اطلاعیه

Collapse
No announcement yet.

آیا nist منبع قابل اعتمادی برای استاندارهای امنیت سایبری است؟

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • آیا nist منبع قابل اعتمادی برای استاندارهای امنیت سایبری است؟

    آیا NIST منبع قابل اعتمادی برای استاندارهای امنیت سایبری است؟



    موسسه ملی فناوری و استانداردها مشهور به NIST1 از سال ۱۹۰۱ فعالیت خود را آغاز کرده است و در دنیای امنیت به علت مستنداتی که به صورت دوره ای منتشر می کند و به تشریح استاندارهای امنیتی می پردازد، شهرت دارد.

    به تازگی Nadia Heninger و Alex Halderman در مقاله ای به تشریح غیر قابل اعتماد بودن استانداردهای NIST و رابطه ی آن با NSA پرداخته اند. وضعیت فعالیت های آژانس امنیت ملی آمریکا و جاسوسی های این آژانس بر همگان روشن شده است، اما آیا NSIT که ظاهراً زیر نظر وزارت بازرگانی آمریکاست، با انتشار استاندارهای غلط در سال های اخیر سعی در کمک به NSA برای انجام فعالیت های جاسوسی داشته است؟
    چرا توفان برملا شدن فعالیت های NSA بیش از همه منجر به این شده است محققان نسبت به تمامی استاندارها و اصول امنیتی بی اعتماد شوند؟ این مسأله چند علت دارد:

    اولین علت این است که NSA فعالیت های غیرقابل انکاری برای تضعیف استاندارهای رمزنگاری که بدین منظور تعریف شده بودند که ارتباطات و انتقال داده ها را توسط رایانه امن کنند، داشته است.

    دومین علت این است که NSA از روی عمد بارها در طول سالیان قصد داشته است تا درپشتی هایی را برای سخت افزار ها و نرم افزار های حساس امنیتی قرار دهد.

    اگر این علت ها درست باشند، NSA امنیت سایبری را به بازی گرفته است و مسئول اغلب حملات سایبری و تهدیدات مستر پیش رفته در سال های اخیر بوده است.
    هیچ کس منکر این مسأله نیست که NSA در شکستن کد و رمزنگاری بی نظیر است، قدرت تحلیل رمزنگاری های این آژانس بسیار مشهور است و عموماً رقابت تنگاتنگی در بین طراحان رمز و نوابغ شکستن رمزنگاری ها در جریان است. اما تشویق مردم برای استفاده از رمزنگاری هایی که قبلاً توسط یک موسسه ی دولتی شکسته است، حقه ی بسیار کثیفی است!

    خیانت!

    بسیاری از کاربران اینترنت توجه کمی بر این نکته داشته اند که پی ریزی امنیت اینترنت متکی بر اعتماد است. یکی از اسرار پیچیده ی دنیای رمزنگاری این است که تقریباً هیچ کس قادر نیست اثبات ریاضی این که هسته ی الگوریتم رمزنگاری امن می باشد را ارائه دهد. در عوض ما باور کرده ایم که این الگوریتم های رمزنگاری امنیت را برای ما به ارمغان می آورند چرا که توسط خبره ترین افراد حوزه ی رمزنگاری تدوین شده اند و سایر متخصصان و محققین در شکستن این رمزنگاری شکست خورده اند.
    از سال ۱۹۷۰ موسسه ی NSIT با تنظیم استانداردهای رمزنگاری که مورد استفاده ی دولت ها و صنایع سراسر جهان قرار گرفت، نقش کلیدی در ایجاد این اعتماد در ذهن مردم که چه الگوریتم های رمزنگاری ارزشمند هستند ایفا کرده است.
    NIST فعالیت قابل تحسینی در مورد سازمان دهی تلاش کارشناسان رمزنگاری برای طراحی و ارزیابی رمزنگاری انجام داده است (مانند الگوریتم های بسیار جدیدِ رمزنگاری AES، توابع هش SHA-2 و SHA-3 و مزنگاریِ کلید عمومی مبتنی بر منحنی های بیضوی2) و همچنین قادر به مهار قدرت دولت آمریکا برای قبول این طرح ها در صنایع بوده است.

    با وجود شواهد کافی برای بی طرفیِ NSIT، صنایع آمریکا باور کرده اند که الگوریتم رمزنگاری که به آن ها پیش نهاد شده است از طرف یک سازمان صالح و با هدف امنیت این صنایع طراحی شده است!
    اما هم اکنون شواهد نشان می دهد که NSA با اعمال فشار بر NSIT و در واقع نظارت لحظه به لحظه بر این مؤسسه تمامی این سیاست ها را پایه گذاری کرده است. دست کم در مورد الگوریتم Dual EC DRBG که به همراه یک درپشتی برای NSA طراحی شده بود، شواهد کافی به نظر می رسد.

    بسیاری از شرکت ها از الگوریتم های رمزنگاری در نرم افزارهای خود استفاده کرده اند و این بدین معنی است که NSA به صورت بالقوه به میلیون ها رایانه در سراسر جهان دست رسی دارد.
    بسیاری از نوابغ جامعه رمزنگاری نگران هستند که سایر استاندارهای NSIT نیز به همین میزان دست مایه ی سیاست های جاسوسی NSA باشد.

    پیش رفت عقب گرد

    فراتر از ضعف استاندارهای NSIT، فعالیت های NSA نیز اعتماد متخصصان را برای این که به زودی با تکیه به روش های رمزنگاری نوظهور می توان به امنیت قابل قبولی رسید، از بین برده است. یک مثال بسیار مرتبط استفاده از رمزنگاری مبتنی بر منحنی های بیضوی است که در واقع یک فن آوری نسل بعدی است و به نحوی معرفی شده است که نسبت به آن چیزی که ما تا به امروز از آن استفاده می کرده ایم بی شک برتری ویژه ای دارد.
    در سال های اخیر، NSA و NSIT به صورت بسیار موثری اقدام به تبلیغ الگوریتم رمزنگاری مبتنی بر منحنی های بیضوی داشته اند با شعار بهبود کارایی و افزایش امنیت. آیا هدف اصلی این الگوریتم واقعاً افزایش امنیت است و یا یک راه مخفی برای شکستن آن نیز وجود دارد؟

    و البته دو دلیل اصلی برای نپذیرفتن الگوریتم رمزنگاری مبتنی بر منحنی های بیضوی افشاگری های ادوارد اسنودن و همچنین نصیحت هوشمندانه ی Bruce Schneier، خبره ی رمزنگاری و امنیت، در نپذیرفتن این الگوریتم است.
    باز هم یک بازی تکراری دیگر توسط NSA شکل نگرفته است؟ الگوریتم های جایگزین منحنی های بیضوی، بیش از سه دهه قدمت دارند و حاشیه ی امنیت آن ها به سمت محو شدن می رود و از طرفی الگوریتم رمزنگاری مبتنی بر منحنی های بیضوی هنوز هیچ ضعف عمومی ندارند و همچنین متخصصان کمی خارج از NSA این الگوریتم را درک می کنند و پذیرفتن این الگوریتم و امنیت آن برای عموم نسبتاً قطعی شده است و این یعنی باز هم اعتماد به NSIT!
    اگر هوشمندانه از این الگوریتم استفاده نشود، ۲ دهه تحقیقات و مطالعه بی مصرف می شود، آیا NSA چنین ضرری را می پذیرد؟

    شواهد نشان می دهد که NSA فعالیت هایی هم در سایر بخش های امنیت دارد، یعنی دخالت در تولید اعداد تصادفی توسط سخت افزار خصوصاً در آخرین نسل پردازنده های اینتل. اعداد تصادفی بی شک برای ایجاد کلیدهای رمزنگاری بسیار حیاتی هستند و اگر ضعفی در تولید این اعداد تصادفی کشف شود، الگوریتم رمزنگاری نیز عملاً به سادگی قابل شکستن می شود.

