What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني

What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني 

ما هي إدارة وصول المستخدم؟

 إدارة وصول المستخدم ، والتي تسمى أيضًا إدارة الوصول المخول (PAM) هي طريقة للتحكم في المعلومات التي يمكن لكل عضو في الفريق الوصول إليها.

 هذه ليست عملية ثنائية حيث يمتلك شخص ما امتياز الوصول إلى كل شيء ، والآخر لا يفعل ذلك.

 هذه عملية ذات طبقات حيث يمتلك المستخدم المتميز حق الوصول الإداري إلى مجموعة معينة من البيانات.

 على سبيل المثال ، يمكنك تقسيم مجموعات كاملة من البيانات ، أو تأمين ملفات ومجلدات معينة وإعطاء كلمة المرور لأعضاء فريق معينين فقط.

 إدارة  وصول المستخدم 

تعد مسألة إدارة الأمان لجميع أنواع الحسابات في الشبكة مهمة جدًا لإدارة المخاطر.  يجب أن تؤخذ التهديدات الداخلية والخارجية في الاعتبار ، ويجب أن يوازن حل هذه التهديدات بين الحاجة إلى الأمان والوظيفة التي تتطلبها الأعمال من موارد الشبكة.

 قبل المتابعة ، تحتاج عدد من المصطلحات إلى بعض التوضيح ، مثل

•  الخدمات Services  عبارة عن ملفات قابلة للتنفيذ يتم تشغيلها عند بدء التشغيل أو يمكن تشغيلها بواسطة أحداث أخرى أو حالات مجدولة.  غالبًا ما تعمل الخدمات في الخلفية دون مطالبة المستخدم أو تفاعله كثيرًا.
•  حسابات الخدمة Service accounts.  ببساطة ، غالبًا ما يوصف حساب الخدمة بأنه أي حساب لا يتوافق مع شخص حقيقي.  غالبًا ما تكون هذه حسابات مضمنة تستخدمها الخدمات للوصول إلى الموارد التي يحتاجونها لأداء أنشطتهم.  ومع ذلك ، تتطلب بعض الخدمات حسابات مستخدمين فعلية لأداء وظائف معينة ، ولا تزال العديد من الشركات تستخدم ممارسة استخدام حسابات المجال لتشغيل الخدمات أيضًا.
•  حساب إداري Administrative account.  على الرغم من وجود حساب مسؤول افتراضي تم إنشاؤه على أي تثبيت جديد لبرنامج مثل Microsoft Windows أو مجال Active Directory ، فإن مصطلح حساب المسؤول غالبًا ما يستخدم بمعنى عام لوصف أي حساب تم منحه امتيازات مستوى المسؤول.
•  الحسابات الحرجة Critical accounts.  تستخدم هذه الوثيقة مصطلح "الحساب الهام" لوصف الحسابات الافتراضية التي تعتبر عالية المخاطر لأنها تتمتع بامتيازات عالية المستوى أو تمثل مخاطر عالية بسبب استخدامها في كل مكان.
•  حساب محدود Limited account.  الحساب المحدود هو أي حساب ليس عضوًا في أي مجموعة إدارية ولا يحتوي على أي امتيازات مرتفعة تساوي تلك الخاصة بحساب مسؤول محلي أو حساب مسؤول المجال.  عادةً ما يكون الحساب المحدود عضوًا في مجموعة Domain Users أو مجموعة Users المحلية.
•  حساب الضيف  Guest Account - هو حساب للمستخدمين الذين ليس لديهم حساب دائم في الكمبيوتر أو المجال.  يسمح للأشخاص باستخدام الكمبيوتر دون الوصول إلى الملفات الشخصية.  لا يمكن للأشخاص الذين يستخدمون حساب الضيف تثبيت البرامج أو الأجهزة أو تغيير الإعدادات أو إنشاء كلمة مرور.

 (على سبيل المثال ، حسابات المستخدمين ، حسابات الخدمة ، الحسابات المؤقتة ، الحسابات الافتراضية ، حسابات الضيوف ، انتهاء صلاحية الحساب ،

ماهي  دورة حياة المستخدم في الأمن السيبراني 

 دورة حياة المستخدم هي مصطلح يصف تدفق العملية لكيفية إنشاء كيان مستخدم وإدارته وإنهائه في النظام بناءً على أحداث أو عوامل زمنية معينة.  يمر كيان المستخدم بمراحل مختلفة في دورة الحياة.  المراحل غير موجودة ومعطلة ونشطة ومحذوفة.  يوضح الشكل أدناه مراحل دورة الحياة المختلفة ، وجميع التحولات الممكنة ، والعمليات التي تقوم بإعداد تلك الانتقالات

هناك إمكانية لقواعد العملية أو متطلبات العمل التي يتم تحديدها لكل انتقال لدورة حياة المستخدم.  يمكنك استخدام نماذج السيناريوهات المدرجة في الجدول أدناه لإنشاء ارتباط بين انتقالات دورة حياة المستخدم وأهداف العمل باستخدام سيناريوهات نموذجية.

