‏إظهار الرسائل ذات التسميات تشفير. إظهار كافة الرسائل
‏إظهار الرسائل ذات التسميات تشفير. إظهار كافة الرسائل

الاثنين، 20 أبريل 2020

#

في الوقت المناسب لمنافسة تطبيق zoom يقوم WhatsApp بتشفير مكالمات الصوت والفيديو بتشفير E2EE

by on 2:24:00 م

على الرغم من مشاكل الخصوصية في موقع الشركة المالكه Facebook، الا ان WhatsApp  يسير بخطى جيده نحو موضوع التشفير والحفاظ على الخصوصية. مستغلا بذلك اعتباره منصة الرسائل الآمنة الأكثر موثوقية على هذا الكوكب. يتبادل 2 مليار مستخدم الرسائل المشفرة من طرف إلى طرف بأعداد متزايدة باستمرار من خلال هذا التطبيق. وكما قلت من قبل، ويقوم التطبيق مؤخرا بدفاع عن خصوصية المستخدمين
امام المحاكم الامريكية ومطالب الحكومات بتوفير ابواب خلفية.
اليوم يذهب مطوري واتساب الى ابعد من تشفير الرسائل، ويمتد تشفير WhatsApp إلى مكالمات الصوت والفيديو أيضًا. كما توضح النظام الأساسي، "تمامًا مثل رسائلك ، يتم تشفير مكالمات WhatsApp من طرف إلى طرف حتى لا تتمكن WhatsApp والأطراف الثالثة من الاستماع إليها." نظرًا لأننا جميعًا نعتمد أكثر من أي وقت مضى على مكالمات الفيديو لاستبدال اللقاءات وجهًا لوجه ، فهذه مشكلة كبيرة.

المشكلة بالنسبة للمستخدمين في الوقت الحالي هي الحد الأقصى لعدد الأشخاص الذين يمكنهم الانضمام إلى مكالمة فيديو — أربعة فقط حاليًا. لكن هذا على وشك التغيير. كما تم اكتشافه من قبل wabetainfo في WABetaInfo، فإن عدد المتصلين على وشك الزيادة. حيث اشار الى انه يتم العمل على زيادة عدد الاشخاص داخل مكالمات الفيديو في كل من الإصدار التجريبي من تطبيقات iOS و Android ، لذلك فهو تغيير للجميع ، ولكن فقط إذا كان لدى جميع المتصلين أحدث إصدار من التطبيق مثبتًا بمجرد إصداره.


لا نعرف عدد المتصلين الذين سيتم تمكينهم حتى الآن - تحول صغير إلى ستة أو ثمانية ، أو تغيير أكثر جوهرية قد يسمح لمجموعات أكبر وحالية بالمشاركة في مكالمات الفيديو. وهذا من شأنه أن يهز السوق بجدية.

يضيف WhatsApp أيضًا رأس مكالمة لتذكير الجميع بأن تلك المكالمات مشفرة من طرف إلى طرف. توقيت هذا التغيير ليس صدفة. ارتفع استخدام مكالمات الفيديو بشكل كبير. كان Zoom هو المستفيد الرئيسي ، ولكن الآخرين في الفضاء ، بما في ذلك Microsoft مع Teams و Skype وكذلك Facebook مع تطبيق Messenger يسارعون لتوسيع عروضهم.



من الناحية الواقعية ، لن يهدد WhatsApp سوق الشركات لاجتماعات الفيديو ، والتي هي الآن معركة بين Zoom و Microsoft.لكن لقد لعب الأمن دورًا رئيسيًا في ذلك.، فإن افتقار Zoom إلى تشفير حقيقي بالإضافة إلى زلات في إرسال البيانات عبر الصين ، بالإضافة إلى سياسة الخصوصية المشكوك فيها قد فتحت الباب للآخرين.

لا يزال تطبيق WhatsApp الذي طال انتظاره من تطبيق WhatsApp متوقعًا - في النهاية. هذا مرة أخرى سيوسع قابليتها للاستخدام. ومع ذلك ، سيظل سوق المؤسسات الرسمي خطوة بعيدة جدًا بالنسبة لـ WhatsApp. لكن عدد الروابط العائلية والمحادثات المرئية التلقائية بين الأصدقاء والزملاء تزداد أسبوعيًا. هذا مفتوح على نطاق واسع لـ WhatsApp مع سهولة استخدامه وحقيقة أن جميع هذه المجموعات قد تم إعدادها على نظامها الأساسي بالفعل. يجب أن يكون هذا بمثابة مكالمة إيقاظ لأي شخص لا يقدم حاليًا مكالمات فيديو مشفرة من البداية إلى النهاية.
Continue Reading
by في ليست هناك تعليقات:
Tags , , , , ,

الثلاثاء، 31 ديسمبر 2019

#

أساسيات التشفير وتطبيقات عليه -encryption

by on 5:40:00 م
هذه المقال وغيرها تحت وسم "أفضل مقال تقني" تعبر عن أراء أصحابها.

التشفیر ھو علم ریاضي للرموز والشیفرات والرسائل السریة, استعمل التشفیر منذ القدم خاصة في مجال الحروب لضمان تبادل معلوماتي سري ویضمن عدم حصول الخصم على حل الشیفرة.

 كیفیة عمل التشفیر:

خوارزمیة التشفیر ھو دالة ریاضیة تستخدم في عملیة التشفیر وفك التشفیر. وھو یعمل بالاتحاد مـــع .المفتاح أو كلمة السر أو الرقم أو العبارة، لتشفیر النصوص المقروءة نفس النص المقروء یشفر إلى نصوص مشفرة مختلفة مع مفاتیح مختلفة. والأمن في البیانات المشفرة یعتمد على أمرین مھمین قوة خوارزمیة التشفیر وسریة المفتاح.

