فیزیکی :
در واقع یک ارزدیجیتال یک نوع از پول الکترونیکی می باشد که ماهیت فیزیکی مانند اسکناس ندارد ، بنابراین به راحتی امکان جعل و یا سرقت آن وجود ندارد .
  • تمرکززدایی :
بدین معنا که هیچ سازمان مالی ، شبکه مالی و یا حتی دولت خاصی بیتکوین را مدیریت نمی کند و این ارز به هیچ مرکز و یا بانکی وابسته نمی باشد . بنابراین مشکلات اقتصادی نمی تواند در افزایش یا کاهش ارزش آن تاثیری داشته باشد . در سیستم های متمرکز همه قسمت های مختلف به هم وابسته هستند و اختلال در یک بخش می تواند بر روی سایر بخش ها تاثیر بگذارد . اما در سیستم های غیرمتمرکز نظیر بیتکوین ، علیرغم اتصال بخش های مختلف به یکدیگر شاهد یک مرکزیت خاص نمی باشیم و به همین دلیل اگر ، یک یا دو مرکز نیز از کار بیفتند ، کل سیستم دچار مشکل نخواهد شد و سیستم می تواند همچنان به کار خود ادامه دهد .
بلاکچین یا همان  زنجیره ای از بلوک پایه و اساس پیاده سازی های ارزهای دیجیتالی می باشد . در حقیقت بلاکچین در ارزدیجیتال نقش ذخیره کننده امن اطلاعات را برعهده دارد . به دیگر سخن می توان بلاکچین را یک دفتر حساب عمومی برای ارزهای دیجیتال دانست که تمامی نقل و انتقالات مالی را در خود ضبط و ذخیره می کند . بلاکچین به عنوان یک پایگاه داده دائمی جهت ثبت نقل و انتقالات ارزهای دیجیتال از جمله بیتکوین در جهان محسوب می شود . کاربران بیت کوین می توانند دارای چندین حساب کاربری باشند درحالی که هیچ گونه اطلاعات شخصی از آنها در جایی ثبت نشده است . کاربران می توانند این حساب ها را بدون هیچ گونه پرداخت هزینه ای برای خود افتتاح کنند .
باید در نظر داشت که هر بلاک بخش به روز شده ای از زنجیره های بلاکها (بلاکچین؛Block Chain) می باشد که تراکنش های گوناگون را در درون خود ثبت می کند و به محض کامل شدن (بروزشدن) به زنجیره (Chain) بازمی گردد و هر بلاک حاضر در زنجیره به ترتیب زمان ورود به بلاک های دیگر مرتبط (Link) می شود . تکنولوژی بلاکچین یک تکنولوژی نسبتا امن و قابل قبول می باشد و تنها مشکل اصلی این تکنولوژی سایز بالای بلاک های تولید شده می باشد .
در ارزهای دیجیتالی نظیر Ethereum که بر پایه EtHash هستند  از فایلی به نام DAG استفاده می شود که کاربرد آن اثبات کارکرد یک ماینر(Miner) می باشد . هر ۳۰۰۰۰ بلاک را یک DAG می نامند ، حجم فایل های DAG رابطه مستقیمی با توان پردازشی CPU دارد . (EtHash یک تابع درهم ساز است که برای اثبات درستی بلاکچین در ارزهای دیجیتال استفاده می شود که از توابع هش SHA3 بهره می برد . EtHash مقاومت بالایی در برابر ماشین آلات ASIC nhvn  و از حافظه فشرده ای بهره می برد که تنها می تواند از طریق کارت گرافیک (GPU) استخراج شود .Keccak256 در واقع نوع خاصی از SHA3 می باشد که در ارز دیجیتال اتریوم کاربرد بسیاری دارد ) .
ماینر(Miner) چیست ؟ در تصویر زیر با مفهوم ماینر آشنا شوید (بر روی تصویر کلیک کنید تا آن را با سایز بزرگ ببینید) .
ماینر کیست ؟

