مطالب پربازدید

1403/08/29 - 07:56- هوش مصنوعي

هوش مصنوعی و دانش‌آموزان؛ تحولی که باید برای آن آماده شد

آموزش و پرورش، به خصوص مدارس به عنوان مهم‌ترین بستر تربیت نسل آینده، نقش کلیدی در آماده‌سازی دانش‌آموزان برای ورود به دنیای هوش مصنوعی دارد. اکنون هوش مصنوعی برای دانش‌آموزان یک انتخاب نیست، بلکه یک ضرورت است.

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

انتشار شده در تاریخ 1392/08/12 - 21:27

آیا NIST منبع قابل اعتمادی برای استاندارهای امنیت سایبری است؟

موسسه ملی فناوری و استانداردها مشهور به NIST در دنیای امنیت به علت مستنداتی که به صورت دوره‌ای منتشر می‌کند و به تشریح استاندارهای امنیتی می‌پردازد، شهرت دارد.

موسسه خبری سایبربان: موسسه ملی فناوری و استانداردها مشهور به NIST از سال ۱۹۰۱ فعالیت خود را آغاز کرده است و در دنیای امنیت به علت مستنداتی که به صورت دوره‌ای منتشر می‌کند و به تشریح استاندارهای امنیتی می‌پردازد، شهرت دارد.

به تازگی Nadia Heninger و Alex Halderman در مقاله‌ای به تشریح غیر قابل اعتماد بودن استانداردهای NIST و رابطه‌ی آن با NSA پرداخته‌اند. وضعیت فعالیت‌‌های آژانس امنیت ملی آمریکا و جاسوسی‌های این آژانس بر همگان روشن شده است، اما آیا NSIT که ظاهراً زیر نظر وزارت بازرگانی آمریکاست، با انتشار استاندارهای غلط در سال‌های اخیر سعی در کمک به NSA برای انجام فعالیت‌های جاسوسی داشته است؟
چرا توفان برملا شدن فعالیت‌های NSA بیش از همه منجر به این شده است محققان نسبت به تمامی استاندارها و اصول امنیتی بی‌اعتماد شوند؟ این مسأله چند علت دارد:
- اولین علت این است که NSA فعالیت‌های غیرقابل انکاری برای تضعیف استاندارهای رمزنگاری که بدین منظور تعریف شده بودند که ارتباطات و انتقال داده‌ها را توسط رایانه امن کنند، داشته است.
- دومین علت این است که NSA از روی عمد بارها در طول سالیان قصد داشته است تا درپشتی‌هایی را برای سخت‌افزار‌ها و نرم‌افزار‌های حساس امنیتی قرار دهد.

اگر این علت‌ها درست باشند، NSA امنیت سایبری را به بازی گرفته است و مسئول اغلب حملات سایبری و تهدیدات مستر پیش‌رفته در سال‌های اخیر بوده است.
هیچ‌کس منکر این مسأله نیست که NSA در شکستن کد و رمزنگاری بی‌نظیر است، قدرت تحلیل رمزنگاری‌های این آژانس بسیار مشهور است و عموماً رقابت تنگاتنگی در بین طراحان رمز‌ و نوابغ شکستن رمزنگاری‌ها در جریان است. اما تشویق مردم برای استفاده از رمزنگاری‌هایی که قبلاً توسط یک موسسه‌‌ی دولتی شکسته است، حقه‌ی بسیار کثیفی است!

