جزوه 2 امنیت PDF

Summary

این جزوه به مفاهیم اولیه امنیت اطلاعات می پردازد و به بررسی انواع تهدیدات و راهکارهای مقابله با آنها می پردازد. مفاهیمی مانند محرمانگی، یکپارچگی و در دسترس بودن اطلاعات مورد بررسی قرار گرفته و اقدامات لازم جهت حفاظت از اطلاعات توضیح داده می شوند.

Full Transcript

‫بخش دوم جزوه آموزشی امنیت اطالعات‪ -‬کارشناسی‬
‫تعریف جهانی امنیت اطالعات‬

‫امنیت اطالعات شامل فرایند محافظت از تمامی اطالعات حساس در مقابل حمالت عمد و یا غیرعمد و فعالیت های غیرمجاز از جمله دسترسی‪ ،‬استفاده‪،‬‬
‫افشاء‪ ،‬تغییر‪ ،‬تخر یب و یا اختالل در اطالعات خواهد بود‪.‬ذاتا افراد برای ادامه حیات خود نیاز به حفاظت از اطالعات و دارایی های خود دارند‪.‬و برای این‬
‫حفاظت نیاز است تا دانش و علم خود را افزایش دهند‪.‬پس امنیت اطالعات نیازمند دانش تخصصی و استفاده از ابزارها و روش های حفاظت از داده ها در‬
‫برابر دسترسی و تغییرات است‪.‬‬

‫‪ 3‬اصل مهم امنیت اطالعات‬

‫محرمانگی ‪ Confidentiality:‬محرمانگی به این موضوع میپردازد که اطالعات درحال ارسال تنها توسط فرستنده و گیرنده قابل مشاهده‬ ‫▪‬
‫باشد‪.‬‬
‫یکپارچگی ‪ Integrity:‬یکپارچگی یعنی تمامی اطالعاتی که درحال ارسال هستند بدون هرگونه تغییری ارسال شود و به دست گیرنده برسد‪.‬‬ ‫▪‬
‫در دسترس بودن ‪ Availability:‬دردسترس بودن نیز به این معناست که داده ها برای ذخیره سازی پذیرش و یا محافظت در دسترس‬ ‫▪‬
‫باشند‪.‬‬

‫موارد باال سه مفهوم اساسی برای حفاظت از اطالعات وجود دارد‪.‬توجه نمایید که این مفاهیم را به صورت اختصار با عنوان ‪ CIA‬میشناسند‪.‬مفهوم‬
‫‪ CIA‬در کنار امنیت سخت افزار و نرم افزار مفهوم پیدا میکند‪.‬قبل از هر اقدامی الزم است تا ز یرساخت مناسب فراهم نمایید‪.‬در این مرحله الزم است تا‬
‫میزان آسیب پذیری بررسی شود‪.‬و از میزان و سطح محرمانه بودن اطالعات آ گاهی داشته باشید تا بهتر ین راهکار را انتخاب نمایید‪.‬‬

‫اقدامات الزم جهت حفاظت از اطالعات‬

‫قبل از هر اقدامی برای امنیت اطالعات الزم است تا ز یرساخت مناسب فراهم نمایید‪.‬در این مرحله الزم است تا میزان آسیب پذیری بررسی شود‪.‬و از میزان‬
‫و سطح محرمانه بودن اطالعات آ گاهی داشته باشید تا بهتر ین راهکار را انتخاب نمایید‪.‬تست نفوذ به عنوان یک ضرورت در این امر به شمار میرود‪.‬تمامی‬
‫موارد ز یر برای تهیه یک سیستم حفاظت از اطالعات در برابر تهدیدات نیاز به بررسی دارند‪.‬‬

‫‪MAIL‬‬ ‫ ‬
‫‪DNS‬‬ ‫ ‬
‫سیستم های فایروال‬ ‫ ‬
 ‫ساختار کلمات عبور‬ ‫ ‬
‫سیستم های پروتکل انتقال فایل‪FTP‬‬ ‫ ‬
‫وب سرورها‬ ‫ ‬
‫‪PBX‬‬ ‫ ‬
‫به مرور زمان روشهای حفاظت از اطالعات تغییر پیدا کردهاند و امروزه برای امنیت اطالعات بیشتر از ابزارهای خودکار و هوشمند استفاده میشود‪.‬‬

‫دالیل نیاز به تکنیکهای حفاظت از اطالعات‬

‫هر سازمان در حیطه کاری خود به موارد ز یر حتما نیاز پیدا خواهد کرد‪.‬بنابراین الزم است تا راهکارهایی برای این موارد در برابر آسیب در نظر گرفته شود‪.‬‬

‫‪ o‬جابه جایی امن اطالعات‬
‫‪ o‬جلوگیری از سرقت اطالعات‬
‫‪ o‬حفاظت از حقوق معنوی داده ها‬
‫‪ o‬نظارت به دسترسی ها‬

‫یکی از کاربردیتر ین راهکارهای پیشنهادی ممکن برای مدیر یت تهیدات استفاده از ‪ UTM‬است‪.‬این سامانه در دسته فایروالهای نسل ‪ 3‬شناخته شده‬
‫است‪ UTM.‬یعنی سامانه مدیر یت یکپارچه تهدیدات و یکپارچه بودن آن به این معناست که عالوه بر فایروال شامل سیستم های دیگری نظیر سیستم‬
‫های مدیر یتی‪ ،‬امنیتی و نظارتی نیز میشود‪.‬‬

‫مهم ترین انواع حمالت در شبکه های کامپیوتری‬
‫انواع حمالت در شبکه های کامپیوتری به عنوان یکی از مسائل اصلی در حوزه امنیت اطالعات مطرح هستند‪.‬این حمالت به دستهبندیهای مختلفی‬
‫تقسیم میشوند که هدف اصلی آنها نفوذ به سیستمها‪ ،‬دسترسی غیرمجاز به اطالعات و منابع‪ ،‬ایجاد اختالل در خدمات و سرقت اطالعات محسوب‬
‫میشود‪.‬انواع حمالت در شبکه های کامپیوتری عبارتند از‪:‬‬
‫حداقل ‪ 5‬مورد را نام برده و مختصر توضیح دهید‪.‬‬
‫حمله)‪DoS (Denial of Service‬‬ ‫ ‬

‫هدف حمله ‪ DoS‬یا حمله انکار سرویس‪ ،‬محدود کردن یا متوقف کردن دسترسی کاربران به سرویسها یا منابع سیستمی است‪.‬در این نوع حمله‪،‬‬
‫حملهکننده تعداد ز یادی درخواست به سرور یا شبکه میفرستد تا منابع را اشغال کند و از ارائه خدمات به سایر کاربران جلوگیری کند‪.‬‬

‫سرقت نشست‬ ‫ ‬

‫در این نوع حمله‪ ،‬حملهکننده تالش میکند تا نشست اعتباری یا احراز هویت کاربری را سرقت کند‪.‬این حمله ممکن است از طر یق کلمهی عبور‪ ،‬اطالعات‬
‫کارت اعتباری و یا دسترسی به اطالعات حساب بانکی انجام شود‪.‬‬

‫اسکن پورت‬ ‫ ‬

‫حملهکننده در این نوع حمله تالش میکند تا پورتهای باز و قابل دسترس را در سیستمهای هدف پیدا کند‪.‬این اطالعات به حمالت دیگری مانند نفوذ از‬
‫طر یق پورتهای آسیبپذیر میتواند منجر شود‪.‬‬

‫حمله)‪Man-in-the-Middle (MITM‬‬ ‫ ‬

‫از بین انواع حمالت در شبکه های کامپیوتری‪ ،‬در‪، MITM‬حملهکننده در میان راه ارتباطی بین دو طرف تالش میکند ترافیک را کنترل کند‪.‬این نوع‬
‫حمله ممکن است منجر به دسترسی به اطالعات حساس مانند رمزعبورها یا اطالعات مالی شود‪.‬‬
 ‫حمله‪Smurfing‬‬ ‫ ‬
‫ً‬
‫حمله ‪ Smurfing‬معموال با استفاده از پیکربندی نادرست شبکه انجام میشود و منجر به اشغال پهنای باند شبکه میشود‪.‬در این نوع حمله‪ ،‬حملهکننده‬
‫پیامهای ‪ ICMP‬با آدرس منبع تقلبی ارسال میکند تا سرورهای درخواست ارسال پاسخها را به آدرس تقلبی بفرستند‪.‬‬

‫حمله‪SYN Flood‬‬ ‫ ‬

‫در این نوع حمله‪ ،‬حملهکننده تعداد ز یادی درخواست ایجاد اتصال ‪ TCP‬با سرور مقصد ارسال میکند‪ ،‬اما به پاسخدهی به درخواستها پرداخته نمیشود‪.‬‬
‫این حمله منجر به اشغال منابع سرور و بار ز یادی روی پردازنده و حافظه آن میشود‪.‬‬

