امنيت پست الکترونيک، براي کاربران نهايي
PCها ما را قادر ساخته اند بيش از هر زمان ديگري در تاريخ با ديگران ارتباط برقرار کنيم؛ اما يک سرويس ارتباطي به نام پست الکترونيک، هنوز هم به عنوان پر کاربردترين سرويس ارتباطي، نقش کليدي خود در دنياي ارتباطات را حفظ نموده است. ايميل، از زمان ظهور PC و اينترنت وجود داشته است؛ بنابراين عجيب نيست که بشنويم در بين تهديدات کامپيوتر و اينترنت، آسيب پذيري هاي تاريخي در استفاده از ايميل را بايد در نظر داشت. در واقع تهديد ايميل نسبت مستقيم و نزديکي با مهندسي اجتماعي دارد که از ترفند Phishing استفاده مي کند و کاربران را وادار مي کند بر روي فايل ضميمه ي آلوده ي يک URL کليک کنند.
ايميل مبتني بر وب در مقابل ايميل مبتني بر خدمات گيرنده يا کلاينت دو نوع ايميل وجود دارد. اولين نوع، ايميل مبتني بر وب يا Webmail است که اغلب کاربران آن را به همين نام مي شناسند. اين سرويس از تکنولوژي مبتني بر ابر، براي فراهم نمودن امکان دسترسي کاربران به ايميل بر روي هر PC يا هر وسيله سياري ( از هر جاي دنيا در هر زمان)، استفاده مي نمايد. نمونه اي از يک فراهم کننده ي webmail مي تواند Gmail و Yahoo باشد. مزيت عمده ي webmail اين است که نيازي به پيکره بندي ندارد، گرچه اغلب webmailها تعدادي تنظيمات شخصي سازي را ارائه مي کنند. برخي از webmailها تعدادي تنظيمات شخصي سازي را ارائه مي کنند. برخي از webmailها مي توانند (Secure Socket Layer) SSL و (Transport Layer Security) TLS را نيز ارائه کنند؛ اما همه ي آن ها چنين امکاني را در دسترس کاربر قرار نمي دهند. البته ايميل مبتني بر وب، محدوديت هايي شامل فضاي ذخيره سازي، قابليت ذخيره سازي بر روي وب و محدوديت هاي مربوط به حجم فايل هاي ضميمه را نيز دارند. مزيت قابل فهم اين نوع ايميل، عدم توانايي دانلود پيام هاي ايميل براي کار آف لاين با اين پيام ها است.
نوع ديگر ايميل، ايميل مبتني بر خدمات گيرنده يا client-based email نام دارد. اين، رايج ترين شيوه ي استفاده از ايميل در شرکت هاي تجاري به شمار مي رود. برنامه ي ايميل مبتني بر کلاينت (مثلاً Microsoft Outlook و Mozilla) مثل يک رابط انتقال نامه يا MTA عمل مي کند. مزاياي يک MTA اين است که شما ايميل خود را به شکل محلي دانلود مي کنيد و مي توانيد در حالت آف لاين با آن کار کنيد. فايل ايميل (PST در Outlook) همچنين به کاربر اجازه مي دهد فايل را به شکل محلي ذخيره و از آن نسخه ي پشتيبان تهيه کند.
همان گونه که در اين جا مشاهده خواهيد کرد فقط از يک پروتکل استفاده مي شود.
هر چند Webmail از مرورگر (اينترنت اکسپلورر يا Firefox) در کنار يک اتصال اينترنتي براي برقراري ارتباط با يک سرور وب استفاده مي کند. پروتکلي که در اين جا مورد استفاده قرار مي گيرد (Hypertext Transfer Protocol) HTTP است. وقتي يک کاربر يک پيام ايميل را با استفاده از HTTP به سرور وب ارسال مي کند با سرور SMTP ارتباط برقرار مي نمايد. شما در اين جا و برخلاف ايميل مبتني بر وب که فقط به يک پروتکل نياز دارد به وضوح دو پروتکل: HTTP و SMTP را مشاهده مي کنيد.
