nx دارای 76 صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است
فایل ورد nx کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه و مراکز دولتی می باشد.
این پروژه توسط مرکز nx2 آماده و تنظیم شده است
توجه : در صورت مشاهده بهم ريختگي احتمالي در متون زير ،دليل ان کپي کردن اين مطالب از داخل فایل ورد مي باشد و در فايل اصلي nx،به هيچ وجه بهم ريختگي وجود ندارد
بخشی از متن nx :
امنیت اطلاعات در شبكه
– سرویس های امنیتی در شبكه 3– دیوار آتش 6
– اصول رمزنگاری 17– رمزگذاری جانشینی و جایگشتی 19– رمزگذاری DES 23– رمزگذاری RSA 30– اصول احراز هویت در شبكه 3
8– امضاهای دیجیتالی 43
1)مقدمه تا یكی دو دهه قبل شبكه های كامپیوتری معمولاً در دو محیط وجود خارجی داشت: • محیطهای نظامی كه طبق آئین نامه های حفاظتی ویژه بصورت فیزیكی حراست می شد و چو.ن سایت های ارتباطی خودشان هم در محیط حفاظت شده نظامی مستقر بود و هیچ ارتباط مستقیم با دنیای خارج نداشتند، لذا دغدغه كمتری برای حفظ اسرار و اطلاعات وجود داشت. (نمونه بارز این شبكه ARPANET در وزارت دفاع آمریكا بود)• محیط های علمی و دانشگاهی كه برای مبادله دستاوردهای تحقیقی و دسترسی به اطلاعات علمی ازشبكه استفاده می كردند و معمولاً بر روی چنین شبكه هایی اطلاعاتی مبادله می شد كه آشكار شدن آن ها لطمه چندانی به كسی وارد نمی كرد.( اداراتی هم كه اطلاعات محرمانه و سری داشتند معمولاً از كامپیوترهای Mainframe استفاده می كردند كه هم مدیریت و حراست ساده تری نیاز دارد و هم كنترل كاربران آن بصورت فیزیكی ساده است)با گسترش روز افزون شبكه های به هم پیوسته و ازدیاد حجم اطلاعات مورد مبادله و متكی شدن قسمت زیادی از امور روزمره به شبكه های كامپیوتری و ایجاد شبكههای جهانی چالش بزرگی برای صاحبان اطلاعات پدید آمده است. امروز سرقت دانشی كه برای آن هزینه و وقت، صرف شده یكی از خطرات بالقوه شبكه های كامپیوتری به شمار می آید.در جهان امروز با محول شدن امور اداری و مالی به شبكه های كامپیوتری زنگ خطر برای تمام مردم به صدا درآمده است و بر خلاف گذشته كه خطراتی نظیر دزدی و راهزنی معمولاً توسط افراد كم سواد و ولگرد متوجه مردم بود امروزه این خطر توسط افرادی تحمیل می شود كه با هوش و باسوادند(حتی با هوش تر از افراد معمولی) و قدرت نفوذ و ضربه به شبكه را دارند. معمولاً هدف افرادی كه به شبكه های كامپیوتری نفوذ یا حمله می كنند یكی از موارد زیر است:• تفریح یا اندازه گیری ضریب توانایی فردی یا كنجكاوی (معمولاً دانشجویان!)• دزدیدن دانشی كه برای تهیه آن بایستی صرف هزینه كرد (راهزنان دانش)• انتقام جویی و ضربه زدن به رقیب
• آزار رسانی و كسب شهرت از طریق مردم آزاری (بیماران روانی)• جاسوسی و كسب اطلاعات از وضعیت نظامی و سیاسی یك كشور یا منطقه• رقابت ناسالم در عرصه تجارت و اقتصاد• جا به جا كردن مستقیم پول و اعتبار از حسابهای بانكی و دزدیدن شماره كارتهای اعتبار• كسب اخبار جهت اعمال خرابكاری و موذیانه (توسط تروریستها)بهر حال امروزه امنیت ملی و اقتدار سیاسی و اقتصادی به طرز پیچیده ای به امنیت اطلاعات گره خورده و نه تنها دولتها بلكه تك تك افراد را تهدید
می كند. برای ختم مقدمه از شما سئوال می كنیم كه چه حالی به شما دست می دهد وقتی متوجه شوید كه شماره حساب بانكی یا كارت اعتباریتان توسط فرد ناشناس فاش شده و انبوهی هزینه روی دست شما گذاشته است؟ پس به ع
نوان یك فرد مطلع از خطراتی كه یك شبكه كامپیوتری را دنبال می كند این فصل را دنبال كنید.