الحالة الحالية	عملية	سيناريو عينة	وصف العملية
غير موجودة Non-existent	إنشاء  Create	يقوم قسم الموارد البشرية بإدخال معلومات ملف تعريف المستخدم للتوظيف الجديد. إذا لم يتم تقديم التعيين الجديد إلى النظام على الفور ، فإن الموارد البشرية تحدد تاريخ بدء مستقبلي للمستخدم.	إذا لم تكن البداية تاريخًا مستقبليًا ، فسيتم إدخال المستخدم في النظام في حالة نشطة. إذا كان تاريخ البدء في المستقبل ، فإن عملية الإنشاء تخلق المستخدم في حالة تعطيل.
معطلة Disabled	تمكين او تفعيل Enable	تاريخ بدء المستخدم ساري المفعول. يبدأ النظام التزويد للتأجير الجديد.	تم وضع علامة على المستخدم مُمكّن في النظام ويمكن للمستخدم الآن تسجيل الدخول واستخدام النظام. بشكل افتراضي ، يتم إنشاء جميع العضويات والحسابات الضرورية كجزء من سير العمل.
نشط Active	تعديل Modify	تمت ترقية المستخدم إلى منصب جديد. نتيجة لذلك ، تغير الموارد البشرية المسمى الوظيفي للمستخدم.	يتم توفير موارد جديدة للمستخدم ، ويتم إلغاء توفير الموارد القديمة غير ذات الصلة من المستخدم.
نشط Active	تعطيل Disabled	يأخذ المستخدم إجازة لمدة سنة من الشركة. يقوم قسم الموارد البشرية بتعطيل المستخدم يدويًا في آخر يوم عمل للمستخدم. يعود المستخدم للانضمام إلى الشركة بعد فترة. يمكن للموارد البشرية أن تجعل المستخدم نشطًا مرة أخرى.	تم وضع علامة على المستخدم معطل في النظام ، ولم يعد المستخدم قادرًا على تسجيل الدخول إلى النظام. يمكن تنشيط المستخدمين المعاقين مرة أخرى.
نشط Active	Delete	تقاعد المستخدم من الشركة. يقوم قسم الموارد البشرية بتعطيل المستخدم يدويًا في آخر يوم عمل للمستخدم.	تم وضع علامة على المستخدم معطل في النظام ، ولم يعد المستخدم قادرًا على تسجيل الدخول إلى النظام. بشكل افتراضي ، يتم إلغاء توفير كافة حسابات المستخدمين كجزء من سير العمل.

يجب أن تتوافق إدارة حسابات المستخدمين أيضًا مع إدارة المجموعات وأجهزة الكمبيوتر ووحدات التحكم بالمجال والخدمات والأمان والتطبيقات والملفات وكل شيء آخر يجب إدارته على شبكة شركة نموذجية.  يمكن أن تكون إدارة حسابات المستخدمين طوال عمر الحساب مرهقة وغير مرهقة.  ومع ذلك ، فإن بعض الحلول تدير المستخدمين من الإنشاء ، من خلال التغييرات على وظائفهم ، إلى الإزالة عندما لم تعد هناك حاجة إلى حساب المستخدم.  تطمئن هذه الأنظمة المسؤولين إلى أنه سيتم إدارة جميع حسابات المستخدمين بشكل صحيح وسيتم التعامل مع المهام اليومية لإدارة دورة حياة المستخدم.

 لديك عدة أنواع من المستخدمين: داخلي وخارجي ، شخصي وتطبيقي ، دائم ومؤقت.

•  المستخدمون الداخليون / الخارجيون: يجب أن يكون هؤلاء في دليل بيانات يسمح لك بإدارتها بشكل منفصل وليس على قدم المساواة.  يجب أن يتم تحديد دورة حياة المستخدمين الداخليين بواسطة نظام الموارد البشرية ، فأنت لست بحاجة إلى تحديد تاريخ انتهاء الصلاحية ما لم يكونوا موظفين مؤقتين / متعاقدين.  يجب أن يكون لدى المستخدمين الخارجيين سياسة محددة حول مدة بقائهم مع مستخدم داخلي يشهد على حسابهم على أساس مجدول.
•  الشخص مقابل مستخدمي التطبيقPerson v. application users
• 
  
•  : كائن الشخص عبارة عن مصطلح EmpowerID لتدوين هوية المستخدم ، وربط كل حساب مستخدم للتطبيق (AD ، SalesForce ، Google Apps على سبيل المثال) بكائن الشخص.  يجب أن تحتوي حسابات التطبيق إما على دورة حياة تحتاج إلى تصديق وشهادة أو مرتبطة بدور أو عضوية مجموعة (والتي لها أيضًا دورة حياة).
•  المستخدمين الدائمين مقابل المستخدمين المؤقتين: يأتي المستخدمون المؤقتون بدورة حياة مضمنة ، فأنت تعلم أنك مخول فقط لتوظيف مقاول لمدة 3 أشهر ، ومن السهل ربط تاريخ انتهاء الصلاحية بهذا المستخدم ولكنك تحتاج  سير عمل التصديق الذي يوسع المستخدم بسهولة دون الحاجة إلى إعادة منح جميع الامتيازات الخاصة به.