‫ویروسهای کامپیوتری‬ ‫ ‬

‫ویروسهای کامپیوتری نرمافزارهای خبیث هستند که قادر به تکثیر خود در سیستمهای کامپیوتری و آسیبرسانی به فایلها و برنامهها هستند‪.‬این ویروسها‬
‫ً‬
‫معموال از طر یق فایلهای اجرایی یا پیوستهای ایمیل منتشر میشوند‪.‬‬

‫تروجان و دربهای پشتی‬ ‫ ‬

‫تروجانها و دربهای پشتی نوع دیگری از انواع حمالت در شبکه های کامپیوتری و نرمافزارهای مخربی هستند که به صورت مخفیانه و بدون اطالع کاربر‬
‫ً‬
‫نصب میشوند‪.‬این نرمافزارها معموال به جمعآوری اطالعات شخصی‪ ،‬کلیدهای ورودی و اطالعات بانکی از کاربران میپردازند‪.‬‬

‫نرمافزارهای جاسوسی‬ ‫ ‬

‫نرمافزارهای جاسوسی به صورت مخفیانه در سیستمها نصب میشوند و فعالیتهای کاربران را بررسی و ثبت میکنند‪.‬این نوع حمله میتواند به سرقت‬
‫اطالعات حساس منجر شود‪ ،‬و از طر یق ایمیلهای تقلبی یا فایلهای پیوست به سیستمها منتشر میشوند‪.‬‬

‫انواع حمالت اطالعاتی شبکه‬
‫در اینجا با حمالت اطالعاتی از انواع حمالت در شبکه های کامپیوتری آشنا خواهیم شد‪:‬‬

‫حمالت غیر فعال‬ ‫▪‬

‫حمالت غیر فعال به تحلیل و بررسی ساختار شبکه و اطالعات آن میپردازند‪.‬حملهکننده از طر یق جمعآوری اطالعات اولیه‪ ،‬سعی در درک سیستم و نقاط‬
‫ضعف احتمالی دارد‪.‬‬

‫حمالت فعال‬ ‫▪‬

‫در این نوع از انواع حمالت در شبکه های کامپیوتری‪ ،‬حملهکننده به تعامل مستقیم با سیستمها میپردازد‪.‬بهطور معمول‪ ،‬با تالش برای دستیابی به‬
‫اطالعات حساس یا نفوذ به سیستمها‪ ،‬تالش میکند‪.‬‬

‫جمالت مجاور‬ ‫▪‬

‫حمالت مجاور به دسترسی فیز یکی به سیستمها و تجهیزات درون شبکه میپردازند‪.‬حملهکننده با حضور فیز یکی در محل و متوجه شدن از مشخصات‬
‫فیز یکی تجهیزات‪ ،‬سعی در انجام حمالت خواهد داشت‪.‬‬

‫حمالت خودی‬ ‫▪‬
‫ً‬
‫حمالت خودی به افرادی اشاره دارد که دسترسی الزم برای انجام حمالت را دارند و این حمالت معموال از درون شبکه انجام میشود‪.‬افراد خودی اغلب‬
‫اطالعاتی داخلی را آشکار یا افشا میکنند‪.‬‬
 ‫حمالت توز یع‬ ‫▪‬

‫حمالت توز یع شده آن دسته از انواع حمالت در شبکه های کامپیوتری هستند که توسط گروههای بزرگ انجام میشوند‪ ،‬که به کمک ز یرساختهای بزرگ‬
‫ً‬
‫شبکهای اقدام به حمالت متعدد در مکانها و زمانهای مختلف میکنند‪.‬این نوع حمالت پیچیده تر هستند و معموال از دستگاههای آلوده به ویروسها در‬
‫این حمالت استفاده میشود‪.‬‬
‫حداقل ‪ 5‬مورد را نام برده و توضیح دهید‪.‬‬
‫روشهای ایجاد امنیت در شبکه‬
‫با توجه به رشد روزافزون تهدیدات امنیتی و نیازهای شبکههای کامپیوتری به حفظ امنیت در مقابل انواع حمالت در شبکه های کامپیوتری‪ ،‬ایجاد امنیت‬
‫در شبکهها از اهمیت ویژهای برخوردار است‪.‬ترکیبی از روشها و استراتژیهای امنیتی میتواند به مدیران شبکه کمک کند تا از امنیت دادهها و منابع خود‬
‫محافظت کنند‪.‬در ادامه به برخی از روشهای ایجاد امنیت در شبکهها اشاره خواهیم کرد‪:‬‬

‫‪ o‬استفاده از فایروال‬

‫فایروالها از ابزارهای مهم در ایجاد امنیت شبکه هستند‪.‬آنها به ترافیک شبکه نظارت میکنند و قابلیت کنترل دسترسی به منابع را فراهم میکنند‪.‬‬
‫فایروالها میتوانند ترافیک غیرمجاز را مسدود کنند و از انواع حمالت در شبکه های کامپیوتری مانند حمالت ‪ DDoS‬جلوگیری کنند‪.‬‬

‫‪ o‬استفاده از رمزنگاری‬

‫رمزنگاری دادهها یک روش مؤثر در افزایش امنیت اطالعات در شبکهها است‪.‬با استفاده از رمزنگاری‪ ،‬اطالعات به صورت رمز شده ارسال و در یافت‬
‫میشوند و تنها افراد مجاز با داشتن کلید رمزگشایی میتوانند به آن دسترسی پیدا کنند‪(.‬در ادامه این جزوه آموزشی روشهای رمزنگاری توضیح داده شده)‬

‫‪ o‬بهروزرسانی منظم‬

‫بهروزرسانی سیستمها و نرمافزارها به اهمیت باالیی در ایجاد امنیت شبکه ها دارد‪.‬بهروزرسانیهای منظم نرمافزارها و سیستمعاملها به معنای برطرف‬
‫کردن آسیبپذیریهای امنیتی جدید است‪.‬‬

‫‪ o‬استفاده از شبکههای مجازی اختصاصی)‪(VPN‬‬

‫شبکههای مجازی اختصاصی یا ‪ VPN‬ارتباط امن بین دستگاهها را ایجاد میکنند و اطالعات را به صورت رمزنگاری شده ارسال میکنند‪.‬این روش به‬
‫افراد امکان میدهد که از هر جایی به شبکه دسترسی داشته باشند‪ ،‬حتی اگر به یک شبکه عمومی متصل باشند‪.‬‬

‫‪ o‬مدیریت دسترسی‬

‫کنترل دقیق بر دسترسیها و مجوزهای کاربران به منابع شبکه میتواند به حفظ امنیت کمک کند‪.‬تعیین سطوح دسترسی متناسب با نیازهای هر کاربر و‬
‫کارمند میتواند از دسترسیهای غیرمجاز جلوگیری کند‪.‬‬

‫‪ o‬آموزش کاربران‬

‫آموزش کاربران در زمینه انواع حمالت در شبکه های کامپیوتری میتواند از مهمتر ین عوامل در ایجاد امنیت باشد‪.‬آموزش کاربران در مورد رفتارهای امنیتی‪،‬‬
‫شناسایی حمالت و اقدامات ایمنی که باید انجام دهند‪ ،‬به کاهش خطرات امنیتی کمک میکند‪.‬‬

‫‪ o‬نظارت و ضبط رخدادها‬

‫استفاده از ابزارهای نظارتی و ضبط رخدادها میتواند به تشخیص حمالت و نقضهای امنیتی کمک کند‪.‬این ابزارها به مدیران شبکه اطالعات دقیقی از‬
‫وقایع درون شبکه ارائه میدهند تا بتوانند به سرعت به تهدیدات پاسخ دهند‪.‬استفادهی همزمان از این روشها و استراتژیهای امنیتی میتواند به ایجاد یک‬
‫محیط امن در شبکههای کامپیوتری کمک کند و از خطرات امنیتی جلوگیری نماید‪.‬‬
 ‫مفهوم رمزنگاری ‪:Cryptology, Cryptography‬‬

‫عملیاتی است که با استفاده از کلید رمز‪ ،‬پیام را به رمز تبدیل می کند و به معنی تبدیل کردن متن ساده به متن رمزی است تا‬
‫فهم محتوای آن ها برای افراد غیرمجاز امکان پذیر نباشد‪.‬‬

‫❖ رمزهای کالسیک‪:‬‬

‫امروزه دادهای که قرار است رمز شود مستقل از اینکه چه نوع دادهای است به صورت دنبالهای از بیتها در نظر گرفته میشود‪.‬اما رمزهای کالسیک‬
‫مبتنی بر کاراکترها بودند و از جایگزینی یا جابجایی کاراکترها یا هر دو روش استفاده مینمودند‪.‬‬