ماینر کیست ؟

معمولا ما در ارزهای دیجیتال شاهد هیچ گونه کارمزدی نمی باشیم ، تنها زمانی که شما قصد دارید ارز دیجیتال خود را نقل و انتقال دهید باید هزینه ای جزئی بابت آن پرداخت کنید که به این هزینه کارمزد تراکنش (Transaction fee) گفته می شود . بستری (زیرساختی) که شما از آن برای نقل و انتقالات مالی خود استفاده می کنید به ازای هر تراکنش یک fee در نظر می گیرد ، این fee به عنوان پاداشی برای ماینرها که در آن تراکنش نقشی داشته اند ، محسوب می شود . باید توجه داشت که پرداخت هایی که با ارزهای دیجیتال صورت می پذیرد هیچ تفاوتی با کارت های اعتباری ندارند و همه دارای یک ماهیت می باشند .
کیف پول ها یا Wallets :
همانند حساب های بانکی که مختص شما هستند و موجودی آن نشان دهنده میزان سرمایه شما هستند و تنها شما اجازه دسترسی به سرمایه آن را دارید ، ارزهای دیجیتال نیز از همین قانون پیروی می کنند . شما برای این که ارز دیجیتال خود را در یک مکان امن نگهداری کنید به یک حساب تحت عنوان کیف پول یا  Wallet نیاز دارید.
سرویس های مختلفی هستند که در این زمینه قابلیت های مختلفی را ارائه می دهند و با استفاده از این سرویس ها شما می توانید ارز دیجیتالی را که خریداری کرده اید یا اصطلاحا Mine کرده اید را به آن کیف پول انتقال دهید . کیف های پول به شما اجازه می دهند که کلیدهای دیجیتال (Digital Keys) را که مختص هر بیتکوین یا دیگر ارزهای دیجیتال هستند را ذخیره کنید .
به عنوان مثال ، Bitcoin Wallet شامل دو کلید می باشد که یکی کلید آدرس کیف شما می باشد که در حقیقت یک Public Key می باشد و کلید دیگر رمز محرمانه شما می باشد که همان Private Key شما خواهد بود .شما از کلیدعمومی خود برای دریافت ارز دیجیتال از دیگران استفاده خواهید کرد و برای واریز ارز دیجیتال به حساب دیگران از کلید خصوصی خود به همراه کلید عمومی طرف مقابل استفاده خواهید کرد . دقیقا مانند یک دستگاه عابربانک که برای واریز وجه به حساب دیگران ، شما بایستی شماره حساب یا شماره کارت بانکی آنها را داشته باشید و هم زمان رمز کارت بانکی خودتان را هم بدانید .
انواع مختلف کیف پول ها :
امروزه ما با انواع کیف های پول مواجه هستیم که هرکدام دارای ویژگی های خاصی می باشند و می توان از آن ها در کاربردهای مختلف استفاده کرد . در زیر با برخی از انواع این کیف های پول آشنا می شویم :
کیف های پول آنلاین :
این کیف ها به شما اجازه می دهند تا کلیدهای خصوصی خود را در محیط آنلاین ذخیره کنید . در نتیجه ، در هر مکان و هر زمانی به سکه های خود دسترسی خواهید داشت . در زیر لیستی از مطرح ترین کیف های پول آنلاین را مشاهده می کنید :
https://blockchain.info
https://coinbase.com
https://strongcoin.com
https://xapo.com
کیف پول Xapo علاوه بر فضای اینترنت ، از حافظه فیزیکی (Cold Storage) نیز برای ذخیره سازی کلیدهای خصوصی استفاده می کند . توجه شود که Cold Storage  یا Offline Wallet به معنای استفاده از فضای ذخیره سازی فیزیکی می باشد و Hot Storage یا Online Wallet به معنای استفاده از فضای ذخیره سازی آنلاین می باشد .
کیف های پول آفلاین :
اساس کار این کیف پول ، نگهداری خود کیف و کلیدخصوصی متناظر با آن در محیط آفلاین است (نگهداری بر روی کامپیوتر یا کیف پول سخت افزاری) . در شکل زیر یک نمونه کیف پول سخت افزاری را مشاهده می کنید ، برای مشاهده تصویر بزرگتر بر روی آن کلیک کنید :
کیف پول سخت افزاری

کیف پول سخت افزاری

هنگامی که با کیف های پول آنلاین کار می کنید ، بحث امنیت آنها بسیار مهم است چرا که همیشه امکان به سرقت رفتن اطلاعات آن ها در فضای وب وجود دارد . شاید به همین دلیل باشد که کیف های پول آفلاین ارائه شده اند ، تا امکان به سرقت رفتن اطلاعات توسط هکرها به حداقل برسد . برای کسب اطلاعات بیشتر در مورد این نوع از کیف ها می توانید به لینک زیر مراجعه کنید :
https:Bitcoin.org/wallets
کیف های پول رومیزی و موبایلی :
کیف پول رومیزی ، نوع دیگری از کیف پول ها هستند که مختص کامپیوترهای رومیزی هستند و قابلیت نصب بر روی سیستم عامل های مختلف را دارند و شما می توانید به کمک آن ها یک آدرس منحصربفرد برای خود ایجاد کنید و تراکنش های خود را با کمک آن آدرس انجام دهید . هم چنین کیف های پول موبایلی نیز برای افرادی که به صورت پیوسته در حال جابه جایی هستند مناسب می باشد . این نوع از کیف های پول حداقل قابلیت ها را ارائه می دهند ، چرا که گوشی های همراه توانایی های پردازشی کمتری را دارند .
کیف های پول کاغذی :
این کیف های پول امکان این را دارند که بر روی کاغذ چاپ شوند و ماهیت فیزیکی دارند . معمولا از این نوع کیف برای ارتقاء امنیت کیف های دیگر استفاده می شود. البته بایستی این کیف ها را هم از لحاظ فیزیکی محافظت کرد تا کسی نتواند آن ها را به راحتی اسکن نماید . در تصویر زیر نمونه ای از پول کیف کاغذی را مشاهده می کنید :
کیف پول کاغذی

