واژه نامه امنیت سایبری

در زیر لیستی از واژه های پرکاربرد در حوزه امنیت اطلاعات را معرفی می کنیم . در حقیقت به معرفی واژه نامه ی امنیت سایبری خواهیم پرداخت . این واژه نامه می تواند برای کسانی که در حوزه امنیت اطلاعات فعالیت می کنند یک راهنمای اولیه باشد .

واژه نامه امنیت سایبری

واژه نامه ی امنیت سایبری

APP : مخفف Application می باشد که به برنامه های نرم افزاری مورد استفاده در اسمارت فون ها و تبلت ها اطلاق می شود .

مرورگر (Browser) : یک نرم افزاری است که به ارائه اطلاعات و سرویس های مختلف از طریق وب می پردازد .

شبکه (Network) : به تعداد دو یا بیشتر از دو کامپیوتر متصل به هم گفته می شود که امکان به اشتراک گذاری منابع را دارند .

روتر (Router) :یکی از تجهیزات شبکه می باشد که به انتقال بسته های داده ، از طریق شبکه به آدرس های مشخص شده توسط مدیر شبکه می پردازد . برخی مواقع آن را با نام دروازه (Gateway) نیز عنوان می کنند .

پلتفرم (Platform) : به یک سخت افزار پایه (دستگاه فیزیکی) و نرم افزار (سیستم عامل) گفته می شود که امکان اجرای برنامه های مختلف بر روی آن وجود دارد .

شبکه های خصوصی مجازی (VPN) : یک شبکه رمزگذاری شده که اغلب به ایجاد ارتباطات امن برای کاربران راه دور می پردازد . مثلا شبکه ایجاد شده بین دو اداره مختلف در یک سازمان .

بدافزار (Malware) : نرم افزارهای مخرب نظیر ویروس ها ، تروجان ها ، کرم ها و هر کد و محتوایی که به یک مهاجم امکان تاثیر گذاری بر روی عملکرد یک سیستم و یا سازمان دهی های مختلف را بدهد گفته می شود .

ویروس (Virus) : برنامه ای که می تواند خودش را تکثیر کند و نرم افزارها ، برنامه ها و حتی سیستم های دیگر را هم آلوده کند . در واقع نوعی بدافزار می باشد .

هکر (Hacker) : به طور کلی به کسی اطلاق می شود که دارای مهارت های کامپیوتری خاصی است و با استفاده از این مهارت ها سعی می کند تا امکان نفوذ به کامپیوترها ، سیستم ها و شبکه هایی که حق دسترسی به آن ها را ندارد ، پیدا کند .

مهاجم (Attacker) : یک عامل بدخواه که با نفوذ به سیستم ها سعی به تغییر ، سرقت و یا جعل اطلاعات مختلف می نماید تا به استفاده از آن ها به سوءاستفاده های مختلف بپردازد .

حمله (Attack) : به تلاش های مخرب به منظور آسیب رساندن ، مختل کردن و یا دسترسی غیر مجاز به سیستم های کامپیوتری و شبکه ها گفته می شود .

هانی پات (Honey pot) : شبکه ها یا سیستم های به ظاهر جذاب برای حمله یک مهاجم که محدودیت های سیستم های واقعی را ندارند و هدف آن ها شناسایی مهاجمان ، اهداف آن ها و یادگیری شیوه های حمله مهاجمان می باشد . به چندین هانی پات ، هانی نت (Honey net) گفته می شود .

دیواره آتش (Firewall) :سخت افزار یا نرم افزاری است که با استفاده از مجموعه ای از قوانین تعریف شده به کنترل ترافیک شبکه و جلوگیری از دسترسی غیر مجاز به اطلاعات حساس و یا شبکه می پردازد .

آسیب پذیری (Vulnerability) : یک ضعف و یک نقص در نرم افزار ، سیستم و حتی فرآیند که به مهاجم امکان نفوذ به سیستم و آسیب رسانی به عملکردها را می دهد .

رخنه (Breach) : یک آسیب پذیری در داده ها که به وسیله آن امکان دسترسی به سیستم کامپیوتری یا شبکه برای افراد غیر مجاز فراهم می شود .

