جولان شرکتهای غربی در زمینه رمزنگاری اطلاعات محرمانه کشور

 در جهان امروز و با توجه به رشد روزافزون فضای مجازی، سرویسها و کاربران آن، حفاظت از اطلاعات رکن اساسی و مهمی در تبادلات پیام‌ها و مبادلات تجاری و حتی فعالیتهای روزمره است به همین دلیل برای تامین نیازهای امنیتی تراکنشهای امن، از «رمزنگاری»استفاده می‌شود.

متاسفانه در کشور ما طی چند سال گذشته به برخی از مطالبات رهبر فرزانه انقلاب اسلامی در خصوص حفظ امنیت و ایجاد این بستر یعنی ایجاد بستر رمزنگاری اطلاعات بومی و طراحی مرورگرهای قدرتمند داخلی بی‌توجهی شده است؛
رهبر حکیم انقلاب اسلامی در تاریخ 14 شهریور سال گذشته در حکم انتصاب اعضای جدید شورای عالی فضای مجازی و در بند 6 آن تاکید داشتند که: "اهتمام ویژه به سالم‌سازی و حفظ امنیت همه‌جانبه فضای مجازی کشور و نیز حفظ حریم خصوصی آحاد جامعه و مقابله مؤثر با نفوذ و دست‌اندازی بیگانگان در این عرصه" که از تاریخ انتشار این حکم هیچ اقدام خاصی توسط مسئولین ذیربط دیده نشده است.

این در حالی است که کشورهای پیشرفته و صاحب تکنولوژی و محصولات هوشمند در فضای مجازی پیش از استفاده همگانی از سرویس های فضای مجازی ابتدا به فکر امنیت تبادل اطلاعات و تراکنش های خود تحت شبکه به صورت بومی بوده‌اند، همانطور که برخی از آنان امروز کشورهای پیشرو در زمینه راه‌اندازی شبکه ملی اطلاعات خود هستند و امن‌ترین سرویسهای برخط را در بستری سریع و پاک به مردمشان ارائه می‌دهند.

در جهان امروز با افشاگریهای ویکی لیکس و اسنودن و چنگ‌اندازی سازمانهای اطلاعاتی غربی مانند NSA بر بستر فضای مجازی و اینترنت به عنوان ابزارهای نفوذ، تغییر، براندازی، ذائقه‌سنجی و ذائقه‌سازی، حصول اطمینان برای جلوگیری از دسترسی افراد غیر‌مجاز به اطلاعات حساس و استراتژیک از مهمترین چالشهای امنیتی در رابطه با توزیع اطلاعات در اینترنت برای کشورهاست؛ راه‌حلهای مختلفی نظیر محدود کردن استفاده از اینترنت، رمزنگاری داده‌ها و استفاده از ابزار امنیتی برای میزبان‌های داخلی و برقراری امنیت شبکه داخلی برای حل این مشکل ارائه شده‌ است.

یکی از متداولترین روشهای حفاظت از اطلاعات در سطوح فردی یا سطوح بالای ملی، رمز کردن اطلاعات است بطوریکه دستیابی به اطلاعات رمز شده برای افراد غیر‌مجاز امکان‌پذیر نبوده و تنها افرادیکه دارای کلید رمز هستند، قادر به باز کردن رمز و استفاده از اطلاعات هستند.

رمز کردن اطلاعات رایانه مبتنی بر علوم رمز‌نگاری است که در سطوح بین‌المللی باید این رمزنگاری توسط برنامکها و مرورگرها معتبر شناخته شود و اگر کشوری بخواهد از سیستم رمزنگاری اطلاعات بومی استفاده کند باید از مرورگرهای ملی و بومی خاص خود استفاده کند تا با پیغام خطای " ارتباط نامن" توسط مرورگرهای خارجی روبه‌رو نشود به خصوص ایران اسلامی که در این زمینه هم مورد تحریمهای خصمانه قرار گرفته است.