کیف پول کاغذی

یکی از مشکلات مهم ارزهای دیجیتال ، نگهداری از کلیدهای خصوصی مرتبط با آن ها می باشد . امروزه معمولا از Flash Drive های مخصوصی که به آنها Pen Drive و یا Thumb Drive گفته می شود برای نگهداری کلیدهای خصوصی استفاده می شود . باید توجه داشت که کلیدهای خصوصی آدرس های یکتایی هستند که تنها مختص ارزهای دیجیتال شما می باشند و ضرورت دارد که آنها را به صورت امن نگهداری کنید .اگر این آدرس ها به هر نحوی در دسترس دیگران قرار بگیرند امکان به سرقت رفتن سرمایه شما وجود دارد .  به خاطر سپاری و در ذهن نگهداشتن ، کلیدهای خصوصی به علت طولانی و بزرگ بودن کاری دشوار و ناممکن است . بنابراین ما مجبور هستیم تا آن ها را به صورت امن در تجهیزات الکترونیکی مخصوص ذخیره کنیم تا در زمان مورد نیاز بتوانیم به کمک آن ها به کیف های پولمان دسترسی داشته باشیم .
یک کیف پول می تواند به راحتی مورد دستبرد قرار گیرد ، بنابراین سعی کنید رمز پیچیده ای را برای کیف پول خود انتخاب کنید . برای آگاهی از امنیت رمز انتخابی و مدت زمان لازم برای شکسته شدن آن می توانید از وب سایت زیر کمک بگیرید :
https://howsecureismypassword.net
این مقاله هنوز خاتمه نپذیرفته است ، به زودی در پست دیگری ادامه این مقاله را منتشر خواهیم کرد . پس منتظر باشید و به صورت دوره ای این تارنما را کنترل کنید . با سپاس از توجه شما

گردآوری و نشر : مسعود معاونی
کد مطلب :A1397052201
منبع : گردآوری از منابع مختلف
تاریخ نشر : ۲۳ مرداد ماه ۱۳۹۷

اعتماد ،امنیت و کارآیی ؛ چطور بلاکچین با کمک هوش مصنوعی این موارد را تامین خواهند کرد ؟