حادثه (Incident) : یک رخنه در قوانین امنیتی برای یک سیستم و سرویس که می تواند شامل موارد زیر باشد :

تلاش برای دستیابی غیر مجاز به یک سیستم یا داده

استفاده غیرمجاز از یک سیستم برای پردازش و یا ذخیره سازی داده ها

تفییر یک سیستم ، نرم افزار و حتی سخت افزار بدون اجازه خود مالکین آن

قطع ارتباطات و یا حملات DoS

گواهینامه (Certificate) : یک فرم دیجیتالی برای یک کامپیوتر ، کاربر یا سازمان که به احرازهویت آن ها کمک کرده و باعث حفظ امنیت اطلاعات می شود .

مدارک هویتی (Credentials) : مدارک احراز هویتی یک کاربر که برای احراز هویت یک شخص استفاده می شود و می تواند شامل رمزهای عبور ، توکن ها و گواهینامه های دیجیتالی باشد .

اطلاعات در استراحت (Data at rest) : توصیفی است از داده های ذخیره شده در حافظه دائمی از قبیل هارددیسک ها ، رسانه های قابل حمل و یا سیستم های پشتیبان گیری .

Malvertising : شیوه ای که در آن با استفاده از تبلیغات آنلاین به انتقال بدافزارها به سیستم های کامپیوتری پرداخته می شود .

کاهش خطرات (Mitigation) : اقدام هایی که سازمان ها و افراد می توانند برای به حداقل رساندن ریسک های امنیتی انجام دهند .

خطرات داخلی (Insider Risk) : به پتانسیل موجود برای کارهای خرابکانه توسط افراد درون یک سازمان و یا کاربران قانونی که حق دسترسی به قسمت های مختلف را دارند گفته می شود .

رمزنگاری (Cryptography) : توابع ریاضی که از افشاشدن اطلاعات  در مقابل افراد غیرمجاز جلوگیری می کند و تنها کسانی امکان دسترسی به اطلاعات را دارند که کلید رمز را داشته باشند .

حمله Brute Force :مهاجم با استفاده از توان محاسباتی کامپیوترها ، ترکیب های چندگانه ای را برای شناسایی رمز عبور ایجاد می کند و با رمزعبور کشف شده به قسمت های غیرمجاز دسترسی پیدا می کند .

حمله دیکشنری (Dictionary Attack) : یک نوع از حمله Brute Force می باشد که در آن مهاجم با استفاده از مجموعه ای از رمزهای قابل قبول سعی در حدس زدن کلمات عبور می کند .

حمله دانلود (Download Attack) : نصب یک بدافزار یا ویروس به صورتی که کاربر هیچ اطلاعی از نصب آن نداشته باشد و بدون رضایت کاربر به رصد وی و کپی برداری از اطلاعات بپردازد .

حمله بهره برداری (Exploit Attack) : به نرم افزارها و یا داده های اشاره می کند که از آسیب پذیری های موجود در سیستم برای ضربه زدن به آن استفاده می کنند .

فیشینگ : به سرقت بردن اطلاعات حساس بانکی و شخصی افراد از طریق صفحات جعلی وب و یا ایمیل های اسپم .

Pharming : حمله به زیرساخت یک شبکه که در نتیجه باعث انتقال کاربران آن شبکه به یک وب سایت غیرقانونی می شود ، این در حالی است که کاربر آدرس سایت را درست وارد کرده است ولی به مکانی دیگر منتقل می شود .

Sanitisation : با استفاده از شیوه های تخریب فیزیکی یا الکترونیکی به پاک کردن و حذف اطلاعات از حافظه ها مبادرت می شود .

Smishing : فیشینگ با پیامک . در این حمله با ارسال پیام های متنی به کاربران از آن ها اطلاعات حساس نظیر اطلاعات بانکی پرسیده می شود و یا آن را ترغیب به ورود به سایت های جعلی می کنند .

Pentest : آزمون نفوذ . یک آزمایش مجاز بر روی شبکه کامپیوتری یا سیستم امنیتی می باشد که به هدف شناسایی ضعف های امنیتی می پردازد و سعی می کند تا این ضعف ها را از طریق شیوه های اثبات ریاضی برای مدیران شبکه معلوم نماید .

نقض حریم خصوصی : نقض حریم خصوصی باعث به خطر افتادن اطلاعات شخصی و هویتی افراد خواهد شد. نقض حریم خصوصی به تنهایی یک حمله محسوب نمی‎شود، امّا می تواند موجب ایجاد تهدیدات اساسی گردد.