‫رمزهای جایگزینی‪ :‬در رمزهای جایگزینی هر کاراکتر متن اصلی با کاراکتری دیگر جایگزین شده و متن رمز شده تشکیل میشود‪.‬‬ ‫▪‬
‫گیرنده با انجام عمل معکوس به متن اصلی دست مییابد‪.‬شیوه جایگزینی هر کاراکتر با کاراکتر دیگر باید تنها برای فرستنده و گیرنده‬
‫آشکار باشد‪.‬رمز سزار نمونهای از رمز جایگزینی است که در آن هر کاراکتر با ‪ 3‬کاراکتر بعد از خود جایگزین میگردد‪.‬به طور نمونه ‪ A‬با‬
‫‪B ،D‬با‪… ، E‬و ‪ Z‬با ‪ C‬جایگزین میگردد‪.‬واضح است پارامتر مخفی در رمز سزار عدد ‪ 3‬بوده است‪.‬‬
‫رمزهای جابجایی‪ :‬در رمزهای جابجایی کارکترهای متن اصلی تغییر نمییابند و تنها با همدیگر جابجا میگردند‪.‬به طور مثال میتوان‬ ‫▪‬
‫کاراکترهای متن اصلی را به گروه های ‪ 10‬کاراکتری تقسیم کرد و آنها را زیر هم نوشت‪.‬سپس کلمات را به صورت عمودی خوانده و‬
‫کاراکترهای حاصل از خواندن را پشت سر هم نوشت و متن رمز شده را تشکیل داد‪.‬به طور مثال نامه ‪hello. it is a secret mail‬‬
‫‪for you.‬ابتدا به گروه های ‪ 10‬کاراکتری زیر تقسیم میشود‪:‬‬

‫‪hello.it i‬‬
‫‪s a secret‬‬
‫‪mail for‬‬
‫‪you‬‬
‫سپس کلمات ‪ 10‬کاراکتری نوشته شده به صورت عمودی خوانده میشوند و متن رمز شده زیر را تشکیل میدهند‪:‬‬

‫‪Hs ye molaaul iosl.e icftro eri r‬‬
‫پارامتر مخفی در رمز مذکور عدد ‪ 10‬میباشد‪.‬‬

‫الگوریتم های رمز نگاری‬

‫در دنیای امنیت امروز‪ ،‬روشهای رمزنگاری کالسیک منسوخ شده و ایمن نیستند به همین جهت روشهای پیچیده تری طراحی شده تا ضریب امنیت و‬
‫سختی رمزگشایی را افزایش دهد‪.‬الگور یتمهای رمزنگاری داده یا )‪ (Data Encryption Algorithms‬را به دو دسته کلی تقسیم میکنند‪:‬‬

‫‪- ۱‬الگور یتمهای رمزنگاری برگشتپذیر یا‪Reversible Encryption Algorithms‬‬

‫در این نوع الگور یتمها دادهی مورد نظر پس از رمزگذاری‪ ،‬قابل برگشت به دادهی اولیه است‪.‬‬

‫‪- ۲‬الگور یتمهای رمزنگاری برگشتناپذیر یا‪Irreversible Encryption Algorithms‬‬

‫در این نوع الگور یتمها دادهای که رمزگذاری میشود‪ ،‬به هیچ وجه قابل برگشت به دادهی اولیه نیست‪.‬‬

‫الگور یتمهای برگشتپذیر‪ ،‬خودشان به دو دسته تقسیم میشوند‪:‬‬

‫‪- ۱‬الگور یتمهای رمزنگاری متقارن یا‪Symmetric-key algorithm‬‬
‫در این نوع الگور یتم‪ ،‬یک کلید اختصاصی دارد که برای بقیه افراد غیر مجاز قابل استفاده نیست‪.‬کلید رمزگذاری دادهها و کلید رمزگشایی دادهها بین فرستنده‬
‫و گیرنده یکسان است‪(.‬یعنی دادهها با همان کلیدی رمزگشایی میشوند که رمزگذاری شدهاند)‬

‫این‪ ،‬اولین نوع رمزگذاری بود که بشر تعر یف کرد‪.‬هر چند تار یخچه رمزگذاری را حداقل به ‪ ۱۹۰۰‬سال قبل از میالد مسیح میدانند (یعنی حدود ‪ ۴۰۰۰‬سال‬
‫پیش) اما سادهتر ین و شناختهشدهتر ین الگور یتم در این دسته‪ ،‬الگور یتمی است که پادشاه ژولیوس سزار در حدود ‪ 5۰‬سال قبل از میالد به کار میبرد و به‬
‫همین دلیل به آن ‪( Caesar cipher‬رمزنگاری سزار) گفته میشود‪.‬‬

‫‪- ۲‬الگور یتمهای رمزنگاری نامتقارن یا ‪ Asymmetric-key algorithm‬یا‪Public-key cryptography‬‬

‫در این الگور یتم‪ ،‬از ‪ ۲‬کلید برای ‪ code‬و ‪ decode‬کردن داده ها استفاده می کند‪.‬این کلیدها را ‪ Public key‬و ‪ Private key‬می گویند ‪.‬‬
‫‪Public‬برای کد کردن پیام توسط فرستنده و ‪ Private key‬برای رمزگشایی توسط گیرنده استفاده می شود ‪.‬‬

‫❖ انواع الگور یتمهای متقارن‬
‫ٔ‬
‫‪ DES )۱‬الگور یتم ‪ DES‬یا استاندارد رمزگذاری داده ‪ Data Encryption Standard‬در دهه ‪ ۷۰‬میالدی در آمر یکا بهعنوان یک‬
‫استاندارد کدگذاری مطرح شد و در مراکز دولتی و صنعتی بکار میرود‪.‬این الگور یتم اینگونه عمل میکند که رشتهای از متن اصلی با طول ثابت‬
‫را به عنوان ورودی میگیرد و پس از انجام یک سری اعمال پیچیده روی آن خروجی را که طولی برابر طول ورودی دارد تولید میکند‪.‬استاندارد‬
‫اصلی یک کلید ‪ ۱۲۸‬بیتی ایجاد می کند‪.‬‬
‫‪ AES )۲‬جایگز ین ‪ DES‬و یک الگور یتم بلوکی است‪ ،‬به این معنی که اطالعات را به صورت بلوکهایی با اندازه ثابت رمزنگاری میکند‪AES.‬‬
‫از کلیدهای ‪ ۱۲۸‬بیت‪ ۱۹۲ ،‬بیت و ‪ ۲56‬بیت برای رمزنگاری استفاده میکند‪.‬فرایند رمزنگاری ‪ AES‬در چندین مرحله انجام میشود‪ ،‬که‬
‫عبارتاند از‪ :‬افزودن کلید در ابتدا‪ ،‬سپس کلید رمزنگاری به بلوک اطالعات اعمال میشود‪.‬کاربرد آن در امنیت سایبری است‪.‬‬
‫‪ DES )3‬نسخه ‪ 3‬ارتقا یافته ‪ DES‬می باشد‪.‬از ‪ DES‬امن تر می باشد و شکستن قفل آن بسیار مشکل است‪.‬‬
‫‪ CAST )۴‬توسط ‪ Carlisle Adams and Stafford Tavares‬طراحی شده است‪.‬شرکتهای مایکروسافت و ‪ IBM‬از این الگور یتم‬
‫استفاده میکنند‪.‬کلیدهای ‪ ۴۰‬و ‪ ۱۲۸‬بیتی استفاده میکند‪.‬یک رمزنگاری بلوکی است که در تعدادی از کاربردها‪ ،‬به ویژه به عنوان رمز پیش‬
‫ٔ‬
‫استفاده دولت کانادا تأیید‬ ‫فرض در برخی از نسخههای ‪ PGP‬و ‪ GPG‬مورد استفاده است‪.‬هم چنین برای ایجاد امنیت ارتباطات برای‬
‫شدهاست‪.‬‬
‫‪ RC )5‬رمزنگاری قطعه ای است که بدلیل سادگی اش مورد توجه قرار گرفته است‪.‬انواع نسخه ها ‪ : RC5 , RC6‬کلید ‪ ۲۰۴۸‬بیتی تولید می‬
‫کند‪.‬برای کاربردهای با منابع سخت افزاری محدود و نرخ داده متوسط مفید است‪.‬‬
‫‪ Blowfish )6‬یک رمز بلوکه متقارن (‪6۴‬بیتی) است که از کلیدهای با طول مختلف از ‪ 3۲‬بیت تا ‪ ۴۴۸‬بیتی استفاده میکند‪.‬این الگور یتم فاقد‬
‫مالکیت معنوی و دارای مجوز رایگان است و هر کسی قادر به استفاده از آن هست‪.‬رمزنگاری آمر یکایی بروس اشنایر (‪)Bruce Schneier‬‬
‫این الگور یتم را در سال ‪ ۱۹۹3‬طراحی کرد‪.‬نسخه بعدی آن ‪ Twoofish‬می باشد‪.‬از کلیدهای ‪ ۴۴۸‬بیتی استفاده میکند‪.‬‬
‫‪ IDEA )۷‬الگوریتم بین المللی رمزنگاری داده هاست‪.‬یک بلوک رمز است که در ‪ ۱۹۹۱‬طراحی و معرفی شد و بعنوان جایگزینی برای استاندارد‬
‫رمزنگاری داده ها درنظر گرفته شد‪.‬از کلیدهای ‪ 6۴‬و ‪ ۱۲۸‬بیتی استفاده میکند به لحاظ سرعت و قابلیت شبیه الگور یتم ‪ DES‬می باشد ولی‬
‫امن تر از آن است‪.‬‬
‫❖ انواع الگور یتمهای نامتقارن‬
‫‪ RSA.۱‬یک الگور یتم رمزگذاری است که برای انتقال ایمن پیام ها از طر یق اینترنت استفاده می شود‪.‬این روش رمزگذاری‪ ،‬بر این اصل استوار‬
‫است که ضرب اعداد بزرگ آسان است‪ ،‬اما فاکتورگیری از اعداد بزرگ بسیار دشوار است‪.‬هم برای امضای دیجیتال و هم برای ‪ SSL‬استفاده‬
‫می شود‪.‬‬
‫‪ Diffie Helman‬الگور یتم دیفی‪-‬هلمن (‪ ،)DH‬یک پروتکل رمزنگاری است که با استفاده از آن‪ ،‬دو نفر یا دو سازمان‪ ،‬میتوانند بدون‬ ‫‪.۲‬‬
‫نیاز به هر گونه آشنایی قبلی‪ ،‬یک کلید رمز مشترک ایجاد و آن را از طر یق یک مسیر ارتباطی غیر امن‪ ،‬بین خود تبادل نمایند‪.‬‬
‫‪ ECC.3‬شبیه الگور یتم ‪ RSA‬است‪.‬رمزنگاری منحنی بیضوی (‪ )ECC‬یک رمزنگاری به روش کلید عمومی است که بر اساس ساختاری‬
‫جبری از منحنیهای بیضوی بر روی میدانهای متناهی طراحی شدهاست‪.‬این رمزنگاری در مقایسه با بقیه رمزنگاریهای مبتنی بر میدانهای‬
‫گالوا برای ایجاد امنیت یکسان‪ ،‬به کلید کوچکتری نیازدارد‪.‬در شبکه های وایرلس کاربرد دارد‪.‬‬
‫‪ EL Gamal.۴‬نام دیگر آن ‪ DSA‬است‪.‬یک الگور یتم امضا است‪ ،‬نه یک الگور یتم رمزگذاری‪ ،‬و از رمزنگاری کلید عمومی برای تولید‬
‫امضای دیجیتال استفاده می کند‪ DSA.‬سه مرحله دارد‪ :‬اولین قدم ایجاد یک جفت کلید است‪.‬مرحله دوم امضای پیام است‪.‬مرحله سوم‬
‫تأیید امضای پیام است‪.‬‬