بلاکچین با هوش مصنوعی = تحول جدید در نوآوری

بلاکچین و هوش مصنوعی

امروزه شاهد آن هستیم که شرکت هایی که اصرار زیادی بر فناوری های قدیمی می ورزند در رکودهای شدیدی فرو می روند و معمولا توسط پیشگامان تکنولوژی در صنایع مختلف از میدان رقابت خارج می شوند . هرگاه صحبت از حرکت های نوآورانه می شود نام شاخه های مختلف هوش مصنوعی خوش می درخشد و کارآفرینان بسیاری خلاقیت های خود را بر روی موضوعات مختلف این شاخه تکنولوژی بروز و ظهور می دهند . صنایع متعددی از جمله کشاورزی ، خدمات ، بهداشت و درمان ، تولید ، پشتیبانی های فنی ، بازی سازی و … به هوش مصنوعی وابسته اند . از دیگر سو ، بلاکچین عامل کلیدی دیگری در فناوری های مدرن امروزی می باشد که توجهات بسیاری از محققین و کارشناسان تکنولوژی را به خود جلب کرده است .
ما معمولا بلاکچین را معادل پول دیجیتال در نظر می گیریم و آن را فقط در امور مالی موثر می پنداریم ، اما حقیقت آن است که بلاکچین می تواند در حمل و نقل ، رای گیری الکترونیک ، خرده فروشی ، گذرنامه ها و مدارک الکترونیکی و … به کار گرفته شود و دلیل این موضوع هم آن است که بلاکچین در هر جایی که نیاز به تایید مجموعه ای از اقدامات وجود داشته باشد می تواند نقش کلیدی را برعهده گیرد و با محاسبات سبک و کم هزینه امنیت قوی و مناسبی را ارائه دهد .
با در نظر گرفتن گستردگی هوش مصنوعی و بلاکچین در بخش های مختلف ، می توان با همگرایی این دو موضوع به نتایج شگفت انگیزی در زمینه های مختلف دست یافت . بلاکچین می تواند قدرت خود را با کمک تکنولوژی های هوش مصنوعی ارتقاء دهد . ویژگی ها و خاصیت های جدیدی که از همگرایی هوش مصنوعی و بلاکچین بدست می آید باعث افزایش امنیت و اعتماد در تمامی زمینه های زیر می شود :
امنیت :
فناوری بلاکچین از طریق تاکتیک های امنیت سایبری به حفاظت از مدارک و گواهی نامه های دیجیتالی می پردازد و باعث می شود تا امنیت آن به حد قابل قبولی برسد . با کمک پیاده سازی های الگوریتم های هوش مصنوعی و شیوه های یادگیری ماشین ، این سطح امنیتی می تواند به سطوح بالاتری دست یابد . این موضوع می تواند باعث ارائه تضمین هایی برای آینده امنیت سایبری شود .
کارآیی :
می توان از هوش مصنوعی برای کمک به افزایش بهره وری فناوری بلاکچین استفاده کرد . هوش مصنوعی می تواند موجب کاهش هزینه های حفاظت و نگهداری از بلاکچین شود . هزینه های برآورد شده سالانه در حال حاضر به حدود ۶۰۰ میلیون دلار می رسد که هوش مصنوعی می تواند با بهینه سازی محاسبات به کاهش هزینه های بلاکچین کمک کرده و زمان تاخیر در شبکه های معاملاتی را کاهش دهد .
اعتماد :
معمولا آهنین بودن و شکست ناپذیری بلاکچین مهمترین مزیتی است که برای آن ذکر می شود . به کارگیری بلاکچین در کنار هوش مصنوعی می تواند برای استفاده کنندگان از هوش مصنوعی ، اطمینن بخش باشد . در واقع بلاکچین باعث اعتماد سیستم های رباتیکز به یکدیگر می شود و منجر به افزایش تعاملات ماشین به ماشین می شود و ربات ها می توانند با اطمینان بیشتری به اشتراک گذاری داده ها و هماهنگی در تصمیمات با یکدیگر بپردازند .
بازارهای جدید :
دسترسی به داده های خصوصی همواره موجب افزایش فروش می شود . در آینده ما با بازارهای داده ای ، بازارهای مدلی ، بازارهای سیستم های اطلاعاتی و حتی بازارهای هوش مصنوعی مواجه خواهیم شد .  در این بازارها ما شاهد خواهیم بود که داده ها به سادگی و امنیت بالا به اشتراک گذاشته خواهند شد . این بازارها باعث رشد شرکت های کوچک و متوسط می شوند و رقابت ها شکل سازنده تری را به خود خواهند گرفت . مطمئن باشید که در آینده ای نه چندان دور کارآفرینان از همگراشدن هوش مصنوعی با بلاکچین نوآوری های جدیدی را خلق خواهند کرد و چالش های جدی و مهمی  را حل خواهند کرد .
ذخیره سازی داده ها و استفاده از داده های شخصی :
بلاکچین یک ایده آل برای ذخیره سازی داده های حساس و شخصی می باشد که وقتی با پردازش های هوشمندانه هوش مصنوعی ترکیب شود ، می تواند برای زندگی مدرن ما بسیار ارزشمند باشد و راهگشای بسیاری از مشکلات امروزی مانند سیستم های مراقبت بهداشتی و سیستم های تشخیص هوشمند بیماری براساس اسکن های رادیولوژی ها و سوابق درمانی باشد .
درک بهتر از تصمیمات هوش مصنوعی :
درک تصمیمات اتخاذ شده توسط سیستم های هوش مصنوعی معمولا برای انسان ها سخت است . این که چرا باید معاملات مالی مسدود شود یا این که با قدرت ادامه داده شوند هرگز توسط انسان های معمولی نمی توانند توجیه شوند . با کمک بلاکچین و هوش مصنوعی می توان داده ها را بر روی بلوک های قرار داد و با حسابرسی دقیق و کامل به ممیزی داده ها پرداخت و مدل های مالی گوناگونی را برای شرایط مختلف تولید کرد ، بدون آن که از افشاء شدن این داده های حساس خطری را احساس کنیم .
مدیریت بهتر بر روی هوش مصنوعی با کمک بلاکچین :
الگوریتم های داده کاوی در یادگیری ماشین با داشتن اطلاعات جامع و کامل می توانند خیلی سریع فرآیند آموزش و تست را طی کنند و به تکامل برسند . اطلاعات صحیح و فراگیر در یادگیری ماشین می تواند موجب مهارت یابی ماشین ها شود . این اطلاعات امن و کامل در یادگیری ماشین می تواند توسط بلاکچین فراهم آید .
امروزه بسیاری از محققان و شرکت های تجاری به دنبال برقراری ارتباط بین این دو حوزه ارزشمند هستند . آنها سعی دارند ابزارهای هوش مصنوعی را که در سازمان ها مورد استفاده قرار می گیرند و معمولا به داده های حساس و حیاتی دسترسی دارند را به تکنولوژی بلاکچین مجهز کنند تا بدین وسیله بتوانند پوشش حفاظتی بهتری را برای این گونه داده ها فراهم کنند. همچنین در شبکه ها و رسانه های اجتماعی سعی شده است تا محتواهای انتشاریافته به کمک بلاکچین رمزنگاری شوند تا حق نشر و کپی محتواها از بین نرود .
ما امروزه شاهد همگرایی بلاکچین و هوش مصنوعی در قالب سیستم های کاشف هوشمند هستیم . به عنوان مثال Bublo یک برنامه کشف هوشمند است که بهترین مکان ها و رستوران ها را بر اساس سلایق و نظرات کاربران به آن ها پیشنهاد می دهد . در این سیستم به کاربرانی که داده ای را تولید کنند پاداش داده می شود .
همچنین انواع فناوری های هوش مصنوعی که ممکن است به صورت مستقل دچار اختلال شوند ، توسط بلاکچین می توانند تقویت شوند و در واقع این دو تکنولوژی مکمل یکدیگر خواهند بود و می توانند موجب این شوند تا کارآفرینان و نوآوران راه های جدیدی را برای کشف مسائل پیدا کنند و بینش عمیق تری را برای بهره وری و پاسخگویی به نیازهای جامعه انسانی پیدا کنند .