نصائح لإدارة وصول المستخدم الفعال

•  استخدم مبدأ الامتياز الأقل

 يتطلب مبدأ الامتياز الأقل أن كل مستخدم في بيئة الحوسبة يمكنه فقط الوصول إلى المعلومات والموارد اللازمة لأداء وظائف وظيفته.

 إنه المبدأ الذي يشكل الأساس لإدارة وصول المستخدم.

 يتم إعداد كل حساب موظف مبدئيًا بالحد الأدنى من الامتيازات.  بعد ذلك ، يمكنك إضافة أو طرح امتيازات الوصول على النحو الذي تراه مناسبًا.

 على سبيل المثال ، إذا احتاج الموظف إلى الوصول إلى برنامج أو ملف معين لإكمال مشروع لمرة واحدة ، فيمكنك منحه حق الوصول طوال المدة التي يستغرقها تنفيذ المشروع ثم إلغائه بمجرد اكتمال المشروع.

 إذا تمت ترقية موظف وتولى مسؤوليات وظيفية جديدة ، فيمكنك إضافة طبقة جديدة من امتيازات الوصول إلى حسابه.

•  تحديد أو إلغاء امتيازات وصول المستخدم المتميز super user access

 "المستخدم المتميز" هو شخص لديه حق الوصول إلى جميع معلومات أنظمتك تقريبًا.

 المخاطر واضحة:

 يمكن لمستخدم داخلي ضار يتمتع بهذا القدر الكبير من الوصول أن يسرق الكثير من البيانات ويسبب الكثير من الضرر.

 إذا تم استغلال مستخدم متميز من قبل أي عدد من تهديدات أمن تكنولوجيا المعلومات ، فسيتمكن المتسلل الخارجي الآن من الوصول إلى جميع بياناتك تقريبًا دون أن يوقفها جدار الحماية.

 قد تكون امتيازات المستخدم المتميز ضرورية لأداء مهام معينة خلال فترة زمنية محددة ، ولكنها نادرًا ما تكون مطلوبة على المدى الطويل ، وعادةً ما تعرض مؤسستك لمخاطر غير ضرورية.

•  امتيازات الخطة قبل الوقت

 أفضل طريقة لبدء برنامج إدارة وصول المستخدم الخاص بك هي التحديد المسبق لجميع أدوار ومسؤوليات موظفيك ثم تحديد مستويات الوصول المناسبة لهم.

 من الأنظمة الأساسية إلى الملفات إلى التطبيقات ، يجب عليك إدارة امتيازات وصول المستخدم وفقًا لواجبات الوظيفة والوظائف.

 أيضًا ، إذا احتاج المستخدم إلى وصول إضافي ، فتأكد من فحص الطلب والموافقة عليه من قبل المدير.

•  استخدم مدير كلمات المرور

 يعد مدير كلمات المرور أداة ممتازة للحد من معرفة موظفيك بكلمات المرور ، مع السماح لهم في الوقت نفسه بالوصول المميز باستخدام كلمات المرور هذه.

 وإليك كيف يعمل:

 يقوم موظف بإنشاء حساب باستخدام مدير كلمات المرور الخاص بك

 أنت تشارك كلمة مرور معهم لا يمكن لأحد الوصول إليها في حسابهم

 يقوم مدير كلمات المرور بتسجيل الدخول نيابة عن الموظف دون الكشف عن كلمة المرور

 حتى الآن ، لا تخاطر بتدوين الموظفين كلمات المرور أو مشاركتها مع مستخدمين آخرين لا يتمتعون بامتيازات.  نظرًا لعدم تمكنهم من رؤية كلمة المرور ، يمكنهم استخدامها فقط عند تسجيل الدخول إلى حساب مدير كلمات المرور.

•  مراجعة وصول المستخدم المميز

 يجب أن يتمتع كل موظف بمراجعة امتيازات الوصول الخاصة به من قبل مديريه.

 من الخطير جدًا "تعيينه ونسيانه" عندما يتعلق الأمر بإدارة وصول المستخدم.