تهیه و گردآوری : مسعود معاونی

منبع : منابع مختلف


دیکشنری حملات در رمزنگاری

دیکشنری حملات در رمزنگاری

حملات مطرح در سیستم های رمزنگاری :

در این پست قصد داریم به معرفی حملات مطرح در سیستم های رمزنگاری و پروتکل های امنیتی بپردازیم . این پست در حقیقت یک دیکشنری آنلاین از انواع حملات رمزنگاری می باشد . شما هم می توانید در بخش کامنت های این پست در تکمیل این دیکشنری به ما کمک کنید . رمزنگاری اساس سیستم های امنیتی می باشد. بدون یک رمزنگاری قوی نمی‎توان امنیت سیستم‎های کامپیوتری را تامین کرد.

(پست مشابه : واژه نامه امنیت سایبری)

حمله شماره ۱ :

حمله سرقت تایید کننده یا حمله خودی :

(Stolen verifier attack OR Insider attack) :

در اغلب احراز هویت های مبتنی بر رمز عبور ، سرور اطلاعات مشتریان را در پایگاه داده خود ذخیره می کند (مانند کلمه عبور ، اطلاعات بیومتریک و…) و این کار به هدف احراز هویت مشتری بوسیله تایید کننده (verifier ) صورت می پذیرد .

بنابراین سرور می تواند ، همواره هدف اولیه حمله کننده باشد . زیرا حمله کننده می تواند به راحتی اطلاعات حساسی از کاربران را به دست آورد .

در مجموع در این حمله یک هکر تلاش می کند سرور را هک کرده و به استخراج اطلاعات مشتری از پایگاه سرور بپردازد و از آن اطلاعات با جازدن خود به جای کاربران سواستفاده کند .

حمله شماره ۲ :

حمله حدس زدن رمز عبور :

(Password guessing attack):

در این حمله مهاجم(adversary) سوابق پیام های احراز هویت بین مشتری و سرور را بررسی کرده ، سپس با استفاده از یک فرهنگ لغت (dictionary) رمزهای عبور گوناگون را انتخاب و تست می کند و سپس با استفاده از پیام های تاییدهویت تلاش می کند تا رمز عبور صحیح را بدست آورد .

اگر مهاجم بتواند رمز عبور را درست حدس بزند ، می تواند از این به بعدخود را به عنوان یک مشتری قانونی جابزند و هویت خود را برای سرور جعل کند . حتی اگر رمز درست پیدا نشود ، مهاجم می تواند  آن قدر رمزهای عبور دیگر را از فرهنگ لغت امتحان کند و این عمیات را تا زمانی تکرار کند تا به رمز عبور صحیح برسد .

در این حمله به بررسی دو زیر حمله می پردازیم :

  • حمله فرهنگ لغت ، واژه نامه (dictionary attack) :

همانطور که در بالا گفته شد ، در این حمله به حدس زدن کلمه عبور با کمک یک فرهنگ لغت که حملات رایج را شناسایی می کند می پردازیم .

  • حمله نیروی نفوذی (Brute force attack):

در واقع نوعی حمله حدس زدن رمز عبور شم می باشد . که در آن مهاجم سعی می کند تا به هر شکل  ممکن ترکیب ، یا کدی که رمز عبور شما بر مبنای آن شکل گرفته است را پیدا کند . این نوع حمله ممکن است زمان طولانی طول بکشد . برای مقابله با این حمله تا جای ممکن رمز عبور خود را پیچیده و بزرگ در نظر بگیرید .

  • حمله واقعه نگار (keylogger attack):

در این حمله مهاجم به دنبال ضربه زدن به کلید و یا نظارت سیستمی می باشد . این حمله هویت یک کاربر واقعی را به کمک نرم افزارها یا سخت افزارهای مخرب جعل می کند . این نرم افزار ها یا سخت افزارها در این نوع حمله عصای دست یک هکر می باشند و هکر به کمک آن ها به سادگی رمز عبور یک قربانی را بدست می آورد . این برنامه تمام کلیدهای که یک کاربر فشار میدهد و یا عملاتی که در حال پردازش آن است را ضبط و ثبت و ذخیره می کند . این اطلاعات به راحتی برای فرد دیگری فرستاده می شود ، لاگرهای امروز به شدت در حال توسعه و رشد هستند تا حدی که امکان ضبط صوت و تصویر را هم دارند .