التشفیر التقلیدي:

 وھو یستخدم مفتاح واحد ًلعملیة .(Symmetric Cryptography(یسمى أیضا ً التشفیر المتماثل التشفیر وفك التشفیر للبیانات. ویعتمد ھذا النوع من التشفیر على سریة المفتاح المستخدَم. 
حیث أن الشخص .الذي یملك المفتاح بإمكانھ فك التشفیر وقراءة محتوى الرسائل أو الملفات

 التشفیر عند قیصر:

 وھي طریقة قدیمة ابتكرھا القیصر جولیوس لعمل الرسائل المشفرة بین قطاعات الجیش وقد أثبتت فاعلیتھا في عصره.
 عملیة التشفیر في ذلك الوقت كانت تقوم على أساس تغییر الحرف الأصلي إلى حرف آخر بإستخدام خوارزمیة الحرف زائد ثلاثة و كمثال على ذلك نأخذ رقم 3 كمفتاح للتشفیر . لدینا كلمة أحمد، لكي نشفر ھذه الكلمة یجب علینا تغییر كل حرف منھا إلى ثالث حرف بعد الأصلي، فتكون العملیة بھذا الشكل:
 أ + 3 = ث 
 ح + 3 = ذ
 م + 3 = و
 د + 3 = ز

لتصبح كلمة "أحمد = ثذوز" بعد التشفیر

متطلبات تقنیة التشفیر:

 تتطلب ھذه العملیة ثلاث عوامل أساسیة تكون شرطا أساسیا في نجاحھا:

1. النص الذي یرمز لھ ب P ومجموع الحروف الموجودة بالنص والتي نرمز لھا ب Σ 
2. محتوى النص بعد التشفیر C
3. المفتاح السري الذي یفك الشیفرة K 

وبالعودة الى مثالنا نجد :

 P = أحمد PΣ = 4 
 C =تدھر
 K = 3 

ولكن في عصرنا الحدیث ومع تطور الكمبیوتر لا یمكن استخدام ھذه الطریقة وذلك لسرعة كشف محتوى الرسائل المشفرة بھا.

تشفیر المفتاح العام:

 أو ما یعرف بالتشفیر اللامتماثل , ویعتمد في مبداه على وجود مفتاحین أساسیین ھما المفتاح العام والمفتاح الخاص حیث أن المفتاح العام یكون معروف لكافة المستخدمین أما المفتاح الخاص فیحتفظ بھ مستخدم واحد فقط وھو مالكھ لیقوم بفك الرسالة المشفرة.

شرح عملیة التشفیر بالمفتاح العام والمفتاح الخاص

 

التشفیر التقلیدي أسرع بكثیر باستخدام أنظمة الكمبیوتر الحدیثة، ولكنھ یستخدم مفتاح واحد فقط. فھو عرضة أكثر للاختراقات. 

أما تشفیر المفتاح العام فیستخدم مفتاحین في عملیة التشفیر وفك التشفیر، وھـو أقوى وأقل عرضة للاختراقات، ولكنھ أبطأ من التشفیر التقلیدي.

ونتیجة لھذه المزایا والعیوب أصبحت الأنظمة الحدیثة تستخدم كلا الطریقتـــین حیث أنھا تستخــــدم الطریقة التقلیدیة للتشفیر وأما تبادل المفتاح السري الواحد بین الأطراف المتراسلة تتم من خلال استخدام طریقة تشفیر المفتاح العام.
Continue Reading
by في ليست هناك تعليقات:
Tags , , , ,

الثلاثاء، 24 ديسمبر 2019

#

شرح الـ encoding والـ Hash وكيفية انشاء سكربت لتشفير

by on 1:09:00 ص

هذه المقال وغيرها تحت وسم "افضل مقال تقني" تعبر عن اراء أصحابها


اليوم سوف نتحدث عن عالم التشفير كما سنقوم ايضاً ببناء سكربت تشفير يضم تسع أنواع تشفير, لكن قبل البدء دعونا نتحدث على انواع التشفير الثلاثة وهي :
  • Symmetric Key Encryption
هذا النوع يكون له مفتاح واحد فقط للتشفير وايضاً فك التشفير,
مثل( AES - DES - 3DES ) وهو جيد في تشفير بيانات كبيرة.


  • Asymmetric Key Encryption
هذا النوع من التشفير يستخدم مفتاحان للتشفير وفك التشفير, اذا تم التشفير بمفتاح A سيكون المفتاح الآخر لفك هذا التشفير هو B .....الخ, ويكون هناك مفتاح تشفير و الآخر لفك التشفير مثل ( RSA - BASE ).
  • Hash 
هذا النوع من التشفير ليس له مفتاح فك التشفير ويجب أن تقوم بعملية الهجوم الغاشمة لفك ذلك التشفير مثل ( SHA - MD5 ).

  
دعونا لانتحدث كثيراً, هي بنا لنبدأ اليوم ببناء هذا السكربت, لكن قبل البدء يجب عليك معرفة ما هي اللغة المستعملة في بناء ذلك السكربت.