سرورهاي SMTP به پيام هاي ايميلي که بر روي نام دامنه گيرندگان مثلاً theftprotect.co.uk قرار دارد، متکي هستند. پيکره بندي DNS شامل ليستي از سرورهاي SMTP است که ايميل را از theftprotected.co.uk دريافت مي کند. به عنوان مثال، ID Theft Protect SMTP Server داراي بالاترين ارجحيت در کنار ساير سرورهاي SMTP ليست شده بر روي سرورهاي بک آپ است (درواقع ممکن است دو يا بيش تر از دو سرور وجود داشته باشد اما تعداد معمول 2 سرور است). سرور SMTP بک آپ ايميل ها را درون يک صف قرار مي دهد تا بعداً آن ها را به سرور ID Theft Protect SMTP تحويل دهد.
ايميل ها لزوماً از طريق يک مسير اختصاصي از طريق سرور ارسال کننده ي SMTP به سرور SMTP دريافت کننده، حرکت نمي کنند بلکه در واقع چندين مسير مختلف براي انجام اين کار وجود دارد. مثالي از اين موضوع زماني رخ مي دهد که سرور SMTP فرستنده نمي تواند به دليل اين که سرور SMTP گيرنده به واسطه ي شلوغي، خارج از سرويس بودن يا يک حمله ي DDoS پاسخ گو نيست، جواب دهد. اين زماني است که سرورهاي بک آپ وارد ميدان مي شوند. سرورهاي بک آپ همچنين هر پيامي را که تاخير دارد در صف قرار مي دهند و سعي مي کنند آن را بعداً تحويل دهند. همه ي ما ايميل هايي را ديده ايم که به ما مي گويند ايميل شما در حال حاضر امکان رسيدن به مقصد را ندارد اما در مدت زماني کوتاه (معمولاً چند روز) مجدداً اين کار انجام خواهد شد.
هر پيام ايميل که دريافت مي شود به شکل Received يا دريافت شده Stamp مي شود. Stamp به ما مي گويد کدام سرور، پيام ايميل را دريافت کرده است، پيام ايميل از کدام سرور ارسال شده و زمان تحويل را نيز مشخص مي کند. با نگاه کردن به هدر يک پيام ايميل ما مي توانيم مسير ايميل را مشاهده کنيم. در اين جا مثالي از هدر يک ايميل را به شما نشان مي دهيم:
Received: from tom.bath.dc.uk ([138.38.32.21] ident=yalr la9a1j69szla2ydr)
By steve.wrath.dc.uk with esmtp (Exim 3.36 #2)id 19OjC3-00064B-00
for example_to@imaps.bath.dc.uk; Sat, 07 Jun 2005 20:17:35+0100
Received: from write.example.com ([205.206.231.26])
by tom.wrath.dc.uk with esmtp id 19OjBy-0001Ib-3V
for example_to@bath.ac.uk; Sat, 07 Jun 2005 20: 17:30 +0100
Recived: from master.example.com (lists.example.com [205.206.231.19])
by write.example.com (Postfix) with QMQP id F11418F2C1; Sat, 7 Jun 2005 12:34:34-0600 (MDT)
در مثالي که در بالا نشان داده شده است، سه Recived:stamp وجود دارد. اگر اين متن را از پائين به بالا بخوانيد، مي توانيد ببينيد چه کسي در ابتدا، بعداً و در آخرين پيام را ارسال کرده است و شما مي توانيد زمان انجام و به پايان رسيدن کار را نيز مشاهده کنيد. اين بدان خاطر است که هر MTA که پيام ايميل را پردازش کرده است يک خط :Recived را به هدر ايميل اضافه کرده. اين خط هاي :Recived اطلاعات لازم براي جايي که پيام از آن آمده و در کجاها توقف کرده (در کدام کامپيوترها) را قبل از رسيدن به مقصد نهايي آن نشان مي دهد.
همان گونه که اين مثال نشان مي دهد، اين خط هاي :Recived آدرس ايميل و آدرس IP فرستنده و گيرنده را فراهم مي آورند. آن ها همچنين تاريخ و زمان هر انتقال را نشان مي دهند.
اين خط ها همچنين نشان مي دهند که آيا آدرس ايميل بخشي از يک ليست ايميل بوده است يا نه. اين اطلاعات است که توسط برنامه نويسان کامپيوتر و همکاران بخش IT در زمان کوشش براي ردگيري و توقف پيام ايميل ارزيابي مي شود.
اين بدان معنا است که وقتي شما نام کاربري و کلمه ي عبورتان را وارد مي کنيد اين ها بين PC کاربر و سرور Webmail ايمن نيستند. سرويس هاي webmail همچنين اغلب اطلاعات شخصي نظير نام و آدرس ايميل و همچنين داده هاي مربوط به سايت وب در حال بازديد را جمع آوري مي کنند.
پيام هايي که با استفاده از STMP فرستاده مي شوند شامل اطلاعات هدر مربوط به PCاي که ايميل از آن ارسال شده و همچنين MTA استفاده شده هستند.
پروتکل POP و IMAP هميشه به ارسال يک نام کاربري و کلمه ي عبور براي login نياز دارند؛ اين اطلاعات رمزگذاري نشده اند بنابراين اطلاعات مربوط به login و اي ميل ها مي توانند توسط يک هکر يا فرد استراق سمع کننده، خوانده شوند. هکر همچنين مي تواند به جريان ايميل از يک pc به يک سرور وب گوش دهد.
اين کار باعث مي شود تا استراق سمع دشوار گردد. در اين روش رمزگذاري، يک نقطه ضعف وجود دارد: هر دو کاربر، به کليد رمز نياز دارند و فرستنده بايد روشي براي به اشتراک گذاشتن کليد پيدا کند. تصور کنيد اگر اين فرد در يک کشور ديگر زندگي کند، چه مي شود؟ تنها در صورتي که شما شخصا کليد را براي گيرنده فراهم کنيد، کليد قابل تشخيص است.
از هر کليد با عنوان private (خصوصي) و public (عمومي) ياد مي شود. private key هميشه محرمانه نگهداري مي شود در حالي که public key بطور آزاد در معرض ديد هر کاربري که يکي کپي از آن بخواهد، قرار مي گيرد. تهديد امنيتي اين است که private key بايد محرمانه نگه داشته شود؛ در غير اين صورت، پيام مي تواند توسط يک فرد استراق سمع کننده، شنود شود. رمزگذاري نامتقارن سطوح متعددي از امنيت را فراهم مي کند؛ تا زماني که شما public key گيرنده را داشته باشيد، مي توانيد يک پيام رمزگذاري شده را به هر کسي ارسال کنيد.
علامت گذاري يک پيام با يک امضاي ديجيتال، ثابت مي کند که شما خودتان هستيد و همچنين به شما مي گويد که آيا پيام در طي فرآيند انتقال تغيير يافته است يا خير. بخش هوشمندانه در اين جا در digest of the message انجام مي گيرد. فرستنده از peivate key براي رمزگذاري digest يک پيام در زماني که پيام ارسال مي شود، استفاده مي کند؛ گيرنده سپس مي تواند پيام را به digest رمزگشايي کند و آن را با digest پيام دريافت شده، مقايسه نمايد.
Digest پيام که در بالا به آن اشاره شد يک فرآيند هوشمندانه و ساده است. پيامي که شما ارسال مي کنيد از طريق يک الگوريتم که کاراکترهاي کوتاه و پشت سرهم؛ مثلا 128 را بيرون مي دهد عبور داده مي شود. اين کاراکترها fingerprint پيام را تشکيل مي دهند بنابراين هر تغييري در پيام، معلوم و کاربر متوجه تغيير fingerprint مي شود. اين کار، يک امضاي ديجيتال و يک امضا با کليد عمومي براي گيرنده فراهم مي کند.