‫الگور یتم های برگشت ناپذیر ‪: Hashing‬دو نوع اصلی دارد‪ SHA :‬و ‪ MD‬الگور یتم ‪ SHA‬یک طرفه است یک کد ‪ ۱6۰‬بیتی تولید می‬
‫کند‪.‬الگور یتم‪ MD‬یک الگور یتم یکطرفه است‪.‬چندین نسخه دارد که مهمتر ین آنها عبارتند از ‪ : MD2 ,MD4,MD5‬یک کد ‪ ۱۲۸‬بیتی تولید‬
‫می کند‪.‬از ‪ hashing‬برای اطمینان از صحت اطالعات استفاده می شود‪.‬‬
 ‫‪www.takbook.com‬‬
‫‪115‬‬ ‫امنیت اطالعات‬

‫ویژگی‌های‌الگوریتم‌رمشنگاری‌نامتقارن ‪ 5‬ﻣﻮرد را ﯾﺎد ﺑﮕﯿﺮﯾﺪ و ﺗﻮﺿﯿﺢ دﻫﯿﺪ‪.‬‬
‫الگَضیتن ضهعًگبضی ًبهتمبضى زاضای ٍیژگیّبی ظیط است‪:‬‬
‫حتی زض صَضت اعالع اظ الگَضیتن ضهعًگبضی ٍ ولیس ضهعگصاضی هَضزاستفبزُ‪ ،‬اهىبى‬ ‫‪‬‬
‫هحبسجِ ولیس ضهعگطبیی ٍخَز ًساضز‪.‬‬
‫ّطیه اظ زٍ ولیس ػوَهی ٍ ذصَصی هیتَاًٌس ثطای ضهعگصاضی ٍ ولیس زیگط ثطای‬ ‫‪‬‬
‫ضهعگطبیی هَضزاستفبزُ لطاض گیطز‪.‬‬
‫زضصَضتیوِ پیبم ثب ولیس ػوَهی گیطًسُ ضهع ضَز‪ ،‬فطاّن آٍضًسُ هحطهبًگی ٍ اگط ثب‬ ‫‪‬‬
‫ولیس ذصَصی فطستٌسُ ضهع ضَز‪ ،‬فطاّن آٍضًسُ احطاظَّیت است‪.‬‬
‫ّط وبضثط هیتَاًس یه زستِولیس اظ ولیسّبی ػوَهی وبضثطاى هرتلف ضا زض اذتیبض زاضتِ‬ ‫‪‬‬
‫ثبضس؛ چطاوِ ولیس ػوَهی ثطای ّط زضذَاستوٌٌسُای اضسبل هیضَز‪.‬‬
‫اگط پیبهی ثب ولیس ػوَهی یه وبضثط (هثالً آلیس) ضهع ضسُ ثبضس‪ ،‬ضهعگطبیی آى فمظ‬ ‫‪‬‬
‫ثطای آلیس اهىبىپصیط است؛ ثِ زلیل ایٌىِ ضرص زیگطی اظ ولیس ذصَصی آلیس اعالع‬
‫ًساضز ٍ الجتِ ًجبیس زاضتِ ثبضس‪.‬‬
‫اگط پیبهی فمظ ثب ولیس ذصَصی فطستٌسُ ضهع ضسُ ثبضس‪ ،‬ضهعگطبیی آى ثطای ّط‬ ‫‪‬‬
‫وبضثطی وِ اظ ولیس ػوَهی فطستٌسُ اعالع زاضتِ ثبضس‪ ،‬اهىبىپصیط ذَاّس ثَز‪.‬‬
‫ّطظهبًی وِ وبضثط احسبس ًیبظ وٌس‪ ،‬هیتَاًس ثطای ذَز یه خفت ولیس ذصَصی ٍ‬ ‫‪‬‬
‫ػوَهی خسیس ایدبز ًوبیس‪.‬ولیس ذصَصی ضا ثِصَضت اهي ًعز ذَز ًگِزاضتِ ٍ ولیس‬
‫ػوَهی ضا ًیع زض یه هحل ػوَهی ثطای زستطسی زضذَاستوٌٌسگبى لطاض زّس‪.‬‬
‫زض ّط فطآیٌس ضهعگصاضی ٍ ضهعگطبیی‪ ،‬ثبیس اظ یه خفت ولیس هطثَط ثِ ّن استفبزُ‬ ‫‪‬‬
‫ضَز‪.‬هثالً ًویتَاى پیبم ضا ثب ولیس ذصَصی ثبة ضهعگصاضی وطز ٍلی ثب ولیس ػوَهی‬
‫آلیس ضهعگطبیی ًوَز!‬
‫ولیسّبی ػوَهی ثِعَضهؼوَل زض یه هىبى ػوَهی لطاض هیگیطًس تب ّط وبضثطی وِ ًیبظ‬ ‫‪‬‬
‫زاضتِ ثبضس ثِضاحتی ثتَاًس ثِ آىّب زستطسی پیسا وٌس‪.‬‬
‫تجبزل ولیسّبی ػوَهی ثِضاحتی هیتَاًس ثط ضٍی ثستط اضتجبعی ًباهي اًدبم پصیطز‪.‬‬ ‫‪‬‬
‫پیبمّبی ضهعضسُ زض ضهعًگبضی ًبهتمبضى‪ ،‬ثط ضٍی ثستط اضتجبعی ػوَهی ٍ ًباهي اًتمبل‬ ‫‪‬‬
‫هییبثٌس‪.‬‬
‫لغَ‪ 1‬ولیس ذصَصی ٍ ػوَهی تَسظ هبله ولیس‪ ،‬اهىبىپصیط است‪.‬‬ ‫‪‬‬
‫زض صَضت افطب ضسى ولیس ذصَصی‪ ،‬ثبیس سطیؼبً ظٍج ولیس هطثَعِ لغَ ضًَس‪.‬‬ ‫‪‬‬

‫‪1‬‬
‫‪Revoke‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫فصل سوم‬ ‫‪116‬‬
‫مفاهیم رمزنگاری‬

‫مقایسه‌رمشنگاری‌متقارن‌با‌رمشنگاری‌نامتقارن ‌‬
‫خسٍل ظیط ضبهل همبیسِ ثیي الگَضیتنّبی ضهعًگبضی هتمبضى ٍ الگَضیتنّبی ضهعًگبضی‬
‫ًبهتمبضى است‪:‬‬
‫اﻟﮕﻮرﯾﺘﻢ ﻣﺘﻘﺎرن و ﻧﺎﻣﺘﻘﺎرن را از ﺟﻬﺖ ﻧﯿﺎزﻫﺎى ﻋﻤﻠﯿﺎﺗﻰ ﯾﺎ اﻣﻨﯿﺘﻰ ﻣﻘﺎﯾﺴﻪ ﮐﻨﯿﺪ‪.‬‬