 بايثون Python : هي من اقوى اللغات في هذا المجال وكما هي اللغة الذي سيتم استعاملها اليوم في البناء إذا كنت تجيد بايثون. لكن قبل البدء يجب أن اقول لك أن المكتبات المستعملة في البناء هي ( hashlib - base64 ) ويجب عليك معرفة دوال تلك المكاتب في البداية.

base64
تتمكن هذه المكتبة بإطلاق دوال لعملية التشفير و ايضاً فك ذلك التشفير, سنقوم الآن ببناء سكربت يقوم بتشفير من هذا النوع وسيكون المثال هكذا

وسيكون ناتج العملية



 سوف نشرح الكود السابق الذي في المثال, قمنا بإستحضار مكتبة base64 لأستخدام بعض الدوال الخاصة بها, و كما قمنا ايضاً بإنشاء متغير باسم name لحفظ البيانات وقمنا ايضاً بإستخدام الدالة الاولى وهي b64encode وهذه الدالة هي المسؤولة عن تشفير نوع 64. لكن ماذا إذا كنت اريد فك ذلك التشفير, لاحظ معي المثال 



في ذلك المثال قمنا بإستخدام دالة b64decode لفك التشفير من نوع 64. وكما يمكن استخدام أنوع تشفير base32  أو base16 بذلك الشكل وستكون الصورة العامة لهم بالنسبة لـ base32 
  • للتشفير  

base64.b32encode

  • لفك التشفير 

base64.b32decode



بالنسبة لـ base16

  • للتشفير

base64.b16encode

  • لفك التشفير 


base64.b16decode

سنقوم الآن ببناء سكربت يقوم بتشفير الثلاث أنواع و ايضاً فك تشفيرهم

وسيكون الناتج بذالك الشكل 

hashlib تلك المكتبة تضم بعض الدوال لأستخدام التشفير, انواع التشفير داخل هذا المكتبة هي :

 ( sha1,sha224,sha384,sha512,sha256,md5 )
كل هذا موجود وسنتعلم كيفية استخدام دوال هذه المكتبة للتشفير من تلك الانواع المذكورة قبل قليل, وهذه الأنواع من التشفير تسمى hash ليس له مفاتيح فك تشفير ويجب استخدام الهجوم الغاشم أو التخمين لفك هذه الأنواع, و الصور العامة لأستخدام دوال المكتبة سيكون هكذا

()hexdigest.('الذي تريد ان يشفر ')نوع التشفير .hashlib

 سنقوم الآن بإنشاء مثال يضم كل انواع التشفير السابقة وسيكون بهذا الشكل 

وسيكون الناتج بكل انواع التشفير

بعد أن تعرفنا على المكتبات الذي سيتم استخدامها سوف نقوم الآن بإنشاء سكربت لتلك التشفيرات الذي تم شرحها.

العملية الاولى هي استحضار المكتبات في ملف باسم hash.py  ثم اعطاء نبذه عن صاحب السكربت و الألوان وسيكون السكربت بذلك الشكل 

وسيكون الناتج بعد تشغيل السكربت بذلك الشكل 

لكن هنا يوجد شئ مفقود وهي اللوغو بإسم Ahmed kaissar إذا كنت تستخدم الكالي سيظهر اللوغو.

 العملية الثانية هي عملية إنشاء مداخل الى أنواع السكربت وسيكون بذلك الشكل 

وعند التشغيل سيكون الناتج هكذا 

بعد عملية تنسيق السكربت حان الآن وقت إنشاء السكربت ليكون جاهز للتشغيل. العملية الثالثة خطوط الإنشاء وسيكون الكود هكذا 

سوف نشرح الكود السابق, نقول هنا للمستخدم إذا كنت تريد تشفير من نوع base64 اختار الرقم واحد ثم يظهر اثنان من الخيارات الأول هو اذا كان المستخدم يريد التشفير و الثاني اذا كان المستخدم يريد فك التشفير وسنقوم الآن بتشغيل الكود ونقوم بتشفير وفك التشفير 

عملية التشفير


عملية فك التشفير


الآن ذلك السكربت يعمل بتشفير وفك تشفير من نوع base64  لكن هذا لا يكفي نحن قمنا بشرح مكتبة تقوم بعملية تشفير اكثر, لذلك دعونا نكمل ما بدأناه وسيكون شكل الكود

سوف نشرح الكود السابق كما نعرف ان الرقم 2 في الاختيارات هو md5 وهنا نقوم بإضافة md5 الى السكربت وذلك يكون بإستعمال الدالة md5 من مكتبة hashlib وسيكون ناتج التشفير بذلك الشكل عند التشغيل

العملية الرابعة اضافة تشفير sha1 الى السكربت وسيكون الشكل العام للكود



الكود السابق مثل اكواد md5 فقط التغيير هنا هو المتغير و ايضاً الدالة وهي sha1 وسيكون الناتج عند التشغيل وعند إضافة كلمة programmer-tech للتشفير سيكون ناتج التشفير

الآن وقت إضافة تشفير sha224 الى السكربت وهو الخيار الرابع وسيكون شكل الكود بهذا الشكل



شرح الكود هو بمثل الاكواد السابقة فقط كل ما تغير هو التغيرات و الدالة, و الدالة المستخدمة هنا sha224 وسيكون الناتج عند التشفير بالشكل 

ناتي الآن لإضافة الرقم 5 في الخيارات وهو من نوع sha256 وسيكون شكل الكود



شرح الكود السابق لا يختلف عن سابقاته, لكن ما تغير فقط المتغيرات و الدالة, و الدالة المستعملة هنا هي sha256 وسيكون شكل الكود بالشكل



و الآن نضيف الرقم 6 الى الخيارات وهو من نوع sha384 وسيكون شكل الكود لا يختلف عن السابقات



هذا الكود لا يختلف عن السابقات فقط الإختلاف هنا هو المتغيرات و الدالة, و الدالة المستخدمة هنا هي sha384 في مكتبة hashlib وسيكون الناتج



نضيف الرقم 7 إلى السكربت وهو من نوع sha512 في الأختيارات وسيكون الكود



لا داعي لشرح ذلك الكود مثل الاكواد السابقة وسيكون شكل التشفير 

شرحنا في تعريف المكتبات أن هناك تشفير base32 و base16 داخل مكتبة base64 لكن لم نضيف اي من تلك التشفيرات, لنقوم بإضافة ذلك وسيكون الكود بالشكل 