 يجب عليك مراقبة سلوك الموظفين بنشاط عن طريق تسجيل ضغطات المفاتيح وتسجيل عمليات تسجيل الدخول والإبلاغ عن المهام التي يتم تنفيذها ومراقبة السلوك عندما يكون لدى الموظفين إمكانية الوصول إلى البيانات الهامة.

 قم بتحليل هذه المعلومات لتحديد ما إذا كان الموظفون لديك يستخدمون الموارد التي لديهم امتيازات لها أم لا ، وما إذا كان موظفوك يستخدمون المعلومات بشكل مناسب أم لا.

 هذه إحدى الطرق التي يمكنك من خلالها اكتشاف النشاط الضار وتهيئة مستويات وصول المستخدم.

المصطلحات

1. privileged access management  = Pam وتعني  امتياز إدارة الوصول 

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
6.  What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 
7.   What is meant  PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني 
8.   What are the differences between  electronic signature,  digital signature and  digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة
9.   What means access management? ماذا تعني إدارة الدخول او الوصول؟ دليل مدير الأمن السيبراني 

What means access management? ماذا تعني إدارة الدخول او الوصول؟ دليل مدير الأمن السيبراني

 What means access management? ماذا تعني إدارة الدخول او الوصول؟

What means access management? ماذا تعني إدارة الدخول او الوصول؟

ماذا نعني بـ "الهوية"؟

 لدينا جميعًا هويات.  في العالم الرقمي ، تتجلى هوياتنا في شكل سمات ومدخلات في قاعدة البيانات.  تميل الخدمات عبر الإنترنت إلى جمع هذه السمات حتى تتمكن من خدمتنا بشكل أفضل ، أو إنشاء تجربة مستخدم فريدة استنادًا إلى البيانات التي تم جمعها حول سماتنا الثابتة والديناميكية.

 سمة فريدة تميزنا عن المستخدمين الآخرين عبر الإنترنت.  يمكن أن تكون هذه السمة عنوان بريد إلكتروني أو رقم هاتف أو رقم ضمان اجتماعي.  نحصل على سمات من أصحاب العمل لدينا في شكل ألقاب ، وفي أي وحدة عمل ننتمي إليها ، أو الأدوار التي لدينا في المشاريع ، أو في التسلسل الهرمي للمؤسسة.  تختلف السمات المتعلقة بحياتنا الخاصة والعملية وتتغير بمرور الوقت عندما نغير وظائفنا ونتنقل ونتزوج وما إلى ذلك.

ما هي  إدارة الهوية

 يتم تحديد هويتك عبر الإنترنت عند التسجيل.  أثناء التسجيل ، يتم جمع بعض السمات وتخزينها في قاعدة البيانات.  يمكن أن تكون عملية التسجيل مختلفة تمامًا اعتمادًا على نوع الهوية الرقمية التي سيتم إصدارها لك.  تستخدم الهوية الإلكترونية الصادرة عن الحكومة عملية شاملة للغاية ، حيث يمكنك التسجيل في مواقع التواصل الاجتماعي بسمات هوية مزيفة تمامًا (وبالتالي لم يتم التحقق منها).

 إدارة الهوية هي كل شيء عن إدارة السمات.  أنت أو مشرفك أو مسؤول الموارد البشرية في شركتك أو مسؤول تكنولوجيا المعلومات أو مسؤول مكتب خدمة موقع التجارة الإلكترونية ما هي إلا عدد قليل من الأمثلة التي يمكن أن تكون مسؤولة عن إنشاء أو تحديث أو حتى حذف السمات المتعلقة بك.

ما هي  الخاصية attribute= الإذن authorize ؟

 بعض سمات الهوية التي لدينا قوية.  يسمحون لنا بالقيام بأشياء عبر الإنترنت.  يمكن لسمة الدور التي تصف منصبًا داخل شركة ، مثل مدير المشتريات على سبيل المثال ، أن تخبر موقعًا على الإنترنت بما يُسمح للشخص بالقيام به على هذا الموقع المحدد.  لذلك ، من الأهمية بمكان أن تتم إدارة وصيانة السمات التي تمنح السلطة للمستخدم بعناية.

 ماذا نعني ب "الوصول access"؟

 قرارات الوصول هي قرارات نعم / لا.  عند نشر عنصر تحكم في الوصول ، سيتم تكليفه باتخاذ قرار نعم / لا عندما يحاول مستخدم عبر الإنترنت الدخول إلى المورد أو استخدامه.  يمكن أن تكون هناك ، وعادة ما تكون ، نقاط تحكم وصول متعددة داخل خدمة عبر الإنترنت.  في المستوى العلوي ، توجد نقطة تحكم في الوصول تحاول تحديد ما إذا كان المستخدم مسموحًا له بدخول الموقع على الإطلاق.  ثم في المستوى الأدنى ، تصل نقطة التحكم في الوصول إلى الملفات الفردية الموجودة في مكان ما على القرص الصلب.  بعض نقاط التحكم في الوصول مرئية للمستخدم النهائي وتتطلب إجراءات.  المثال الأساسي هو المصادقة.