1-1) سرویسهای امنیتی در شبكه هاتهدید های بالقوه برای امنیت شبكه های كامپیوتری بصورت عمده عبارتند از:• فاش شدن غیر مجاز اطلاعات در نتیجه استراق سمع داده ها یا پیامهای در حال مبادله روی شبكه• قطع ارتباط و اختلال در شبكه به واسطه یك اقدام خرابكارانه• تغییر و دستكاری غیر مجاز اطلاعات با یك پیغام ارسال شدهبایستی با مفاهیم اصطلاحات زیر به عنوان سرویسهای امنیتی آشنا باشید:الف) محرمانه ماندن اطلاعات : دلایل متعددی برای یك سازمان یا حتی یك فرد عادی وجود دارد كه بخواهند اطلاعات خود را محرمانه نگه دارد.ب) احراز هویت : بیش از آنكه محتوای یك پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید كه پیام حقیقتاً از كسی كه تصور می كنید رسیده است و كسی قصد فریب و گمراه كردن ( یا آزار) شما را ندارد.
ج) سلامت داده ها : یعنی دست نخوردگی و عدم تغییر پیام و اطمینان از آنكه داده ها با طالاعات مخبر مثل یك ویروس كامپیوتری آلوده نشده اند.د) كنترل دسترسی : یعنی مایلید دسترسی افرادی ا كه مجاز نیستند، كنترل كنیدو قدرت منع افرادی را كه از دیدگاه شما قابل اعتماد به شمار نمی آیند از دسترسی به شبكه داشته باشید.ه) در دسترس بودن : با این تفاضیل، باید تمام امكانات شبكه بدون دردسر و زحمت در اختیار آنهایی كه مجاز به استفاده از شبكه هستند، باشد و در ضمن هیچ كس نتواند در دسترسی به شبكه اختلال ایجاد كند.زمانی كه یكی از سرویسهای امنیتی پنج گانه فوق
نقض شود می گوییم به سیستم حمله شده است.معمولاً یك شبكه كامپیوتری در معرض چهار نوع حمله قرار دارد:• حمله از نوع وقفه : بدین معنا كه حمله كننده باعث شود شبكه مختل شده و مبادله اطلاعات امكان پذیر نباشد.• حمله از نوع استراق سمع : بدین معنا كه حمل• حمله از نوع دستكاری داده ها : یعنی حمله كننده توانسته به نحوی اطلاعاتی را كه روی شبكه مبادله می شود تغییر دهد یعنی داده هایی كه در مقصد دریافت می شود متفاوت با آن چیزی باشد كه از مبدأ آن ارسال شده است.• حمله از نوع افزودن اطلاعات : یعنی حمله كننده اطلاعاتی را كه در حال تبادل روی شبكه است تغییر نمی دهد بلكه اطلاعات دیگری را كه می تواند مخرب یا بنیانگزار حملات بعدی باشد، به اطلاعات اضافه می نماید (مثل ویروس ها) به حمله ای كه هنگام شروع با بروز اختلال در شبكه علنی می شود و در كار ارسال یا دریافت مشكل ایجاد می كند “حمله فعال” می گویند. برعكس حمله ای كه شبكه را با اختلال مواجه نمی كند و ظاهراً مشكلی در كار ارسال و دریافت به وجود نمی آورد “حمله غیر فعال” نامیده می شود و از خطرناكترین انواع حمله ها به شبكه به شمار می رود. در ادامه این فصل دو راه كلی برای حراست و حفظ امنیت اطلاعات در یك شبكه كامپیوتری معرفی می شود:• حراست و حفاظت داده ها و شبكه از طریق نظارت بر اطلاعات و دسترسی ها به كمك سیستم هایی كه “دیوار آتش ” نامیده می شود.• رمز گذاری اطلاعات به گونه ای كه حتی اگر كسی آنها را دریافت كرد نتواند محتوای آن را بفهمد و از آن بهره برداری كند.برای تمایز دو مورد فوق مثال عامیانه زیر بد نیست:چون احتمال سرقت همیشه وجود دارد اولاً شما قفلهای مطمئن و دزدگیر برای منزل خود نصب می كنید و احتمالاً نگهبانی می گمارید تا ورود و خروج افراد را نظارت كند (كاری كه دیوار آتش انجام می دهد) ثانیاً چون باز هم احتمال نفوذ می دهید لوازم قیمتی و وجه نقد را در گوشه ای مخفی می كنید تا حتی در صورت ورود سارق موفق به پیدا كردن و بهره برداری از آن نشود. با تمام این كارها باز هم اطمینان صد در صد وجود ندارد چرا كه هر كاری از یك انسان باهوش بر می آید.
2)دیوار آتشدیوار آتش سیستمی است كه در بین كاربران یك شبكه محلی و شبكه بیرونی (مثلاً اینترنت)قرار می گیرد و ضمن نظارت بر دسترسی ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.مدلی ساده برای یك سیستم دیوار آتش در شكل (1) ارائه شده است. در این ساختار هر سازمان شبكه داخلی خود را با دنیای خارجی قطع كرده و هر نوع ارتباط خارجی از طریق یك دروازه كه در شكل (1) نشان داده شده، انجام شود.