  • حمله درب پشتی (Back door):

درب پشتی در یک برنامه پیچیده یا پروتکل احراز هویت راهی برای دور زدن احراز هویت و دسترسی عادی می باشد . معمولا طراحان ، درب پشتی را برای مقاصد مختلف در حین طراحی قرار می دهند و پس از آماده شدن محصول آن را حذف می کنند . بسیاری از برنامه های موجود در اینترنت دارای حفره های (درب های پشتی ) مناسب می باشد که در واقع روزنه ایبرای نفوذ مهاجمین محسب می شود .

حمله شماره ۳ :

حمله Denning –sacco attack :

یا حمله تعدد (multiplicity attack):

این حمله زمانی رخ می دهد که مشتری و یا سرور شمامل یک کلید نشست قدیمی باشد . هنگامی که مهاجم (adversary) یک کلید جلسه قدیمی را بدست آورد ، تلاش می کند تا یک کلید بلند مدت خصوصی (به عنوان مثال رمز عبور مشتری ) را پیدا کند و یا کلید جلسه دیگر را از طریق کلید نشست قدیمی بدست آورد . در واقع در این حمله با به خطر افتادن یک کلید نشست تازه ، کل طرح به خطر خواهد افتاد .

حمله شماره ۴ :

حمله خودداری از خدمات  DOS , DDOS)) :

حمله DOS  مخفف (Denial Of Service) و حمله DDOS مخفف (Distributed Denial Of Service) می باشد .در این حملات مهاجم ، از دسترسی کاربران مجاز به منابع مجاز جلوگیری می کند .

باید توجه داشت که حملات اینترنتی و سایبری فقط شامل بدست آوردن و تخریب الگوریتم یک پروتکل نمی باشد . در بسیاری از حملات هدف اختلال در روند و عدم دسترسی کاربران به امکانات مجاز می باشد . این حملات معمولا به وب سرورهای بانک ها ، درگاههای پرداخت الکترونیکی و name server ها می باشد .

در این حملات مهاجم درخواست های متعددی را به سرور ارسال می کند تا بدین شکل دسترسی و مدیریت سرور بر روی منابع را کاهش دهد .

در هر دو حمله DOS ,DDOS هدف جلوگیری از ادامه فعالیت است اما تفاوت در منابع می باشد . در DOS مهاجم از یک منبع استفاده می کند ولی در DDOS مهاجم از چندین سیستم که در یک محیط گسترش یافته اند برای حمله استفاده می کند .

حمله شماره ۵ :

حمله اصلاح :

Modification attack  :

در این حمله یک مهاجم تلاش می کند تا در فرآیند احراز هویت اطلاعات تغییری ایجاد کرده و یا اصلاحاتی بوجود بیاورد . هدف در این جا حمله به یکپارچگی اطلاعات است ، این حمله باعث محرومیت از خدمات می شود .

حمله شماره ۶ :

حمله تصدیق دوجانبه :

Mutual authentication :

تصدیق دوجانبه بدین معنی است که کلاینت و سرور برای یکدیگر در همان پروتکل موجود تصدیق شوند . اگر این امکان در یک پروتکل فراهم نباشد مهاجم می تواند به عنوان یک سرور قانونی و یا مشتری به جعل هویت بپردازد .

حمله شماره ۷ :

حمله مردی در میانه :

Man – In – Middle attack  :

این حمله در واقع نوعی از استراق سمع فعال است که در آن مهاجم با قربانیان رابطه ای مستقل برقرار کرده و به ارسال پیام های استاندارد بین سرور و کاربر(یا دو کاربر بایکدیگر یا حتی دو سرور با یکدیگر ) می پردازد و سعی در جلب اعتماد آن ها دارد به طوری که آن ها باور می کنند که به صورت مستقیم در حال گفتگو هستند در حالی که اتصال خصوصی آنها توسط یک مهاجم کنترل می شود .

حمله شماره ۸ :

کلید نشست امنیتی :

Session key security  :

این ویژگی بدان معنی است که در پایان تبادل کلید نشست ، کسی جز دوطرف نشست (کلاینت وسرور)از کلید اطلاعی نداشته باشد . نقض این ویژگی می تواند حمله ای را بوجود آورد .

