التشفير الفصل5.pdf

Full Transcript

Chapter 5:
The Art of Ensuring Integrity
‫فن حفظ التماسك‬

Cybersecurity Essentials v1.1

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
 ‫التماسك – النزاهة – السالمة ‪Integrity‬‬
‫▪ التماسك يعني أن البيانات ال تتغير وموثوق بها من أي أحد خالل الدورة الكاملة لحياة البيانات‪.‬‬
‫▪ تماسك البيانات هو جزء حيوي في تصميم وبناء واستخدام أي نظام يخزن ويعالج وينقل البيانات‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪2‬‬
 5.1 Types of Data Integrity
Controls
‫أنواع أدوات التحكم في تماسك البيانات‬

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫خوارزميات الهاش ‪Hashing Algorithms‬‬
‫▪ ما هو الهاش ‪ -‬التجزئة ‪ :Hashing‬يريد المستخدمون معرفة أن بياناتهم ستظل متماسكة ولن يتم العبث بها سواء‬
‫كانت متحركة أو ثابتة‪.‬‬
‫▪ والهاش أداة لتحقيق تماسك البيانات بأخذ البيانات الثنائية (الرسالة) ثم إنتاج قيمة للرسالة بطول ثابت‪ ،‬هذه القيمة‬
‫تسمى قيمة الهاش أو ملخص الرسالة‬
‫▪ تستخدم أدوات الهاش دوال تشفير الهاش وذلك لتأكيد وضمان تماسك البيانات‪.‬ويمكن أيضا لهذه الدوال أن تحقق‬
‫المصادقة‪.‬‬
‫▪ التجزئة هي دالة رياضية أحادية االتجاه يسهل حسابها نسبيًا‪ ،‬ولكن من الصعب جدًا عكسها‪.‬تتميز دالة التجزئة‬
‫المشفرة بالخصائص التالية‪:‬‬
‫‪.1‬يمكن أن يكون اإلدخال بأي طول‪.‬‬
‫‪.2‬اإلخراج له طول ثابت‪.‬‬
‫‪.3‬وظيفة التجزئة هي طريقة واحدة وال يمكن عكسها‪.‬‬
‫‪.4‬من المستحيل أن تكون قيمة الهاش هي نفسها لمجموعتين مختلفتين‬
‫من البيانات‪.‬‬

‫قيم تشفير الهاش تسمى عادة البصمات الرقمية ‪.digital fingerprints‬‬
‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪4‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫خوارزميات الهاش ‪Hashing Algorithms‬‬
‫هناك العديد من خوارزميات التجزئة (الهاش) الحديثة المستخدمة على نطاق واسع اليوم‪.‬األكثر شيوعا ً‬
‫هما ‪MD5‬و ‪SHA‬‬

‫– خوارزمية ملخص الرسائل ‪ : Message Digest 5 (MD5) 5‬خوارزمية تجزئة تنتج قيمة تجزئة‬
‫‪ 128‬بت‪.‬‬
‫‪ -‬خوارزمية التجزئة اآلمنة)‪ : Secure Hash Algorithm (SHA‬قام المعهد الوطني للمعايير‬
‫والتكنولوجيا‪ ،‬نست ‪ NIST‬ببناء خوارزمية ‪.SHA‬قامت نست بنشر خوارزمية ‪ SHA 1‬سنة ‪.1994‬‬
‫ثم استبدلت ‪ SHA 1‬ب ‪ SHA 2‬مع أربعة دوال هاش إضافية ضمن عائلة ‪ SHA‬والدوال هي‬

‫▪ )‪SHA-224 (224 bit‬‬
‫▪ )‪SHA-256 (256 bit‬‬
‫▪ )‪SHA-384 (384 bit‬‬
‫▪ )‪SHA-512 (512 bit‬‬
‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪5‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫خوارزميات الهاش ‪Hashing Algorithms‬‬
‫▪تطبيقات الهاش‪ :‬يتم استخدام دوال التشفير للهاش في المواقف اآلتية‪:‬‬