‫رمشنگاری‌نامتقارن‬ ‫رمشنگاری‌متقارن‬

‫‪.1‬ثطای ضهعگصاضی ٍ ضهعگطبیی اظ یه ‪.1‬ثطای ضهعگصاضی ٍ ضهعگطبیی اظ یه‬
‫الگَضیتن هطبثِ ٍلی زٍ ولیس هتفبٍت‬ ‫ولیس ٍ الگَضیتن هطبثِ استفبزُ هیضَز‪.‬‬
‫‪.2‬فطستٌسُ ٍ گیطًسُ ثبیس الگَضیتن ٍ ولیس استفبزُ هیضَز؛ یه ولیس ثطای ضهعگصاضی‬

‫نیاسهای‌عملیاتی ‌‬
‫ٍ یه ولیس ثطای ضهعگطبیی‪.‬‬ ‫هَضزاستفبزُ ضا ثبّن ثِ اضتطانگصاضًس‪.‬‬
‫‪.3‬ثطای اضتطانگصاضی ولیس‪ً ،‬یبظ ثِ یه ‪.2‬فطستٌسُ ٍ گیطًسُ ّطوسام ثبیس یىی اظ‬
‫ولیسّب ضا زض اذتیبض زاضتِ ثبضٌس‪ً(.‬یبظی‬ ‫وبًبل اًتمبل اهي است‪.‬‬
‫ثِ یىسبى ثَزى ولیسّب ًیست)‬
‫‪.3‬ولیس ػوَهی ضا هیتَاى اظ عطیك وبًبل‬
‫ًباهي اًتمبل زاز‪.‬‬

‫‪.1‬فمظ یىی اظ زٍ ولیس (ولیس ذصَصی)‬ ‫‪.1‬ولیس ثبیس ثِصَضت اهي ًگْساضی ضَز‪.‬‬
‫‪.2‬وطف پیبم ثسٍى زاضتي سبیط اعالػبت ثبیس ثِصَضت اهي ًگْساضی ضَز‪.‬‬

‫نیاسهای‌امنیتی‬
‫‪.2‬وطف پیبم ثسٍى زاضتي سبیط اعالػبت‬ ‫اهىبىپصیط ًجبضس‪.‬‬
‫‪.3‬زاًستي الگَضیتن ثِػالٍُ زاضتي چٌس اهىبىپصیط ًجبضس‪.‬‬
‫ًوًَِ هتي ضهعضسُ ًجبیس هٌدط ثِ وطف ‪.3‬زاًستي الگَضیتن ثِػالٍُ یىی اظ ولیسّب‬
‫ثِ ّوطاُ زاضتي چٌس ًوًَِ هتي ضهعضسُ‪،‬‬ ‫ولیس ضَز‪.‬‬
‫ًجبیس هٌدط ثِ وطف ولیس ضَز‪.‬‬

‫محزمانگی‌و‌احزاسهویت ‌‬
‫ّوبىعَض وِ گفتِ ضس‪ ،‬زضصَضتیوِ فطستٌسُ‪ ،‬پیبم ضا ثب ولیس ذصَصی ذَز ضهع ًوبیس‪،‬‬
‫فطاّنوٌٌسُ احطاظ َّیت ٍ زضصَضتیوِ پیبم ضا ثب ولیس ػوَهی گیطًسُ ضهع ًوبیس‪ ،‬فطاّن آٍضًسُ‬
‫هحطهبًگی است‪.‬اهب زضصَضتیوِ پیبم صطفبً ثب ولیس ذصَصی فطستٌسُ ضهع ضسُ ثبضس‪ّ ،‬ط‬
‫وبضثطی وِ ولیس ػوَهی فطستٌسُ ضا زض اذتیبض زاضتِ ثبضس‪ ،‬لبزض ثِ ضهعگطبیی پیبم ذَاّس ثَز‪.‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫‪117‬‬ ‫امنیت اطالعات‬

‫اگط ثرَاّین وِ احطاظ َّیت ٍ هحطهبًگی ضا ّوعهبى ثبّن زض اذتیبض زاضتِ ثبضین‪ ،‬ثبیس‬
‫فطستٌسُ پس اظ ضهعگصاضی پیبم ثب ولیس ذصَصی ذَز‪ ،‬هدسزاً پیبم ضا ثب ولیس ػوَهی گیطًسُ ًیع‬
‫ضهع ًوبیس‪.‬زض ایي صَضت ّیچ وبضثطی غیط اظ گیطًسُ هَضزًظط ًویتَاًس ضهعگطبیی هطحلِ اٍل‬
‫وِ ًیبظ ثِ ولیس ذصَصی گیطًسُ زاضز ضا اًدبم زّس‪.‬اهب گیطًسُ پساظآًىِ زض هطحلِ اٍل پیبم ضا‬
‫ثب ولیس ذصَصی ذَز ضهعگطبیی ًوَز‪ ،‬زض هطحلِ زٍم ضهعگطبیی ضا ثب ولیس ػوَهی فطستٌسُ‬
‫اًدبم هیزّس‪.‬ایي ػول وِ زض تصَیط ظیط ًوبیص زازُضسُ است‪ ،‬ثبػث هیگطزز ّوعهبى‬
‫هحطهبًگی ٍ احطاظ َّیت ضا زض اذتیبض زاضتِ ثبضین‪.‬‬

‫فطآیٌس احطاظ َّیت زض تصَیط ثبال ثِ ایي صَضت است وِ ولیس ذصَصی ضا ّیچوس خع‬
‫هبله ولیس زض اذتیبض ًساضز‪ ،‬اظ عطف زیگط ٍلتی ضهعگصاضی ثب ولیس ذصَصی اًدبم هیضَز‪،‬‬
‫ػولیبت ضهعگطبیی فمظ ثب ولیس ػوَهی اهىبىپصیط است‪.‬پس ٍلتی آلیس هیتَاًس ثب ولیس ػوَهی‬
‫ثبة‪ ،‬هتي ضا ضهعگطبیی ًوبیس‪ ،‬هغوئي هیضَز وِ فطستٌسُ پیبم ًویتَاًس وسی خع ثبة ثبضس‪.‬‬
‫‌‬
‫سیستم‌رمشنگاری‌کلیدعمومی ‌‬
‫‌‬ ‫کاربزدهای‌‬
‫ثستِ ثِ وبضثطز هَضزًظط‪ ،‬فطستٌسُ هیتَاًس اظ ولیس ذصَصی ذَز‪ ،‬ولیس ػوَهی گیطًسُ ٍ یب‬
‫ّط زٍ آىّب ثطای ضهعگصاضی استفبزُ ًوبیس‪.‬اگط ثرَاّین وبضثطزّبی ضهعًگبضی ًبهتمبضى ضا‬
‫تمسینثٌسی وٌین‪ ،‬سِ گطٍُ ثِصَضت ظیط ذَاّین زاضت‪:‬‬
‫رمشگذاری‌‪‌/‬رمشگشایی‬ ‫‪‬‬
‫اضسبلوٌٌسُ‪ ،‬پیبم ضا ثب ولیس ػوَهی گیطًسُ ضهعگصاضی هیًوبیس‪.‬‬
‫‪1‬‬
‫امضای‌دیجیتال‬ ‫‪‬‬
‫فطستٌسُ‪ ،‬پیبم ضا ثب ولیسذصَصی ذَز اهضبء هیًوبیس‪.‬هؼوَالً اهضبء ثب اػوبل‬
‫الگَضیتن ضهعگصاضی ثب ولیسذصَصی ثط یه ثلَن وَچه اظ زیتب اًدبم هیپصیطز‪.‬‬

‫‪1‬‬
‫‪Digital Signature‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫فصل سوم‬ ‫‪118‬‬
‫مفاهیم رمزنگاری‬

‫‪1‬‬
‫تجبزل ولیس‬ ‫‪‬‬
‫‪2‬‬
‫زٍ عطف ثبیس ولیس خلسِ ضا ثب یىسیگط تجبزل ًوبیٌس‪.‬‬

‫ثؼضی اظ الگَضیتنّبی ضهعًگبضی ّط سِ وبضثطز فَق ضا هیتَاًٌس فطاّن آٍضًس؛ ٍ الجتِ‬
‫ثؼضی زیگط فمظ هیتَاًٌس یه یب زٍ وبضثطز اظ هَاضز شوطضسُ ضا پطتیجبًی ًوبیٌس‪.‬خسٍل ظیط‬
‫ًوبیصزٌّسُ ایي هَضَع است‪:‬‬
‫تبادل‌کلید ‌‬ ‫امضای‌دیجیتال ‌‬ ‫رمشگذاری‪/‬رمشگشایی ‌‬ ‫الگوریتم ‌‬
‫ثلی‬ ‫ثلی‬ ‫ثلی‬ ‫‪RSA‬‬

