مقدمه في التشفير | Cryptography | الجزء الاول

من طرف khaled307 30/10/2008, 11:07 am

بسم الله الرحمن الرحيم .....

هل تريد حمايه ملفاتك وبياناتك من المتطفلين ؟
هل تريد الحفاظ على اسرارك وملفاتك من ايدي العابثين ؟
هل تريد ارسال رسائل غير مقروءه من الجميع باستثناء الشخص الذي تريد ؟
هل تريد تشفير ملفاتك من ايادي ابناء اختك الصغار ؟
هل تريد تشفير رسائلك من كبرى الحكومات والمخابرات ووكالات الامن ؟

اذا هذه الدروس موجهه لك ، انت

في البدايه احب ان انوه هنا ، الى ان الموضوع كبير جدا جدا ، وسوف يقسم الى عده اجزاء حتى يسهل متابعته وقرائته ..

الجزء الاول ، موجه للجميع ، مستخدمين ، مبرمجين ، مطورين ، وحتى زبائن تريد ان تشتري احد برامج التشفير ... فهنا سوف يكون الموضوع بشكل عام دون الدخول في التفاصيل الرياضيه والخوارزميات ، وبدون كتابه برامج باحد لغات البرمجه ، فقط الغرض هو توضيح المفهوم العام لهذا العلم الواسع General Concept ، بالطبع سنتناول الطرق الحديثه والمستخدمه حاليا ولن نتطرق الى الطرق القديمه والتي عفا عليها الدهر ..

الجزء الثاني ، موجه للطلبه و للباحثين في هذا المجال ، والمهتمين بدراسه تاريخ التشفير ، والطرق القديمه التى استخدمت في ذلك الوقت ، وطرق كسرها وما الى ذلك Classical Methods .. وايضا سنطبق برامج على هذه الطرق القديمه بشكل سريع ،

الجزء الثالث ، موجه للمبرمجين والمطورين ، الذين يريدون استخدام هذه التقنيات في برامجهم ، واستخدام خوارزميات (مثلا DES,AES,RSA,etc ) مع الشرح التفصيلي لهذه الخوارزميات ، وايضا الى استخدام المكتبات الجاهزه التي تخفي الكثير من التعقيد وتسهل الامر كثيرا ...

بالطبع ، انا لست خبيرا في هذا المجال ، ولكني احاول باذن الله تقديم ما استطيع ، واذا كان لدى احدكم اي معلومات او اي اضافات يريد ان يضيفها ، فبمرحب به بكل تأكيد .. : :

احب ان اضيف ايضا ، انه هناك اسس يجب اتباعها في حال اردت اتباع الطريق الصحيح لان تصبح احد مكتشفين هذه الخوارزميات (او مكتشف الثغرات بها) ان يكون لديك معلومات في المجالات التاليه ، نظريه الاعداد Numbers Theory ، نظريه المعلومات Information Theory ، والتى تتطلب كتاب خاص لكل واحده
.. على العموم نحن بالطبع على قد حالنا و نمد ارجلنا على قد لحافنا : ...

وهذه الكتب والمراجع التي باذن الله تؤهلك لدخول هذا العلم من اوسع ابوابه :
Handbook of Applied Cryptography by :Alfred J. Menezes
Cryptography: Theory and Practice by Douglas Stinson
Applied Cryptography, by Bruce Schneier
RSA Security’s Official Guide to Cryptography by : Steve Burnett and Stephen Paine (المرجع الاساسي للجزء الاول ) .

نبدا حاليا الجزء الاول ، وعسى ان نتنهي منه في اسرع وقت ، وقد يأخذ حوالى 4 الى 6 جلسات (او مواضيع) .. حتى نكون انتهينا من اغلب النقاط الموجهه للجميع ...

نبدأ على بركه الله ،،،

لماذا بالتشفير ؟
مقدمه في التشفير | Cryptography | الجزء الاول HEHfrule

قد تتسأل اخي الكريم وتقول " انا لا احتاج للهذه الدروس ، ببساطه ، لانه ليس لدى اي شيء لاخفيه ، ولا داعي لهذه الحمايه" ؟

حسنا اخي ، لكن دعنا نشاهد ملفاتك الطبيه ، او كشف حساباتك في احد البنوك ، او حافظه نقودك ، او دعني استخدم رقم(الهويه) الجواز الخاص بك ، او على اقل تقدير دعني استخدم الباسورد الخاص بدخول المنتدى ، او البريد الخاص بك ..