شكل (1) نمودار كلی بكارگیری یك دیوار آتش
قبل از آنكه اجزای یك دیوار آتش را تحلیل كنیم باید عملكرد كلی و مشكلات استفاده از یك دیوار آتش را بررسی كنیم.بسته های IP قبل از مسیریابی روی شبكه اینترنت ابتدا وارد دیوار آتش می شوند و منتظر می مانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته سه حالت ممكن است اتفاق بیفتد:
الف) اجازه عبور بسته صادر شود.(Accept Mode)ب)بسته حذف گردد. (Blocking Mode) بسته حذف شده و پاسخ مناسب به مبداء آن بسته داده شود. (Response Mode)(به غیر از پیغام حذف بسته می توان عملیاتی نظیر اخطار، ردگیری، جلوگیری از ادامه استفاده از شبكه و تو بیخ هم در نظر گرفت)در حقیقت دیوار آتش محلی است برای ایست و بازرسی بسته های اطلاعاتی به گونهای كه بسته ها بر اساس تابعی از قواعد امنیتی و حفاظتی، پردازش ده و برای آنها مجوز عبوز یا یك عدم عبور صادر می شود.اگر P مجموعه ای از بسته های ورودی به سیستم دیوار آتش در نظر گرفته شود و S مجموعه ای متناهی از قواعد امنیتی باشد داریم:X=F(p,s) F تابع عملكرد دیوار آتش و X نتیجه تحلیل بسته (شام
ل سه حالت Accept,Biocking,Response) خواهد بود.همانطوری كه همه جا عملیات ایست وبازرسی وقتگیر واعصاب خردكن است دیوار آتش هم به عنوان یك گلوگاه می تواند منجر به بالا رفتن ترافیك، تاخیر، ازدحام و نهایتاً بن بست در شبكه شود ( بن بست زمانی است كه بسته ها آنقدر در حافظه دیوار آتش معطل می شوند تا طول عمرشان تمام شود و فرستنده اقدام به ارسال مجدد آنها كرده و این كار به طور متناوب تكرار شود) به همین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا از حالت گلوگاهی خارج شود .( تأخیر در دیوار آتش مجموعاً اجتناب ناپذیر است فقط بایستی به گونه ای باشد كه بحران ایجاد نكند.)
3)مبانی طراحی دیوار آتش از آنجایی كه معماری شبكه بصورت لایه به لایه است، در مدل TCP/IP برای انتقال یك واحد اطلاعات از لایه چهارم بر روی شبكه باید تمام لایه ها را بگذراند و هر لایه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اطلاعاتی اضافه كرده و ان را تحویل لایه زیرین می دهد. قسمت اعظم كار یك دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه و سرآیند هر بسته می باشد.در بسته ای كه وارد دیوار آتش می شود به تعداد لایه ها (4 لایه ) سرآیند متفاوت وجود خواهد داشت معمولاً سرآیند لایه اول (لایه فیزیكی یا Network Interface در شبكه اینترنت) اهمیت چندانی ندارد چرا كه محتوای این فیلد ها فقط روی كانال فیزیكی از شبكه محلی معنا دارد و در گذر از هر شبكه یا مسیریاب این فیلدها عوض خواهد شد. بیشترین اهمیت در سرآیندی است كه در لایه های دوم ،سوم و چهارم به یك واحد از اطلاعات اضافه خواهد شد:• در لایه شبكه دیوار آتش فیلدهای بسته IP را پردازش و تحلیل می كند.• در لایه انتقال دیوار آتش فیلدهای بسته های TCP یا UDP را پردازش و تحلیل می كند.• در لایه كاربرد دیوار آتش فیلدهای سرآیند و همچنین محتوای خود داده ها را بررسی می كند.(مثلاً سرآیند و محتوای یك نامه الكترونیكی یا یك صفحه وب می تواند مورد بررسی قرار گیرد.)با توجه به لایه لایه بودن معماری شبكه لاجرم یك دیوار آتش نیز لایه به لایه خواهد بود به شكل (2) دقت كنید:
اگر یك بسته در یكی از لایه های دیواره آتش شرایط عبور را احراز نكند همانا حذف شده و به لایه های بالاتر ارجاع داده نمی شود بلكه این امكان وجود دارد كه آن بسته جهت پیگیری های امنیتی نظیر ثبت عمل و ردگیری به سیستمی جانبی تحویل داده شود.سیاست امنیتی یك شبكه مجموعه ای متناهی از قواعد امنیتی است كه بنا به ماهیتشان در یكی از سه لایه دیوار آتش تعرف می شوند به عنوان مثال :• قواعد تعیین آدرس های ممنوع در اولین لایه از د
TP در لایه دوم• قواعد تحلیل سرآیند متن یك نامه الكترنیكی یا صفحه وب در لایه سوم
شكل (2) لایه بندی ساختار یك دیوار آتش
1-3) لایه اول دیوار آتشلایه اول در دیوار آتش بر اساس تحلیل بسته IPو فیلد های سرآینداین بسته كار می كند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند:• آدرس مبداء : برخی از ماشینهای داخل یا خارج شبكه با آدرس IP خاص “حق ارسال” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شود.• آدرس مقصد: برخی از ماشینهای داخل یا خارج شبكه با آدرس IP خاص “حق دریافت” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شوند.• (آدرسهای IP غیر مجاز توسط مسئول دیوار آتش تعریف می شود).• شماره شناسایی یك دیتاگرام :بسته هایی كه متعلق به یك دیتاگرام خاص هستند حذف شوند.• شماره پروتكل: بسته هایی كه متعلق به پروتكل خاصی در لایه بالاتر هستند می تواند حذف شود. یعنی بررسی این كه بسته متعلق به چه پروتكلی در لایه بالاتر است و آیا برای تحویل به آن پروتكل مجاز است یا نه.• زمان حیات بسته: بسته هایی كه بیش از تعداد مشخصی مسیریاب را طی كرده اند مشكوك هستند و باید حذف شوند.• بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیوار آتش قابل بررسی هستند مهمترین خصوصیت لایه اول از دیوار آتش آن است كه در این لایه بسته ها به طور مجزا و مستقل از هم بررسی می شود و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یك بسته نیست. به همین دلیل ساده ترین و سریعترین تصمیم گیری در این
لایه انجام می شود.امروزه برخی از مسیریاب ها با امكان لایه اول دیوار آتش به بازار عرضه می شوند یعنی به غیر از مسیریابی، وظیفه لایه اول یك دیوار آتش را هم انجام می دهند كه به آنها “مسیریاب های فیلتر كننده بسته” گفته می شود بنابراین مسیریاب قبل از ا
قدام به مسیریابی، بر اساس جدولی بسته های IP را غربال می كند و تنظیم این جدول بر اساس نظر مسئول شبكه و برخی از قواعد امنیتی انجام می گیرد با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در این لایه دقیقتر و سختگیرانه تر باشد حجم پردازش در لایه های بالاتر كمتر و در عین حال احتمال نفوذ پائینتر خواهد بود ولی در مجموع به خاطر تنوع میلیاردی آدرسهای IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امكان پذیر خواهد بود و این ضعف در لایه های بالاتر بایستی جبران شود.
2-3) لایه دوم دیوار آتشدر این لایه از فیلد های سرآیند لایه انتقال برای تحلیل بسته استفاده می شود عمومی ترین فیلدهای بسته های لایه انتقال چهت بازرسی در دیوار آتش، عبارتند از: • شماره پورت پروسه مبداء و شماره پورت پروسه مقصد: با توجه به اینكه پورت های استاندارد شناخته شده هستند ممكن است مسئول یك دیوار آتش بخواهد سرویس ftp (انتقال فایل) فقط در محیط شبكه محلی امكان پذیر باشد و برای تمام ماشینهای خارجی این سرویس وجود نداشته باشد بنابراین دیوار آتش می تواند بسته های TCP با شماره پورت 20 و 21 (مربوط به ftp ) كه قصد ورود یا خروج از شبكه دارند، حدف كند. یكی دیگر از سرویسهای خطرناك كه ممكن است مورد سوء استفاده قرار گیرد Telnet است كه می توان براحتی پورت 23 را مسدود كرد یعنی بسته هایی كه شماره پورت مقصدشان 23 است حذف شوند.• فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد بنابر قواعد تعریف شده توسط مسئول شبكه قابل استفاده هستند. از مهمترین خصوصیات این لایه آن است كه تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط TCP،“دست تكانی سه گانه اش” به اتمام نرسد انتقال داده امكان پذیر نیست لذا قبل از هر گونه مبادله داده دیوار آتش می تواند مانع برقراری هر ارتباط غیر مجاز شود. یعنی دیوار آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نماید و در صورت غیر قابل اعتماد بودن، مانع از برقراری ارتباط شود. دیوار آتش در این لایه نیاز به جدولی از شماره پروت
های غیر مجاز دارد.
3-3) لایه سوم دیوار آتشدر این لایه حفاظت بر اساس نوع سرویس و برنامه كاربردی انجام می شود. یعنی با در نظر گرفتن پروتكی در لایه چهارم به تحلیل داده ها می پردازد. تعداد صرایند ها در این لایه بسته به نوع سرویس بسار متنوع و فراوان است. بنابراین در لایه سومدیوار آتش برای هر سرویس مجاز (مثل سرویس پست الكترونیكی، سرویس ftp، سرویس و
زا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش در لایه سوم زیاد است. توصیه مؤكد آنست كه تمام سرویسهای غیر ضروری و شماره پورتهایی كه مورد استفاده نیستند در لایه دوم مسدود شوند تا در كار درلایه سوم كمتر باشد.به عنوان مثال فرض كنید مؤسسه ای نظامی پست الكترونیكی خود را دائر كرده ولی نگران فاش شدن برخی اطلاعات محرمانه است.در این حالت دیوار آتش در لایه سوم می تواند كمك كند تا برخی آدرسهای پست الكترونیكی مسدود شود. در عین حال می تواند در متون نامه های رمز نشده دنبال برخی از كلمات كلیدی حساس بگردد و متون رمز گذاری شده را در صورتی كه موفق به رمز گشایی آن نشود حذف نماید.بعنوان مثالی دیگر یك مركز فرهنگی علاقمند است قبل از تحویل صفحه وب به یك كاربر، درون آن را از لحاظ وجود برخی از كلمات كلیدی بررسی كند و اگر كلماتی كه با معیارهای فرهنگی مطابقت ندارد درون صفحه یافت شد آن صفحه را حذف نماید.
4) اجزای جانبی یك دیوار آتشدیوار آتش یك سیستم امنیتی است كه از سیستم های مسئول شبكه را پیاده و اعمال می كند. بنابراین دیوار آتش بایستی از طریق یك ورودی سهل و راحت قواعد را از مسئول شبكه دریافت نماید و همواره فعالیتهای موجود روی شبكه را به مسئول شبكه گزارش بدهد. بهمین دلیل معمولاً یك سیستم دیوار آتش دارای اجزای ذیل است:
1-4) واسط محاوره ای و ساده ورودی / خروجیبرای تبادل اطلاعات و سهولت در تنظیم قواعد امنیتی و ارائه گزارش، نیاز به یك واسط كاربر كه ساده و در عین حال كارآمد باشد وجود دارد. معمولاً واسط كاربر مستقل از سیستم دیوار آتش دارای دستگاهی به عنوان صفحه نمایش وب نیست یلكه از طریق وصل یك ابزار جانبی مثل یك ترمینال ساده یا یك كامپیوتر شخصی معمولی فرمان می گیرد یا گزارش می دهد.
2-4) سیستم ثبت برای بالاتر بردن ضریب امنیت و اطمینان در شبكه، دیوار آتش باید بتواند حتی در موقعیكه اجازه خروج یا ورود یك بسته به شبكه صادر می شود اطلاعاتی در مورد آن بسته ذخیره كند تا در صورت هر گونه حمله یا نفوذ بتوان مسئله را پیگیری كرد. در یك دیوار آتش عملی كه ثبت كننده می تواند انجام بدهد آن است كه مبداء و مقصد بسته های خروجی و ورودی، شماره پورتهای مبداء و مقصد، سرایند یا حتی محتوای پیام در لایه كاربرد را (برای تمام مبادلات خارج از شبكه محلی) ذخیره كند و لحظه به لحظه مبادله اطلاعات تمام كاربران و حتی مسئول شبكه را در فایلی درج نماید. این اطلاعات می تواند به عنوان سندی بر علیه فرد خاطی استفاده شود یا به یافتن كسی كه در خارج از شبكه مشغول اخلال گری است كمك نماید.
3-4) سیستم هشدار دهندهدر صورت بروز مشكل یا انتقالی مشكوك، دیوار آتش می تواند مسئول شبكه را مطلع نماید و در صورت لزوم كسب تكلیف كند. اعمال مشكوك در هر سه لایه تعریف می شود: مثل تقاضای ارتباط با آدرسهایIP مشكوك آدرسهای پورت مشكوك، اطلاعات مشكوك در لایه كاربرد (صفحات وب یا نامه های مشكوك).
5)راه حل نهائیبا تمام نظارتی كه بر تردد بسته های اطلاعاتی حین ورود یا خروج از شبكه می شود باز هم می توان زیركانه از مرز دیوار آتش عبور كرد و بهترین حفاظت برای جلوگیری از فاش شدن اطلاعات محرمانه به دنیای خارج، نابود كردن خط ارتباطی شبكه به دنیای خارج است! چرا كه می توان اطلاعات سری را رمز و فشرده كرد و آنرا به عنوان بیت آخر از نقاط تصویر یك گل رز به عنوان كارت پستال تبریك سال نو ارسال نمود. در حقیقت سیستم دیوار آتش فقط یك ابزار محدود كننده است و اطمینان صد در صد ندارد.
6)رمز نگاریزمانیكه ژولیوس سزار پیامهایی را برای فرمانده ارتش خود در جنگ می فرستاد از بیم كشته شدن یا خیانت پیك، در تمام متن نامه خود هر حرف را با حرفی كه سه تا بعد از آن قرار گرفته بود عوض می كرد (مثلاً بجای حرف A حرف D و بجای حرف B حرف E را قرار می داد) تا متن حالت معنی دار خود را از دست بدهد. تنها كسی می توانست از مفهوم متن چیزی بفهمد كه به رمز آن (یعنی Shift by 3) آگاهی داشت.