خیانت!
بسیاری از کاربران اینترنت توجه کمی بر این نکته داشته‌اند که پی‌ریزی امنیت اینترنت متکی بر اعتماد است. یکی از اسرار پیچیده‌ی دنیای رمزنگاری این است که تقریباً هیچ‌کس قادر نیست اثبات ریاضی این که هسته‌ی الگوریتم رمزنگاری امن می‌باشد را ارائه دهد. در عوض ما باور کرده‌ایم که این الگوریتم‌های رمزنگاری امنیت را برای ما به ارمغان می‌آورند چرا که توسط خبره‌ترین افراد حوزه‌ی رمزنگاری تدوین شده‌اند و سایر متخصصان و محققین در شکستن این رمزنگاری شکست خورده‌اند.
از سال ۱۹۷۰ موسسه‌ی NSIT با تنظیم استانداردهای رمزنگاری که مورد استفاده‌ی دولت‌ها و صنایع سراسر جهان قرار گرفت، نقش کلیدی در ایجاد این اعتماد در ذهن مردم که چه الگوریتم‌های رمزنگاری‌ ارزشمند هستند ایفا کرده است.
NIST فعالیت قابل تحسینی در مورد سازمان‌دهی تلاش کارشناسان رمزنگاری برای طراحی و ارزیابی رمزنگاری انجام داده است (مانند الگوریتم‌های بسیار جدیدِ رمزنگاری AES، توابع هش SHA-2 و SHA-3 و مزنگاریِ کلید عمومی مبتنی بر منحنی‌های بیضوی) و همچنین قادر به مهار قدرت دولت آمریکا برای قبول این طرح‌ها در صنایع بوده است.
با وجود شواهد کافی برای بی‌طرفیِ NSIT، صنایع آمریکا باور کرده‌اند که الگوریتم رمزنگاری که به آن‌ها پیش‌نهاد شده است از طرف یک سازمان صالح و با هدف امنیت این صنایع طراحی شده است!
اما هم‌اکنون شواهد نشان می‌دهد که NSA با اعمال فشار بر NSIT و در‌ واقع نظارت لحظه به لحظه بر این مؤسسه تمامی این سیاست‌ها را پایه‌گذاری کرده است. دست کم در مورد الگوریتم Dual EC DRBG که به همراه یک درپشتی برای NSA طراحی شده بود، شواهد کافی به نظر می‌رسد.
بسیاری از شرکت‌ها از الگوریتم‌های رمزنگاری در نرم‌افزارهای خود استفاده کرده‌اند و این بدین معنی است که NSA به صورت بالقوه به میلیون‌ها رایانه در سراسر جهان دست‌رسی دارد.
بسیاری از نوابغ جامعه رمزنگاری نگران هستند که سایر استاندارهای NSIT نیز به همین میزان دست‌مایه‌ی سیاست‌های جاسوسی NSA باشد.