المقصد هنا ، اننا جميعا لدينا معلومات بحاجه الى ان تبقى سريه عن الجميع ، بالتأكيد ستشعر بعدم الارتياح مثلا في حاله عرفنا كلنا بمواعيد زياراتك للطبيب ، ما هي الادويه والعلاجات التي تستخدمها ، ما هى الامراض المصاب بها (عافانا الله واياكم) .. سبب اخر نحن نريد الحفاظ على تلك المعلومات من المخترقين ، تخيل احدهم سرق الباسورد الخاص بك في المنتدى ودخل بحسابك وبدا يسب ويعلن في الاعضاء ماذا سيكون موقفك ، بالتأكيد اهون من الذي تم استخدام بطاقته الائتمانيه وسرقه مبلغ 1000$ .

الشركات ايضا لديها العديد من الاسرار (الاستراتيجيات ، تفاصيل المنتجات ، معلومات الموظفين ، نتائج ابحاث سريه ) ، وحتى الشركات النصابه "وهم كثر" تريد الحفاظ على هذه النشاطات الدنيئه بعيدا عن الاعين ، كل هذه الشركات (بغض النظر عن شرعيتها) تريد ان تحفظ معلوماتها بعيدا الناس (قد يكونوا منافسين ، مخترقين "هاكر ام كراكر") .

ملاحظه :
بعض الناس يعتقد اعتقاد خاطئ وهو ان الهاكر Hacker هو الشخص المضر ، الحقيقه هي انه هذا الهاكر هو الشخص المحترف وذا خبره طويله في جميع المجالات المختصه بالحاسب ، وهناك من يستخدم هذه الخبره فيما يضر (ولديه اسبابه) ، وهناك من يستخدمها فيما ينفع !!

كلمه لديه اسبابه ، مثلا (وقد حصل) هناك مبرمج عمل فترات طويله في احد الشركات وقد ساهم في ارتفاع مستوى الشركه بشكل كبير ، بعدها ولقرار اداري يتم فصل هذا المبرمج الخبير من الشركه وبدون اسباب ، هنا يتحول هذا المبرمج الى مسخ ويبدأ في تدمير وقتل و.. (اصبح فلم ) .

نعود الى التشفير ، ونترك صاحبنا الهكر ريثما ينتهي من عمليات التدمير:

الان وقبل الدخول في اعماق التشفير ، علينا معرفه بعض الامور بشكل سريع ،،

الحمايه المقدمه من قبل نظام التشغيل :
مقدمه في التشفير | Cryptography | الجزء الاول HEHfrule

في الماضي كانت عمليه الحمايه بسيطه جدا ، فقط كل ما عليك هو ان تضع ملفاتك في الدرج ثم اغلاق باب المكتب بالمفتاح !! واذا كنت تريد حمايه اكثر يمكنك الاستعانه "بطبله كبيره" والسلام .. لكن حاليا الامر اختلف بشكل كبير ، فالملفات اصبحت تحفظ في الجهاز والهارديسك والسي دي CD وغيرها ، السؤال هو كيف يمكن حمايه الهادريسك ؟

وهنا يأتي دور نظام التشغيل ، اغلب نظم التشغيل تقدم نوع من الحمايه وتسمى الصلاحيات permissions والتى تسمح لمستخدمين معينين الدخول الى النظام ، وذلك عن طريق اجراء الدخول (نافذه login) ، وفي حاله ادخال اسم المستخدم والباسورد الصحيحين يتم الدخول الى النظام ، وحتى بعد الدخول في حاله حذفت ملف معين فانه نظام التشغيل ينظر اولا هل انت من لك الصلاحيه لحذف هذا الملف وفي حاله النفي فانك لن تستطيع حذف الملف ابدا .

(طبعا مستخدمين انظمه Unix-Like يعرفوا هذه التفاصيل بشكل كبير) ..

والشخص الذي يكون لديه الصلاحيه لفعل شيء هو المدير administrator او root ، وهو الذي يعطى الصلاحيات لباقي المستخدمين ، هو الذي يعطل الحسابات ، هو الذي يعطي الباسورد في حال فقد احدهم الباسورد الخاص به ، هو المدير بمعنى الكلمه ، ولكن root بعيده المعنى ..

كيف يعرف نظام التشغيل ان الشخص الموجود هو المدير الفعلي ؟ عن طريق اسم المستخدم و الباسورد بالطبع ، لكن وبكل اسف الطرق لمراوغه النظام وكسر حمايه باسورد المدير اصبحت منتشره وبكثره ، في ويندوز xp home يكفي ان تدخل عن طريق الوضع الامن للدخول الى النظام !! وهناك الكثير من البرامج لكسر وتغيير الباسورد للاغلب الانظمه ..

كمخترق اريد ان ادخل الى النظام اول ما افكر فيه هو اسم المستخدم الذي يأتي مع النظام preset account ، بالاضافه الى ان اغلب الانظمه (مثلا ويندوز) يكون فيها اسم المستخدم الخاص بالمدير هو administator وبدون باسورد (وللاسف الكثير من المستخدمين يتركون هذ الحساب بدون تغيير) ، وفي هذه الحاله الدخول الى النظام امر في منتهى البساطه وسوف اشكر الشركه المنتجه على هذه الصنيعه التي لا تنسى:

للاسف المستخدم طلع عامل حسابه ومغير الباسورد ، اذا سأبحث عن طريق اخر وهو البحث عن اسم المستخدم والباسورد يعني تخمينه ، في الافلام والمسلسلات الامر سهل للغايه ، دقيقه ويتم الكشف عن هذا الباسورد ويتم الدخول الى النظام ، لكن الحقيقه تختلف كثيرا ، ربما اذا بحثت في المكتب تجد بعض الاوراق مكتوب عليها الباسورد (ايضا هذه في الافلام فقط )

على العموم هناك طريقه تستخدمها الكثير من الجامعات والمؤسسات وهي اسم المستخدم هو نفسه اسم الباسورد ، وقد حصل هذا الامر معي في الجامعه ودخلت الى النظام ، كان اسم المستخدم والباسورد عباره عن اسم الشركه المصنعه للشاشه (مكونه من ثلاث حروف) ، اظن الشركه اسمها DTK ، (طبعا بعد العديد من المحاولات البائت بالفشل ، ولم انتبه الى انه الباسورد مكتوب في اسفل الشاشه ) .. المهم انكسر وخلاص .

ايضا حاليا في الجامعه لدينا اغلب الاجهزه في المعمل يوجد بها باسورد على البيوس BIOS بالطبع لا استطيع فتح الجهاز بمفك ونزع البطاريه (فصل عطلول لو شافوني) ، لذلك قمت بالبحث عن طرق واخيرا توصلت الى برنامج مكتوب بالسي لمسح الباسورد ، وفي حال اشتغل بشكل صحيح سأضعه هنا في المنتدى ، متى يبدأ الفصل الدراسي الثاني حتى ابدأ في العمليات الارهابيه ...

حسنا ، في حال اسم المستخدم لم يكن هو الباسورد ، ماذا افعل ؟ (مع الاخذ بالاعتبار اني اعرف اسم المستخدم) لا توجد طريقه الا بالتخمين حول الباسورد ، اسم الزوجه ، رقم الهاتف ، تاريخ الميلاد ، اسم الحبيبه ، ممممم مشكله اليس كذلك ! بالطبع لا ، فهناك الكثير من البرامج تقوم بعمليات التخمين نيابه عنك password cracker ، وفي حاله الباسورد ضعيف ، سوف تدخل الى النظام في خلال دقائق ...

هناك برنامج اسمه l0phtCrack يستخدم من قبل مدراء الانظمه ، وظيفته تغيير الباسودرات المستخدمه في الشبكه ، (بالطبع في حال المدير يستطيع ذلك ، الكراكر يفعلها ايضا p) ..

(يمكنك البحث عن معلومات حول هذا البرنامج ، ودراسته في حال كان برنامج مفيد ، فانا بصراحه لم اتعامل معه من قبل ، اتمنى من الاخوه اذا لديهم اي معلومات حول هذا البرنامج مشاركتنا بها ) .

نوع اخر من انواع الهجوم هو تجاوز نظام التشغيل ، وهو يتطلب بعض الخبره في هذا المجال ، مثلا Data Recovery Attack ، وهنا سوف يقوم بقراءه الهارديسك بت بت وتجميعها لبناء الملف الاصلي ، وهذه البرامج الغرض منها ليس للهجوم ولكن الكراكرز هم الذين استفادوا منها فاغلب برامج استعاده البيانات يتم استخدامها من قبل المختصين في استرجاع البيانات ، مثلا خرب عليك النظام System Crash او حدث Bad Sector في الهادريسك الخاص بك ، كل ما عليك (في حال انك مستخدم) الذهاب الى خبراء استرجاع البيانات ، وهو سوف يستخدموا هذه البرامج لاستعاده بياناتك . نفس الامر سوف يقوم المخترق باستخدام هذه البرامج لتجاوز نظام التشغيل ..

بالمناسبه ، سمعت ايضا عن اجهزه معينه تسترجع البيانات حتى في حاله هناك اضرار بالغه في الهارديسك (حرائق ، سوائل) ، اتمنى في حال لدى احدكم اي معلومات عن هذا الامر او حتى عن البرامج المستخدمه ان يضعها لكي نستفيد منها ،،

نوع اخر من الهجوم وهو الهجوم على الذاكره Memory Reconstruction Attack ، في البدايه عندما نتعامل مع برنامج ما بالطبع سوف تكون جميع التعلميات موجوده في الذاكره ، وسوف تكون هناك اشاره في الموقع المحفوظ فيها تعليمات البرنامج ، وعندما نتنهى من البرنامج ونقوم باغلاقه ، فسوف يقوم مدير الذاكره في النظام بحذف هذه الاشاره دون حذف المحتوى الحقيقي لها ، بالطبع من الممكن ان يأتي اي برنامج اخر ويحل في نفس الموقع ويحذف تلك البيانات ، ومن الممكن ان تكون موجوده .. هجوم الذاكره يقوم بعمل مسح للذاكره وكتابه تلك البيانات التى لا توجد عليها اشاره ، (لا اعلم كم يتم تطبيق هذا الهجوم على ارض الواقع) ..

مشكله اخرى ، وهي الذاكره الظاهريه ، اغلب انظمه التشغيل تحتوي على Virtual Memory وهنا يتم استخدام الهادريسك كذاكره ، ومبدأ عملها في حاله امتلئت الذاكره يتم افراغ بعض من محتوياتها التى لم تستخدم من وقت طويل الى الهادريسك في مكان معين ، بعدها في حال طلبت تلك المواقع (التى اصبحت موجوده في الهارديسك) سوف يقوم نظام الذاكره بعمل تبديل Swap بين المحتويات ،، على العموم في عام 1999 قام احدهم بكتابه برنامج لمسح هذا المكان التي تحفظ فيه الذاكره وتمكن من ايجاد الباسورد الخاص به في احد البرامج .

اضافه الحمايه بواسطه التشفير
مقدمه في التشفير | Cryptography | الجزء الاول HEHfrule

لجعل اسرارك اكثر امانا ، يجب عليك عدم الاعتماد على تلك الحمايه المقدمه من نظام التشغيل والافتراض بأن المخترق يعرف اساليب التراوغ والاختراق ، والاعتماد على التشفير ، وهو ببساطه تحويل النصوص المفهومه الى كلام غير مفهوم gibberish ،

مثل :
my name is wajdy , im a member in 3asfh fourm
تصبح :
kjdkp isjeu epdmp owdkl kldkl kqklq ds

وحتى لو استطاع المخترق بالوصول الى نظامك وكسره ، سوف يشاهد ملفك بالصوره السابقه وياكل المقلب ولن يحصل على شيء ..

يعني بالتشفير سوف تحصل على :

* الخصوصيه او السريه Privacy :
لن يستطيع احد قرائه ملفاتك السريه (وملفاتك الطبيه) ، الا من تريده انت فقط !

* تكامل البيانات Data Integrity :
ويعني التأكد من ان رسالتك لم تتغير (قام احدهم بتغيير شيء ما) اثناء ارسالك للرساله

* التحقق Authentication :
التحقق من الشخص الفلاني هو الشخص الذي تريده لقرائه الرساله ،

* عدم الانكار nonrepudiation :
مصطلح غريب قليلا ، ولكن الفائده هنا جعل الشخص المرسل للرساله الالتزام وعدم انكار انه هو الشخص المرسل للرساله ،

بالطبع قد تكون الصوره مشوشه لديك قليلا الان ، لكن لا تخف ، باذن الله سوف تذهب خلال الجلسات والمواضيع القادمه .

انتهت المقدمه .........

المره القادمه باذن الله ، سوف نتناول اول واهم الامور وهي Symmetric key Cryptography (التشفير بالمفتاح المنتاظر) ـ وسوف يكون متوسط الطول قليلا ، يعني شدوا حليكم تمام ،

الى ان القاكم المره القادمه ، استودعكم الله ، الذي لا تضيع ودائعه .