گردآوری و بازآفرینی (ترجمه و نشر ) : مهندس مسعود معاونی

کد مقاله : A97051502

منبع : فوربس


تلگرام

تلگرام

چگونه فیزیک کوانتوم از رمزنگاری کوانتومی محافظت می کند ؟

رمزنگاری کوانتومی

رمزنگاری کوانتومی

محاسبات کوانتومی ، وعده سیستم هایی را می دهد که چندین بار سریعتر از سوپر کامپیوترهای قدرتمند امروزی می باشند و می توانند مشکلات بسیاری که امروزه با آن مواجه هستیم را برطرف کنند . در عین حال ، نگرانی های وجود دارد که این سیستم های قدرتمند با استفاده از توانایی های بالای محاسباتی خود بتوانند موجب شکست تکنولوژی های رمزنگاری کلیدعمومی که امروزه پایه بسیاری از سیستم های امنیتی می باشند ، شوند . به همین دلیل محققان سیستم رمزنگاری کوانتوم را براساس قوانین فیزیک کوانتوم برای نگهداری از داده ها در کامپیوترهای کوانتومی آینده پیشنهاد داده اند .

محققان به دنبال ارائه طرح های برای توزیع کلید کوانتوم (QKD) هستند تا به کمک آن ضعف های روش های رمزنگاری امروزی را برطرف کنند . در آینده حتی افراد عادی با داشتن یک کامپیوتر کوانتومی قادر به رمزگشایی اطلاعات خواهند بود . نگرانی اصلی این است که تمامی داده های که امروزه در لایه SSL رمز می شوند در آینده به راحتی قابل رمزگشایی خواهند بود . اما در QKD (توزیع کلید کوانتومی) دیگر الگوریتم های معمول ریاضی را شاهد نخواهیم بود و ما شاهد استفاده از فوتون های نوری خواهیم بود . بنابراین دیگر برای رمزگشایی از اطلاعات ، نیازی به حل یک مساله سخت ریاضی نخواهد بود ؛ بلکه رمزگشایی وابسته به ویژگی های فیزیکی یک فوتون خواهد بود .

محاسبات کوانتومی برای دهه ها مورد بحث قرار گرفته است و تعداد زیادی از ارائه دهندگان فناوری نظیر اینتل ، گوگل ، آی بی ام و مایکروسافت زمان و پول زیادی را صرف توسعه آن نموده اند . در عین حال کشور چین نیز منابع زیادی را صرف این موضوع نموده است .

هنوز مشخص نیست که چه مدت زمانی طول خواهد کشید که رایانه های کوانتومی به صورت قطعی به بازار عرضه شوند . پیش بینی ها می گوید عرضه آن ها بیش از دو ، سه و یا حتی ۱۰ سال آینده به طول خواهد انجامید .در سیستم های فعلی که بر اساس بیت می باشد ، بیت ها می توانند مقادیر ۰ یا ۱ را نگهداری کنند .اما در سیستم های کوانتومی شاهد مفهوم جدیدی به نام کیوبیت (Qubit) خواهیم بود . کیوبیت یا همان بیت های کوانتومی می توانند به صورت همزمان ۰ و ۱ را نگهداری کنند که این قابلیت امکان استفاده از سیستم هایی را می دهد که می تواند از طریق میلیون ها محاسبات همزمان وسریع ، مشکلاتی که ابررایانه های امروزی از حل آن عاجز هستند را برطرف کند .

قابلیت فوق در دنیای امنیت سایبری ، به معنای ایجاد سیستم هایی است که می توانند پروتکل های رمزنگاری را سریعا حل نمایند . در حال حاضر یک مهاجم با بدست آوردن بخشی از اطلاعات امکان حدس زدن سایر اطلاعات مخفی را ندارد ، چرا که این حدس زدن زمان زیادی در حدود ۲ یا ۳ قرن زمان نیاز خواهد داشت اما با رایانه های کوانتومی سرعت محاسبات تا بیش از ۱۰۰ برابر افزایش خواهد یافت و این به معنای چالشی جدّی برای حفاظت از داده های محرمانه می باشد .

معمولا افراد بسیاری به دنبال بدست آوردن اطلاعات محرمانه برای کسب سود و یا سوء استفاده های گوناگون هستند. بنابراین با ورود رایانه های کوانتومی مشکل اساسی در ذخیره سازی اطلاعات و حفظ محرمانگی داده ها به وجود خواهد آمد . در حال حاضر محققین می دانند که کمتر از سه یا پنج سال ، فرصت برای حل این چالش دارند .

در رمزنگاری کوانتوم کانال انتقال اطلاعات  شاهد تغییرات چندانی نخواهد بود ، فقط داده های که انتقال داده می شوند به وسیله کلیدهای کوانتومی رمز می شوند . هرچند که شرکت های بسیاری در حال حاضر به دنبال راه اندازی شبکه های کوانتومی براساس فیبر تیره (Dark Fiber) می باشند . اولین نوع از این شبکه بین نیوجرسی و منهتن در حال اجرا می باشد . انتظار می رود این شبکه در حدود ۲ یا ۳ سال آینده در سراسر آمریکا گسترش یابد .

هم اکنون بسیاری از شرکت ها تهدید رایانه های کوانتومی را بسیار جدی گرفته اند . از جمله بانک ها و مراکز ارائه دهنده خدمات ابری ، تلاش های گسترده ای را برای سرمایه گذاری برروی شیوه های جدید حفاظت از اطلاعات انجام داده اند . بسیاری از سرویس های دیجیتال برپایه حفاظت کامل از اطلاعات کاربران شکل گرفته اند ، بنابراین تهدید کامپیوترهای کوانتومی برای آن ها بسیار جدی و مهم است و تمام تلاش ها بر روی شیوه های مدرن ، سریع و ارزان برای حفاظت از اطلاعات کاربران متمرکز شده است .