 ماذا نعني ب "المصادقة Authentication "؟

 المصادقة هي عملية يتم فيها تحديد هوية المستخدم.  هناك العديد من الطرق المختلفة لمصادقة المستخدم.  في المستوى الأدنى ، يمكن للمستخدم أن يدعي أنه هو كما يقول ببساطة عن طريق كتابة اسمه كإجابة على السؤال "من أنت؟"  على الطرف الآخر من الطيف ، يمكن للمستخدم تسجيل الدخول إلى الخدمة باستخدام الهوية الإلكترونية الصادرة عن الحكومة (eID).  بين هذين المثالين ، يمكنك العثور على مجموعة واسعة من العمليات والتقنيات المختلفة للمصادقة.

 ما هي ادارة الوصول Access management 

 إذن عند تحديد هوية المستخدم يمكنه الوصول إلى الخدمة؟  خطأ.  المصادقة! = التخويل (! = هي لغة الطالب الذي يذاكر كثيرا ويعني "لا يساوي")  بعد المصادقة يجب أن يكون هناك قرار للتحكم في الوصول.  يعتمد القرار على المعلومات المتاحة عن المستخدم.  هذا هو المكان الذي تلعب فيه السمات.  إذا كان بإمكان عملية المصادقة تسليم المجموعة المطلوبة من السمات إلى نقطة قرار التحكم في الوصول ، فيمكن للعملية بعد ذلك تقييم السمات واتخاذ قرار نعم / لا.

 سياسة التفويض هي أداة يمكن استخدامها لإنشاء نقطة قرار رسمية.  في عالم إدارة الهوية والوصول (IAM) ، يمكن تنفيذ سياسة التفويض في خدمة مركزية ، أو على المستوى المحلي ، أو في كلا الموقعين.  يتمثل دور موفر الهوية في القيام بالمهمة الكبيرة المتمثلة في جمع سمات الهوية المتاحة واتخاذ قرارات الوصول عالية المستوى نيابة عن الخدمة عبر الإنترنت.  لا يُنصح بإنشاء إطار عمل لسياسة التفويض على مستوى الخدمة لأنه يخلق تعقيدات ونفقات صيانة عامة يصعب تغييرها بسرعة ويمكن أن تكون عرضة للأخطاء.

إدارة الوصول والامن السيبراني Access Mangmement and CyberSecurity 

تعد آليات التحكم في الوصول عنصر تصميم ضروريًا وحاسمًا لأمان أي تطبيق.  بشكل عام ، يجب أن يحمي تطبيق الويب البيانات الأمامية والخلفية وموارد النظام من خلال تطبيق قيود التحكم في الوصول على ما يمكن للمستخدمين القيام به ، والموارد التي يمكنهم الوصول إليها ، والوظائف المسموح لهم بأدائها على البيانات.  من الناحية المثالية ، يجب أن يحمي نظام التحكم في الوصول من العرض غير المصرح به أو التعديل أو النسخ للبيانات.  بالإضافة إلى ذلك ، يمكن أن تساعد آليات التحكم في الوصول أيضًا في الحد من تنفيذ التعليمات البرمجية الضارة ، أو الإجراءات غير المصرح بها من خلال مهاجم يستغل تبعيات البنية التحتية (خادم DNS ، خادم ACE ، إلخ).

 غالبًا ما يتم تبديل المصطلحات "التفويض" و "التحكم في الوصول" عن طريق الخطأ.  التفويض هو عملية التحقق لمعرفة ما إذا كان المستخدم لديه الإذن المناسب للوصول إلى ملف معين أو تنفيذ إجراء معين ، بافتراض أن المستخدم قد نجح في مصادقة نفسه.  يركز التفويض إلى حد كبير على بيانات الاعتماد ويعتمد على قواعد محددة وقوائم التحكم في الوصول التي تم إعدادها مسبقًا بواسطة مسؤول (مسؤولي) تطبيق الويب أو مالكي البيانات.  تتضمن فحوصات التفويض النموذجية الاستعلام عن العضوية في مجموعة مستخدمين معينة ، أو حيازة تصريح معين ، أو البحث عن هذا المستخدم في قائمة التحكم في الوصول المعتمدة للمورد ، مثل الحارس في ملهى ليلي حصري.  من الواضح أن أي آلية للتحكم في الوصول تعتمد على ضوابط المصادقة الفعالة والمقاومة للتزوير المستخدمة للترخيص.