يک مثال عملي از اين موضوع، جايي است که نام مجوز تغيير پيدا کرده باشد. يک چيز ديگر که بايد در صورت متفاوت بودن مجوز به آن فکر کنيد اين است که آيا در چنين حالتي، يک فرستنده به يک سرور ديگر متصل شده است يا نه.
کمپاني هاي صادر کنننده ي مجوز SSL چک هاي مناسب را نيز انجام مي دهند. فرآيند ارزيابي کمپاني دو مرحله دارد. اولين مرحله از جزئيات (DNR) Domain Name Register براي ارزيابي مالکيت يک نام دامنه استفاده مي کند و سپس يک ايميل challenge به administrator ليست شده ي نام دامنه ارسال مي شود. اگر اين challenge، با يک پاسخ موفقيت آميز تطابق پيدا کند، مجوز صادر خواهد شد. مرحله ي نهايي فرآيند به قانوني بودن فعاليت تجاري که SSL را در برابر مثلا رکوردهاي کمپاني هاي انگليسي ارزيابي مي کند، مربوط مي شود. هر دوي اين مراحل در معرض تهديد قرار دارند. ايده ي نهفته در اين جا اين است که وقتي شما به سرور SSL متصل مي شويد مي توانيد داده هاي گنجانده شده ي کمپاني را ارزيابي کنيد. همان گونه که مشاهده مي کنيد اين موضوع "اطمينان" را تائيد نمي کند زيرا کمپاني ها مي توانند هويت يک کمپاني ديگر را (از طريق درز داده ها) به سرقت ببرند و داده هايي که بر روي بانک هاي اطلاعاتي نگهداري مي شوند، مي توانند نادرست و تاريخ گذشته باشند.
همچنين يک مشکل شناخته شده به نام keypress snooping مي توانند امنيت قوي ترين سيستم هاي امنيتي را خراب کند. يک هکر يک keylogger را به منظور capture کردن کلمه ي عبور کاربر نهايي نصب مي کند. از آنجائيکه مهاجم داراي کليد عمومي RSA و دسترسي به سيستم دست کاري شده است، نيازي به تحليل رمزگذاري وجود ندارد، حالا اجازه دهيد در مورد OpenPGP که اگر بطور جهاني مورد استفاده قرار گيرد امنيت ايميل را افزايش مي دهد صحبت کنيم.
اگر شما يک مصرف کننده باشيد از BIS و BES براي فعاليت هاي تجاري استفاده مي کنيد. ايميل ها، صفحات وب و برنامه هاي کاربردي به اين سرويس هاي اينترنتي دسترسي پيدا خواهند کرد. BIS يک سرويس کامل رمزگذاري شده را فراهم مي کند در حالي که BES همين کار را انجام مي دهد اما با استفاده از سياست هاي امنيتي سخت و اکيد (کنترل اسپم، تنظيم حساب ايميل، نصب برنامه هاي کاربردي و غيره).
اگرچه مدل BIS، امکان استراق سمع را در حالي که حامل سيار به اينترنت متصل است، فراهم مي کند.
اين بدان معنا است که BIS از اتصال از يک PC به يک ISP محلي، ايمن تر است. از سوي ديگر BES بر روي شبکه ي خصوصي مي ماند؛ بنابراين کاربران BlackBerry با استفاده از يکي از سه رمزگذاري 3DES، DES يا AES يک لينک ايمن به شبکه ي تجاري برقرار مي کنند. در اوايل سال گذشته RIM، سازنده هاي BlackBerry يک توصيه ي امنيتي جدي براي نرم افزار BES را منتشر کردند.
اين ضعف، هکرها را قادر مي کند کد مشکوک را اجرا و زيرساختار را از طريق PDF distiller به سرقت ببرند. اين يک مثال عالي از سطح تهديد مرتبط با ضميمه هاي ايميل و ساختار ايميل مبتني بر سرور محسوب مي شود.
به اين موضوع فکر کنيد: هزينه ي خوانده شدن يک ايميل توسط کسي که نبايد آن را بخواند چقدر است؟ درواقع، هزينه ي اين موضوع به اندازه اي است که قابل اندازه گيري نيست.
