ما هو التشفير التام بين الطرفين (من طرف إلى طرف) وما أهميته؟

يضمن التشفير من طرف إلى طرف (التام بين الطرفين) (E2EE) أن يتم تشفير بياناتك (المحافظة على سريتها) حتى تصل إلى المستلم.

سواء كنت تتحدث عن الرسائل المشفرة من طرف إلى طرف، أو البريد الإلكتروني، أو تخزين الملفات، أو أي شيء آخر، فإن هذا يضمن عدم تمكن أي شخص من رؤية بياناتك الخاصة.

بعبارة أخرى: إذا كان تطبيق الدردشة يقدم تشفيراً من طرف لطرف على سبيل المثال، فلن يتمكن أحد سواك والشخص الذي تدردش معه من قراءة محتويات رسائلك.

في هذا السيناريو، لا تستطيع حتى الشركة المشغلة لتطبيق الدردشة رؤية ما تقوله.

أساسيات التشفير:

أولاً، لنبدأ بأساسيات التشفير. التشفير هو طريقة لتغيير شكل البيانات بحيث لا يمكن للجميع قراءتها.

يمكن فقط للأشخاص الذين يمكنهم فك رموز (فك تشفير) المعلومات رؤية محتوياتها. إذا لم يكن لدى شخص ما مفتاح فك التشفير، فلن يتمكن من فك رموز البيانات وعرض المعلومات.

(هذه هي الطريقة التي من المفترض أن تعمل بها. بعض أنظمة التشفير بها عيوب أمنية ونقاط ضعف أخرى).

تستخدم أجهزتك أشكالاً مختلفة من التشفير طوال الوقت. على سبيل المثال، عند الوصول إلى موقع الويب الخاص بالخدمات المصرفية عبر الإنترنت، أو أي موقع ويب يستخدم بروتوكول HTTPS الذي تستخدمه معظم مواقع الويب هذه الأيام، يتم تشفير الاتصال بينك وبين موقع الويب هذا بحيث إذا تطفل مشغل الشبكة ومزود خدمة الإنترنت أو أي شخص آخر فلن يتمكن من رؤية كلمة المرور المصرفية والتفاصيل المالية.

يستخدم واي فاي Wi-Fi التشفير أيضاً. لهذا السبب لا يستطيع جيرانك رؤية كل ما تفعله على شبكة واي فاي Wi-Fi، وذلك بافتراض أنك تستخدم معيار أمان واي فاي Wi-Fi حديثاً لم يتم اختراقه.

يستخدم التشفير أيضاً لحماية بياناتك. إن الأجهزة الحديثة مثل أجهزة آيفون iPhone وأندرويد Android وأجهزة آيباد iPads وماك Mac وكروم بوك Chromebooks وأنظمة لينكس Linux (وليس جميع أجهزة الكمبيوتر التي تعمل بنظام ويندوز Windows) تخزن بياناتها على أجهزتك المحلية بشكل مشفر.

يتم فك تشفيرها بعد تسجيل الدخول باستخدام رقم التعريف الشخصي أو كلمة المرور.

التشفير أثناء النقل وأثناء التخزين: من يملك المفاتيح؟

إن التشفير موجود في كل مكان، وهذا شيء رائع. ولكن عندما تتحدث عن التواصل بشكل خاص أو تخزين البيانات بشكل آمن، فإن السؤال هو: من الذي يمتلك المفاتيح؟

على سبيل المثال، لنفكر في حساب جوجل Google. هل بيانات جوجل Google (رسائل البريد الإلكتروني في جيميل Gmail وتقويم جوجل Google وملفات جوجل درايف Google Drive وسجل البحث والبيانات الأخرى) مؤمنة باستخدام التشفير؟

نعم. ببعض الطرق.

تستخدم جوجل Google التشفير لتأمين البيانات أثناء النقل In transit. عند الوصول إلى حساب جيميل Gmail. على سبيل المثال، يتصل جوجل Google عبر بروتوكول HTTPS آمن.

يضمن ذلك عدم تمكن أي شخص آخر من التطفل على الاتصالات الجارية بين جهازك وخوادم جوجل Google.