داده هائی كه براحتی قابل فهم هستند و هیچ نكته ابهام خاصی در درك آنها وجود ندارد، متن ساده یا متن آشكار نامیده می شوند. روشی كه باعث می شود متن ساده حالت قابل درك و فهم خود را از دست بدهده “رمز نگاری” نامیده می شود. معمولاً در دنیای شبكه های كامپیوتری رمز نگاری سلسله ای از عملیات ریاضی است كه مجموعه ای از اطلاعات خالص و قابل فهم را به مجموعه ای از اطلاعات غیر قابل فه
م، بی معنا و بلا استفاده تبدیل می كند. به گونه ای كه فقط گیرنده اصلی آن قادر باشد آن را از حالت رمز خارج و از آن بهره برداری نماید. (یعنی كلید رمز را در اختیار داشته باشد) علم رمز نگاری با اصول ریاضی به رمز درآوردن اطلاعات و خارج كردن آنها از حالت رمز سر و كا دارد. در مقابل علم رمز نگاری، علم تحلیل رمز قرار دارد كه روشهای تجزیه و شكستن رمز اطلاعات ( بدون نیاز به كلید) و كشف كلید رمز را مورد بحث قرار می دهد.الگوریتم یا روشی كه بر اساس آن متن رمز پیدا می شود باید به گونه ای قابل برگشت (وارون پذیر) باشد تا بتوان به متن اصلی دست پیدا كرد.در ادامه چند روش رمز نگاری را معرفی می نمائیم:
1-6)روشهای جانشینی روش جانشینی قدیمی ترین نوع رمز نگاری است كه اولین بار سزاز آن را بكار برده است. در این روش هر حرف از جدول حروف الفبا به حرفی دیگر تبدیل می شود. بعنوان مثال در رمز سزار هر حرف به حرف سوم بعد از خودش تبدیل می شد كه با این روش “حمله” بصورت زیر در می آمد: Attack متن اصلیDwwdfn متن رمز شدهاین روش بعداً بهبود داده شد و بجای آنكه تمام حروف به طور منظم و با قاعده به یكدیگر تبدیل شوند جدول حروف الفبا طبق یك قاعده نامشخص كه “جدول رمز” نامیده می شد به هم تبدیل می شدند. بعنوان مثال اگر نامه یا متن تماماً حروف كوچك در نظر بگیریم جدول رمز می توان بصورت زیر باشد:a b c d e f g h I j k l m n o p q r s t u v w x y z Q W E R T Y U I O P A S D F G H J K L Z X C V B N Mطبق این جدول كه گیرنده پیام بایستی از آن آگاهی داشته باشد كلمه attack به كلمه QZZQEA تبدیل می شود. شاید یك مبتدی احساس كند كه این روش امروزه مفید خواهد بود چرا كه جدول رمز دارای 26! (معادل 1026* 4) حالت متفاوت خواهد بود و امتحان تمام این حالات مختلف برای یافتن جدول رمز كاری بسیار مشكل است، در حالی كه چنین نیست و این نوع رمز نگاری برای متون معمولی در كسری از ثانیه و بدون كلید رمز شكسته خواهد شد! نقطه ضعف این روش در مشخصات آماری هر حرف در یك زبان می باشد. بعنوان مثال در زبان انگلیسی حرف e در متن بیش از همه حروف تكرار می شود.ترتیب فراوانی نسبی برای شش حرف پر تكرار درمتون انگلیسی بصورت زیر است:
اولین اقدام رمز شكنی (رمز شكنی همان رمز گشایی است بدون در اختیار داشتن كلید یا جدول رمز) آنست كه متن رمز شده تحلیل آماری شود و هر كاراكتری كه بیش از همه در آن تكرار شده باشدمعادل e ، حرف پر تكرار بعدی معادل t قرار بگیرد و روند به همین ترتیب ادامه یابد. البته ممكن است برخی از حروف اشتباه سنجیده شوند ولی می تواند در مراحل بعدی اصلاح شود.
دومین نكته آنست كه در زبانی مثل انگلیسی حروف كنار هم وابستگی آماری بهم دارند مثلاً در 9/99 درصد مواقع در سمت راست حرف q حرف u قرار گرفته (qu) یا در كنار حرف t معمولاً (البته با احتمال پایین تر ) h قرار گرفته است. یعنی به محض كشف حرف q رمز u هم كشف می شود و اگر t كشف شد كشف h ساده تر خواهد شد. ترتیب فراوانی نسبی برای پنج “دو ح
” پر تكرار در متون انگلیسی بصورت زیر است:
سومین نكته نیز به سه حرفی ها بر می گردد. مثلاً در زبان انگلیسی سه حرفی های and , the , ing , ion به كرات تكرار می شوند و می توانند با بررسی آماری تمام سه حرفی های یك متن رمز شده، پر تكرار ترین آنها در متن، ملاك رمز شكنی قرار بگیرند. در تمام زبانهای دنیا چنین خصوصیتی را می توان بررسی كرد.چهارمین نكته برای رمز شكنی مراجعه به فرهنگ لغات یك زبان است كه بر اساس پیدا شدن چند حرف از یك كلمه رمز بقیه حروف آن نیز آشكار میشود.به دلائل فوق روش رمز گذاری جانشینی كارآئی مناسبی ندارد و براحتی رمز آن بدست خواهد آمد.