 التفويض هو العملية التي يجب فيها منح أو رفض طلبات الوصول إلى مورد معين.  وتجدر الإشارة إلى أن التفويض لا يعادل المصادقة - حيث كثيرًا ما يتم الخلط بين هذه المصطلحات وتعريفاتها.  المصادقة هي توفير الهوية والتحقق منها.  في نظام يستخدم مخططًا بسيطًا لاسم المستخدم وكلمة المرور ، تجمع عملية المصادقة اسم المستخدم وتتحقق من الهوية باستخدام كلمة المرور.  التفويض هو تنفيذ خصائص التحكم في الوصول ، مما يضمن التخصيص المناسب لحقوق الوصول بمجرد نجاح المصادقة.

 التحكم في الوصول هو طريقة أو آلية التخويل لفرض تلك الطلبات إلى مورد النظام أو الوظيفة التي يجب منحها.

 نحتاج إلى معرفة أن الكيانات التي تطلب الوصول إلى الموارد هي موضوعات وأن المورد هو كائن.  ما لم يتم تصميم تطبيقات الويب بخلاف ذلك ، تحتاج إلى عناصر تحكم في الوصول للسماح للمستخدمين (بامتيازات متفاوتة) باستخدام التطبيقات والمسؤولين لإدارة التطبيق.  تتوفر منهجيات مختلفة للتحكم في الوصول.  لاختيار الأنسب ، يجب إجراء تقييم للمخاطر لتحديد التهديدات ونقاط الضعف ، بحيث تخفض المنهجية المحددة قيمة المخاطر إلى مستوى مقبول.

 يشير التحكم في الوصول إلى الطريقة الأكثر عمومية للتحكم في الوصول إلى موارد الويب ، بما في ذلك القيود المستندة إلى أشياء مثل الوقت من اليوم ، وعنوان IP لمتصفح عميل HTTP ، ومجال متصفح عميل HTTP ، ونوع التشفير HTTP  يمكن للعميل دعم ، عدد المرات التي قام فيها المستخدم بالمصادقة في ذلك اليوم ، امتلاك أي عدد من أنواع الرموز المميزة للأجهزة / البرامج ، أو أي متغيرات مشتقة أخرى يمكن استخراجها أو حسابها بسهولة.

 قبل اختيار آليات التحكم في الوصول ، يمكن أن تساعد عدة خطوات تحضيرية في تسريع وتوضيح عملية التصميم ؛

1.  حاول تحديد القيمة النسبية للمعلومات المراد حمايتها من حيث السرية ، والحساسية ، والتصنيف ، والخصوصية ، والنزاهة فيما يتعلق بالمؤسسة وكذلك المستخدمين الفرديين.  ضع في اعتبارك أسوأ حالة للخسارة المالية التي قد يتسبب فيها الكشف غير المصرح به أو التعديل أو رفض خدمة المعلومات.  يمكن أن يؤدي تصميم ضوابط وصول متقنة وغير مريحة حول البيانات غير المصنفة أو غير الحساسة إلى نتائج عكسية للهدف أو الغرض النهائي لتطبيق الويب.
2.  تحديد التفاعل النسبي بين مالكي البيانات ومنشئيها داخل تطبيق الويب.  قد تقيد بعض التطبيقات أي إنشاء أو ملكية للبيانات لأي شخص باستثناء مستخدمي النظام الإداريين أو المدمجين.  هل الأدوار المحددة مطلوبة لمزيد من تقنين التفاعلات بين أنواع مختلفة من المستخدمين والمسؤولين؟
3.  حدد عملية منح وإلغاء حقوق التحكم في وصول المستخدم على النظام ، سواء كانت عملية يدوية ، أو تلقائية عند التسجيل أو إنشاء الحساب ، أو من خلال أداة إدارية أمامية.
4.  حدد بوضوح أنواع الوظائف المدفوعة بالدور التي سيدعمها التطبيق.  حاول تحديد وظائف المستخدم المحددة التي يجب تضمينها في تطبيق الويب (تسجيل الدخول ، وعرض معلوماتهم ، وتعديل معلوماتهم ، وإرسال طلب مساعدة ، وما إلى ذلك) بالإضافة إلى الوظائف الإدارية (تغيير كلمات المرور ، وعرض أي بيانات للمستخدمين ، وإجراء الصيانة  في التطبيق ، وعرض سجلات المعاملات ، وما إلى ذلك).
5.  حاول مواءمة آليات التحكم في الوصول الخاصة بك قدر الإمكان لسياسة أمان مؤسستك.  يمكن تعيين العديد من الأشياء من السياسة جيدًا إلى جانب التنفيذ للتحكم في الوصول (وقت مقبول من اليوم للوصول إلى بيانات معينة ، وأنواع المستخدمين المسموح لهم برؤية بيانات معينة أو أداء مهام معينة ، وما إلى ذلك).  عادةً ما تعمل هذه الأنواع من التعيينات بشكل أفضل مع التحكم في الوصول المستند إلى الدور.