منبع: ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 136.
ايميل مبتني بر وب در مقابل ايميل مبتني بر خدمات گيرنده يا کلاينت دو نوع ايميل وجود دارد. اولين نوع، ايميل مبتني بر وب يا Webmail است که اغلب کاربران آن را به همين نام مي شناسند. اين سرويس از تکنولوژي مبتني بر ابر، براي فراهم نمودن امکان دسترسي کاربران به ايميل بر روي هر PC يا هر وسيله سياري ( از هر جاي دنيا در هر زمان)، استفاده مي نمايد. نمونه اي از يک فراهم کننده ي webmail مي تواند Gmail و Yahoo باشد. مزيت عمده ي webmail اين است که نيازي به پيکره بندي ندارد، گرچه اغلب webmailها تعدادي تنظيمات شخصي سازي را ارائه مي کنند. برخي از webmailها تعدادي تنظيمات شخصي سازي را ارائه مي کنند. برخي از webmailها مي توانند (Secure Socket Layer) SSL و (Transport Layer Security) TLS را نيز ارائه کنند؛ اما همه ي آن ها چنين امکاني را در دسترس کاربر قرار نمي دهند. البته ايميل مبتني بر وب، محدوديت هايي شامل فضاي ذخيره سازي، قابليت ذخيره سازي بر روي وب و محدوديت هاي مربوط به حجم فايل هاي ضميمه را نيز دارند. مزيت قابل فهم اين نوع ايميل، عدم توانايي دانلود پيام هاي ايميل براي کار آف لاين با اين پيام ها است.
نوع ديگر ايميل، ايميل مبتني بر خدمات گيرنده يا client-based email نام دارد. اين، رايج ترين شيوه ي استفاده از ايميل در شرکت هاي تجاري به شمار مي رود. برنامه ي ايميل مبتني بر کلاينت (مثلاً Microsoft Outlook و Mozilla) مثل يک رابط انتقال نامه يا MTA عمل مي کند. مزاياي يک MTA اين است که شما ايميل خود را به شکل محلي دانلود مي کنيد و مي توانيد در حالت آف لاين با آن کار کنيد. فايل ايميل (PST در Outlook) همچنين به کاربر اجازه مي دهد فايل را به شکل محلي ذخيره و از آن نسخه ي پشتيبان تهيه کند.
ارسال و دريافت ايميل
همان گونه که در اين جا مشاهده خواهيد کرد فقط از يک پروتکل استفاده مي شود.
هر چند Webmail از مرورگر (اينترنت اکسپلورر يا Firefox) در کنار يک اتصال اينترنتي براي برقراري ارتباط با يک سرور وب استفاده مي کند. پروتکلي که در اين جا مورد استفاده قرار مي گيرد (Hypertext Transfer Protocol) HTTP است. وقتي يک کاربر يک پيام ايميل را با استفاده از HTTP به سرور وب ارسال مي کند با سرور SMTP ارتباط برقرار مي نمايد. شما در اين جا و برخلاف ايميل مبتني بر وب که فقط به يک پروتکل نياز دارد به وضوح دو پروتکل: HTTP و SMTP را مشاهده مي کنيد.
سرورهاي SMTP به پيام هاي ايميلي که بر روي نام دامنه گيرندگان مثلاً theftprotect.co.uk قرار دارد، متکي هستند. پيکره بندي DNS شامل ليستي از سرورهاي SMTP است که ايميل را از theftprotected.co.uk دريافت مي کند. به عنوان مثال، ID Theft Protect SMTP Server داراي بالاترين ارجحيت در کنار ساير سرورهاي SMTP ليست شده بر روي سرورهاي بک آپ است (درواقع ممکن است دو يا بيش تر از دو سرور وجود داشته باشد اما تعداد معمول 2 سرور است). سرور SMTP بک آپ ايميل ها را درون يک صف قرار مي دهد تا بعداً آن ها را به سرور ID Theft Protect SMTP تحويل دهد.