لا يمكن لمزود خدمة الإنترنت ومشغل الشبكة والأشخاص الموجودين داخل نطاق شبكة واي فاي Wi-Fi وأي أجهزة أخرى بينك وبين خوادم جوجل Google رؤية محتويات رسائلك الإلكترونية أو اعتراض كلمة مرور حسابك على جوجل Google.

تستخدم جوجل Google أيضاً التشفير لتأمين البيانات غير النشطة. يتم تشفير البيانات قبل حفظها على القرص على خوادم جوجل Google.

حتى إذا قام شخص ما بعملية سرقة وتسلل إلى مركز بيانات جوجل Google وسرقة بعض محركات الأقراص الثابتة، فلن يتمكن من قراءة البيانات الموجودة على محركات الأقراص هذه.

إن كلاً من التشفير أثناء النقل In transit و أثناء التخزين At rest مهمان بالطبع. هذا جيد للأمان والخصوصية. إنه أفضل بكثير من إرسال وتخزين البيانات غير المشفرة!

لكن إليكم السؤال: من الذي يملك المفتاح الذي يمكنه فك تشفير هذه البيانات؟ الجواب هو جوجل Google.

لماذا يهمنا من يملك مفاتيح فك التشفير؟

نظراً لأن جوجل Google تمتلك المفاتيح، فهذا يعني أن جوجل Google قادرة على رؤية بياناتك (رسائل البريد الإلكتروني والمستندات والملفات وأحداث التقويم وكل شيء آخر).

إذا أراد أحد موظفي جوجل Google المحتالين التطفل على بياناتك، ونعم لقد حدث ذلك، فلن يوقفهم التشفير.

وإذا قام أحد المتسللين بطريقة ما باختراق أنظمة جوجل Google والمفاتيح الخاصة (من البديهي أنها مهمة صعبة)، فسيكون قادراً على قراءة بيانات الجميع.

إذا طُلب من جوجل Google تسليم البيانات إلى إحدى الحكومات، فستتمكن جوجل Google من الوصول إلى بياناتك وتسليمها.

قد تحمي الأنظمة الأخرى بياناتك بالطبع. تقول جوجل Google أنها طبقت حماية أفضل ضد وصول المهندسين المحتالين إلى البيانات.

من الواضح أن جوجل Google جادة للغاية بشأن الحفاظ على أنظمتها آمنة من المتسللين.

لذا نعم، قد تحمي هذه الأنظمة بياناتك. لكن هذا ليس تشفيراً يحمي بياناتك من شركة جوجل Google نفسها. إنها سياسات جوجل Google فقط التي تحمي بياناتك.

لا تأخذ انطباعاً أن هذا كله يتعلق بـ جوجل Google. إنه ليس كذلك على الإطلاق. حتى آبل Apple المحبوبة للغاية بسبب مواقفها المتعلقة بالخصوصية، لا تقوم بتشفير نسخ iCloud الاحتياطية من طرف إلى طرف.

بمعنى آخر: تحتفظ آبل Apple بالمفاتيح التي يمكنها استخدامها لفك تشفير كل ما تقوم بتحميله في نسخة iCloud الاحتياطية.

كيف يعمل التشفير من طرف إلى طرف (التام بين الطرفين)؟

الآن، لنتحدث عن تطبيقات الدردشة. على سبيل المثال: فيسبوك ماسنجر Facebook Messenger. عندما تتصل بشخص ما على فيسبوك ماسنجر Facebook Messenger، يتم تشفير الرسائل أثناء النقل In transit بينك وبين فيسبوك Facebook ، وبين فيسبوك Facebook والشخص الآخر.

يتم تشفير سجل الرسائل المخزنة في وضع غير نشط بواسطة فيسبوك Facebook قبل تخزينه على خوادم فيسبوك Facebook.

لكن فيسبوك Facebook لديه مفتاح. حيث يمكن لشركة فيسبوك Facebook نفسها رؤية محتويات رسائلك.

الحل هو التشفير من طرف إلى طرف (التام بين الطرفين). باستخدام التشفير من طرف إلى طرف، لن يتمكن مزوّد الخدمة الموجود في المنتصف سواء جوجل Google أو فيسبوك Facebook مثلاً من رؤية محتويات رسائلك.