2-6) رمز نگاری جایگشتی در رمز نگاری جانشینی محل قرار گرفتن و ترتیب حروف كلمات در یك متن بهم نمی خورد بلكه طبق یك جدول رمز جایگزین می شد. در روش رمز گذاری جایگشتی آرایش و ترتیب كلمات بهم می خورد.بعنوان یك مثال بسیار ساده فرض كنید تمام حروف یك متن اصلی را سه تا سه تا جدا كرده و طبق قاعده زیر ترتیب آن را بهم بریزیم:كلمه اصلی:the كلمه رمز:eth برای رمز گشایی، گیرنده پیام باید كلید جایگشت را كه در مثال ما (2 و1 و3) است بداند. معمولاً برای راحتی در بخاط رسپردن كلید رمز، یك كلید متنی انتخاب می شود و سپس جایگشت بر اساس ترتیب حروف كلمه رمز انجام می شود. برای وضوح این روش به مثال زیر دقت كنید: please- trasnfer – one- milion- dollors-to-my- swiss-bank-account-six-:متن اصلیtwo- two MEGA BANK: كلمه رمزتمام كلمات متن اصلی بصورت دسته های هشت تائی جدا شده و تماماً زیر هم نوشته می شود:(علامت – را فاصله خالی در نظر بگیرید)K C U B A G E M كلمه رمز6 3 8 2 1 5 4 7 ترتیب حروف كلمه رمزt – e s a e l p 1– r e f s n a r 2l l i m – e n o 3l l O d – n o i 4m – O t – s r a 5– s s i w s – y 6C C a – k n a b 7x i S – t n u O 8– O w t – o w t 9
حال بر اساس ترتیب الفبایی هر حر
ف در كلمه رمز، ستونها بصورت پشت سر هم نوشته می شوند. یعنی ابتدا ستون مربوط به حرف A ، سپس B، E و ….پس رمز بصورت زیر در می آید:“as—wkt-sfmdti—rll-sciolanor-auwenenssnnot-llm-cx-proiayboteeioosasw”بنابراین برای بازیابی اصل پیام در مقصد، گیرنده باید كلید رمز (یا حداقل ترتیب جایگشت) را بداند.این روش رمز هم قابل شكستن است چرا كه اگر چه ترتیب حروف بهم ریخته است ولی در متن رمز شده تمام حروف هر یك از كلمات وجود دارند. بعنوان مثال تك تك حروف dollars یا swiss bank را می توان در متن رمز شده پیدا كرد لذا با بررسی تمام حالات ممكن كه كلمه dollars زا به صورت پراكنده در متن در می آورد می توان رمز را بدست آورد. البته حجم پردازش مورد نیاز بیشتر خواهد بود ولی بهر حال این نوع رمز گذاری براحتی قابل شكستن می باشد و در دنیای امروز چندان قابل اعتماد نیست.
7)استانداردهای نوین رمز گذاریدر اوائل دهه هفتاد دولت فدرال آمریكا و شركت آی. بی. ام (IBM) مشتركاً روشی را برای رمز نگاری داده ها ایجاد كردند كه بعنوان استانداردی برای نگهداری اسناد محرمانه دولتی مورد استفاده قرار گرفت. این استاندارد كه DES نام گرفت امروزه محبوبیت خود را از دست داده است.الگوریتم روش رمز نگاری DES در شكل (3) نشان داده شده است كه در ادامه كلیت آنرا توضیح می دهیم:ورودی رمز نگار یك رشته 64 بیتی است، بنابراین متنی كه باید رمز شود بایستی در گروههای هشت كاراكتری دسته بندی شوند. اولین عملی كه بر روی رشته ورودی 64 بیتی انجام می شود جابه جا كردن محل بیتهای 64 بیتی طبق جدول صفحه بعد است. به این عمل جایگشت مقدماتی گفته می شود:
جدول جایگشت مقدماتی2 10 18 26 34 42 50 584 12 20 28 36 44 52 606 14 22 30 38 46 54 628 16 24 32 40 48 56 641 9 17 25 33 41 49 573 11 19 27 35 43 51 595 13 21 29 37 45 53 617 15 23 31 39 47 55 63در جدول بالا پس از عمل جایگشت، بیت اول به موقعیت بیت پنجاه و هشتم و بیت دوم به بیت پنجاهم از رشته جدید منتقل شده و بهمین ترتیب ادامه می یابد تا رشته 64 بیتی جدید بدست آید.
شكل (3) الگوریتم روش رمزنگاری DES
در مرحله بعدی رشته بیتی جدید از وسط به دو قسمت 32 بیتی چپ و راست تقسیم می شود.32 بیت سمت چپ را Lo و 32 بیت سمت راست را Ro می نامیم. (به شكل (3) نگاه كنید)سپس در 16 مرحله پیاپی اعمال زیر انجام می شود:در هر مرحله 32 بیت سمت راست مستقیماً به سمت چپ منتقل شده و 32 بیت سمت چپ طبق رابطه زیر به یك رشته بیت جدید تبدیل و به سمت راست منتقل خواهد شد.Li-1 f (R i-1,Ki)
Li-1 رشته سی و دو بیتی سمت چپ از مرحله قبل می باشد، علامت بمعنای XOR و f تابع خاصی است كه آنرا به صورت مجزا توضیح خواهیم داد R i-1 رشته سی و دو بیتی سمت راست از مرحله قبل و ki كلید رمز در هر مرحله است. (پس مجموعاً 16 كلید مختلف وجود دارد.)نمودار زیر یك مرحله از 16 مرحله عملیات را نشان می دهد:
این عملیات 16 مرحله اجرا می شود و پس ازمرحله آخر جای Li و Ri عوض خواهد شد. حال عكس عمل جایگشتی كه در ابتدا انجام شدهبود صورت می گیرد تا بیتها سرجایشان برگردند این كار طبق جدول زیر انجام می شود:
جدول جایگشت معكوس32 64 24 56 16 48 8 4031 63 23 55 15 47 7 39
30 62 22 54 14 46 6 3829 61 21 53 13 45 5 3728 60 20 52 12 44 4 36
27 59 19 51 11 43 3 3526 58 18 50 10 42 2 3425 57 17 49 9 41 1 33پس از این عمل، 64 بیت جدید معادل هشت كاراكتر رمز شده خواهد بود كه می توان آنها را به جای متن اصلی ارسال كرد .حال بایستی جزئیات تابع f را كه اصل عمل رمز نگاری است تعیین كنیم: در تابع f كه بصورت یك بلوك پیاده سازی می شود ابتدا رشته 32 بیتی Ri كه از مرحله قبل به دست آمده بر طبق جدول زیر به یك رشته 48 بیتی تبدیل می شود. بنابراین بعضی از بیتها در رشته جدید تكراری هستند.