‫ثلی‬ ‫ثلی‬ ‫ثلی‬ ‫‪‌ Elliptic Curve‬‬
‫ثلی‬ ‫ذیط‬ ‫ذیط‬ ‫‪‌ Diffie-Hellman‬‬
‫ذیط‬ ‫ثلی‬ ‫ذیط‬ ‫‪DSS‬‬

‫‌‬
‫الشامات‌رمشنگاری‌نامتقارن‪‌ 3‬‬
‫ثطای زاضتي یه سیستن ضهعًگبضی ًبهتمبضى‪ ،‬العاهبت ظیط ثبیس فطاّن ثبضس‪:‬‬
‫‪.1‬هحبسجبت تَلیس یه خفت ولیس (ولیس ػوَهی ٍ ذصَصی) ثطای عطف ‪ B‬آسبى ثبضس‪.‬‬
‫‪.2‬ثطای فطستٌسُ )‪ ،(A‬هحبسجِ هتي ضهعضسُ هتٌبظط ثب ولیس ػوَهی گیطًسُ ٍ پیبم )‪،(M‬‬
‫آسبى ثبضس‪.‬‬
‫‪.3‬ثطای زضیبفتوٌٌسُ)‪ (B‬هحبسجِ ضهعگطبیی)‪ (D‬هتي ضهعضسُ)‪ (C‬ثط اسبس ولیس‬
‫ذصَصی ذَزش‪ ،‬آسبى ثبضس‪.‬‬

‫‪.4‬ثطای هْبخن‪ ،‬هحبسجِ ولیسذصَصی گیطًسُ )‪ ،(PRb‬حتی ثب زض اذتیبض زاضتي ولیس‬
‫ػوَهی گیطًسُ)‪ ،(PUb‬اهىبىپصیط ًجبضس‪.‬‬
‫ثِ زست آٍضزى پیبم اصلی‪ ،‬حتی ثب زاضتي هتي ضهعضسُ ٍ ولیسػوَهی گیطًسُ‪ ،‬ثطای‬ ‫‪.5‬‬
‫هْبخن اهىبىپصیط ًجبضس‪.‬‬
‫اظ ّط زٍ ولیس ثتَاى ّن ثطای ضهعگصاضی ٍ ّن ثطای ضهعگطبیی استفبزُ ًوَز‪.‬‬ ‫‪.6‬‬

‫‪1‬‬
‫‪Key Exchange‬‬
‫‪2‬‬
‫‪Session Key‬‬
‫‪3‬‬
‫ّوبىعَض وِ گفتن‪ ،‬ثطای ضهعًگبضی ًبهتمبضى اظ ػجبضت ولیسػوَهی ًیع استفبزُ هیضَز‪.‬هي زض ایي وتبة ًسجت ثِ‬
‫خولِ خبضی‪ ،‬ثِصَضت هتٌبٍة اظ ّط زٍ ػجبضت فَق استفبزُ وطزُام‪.‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫‪325‬‬ ‫امنیت اطالعات‬

‫پروتکل ‪SSL/TLS‬‬

‫ششکت ‪ Netscape‬بشای بشقشاسی اهٌیت دس استباطات ایٌتشًتی‪ ،‬اقذام بِ اًتشاس یک پشٍتکل‬
‫اهٌیتی باًام )‪ً Secure Socket Layer (SSL‬وَدُ ٍ اص آى‪ ،‬دس هشٍسگشّای خَد پشتیباًی کشد‪.‬‬
‫ساصهاى ‪ IETF‬بِ دلیل کاسبشد ٍسیغ ٍ هٌاسب ‪ ،SSL‬اقذام بِ اًتشاس ایي پشٍتکل دس قالب‬
‫‪SSL‬‬ ‫استاًذاسد )‪ ٍ Transport Layer Security(TLS‬طی ‪ً RFC 5246‬وَد‪.1‬پشٍتکل ‪ TLS‬بش اساس‬
‫‪SSL v3‬‬ ‫‪ v3.1‬اسائِ گشدیذُ ٍ اص بسیاسی جْات شبیِ بِ یکذیگش هیباشٌذ‪.‬لزا دس ایي هبحث پشٍتکل‬
‫(اسائِشذُ دس ‪ )RFC 6101‬تششیح خَاّذ گشدیذ‪.‬‬
‫الصم بِ رکش است‪ IETF ،‬دس سال ‪ 2011‬طی ‪ RFC 6176‬استفادُ اص ‪ SSL v2‬سا بِ دالیلی هثل‬
‫استفادُ اص‪ MD5‬دس احشاصَّیت‪ ،‬ػولیات ‪ Handshake‬هحافظت ًشذُ‪ ،‬استفادُ اص کلیذ یکساى بشای‬
‫ّش دٍ ػولیات سهضًگاسی ٍ طحت‪ّ ٍ ،‬وچٌیي آسیبپزیشی دس هقابل حوالت هشدهیاًی‪ ،‬هوٌَع‬
‫اػالم کشدُ است‪.‬‬

‫معماری ‪SSL‬‬
‫پشٍتکل ‪ SSL‬طَسی طشاحیشذُ کِ اص ‪ TCP‬بشای فشاّن آٍسدى یک سشٍیس ‪ End-to-end‬اهي‬
‫ٍ قابلاطویٌاى استفادُ هیًوایذ‪ّ.‬واىطَس کِ دس تظَیش صیش ًشاى دادُشذُ‪ SSL ،‬یک پشٍتکل‬
‫تٌْا ًیست‪ ،‬بلکِ شاهل دٍ الیِ اص پشٍتکلّا است‪.‬بِػباستدیگش ‪ ،SSL‬یک پشٍتکل الیِبٌذی شذُ‬
‫است‪.‬‬

‫‪SSL Change‬‬
‫‪SSL Handshake‬‬ ‫‪Application‬‬
‫‪Cipher Spec‬‬ ‫‪SSL Alert Protocol‬‬
‫‪Protocol‬‬ ‫)‪(HTTP‬‬
‫‪Protocol‬‬

‫‪SSL Record Protocol‬‬

‫‪TCP‬‬

‫‪IP‬‬

‫‪1‬‬
‫ًسخِّای اٍلیِ ایي استاًذاسد ػباستٌذ اص ‪.RFC 4366 ٍ RFC 4346 ،RFC 3268‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫فصل دهم‬ ‫‪326‬‬
‫امنیت وب‬

‫تَجِ داشتِ باشیذ کِ الیِبٌذی پشٍتکل ‪ ،SSL‬بشای تؼشیف بْتش ٍ ًحَُ تؼاهل پشٍتکلّا با‬
‫یکذیگش بَدُ ٍ تأثیشی دس الیِّای هذل ‪ً OSI‬ذاسد‪.‬‬
‫پشٍتکل ‪ SSL Record‬فشاّن آٍسًذُ سشٍیسّای اهٌیتی اساسی بشای پشٍتکلّای هختلف‬
‫الیِّای باالتش است‪.‬بِطَس خاص‪ ،‬پشٍتکل ‪ HTTP‬کِ یک سشٍیس تؼاهلی کالیٌت‪/‬سشٍسی است‪،‬‬
‫هیتَاًذ دس باالی ‪ SSL‬هَسداستفادُ قشاس گیشد‪.‬‬
‫پشٍتکل ‪ ،SSL‬ػالٍُ بش ‪ ،SSL Record Protocol‬داسای سِ پشٍتکل دیگش دس الیِ باالتش است کِ‬
‫ػباستٌذ اص‪SSL Alert Protocol ٍ SSL Change Cipher Spec Protocol ،SSL Handshake Protocol :‬؛‬
‫ایي پشٍتکلّا بشای هذیشیت تبادالت ‪ SSL‬هَسداستفادُ قشاس هیگیشًذ‪.‬‬

‫مفاهیم ‪ Session‬و ‪ Connection‬در ‪SSL‬‬
‫دٍ هفَْم هْن دس ‪ ،SSL‬ػباستٌذ اص ‪ ،Session ٍ Connection‬کِ تششیح آىّا بِطَست صیش‬
‫است‪:‬‬
‫‪Connection‬‬ ‫‪‬‬
‫یک اتظال )‪ ،(Connection‬یک اًتقال (الیِ چْاسم هذل ‪ OSI‬یا ّواى ‪ )Transport‬بَدُ‪ ،‬کِ‬
‫‪Peer-to-‬‬ ‫ًَع هٌاسبی اص سشٍیس سا فشاّن هیکٌذ‪.‬بشای ‪ ،SSL‬ایي قبیل اتظالّا‪ ،‬استباط‬
‫‪ّ peer‬ستٌذ‪ 1.‬اتظالّا‪ ،‬صٍدگزس ٍ هَقتی ّستٌذ‪ّ.‬ش ‪ Connection‬با یک ‪ Session‬دس‬
‫استباط است‪.‬‬
‫‪Session‬‬ ‫‪‬‬
‫‪Handshake‬‬ ‫یک ‪ ،SSL Session‬یک استباط بیي کالیٌت ٍ سشٍس است؛ کِ تَسط پشٍتکل‬
‫ایجاد هیگشدد‪ً.‬شستّا )‪ (Session‬هجوَػِای اص پاساهتشّای اهٌیتی سهضًگاسی سا‬
‫تؼشیف هیکٌٌذ کِ هیتَاًٌذ دس هیاى اتظاالت هتؼذد بِ اشتشاک گزاشتِ شًَذ‪.‬‬
‫ًشستّا اص اًجام هزاکشات هتؼذد ٍ پشّضیٌِ کِ بشای هشخض کشدى پاساهتشّای‬
‫اهٌیتی جذیذ دس ّش اتظال بایذ اًجام شَد‪ ،‬جلَگیشی هیکٌٌذ‪.‬‬