‫إلثبات هوية المصدر عند استخدام المصادقة السرية بالمفتاح المتماثل‪ ،‬مثل مصادقة برمجية‬ ‫ ‬
‫‪ IPSec‬أو مصادقة بروتوكوالت التوجيه‪.‬‬
‫ضمان المصادقة في بروتوكوالت المصادقة والتحقق من الهوية‪.‬‬ ‫ ‬

‫لتوفير برهان على فحص تماسك الرسالة‪ ،‬مثل ذلك المستخدم في العقود التي توقع رقميا‪،‬‬ ‫ ‬
‫وشهادات البنية التحتية للمفتاح العام (‪ )PKI‬وهي الشهادات التي تقبل عند التعامل السري مع‬
‫موقع إلكتروني باستخدام المتصفح‪.‬‬

‫▪ كسر شفرة الهاش ‪ :Cracking Hashes‬لكسر الهاش يجب على المهاجم أن يخمن كلمة المرور‪.‬‬
‫وأشهر هجومين لتخمين كلمات المرور هما هجمة القاموس والهجوم الغاشم (القوة الغاشمة)‪.‬‬

‫▪ مالحظة‪ :‬عند اختيار خوارزمية الهاش‪ ،‬يمكن استخدام ‪ SHA256‬أو أعلى ألنهم حاليا األكثر سرية‪.‬‬
‫وتجنب استخدام ‪ SHA 1‬و‪ MD5‬بسبب اكتشاف عيوب أمنية فيهما‪.‬‬
‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪6‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫خوارزميات الهاش ‪Hashing Algorithms‬‬
‫▪هجمة القاموس ‪ dictionary attacks‬وأحيانا تسمى هجمة جدول قوس قزح ‪ rainbow table‬تتم‬
‫باستخدام ملف يحتوي على الكلمات الشائعة والعبارات وكلمات المرور‪.‬ويحتوي الملف على قيم‬
‫محسوبة للهاش‪.‬وتتم الهجمة بمقارنة قيم الهاش الموجودة في الملف مع قيمة الهاش الخاص بكلمة‬
‫السر‪.‬فإذا وجد تطابق‪ ،‬سيقوم المهاجم بمعرفة مجموعة من كلمات السر المتوقعة والجيدة‪.‬‬

‫▪أما هجمة التخمين الغاشم ‪ brute-force attacks‬فتتم بمحاولة كل التباديل الممكنة لعدد معين من‬
‫الحروف‪ ،‬مناظر لعدد حروف كلمة السر المطلوبة‪.‬على سبيل المثال لو علمنا أن رقم المرور مكون‬
‫من أربعة أرقام‪ ،‬لذا يمكن تجربة ‪ 9999‬تبديلة لألرقام حتى نصل إلى الرقم السري‪.‬وهجمة التخمين‬
‫الغاشم تستهلك كمية ال بأس بها من وقت المعالج‪ ،‬ولكن المشكلة مشكلة وقت فقط حتى تصل هذه‬
‫الطريقة إلى كلمة السر المطلوبة‪.‬يجب أن تكون كلمات السر طويلة بما فيه الكفاية إلطالة الوقت الذي‬
‫تمكثه عملية التخمين الغاشم حتى يكون الهجوم غير مجدي‪.‬تطبيق الهاش على كلمات المرور يجعلها‬
‫أكثر صعوبة في التخمين من قبل القراصنة‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪7‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫التمليح ‪Salting‬‬
‫▪ يتم استخدام التمليح لجعل التجزئة أكثر أمانًا‪.‬إذا كان لدى مستخدمين نفس كلمة المرور‪ ،‬فسيكون‬
‫ضا نفس تجزئات كلمة المرور‪.‬‬ ‫لديهم أي ً‬
‫▪ ‪ Salt‬الملح ‪ ،‬وهو سلسلة عشوائية من األحرف‪ ،‬هو إدخال إضافي لكلمة المرور قبل التجزئة‪.‬يؤدي‬
‫هذا إلى إنشاء نتيجة تجزئة مختلفة لكلمتي المرور كما هو موضح في الشكل‪.‬تقوم قاعدة البيانات‬
‫بتخزين كل من التجزئة والملح‪.‬‬