    اگر NSA بتواند یک درپشتی بسیار زیرکانه در این پردازنده ها قرار دهد که فقط خودش از آن مطلع است، یعنی روشی که نحوه ی تولید اعداد تصادفی به ظاهر بدون ایراد باشد اما الگوریتم تولید اعداد تصادفی آن فقط توسط NSA قابل پیش بینی باشد، بدین معنی نیست که الگوریتم های رمزنگاری هر قدر هم مدرن اگر متکی به این اعداد تصادفی باشند، غیر قابل اعتماد هستند؟
    شواهد کافی برای این مسأله هنوز وجود ندارد اما روند افشاگری های اسنودن خصوصاً در مورد اعلام علاقه ی NSA به ایجاد آسیب پذیری های عمدی در سامانه های رمزنگاری تجاری این مسأله را بسیار مشکوک جلوه می دهد.

    امنیت سایبری

    نتیجه ی وحشتناک فعالیت های NSA این است که این فعالیت ها برای همه افراد است و هیچ راهی نیست که فقط افراد «بد» آسیب پذیر باشند، به واسطه ی این فعالیت ها همه در دنیای سایبری آسیب پذیر هستند.
    NSA در واقع روش های بسیار زیادی برای ایجاد درهای پشتی فرا گرفته است. یکی از این روش ها که بسیار ساده و هوشمندانه است، طراحی سامانه ها و الگوریتم های رمزنگاری به نحوی است که برای شسکتن آن ها به تلاش کمی نیاز است، یعنی کاهش آنتروپی ها یا کلید های در دست رس برای یک سامانه ی رمزنگاری و یا اضافه کردن حملات بسیار زیرکانه ی side-channel و همچنین معرفی و اضافه کردن آسیب پذیری های نرم افزاری. حتی با توجه به اسناد موجود در مورد درپشتی الگوریتم رمزنگاری Dual EC DRBG احتمال وجود یک کلید سری نیز بعید نیست، کلید سری برای قابل پیش بینی کردن اعداد تولید شده توسط الگوریتم تولید اعداد تصادفی، روشی که تا هر زمان که این کلید سری فاش نشده است، امن خواهد بود.
    هرچه بیش تر در این گودال افشای اطلاعات پایین برویم، ممکن است به اطلاعات بیش تری پی ببریم، اما آیا می توان استاندارهایی که اینترنت و امنیت سایبری بر مبنای آن ها شکل گرفته اند را با هدف تأمین امنیت سایبری از بین برد؟
    دنیای فراگیر اینترنت، با پرداخت چه بهایی امنیت سایبری را خریده است؟

  • #2
    آقا این اخبار رو منتشر نکنید.
    این موضوع اگه همه گیر بشه و توی همه سایت ها چنین موضوعاتی مطرح بشه . بعید نیست اینترنت چمدانی از فردا ارایه شود و با این اینترنت باید خدا حافظی کرد.
    از ما گفتن بود. دیگه خود دانید.
    My Crime Is My Advisory

    Hacking Is The Best But Security Is The First

    My Crime Is That Of Curiosity

    هميشه راهي براي نفوذ است و هيچ سيستمي به طور مطلق امن نيست. بلكه بايستي آن راه نفوذ را كشف كرد .هنر هك هم در همين نكته متبلور ميشود

    Best Secure Hosting

    قبل پست دادن اینو بخون

    Comment


    • #3
      الگوریتمهای رمزنگاری تا زمانی که مطمئن نشن راهی برای بدبخت کردنش هست ، منتشر نمیشن

      روشهای ترکیبی و گاها کلیدهای رندوم و انواع salt ها و الگوریتنهای ساده که به الگوریتمهای مورد استفاده فعلی اضافه شدن ، میتونه تا حد زیادی این نگرانی را برای روشهای لو رفته و روشهای بروتیفورس و ماشینهای رمزگشائی ، رفع کنه.