ايميل ها لزوماً از طريق يک مسير اختصاصي از طريق سرور ارسال کننده ي SMTP به سرور SMTP دريافت کننده، حرکت نمي کنند بلکه در واقع چندين مسير مختلف براي انجام اين کار وجود دارد. مثالي از اين موضوع زماني رخ مي دهد که سرور SMTP فرستنده نمي تواند به دليل اين که سرور SMTP گيرنده به واسطه ي شلوغي، خارج از سرويس بودن يا يک حمله ي DDoS پاسخ گو نيست، جواب دهد. اين زماني است که سرورهاي بک آپ وارد ميدان مي شوند. سرورهاي بک آپ همچنين هر پيامي را که تاخير دارد در صف قرار مي دهند و سعي مي کنند آن را بعداً تحويل دهند. همه ي ما ايميل هايي را ديده ايم که به ما مي گويند ايميل شما در حال حاضر امکان رسيدن به مقصد را ندارد اما در مدت زماني کوتاه (معمولاً چند روز) مجدداً اين کار انجام خواهد شد.
هر پيام ايميل که دريافت مي شود به شکل Received يا دريافت شده Stamp مي شود. Stamp به ما مي گويد کدام سرور، پيام ايميل را دريافت کرده است، پيام ايميل از کدام سرور ارسال شده و زمان تحويل را نيز مشخص مي کند. با نگاه کردن به هدر يک پيام ايميل ما مي توانيم مسير ايميل را مشاهده کنيم. در اين جا مثالي از هدر يک ايميل را به شما نشان مي دهيم:
Received: from tom.bath.dc.uk ([138.38.32.21] ident=yalr la9a1j69szla2ydr)
By steve.wrath.dc.uk with esmtp (Exim 3.36 #2)id 19OjC3-00064B-00
for example_to@imaps.bath.dc.uk; Sat, 07 Jun 2005 20:17:35+0100
Received: from write.example.com ([205.206.231.26])
by tom.wrath.dc.uk with esmtp id 19OjBy-0001Ib-3V
for example_to@bath.ac.uk; Sat, 07 Jun 2005 20: 17:30 +0100
Recived: from master.example.com (lists.example.com [205.206.231.19])
by write.example.com (Postfix) with QMQP id F11418F2C1; Sat, 7 Jun 2005 12:34:34-0600 (MDT)
در مثالي که در بالا نشان داده شده است، سه Recived:stamp وجود دارد. اگر اين متن را از پائين به بالا بخوانيد، مي توانيد ببينيد چه کسي در ابتدا، بعداً و در آخرين پيام را ارسال کرده است و شما مي توانيد زمان انجام و به پايان رسيدن کار را نيز مشاهده کنيد. اين بدان خاطر است که هر MTA که پيام ايميل را پردازش کرده است يک خط :Recived را به هدر ايميل اضافه کرده. اين خط هاي :Recived اطلاعات لازم براي جايي که پيام از آن آمده و در کجاها توقف کرده (در کدام کامپيوترها) را قبل از رسيدن به مقصد نهايي آن نشان مي دهد.
همان گونه که اين مثال نشان مي دهد، اين خط هاي :Recived آدرس ايميل و آدرس IP فرستنده و گيرنده را فراهم مي آورند. آن ها همچنين تاريخ و زمان هر انتقال را نشان مي دهند.
اين خط ها همچنين نشان مي دهند که آيا آدرس ايميل بخشي از يک ليست ايميل بوده است يا نه. اين اطلاعات است که توسط برنامه نويسان کامپيوتر و همکاران بخش IT در زمان کوشش براي ردگيري و توقف پيام ايميل ارزيابي مي شود.
امنيت و حريم خصوصي Webmail
اين بدان معنا است که وقتي شما نام کاربري و کلمه ي عبورتان را وارد مي کنيد اين ها بين PC کاربر و سرور Webmail ايمن نيستند. سرويس هاي webmail همچنين اغلب اطلاعات شخصي نظير نام و آدرس ايميل و همچنين داده هاي مربوط به سايت وب در حال بازديد را جمع آوري مي کنند.
اسکن پيام هاي Webmail و اتصال به تبليغات
امنيت و حريم خصوصي SMTP, POP و IMAP
پيام هايي که با استفاده از STMP فرستاده مي شوند شامل اطلاعات هدر مربوط به PCاي که ايميل از آن ارسال شده و همچنين MTA استفاده شده هستند.
پروتکل POP و IMAP هميشه به ارسال يک نام کاربري و کلمه ي عبور براي login نياز دارند؛ اين اطلاعات رمزگذاري نشده اند بنابراين اطلاعات مربوط به login و اي ميل ها مي توانند توسط يک هکر يا فرد استراق سمع کننده، خوانده شوند. هکر همچنين مي تواند به جريان ايميل از يک pc به يک سرور وب گوش دهد.
رمزگذاري: دو کليد بهتر از يک کليد است
متقارن
اين کار باعث مي شود تا استراق سمع دشوار گردد. در اين روش رمزگذاري، يک نقطه ضعف وجود دارد: هر دو کاربر، به کليد رمز نياز دارند و فرستنده بايد روشي براي به اشتراک گذاشتن کليد پيدا کند. تصور کنيد اگر اين فرد در يک کشور ديگر زندگي کند، چه مي شود؟ تنها در صورتي که شما شخصا کليد را براي گيرنده فراهم کنيد، کليد قابل تشخيص است.
نامتقارن
از هر کليد با عنوان private (خصوصي) و public (عمومي) ياد مي شود. private key هميشه محرمانه نگهداري مي شود در حالي که public key بطور آزاد در معرض ديد هر کاربري که يکي کپي از آن بخواهد، قرار مي گيرد. تهديد امنيتي اين است که private key بايد محرمانه نگه داشته شود؛ در غير اين صورت، پيام مي تواند توسط يک فرد استراق سمع کننده، شنود شود. رمزگذاري نامتقارن سطوح متعددي از امنيت را فراهم مي کند؛ تا زماني که شما public key گيرنده را داشته باشيد، مي توانيد يک پيام رمزگذاري شده را به هر کسي ارسال کنيد.
علامت گذاري يک پيام با يک امضاي ديجيتال، ثابت مي کند که شما خودتان هستيد و همچنين به شما مي گويد که آيا پيام در طي فرآيند انتقال تغيير يافته است يا خير. بخش هوشمندانه در اين جا در digest of the message انجام مي گيرد. فرستنده از peivate key براي رمزگذاري digest يک پيام در زماني که پيام ارسال مي شود، استفاده مي کند؛ گيرنده سپس مي تواند پيام را به digest رمزگشايي کند و آن را با digest پيام دريافت شده، مقايسه نمايد.
Digest پيام که در بالا به آن اشاره شد يک فرآيند هوشمندانه و ساده است. پيامي که شما ارسال مي کنيد از طريق يک الگوريتم که کاراکترهاي کوتاه و پشت سرهم؛ مثلا 128 را بيرون مي دهد عبور داده مي شود. اين کاراکترها fingerprint پيام را تشکيل مي دهند بنابراين هر تغييري در پيام، معلوم و کاربر متوجه تغيير fingerprint مي شود. اين کار، يک امضاي ديجيتال و يک امضا با کليد عمومي براي گيرنده فراهم مي کند.
امنيت TLS/ SSL
يک مثال عملي از اين موضوع، جايي است که نام مجوز تغيير پيدا کرده باشد. يک چيز ديگر که بايد در صورت متفاوت بودن مجوز به آن فکر کنيد اين است که آيا در چنين حالتي، يک فرستنده به يک سرور ديگر متصل شده است يا نه.
کمپاني هاي صادر کنننده ي مجوز SSL چک هاي مناسب را نيز انجام مي دهند. فرآيند ارزيابي کمپاني دو مرحله دارد. اولين مرحله از جزئيات (DNR) Domain Name Register براي ارزيابي مالکيت يک نام دامنه استفاده مي کند و سپس يک ايميل challenge به administrator ليست شده ي نام دامنه ارسال مي شود. اگر اين challenge، با يک پاسخ موفقيت آميز تطابق پيدا کند، مجوز صادر خواهد شد. مرحله ي نهايي فرآيند به قانوني بودن فعاليت تجاري که SSL را در برابر مثلا رکوردهاي کمپاني هاي انگليسي ارزيابي مي کند، مربوط مي شود. هر دوي اين مراحل در معرض تهديد قرار دارند. ايده ي نهفته در اين جا اين است که وقتي شما به سرور SSL متصل مي شويد مي توانيد داده هاي گنجانده شده ي کمپاني را ارزيابي کنيد. همان گونه که مشاهده مي کنيد اين موضوع "اطمينان" را تائيد نمي کند زيرا کمپاني ها مي توانند هويت يک کمپاني ديگر را (از طريق درز داده ها) به سرقت ببرند و داده هايي که بر روي بانک هاي اطلاعاتي نگهداري مي شوند، مي توانند نادرست و تاريخ گذشته باشند.
S/MIME و PGP
همچنين يک مشکل شناخته شده به نام keypress snooping مي توانند امنيت قوي ترين سيستم هاي امنيتي را خراب کند. يک هکر يک keylogger را به منظور capture کردن کلمه ي عبور کاربر نهايي نصب مي کند. از آنجائيکه مهاجم داراي کليد عمومي RSA و دسترسي به سيستم دست کاري شده است، نيازي به تحليل رمزگذاري وجود ندارد، حالا اجازه دهيد در مورد OpenPGP که اگر بطور جهاني مورد استفاده قرار گيرد امنيت ايميل را افزايش مي دهد صحبت کنيم.
OpenPGP
امنيت/بوت ها و اسپم ISP
مهندسي اجتماعي
ايميل سيار، از منظر BlackBerry
اگر شما يک مصرف کننده باشيد از BIS و BES براي فعاليت هاي تجاري استفاده مي کنيد. ايميل ها، صفحات وب و برنامه هاي کاربردي به اين سرويس هاي اينترنتي دسترسي پيدا خواهند کرد. BIS يک سرويس کامل رمزگذاري شده را فراهم مي کند در حالي که BES همين کار را انجام مي دهد اما با استفاده از سياست هاي امنيتي سخت و اکيد (کنترل اسپم، تنظيم حساب ايميل، نصب برنامه هاي کاربردي و غيره).
اگرچه مدل BIS، امکان استراق سمع را در حالي که حامل سيار به اينترنت متصل است، فراهم مي کند.
اين بدان معنا است که BIS از اتصال از يک PC به يک ISP محلي، ايمن تر است. از سوي ديگر BES بر روي شبکه ي خصوصي مي ماند؛ بنابراين کاربران BlackBerry با استفاده از يکي از سه رمزگذاري 3DES، DES يا AES يک لينک ايمن به شبکه ي تجاري برقرار مي کنند. در اوايل سال گذشته RIM، سازنده هاي BlackBerry يک توصيه ي امنيتي جدي براي نرم افزار BES را منتشر کردند.
اين ضعف، هکرها را قادر مي کند کد مشکوک را اجرا و زيرساختار را از طريق PDF distiller به سرقت ببرند. اين يک مثال عالي از سطح تهديد مرتبط با ضميمه هاي ايميل و ساختار ايميل مبتني بر سرور محسوب مي شود.
نتيجه گيري
به اين موضوع فکر کنيد: هزينه ي خوانده شدن يک ايميل توسط کسي که نبايد آن را بخواند چقدر است؟ درواقع، هزينه ي اين موضوع به اندازه اي است که قابل اندازه گيري نيست.
آيا مي دانستيد؟
آيا مي دانستيد؟
آيا مي دانستيد؟
آيا مي دانستيد؟
آيا مي دانستيد؟
منبع: ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 136.