نشرح الكود, في الحقيقة هذا الكود مثل أول كود في الاعلى وهو عن تشفير base64 وكل ما تغير في ذلك الكود هو المتغيرات و الدالة المستخدمة. بإختصار نقول للبرنامج إذا كان المستخدم اختار الرقم 8 اطبع له اثنين من الخيارات, الخيار الأول هو اذا كان يريد التشفير و الخيار الثاني إذا كان يريد فك التشفير من نوع base16, الدالة المستخدمة للتشفير b16encode ولفك التشفير b16decode

  • عملية التشفير

  • عملية فك التشفير


 نأتي الآن لإضافة الرقم 9 الى الخيارات لتشفير base32 وفك التشفير وسيكون الكود



ذلك الكود لا يختلف عن الكود السابق فقط في المتغيرات و الدالة, و الدالة المستخدمة هنا هي b32encod للتشفير ولفك التشفير  دالة b32decode

عملية التشفير

عملية فك التشفير


 نأتي الآن لإضافة الرقم 99 إذا كان المستخدم يريد الخروج من البرنامج وسيكون الكود بالشكل

عندما يختار المستخدم الرقم 99 فهو يريد الخروج وعند الخروج البرنامج يطبع

kaissar close Encrypt وسيكون الناتج عند الخروج



وفي حالة حدوث أي اخطاء على سبيل المثال المستخدم أختار رقم غير موجود في الخيارات سيقوم البرنامج بطبع ذلك 

الكاتب: أحمد قيصر
Continue Reading
by في هناك تعليق واحد:
Tags , , ,

الأحد، 22 ديسمبر 2019

#

فايروس الفدية - Ransomware GandCrab

by on 2:31:00 ص

هذه المقال وغير تحت وسم "مسابقة أفضل مقال تقني" تعبر عن أراء اصحابها

في نهاية مايو 2019 ، أعلن مطورو GandCrab في منتدى للقراصنة أن بوابة الإنترنت الخاصة بهم سيتم إغلاقها في نهاية يونيو 2019.

وقال المطورون إن GandCrab جمع أكثر من 2 مليار دولار، ومنحت للمطورين 2.5 مليون دولار أسبوعيًا أو حوالي 150 مليون دولار سنويًا واستثمروا في مشاريع قانونية مختلفة.

لقد أظهر مطوري الفايروس أن فعل الشر لا يؤدي إلى العقاب .

  • (We have proved that by doing evil deeds, retribution does not come)

تم وصف GandCrab لأول مرة من قبل خبير أمن تكنولوجيا المعلومات David Montenegro في أواخر يناير 2018.

و هو فايروس يقوم بتشفير البيانات التي يملكها جهازك عن طريق ابتزازك لدفع المال لاعادة فك التشفيرها.

يأتي عادة  GandCrab عن طريق تحميل و تثبيت البرامج او الملفات الغير موثوقة من الانترنت وتاتي غالبا من المواقع المشكوك فيها او لاتدعم حماية المستخدم (مثل مواقع التورنت Torrent... ألخ.

وعندما يقوم GandCrab بتشفيرها يقوم بارسال رسالة نصية محتواها: هو ان تذهب الى تحميل متصفح الويب Tor و هو ليس بشبيهه من المتصفحات العادية ك Google Chrome و Firefox ويمكنك متصفح Tor الوصول الى الويب المظلم  .Dark Web حيث الكثير من المجرمين و الهكر يعملون هناك.

 

وعندما تنتهي من تحميله وتثبيته تقوم بنسخ الرابط وتلصقه في هذا المتصفح ويقودك الرابط الى الشخص الذي شفر بيناتك الشخصية و يطلب منك مبلغ من المال لاعادة فك تشفير البيانات التي شفرها. ويتم دفع المال عن طريق العملة الرقمية Bitcoin  التي لا احد يعرف مصدرها او من الممكن تتبعها.

(يمكنك التحدث مع الشخص الذي يبتزك الكتورنيا .وعندما تقوم بضغط على GrandCrab في اعلى صفحة تتغير لون الصفحة من الابيض الى الاسود و يصدر صوتا مخيفا لأخافة الاشخاص المبتزين).

ولقد تعاونت الشرطة الرومانية مع Eurpol. و Bitdefender على فك تشفير البينات المشفرة وأعادة صيغتها الى ماكانت عليه من قبل عن طريق تحميل البرنامج الخاص بها وهناك العديد من اصدارات هذا البرنامج ممكن تحميلها مجانا.

لقد تم البتزاز العديد من الاشخاص والشركات. عندما تكون لديك الكثير من البينات المهمة (مثل صور ,عمل ) يصعب فك تشفيرها مرة اخرى وليس لديك المال الكافي لتدفع المبلغ المبتزز منك, فعليك ان تبدا من جديد او تنتظر الاصدار الاخير من برنامج فك التشفير الخاص به .

(يمكنك النظر الى هذا الشخص كيف كانت اعينه تدمع بعد فقدانه البيانات الخاصة به)


   

الكاتب:  majd hanna

المزيد من المصادر :  


Continue Reading
by في ليست هناك تعليقات:
Tags , , ,

السبت، 21 ديسمبر 2019

#

ما هو التشفير ؟ انواعة وفوائدة ؟

by on 5:06:00 ص

  هذه المقال وغيرها من المقالات تحت وسم "مسابقة أفضل تدوينة" تعبر عن أراء أصحابها


  •  التشفير 
التشفير هو الطريقة التي يتم بها تحويل المعلومات إلى رمز سري يخفي المعنى الحقيقي للمعلومات. يطلق على علم تشفير المعلومات وفك تشفيرها التشفير.

في الحوسبة ، تُعرف البيانات غير المشفرة أيضًا بالنص الشائع، وتسمى البيانات المشفرة بالنص المشفر. تسمى الصيغ المستخدمة لتشفير وفك تشفير الرسائل خوارزميات التشفير أو الأصفار.


لكي تكون فعالة، يتضمن التشفير متغيرًا كجزء من الخوارزمية. المتغير، الذي يسمى المفتاح، هو ما يجعل إخراج الشفرة فريدًا. عندما يتم اعتراض رسالة مشفرة من قبل كيان غير مصرح به ، يتعين على المتطفل تخمين هوية المرسل المستخدم لتشفير الرسالة ، وكذلك المفاتيح التي تم استخدامها كمتغيرات. الوقت الذي يستغرقه تخمين هذه المعلومات هو ما يجعل التشفير أداة أمان قيمة.

  • كيف يعمل التشفير؟

في بداية عملية التشفير ، يجب أن يقرر المرسل ما هو التشفير الذي سيخفي معنى الرسالة وأفضل متغير لاستخدامه كمفتاح لجعل الرسالة المشفرة فريدة من نوعها. تنقسم أنواع الأصفار الأكثر استخدامًا إلى فئتين: متماثل وغير متماثل.


تستخدم الأصفار المتماثلة، والتي يشار إليها أيضًا باسم تشفير المفتاح السري، مفتاحًا واحدًا. يشار في بعض الأحيان إلى المفتاح باعتباره سرًا مشتركًا لأن المرسل أو نظام الحوسبة الذي يقوم بالتشفير يجب أن يشارك المفتاح السري مع جميع الكيانات المخولة بفك تشفير الرسالة. تشفير المفتاح المتماثل عادة ما يكون أسرع بكثير من التشفير غير المتماثل. أكثر رموز التشفير المتناظرة استخدامًا هو معيار التشفير المتقدم (AES) ، الذي صمم لحماية المعلومات المصنفة من قِبل الحكومة.


تستخدم الأصفار غير المتماثلة، والمعروفة أيضًا باسم تشفير المفتاح العام، مفتاحين مختلفين - ولكن مرتبطين منطقياً -. غالبًا ما يستخدم هذا النوع من التشفير الأعداد الأولية لإنشاء المفاتيح لأنه من الصعب حسابها أعداد الأعداد الأولية الكبيرة والتصميم العكسي للتشفير. تعد خوارزمية تشفير Rivest-Shamir-Adleman (RSA) حاليًا خوارزمية المفتاح العام الأكثر استخدامًا. باستخدام RSA ، يمكن استخدام المفتاح العمومي أو الخاص لتشفير رسالة ؛ أيهما لا يستخدم للتشفير يصبح مفتاح فك التشفير.


اليوم، تستخدم العديد من عمليات التشفير خوارزمية متماثلة لتشفير البيانات وخوارزمية غير متماثلة لتبادل المفتاح السري بشكل آمن.

 

  • أهمية التشفير

يلعب التشفير دورًا مهمًا في تأمين العديد من أنواع أصول تكنولوجيا المعلومات. يوفر ما يلي:

  1. السرية تشفر محتوى الرسالة.

  2. تتحقق المصادقة من أصل الرسالة.

  3. تثبت النزاهة أن محتويات الرسالة لم تتغير منذ إرسالها.

  4. يمنع عدم الرد المرسلين من رفض إرسال الرسالة المشفرة.

  • كيف يتم استخدامه؟

يشيع استخدام التشفير لحماية البيانات في العبور والبيانات في بقية. في كل مرة يستخدم شخص ما جهاز صراف آلي أو يشتري شيئًا عبر الإنترنت باستخدام هاتف ذكي ، يتم استخدام التشفير لحماية المعلومات التي يتم نقلها. تعتمد الشركات بشكل متزايد على التشفير لحماية التطبيقات والمعلومات الحساسة من تلف السمعة عند حدوث خرق للبيانات.


هناك ثلاثة مكونات رئيسية لأي نظام تشفير: البيانات ومحرك التشفير وإدارة المفاتيح. في تشفير الكمبيوتر المحمول ، يتم تشغيل جميع المكونات الثلاثة أو تخزينها في نفس المكان: على الكمبيوتر المحمول.


ومع ذلك ، في بنيات التطبيق ، عادةً ما يتم تشغيل المكونات الثلاثة أو تخزينها في أماكن منفصلة لتقليل فرصة أن تؤدي التسوية الخاصة بأي مكون منفرد إلى تسوية النظام بأكمله.


  • فوائد التشفير

الغرض الأساسي من التشفير هو حماية سرية البيانات الرقمية المخزنة على أنظمة الكمبيوتر أو المنقولة عبر الإنترنت أو أي شبكة كمبيوتر أخرى.

بالإضافة إلى الأمان، غالبًا ما يكون اعتماد التشفير مدفوعًا بالحاجة إلى تلبية لوائح الامتثال. يوصي عدد من المؤسسات والهيئات المعنية بالمعايير أو تتطلب تشفير البيانات الحساسة من أجل منع الأطراف الثالثة غير المصرح لها أو الجهات الفاعلة التي تهدد من الوصول إلى البيانات. على سبيل المثال ، يتطلب معيار أمان بيانات صناعة بطاقة الدفع (PCI DSS) من التجار تشفير بيانات بطاقة الدفع الخاصة بالزبائن عندما يتم تخزينها بالراحة ونقلها عبر الشبكات العامة.


  • أنواع التشفير

إحضار التشفير الخاص بك (BYOE) هو نموذج أمان للحوسبة السحابية يمكّن عملاء الخدمة السحابية من استخدام برامج التشفير الخاصة بهم وإدارة مفاتيح التشفير الخاصة بهم. BYOE قد يشار إليها أيضًا باسم إحضار مفتاحك الخاص (BYOK). تعمل BYOE من خلال تمكين العملاء من نشر مثيل افتراضي لبرامج التشفير الخاصة بهم إلى جانب التطبيق التجاري

Continue Reading
by في هناك 5 تعليقات:
Tags ,
#

ما هما بروتوكولا SSL و TLS؟؟ وها هي عيوبهما الامنية ؟؟

by on 1:36:00 ص
هذه المقال وغيرها من المقالات تحت وسم "مسابقة أفضل تدوينة" تعبر عن أراء أصحابها

نشرح في هذا المقال كلا من بروتوكل الـ SSL و TLS ونتلكم عن استخدامهما وطرق عملهما وعيوبهما الامنية. 

تقريبا كلنا يعرف برتوكول الـ ssl وبعضنا برده عارف الـ TLS، مبدئيا كدة خلينا نعرفهم بشكل اجمالي. (يقوم بروتوكول SSL / TLS بتشفير حركة المرور على الإنترنت بجميع أنواعها ، مما يجعل التواصل الآمن عبر الإنترنت ممكنًا. ده ابسط تعريف ممكن تلاقية ليهم التنين، 

او من هذا التعريف

(SSL و TLS هما بروتوكولا تشفير يوفران مصادقة وتشفير البيانات بين الخوادم والآلات والتطبيقات التي تعمل عبر شبكة (مثل عميل يتصل بخادم ويب). SSL هو سلف TLS. على مر السنين ، تم إصدار إصدارات جديدة من البروتوكولات لمعالجة الثغرات الأمنية ودعم مجموعات وخوارزميات تشفير أقوى وأكثر أمانًا.


تم تطوير SSL في الأصل بواسطة Netscape وأول مرة ظهرت في المشهد عام 1995 باستخدام SSL 2.0 (لم يتم إصدار 1.0 للجمهور مطلقًا). تم استبدال الإصدار 2.0 بسرعة بـ SSL 3.0 في عام 1996 بعد العثور على عدد من الثغرات الأمنية. ملاحظة: يتم كتابة الإصدارين 2.0 و 3.0 أحيانًا كـ SSLv2 و SSLv3.)


بس قبل منكلم عن ثغراتهم لازم نفهم اية هما، اية الفرق مابينهم وازاي بيشتغلو. عشان نقدر نفهم ثغراتهم تمام، بسم اللة وتوكلوا علي اللة لان المقال طويل شوية.

SSL - Secure Sockets Layer : 


 مر الSSL عبر تحديثين رئيسيين . وصل الإصدار 2.0 من البروتوكول في عام 1995 ، في حين وصل SSL 3.0 في عام 1996. أصدر مصممو SSL النسختين الجديدتين مع التوافق مع الإصدارات السابقة لتخفيف عبء التبني. لكن هذا الجهد ، ناهيك عن التصميم العام للبروتوكول ، أعاق قدرة SSL على توفير السرية. وزي مقلنا ان ssl في منة versions كتير ssl2.0 /ssl3.0 بس المستخدم في اغلب المواققع هوssl3 بس ده يعتبر حاليا غير امن بسبب الثغرة الي تم اكتشافةا فيه (POODLE) هنكلم عليها تحت.


TLS - Transport Layer Security :


TLS1.0/TLS2.0

التا بتخاط مابينهم لية لان TLS/SSL3 تقريبا حاجة واحد بس الموضوع ده غلط علي ما قد انة صحيح عشان كدة هنجيب او جة التشابة والاختلاف في كل واحدة وكيفية عملهم علي حدي :


بس قبل من قول ده لزمن نقول حاجة صغيرة "Certificates are not the same as protocols" بمعني ان انا لولقيت ثغرة في بروتوكول ssl مش الحل اني اغير الشهادة لان الشهادة حشاجة والبروتوكل حاجة تانية يعني ببساطة الشهادة الي بيستخدمها SSL هي بردة ممكن تبقي نفس الشهادة الي بيستخدمها TLS

التشابة ببساطة في المضمون :

 حماية خصوصية البيانات من خلال تشفير البيانات في الحركة .

 يقدّم لسيرفر صلاحية المصادقة على دخول العميل ( إختيارياً )

 التحقّق من سلامة الرسائل باستخدام أكواد التشفير .

 

الاختلاف نوعا ما كبير  :

المقارنة هنا هتكون مابين SSL3/TLS1.0 :

اولا - ودة الي هتلاحظة لو في خطء الي هو (No certificate) ssl سعتها بيطلعلك تنبية اما TLS. اما TLS مش بيبعت تنبية وببعت قيم Values


TLS بيستخدم HMAC للمصادقة الرسائل اما SSL بيستخدمMAC[ولي ممكن نقول علية ببساطة رمز توثيق الرسالة والي بيساعد علي ضمان وصحة الرسالة] (هسيب مصدر ليها تحت)

ثالثا : Certificate verify بالنسبة للssl  فالموضوع معقدبالنسبالة اما لل TLS فالموضوع بسيط لانة بيتبعت مع الهاندشيك

 

مش هنكلم اكتر من كدة هسيب مصادر للي عايز يعرف اكتر عشان البست ميطولش. بس قبل ما نبدا في الثغرات الي فيهم احب اقول تعليق قراتة في مقالة اجنبية وهى ان (TLS ما هو الي SSLV4 اي تحديث امن واقوى من ssl)


نبدء بقي نتكلم عن الثغرات الي في البروتوكول ده :

 

اول حاجة والي لازم نتكلم عليها واشهرهم هي:  heartbleed vulnerability ثغرة نزيف القلب.


