متخصصان رمزنگاری درباره امنیت اندروید هشدار دادند!

منتشرشده در مقالات هک و امنیت
دوشنبه, 15 آذر 1395 ساعت 20:30

طبق گفته ماتیو گرین، دستگاه های تحت نسخه نوقا اندروید در حالی در اسل گذشته سیستم کدگذاری فول-دیسک (full-disk encryption) یا همان FDE کنار گذاشتند و به جای آن از روش محافظت سطح فایل استفاده می کنند. گفته می شود حتی اگر برای گوشی اندروید خود رمز عبور گذاشته باشید، ممکن است بدون نیاز به وارد کردن رمز عبور، کاربر بتواند به بعضی از فایل ها دسترسی پیدا کند! چراکه کلیدهای رمزگذاری شده در داخل حافظه ذخیره شده اند.

به وضوح که در حالی که اپل هرگز کمتر از چهار سطح محافظت را برای دستگاه های خود به کار نبرده است، اندروید فقط از دو سطح محافظت استفاده می کند! و اگر همین روش قرار باشد در اندروید باقی بماند، همچنان باید میلیون ها اپلیکیشن برای محافظت از این دستگاه ها در اختیار باشند. به طور خلاصه، تمام چیزی که این استاد دانشگاه رشته رمزگذاری میخواهد بگوید این است که رمزگذاری های اندروید فقط در حدی هستند که بتوانند دست FBI را از سرک کشیدن در اطلاعات شخصی کاربران کوتاه کنند.

اگر جزو افراد خوشبین هستید، به احتمال زیاد فکر می کنید که اندروید در راه درستی قرار داشته و نیازی به محافظت بیش از حد نیست! و در حالی که کارهای زیادی هستند که باید بر روی گوشی ها انجام شوند، یک روش محافظت مبتنی بر فایل چندان هم چیز بدی نیست.

اما از طرف دیگر، ممکن است متوجه شده باشید که این سطح پایین از استاندارد امنیتی، وحشتناک است. به عبارت دیگر، در سال ۲۰۱۶ اندروید هنوز دارد با همان استانداردهای رمزگذاری سروکله می زند که iOS درسال ۲۰۱۰ با آن ها کار می کرد! حتی اندروید همین رمزگذاری را هم به طور کامل اجرا نمی کند! که دلیل مشکلات بسیار زیاد امنیتی برای کاربران اندروید است.

یک استاد دانشگاه متخصص رمزنگاری درباره مشکلات امنیتی اندورید هشدار داده و گفته است که امنیت اندروید در مورد بعضی از مسایل، شش سال عقب تر از iOS آیفون است!

ما به طور مستمر توسط هشدارهای مسلسلی متخصصان درباره مورد تهدید قرار گرفتن گوشی های آیفون می شنویم؛ پیغام هایی مثل "میلیون ها گوشی تحت اندروید در خطر حمله سایبری قرار دارند" که درباره مشکلات امنیتی اندروید هشدار داد و اطلاع رسانی می کنند. همین مساله باعث می شود که تعداد زیادی از اپلیکیشن های مربوطه را برای جلوگیری از حمله بدافزار یا دسترسی های امنیتی از منابع غیر رسمی دانلود کنید.

دلیل اصلی بسیاری از این مشکلات امنیتی در دنیای اندروید، به خاطر این است که اندروید هنوز کدگذاری های خود را به آخرین روش های دنیا، به روز رسانی نکرده است. به گفته یکی از استادان دانشگاه جان هاپکینز، حتی در نسخه نوقا ۷٫۰ اندروید هم این به روز رسانی ها صورت نگرفته است! در واقع اندروید امروز از همان سیستم کدگذاری استفاده می کند که اپل در سال ۲۰۱۰ از آن استفاده می کرد!

Encryption به روش Asymmetric

منتشرشده در مقالات هک و امنیت
جمعه, 21 آبان 1395 ساعت 20:30

براي رمزگذاري و رمز گشايي ديتا استفاده مي Public & Private در اين متد از هر دو كليد
گردد، در اين روش از يك كليد براي رمزگذاري و از يك ديگر براي رمزگشايي استفاده مي
شود، در واقع در اين روش از كليد هايي استفاده مي نماييد كه نامتقارن مي باشند، براي درك
بهتر از عملكرد اين متد به مثالي در همين رابطه توجه نماييد.
فرض نماييد دو كامپيوتر تحت عنوان فرستنده و گيرنده وجود دارند، در اين حالت كامپيوتر
كامپيوتر گيرنده اقدام به رمزگذاري ديتا مي نماييد، سپس Public Key فرستنده با استفاده از
ديتا را براي كامپيوتر گيرنده ارسال مي نماييد، در ادامه كامپيوتر گيرنده با استفاده از
كه مختص به خودش است اقدام به رمزگشايي ديتا مي نماييد. Private Key
كامپيوتر گيرنده مي باشد. Public Key بنابراين كامپيوتر فرستنده فقط داراي
نكته جالب توجه در مثال اين مي باشد،
كامپيوتر گيرنده، فقط همين Public Key شدن ديتا با استفاده از Encrypt كه با توجه به
نماييد، چرا كه كليد مختص به Decrypt كامپيوتر (يعني كامپيوتر گيرنده) مي تواند ديتا را
را فقط خودش دارا مي باشد. Private Key
كرده است هم نمي Encrypt پس مي توان گفت حتي كامپيوتر فرستنده كه خودش ديتا را
كردن ديتا نماييد!!! Decrypt تواند اقدام به