 هناك عدد كبير من نماذج التحكم في الوصول المقبولة في مجال أمن المعلومات.  يحتوي العديد من هذه الجوانب على جوانب تترجم جيدًا في مساحة تطبيق الويب ، بينما لا يفعل البعض الآخر.  من المحتمل أن تجمع آلية حماية التحكم في الوصول الناجحة بين جوانب كل من النماذج التالية ويجب تطبيقها ليس فقط على إدارة المستخدم ، ولكن على تكامل التعليمات البرمجية والتطبيق لوظائف معينة.

ما هي أنواع التحكم في الوصول what are the types of access control 

•  التحكم في الوصول التقديرية او القاموس Discretionary Access Control

 التحكم في الوصول التقديري (DAC) هو وسيلة لتقييد الوصول إلى المعلومات بناءً على هوية المستخدمين و / أو العضوية في مجموعات معينة.  تستند قرارات الوصول عادةً إلى التراخيص الممنوحة للمستخدم بناءً على بيانات الاعتماد التي قدمها في وقت المصادقة (اسم المستخدم وكلمة المرور والرمز المميز للأجهزة / البرامج وما إلى ذلك).  في معظم نماذج DAC النموذجية ، يمكن لمالك المعلومات أو أي مورد تغيير أذوناته وفقًا لتقديره (وبالتالي الاسم).  تحتوي DAC على عيب يتمثل في عدم قدرة المسؤولين على إدارة هذه الأذونات بشكل مركزي على الملفات / المعلومات المخزنة على خادم الويب.  غالبًا ما يعرض نموذج التحكم في الوصول DAC واحدًا أو أكثر من السمات التالية.

1.  يمكن لمالكي البيانات نقل ملكية المعلومات إلى مستخدمين آخرين
2.  يمكن لمالكي البيانات تحديد نوع الوصول الممنوح للمستخدمين الآخرين (قراءة وكتابة ونسخ وما إلى ذلك)
3.  يؤدي فشل التفويض المتكرر للوصول إلى نفس المورد أو الكائن إلى إصدار إنذار و / أو يقيد وصول المستخدم
4.  مطلوب برنامج إضافي أو مكون إضافي خاص للتطبيق على عميل HTTP لمنع النسخ العشوائي من قبل المستخدمين ("قص ولصق" المعلومات)
5.  يجب ألا يتمكن المستخدمون الذين ليس لديهم وصول إلى المعلومات من تحديد خصائصها (حجم الملف واسم الملف ومسار الدليل وما إلى ذلك)
6.  يتم تحديد الوصول إلى المعلومات بناءً على التخويلات للوصول إلى قوائم التحكم بناءً على معرف المستخدم وعضوية المجموعة.

•  التحكم في الوصول الإلزامي Mandatory Access Control

 يضمن التحكم في الوصول الإلزامي (MAC) أن تطبيق سياسة الأمن التنظيمي لا يعتمد على الامتثال الطوعي لمستخدم تطبيق الويب.  يؤمن MAC المعلومات عن طريق تعيين ملصقات حساسية للمعلومات ومقارنة ذلك بمستوى الحساسية الذي يعمل به المستخدم.  بشكل عام ، تعد آليات التحكم في الوصول إلى MAC أكثر أمانًا من DAC ومع ذلك لها مقايضات في الأداء والراحة للمستخدمين.  تقوم آليات MAC بتعيين مستوى أمان لجميع المعلومات ، وتخصيص تصريح أمني لكل مستخدم ، والتأكد من أن جميع المستخدمين لديهم فقط إمكانية الوصول إلى تلك البيانات التي لديهم تصريح خاص بها.  عادةً ما يكون MAC مناسبًا للأنظمة الآمنة للغاية بما في ذلك التطبيقات العسكرية الآمنة متعددة المستويات أو تطبيقات البيانات المهمة للمهام.  غالبًا ما يعرض نموذج التحكم في الوصول إلى MAC واحدة أو أكثر من السمات التالية.

 يقوم المسؤولون فقط ، وليس مالكو البيانات ، بإجراء تغييرات على تسمية أمان المورد.

 يتم تعيين مستوى أمان لجميع البيانات يعكس حساسيتها النسبية وسريتها وقيمة الحماية.

 يمكن لجميع المستخدمين القراءة من تصنيف أقل من التصنيف الممنوح لهم (يمكن للمستخدم "السري" قراءة مستند غير مصنف).

 يمكن لجميع المستخدمين الكتابة إلى تصنيف أعلى (يمكن للمستخدم "السري" نشر المعلومات إلى مورد شديد السرية).