یکی از مشکلات امروز کشور که در زمینه حفظ محرمانگی اطلاعات و حریم خصوصی مردم باید مورد توجه قرار بگیرد این است که باید مراکز خاص مانند بانکها، ادارات، سامانه‌‌های خاص آمارگیر دارای فرم، پیام رسانهای بومی، سامانه‌های تبادل اطلاعات مانند رایانامه‌ها که اطلاعات خصوصی مردم را دریافت می‌کنند از سرویسهای بومی رمز‌نگاری برای این منظور استفاده کنند که متاسفانه تمام آنان حتی پروژه‌های مهم کشوری از سرویس‌‌های رمز خارجی استفاده می‌کنند.

بهترین راه‌حل استفاده از بستر داخلی ارتباط مانند شبکه ملی اطلاعات، نصب سامانه بر روی سرورهای داخلی، استفاده از مرورگر ملی توسط مردم و استفاده از سرویسهای امن رمزنگاری اطلاعات داخلی و معتبر شناخته شدن آن توسط مرورگرهای ملی است.

برای امن‌سازی این ارتباطات ما به پروتکل SSL بومی‌‌سازی شده و ملی نیاز داریم؛ به بیان ساده SSL یک پروتکل استاندارد امنیتی برپایه رمزنگاری اطلاعات است که در آن داده‌های تبادل شده بین سرویس‌دهنده (Server) و سرویس‌گیرنده (Client) توسط کلیدهای خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود، امنیت در این پروتکل دو طرفه است یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.

بسیاری از سرویس‌دهندگانی که اطلاعات و داده‌های حساس مانند اطلاعات کارت‌های بانکی (مثلاً در شبکه بانکی کشور)، کارت‌های شناسایی، رمزهای عبور مهم و ... را بین خود و سرویس گیرنده رد و بدل می‌کنند، از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند.

همچنین وبسایت‌هایی که از پروتکل امن SSL برای رمز کردن داده‌ها استفاده می‌کنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی HTTP) با سرویس‌گیرنده‌ها ارتباط برقرار می‌کنند، در مرورگرها، اینگونه وبسایت‌ها معمولاً با علامت قفل سبز (به معنای ارتباط امن سالم) نشان داده می‌شوند که متاسفانه با توجه به شرایط تحریم هیچ کدام از شرکتهای ایرانی ارائه دهنده خدمات SSL در مرورگرهای غربی معتبر شناخته نمی‌شوند و همین مسئله منجر به استفاده اجباری از سرویس‌دهنده‌های غربی توسط شرکتهای ایرانی شده که نمونه آنرا در وب سایت سرشماری 95 مشاهده کردیم که از یک شرکت ترکیه‌ای برای تبادل امن انتقال داده هایش استفاده کرده بود.

برای استفاده از پروتکل SSL چند نکته وجود دارد و یکی از این نکات این است که آیا این پروتکل واقعا امن است؟! باید پاسخ داد در پروتکل SSL، داده‌ها بین سرویس‌دهنده و سرویس‌گیرنده رمز می‌شوند، به همین علت، داده‌ها در طول انتقال از کانال غیرامن مانند اینترنت، اینترانت و ...حفاظت شده باقی می‌مانند.

هرچند دسترسی به این داده‌ها امکان‌پذیر است اما به دلیل اینکه داده‌ها رمز شده‌اند، برای بدست آوردن داده‌های رمزگشایی شده اصلی، باید کلید مورد استفاده در آن نشست ارتباطی امن (Secure connection session) را دانست، به همین علت، این پروتکل تا حد زیادی غیرقابل نفوذ است که البته باید توجه داشت در فضای مجازی امنیت یک مولفه نسبی است و مهمتر از آن وقتی کشوری متخاصم مسئول این ارتباطات رمز باشد باید با دقت وسواس بسیاری از این سرویس استفاده کرد.

در پایان باید گفت سرشماری اینترنتی یکی از هزاران سرویس و خدماتی است که بر بستر فضای مجازی در سطح کشور انجام می‌شود و باید مسئولان بدانند حفظ حریم خصوصی مردم و اطلاعات استراتژیک کشور مخصوصا بر بستر فضای مجازی نیازمند حرکتی انقلابی و جهادی است و آن چیزی نیست جز راه‌اندازی صادقانه شبکه ملی اطلاعات، سرویسهای رمزنگاری بومی، سیستم عامل و مرورگرهای بومی و ... که باید به سمت آن حرکت کنیم.