Encryption به روش Symmetric

منتشرشده در مقالات هک و امنیت
جمعه, 21 آبان 1395 ساعت 20:30


زماني كه ديتا و اطلاعات رمز مي شود:
شدن بي معني و Decrypt مي گردد به صورتي در خواهد آمد كه تا زمان Encrypt يعني
بر مبناي دو متد و روش مي تواند Encryption غير قابل استفاده مي باشند، به طور مشخص
صورت گيرد.
دو متد مورد نظر عبارتند از:
Symmetric
Asymmetric
بنام كد گذاري با كليد هاي متقارن شناخته مي شود. (Symmetric) روش نخست
بنام كد گذاري با كليد هاي نامتقارن شناخته مي شود. (Asymmetric) روش دوم
در رمزگذاري اطلاعات از كليد هايي استفاده مي شود كه با استفاده از آنان و بر اساس يكسري
الگوريتم هاي رياضي بتوان اقدام به رمزگذاري و رمز گشايي ديتا و اطلاعات نمود.
اين كليد ها دو دسته مي باشند كه شامل:
Public Key
Private Key
كليد هاي عمومي و كليد خصوصي ناميده مي شوند.
و به صورت رمزگشايي (Encrypt) با استفاده از اين كليد ها ديتا به صورت كد گذاري شده
در مي آيد، در متدها و روش هاي مختص به متقارن و نامتقارن از كليد هاي Decrypt شده
استفاده مي گردد. (Public or Private) فوق
در تعريف كليد ها مي توان گفت:
و Cipher text را به Plain text به اطلاعات و الگوريتم هايي كه با استفاده از آنان بتوان
بلعكس تبديل كرد كليد گفته مي شود.
نمودن ديتا Encrypt & Decrypt و يا متقارن از يك كليد براي Symmetric در روش
استفاده مي گردد.
بعنوان مثال،
در اين روش براي باز و بسته كردن يك در از يك كليد استفاده مي گردد.
مي باشد، در واقع كليد ها Public Key كليد مورد استفاده در اين متد
با هم متقارن مي باشند و از همان كليدي كه براي رمزگذاري ديتا
استفاده مي شود از همان كليد براي رمزگشايي نيز استفاده مي گردد.
مي باشد كه با استفاده از Plain Text در شكل مشاهده مي نماييد كه ديتا اوليه به صورت
مي گردد و كامپيوتر اول همان (Cipher Text) رمزگذاري شده Symmetric Key يك
كليد را كه استفاده كرده براي كامپيوتر دوم مي فرستد.
Plain Text كامپيوتر مقصد نيز با استفاده از همان كليد مجدداً اقدام به رمز گشايي به فرمت
مي نماييد.
خيلي نمي توانند بالا باشند ولي داراي سرعت Symmetric امنيت الگوريتم هاي مبتني بر
نمودن اطلاعات مي باشند، در بيشتر مواقع از اين متد در Encrypt مناسبي در انجام اعمال
نقل و انتقال اطلاعات استفاده مي گردد، يكسري از الگوريتم هاي امنيتي زير با متد كليد هاي
متقارن كار مي نمايند، از قبيل:
 DES, 3DES, AES,…

(Cryptography) آشنايي با رمزنگاري

منتشرشده در مقالات هک و امنیت
جمعه, 21 آبان 1395 ساعت 20:30


يكي از مفاهيمي كه امروزه بسيار مورد توجه قرار گرفته است و لزوم استفاده از آن براي تمامي
كاربران و متخصصان ضروري شده است، بحث مختص به مديريت دسترسي افراد به ديتا
مي باشد كه با استفاده از مكانيسم هاي متعددي قابل پياده سازي مي باشد، اعمال مواردي
كاربران به سيستم، مديريت دسترسي كاربران به منابع كامپيوتر و ... login همچون مديريت
نمونه هايي از اين موارد هستند.
در درس هاي قبل آموزشي صورت فيزيكي مورد سرقت و دسترسي قرار گيرند، در اين حالت روش هايي كه در شبكه مورد پياده سازي قرار مي گيرد نمي تواند جلوي دسترسي غير مجاز به اطلاعات را بگيرد.
چرا كه با استفاده از اجازه هاي دسترسي مي توانيد مديريت دسترسي كاربران را به منابع
بر روي كامپيوتر قرار دارند مديريت نماييد، Local شده و يا منابعي كه به صورت Share
مثلاً اجازه دهيدكه يكسري از كاربران به بعضي از فايل ها دسترسي داشته باشند و يكسري از
اعمال را بر روي آنان انجام دهند.
بنابراين مي بايست از متد و روشي استفاده گردد كه يك لايه امنيتي بر روي خود ديتا ايجاد
گردد كه در واقع ديتا را به تنهايي و در همه حال امن و غير قابل دسترس نماييد، فرض نماييد
بر روي آن (Confidentiality) كه يك ديتا به سرقت رفته و در صورتي كه اصول محرمانگي
فايل اعمال نشده باشد در اين حالت ممكن است به راحتي در دسترس افراد غير مجاز قرار
گيرد، منظور از اين محرمانگي به عدم امكان دسترسي به محتواي ديتا بر مي گردد.
ولي مي توان ديتا و به طور كلي اطلاعات را با استفاده از مكانيسم ها و روش هاي مختلف
درآورد. (Confidential) ديگري به صورت محرمانه
در لغت به معناي رمز نگاري مي باشد، علم رمزنگاري در واقع بر همين Cryptography علم
اساس و براي جلوگيري از دسترسي غير مجاز به محتواي ديتا و بر پايه الگوريتم هاي پيچيده
داشته باشيم Cryptography رياضي ابداع شده است، اگر نگاهي گذرا به تاريخچه علم
متوجه مي شويم كه نيازهاي نظامي در ايجاد و پيشرفت اين علم بسيار موثر بوده است.
از يونان مي باشد و به معناي نوشتن به صورت پنهاني مي باشد. Cryptography ريشه لغت
بسيار كاربردي و حائز اهميت مي باشد: Cryptography استفاده از دو مفهوم در علم
Encryption
Decryption
رمزگذاري و رمزگشايي را مي توان دو مفهوم بسيار مهم و كاربردي در مباحث
دانست، هر نوع ديتا و اطلاعاتي در فرمت اوليه و ساده خود در اين علم Cryptography
ناميده مي شود، در واقع ديتا و اطلاعات در شرايط نرمال در حالت واضح، Plain اصطلاحاً
گفته مي شد. Plain Text آشكار، ساده قرار دارند بنابراين به اين فرمت اصطلاحاً
يكي از اصلي ترين رسالت هاي ايجاد علم رمزنگاري ابداع و به كارگيري روش هايي است كه
از اطلاعات را به فرمتي رمز آلود و سري تبديل نمود، Plain Text بر اساس آن بتوان فرمت
ابداع شده است. (كه در لغت به معناي Cipher براي همين اساس مفهوم ديگري تحت لغت
رمز و سري شده نمي باشد)
مي باشد به فرمت Plain Text براساس اين مفهوم مي توان اطلاعات و ديتا را كه به فرمت
تبديل نمود. Cipher
مي توان گفت: Cipher در تعريف
گفته مي شود، cipher به صورتي كه معناي آن پنهان باشد plain text به روشي براي تبديل
به بيان بسيار ساده قرار است اطلاعات از فرمت ساده و روشن كه به صورت نرمال داراي آن
مي باشند به فرمتي رمزي و پيچيده تغيير فرم دهند، به اين ترتيب در هر صورتي كه در
دسترس افراد غير مجاز قرار گيرند خاصيت محرمانگي آنان حفظ مي گردد، حتي اگر اطلاعات
به صورت فيزيكي هم در دسترس قرار گيرند (مثلاً هارد ديسك به سرقت رود)، در اين حالت
باز هم فرد سارق با اطلاعات رمزگذاري شده روبه رو خواهد گشت، و عملاً امكان استفاده از
ديتاي سرقت شده را نخواهد داشت.
در اين متد اطلاعات را كدگذاري كرده تا از دسترسي افراد به آن جلوگيري گردد.

آدرس : تهران ، میدان انقلاب ، کوچه رشتچی ، پلاک ۱۴ (ساختمان ایرانیان) ،طبقه دوم واحد ۸

 

خط ویژه: ۶۶۹۲۸۷۸۷-۰۲۱

تلفن : ۶۶۹۲۸۰۴۰-۰۲۱ | ۶۶۱۲۴۱۴۹-۰۲۱ | تلفن همراه : ۰۹۱۲۳۷۹۰۵۸۸

فکس دیجیتال: ۸۹۸۷۷۳۷۳-۰۲۱

آدرس ایمیل : wnegaran[at]gmail.com 

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت وب نگاران پارسه می باشد


تماس با ما