ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید


ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید


رمزنگاری مثل هر علم دیگری واژه ها و اصطلاح های تخصصی خود را دارد: هش، کلید، سایفِر و ... که برای کسانی که با آنها آشنایی ندارند گیج کننده می شود. اما متخصصانی هستند که با آگاهی از امور امنیت، بی اطلاعی سایرین را جبران می کنند. یکی از همین متخصصان اخیراً متوجه مسئله ای شده که باعث ایجاد سوالاتی درباره این که چرا سیستم عامل اندروید از سطوح پیش فرض ضعیف رمزگذاری در امن سازی ارتباطات استفاده می کند.

رمزگذاری برای همه امور تحت وب ضروری است؛ از فعالیت های ساده ای مثل استفاده از نام کاربری و رمز عبور گرفته تا کارهای حساسی مانند انتقال پول از طریق اینترنت بانک ها. رمزگذاری، اطلاعات خصوصی ما را محافظت می کند تا دیگران، به خصوص خلافکاران بدان دسترسی نداشته باشند.


استفاده از رمز سابقه بسیار طولانی دارد که همیشه در هر دو جبهه خیر و شر نقش مهمی در پیروزی یا شکست دو طرف بازی کرده؛ چه جنگ هایی که به واسطه ضعف رمزگذاری مورد استفاده، مغلوبه نشده اند.


تفاوت امروز با دیروز در فناوری هایی است که برای این امر استفاده می شوند و بر اساس مدل های ریاضی پیشرفته هستند. با گذشت زمان یک الگو از صلاحیت و البته امنیت خارج می شود چون با پیشرفت دانش ریاضی مدل های قدیمی ساده به نظر می رسند. در سال های اخیر امنیت چندین فناوری رمزگذاری زیر سوال رفته مثل لایه سوکت امن (SSL)، امنیت لایه انتقال نسخه ۱.۰ (TLS v1.0) و RC4 و MD5.


لازم به توضیح است که SSL و TLS روش هایی برای ایجاد ارتباط امن بین یک کلاینت (مثل یک دستگاه اندرویدی) و یک سرور هستند. RC4 و MD5 هم شیوه رمزگذاری و هش کردن ترتیبی توابع اند.


خلاصه ماجرا این است که الانه SSl, TLS v1.0, RC4, MD5 دیگر خوب نیستند. فناوری های جدید جایگزین این سیستم های قدیمی (RC4 در سال ۱۹۸۷ طراحی شده) شده مثلاً TLS v1.1 و TLS v1.2 جای نسخه 1.0 آن را گرفته اند.


اما مشکل اینجا است که بر اساس تحقیقات انجام شده سیستم عامل اندروید قبلاً از نوعی رمزگذاری (RSA/AES256) به طور پیش فرض استفاده می کرد و به ناگاه به فناوری دیگری روی آورد و حدس بزنید کدام؟ بله RC4 و MD5.


اجازه بدهید کمی به مسائل نظری بپردازیم تا موضوع روشن تر شود. در سال ۲۰۱۱ از پژوهش های امنیتی معلوم شد که رمزگذاری هایی مثل AES (همانی که قبل از هجرت به RC4 به طور پیش فرض در اندروید استفاده می شد) ضعفی دارند که تا آن هنگام کسی در عمل مشاهده نکرده بود.


حملات مرتبط با آن ضعف BEAST خوانده می شد و توصیه به همه استفاده کنندگان من جمله گوگل و مایکروسافت و دیگران، رفتن به سمت RC4 بود. پس، از این منظر، سایفرِ پیش فرض اندروید بر اساس توصیه های گفته شده برای مقابله با BEAST درست است.


اما نکته این است که گوگل در سال ۲۰۱۰ به استفاده از RC4 روی آورده یعنی یک سال قبل از معرفی چیزی به نام BEAST. محققان این را نشانه ای آشکار از دخالت های NSA (سازمان امنیت آمریکا) می دانند و اینکه ظاهراً نفوذ به سیستم جدید برای آنها راحت تر بوده.


این محققان راه حل را در بازگشت به سایفرهایی نظیر AES و البته به همراه TLS v1.1 یا TLS v1.2 می دانند تا مشکل آسیب پذیری در برابر BEAST هم مرتفع گردد؛ یا اینکه به طور کل به سافرهای جدید مانند AES-GCM مهاجرت شود. خبر خوب این است که اگر توسعه دهندگان اپلیکیشن ها بخواهند می توانند سافرهای دیگر را جایگزین سایفر موجود اندروید کنند تا امنیت را لااقل در محدوده اپ خود بالا ببرند.


شما چه فکر می کنید؟ این تغییر رویه یک سال قبل از بروز یک مشکل، زیر سر NSA بوده یا کاملاً اتفاقی رخ داده؟
ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید
ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید ابهام در فناوری رمزگذاری به کار گرفته شده برای ارتباطات امن اندروید



ادامه مطلب


Similar Threads: