المعلوماتية > اتصالات وشبكات

تشفير الطرفيات في تطبيقات المراسلة (End to End Encryption)

نسعى دائمًا إلى توفير مساحة أمان رقمية لرسائلنا مع الآخرين، والتأكد بأنّه لا يمكن لأحد غير المرسل والمستقبل معرفة هذه الرسائل، وقد يبدو الموضوع ذو أهمية منخفضة لدى بعض الأشخاص الذين لا يهتمون بوجود طرف ثالث يقرأ رسائلهم؛ أما إن كنت ممن يهتم بالمحافظة على سرية مراسلاته على منصات التواصل المختلفة -كما هو حال الأغلبية بالطبع- فمقالنا موجه إليك لتعرف كيف تُشَفَّرُ رسائلنا.

مع التطور السريع والكبير بمجال التكنولوجيا والإنترنت، وانتشار استخدام الهواتف الذكية في أواخر العقد الأول من القرن الحادي والعشرين، انتشر عدد من خدمات المراسلة الفورية (Instant Messaging (IM -مثل WhatsApp و KakaoTalk وLINE وFacebook Messenger وTelegram- في متاجر تطبيقات الأجهزة المحمولة (1)؛ فأصبح اليوم بإمكانك العمل عن بُعد والتواصل مع أصدقائك عن طريق الإنترنت باستخدام التطبيقات المتاحة بين أيدينا، ولكن يمكن أن نخشى من وصول البعض إلى بياناتٍ ورسائلَ خاصة بنا، فهل حقًّا يوجد ذلك المُخترِق -أو ما يُعرَف بالهاكر- الفذّ الذي بإمكانه معرفة محتوى رسائلي مع الآخرين بعد أن ندفع له ذلك المبلغ من المال؟

يمكن تصنيف عملاء المراسلة الفورية المتعددين إلى ثلاثة أنواع وفقًا لبروتوكولات التشفير المتوفرة لديهم: 

ونظرًا إلى الافتقار إلى حماية الخصوصية في النوعين الأولين، فإنّ غالبية خدمات المراسلة الفورية توفر الآن E2EE بناءً على بروتوكولات تشفير يُتحقق منها (1). هناك كثيرٌ من قصص استغلال قلة معرفة الأشخاص بالثورة التي حصلت في عالم التشفير بعد ظهور التشفير بين الطرفيات (E2EE)، والتي يمكن أن تحمي -على نحو فعال- خصوصية الاتصال عبر الإنترنت، وقد اعتُمِد بواسطة العديد من تطبيقات المراسلة الشائعة (2)، فهو أكثر الطرائق شهرة لحماية الاتصالات الرقمية للمستخدمين؛ إذ يمنع مزودي الخدمة وكذلك الأطراف الثالثة غير المرتبطة من قراءة الرسائل، واعتمدت في السنوات الأخيرة العديد من تطبيقات المراسلة الشائعة التشفير من طرف إلى طرف؛ إما افتراضيًّا (WhatsApp, iMessage) وإما ميزة اختيارية (Facebook Messenger, Telegram). وعلى الرغم من الانتشار الكبير لتشفير الطرفيات؛ قد يعتقد البعض أنّ جميع الأنظمة الآمنة عقيمة حتمًا في مواجهة مهارة الخصوم؛ مما يقلل من استخدام (E2EE (2.

تشفير من طرف إلى طرف (E2EE)

تُشَفَّر بيانات المستخدم من جانب العميل (الجهاز المحمول)، وتبقى مشفرة في وسط الانتقال، وتبقى على الخادم، مع منع صلاحيات الوصول للأشخاص غير المُصرّح لهم؛ إضافةً إلى تقديم نظام تشفير المحتوى (الملف) الذي يحقق الخصوصية والتحكم في الوصول الدقيق، ويمكن دمجها بسلاسة مع خدمات استضافة المحتوى الرئيسية التي يعتمد عليها المستخدمون اليوم.

في مؤسسة قائمة على بنية المفتاح العام (Public key infrastructure (PKI، لا يتمتع مسؤولو تكنولوجيا المعلومات فقط بأعلى الامتيازات في أنظمة الكمبيوتر الخاصة بالشركة، ولكن أيضًا يمتلكون ويديرون أنظمة الهوية مثل Active Directory، ويمنحهم هذا القدرة على كسر أمان بيانات الموظفين.

على سبيل المثال؛ يمكن لمسؤول تكنولوجيا المعلومات الحصول على المفاتيح الخاصة للموظف في مراحل إنشاء المفتاح أو الاسترداد أو الضمان، فضلًا عن ذلك؛ يمكنه أحيانًا تثبيت برامج التجسس على جهاز الموظف وسرقة البيانات الحساسة من جانب العميل، ولذلك عندما يتحول مسؤول تكنولوجيا المعلومات إلى مصدر ضار (مثل الموظف الساخط) أو يخترق المهاجمون حسابه فإن المحتويات الحساسة للموظفين المخزنة في خدمات الاستضافة معرضة لخطر الاختراق، بصرف النظر عما إذا كانت مشفرة أم لا.

يحاول E2EE الخاص بنا تحقيق الخصوصية بدون هوية؛ مما يعني أنّ المهاجمين لا يعرفون من يصل إلى الملف المستهدف بما في ذلك المالك نفسه؛ إذ تُشفَّر جميع كتل بيانات المستخدم بواسطة مفاتيح متناظرة مشتركة بين المالك والمستخدمين الآخرين، وجميع كتل بيانات المستخدم لها الطول (استدعاء المفتاح الوهمي) نفسه، ولذلك لا يمكن للمهاجمين إنشاء ترويسة الملف لاستنباط أية معلومات ترتبط بالمستخدمين المصرّح لهم وأذونات الوصول الخاصة بهم لملف الهدف.

عملية التشفير النموذجية (والمبسّطة) لحل E2EE هي كما يأتي:

1. يُنشَأ زوج مفاتيح خاص وعام على جهاز المستخدم.

2. يعتمد المستخدم على كلمة المرور الخاصة به لتشفير المفتاح الخاص عن طريق خوارزمية توليد مفتاح تعتمد على كلمة المرور؛ مثل PBKDF2 [10] أو Bcrypt [11]. 

3. يُرسَل المفتاح الخاص المشفر والمفتاح العام الأصلي إلى خادم مفتاح بعيد. 

4. عندما يشفر تطبيقُ محتوى على الجهاز ملفًّا؛ فإنه يتحقق مما إذا كان المفتاح الخاص متاحًا محليًّا، وإذا لم يكن كذلك ينزّل تطبيق المحتوى المفتاح الخاص المشفّر ويطلب من المستخدم كتابة كلمة المرور لفك تشفير المفتاح الخاص. 

5. يُنشأ مفتاح ملف (مفتاح متناظر Symmetric-key) ويُستخدَم لتشفير الملف، ويُشفَّر مفتاح الملف باستخدام المفتاح الخاص.

6. يُرسَل الملف المشفر ومفتاح الملف إلى خادم استضافة الملفات.

لمشاركة الملف مع مستخدم آخر؛ يحدد تطبيق المحتوى موقعَ المفتاح العام للمستلم من خادم المفاتيح، ويستخدمه لتشفير مفتاح الملف، الذي يُرسَل إلى خدمة الاستضافة مع الملف المشفر ومفتاح الملف؛ إذ يمكن للمستلم استخدام مفتاحه الخاص لفك تشفير الملف/ المفتاح والملف بالتسلسل. فضلًا عن ذلك؛ يمكن لضمان السلامة والموثوقية إنشاء زوج من مفاتيح التوقيع واستخدامه لتوقيع الملف المشفر ومفتاح (مفاتيح) الملفات.

صورة توضح آلية التشفير النموذجية المتبعة في E2EE

وللعلم، لا يقدم موردو خدمات التخزين السحابي الرئيسيين مثل Google وMicrosoft وDropbox خدمات E2EE إلى العملاء بسبب الاعتبارات التجارية والقانونية، على سبيل المثال؛ قد يرغبون في فحص بيانات السحابة الإلكترونية للعملاء لتقديم خدمات إضافية، ومع ذلك هذا غير مرغوب فيه للعديد من عملاء المؤسسات الذين يحتاجون إلى أمان وخصوصية بيانات عالية المستوى، خاصة في الصناعات الشديدة التنظيم مثل جميع خدمات الرعاية الصحية الحالية (3). 

في الختام، ندرك أنه ليس من الممكن ولا المرغوب فيه أن نطلب من كل أو حتى العديد من المستخدمين أن يصبحوا خبراء في التشفير، يمكننا -ويجب علينا- العمل على تحسين التركيز على كيفية استخدام التكنولوجيا؛ إذ يمكن أن يساعد هذا المستخدمين غير الخبراء على فهم نماذج التهديدات الأساسية حتى يتمكنوا من اتخاذ قرارات مستنيرة ومناسبة بشأن خيارات الاتصال الخاصة بهم، مثل الأدوات التي يجب استخدامها وكيفية استخدام E2EE على نحو صحيح ضمن هذه الأدوات.

وعندما يخبرك جارك بأنّ فلانًا من الناس استطاع تهكير محادثات الواتساب لجاره؛ فأخبره أنّ ذلك بسبب سوء استخدام التطبيق من قبل الجار وعدم تمكّنه من الحفاظ على جهازه بعيدًا عن متناول هذا الشخص.

المصادر:

1. Lee J, Choi R, Kim S, Kim K. Security Analysis of End-to-End Encryption in Telegram [Internet]. Caislab.kaist.ac.kr. 2017 [cited 14 January 2021]. Available from: هنا

2. Bai W, Pearson M, Kelley P, Mazurek M. Improving Non-Experts’ Understanding of End-to-End Encryption: An Exploratory Study - IEEE Conference Publication [Internet]. Ieeexplore.ieee.org. 2020 [cited 14 January 2021]. Available from: هنا

3. Xuan C. An End-to-End Encryption Solution for Enterprise Content Applications [Internet]. arXiv.org. 2020 [cited 14 January 2021]. Available from: هنا