گردآورنده : مهندس مسعود معاونی

تاریخ :۲۰ تیر ۱۳۹۷

منبع : www.securitynow.com


تلگرام

نگاهی گذرا به رمزنگاری کوانتومی

رمزنگاری های پیشرفته

رمزنگاری کوانتومی

به طور کلی رمزنگاری زمینه ای است با تکنیک های خاص زبانی و ریاضی گونه مخصوص خودش که هدف آن تامین امنیت اطلاعات ، به ویژه در ارتباطات ناامن شبکه ای می باشد .

یکی از شیوه های مدرن در رمزنگاری ، که در سالیان اخیر به دلیل ظهور کامپیوترهای کوانتومی بسیار مورد توجه قرار گرفته است ؛ رمزنگاری کوانتومی می باشد . در رمزنگاری کوانتومی ، از قوانین کوانتوم در فیزیک برای ارسال پیام با امنیت بالاتر از آن چه که در رمزنگاری های معمولی شاهد آن هستیم ، استفاده می شود .

هدف از رمزنگاری کوانتومی ایجاد امنیت مطلق و غیرقابل نفوذ می باشد . یعنی هیچ مهاجمی نمی تواند به محتوای پیام ها به راحتی دست یابد و از آن ها استفاده کند . اما همواره باید توجه داشصت که چنین امنیت بی قید و شرطی هرگز قابل اجرا نمی باشد . زیرا که ؛ یک مهاجم همواره به شبکه های ارتباطی دسترسی داشته و به راحتی امکان استراق سمع (شنود) و دستکاری و اصلاح پیام های مبادله شده در کانال های ارتباطی را خواهد داشت .

محققین در آزمایشگاه ارتباطات امن در گروه فیزیک دانشگاه ETH زوریخ ثابت کرده اند که پروتکل های رمزنگاری کوانتومی می تواند علیرغم تمامی مخاطرات کانال های ارتباطی ناامن ، امنیت به نسبت قابل قبولی را فراهم بیاورند . آن ها نشان دادند که رمزنگاری کوانتومی مستقل از تجهیزات ، می تواند با تکنولوژی های کوانتومی مطرح شده در سالیان اخیر پیاده سازی شود .

رمزنگاری کوانتومی مستقل از تجهیزات ، به عنوان یک “استاندارد طلایی” برای ارتباطات کوانتومی محسوب می شود که علاوه بر مزایای رمزنگاری کوانتومی کلاسیک مزایای جدیدی را به همراه خواهد داشت که از آن جمله می توان به عدم نیاز به اعتماد سازی به دستگاه های فیزیکی اشاره کرد .

نکته فوق به عنوان یک چشم انداز جذاب برای طراحان پروتکل ها می باشد چرا که تااکنون رمزنگاری کوانتومی مستقل از تجهیزات ، تنها یک ساختار نظری بوده است و با نیازهای تجربی واقعی مطابق نبود . محققین اخیرا مفهوم نظری جدیدی را به نام انطباق آنتروپی (entropy accumulation) مطرح کرده اند و آن را بر روی روش رمزنگاری کوانتومی اعمال کرده اند . آن ها بر اساس این نظریه دریافتند که هر استراتژی حمله بدون توجه به پیچیدگی آن می تواند به دنباله ای از مراحل ساده تر تجزیه شود . این حقیقت برای اثبات های امنیتی که به شدت سخت و پیچیده هستند ، بسیار مفید است . زیرا در اثبات های امنیتی باید به استراتژی های مختلف حمله ، که توسط یک مهاجم ، امکان طراحی دارد توجه شود .

محققین معتقدند که رویکرد جدید آن ها می تواند امنیت رمزنگاری کوانتومی مستقل از تجهیزات را برای تکنولوژی کوانتومی پیشرفته فراهم آورد و این نشان دهنده تحقق و پیاده سازی چنین هدفی در آینده نزدیک خواهد بود .


گردآورنده : مسعود معاونی

تاریخ نشر مطلب : ۲۲ خرداد ۱۳۹۷

منبع :https://www.phys.ethz.ch


تلگرام

معرفی رمزنگاری سبک وزن

آموزش >>> لطفا تمامی اسلایدها را مشاهده کنید :

 

[metaslider id=”1842″]

 
با تشکر مسعود معاونی
دریافت این اسلایدها در تلگرام و اینستاگرام با آی دی @moaveni_ir

