احراز هویت (Authentication)
همان طور که از نامش پیدا است، کار Authentication نشان دادن و ثابت کردن هویت واقعی شما است. همان طور که هر کالا، باید گواهی یا سند رسمی هویت یا محتوا داشته باشد، شما نیز برای تامین امنیت خود، باید ثابت کنید همان کسی هستید که ادعا میکنید! احراز هویت هم خالی از مشکل نیست، به ویژه زمانی که دو طرف در بیاعتمادی متقابل به سر میبرند. ما به طور معمول به وسیله یک رمزعبور در کنار یک نام کاربری -که معمولا ایمیل است- هویت خود را تأیید میکنیم. در اصل، رمز عبور، همان چیزی است که اصالت شما را ثابت میکند. اما مشکل اینجا است که پسوردها را میتوان حدس زده یا هک کرد و به همین دلیل هم هست که وب سایتهای مختلف تاکید زیادی روی داشتن کلمات عبور قوی یا تعیین هویت چند مرحلهای دارند (تعیین هویت چند مرحلهای، سادهتر از چیزی است که به نظر میرسد. با استفاده از این روش، به جای داشتن یک پسورد، از مراحل متعددی مانند ایمیل -مخصوصا برای ریست کردن پسورد- و ارسال کدهای عددی به موبایل استفاده میشود که در واقع با توجه به پروتکلهای آسیب پذیر SMS، آنقدرها هم امن نیست!)
صحت اطلاعات (Integrity)
بخش بزرگی از داشتن ارتباطات ایمن، اطلاع داشتن از این است که دادههای ارسالی شما، پیش از رسیدن به مقصد، دستکاری نشده باشند؛ به عبارت دیگر، صحت اطلاعات شما باید حفظ شود. در فضای سایبری یک چیز را همواره میبایست به خاطر داشته باشیم و آن هم این که شما همیشه باید فرض این را داشته باشید که یک کانال ارتباطی تا زمانی که امنیت آن به شما ثابت نشده است، ناامن است، چرا که تشخیص این که یک مهاجم چه مقدار دسترسی به یک کانال را به دست آورده، کاری بس دشوار میباشد.
در حالی که ممکن است یک مهاجم قادر به دیدن تمام ارتباطات عبور داده شده از یک کانال نباشد، باز هم میتواند تغییراتی در دادهها -قبل از آن که به دست شما برسند- اعمال کند. این نوع جرایم سایبری به عنوان اصطلاحا «Man in The Middle» شناخته می شود. با اجرای یک روش به منظور بررسی صحت دادهها، شما میتوانید از هر گونه اطلاعات تغییر یافته اطمینان حاصل کنید و روی آنها خیلی حساب باز نکنید. کنترل صحت دادهها معمولا با استفاده از چیزی تحت عنوان Hash صورت میگیرد. به عنوان مثال، دادههای ارسال شده ابتدا هش شده، سپس دادههای هش شده با استفاده از یک کلید غیر قابل رویت توسط سایرین، رمزگذاری میشوند. به این طریق، اگر یک مهاجم قصد مداخله در دادههای ارسالی ما را داشته باشد و حتی اگر کلید آن را در اختیار داشته باشد، باز هم نخواهد توانست از دادههای هش شده سر در بیاورد. این یک راه بسیار موثر برای اطمینان حاصل کردن از صحت دادهها است، حتی زمانی که از الگوریتمهای ضعیفی مانند Sha1 استفاده شده باشد.
حریم خصوصی (Privacy)
همه ما مفهوم حریم خصوصی را درک میکنیم ولی حفاظت از اطلاعات شخصی تنها بخشی از تعریف آن در دنیای دیجیتال است. برآورده کردن نعمت ناشناس بودن در دنیایی که همه در تلاش به منظور کنترل کارهایتان هستند نیز بخشی از تعریف این حریم است. با این که هر برنامه و اپلیکیشن دارای نیازهای متفاوتی از حریم خصوصی است، اما این در حالی است که رمزگذاری پایهٔ تمامی آنها مشترک میباشد. انسانها چندین هزار سال است که از رمزگذاری استفاده میکنند. در جنگهای قرون اخیر هم از آن بهرههای زیادی برده شده است؛ پس با اطمینان میتوان گفت که یکی از جنبههای مهم امنیت به حساب میآید. اما در یک مجموعه رمزگذاری باید دنبال چه چیزهایی باشیم؟
۱- الگوریتمهای رمزنگاری
۲- نرم افزارهای اپن سورس
۳- پروتوکلهای استاندارد یا اپن سورس
الگوریتمهای رمزنگاری توسط تحلیلگران رمز، جهت یافتن نقاط ضعف، مورد بررسی قرار گرفته تا احتمال هر گونه حملهیی را به حد اقل برسانند. در واقع بررسی الگوریتمهای مرزنگاری یک «باید» است چرا که این احتمال وجود دارد در زمان طراحی الگوریتم، یک Back Door (یا راههای نفوذ) توسط توسعه دهنده ایجاد شده که خود ایشان از آن بیخبر است! اپن سورس بودن نرم افزار هم اهمیت زیادی جهت بررسی و به روز رسانی و از بین بردن باگها دارد. نیاز به پروتوکلهای استاندارد یا اپن سورس هم به دلایل مشابه قابل درک است.
به طور کلی، یکی از نقاط منفی رمزگذاری این است که هرچه قویتر باشد، سرعت محاسبه و پردازش آن توسط سیستم کاهش مییابد، پس تاخیر قابل توجهی در خواندن و فرستادن دادهها مشاهده میشود.
انکارناپذیری هویت (Nonrepudiation)
در یک محیط امن، هر کاربری که هویتاش احراز شده باشد قابل شناسایی است ولی باید توجه داشته باشیم که همیشه نمیتوانیم به اطرافیان خود اعتماد داشته باشیم. در نتیجه، احتمال وجود یک مهاجم، حتی در محیطی با امنیت بالا دور از ذهن نیست! برای جلوگیری از حملات افراد مخرب که از قبل هویت خود را ثابت کردهاند، میبایست از پروسهٔ Nonrepudiation یا انکارناپذیری هویت استفاده کنیم. پروسهٔ انکارناپذیری هویت، برخلاف احراز هویت بوده و در واقع توانایی تشخیص و شناسایی کارهای مخرب انجام شده توسط یک کاربر است، حتی اگر فرد مورد نظر چنین ادعایی را رد کند!
به طور کلی بایستی توجه داشت که فضای سایبری روز به روز با زندگی تک تک آدمها بیشتر عجین میشود و این تعامل بیش از پیش ما با دنیای دیجیتال بدان معنا است که اطلاعات بیشتر و بیشتری از ما در فضای مجازی منتشر میشود و بالتبع نیاز داریم تا به نوعی از حضور ایمن خود در فضای مجازی اطمینال حاصل کنیم. این اطمینان حاصل کردن از یک سو میبایست توسط وب مسترها تامین شود و از سوی دیگر، با رعایت یکسری نکات ایمنی توسط کاربران ایجاد خواهد شد.