حمله شماره ۹ :

محرمانگی مناسب رو به جلو یا عقب :

perfect forward secrecy or perfect backward secrecy  :

محرمانه بودن اطلاعات در آینده و یا حفظ اطلاعاتی که در گذشته اتفاق افتاده از نیازهای امنیتی مهم برای پروتکل های امنیتی است . یک پروتکل برای حفظ محرمانگی (رو به جلو یا عقب) تضمین می کند حتی اگر کلید درازمدت (اصلی) یک کاربر یا حتی سرور (به عنوان مثال رمز عبور) به خطر بیفتد ، هرگز کسی نمی تواند کلید نشست قبلی را بیابد .

حمله شماره ۱۰ :

شناخته شدن (لورفتن) کلید محرمانه :

Known – key secrecy  :

این پروتکل تضمین می کند که حتی اگر مهاجم بتواند یک کلید نشست قدیمی بدست بیاورد ، نتواند هیچ کلید نشست مشتق شده دیگری را بدست آورد . این بدان معنا است که کلیدهای نشست مستقل از یکدیگر هستند .

تا زمانی که طرح های امنیتی در حال رشد باشند دنیای حملات رمزنگاری نیز رشد خود را خواهند داشت پس در حال تکمیل……. ارتباط

گردآورنده : مسعود معاونی

ایمیل جهت ارتباط : moaveni1@gmail.com

نگاهی گذرا به رمزنگاری کوانتومی

رمزنگاری کوانتومی

به طور کلی رمزنگاری زمینه ای است با تکنیک های خاص زبانی و ریاضی گونه مخصوص خودش که هدف آن تامین امنیت اطلاعات ، به ویژه در ارتباطات ناامن شبکه ای می باشد .

یکی از شیوه های مدرن در رمزنگاری ، که در سالیان اخیر به دلیل ظهور کامپیوترهای کوانتومی بسیار مورد توجه قرار گرفته است ؛ رمزنگاری کوانتومی می باشد . در رمزنگاری کوانتومی ، از قوانین کوانتوم در فیزیک برای ارسال پیام با امنیت بالاتر از آن چه که در رمزنگاری های معمولی شاهد آن هستیم ، استفاده می شود .

هدف از رمزنگاری کوانتومی ایجاد امنیت مطلق و غیرقابل نفوذ می باشد . یعنی هیچ مهاجمی نمی تواند به محتوای پیام ها به راحتی دست یابد و از آن ها استفاده کند . اما همواره باید توجه داشصت که چنین امنیت بی قید و شرطی هرگز قابل اجرا نمی باشد . زیرا که ؛ یک مهاجم همواره به شبکه های ارتباطی دسترسی داشته و به راحتی امکان استراق سمع (شنود) و دستکاری و اصلاح پیام های مبادله شده در کانال های ارتباطی را خواهد داشت .

محققین در آزمایشگاه ارتباطات امن در گروه فیزیک دانشگاه ETH زوریخ ثابت کرده اند که پروتکل های رمزنگاری کوانتومی می تواند علیرغم تمامی مخاطرات کانال های ارتباطی ناامن ، امنیت به نسبت قابل قبولی را فراهم بیاورند . آن ها نشان دادند که رمزنگاری کوانتومی مستقل از تجهیزات ، می تواند با تکنولوژی های کوانتومی مطرح شده در سالیان اخیر پیاده سازی شود .

رمزنگاری کوانتومی مستقل از تجهیزات ، به عنوان یک “استاندارد طلایی” برای ارتباطات کوانتومی محسوب می شود که علاوه بر مزایای رمزنگاری کوانتومی کلاسیک مزایای جدیدی را به همراه خواهد داشت که از آن جمله می توان به عدم نیاز به اعتماد سازی به دستگاه های فیزیکی اشاره کرد .

نکته فوق به عنوان یک چشم انداز جذاب برای طراحان پروتکل ها می باشد چرا که تااکنون رمزنگاری کوانتومی مستقل از تجهیزات ، تنها یک ساختار نظری بوده است و با نیازهای تجربی واقعی مطابق نبود . محققین اخیرا مفهوم نظری جدیدی را به نام انطباق آنتروپی (entropy accumulation) مطرح کرده اند و آن را بر روی روش رمزنگاری کوانتومی اعمال کرده اند . آن ها بر اساس این نظریه دریافتند که هر استراتژی حمله بدون توجه به پیچیدگی آن می تواند به دنباله ای از مراحل ساده تر تجزیه شود . این حقیقت برای اثبات های امنیتی که به شدت سخت و پیچیده هستند ، بسیار مفید است . زیرا در اثبات های امنیتی باید به استراتژی های مختلف حمله ، که توسط یک مهاجم ، امکان طراحی دارد توجه شود .

محققین معتقدند که رویکرد جدید آن ها می تواند امنیت رمزنگاری کوانتومی مستقل از تجهیزات را برای تکنولوژی کوانتومی پیشرفته فراهم آورد و این نشان دهنده تحقق و پیاده سازی چنین هدفی در آینده نزدیک خواهد بود .


گردآورنده : مسعود معاونی

تاریخ نشر مطلب : ۲۲ خرداد ۱۳۹۷

منبع :https://www.phys.ethz.ch


دانش صفر یا Zero Knowledge

دانش صفر

اعتماد به اطلاعات شخصی افراد در خدمات آنلاین باعث می شود تا ارائه دهنده خدمات ، تضمین کافی برای ارائه سرویس های خود را داشته باشد . از سوی دیگر ، کاربران نیز باید اطمینان حاصل کنند که داده های آن ها دچار مشکلات امنیتی نخواهند گردید . برای اطمینان از حفاظت صحیح از داده های خصوصی معمولا از سرویس های رمزنگاری Zero-Knowledge استفاده می شود .
در این جا می خواهیم بررسی کنیم که در یک سیستم رمزنگاری چه چیزی می تواند یک Zero Knowledge باشد و یک Zero-Knowledge چگونه کار خواهد کرد و چرا آن بهترین راه برای محافظت از اطلاعات شخصی می باشد ؟
به طور خلاصه رمزنگاری Zero-Knowledge بدان معنا است که ارائه دهندگان ارائه دهندگان سرویس های مختلف ، هیچ اطلاعاتی درباره اطلاعات ذخیره شده در سرورهای خود نمی دانند .در واقع رمزنگاری دانش صفر یک روش برای یک تایید کننده (Verifier) می باشد تا به وسیله آن درستی یک عبارت داده شده را بدون آن که اطلاعات خاصی درباره آن داشته باشد را اثبات کند . برای اثبات درستی یک موضوع باید برخی از اطلاعات مخفی برای تایید کننده موجود باشد و این بدان معنا است که هر متقاضی امکان اثبات خود را به هرکسی نخواهد داشت .
  اما برای این که این تعریف بهتر درک شود باید درباره چگونگی رمزنگاری به طور کلی صحبت کنیم .معمولا خدمات آنلاین باید با نوعی رمزگذاری محافظت شوند . به عبارت دیگر هنگامی که ما اطلاعات خود را در یک وب سایت یا برنامه وارد می کنیم ، اطلاعات ما به گونه ای رمزگذاری می شود که فقط توسط افراد مجاز با یک کلید مخفی قابل دستیابی می باشد . فرض کنید اکر این کلید رمزنگاری به هر دلیلی به سرقت برود و یا افشاء شود چه چیزی می تواند از اطلاعات ما محافظت کند . این همان جایی است که رمزنگاری Zero-Knowledge وارد می شود .
برای ورود به یک وب سرور ، شما باید مجاز بودن خود را نشان دهید . به همین دلیل معمولا رمز عبور خود را در صفحه Login وارد می کنید . به طور سنتی ، سرور دارای یک نسخه کد شده از رمز عبور شما می باشد و اگر نسخه کد شده با رمز شما مطابقت داده شود سیستم برای شما باز می شود . اما یک مشکل اساسی وجود دارد که سرور نیز اطلاعات حساس شما (رمز عبور) را می داند .
برای حل این مشکل ، در سیستم ها یک رمز عبور خصوصی و یک رمز عبور عمومی تعریف می شود که رمز عبور عمومی را سرور می داند ولی رمز عبور خصوصی فقط در اختیار کاربر می باشد . بنابراین سرور با کنترل رمز عبور عمومی که به وسیله روش های ریاضی از رمز عبور خصوصی قابل استخراج است هویت کاربر را تایید می کند و این در واقع همان Zero-Knowledge  می باشد .
در دانش صفر پروتکل های امنیتی معمولا یک سری اطلاعات را از متقاضی در قالب یک پیام دریافت می کنند و در صورتی که صحت این پیام در سمت دیگر تایید شد هویت شخص متقاضی تایید می شود . معمولا دانش صفر توسط توابع درهم ساز یک طرفه (One Way Hash Function) محافظت و نگهداری می شوند .
استانداردهای Zero-Knowledge شیوه های رمزنگاری مرسوم را به شکل قابل توجهی بهبود می بخشند و در حقیقت امن ترین راه برای محافظت از حریم خصوصی کاربران در محیط اینترنت می باشند .