دانش صفر یا Zero Knowledge

دانش صفر

دانش صفر

اعتماد به اطلاعات شخصی افراد در خدمات آنلاین باعث می شود تا ارائه دهنده خدمات ، تضمین کافی برای ارائه سرویس های خود را داشته باشد . از سوی دیگر ، کاربران نیز باید اطمینان حاصل کنند که داده های آن ها دچار مشکلات امنیتی نخواهند گردید . برای اطمینان از حفاظت صحیح از داده های خصوصی معمولا از سرویس های رمزنگاری Zero-Knowledge استفاده می شود .
در این جا می خواهیم بررسی کنیم که در یک سیستم رمزنگاری چه چیزی می تواند یک Zero Knowledge باشد و یک Zero-Knowledge چگونه کار خواهد کرد و چرا آن بهترین راه برای محافظت از اطلاعات شخصی می باشد ؟
به طور خلاصه رمزنگاری Zero-Knowledge بدان معنا است که ارائه دهندگان ارائه دهندگان سرویس های مختلف ، هیچ اطلاعاتی درباره اطلاعات ذخیره شده در سرورهای خود نمی دانند .در واقع رمزنگاری دانش صفر یک روش برای یک تایید کننده (Verifier) می باشد تا به وسیله آن درستی یک عبارت داده شده را بدون آن که اطلاعات خاصی درباره آن داشته باشد را اثبات کند . برای اثبات درستی یک موضوع باید برخی از اطلاعات مخفی برای تایید کننده موجود باشد و این بدان معنا است که هر متقاضی امکان اثبات خود را به هرکسی نخواهد داشت .
  اما برای این که این تعریف بهتر درک شود باید درباره چگونگی رمزنگاری به طور کلی صحبت کنیم .معمولا خدمات آنلاین باید با نوعی رمزگذاری محافظت شوند . به عبارت دیگر هنگامی که ما اطلاعات خود را در یک وب سایت یا برنامه وارد می کنیم ، اطلاعات ما به گونه ای رمزگذاری می شود که فقط توسط افراد مجاز با یک کلید مخفی قابل دستیابی می باشد . فرض کنید اکر این کلید رمزنگاری به هر دلیلی به سرقت برود و یا افشاء شود چه چیزی می تواند از اطلاعات ما محافظت کند . این همان جایی است که رمزنگاری Zero-Knowledge وارد می شود .
برای ورود به یک وب سرور ، شما باید مجاز بودن خود را نشان دهید . به همین دلیل معمولا رمز عبور خود را در صفحه Login وارد می کنید . به طور سنتی ، سرور دارای یک نسخه کد شده از رمز عبور شما می باشد و اگر نسخه کد شده با رمز شما مطابقت داده شود سیستم برای شما باز می شود . اما یک مشکل اساسی وجود دارد که سرور نیز اطلاعات حساس شما (رمز عبور) را می داند .
برای حل این مشکل ، در سیستم ها یک رمز عبور خصوصی و یک رمز عبور عمومی تعریف می شود که رمز عبور عمومی را سرور می داند ولی رمز عبور خصوصی فقط در اختیار کاربر می باشد . بنابراین سرور با کنترل رمز عبور عمومی که به وسیله روش های ریاضی از رمز عبور خصوصی قابل استخراج است هویت کاربر را تایید می کند و این در واقع همان Zero-Knowledge  می باشد .
در دانش صفر پروتکل های امنیتی معمولا یک سری اطلاعات را از متقاضی در قالب یک پیام دریافت می کنند و در صورتی که صحت این پیام در سمت دیگر تایید شد هویت شخص متقاضی تایید می شود . معمولا دانش صفر توسط توابع درهم ساز یک طرفه (One Way Hash Function) محافظت و نگهداری می شوند .
استانداردهای Zero-Knowledge شیوه های رمزنگاری مرسوم را به شکل قابل توجهی بهبود می بخشند و در حقیقت امن ترین راه برای محافظت از حریم خصوصی کاربران در محیط اینترنت می باشند .

نویسنده : مسعود معاونی


https://telegram.me/moaveni_ir

https://telegram.me/moaveni_ir

معرفی KDF

معرفی KDF

معرفی KDF

یک تابع استخراج کلید (KDF) یک جزء اساسی و ضروری در یک سیستم رمزنگاری است که هدف آن ایجاد یک کلید از منابع مختلف می باشد و معمولا از مقادیر تصادفی به خوبی در آن استفاده می شود تا یک مهاجم نتواند با استفاده از توزیع های یکنواخت به اطلاعات حساسی برسد . معمولا از KDF ها برای ایجاد یک یا چند کلید مخفی قوی با استفاده از مقادیر مختلفی نظیر کلیدهای اصلی ، رمزهای عبور ، یا عبارت های عبور استفاده می شود .
در واقع KDF ها توابع یا الگوهایی برای استخراج کلید از سایر اطلاعات مخفی هستند . این اطلاعات مخفی ممکن است یک کلید مخفی دیگر یا رمزهای عبور در کنار اطلاعاتی کاملا تصادفی باشند به گونه ای که مهاجم به راحتی نمی تواند از اطلاعات موجود برای انجام حملات مختلف استفاده کند .
KDF ها می توانند با استفاده از بسط کلیدها به کلیدهای بلندتری برسند یا به بازتولید کلیدها با فرمت های گوناگون دست یابند .شکل های مختلفی از KDF ها وجود دارد که به تمامی آن ها در اصطلاح کلی KDF یاTLS و یا PRF (توابع شبه تصادفی) گفته می شود .
معمولا اکثر KDF ها دارای محدودیت های بسیاری در ورودی اطلاعات خود می باشند و بزرگترین مشکلی که آن ها با آن مواجه هستند این است که باید دارای پارامترهای مشابه ای برای پیکربندی باشند .
یک ایده جذاب و نو برای KDF ها این است که از آن ها به صوت یک طرفه (one way) استفاده شود تا بدین شکل خروجی به راحتی قابل تشخیص نباشد . در چنین طرحی مواد مصرفی (اطلاعات محرمانه) در ورودی حاوی مقادیر مشخصی هستند که در کنار اطلاعات کاملا تصادفی قرار می گیرند و فرآیندی مشابه MAC (Message Authentication Code) بر روی آن ها اعمالمی شود .
در ادامه به چندین کاربرد مهم KDF ها می پردازیم :
  • تقویت کلید و بسط دادن کلید
  • بدست آوردن کلیدهای با طول های مختلف
  • بدست آوردن کلیدهای از رمزهای عبور مخفی یا عبارت های عبور
  • ایجاد کلیدهایی یا چندین مولفه از پروتکل های مختلف
  • استفاده از آن در تولید پارامترهای غیر مخفی نظیر نمک ها (Salt)
  • استخراج یک یا چند کلید از یک مقدار مخفی مشترک که به این خاصیت تنوع کلید یا (Key Diversification) گفته می شود . چنین امکانی می تواند جلوی یادگیری اطلاعات و مقادیر مخفی را توسط مهاجمان بگیرد و جلوی تولید کلیدهای ضعیف را می گیرد .