‫▪ يمنع التمليح المهاجم من استخدام هجمة القاموس ومحاولة تخمين كلمة المرور‬
‫▪ تطبيق عملية التمليح‪ :‬توجد برمجيات مخصصة تسمى صانع األرقام العشوائية إلنشاء الملح‬
‫بإنتاج رقم عشوائي له مستوى عال من العشوائية وال يمكن أبدا توقع قيمته‪ ،‬ولذلك فهو سري من‬
‫الناحية التشفيرية‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪8‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫التمليح ‪Salting‬‬
‫▪وصانع األرقام العشوائية يقوم بتخليق رقم عشوائي له مستوى عال من‬
‫العشوائية وال يمكن أبدا توقع قيمته‪ ،‬ولذلك فهو سري من الناحية‬
‫التشفيرية‪.‬‬

‫▪ولبناء عملية التمليح بشكل ناجح‪ ،‬يجب استخدام التوصيات التالية‪:‬‬

‫قيمة الملح يجب أن تكون مختلفة لكل مستخدم جديد‪.‬‬ ‫ ‬

‫يمنع منعا باتا إعادة استخدام قيمة الملح‪.‬‬ ‫ ‬

‫طول قيمة الملح يجب أن تطابق طول مخرجات دالة الهاش‪.‬‬ ‫ ‬

‫قم بعمل الهاش على الخادم في حالة استخدام تطبيقات الويب‪.‬‬ ‫ ‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪9‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
‫‪HMAC‬‬
‫▪ تعمل ‪HMACs‬على تقوية خوارزميات التجزئة باستخدام مفتاح سري إضافي كمدخل لوظيفة التجزئة‪،‬‬
‫الشخص الذي يعرف المفتاح فقط هو من يستطيع التحقق من الهاش‪.‬‬
‫▪ يزيد استخدام ‪ HMAC‬ضمان السالمة عن طريق إضافة المصادقة‪.‬‬
‫▪ يستخدم ‪ HMAC‬خوارزمية محددة تجمع بين وظيفة تجزئة التشفير ومفتاح سري‪.‬‬
‫▪ وهذه الخاصية تحارب مشكلة هجوم الرجل الوسيط وتوفر مصادقة لمصدر البيانات (معرفة صاحب البيانات)‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪10‬‬
 ‫أنواع أدوات التحكم في تماسك البيانات‬
HMAC

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
5.2 Digital Signatures ‫التواقيع الرقمية‬

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
 ‫‪Digital Signatures‬‬
‫التواقيع والقوانين‪Signatures and the Law‬‬
‫ توفر التوقيعات الرقمية نفس وظيفة التوقيعات المكتوبة بخط اليد للمستندات‬
‫اإللكترونية‪ ،‬يتم استخدام التوقيع الرقمي لتحديد ما إذا كان شخص ما يقوم بتحرير‬
‫مستند بعد قيام المستخدم بتوقيعه‪.‬‬
‫ التوقيع الرقمي هو طريقة رياضية تستخدم للتحقق من صحة وسالمة رسالة أو‬
‫مستند رقمي أو برنامج‪.‬‬
‫ التوقيعات الرقمية تساعد في إقامة مصادقة وتماسك وعدم إنكار‪.‬وخصائص‬
‫التوقيع الرقمي هي كالتالي‪:‬‬
‫‪.1‬التوقيع ُمصا َدق‪ :‬ال يمكن تزوير التوقيع‪ ،‬ويجب توفير إثبات بأن الموقع‬
‫وليس أحد غيره هو الذي وقع المستند‪.‬‬
‫‪.2‬متماسك‪ :‬فبعد توقيع المستند ال يمكن تعديل المستند أو التوقيع‪.‬‬
‫‪.3‬ال يعاد استخدامه‪ :‬فالتوقيع جزء من المستند وال يمكن نقله لمستند آخر‪.‬‬
‫‪.4‬ال يمكن إنكاره‪ :‬ألغراض قانونية‪ ،‬التوقيع والمستند يعتبران أشياء حسية‪.‬‬
‫وال يمكن للموقعين بعدها ادعاء انهم لم يوقعوا على المستند‪.‬‬

