پروتکل های امنیتی و هر مکانیزمی مبتنی بر رمزنگاری از یه طرف امنیت اطلاعات و پرایویسی افراد رو از تعرض افراد بیمار اجتماع مصون نگه میداره و جلوی سو استفاده اونهارو میگیره ولی در طرف مقابل میتونه لانه امنی برای تروریست ها,کلاهبرداران و بزهکاران بوجود بیاره .فرض کنیم که یه پروتکل امنیتی غیر قابل رسوخ و مستحکم باشه; یه گروه تروریسیتی به راحتی میتوته بدون هیچ دغدغه ای پیام های خودشو رمز نگاری کنه و از طریق شبکه اینترنت برای عوامل خودش ارسال کنه;اینجاست که حفظ حریم خصوصی افراد اجتماع خودش به یه معظل اجتماعی دیگری تبدیل میشه. به خاطر داشته باشید که بعضی از الگوریتم های رمز نگاری هرگز در عمل قابل شکستن و نفوذ نیستند و اگه پیامی بوسیله اونها رمز بشه هیچکس تو دنیا بجز صاحب کلید(و بعضی از سازمان های امنیتی!!) نمیتونه رمز پیام رو بشکنه;بدین ترتیب موضوعات امنیت ملی و حفظ حریم خصوصی افراد در تعرض با هم قرار میگیرند.
روش برخورد قضایی با این مشکل در کشور های مختلف کاملا متفاوته, در بعضی از کشورها بهره گیری از روش های رمزنگاری اطلاعات و ارسال اطلاعات رمزنگاری شده نیاز به اخذ مجوز قانونی داره و برای عموم مردم غیر قانونی و مستوجب مجازات سنگینی هست بعنوان مثال در کشورهای بلاروس,روسیه,چین,قزاقستان,سنگاپور,تونس,ونزوئلا,ویتنام و پاکستان قوانین بسیار سختگیرانه ایی برای برقراری ارتباطات رمز نگاری شده با افراد داخلی یا خارجی وجود داره.
در ایالات متحده امریکا رمزنگاری اطلاعات برای کاربران داخلی مشروط بر اینکه طرفین ارتباط در ایالات متحده ساکن باشند بلامانع هست. در بسیاری از کشور های غربی نیز همین رویکرد وجود داره ولی در عوض در خصوص صدور هر محصول (اعم از نرم افزاری یا سخت افزاری) که در اونها از مکانیزم های مستحکم رمزنگاری استفاده شده باشه منع قانونی بسیار سختی وجود داره .مثلا در ایالات متحده تا سال 2000 فروش چنین محصولاتی در رده فروش غیر مجاز مهمات جنگی,تانک,مسلسل, یا صلاح هسته ایی قرار میگرفته!! به همین دلیل حتی در صدور نرم افزار هایی که در اونها از Secure Sockect Layer یا SSL استفاده شده بود منع قانونی وجود داشت و چنین تولیدکنندگانی مجبور بودن در محصولات خودشون ازکلید هایی به طول حداکثر 40 بیت بهره بگیرند; طول کلید 40 بیتی , شاید برای افراد معمولی اجتماع کافی باشد ولی سازمان های جاسوسی و آژانس های امنیتی به سادگی قادر هستند که هر قطعه اطلاعات دلخواه رو با امکانات پیشرفته خودشون بشکنند و محتوای اون رو بخونند.
خوشحال میشم عضو کانالم بشید. یادمون نره که جامعه ادم هایی که به یاد گرفتن بها میدن بهم همیشه کمک میکنن و این یه فرهنگ ناب و قابل ستایشه.
از اونجا که طبق اصول شیش گانه اگوست کرکهوفس الگوریتمهای رمزنگار باید آشکار و جزئیات اون برای همه روشن باشه (تنهای کلید رمز باید مخفی بمونه نه الگوریتم رمزنگاری چرا که اگر خود الگوریتم مخفی بمونه با لو رفتن اون باعث شکسته شدن سیستم های رمزنگاری که با اون الگوریتم رمز شده بودن میشه و تغیر اون سیستم ها یک شبه امکان پذیر نیست اما در صورت لو رفتن کلید به راحتی میشه یک کلید دیگر تولید کرد ... این اصول رو در یه نوشته دیگه مفصل بررسی میکنم ) لذا قوانین منع صادرات محصولات مبتنی بر رمزنگاری کمک چندانی به پیشگیری از اشاعه اون نکرد چرا که هر الگوریتم رمز نگاری بر همگان مشخصه و میشه اون رو با صرف چند ساعت برنامه نویسی در سطح نرم افزار پیاده سازی کرد.