سبب شهرة الثغرة ده عن بقيت الثغرات مع ان في ثغرات في ssl ممكن تساويها في الخطر هو ان الاستغلال بتاعها كان public لاي حد يقدر يستغلة وعشان تتخيل قد اية كان متاح ان في module علي metasploit لاستغلال الثغرة ده . بس اية هي الثغرة ده ببساطة الثغرة ده تعرفها من موقعها : 

 

هي نقطة ضعف خطيرة في مكتبة برامج التشفير OpenSSL الشائعة. يسمح هذا الضعف بسرقة المعلومات المحمية ، في ظل الظروف العادية ، بواسطة تشفير SSL / TLS المستخدم لتأمين الإنترنت. يسمح Heartbleed bug لأي شخص على الإنترنت بقراءة ذاكرة الأنظمة المحمية بواسطة الإصدارات الضعيفة من برنامج OpenSSL. يؤدي ذلك إلى تعريض المفاتيح السرية المستخدمة لتحديد موفري الخدمات وتشفير حركة المرور وأسماء وكلمات مرور المستخدمين والمحتوى الفعلي. هذا يسمح للمهاجمين بالتنصت على الاتصالات ، وسرقة البيانات مباشرة من الخدمات والمستخدمين وانتحال هوية المستخدمين والمستخدمين.

 

من كشف عن هذه الثغرة؟

أكتشف الثغرة موظف في قسم الأمن في شركة جوجل يدعى "نيل ميهيتا"، وقد تبين أن التغرة موجودة منذ عامين، ولأن هذا نظام التشفير مفتوح المصدر، فهو يسمح لعدد معين من المبرمجين بالاطلاع الكامل على "كود" البرمجيات، وإعادة فحصها، وهذا ما قام به "نيل" واكتشف من خلاله الثغرة.


مدي تأثير الثغرة ؟

أكثر من ثلثي خوادم الشبكة يستخدمون تقنية OpenSSL للتشفير، والثغرة تطال بالتحديد نسخة مطورة عام 2011. وقد أظهرت الدراسات أنّ 81% من المواقع تستخدم برامج خوادم مثل Apache و Nginx وكلاهما معرض للاستهداف من قبل الثغرة. الكثير من المواقع الشهيرة مثل جوجل وياهو وأمازون تستخدم وسائل التشفير المستهدفة، وقامت هذه المواقع بتحديث نفسها وإصلاح الثغرة، ويضاف للمواقع التي تستخدم نظام التشفير المعني فيسبوك وبنترست وإنستجرام. ببساطة الثغرة ده وقتها كانت ثغرة غير مسبوقة تقريبا مشفناش زيها وده كن تعليق مدير كلاوفلير عليها


رابط موقع الثغرة : heartbleed

رابط الفحص: filippo او اقدر تفحصها من موديل الي علي الميتا سبلويت

auxiliary/scanner/ssl/openssl_heartbleed

الثغرة الي بعد كدة والي تكلمنا عليها فوق ( - Padding Oracle On Downgraded Legacy Encryption - POODLE  ) :


السناريوا بتاع الهاك :

يبدأ العميل المصافحة ويرسل قائمة بإصدارات SSL / TLS المدعومة. يعترض المهاجم حركة المرور، ويؤدي هجوم man-in-the-the-middle (MITM)، ويقوم بانتحال شخصية الخادم حتى يوافق العميل على خفض مستوى الاتصال بـ SSL 3.0.


ثالثا : 

DROWN - (Decrypting RSA with Obsolete and Weakened eNcryption)


هو ثغرة خطيرة تصيب بروتكول HTTPS وغيرها من الخدمات التي تعتمد على TLS , SSL  وبعض من بروتوكولات التشفير الاساسية لامن شبكة الانترنيت . وتسمح هذه البروتوكولات الجميع على الشبكة العنكبوتية لتصفح المواقع وارسال الرسائل والتسوق ونقل المعلومات المهمة دون السماح لطرف ثالث بالقدرة على رؤية ما يتم تبادله بين المستخدم والشبكة العنكبوتية . ماذا يحصل عليه المخترق من هذه الثغرة ؟ 


يحصل على اي شيء يتم تمريره بين المستخدم والسيرفر، ويشمل مثلاً أسماء المستخدمين وكلمات المرور، ارقام الحسابات، رسائل البريد الالكتروني، والرسائل الفورية، الوثائق المهمة، وفقاً لبعض السيناريهوات يمكن ايضاً للمهاجم عمل spoof محتوى موقع امن واعتراض الطلبات وما يراه المستخدم .

 

رابعا - Bar-Mitzvah Attack 


ظهرت ثغرة وهجوم جديدين في اكثر انظمة التشفير المشهورة عالميا والتي تسمح للمخترق ان يقوم بسرقة بيانات بطاقات الإئتمان و الدفع الإلكتروني و كلمات المرور واي بيانات حساسة يتم تراسلها بشكل محمي و مشفر بإستخدام بروتوكولات SSL و TLS. هذه الثغرة موجودة منذ اكثر من 13 عاما في خوارزمية RC4 و التي تعد الأكثر استخداما في حماية ما يقارب 30% من البيانات التي يتم تراسلها بشكل مشفر عبر الإنترنت في ايامنا هذه. الهجوم والذي اطلق عليه اسم Bar-Mitzvah يمكن تنفيذه بدون شن هجوم الرجل في المنتصف (Man in The Middle Attack) على الإتصالات و الطلبات بين كل من جهاز الضحية و جهاز الخادم كغيره من انواع الهجوم و الثغرات الأخرى التي اصابت بروتوكول SSL.