پیش‌رفت عقب‌گرد
فراتر از ضعف استاندارهای NSIT، فعالیت‌های NSA نیز اعتماد متخصصان را برای این که به زودی با تکیه به روش‌های رمزنگاری نوظهور می‌توان به امنیت قابل قبولی رسید، از بین برده است. یک مثال بسیار مرتبط استفاده از رمزنگاری مبتنی بر منحنی‌های بیضوی است که در‌ واقع یک فن‌آوری نسل بعدی است و به نحوی معرفی شده است که نسبت به آن‌چیزی که ما تا به امروز از آن استفاده می‌کرده‌ایم بی‌شک برتری ویژه‌ای دارد.
در سال‌های اخیر، NSA و NSIT به صورت بسیار موثری اقدام به تبلیغ الگوریتم رمزنگاری مبتنی بر منحنی‌های بیضوی داشته‌اند با شعار بهبود کارایی و افزایش امنیت. آیا هدف اصلی این الگوریتم واقعاً افزایش امنیت است و یا یک راه مخفی برای شکستن آن نیز وجود دارد؟
و البته دو دلیل اصلی برای نپذیرفتن الگوریتم رمزنگاری مبتنی بر منحنی‌های بیضوی افشاگری‌های ادوارد اسنودن و همچنین نصیحت هوشمندانه‌‌ی Bruce Schneier، خبره‌ی رمزنگاری و امنیت، در نپذیرفتن این الگوریتم است.
باز هم‌ یک بازی تکراری دیگر توسط NSA شکل نگرفته است؟ الگوریتم‌های جایگزین‌ منحنی‌های بیضوی، بیش از سه دهه قدمت دارند و حاشیه‌ی امنیت آن‌ها به سمت محو شدن می‌رود و از طرفی الگوریتم رمزنگاری مبتنی بر منحنی‌های بیضوی هنوز هیچ ضعف عمومی ندارند و همچنین متخصصان کمی خارج از NSA این الگوریتم را درک می‌کنند و پذیرفتن این الگوریتم و امنیت آن برای عموم نسبتاً قطعی شده است و این یعنی باز هم اعتماد به NSIT!
اگر هوشمندانه از این الگوریتم استفاده نشود، ۲ دهه تحقیقات و مطالعه بی‌مصرف می‌شود، آیا NSA چنین ضرری را می‌پذیرد؟
شواهد نشان می‌دهد که NSA فعالیت‌هایی هم در سایر بخش‌های امنیت دارد، یعنی دخالت در تولید اعداد تصادفی توسط سخت‌افزار خصوصاً در آخرین نسل پردازنده‌های اینتل. اعداد تصادفی بی‌شک برای ایجاد کلیدهای رمزنگاری بسیار حیاتی هستند و اگر ضعفی در تولید این اعداد تصادفی کشف شود، الگوریتم رمزنگاری نیز عملاً به سادگی قابل شکستن می‌شود.
اگر NSA بتواند یک درپشتی بسیار زیرکانه در این پردازنده‌ها قرار دهد که فقط خودش از آن مطلع است، یعنی روشی که نحوه‌ی تولید اعداد تصادفی به ظاهر بدون ایراد باشد اما الگوریتم تولید اعداد تصادفی آن فقط توسط NSA قابل پیش‌بینی باشد، بدین معنی نیست که الگوریتم‌های رمزنگاری هر قدر هم مدرن اگر متکی به این اعداد تصادفی باشند،‌ غیر قابل اعتماد هستند؟
شواهد کافی برای این مسأله هنوز وجود ندارد اما روند افشاگری‌های اسنودن خصوصاً در مورد اعلام علاقه‌ی NSA به ایجاد آسیب‌پذیری‌های عمدی در سامانه‌های رمزنگاری تجاری این مسأله را بسیار مشکوک جلوه می‌دهد.

امنیت سایبری
نتیجه‌ی وحشتناک فعالیت‌های NSA این است که این فعالیت‌ها برای همه افراد است و هیچ راهی نیست که فقط افراد «بد» آسیب‌پذیر باشند، به واسطه‌ی این فعالیت‌ها همه در دنیای سایبری آسیب‌پذیر هستند.
NSA در‌واقع روش‌های بسیار زیادی برای ایجاد درهای پشتی فرا گرفته است. یکی از این روش‌ها که بسیار ساده و هوشمندانه است، طراحی سامانه‌ها و الگوریتم‌های رمزنگاری به نحوی است که برای شسکتن آن‌ها به تلاش کمی نیاز است، یعنی کاهش آنتروپی‌ها یا کلید‌های در دست‌رس برای یک سامانه‌ی رمزنگاری و یا اضافه کردن حملات بسیار زیرکانه‌ی side-channel و همچنین معرفی و اضافه کردن آسیب‌پذیری‌های نرم‌افزاری. حتی با توجه به اسناد موجود در مورد درپشتی الگوریتم رمزنگاری Dual EC DRBG احتمال وجود یک کلید سری نیز بعید نیست، کلید سری برای قابل پیش‌بینی کردن اعداد تولید شده توسط الگوریتم تولید اعداد تصادفی، روشی که تا هر زمان که این کلید سری فاش نشده است، امن خواهد بود.
هرچه بیش‌تر در این گودال افشای اطلاعات پایین برویم، ممکن است به اطلاعات بیش‌تری پی ببریم، اما آیا می‌توان استاندارهایی که اینترنت و امنیت سایبری بر مبنای آن‌ها شکل گرفته‌اند را با هدف تأمین امنیت سایبری از بین برد؟
دنیای فراگیر اینترنت، با پرداخت چه بهایی امنیت سایبری را خریده است؟