‫‪1‬‬
‫دس استباطات ‪ ،Peer-to-peer‬دٍ ًقطِ بذٍى ًیاص بِ بشقشاسی یک ساختاس هتوشکض ٍ پشّضیٌِ‪ ،‬اقذام بِ بشقشاسی‬
‫استباط با یکذیگش هیًوایٌذ‪.‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫‪351‬‬ ‫امنیت اطالعات‬

‫اﻣﻧﯾت ﭘﺳت اﻟﮑﺗروﻧﯾﮏ‬

‫پستالىتشًٍیه یىی اص پشواستشدتشیي سشٍیسّایی است وِ اهشٍصُ تَسظ واستشاى‬
‫هَسداستفادُ لشاس هیگیشد‪.‬پستالىتشًٍیه ًِتٌْا تش سٍی ایٌتشًت‪ ،‬تلىِ دس شثىِّای داخلی ًیض‬
‫واستشد فشاٍاًی داسد‪.‬حتی تشخی اص هؤسسات اص پستالىتشًٍیه خذهاتی شثیِ اتَهاسیَى اداسی‬
‫دسیافت هیوٌٌذ! ٍ یا اتَهاسیَىّا ٍ سٍالّای واسی دس ساصهاىّا تِ پست الىتشًٍیه ٍاتستِ‬
‫شذُ است‪.‬‬
‫اّویت ٍ واستشد پست الىتشًٍیه‪ ،‬دس حذی است وِ تسیاسی اص هىاتثات هحشهاًِ ساصهاىّا‬
‫ًیض اص ایي عشیك اًجام هیپزیشد‪.‬فاوتَسّای فشٍش‪ ،‬سسیذّای پشداخت‪ ،‬هىاتثات ٍ دستَسات‬
‫هحشهاًِ اداسی‪ ،‬تخشٌاهِّای اداسی‪ ،‬دسخَاستّا ٍ تسیاسی اص هضاهیي پشاّویت دیگش‪ ،‬اص عشیك‬
‫پست الىتشًٍیه اسسال ٍ دسیافت هیگشدد‪.‬‬
‫پستالىتشًٍیه اص پشٍتىل )‪ Simple Mail Transfer Protocol(SMTP‬تشای تثادل ًاهِّای‬
‫الىتشًٍیىی استفادُ هیوٌذ‪.‬هتأسفاًِ ‪ّ SMTP‬یچگًَِ اهٌیتی سا تشای هحتَای ًاهِ الىتشًٍیه‬
‫فشاّن ًىشدُ ٍ ّوچٌاى وِ اص اسن آى ًیض هشخض است‪ ،‬طشفاً فمظ ٍظیفِ تثادل سادُ پیامّا سا‬
‫تش ػْذُ داسد‪.‬‬
‫تِ دلیل ووثَدّا ٍ ضؼفّای هَجَد دس ‪ ،SMTP‬ساصهاى ‪ IETF‬الذام تِ اسائِ یه پشٍتىل‬
‫جذیذ تاًام ‪ MIME‬تشای پست الىتشًٍیه ًوَد‪ّ.‬شچٌذ وِ ایي پشٍتىل اصًظش ٍیژگیّای پستی‬
‫تْتش اص ‪ SMTP‬است‪ ،‬اها تاصّن اهٌیت لاتلتَجْی تش سٍی آى ٍجَد ًذاسد‪.‬‬
‫تا تَجِ تِ گستشش سٍصافضٍى استفادُ اص پستالىتشًٍیه دس توام اتؼاد وسةٍواس‬
‫ساصهاىّا‪ ،‬تایذ تشای احشاصَّیت ٍ هحشهاًگی ًاهِّای الىتشًٍیه‪ ،‬توْیذاتی اًذیشِ شَد‪.‬تشای‬
‫ایي هٌظَس دٍ پشٍتىل ‪ S/MIME ٍ PGP‬تشای تشلشاسی اهٌیت دس پست الىتشًٍیه اسائِ شذًذ‪.‬‬
‫‪S/MIME‬‬ ‫پشٍتىل ‪ PGP‬تشای تشلشاسی اهٌیت دس پست الىتشًٍیه هثتٌی تش ‪ ٍ SMTP‬پشٍتىل‬
‫تشای تشلشاسی اهٌیت پست الىتشًٍیه هثتٌی تش ‪ MIME‬تَسؼِ دادُ شذُاًذ‪.‬‬
‫دس هثحث اٍل ایي فظل تِ تشسسی پشٍتىل ‪ً ٍ PGP‬حَُ ػولىشد آى هیپشداصین‪.‬تا تَجِ تِ‬
‫ایٌىِ پشٍتىل ‪ً ،S/MIME‬سخِ استاًذاسدشذُ پشٍتىل ‪ PGP‬تَدُ ٍ اصًظش ػولىشد‪ ،‬شثیِ آى است؛‬
‫لزا دس هثحث دٍم ًیض تِ تشسسی پشٍتىل ‪ S/MIME‬هیپشداصین‪.‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫فصل یازدهم‬ ‫‪352‬‬
‫امنیت پست الکترونیک‬

‫‪‬مبحث اول‬
‫پروتکل ‪PGP‬‬

‫‪Phil‬‬ ‫پشٍتىل )‪ ،Pretty Good Privacy (PGP‬یه پشٍتىل هتيتاص‪ 1‬است وِ تَسظ آلای‬
‫‪ ،Zimmermann‬جْت اهٌیت پست الىتشًٍیه اسائِ گشدیذُ است‪.‬الثتِ پشٍتىل ‪ PGP‬دس تشلشاسی‬
‫اهٌیت هَاسد دیگشی هثل فایلّا ٍ دیتای رخیشُشذُ ًیض هیتَاًذ هَسداستفادُ لشاس گیشد؛ اها‬
‫شْشت آى تِ دلیل واستشد ایي پشٍتىل دس پستالىتشًٍیه است‪.‬‬
‫پشٍتىل‪ PGP‬فشاّن آٍسًذُ سشٍیسّای اهٌیتی احشاصَّیت ٍ هحشهاًگی تشای پست‬
‫الىتشًٍیه ٍ رخیشُساصی فایل است‪.‬ایي پشٍتىل تَسظ ‪ ٍ IETF‬عی ‪ً RFC 4880‬یض هٌتشش‬
‫گشدیذُ است‪.‬‬
‫دس اطل هیتَاى گفت آلای صیوشهي تشای تِ ٍجَد آٍسدى پشٍتىل ‪ ،PGP‬واسّای صیش سا اًجام‬
‫دادُ است‪:‬‬
‫‪.1‬اًتخاب تْتشیي الگَسیتن سهضًگاسی هَجَد‪ ،‬تشای ساخت تلَنّا دیتا‪.‬‬
‫‪2‬‬
‫‪.2‬یىپاسچِساصی الگَسیتن اًتخابشذُ دس یه تشًاهِ واستشدی ّوِهٌظَسُ ‪ ،‬وِ هستمل اص‬
‫سیستنػاهل ٍ پشداصشگش است‪.‬‬
‫‪.3‬ایجاد یه ‪ ٍ Package‬هستٌذساصی آى شاهل ‪ :‬وذ هٌثغ‪ ،‬دس دستشس ػوَم لشاس دادى آى‬
‫‪. 3AOL‬‬ ‫اص عشیك ایٌتشًت‪ ،‬دسج آى دس اػالًات ٍ شثىِّای تجاسی هثل‬
‫‪.4‬دستیاتی تِ تَافك تا یه ششوت‪ ،‬جْت فشاّن آٍسدى یه ًسخِ تجاسی ونّضیٌِ ٍ واهالً‬
‫ساصگاس اص ‪.PGP‬‬