گردآورنده : مسعود معاونی

https://telegram.me/moaveni_ir

https://telegram.me/moaveni_ir

رمزنگاری مبتنی بر هویت فازی

رمزنگاری مبتنی بر هویت فازی 

رمزنگاری مبتنی بر هویت فازی

 

ما در این پست می خواهیم نوع جدیدی از رمزنگاری مبتنی بر هویت (ID-Based Encryption) را معرفی کنیم که ما آن را روش Fuzzy ID-Based  خواهیم نامید . در یک رمزنگاری Fuzzy IBE شناسه ما ما مجموعه ای از ویژگی ها را شامل خواهد شد . در چنین طرح های شناسه به همراه کلید محرمانه برای رمزنگاری استفاده خواهد شد و برای رمز گشایی از یک کلید عمومی استفاده خواهد شد . در چنین طرح های امکان استفاده از ورودی های بیومتریک به عنوان شناسه وجود دارد و قدرت تحمل خطای ذاتی در بیومتریک با استفاده از Fuzzy IBE به خوبی مدیریت می شود چرا که روش های بیومتریک به طور کلی دارای نویز قابل توجه ای می باشند .
رمز گذاری مبتنی بر ویژگی روشی می باشد که در آن می توان به راحتی از چندین مولفه در کنار یکدیگر استفاده کرد و این باعث افزایش توان این شیوه در مقابل تحملات خطا و حملات مختلف خواهد گردید . ساختار این روش رمزگذاری هرگز بر پایه اطلاعات تصادفی نخواهد بود .
در چنین طرحهای یک کاربر تنها با یک کلید مخفی قادر به رمز گشایی  و رمزگذاری خواهد پرداخت . کلید محرمانه و کلید عمومی همواره دارای یک فاصله مشخص از یکدیگرند و تنها تفاوت در برخی از متریک ها باعث تمایز در آن ها ی گردد . بنابراین سیستم ما توانایی بسیار خوبی برای تحمل خطا در شناسه های حاضر در سیستم رمزنگاری خواهد داشت .
در این شیوه تنها کسی قادر به رمزگذاری اطلاعات خواهد بود که مجموعه ای از ویژگی های خاص را در اختیار داشته باشد و تنها کسی قادر به رمز گشایی خواهد بود که تمام آن ویژگی ها را با یک فاصله استاندارد {d} را در اختیار داشته باشد .
مزیت استفاده از Fuzzy IBE این است که می توان به راحتی مدارک مهم را در سرورهای ذخیره سازی غیرقابل اعتماد ذخیره کرد و نیازی به تایید سرور نخواهد بود (این موضوع جایی اهمیت خود را نشان می دهد که بدانیم جهان دیجیتالی با سرعت بی نظیری به سمت جهان اَبری (cloud) در حال حرکت است و چنین ویژگی در سیستم رمزگذاری می تواند امکان ذخیره اطلاعات در سرورهای اَبری محلی (غیر قابل اعتماد) را فراهم کند و این یعنی جهش حرکتی به سوی اَبر) .
این در حالی است که در چنین شیوه رمزنگاری به راحتی امکان استفاده از بیومتریک و اعمال ضرایب متفاوتی برای تحمل خطا به سادگی امکان پذیر است .استفاده از بیومتریک در رمزنگاری امروزه به یک اصل جدایی ناپذیر تبدیل شده است چرا که بیومتریک بهترین ره حل کشف شده برای اثبات پذیری هویت است و امکان جعل در آن بسیار کم است . البته وجود خطا در دستگاه های ورودی بیومتریک و حملات متفاوتی نظیر جعل مدارک بیومتریک این شیوه را هم با چالش های اساسی مواجه کرده است . مزیت مهم بیومتریک این است که یک ویژگی ذاتی است و همواره با یک فرد خواهد بود . استفاده از بیومتریک تضمین می کند که یک فرد هرگز کلید عمومی خود را گم نخواهد کرد و می توان همواره یک هویت منحصر بفرد را پایه گذاری کرد .

نویسنده و گردآوری : مسعود معاونی


https://telegram.me/moaveni_ir

https://telegram.me/moaveni_ir