إنهم لا يملكون مفتاحاً يفتح بياناتك الخاصة. فقط أنت والشخص الذي تتواصل معه يمتلكون مفتاحاً للوصول إلى تلك البيانات.

رسائلك خاصة حقاً، ولا يمكن لأحد رؤيتها إلا أنت ومن تتحدث معهم، حتى الشركة لا تستطيع ذلك.

أهمية التشفير من طرف لطرف (التام بين الطرفين):

يوفر التشفير التام بين الأطراف مزيداً من الخصوصية. على سبيل المثال، عندما تجري محادثة عبر خدمة محادثة مشفرة بشكل تام من طرف إلى طرف مثل تطبيق سيجنال Signal، فأنت تعلم أن الشخص الذي تتحدث معه وحده من يمكنه عرض محتويات اتصالاتك.

ومع ذلك، عندما تجري محادثة عبر تطبيق مراسلة غير مشفر بشكل تام من طرف إلى طرف مثل فيسبوك ماسنجر Facebook Messenger، فأنت تعلم أن الشركة يمكنها رؤية محتويات اتصالاتك.

الأمر لا يتعلق فقط بتطبيقات الدردشة. على سبيل المثال، يمكن تشفير البريد الإلكتروني التام من طرف إلى طرف، ولكنه يتطلب تكوين تشفير PGP أو استخدام خدمة مثل ProtonMail.

عدد قليل جداً من الأشخاص يستخدمون البريد الإلكتروني المشفر من طرف إلى طرف.

يمنحك التشفير من طرف إلى طرف (التام بين الطرفين) الثقة عند الاتصال بالمعلومات الحساسة وتخزينها، سواء كانت تفاصيل مالية أو حالات طبية أو مستندات عمل أو إجراءات قانونية أو مجرد محادثات شخصية لا تريد أن يتمكن أي شخص آخر من الوصول إليها.

لا يقتصر التشفير من طرف إلى طرف (التام بين الطرفين) على الاتصالات فقط:

كان التشفير من طرف إلى طرف مصطلحاً تقليدياً يستخدم لوصف الاتصالات الآمنة بين مختلف الأشخاص. ومع ذلك، يتم تطبيق المصطلح أيضاً بشكل شائع على الخدمات الأخرى حيث يكون لديك فقط المفتاح الذي يمكنه فك تشفير بياناتك.

على سبيل المثال، يتم تشفير مديري كلمات المرور مثل 1Password و BitWarden و LastPass و Dashlane من طرف إلى طرف. لا يمكن للشركة البحث في أرشيف كلمات المرور، حيث يتم تأمين كلمات المرور بسر لا يعرفه أحد غيرك.

بمعنى آخر، يمكن القول إن هذا النوع من التشفير هو تشفير من طرف إلى طرف (تام) باستثناء أنك على كلا الطرفين! لا يمتلك أي شخص آخر ولا حتى الشركة التي تصنع مدير كلمات المرور مفتاحاً يتيح لهم فك تشفير بياناتك الخاصة.

يمكنك استخدام مدير كلمات المرور دون منح موظفي شركة إدارة كلمات المرور إمكانية الوصول إلى جميع كلمات مرور الخدمات المصرفية عبر الإنترنت.

أحد الجوانب السلبية: لا تنسَ كلمة المرور!

هناك جانب سلبي كبير مع التشفير من طرف إلى طرف (التام بين الطرفين) للشخص العادي: إذا فقدت مفتاح فك التشفير، فستفقد الوصول إلى بياناتك.

قد تقدم بعض الخدمات مفاتيح استرداد يمكنك تخزينها، ولكن إذا نسيت كلمة مرورك وفقدت مفاتيح الاسترداد هذه، فلن تتمكن بعد ذلك من فك تشفير بياناتك.

هذا أحد الأسباب الرئيسية التي تجعل شركات مثل آبل Apple على سبيل المثال، لا ترغب في تشفير نسخ iCloud الاحتياطية من طرف إلى طرف.

نظراً لأن آبل Apple تحتفظ بمفتاح التشفير، فيمكنه السماح لك بإعادة تعيين كلمة المرور ومنحك الوصول إلى بياناتك مرة أخرى.