‫سشذ ‪ PGP‬تِطَست اًفجاسگًَِ تَدُ ٍ دس حال حاضش تِعَس گستشدُای هَسداستفادُ لشاس‬
‫هیگیشد‪.‬هَاسد صیش تشخی اص دالیلی است وِ هیتَاى تشای ایي سشذ سشیغ ػٌَاى وشد‪:‬‬
‫‪.1‬تِ طَست سایگاى دس سشاسش جْاى دس دستشس تَدُ ٍ اهىاى اجشا تش سٍی اًَاع‬
‫سیستنػاهلّا اصجولِ ٍیٌذٍص‪ ،‬یًَیىس ٍ هىیٌتاش سا داسد‪.‬ػالٍُ تش ایي‪ً ،‬سخِ تجاسی‬
‫تشای واستشاًی وِ ًیاص تِ پشتیثاًی فشٍشٌذُ داسًذ‪ً ،‬یض فشاّن گشدیذُ است‪.‬‬

‫‪1‬‬
‫هٌظَس اص ‪ Open Source‬یا هتيتاص‪ ،‬تشًاهِای است وِ وذ آى تِطَست واهل دس اختیاس ّوگاى لشاسگشفتِ ٍ استفادُ‬
‫اص آى تذٍى پشداخت ّضیٌِ اهىاىپزیش است‪.‬‬
‫‪2‬‬
‫‪General-purpose‬‬
‫‪3‬‬
‫‪America On Line‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫‪353‬‬ ‫امنیت اطالعات‬

‫‪.2‬تش اساس الگَسیتنّایی ایجادشذُ‪ ،‬وِ اهٌیت آىّا تِطَست گستشدُ هَسد تائیذ‬
‫لشاسگشفتِ است‪.‬تِطَست خاص‪ ،‬ایي ‪ Package‬شاهل ‪ ٍ DSS ،RSA‬دیفیّلوي تشای‬
‫سهضًگاسی ولیذػوَهی؛ ٍ الگَسیتنّای ‪ 3DES ٍ IDEA ،CAST-128‬تشای سهضًگاسی‬
‫هتماسى؛ ٍ الگَسیتن ‪ SHA‬تشای ػولیات دسّنساصی‪ ،‬است‪.‬‬
‫‪.3‬واستشد ٍسیؼی تشای ششوتّایی وِ هایل تِ اًتخاب ٍ اجشای یه عشح استاًذاسد‬
‫سهضًگاسی جْت فایلّا ٍ پیامّا تشای افشادی وِ هیخَاٌّذ تا آىّا اص عشیك ایٌتشًت یا‬
‫شثىِّای دیگش استثاط اهي داشتِ تاشٌذ‪ ،‬داسد‪.‬‬
‫ایي پشٍتىل تَسظ یه دٍلت یا ساصهاى استاًذاسد‪ ،‬تَسؼًِیافتِ ٍ وٌتشل ًویشَد؛ لزا‬ ‫‪.4‬‬
‫تشای وساًی وِ ًسثت تِ دٍلتّا ٍ ساصهاىّا تیاػتواد ّستٌذ‪ ،‬استفادُ اص ‪ PGP‬جزاب‬
‫خَاّذ تَد‪.‬‬
‫‪1‬‬
‫‪.5‬دس حال حاضش ‪ PGP‬اص عشیك استاًذاسدّای ایٌتشًت دًثال هیشَد ؛ اها تاایيٍجَد‪،‬‬
‫‪ّ PGP‬وچٌاى غیش ٍاتستِ تِ ّش ساصهاى یا دٍلتی هیتَاًذ هَسداستفادُ لشاس گیشد‪.‬‬

‫نشانهگذاری‬
‫‪2‬‬
‫دس وتاب آلای استالیٌگض ‪ ،‬تشای تششیح ‪ PGP‬اص ًوادّا ٍ ًشاًِّایی استفادُشذُ است‪.‬الثتِ‬
‫هوىي است تؼضی اص ایي ًشاًِّا ٍ ًوادّا دس استاًذاسدّا یا هشاجغ دیگش‪ ،‬تِطَست هتفاٍتی‬
‫هَسداستفادُ لشاسگشفتِ تاشذ‪.‬لزا لثل اص ششٍع تشسسی ‪ ،PGP‬تِ تششیح ًشاًِّای هَسداستفادُ‬
‫هیپشداصین‪:‬‬
‫‪ = KS‬ولیذ ًشست وِ تَسظ سهضًگاسی هتماسى هَسداستفادُ لشاس هیگیشد‪.‬‬
‫‪ = PRa‬ولیذخظَطی عشف ‪ ،A‬وِ تَسظ سهضًگاسی ولیذػوَهی (ًاهتماسى)‬
‫هَسداستفادُ لشاس هیگیشد‪.‬‬
‫‪ = PUa‬ولیذػوَهی عشف ‪ ،A‬وِ تَسظ سهضًگاسی ولیذػوَهی هَسداستفادُ لشاس‬
‫هیگیشد‪.‬‬
‫‪ = EP‬ػولیات سهضگزاسی)‪ (Encryption‬دس الگَسیتن سهضًگاسی ولیذػوَهی‪.‬‬
‫‪ = DP‬ػولیات سهضگشایی)‪ (Dycryption‬دس الگَسیتن سهضًگاسی ولیذػوَهی‪.‬‬
‫‪ = EC‬سهضگزاسی دس الگَسیتن سهضًگاسی هتماسى‪.‬‬
‫‪ = DC‬سهضگشایی دس الگَسیتن سهضًگاسی هتماسى‪.‬‬
‫‪ = H‬تاتغ دسّنساصی‬

‫‪1‬‬
‫‪RFC 3156; MIME Security with OpenPGP‬‬
‫‪2‬‬
‫‪Cryptography and Network Security Principles and Practice‬‬

‫‪www.takbook.com‬‬
 ‫‪www.takbook.com‬‬
‫فصل یازدهم‬ ‫‪354‬‬
‫امنیت پست الکترونیک‬

‫‪Concatenation‬‬ ‫| | = الظاق یا‬
‫‪ = Z‬فششدُساصی تا استفادُ اص الگَسیتن ‪.ZIP‬‬
‫‪ = R64‬تثذیل تِ فشهت ‪.ASCII 64‬‬

‫تشزیح عولیات ‪PGP‬‬
‫پشٍتىل ‪ ،PGP‬چْاس سشٍیس صیش سا فشاّن هیآٍسد‪:‬‬
‫احشاصَّیت )‪(Authentication‬‬ ‫‪‬‬
‫)‪(Confidentiality‬‬ ‫هحشهاًگی‬ ‫‪‬‬
‫)‪(Compression‬‬ ‫فششدُساصی‬ ‫‪‬‬
‫)‪(E-mail compatibility‬‬ ‫ساصگاسی تا پست الىتشًٍیه‬ ‫‪‬‬

‫دس جذٍل صیش‪ ،‬تَضیح هختظشی دستاسُ ّش چْاس هَسد فَق آٍسدُ شذُ است‪.‬الثتِ دس اداهِ‬
‫ایي هثحث‪ ،‬ایي هَاسد تِطَست واهل ًیض تششیح خَاٌّذ شذ‪.‬‬

‫توضیحات‬ ‫الگوریتن هورداستفاده‬ ‫عولیات‬
‫الگَسیتن ‪ SHA‬چىیذُ پیام سا تَلیذ ًوَدُ ٍ‬ ‫اهضای‬
‫سپس چىیذُ تَسظ ‪ DSS‬یا ‪ RSA‬تا‬ ‫‪DSS/SHA‬‬ ‫دیجیتال‬
‫‪RSA/SHA‬‬
‫ولیذخظَطی فشستٌذُ اهضا هیشَد‪.‬‬ ‫(احزاسهویت)‬
‫پیام تَسظ الگَسیتنّای ‪ IDEA ،CAST-128‬یا‬
‫‪ 3DES‬سهضگزاسی هیشَد‪.‬ایي سهضگزاسی تا‬
‫)‪(Session key‬‬ ‫استفادُ اص ولیذ ًشست‬
‫‪CAST or IDEA or 3DES‬‬ ‫رهشنگاری پیام‬
‫یهتاسهظشف تَلیذشذُ تَسظ فشستٌذُ‬ ‫‪ 3DES‬تا دیفیّلوي یا ‪RSA‬‬ ‫(هحزهانگی)‬
‫اًجام هیشَد‪.‬ولیذ ًشست تَلیذشذُ تا‬
‫استفادُ اص ‪ RSA‬یا دیفیّلوي ٍ تش اساس‬
‫ولیذػوَهی گیشًذُ‪ ،‬تثادل هیگشدد‪.‬‬
‫هیتَاى پیام سا لثل اص رخیشُ یا تثادل‪ ،‬تَسظ‬
‫‪ZIP‬‬ ‫فشزدهساسی‬
‫الگَسیتن ‪ ،ZIP‬فششدُساصی ًوَد‪.‬‬
‫جْت فشاّن آٍسدى شفافیت تشای تشًاهِّای‬ ‫ساسگاری با‬
‫پست الىتشًٍیه‪ ،‬هیتَاى پیام سهضشذُ سا تِ‬ ‫‪Radix-64 conversion‬‬ ‫پست‬
‫وذ ‪ ASCII‬تثذیل وشد‪.‬‬ ‫الکتزونیک‬

‫‪www.takbook.com‬‬