نویسنده : مسعود معاونی


https://telegram.me/moaveni_ir

رمزنگاری مبتنی بر هویت فازی

  

رمزنگاری مبتنی بر هویت فازی

 

ما در این پست می خواهیم نوع جدیدی از رمزنگاری مبتنی بر هویت (ID-Based Encryption) را معرفی کنیم که ما آن را روش Fuzzy ID-Based  خواهیم نامید . در یک رمزنگاری Fuzzy IBE شناسه ما ما مجموعه ای از ویژگی ها را شامل خواهد شد . در چنین طرح های شناسه به همراه کلید محرمانه برای رمزنگاری استفاده خواهد شد و برای رمز گشایی از یک کلید عمومی استفاده خواهد شد . در چنین طرح های امکان استفاده از ورودی های بیومتریک به عنوان شناسه وجود دارد و قدرت تحمل خطای ذاتی در بیومتریک با استفاده از Fuzzy IBE به خوبی مدیریت می شود چرا که روش های بیومتریک به طور کلی دارای نویز قابل توجه ای می باشند .
رمز گذاری مبتنی بر ویژگی روشی می باشد که در آن می توان به راحتی از چندین مولفه در کنار یکدیگر استفاده کرد و این باعث افزایش توان این شیوه در مقابل تحملات خطا و حملات مختلف خواهد گردید . ساختار این روش رمزگذاری هرگز بر پایه اطلاعات تصادفی نخواهد بود .
در چنین طرحهای یک کاربر تنها با یک کلید مخفی قادر به رمز گشایی  و رمزگذاری خواهد پرداخت . کلید محرمانه و کلید عمومی همواره دارای یک فاصله مشخص از یکدیگرند و تنها تفاوت در برخی از متریک ها باعث تمایز در آن ها ی گردد . بنابراین سیستم ما توانایی بسیار خوبی برای تحمل خطا در شناسه های حاضر در سیستم رمزنگاری خواهد داشت .
در این شیوه تنها کسی قادر به رمزگذاری اطلاعات خواهد بود که مجموعه ای از ویژگی های خاص را در اختیار داشته باشد و تنها کسی قادر به رمز گشایی خواهد بود که تمام آن ویژگی ها را با یک فاصله استاندارد {d} را در اختیار داشته باشد .
مزیت استفاده از Fuzzy IBE این است که می توان به راحتی مدارک مهم را در سرورهای ذخیره سازی غیرقابل اعتماد ذخیره کرد و نیازی به تایید سرور نخواهد بود (این موضوع جایی اهمیت خود را نشان می دهد که بدانیم جهان دیجیتالی با سرعت بی نظیری به سمت جهان اَبری (cloud) در حال حرکت است و چنین ویژگی در سیستم رمزگذاری می تواند امکان ذخیره اطلاعات در سرورهای اَبری محلی (غیر قابل اعتماد) را فراهم کند و این یعنی جهش حرکتی به سوی اَبر) .
این در حالی است که در چنین شیوه رمزنگاری به راحتی امکان استفاده از بیومتریک و اعمال ضرایب متفاوتی برای تحمل خطا به سادگی امکان پذیر است .استفاده از بیومتریک در رمزنگاری امروزه به یک اصل جدایی ناپذیر تبدیل شده است چرا که بیومتریک بهترین ره حل کشف شده برای اثبات پذیری هویت است و امکان جعل در آن بسیار کم است . البته وجود خطا در دستگاه های ورودی بیومتریک و حملات متفاوتی نظیر جعل مدارک بیومتریک این شیوه را هم با چالش های اساسی مواجه کرده است . مزیت مهم بیومتریک این است که یک ویژگی ذاتی است و همواره با یک فرد خواهد بود . استفاده از بیومتریک تضمین می کند که یک فرد هرگز کلید عمومی خود را گم نخواهد کرد و می توان همواره یک هویت منحصر بفرد را پایه گذاری کرد .

نویسنده و گردآوری : مسعود معاونی


https://telegram.me/moaveni_ir