جدول بسط 32 به 485 4 3 2 1 329 8 7 6 5 413 12 11 10 9 817 16 15 14 13 1221 20 19 18 17 1625 24 23 22 21 2029 28 27 26 25 241 32 31 30 29 28 پس از تبدیل RI به رشته 48بیتی عمل XOR روی آن با كلید 48 بیتی KI انجام می شود. نتیجه عمل یك رشته 48 بیتی است و بایستی به 32 بیتی تبدیل شود. برای این كار 48 بیت به 8 مجموعه 6 بیتی تبدیل شده و هر كدام از 6 بیتی ها طبق جداولی به یك چهار بیتی جدید نگاشته می شود( در مجموع 8 جدول) .برای كامل شدن عمل تابع f رشته 32 بیتی جدید طبق جدول زیر جایگشت مجددی خواهد داشت.
جایگشت 32 بیتی در تابع f21 20 7 1617 28 12 2926 23 15 110 31 18 514 24 8 29 3 27 326 30 13 19
25 4 11 22
در سیستم DES فقط یك كلید 56 بیتی وجود دارد كه تمام 16 كلید مورد نیاز در هر مرحله یا جایگشت متفاوت از همان كلید 56 بیتی استخراج خواهد شد. بنابراین كاربر برای رمز گشایی فقط باید یك كلید در اختیار داشته باشد و آنهم همان كلیدی است كه برای رمزنگاری به كار رفته است.برای رمز گشایی از سیستم DES دقیقاً مراحل قبلی تكرار می شود با این تفاوت كه كلید KI برای رمز گشایی، كلید K16 در مرحله رمز نگاری خواهد بود، كلید K2 همان K15 است و به همین ترتیب .در حقیقت برای رمزگشایی كافی است 16 كلید بصورت معكوس به سیستم اعمال شوند.نكته دیگر كه در مورد سیستم DES قابل توجه است آن است كه چون رشته رمز شده بصورت هشت كاراكتری رمز می شود، تكرار بلوك های رمز می تواند به رمز شكنها برای حمله به سیستم DES كمك نماید. به همین دلیل در سیستم DES قبل از آن كه یك بلوك رمز شود ابتدا با بلوك رمز شده قبلی خود XOR می شود و سپس این 8 كاراكتر مجدداً رمز خواهد شد. به شكل (4) دقت كنید:
شكل(4) عملیات بین بلوكهای داده در سیستم رمزنگاری DES
بلوك اول با یك رشته 64 بیتی اولیه به نام IV (بردار اولیه) XOR می شود. نتیجه این بلوك كد رمز 64 بیتی است. همین كد رمز برای رمز كردن بلوك بعدی به كار می آید بدین صورت كه بلوك رمز نشده Pi با بلوك رمز شده قبلی Ci-1ابتدا XOR شده و متن جدید مجدداً رمز خواهد شد. این الگویی رمز نگاری به عنوان استانداردی برای اسناد حساس فدرال آمریكا پذیرفته شد تا آنكه در سال 1977 یكی از محققین دانشگاه استانفورد با هزینه ای به معادل 20 میلیون دلار ماشینی
طراحی كرد كه در عرض 24 ساعت می توانست رمز DES را بشكند. بعد از آن ایده های جدیدی برای رمز نگاری مطرح شد كه DES را در سیستم های عملی كنار زد.نكته دیگر آن است كه چون كلیدی رمز نگاری و رمز گشایی هر دو یكی است لذا باید از كلید شدیداً حفاظت شود. شاید صلاح نباشد كسی كه عمل رمز نگاری را انجام می دهد، كلید رمز گشایی را بداند ! در مدلهای جدی كلید رمز نگاری را همه می دانند ولی كلید رمز گشایی سری است.
ادامه خواندن مقاله در مورد امنيت اطلاعات در شبكه
نوشته مقاله در مورد امنيت اطلاعات در شبكه اولین بار در دانلود رایگان پدیدار شد.