خامسا : Weak cipher suites :

والي بتسمح للمهامج لفك تشفير البيانات بينة وبين السرفر بس ضعف في شهادة ssl الي ممكن للهاكر انة يجبها من public key 

 

الاسم : فاروق نبيل
الدولة: مصر

المصادر والمراجع :


TLS and ssl on wikipedia:
https://en.wikipedia.org/wiki/Transport_Layer_Security
https://wiki.openssl.org/index.php/SSL_and_TLS_Protocols

heartbleed on isecurity and how exploit it :
http://www.isecur1ty.org/%D8%AA%D8%B9%D8%B1%D9%81-%D8%B9%D9%84%D9%89-%D8%AB%D8%BA%D8%B1%D8%A9-heartbleed-%D9%88%D9%83%D9%8A%D9%81%D9%8A%D8%A9-%D8%A7%D8%B3%D8%AA%D8%BA%D9%84%D8%A7%D9%84%D9%87%D8%A7/

difference between ssl and tls:
https://techdifferences.com/difference-between-ssl-and-tls.html (EN)
https://www.venafi.com/blog/understanding-difference-between-ssl-and-tls (EN)
https://www.cloudwards.net/ssl-vs-tls/ (EN)
https://www.csoonline.com/article/3246212/what-is-ssl-tls-and-how-this-encryption-protocol-works.html (EN)
https://www.thetechnologynow.com/2016/07/difference-SSL-TLS.html (AR)

Most ssl/tls vuln:
https://www.acunetix.com/blog/articles/tls-vulnerabilities-attacks-final-part/
https://www.manageengine.com/key-manager/help/ssl-vulnerability.html
https://www.gracefulsecurity.com/tls-ssl-vulnerabilities/

ssl onlion scanner:
https://geekflare.com/ssl-test-certificate/

HMAC:
https://en.wikipedia.org/wiki/HMAC

Bar mitzvah:
https://en.wikipedia.org/wiki/Bar_mitzvah_attack
https://www.secpod.com/blog/cve-2015-2808-bar-mitzvah-attack-in-rc4-2/
http://www.imperva.com/docs/HII_Attacking_SSL_when_using_RC4.pdf

Drown attack:
https://www.isecur1ty.org/%D8%AB%D8%BA%D8%B1%D8%A7%D8%AA-tls-ssl-%D8%AB%D8%BA%D8%B1%D8%A9-drown-attack/ (AR)
https://github.com/nimia/public_drown_scanner (EN)
https://drownattack.com/ (EN)
https://drownattack.com/drown-attack-paper.pdf (EN)

Continue Reading
by في هناك تعليق واحد:
Tags , , ,

أخبار

اخبار تقنية (132) اندرويد (89) تقنية (75) مسابقة أفضل تدوينة (60) ايفون (51) تطبيقات (41) فيسبوك - facebook (24) واتساب - whatsapp (23) جوجل - Google (13) حرب الالكترونية (10) سامسونغ - Samsung (9) يوتيوب - youtube (9) WiFi (7) تقارير و دراسات (7) منوعات (7) هواتف - phone (7) SS7 (6) apple (6) hacker news (6) zoom (6) VPN (5) hacker (5) instagram - أنستقرام (5) SCADA (4) 5G (3) IOS (3) Programming Language (3) android (3) android malware (3) artificial intelligence (3) iphone (3) network (3) os (3) privacy (3) أبتكارات و أختراعات (3) تعلم البرمجة (3) خصوصية (3) هواوي - huawei (3) +Apple TV (2) Android Trojan (2) COVID-19 (2) GDPR (2) LiFi (2) Twitter (2) WhatsApp Desktop (2) WhatsApp Web (2) application (2) checklist (2) coronavirus (2) dns (2) google paly (2) microsoft teams (2) news (2) php (2) scan netwok (2) الجيل الخامس (2) باركود (2) برمجة (2) تويتر (2) روبوت (2) روت - root (2) سوني - Sony (2) شبكات (2) قواعد البيانات (2) نظام التشغيل (2) واي فاي (2) AI (1) Air Force (1) AirPlay (1) Apple TV (1) Bitdefender (1) Bluetooth (1) CSSLP (1) Cambridge Analytica (1) Certified (1) Cisco (1) Comodo (1) CryptoAPI (1) Darknet (1) Defcon (1) DoH (1) E2EE (1) ECES (1) Egregor (1) FIN8 (1) Fitbit (1) Front end (1) Full HD (1) GCFA (1) GPEN (1) GandCrab (1) Google Takeout (1) HTC (1) Hidden Cobra (1) IoT (1) JavaScript (1) Kodachi (1) LG (1) Lazarus Group (1) Meta (1) MongoDB (1) Netflix (1) OSINT (1) Oneplus (1) Oneplus 8 filter (1) Operating System (1) R (1) RCM (1) RCS (1) RitaVPN (1) STEGANOGRAPHY (1) Sonos (1) StarOS (1) TCP/IP (1) TOR (1) TOR Browser (1) TV show (1) Trend Micro (1) USITC (1) Ultra HD (1) VISA (1) Vultur (1) WATSAPP DARK (1) WhatsApp hacked (1) White Rabbit (1) Yandex (1) anonymity (1) big data (1) bitcoin (1) browser (1) call (1) camera (1) certification (1) cloud computing (1) cross-site (1) dark mode (1) darkmode (1) database (1) deep learning (1) deepwep (1) faceebok Messenger (1) fitbit watch (1) google project zero (1) goolge (1) hack life - اخترق حياتك (1) hacking satellite (1) iTunes (1) intercepter-ng (1) isp (1) joker (1) lan (1) moves (1) nessus (1) nmap (1) python (1) robotics (1) robotics revolution (1) smb1 (1) ssl (1) tarcking (1) tls (1) video call (1) voip (1) wan (1) web app (1) windows (1) أكاديمة حسوب (1) التعلّم العميق (1) الويب العميق (1) الويب المظلم (1) انترنت الاشياء (1) بيتكون (1) تطبيقات الطقس (1) تطبيقات الويب (1) تقنية 5G (1) تقينة الجيل الخامس (1) خدمات سحابيه (1) خوارزمية القيصر (1) دارك نبيت (1) ستاكس نت (1) شودان (1) علم أخفاء البيانات (1) علم الحاسوب (1) كتب (1) لغات البرمجة (1) مراجعات (1) مزود الخدمة (1) نصائح تقنية (1) هندسة البرمجيات (1)