‫ مالحظة‪ :‬التوقيعات الرقمية هي بديلة لـ ‪.HMAC‬‬
‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪13‬‬
 ‫كيف تعمل تقنية التوقيع الرقمي‬
‫‪How Digital Signature Technology Works‬‬
‫▪ التشفير غير المتماثل هو أساس التوقيعات الرقمية‪ ،‬فخوارزمية ذات مفتاح عام‬
‫مثل خوارزمية ‪RSA‬تنتج مفتاحين‪ ،‬واحد خاص وواحد عام‪.‬والمفتاحين يكونان‬
‫مرتبطان حسابيا‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪14‬‬
 ‫كيف تعمل تقنية التوقيع الرقمي‬
‫‪How Digital Signature Technology Works‬‬

‫‪ -‬تقوم اليسا بتجهيز الرسالة وتجهيز هاش الرسالة‪.‬ثم تقوم بتشفير الهاش مستخدمة‬
‫مفتاحها الخاص‪ ،‬كما هو موضح بالشكل األول‪ ،‬ثم تقوم اليسا بتجميع كل من‬
‫الرسالة والهاش المشفر ومفتاحها العام لتقوم بتركيب المستند النهائي الموقع يستقبل‬
‫بوب الرسالة ويقرأها‪.‬‬
‫‪ -‬وليتأكد من أن الرسالة أتت من اليسا‪ ،‬يقوم بحساب هاش الرسالة (هاش‪. (1‬‬
‫‪ -‬ثم يقوم بأخذ هاش الرسالة المشفر والمرسل مع رسالة اليسا ويقوم بفك تشفيره‬
‫مستخدما المفتاح العام إلليسا (هاش‪. (2‬‬
‫‪ -‬ثم يقارن الهاش الذي استقبله من إليسا (هاش ‪ (2‬مع الهاش الذي حسبه هو‬
‫(هاش‪.)1‬إذا وجد تطابق يعرف بعدها أن تلك رسالة إليسا وأنها لم يتم التالعب‬
‫بالرسالة في الطريق‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪15‬‬
5.3 Certificates ‫الشهادات الرقمية‬

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
 ‫‪Certificates‬‬
‫أساسيات الشهادات الرقمية ‪The Basics of Digital Certicates‬‬
‫▪ الشهادة الرقمية تعادل جواز السفر اإللكتروني‪.‬تمكن الشهادات الرقمية المستخدمين والمضيفين‬
‫والمؤسسات من تبادل المعلومات بشكل آمن عبر اإلنترنت‪.‬‬
‫▪ فإن الشهادة الرقمية تصادق المصدر وتقوم بالتحقق من أن المستخدمين الذين أرسلوا الرسالة هم‬
‫فعال من يدعون ذلك‪.‬وتستطيع الشهادات الرقمية تحقيق السرية للمستقبل بتشفير رسالة رد‬
‫للمرسل‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪17‬‬
 ‫‪Certificates‬‬
‫بناء الشهادة الرقمية ‪Constructing a Digital Certificate‬‬
‫▪ يجب أن تتبع الشهادة الرقمية بنية قياسية حتى يتمكن أي كيان من قراءتها وفهمها بغض النظر عن جهة اإلصدار‪.‬‬
‫‪X.509‬هو المعيار لبناء الشهادات الرقمية والبنية التحتية للمفتاح العام )‪ (PKI‬المستخدمة إلدارة الشهادات الرقمية‪.‬‬
‫▪ ‪PKI‬هي السياسات واألدوار واإلجراءات المطلوبة‬
‫إلنشاء الشهادات الرقمية وإدارتها وتوزيعها‬
‫واستخدامها وتخزينها وإبطالها‪.‬‬

‫سلطة إصدار الشهادة (‪:)Certificate Authority‬‬
‫الطرف الثالث يقوم بعمل فحص شامل قبل إصدار‬
‫االعتمادات‪.‬‬
‫بعد هذا الفحص العميق‪ ،‬يقوم الطرف الثالث بإصدار‬
‫االعتمادات والشهادات للشركات والمستخدمين‪ ،‬وهذه‬
‫الشهادات تقوم بتوقيع الرسائل للتأكد من أنه ال أحد قد‬
‫عبث بمحتوى الرسالة أثناء نقلها‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪18‬‬
5.4 Database Integrity
Enforcement
‫فرض سالمة قواعد البيانات‬

Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
 ‫‪Database Integrity Enforcement‬‬
‫تماسك وسالمة قواعد البيانات ‪Database Integrity‬‬
‫▪ توفر قواعد البيانات طريقة فعالة لتخزين البيانات واسترجاعها وتحليلها‪.‬‬
‫▪ مع زيادة جمع البيانات وزيادة حساسية البيانات‪ ،‬من المهم لمحترفي األمن السيبراني حماية العدد المتزايد‬
‫من قواعد البيانات‪.‬‬
‫▪ تشير سالمة البيانات إلى دقة واتساق وموثوقية البيانات المخزنة في قاعدة البيانات‪.‬‬
‫▪ قاعدة التحقق من صحة المدخالت ‪ Input Validation‬تساعد قاعدة التحقق في التأكيد على اكتمال‬
‫ودقة وانسجام البيانات‪.‬ومن أكثر الثغرات التي توجد في إدارة سالمة قواعد البيانات هو التحكم في عملية‬
‫إدخال البيانات‪ ،‬العديد من الهجمات المعروفة تحاول اختراق قواعد البيانات بإدخال بيانات مشوهة‪.‬‬
‫▪ التحقق من نوع البيانات‪ Data Type Validation:‬التحقق من نوع البيانات هو ابسط عملية تحقق في‬
‫قواعد البيانات والتي تتحقق من أن البيانات التي أدخلها المستخدم بيانات متناسقة وتناسب نوع البيانات‬
‫المطلوب‪.‬‬
‫▪فحص السلوك الشاذ ‪ :Anomaly Verification‬فحص الشذوذ يعني معرفة النمط الموجود في‬
‫البيانات الذي ال يطابق السلوك المتوقع‪.‬يمكن لنظم فحص الشذوذ أن تكتشف التزوير في بطاقة االئتمان‬
‫والتأمين‪.‬كما يمكن أن تحمي البيانات من التخريب الهائل أو التعديل الغير مصرح به‪.‬أو هجوم قطع‬
‫الخدمة‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪20‬‬
 ‫‪Database Integrity Enforcement‬‬
‫تماسك وسالمة قواعد البيانات ‪Database Integrity‬‬
‫قواعد أو قيود تكامل و تماسك وسالمة قاعدة البيانات األربعة هي كما يلي‪:‬‬
‫سالمة وتكامل الكيان‪ : Entity Integrity‬يجب أن تحتوي جميع الصفوف على معرف فريد يسمى‬
‫المفتاح األساسي‪ ،‬ويجب أن يكون العامود أو األعمدة المختارة لتكون مفتاح أساسي ذات خاصية عدم التكرار وعدم‬
‫الفراغ‪.‬‬
‫سالمة المجال‪ :Domain Integrity‬يجب أن تتبع جميع البيانات المخزنة في العمود نفس التنسيق‬
‫والتعريف‪.‬‬
‫التكامل المرجعي‪ :Referential Integrity‬يجب أن تظل عالقات الجدول متسقة‪.‬لذلك‪ ،‬ال يمكن‬
‫للمستخدم حذف سجل مرتبط بسجل آخر‪.‬‬
‫‪ :User-defined Integrity‬مجموعة من القواعد التي يحددها المستخدم والتي ال تنتمي إلى إحدى‬
‫الفئات األخرى‪.‬على سبيل المثال‪ ،‬يقوم العميل بتقديم طلب جديد‪.‬يقوم المستخدم أوالً بالتحقق لمعرفة ما إذا‬
‫كان هذا عميالً جديدًا‪.‬إذا كان األمر كذلك‪ ،‬يضيف المستخدم العميل الجديد إلى جدول العمالء‪.‬‬

‫‪Presentation_ID‬‬ ‫‪© 2008 Cisco Systems, Inc. All rights reserved.‬‬ ‫‪Cisco Confidential‬‬ ‫‪21‬‬
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22