هذا نتيجة لحقيقة أن آبل Apple تمتلك مفتاح التشفير ويمكنها، من منظور تقني، أن تفعل ما تريد ببياناتك. إذا لم تحتفظ آبل Apple بمفتاح التشفير نيابةً عنك، فلن تتمكن من استرداد بياناتك.

تخيل أنه في كل مرة ينسى شخص ما كلمة مرور لأحد حساباته، سيتم مسح بياناته في هذا الحساب وتصبح غير قابلة للوصول.

هل نسيت كلمة مرور جيميل Gmail؟ سيتعين على جوجل Google مسح جميع رسائل جيميل Gmail لإعادة حسابك. هذا ما سيحدث إذا تم استخدام التشفير التام من طرف إلى طرف في كل مكان.

مقالات ذات صلة:

أمثلة على الخدمات المشفرة من طرف إلى طرف:

فيما يلي بعض خدمات الاتصال الأساسية التي تقدم التشفير من طرف إلى طرف. هذه ليست قائمة شاملة، ولكنها مجرد مقدمة قصيرة.

بالنسبة لتطبيقات الدردشة، يوفر تطبيق سيجنال Signal تشفيراً من طرف إلى طرف افتراضياً. كما يوفر Apple iMessage تشفيراً من طرف إلى طرف، لكن آبل Apple تحصل على نسخة من رسائلك باستخدام إعدادات النسخ الاحتياطي الافتراضية على iCloud.

يقول واتساب WhatsApp أن كل محادثة مشفرة من طرف إلى طرف، لكنها تشارك الكثير من البيانات مع شركة فيسبوك Facebook المالكة للتطبيق.

تقدم بعض التطبيقات الأخرى تشفيراً من طرف إلى طرف كميزة اختيارية يتعين عليك تمكينها يدوياً، بما في ذلك تيليجرام Telegram و فيسبوك ماسنجر Facebook Messenger.

مقالات قد تعجبك:

كيفية إلغاء تفعيل بيكسبي Bixby في أجهزة سامسونج؟
كيفية الاطّلاع على ما يعرفه فيس بوك ويخزنه من معلوماتك
كيفية التأكد من أمان إضافات كروم قبل تنصيبها
كيفية حماية الحاسوب من فيروسات انتزاع الفدية Ransomware ؟
كيفية تحرير مساحة على القرص الصلب في ويندوز

متصفح كروم بدأ بتحديد المواقع غير المشفرة بعلامة غير آمن

بدأ متصفح كروم Chrome من شركة جوجل Google رسمياً العمل على تمييز المواقع غير المشفرة بعلامة جديدة تسمّى علامة غير آمن أو not secure.

حيث سيعمل المتصفح على تنبيه المستخدم عندما يقوم بزيارة موقع يعتمد على برتوكول HTTP من خلال علامة غير آمن، أما المواقع التي تستخدم HTTPS فلن تتأثر بالتحديث الجديد.

تم الإعلان لأول مرة عن الميزة في شهر شباط من هذا العام، وتُعد هذه الخطوة هي أحدث خطوات جوجل التي تهدف من خلالها إلى التشجيع على تبني وسائل وتقنيات الحماية الآمنة في مواقع الويب.

كما وعملت جوجل سابقاً على إعطاء المواقع التي تستخدم البروتوكول HTTPS أولوية في نتائج البحث بهدف لفت انتباه المزيد من مطوري المواقع إلى هذا الأمر.

ويُعد البروتوكول HTTPS هو أحد أشكال ووسائل التشفير المتبعة في تصميم مواقع الويب والذي يضمن ويؤمّن الاتصال بين المستخدم والمواقع التي يعمل على زيارتها.

حيث أن المواقع والشبكات الإعلانية التي لا تدعم تقنيات التشفير والحماية أصبحت مؤخراً هدفاً سهلاً للكثير من المجرمين الإلكترونيين والقراصنة.

تتوفر شهادات وبروتوكولات HTTPS على نطاق واسع – وغالباً ما تكون مجانية – سواء من خلال شبكات توزيع المحتوى مثل Cloudflare أو مشاريع الخدمات العامة مثل Let’s Encrypt.

وقد حفز هذا التوافر على اعتماد أكبر لهذا النوع من البرتوكولات في السنوات الأخيرة، حيث توضح إحصائيات HTTPS الخاصة بجوجل بعض الأرقام الهامة في هذا المجال.

تقول الإحصائيات أن 84٪ من الصفحات التي تم تحميلها بواسطة مستخدمي متصفح كروم الأمريكيين مشفرة حالياً بالوسائل الضرورية واللازمة، مقارنةً بـ 47٪ فقط في شهر تموز من عام 2015.

مقالات قد تعجبك:

كيفية حماية أجهزة أندرويد من الفيروسات والبرمجيات الخبيثة
كيفية النسخ الاحتياطي للصور على هاتفك تلقائياً وبأمان
كيفية التأكد من أمان إضافات كروم قبل تنصيبها
لماذا تحسن إعادة التشغيل من أداء الهاتف وتحل المشاكل العامة؟
لماذا يوجد نسخ 32 و 64 بت من الأنظمة والبرامج؟ وما الفرق بينها؟

اكتشاف ثغرات خطيرة في برتوكولات تشفير مهمة للبريد الإلكتروني

اكتشف باحثون أوروبيون في مجال الأمن ثغرة جديدة مثيرة للقلق في أكثر أشكال تشفير البريد الإلكتروني شيوعاً.

حيث تسمح الثغرة للأشخاص السيئين بإدخال كود برمجي خبيث في رسائل البريد الإلكتروني التي يتم اعتراضها، على الرغم من وجود بروتوكولات التشفير المصممة للحماية من البرمجيات الخبيثة.

للأسف تم تنفيذ الكود البرمجي الضار بشكل صحيح، ويمكن استخدامه لسرقة محتويات صندوق الوارد للشخص المستهدف بالكامل.

تؤثر الثغرة الأمنية على اثنين من أكثر بروتوكولات تشفير البريد الإلكتروني شيوعاً، وهما PGP و S / MIME، على الرغم من أن درجة الضعف تعتمد بشكل كبير على تنفيذ العميل للبروتوكول.

هناك عدد من الخدمات المتأثرة، بما في ذلك Apple Mail و Mail app على نظام iOS و Thunderbird.

وتجدر الإشارة إلى أن العديد من أنظمة مصادقة الرسائل المتاحة حالياً يمكن أن تمنع الهجوم بشكل فعال.

إذا تم اعتراض البريد الإلكتروني المشفر فيمكن للمهاجم استخدام الثغرة الجديدة لتعديل البريد الإلكتروني، وإضافة كود HTML ضار قبل إرساله إلى الهدف.

عندما يفتح الشخص الهدف البريد الإلكتروني الجديد، يمكن استخدام الشيفرة البرمجية الضارة لإعادة إرسال النص الأصلي قبل التشفير للبريد الإلكتروني.

لا تزال العديد من خوادم الشركات تستخدم تشفير S / MIME ، لذلك يشكل الهجوم خطراً كبيراً على الأنظمة الحالية.

وقال برنامج حماية خصوصية GNU المفتوح المصدر في بيان: هناك طريقتان للتخفيف من هذا الهجوم: لا تستخدم رسائل HTML الإلكترونية ، استخدم التشفير المصادق عليه.

ويحذر Sebastian Schinzel أستاذ أمن الحاسوب في جامعة Münster للعلوم التطبيقية على تويتر من أنه لا توجد حالياً أية حلول موثوقة للثغرة.

وهو يوصي الأشخاص بتعطيل تشفيرهم في برنامج البريد الإلكتروني الخاص بهم إذا كانوا قد استخدموا PGP للاتصالات الحساسة.

وتصف مؤسسة Electronic Frontier Foundation هذه الإجراءات بأنها مؤقتة وقائمة على المحافظة إلى أن يقوم المجتمع بإصلاح هذه المشكلة الطارئة.

 

مقالات قد تعجبك:
كيف يمكن التراجع عن البريد الإلكتروني المرسل؟ ومتى لا يمكن ذلك؟
تصميم جديد لـ جوجل درايف
اختراق حساب تيسلا السحابي واستعماله لتعدين العملات الرقمية
تفاصيل محاولة اختراق موقع OnePlus الرسمي وسرقة البيانات البنكية للزبائن
فيسبوك يعترف بأن مشكلة رسائل الـSMS سببها ثغرة برمجية