      Comment


      • #4
        يك مطلب خوب الان ديدم حيفم اومد نذارم اينجا
        فقط مشكلش اينه كه انگليسي هست

        كجاي جدول هستيد؟
        Security Paranoia Number Name De******ion
        0 Free and easy
        Leaves door to house open. Writes PIN on credit card. Doesn’t believe in having computer passwords. When forced to choose a password, chooses ‘12345′. Double clicks all attachments in email. Clicks on "Hundreds of new Smileys!" ads. Installs Bonsai Buddy.

        1 Trusting
        Locks front door of house. Memorises PIN but keeps original letter in filing cabinet ‘just in case’. Usual password is ‘password’. When IT enforce a more complex. password, writes it on a sticky note and sticks it to monitor. Never changes default password on any device.

        2 Average Joe
        Locks every door of house. Memorises PIN and throws away original letter. Every user account has admin privileges. Uses the same password for every login, for every system. Usual password is dog’s name.

        3 Mildly Suspicious
        Locks windows of house too. Memorises PIN and eats original letter. Only one user on computer has admin privileges. Uses two different passwords; one for safe places and one for everywhere else. Usual password is a dictionary word. Knows that pictures of locks on web sites mean that the site is secure.

        4 Suspicious
        Hasn’t logged in as admin since the initial install. Issues admin commands using sudo or run as. Uses open source software because he understands it has a good security record but still uses proprietary software when needed. Has three different levels of passwords; low, medium and high security. Usual password is a dictionary word with a number. Knows what each web browser’s lock symbols for SSL look like.

        5 Mildly paranoid
        Exclusively uses open source software because it can be verified by the community to not contain backdoor code and security flaws. Encrypts and signs sensitive emails. Won’t submit a password to any web site unless it is using SSL. Uses sudo but it requires a password every time it is used. Usual password is at least 6 random letters and numbers.

        6 Paranoid
        Checks MD5 sums of downloaded software to make sure it hasn’t been tampered with. Only uses two different password security levels but uses a different password for everything in high security level. Requires a password to unlock screen saver. Encrypts and signs all emails. Actually reads SSL certificate information in web browser before accepting certificate. Usual password is at least 8 random letters and numbers.

        7 Quite paranoid
        Compiles own open source software and checks MD5 sums of the downloaded source files. Screen saver activates after 5 minutes of inactivity. Encrypts entire home directory. Has a hardware-based random number generator based on radioactive decay attached to computer. Phones web site owners to verify signature on SSL certificate verbally. Usual password is at least 10 random letters, symbols and numbers.

        8 Extremely Paranoid
        Compiles own open source software but only after doing a complete security audit on every line of code. Invents own encryption algorithm because existing ones aren’t good enough. Uses a different password for every authentication. Screen saver activates after 30 seconds of inactivity. Usual password is at least 30 random letters, symbols and numbers.

        9 I have no name.
        Lives in abandoned security bunker from World War II in remote desert. Must authenticate before using toaster. All passwords require modification from a randomly changing security device that updates every 30 seconds. Every authentication requires three-factor authentication from a dongle plugged into the computer, a password and a biometric scan. Never removes sunglasses or gloves outside bunker to keep biometric information secret. Computer requires re-authentication every 30 seconds, regardless of activity. Encrypts home directory with a one-time pad… that only ever existed inside his brain. Has a self destruct button installed in underground lair.

        Filed under General, Articles 
         

        Comment


        • #5
          دوستان ، کسی میدونه این اینترنت چمدان آخرش به کجا رسید؟ اصلا جایی ارائه میشه یا نه ؟ اگر لینک معتبری دارید ممنون میشم قرار بدین.
          میدونم جاش اینجا نیست ولی چون اشاره ای بهش شد میپرسم


          خوش باشید... ./.

          Comment


          • #6
            صرفا جهت خنده
            دوست دارم NSA رو دیگه!
            اصلا حس می*کنم دوربینه قشنگ روشنه و هست )
            والپیپر شد یادم نره

            Comment

            Working...
            X