از اونجا که تولید و عرضه عمومی کد برنامه هر الگوریتم رمزنگاری طبق قانون ممنوعیت صدور محصولات رمزنگاری به خارج از ایالات متحده جرم سنگینی بود,دانشجویی از دانشگاه برکلی علیه دولت اقامه دعوا کرد و این قانون رو در تضاد صریح با قانون اساسی که ازادی بیان رو حق اساسی هر فرد میدونه قلمداد کرد. شکایت او در دادگاه مطرح شد و رای به درستی ادعای او داده شدش.نهایتا دولت رای به اصلاح قانون داد و قانون اصلاح شده به این شکل درآمد:
عرضه کد برنامه هر الگوریتم رمزنگاری بر روی کاغذ یا در کتاب بلامانع هست ولی کماکان توزیع آن به صورت کد برنامه برروی اینترنت ممنوع میماند
بدین ترتیب هرکسی که میخواست الگوریتم رمز نگاری رو صادر کنه اون رو بصورت جزوه یا کتاب چاپ میکرد تا منع قانونی نداشته باشه !! خیلی مسخرست مگه نه ؟
بدین ترتیب در سال2000 در ایالات متحده محدودیت های صدور محصولات رمزنگاری شده کمتر شد و تولید انبوه و صدور نرم افزار هایی که در اونها از رمزنگاری بهره گرفته شده مجاز شمرده شد. بدین ترتیب عملا اون قانون مضحک باطل شد چرا که نرم افزار هایی مثل اینترنت اکسپلورر یا موزیلا و... همگی در سطح جهان کاربر چند صد میلیونی داشتن و از شمول این قانون خارج میشدن. نرم افزار های یاد شده همگی از SSL و TSL حمایت میکردن و این دو پروتکل امنیتی هر دو از رمزنگاری با طول کلید بالاتر از 56 بیت پشتیبانی میکردند.
شاید دلیل کوتاه اومدن دولت و تعدیل قانون, مبارزه ایی بود که طرفداران آزادی بیان راه انداخته بودند و این مبارزه وقتی اقای فلیپ زیمرمن ابداع خودش (PGP (Pretty Good Privacy رو به رایگان توزیع کرد و به این جرم به دادگاه کشیده شد به اوج خود رسید.هرچند اقای زیمرمن تونست از زندانی شدن جون سالم به در ببره ولیکن پرونده پر سر و صدای او به کاهش محبوبیت سیاست های دولت انجامید و نهایتا دولت کوتاه اومد.
در مبارزه با قوانین محدودکننده ایی که دولت کلینتون وضع کرده بود افراد سرشناسی حضور داشتند.
نیلس فرگوسن یکی از پژوهشگران سرشناس اعلام کرد تحقیقات خودش رو به دلیل از ترس از قانون در اختیار شرکت اینتل قرار نمیده.
اقای Alan Cox مرد شماره دو توسعه هسته لینوکس و پرفسور ادوارد فلتن و تعدادی از دانشجویان او در دانشگاه پرینستون در ارتباط با قوانین وضع شده در دولت کلینتون مشهور به قانون DMCA یا Digital Millennium Copyright Act به مشکلاتی بر خوردند. از همه بد شانس تر دیمیتری اسکیلاروف طبق همین قانون به زندان افتاد تا عاقبت پس از جنجال های زیادی این قانون ارزش اجرایی خودشو از دست داد.
امروزه الگوریتم های رمز نگاری زیادی از متقارن تا مبتنی بر کلید عمومی در دنیا وجود دارند و امنیت و استحکام این الگوریتم ها دائم در حال راستی آزمایی هست اما نظر شخصی من بر این هست که اگر نگیم تموم سازمان های جاسوسی دنیا ,حداقل NSA قطعا روش های شکستن این رمزنگاری هارو در اختیار داره و به راحتی میتونه داده ها و متون رمزشده منتقل شده در هر بستری (هر اپلیکیشنی)رو شنود کنه و با توجه به نیازش اطلاعات لازم رو از اون داده کسب کنه (کسی اینو نمیتونه اثبات کنه قاعدتا البته و تنها در حد گمانه زنی هستش ) .یادمون نره که مبدع و توسعه دهنده و اصولا معمار اصلی اینترنت در دنیا شرکت های کوچیک و بزرگ امریکایی هستن و همه افراد متصل به اینترنت به نوعی توی زمین اونها در حال انجام بازی هستند. شاید شکستن رمز برای افراد عادی کار مشکلی باشه اما برای سرویس های امنیتی که این موضوع یکی از لازمه های کارشونه و قطعا روش های مختلفی برای شکستن الگوریتم های رمز نگاری برای خود دارن شاید کار نسبتا راحتی باشه !! صد البته که این روش ها محرمانست و همگی ما بعنوان افراد معمولی نمدونیم اونجا چخبره اما قاعدتا باید این نظریه که میتونن این رمز هارو بشکنن نظریه قابل اتکا تری به نسبت نظریه ناتوانی اون سازمان ها در شکستن رمز ها باشه .
منبع این نوشته :کتاب امنیت داده ها از دکتر علی ذاکرالحسینی و مهندس احسان ملکیان
من سعید یگانه هستم و امیدوارم از خوندن این نوشته لذت برده باشید و این نوشته برای شما مفید واقع شده باشه .اگر این نوشته رو مفید ارزیابی کردین لطفا اون رو هم برای سایر علاقه مندان به این حوزه که میشناسید بفرستید و ادامه دهنده زنجیره انتقال اطلاعات مفید در جامعه باشید .اگه مایل به ارتباط بیشتر با من بودین میتونید من رو در توییتر دنبال کنید