 يتم منح جميع المستخدمين حق الوصول للقراءة / الكتابة إلى كائنات من نفس التصنيف فقط (لا يمكن للمستخدم "السري" سوى القراءة / الكتابة إلى مستند سري).

 الوصول مسموح به أو مقيد للكائنات بناءً على الوقت من اليوم اعتمادًا على التسمية الموجودة على المورد وبيانات اعتماد المستخدم (وفقًا للسياسة).

 الوصول مسموح به أو مقيد للكائنات بناءً على الخصائص الأمنية لعميل HTTP (مثل طول بت SSL ، ومعلومات الإصدار ، وعنوان IP الأصلي أو المجال ، وما إلى ذلك)

•  التحكم في الوصول المستند إلى الدور Role Based Access Control

 في التحكم في الوصول المستند إلى الدور (RBAC) ، تستند قرارات الوصول إلى أدوار ومسؤوليات الفرد داخل المؤسسة أو قاعدة المستخدمين.  عادة ما تعتمد عملية تحديد الأدوار على تحليل الأهداف الأساسية وهيكلية المنظمة وعادة ما تكون مرتبطة بالسياسة الأمنية.  على سبيل المثال ، في مؤسسة طبية ، قد تشمل الأدوار المختلفة للمستخدمين أدوار مثل الطبيب ، والممرضة ، والمرافق ، والممرضة ، والمرضى ، إلخ. من الواضح أن هؤلاء الأعضاء يحتاجون إلى مستويات مختلفة من الوصول من أجل أداء وظائفهم ، ولكن أيضًا الأنواع  تختلف معاملات الويب وسياقها المسموح به اعتمادًا كبيرًا على سياسة الأمان وأي لوائح ذات صلة (HIPAA ، Gramm-Leach-Bliley ، إلخ).

 يجب أن يوفر إطار التحكم في الوصول في RBAC لمسؤولي أمان تطبيقات الويب القدرة على تحديد من يمكنه تنفيذ أي إجراءات ومتى ومن أين وبأي ترتيب وفي بعض الحالات تحت أي ظروف علائقية.  يوفر http://csrc.nist.gov/rbac/ بعض الموارد الرائعة لتنفيذ RBAC.  تعرض الجوانب التالية سمات RBAC لنموذج التحكم في الوصول.

1.  يتم تعيين الأدوار على أساس الهيكل التنظيمي مع التركيز على سياسة الأمن التنظيمي
2.  يتم تعيين الأدوار من قبل المسؤول بناءً على العلاقات النسبية داخل المؤسسة أو قاعدة المستخدمين.  على سبيل المثال ، سيكون لدى المدير بعض المعاملات المصرح بها على موظفيه.  سيكون لدى المسؤول بعض المعاملات المصرح بها على نطاق واجباته المحددة (النسخ الاحتياطي ، وإنشاء الحساب ، وما إلى ذلك)
3.  يتم تخصيص ملف تعريف لكل دور يتضمن جميع الأوامر والمعاملات والوصول المسموح به إلى المعلومات.
4.  تُمنح الأدوار أذونات بناءً على مبدأ الامتياز الأقل.
5.  يتم تحديد الأدوار مع وضع فصل المهام في الاعتبار حتى لا يتداخل دور المطور مع دور مختبِر ضمان الجودة.
6.  يتم تنشيط الأدوار بشكل ثابت وديناميكي حسب الاقتضاء لبعض المشغلات العلائقية (قائمة انتظار مكتب المساعدة ، تنبيه الأمان ، بدء مشروع جديد ، إلخ)
7.  لا يمكن نقل الأدوار أو تفويضها إلا باستخدام إجراءات وإجراءات صارمة.
8.  تتم إدارة الأدوار مركزيًا بواسطة مسؤول الأمان أو قائد المشروع.

•  التحكم في الوصول المستند إلى السمات Attribute Based Access Control

 التحكم في الوصول المستند إلى السمات (ABAC) هو نموذج للتحكم في الوصول حيث يتم اتخاذ قرارات التحكم في الوصول بناءً على مجموعة من الخصائص أو السمات المرتبطة بالطلب و / أو البيئة و / أو المورد نفسه.  كل سمة هي حقل منفصل ومتميز يمكن لنقطة قرار السياسة مقارنتها بمجموعة من القيم لتحديد ما إذا كان سيتم السماح أو رفض الوصول أم لا.  لا يلزم بالضرورة أن تكون السمات مرتبطة ببعضها البعض ، وفي الواقع ، يمكن أن تأتي السمات التي تدخل في اتخاذ القرار من مصادر متباينة وغير ذات صلة.  يمكن أن تكون متنوعة مثل تاريخ تعيين الموظف أو المشاريع التي يعمل فيها الموظف أو الموقع الذي يعمل فيه الموظف أو مزيجًا مما سبق.  يجب أن يلاحظ المرء أيضًا أن دور الموظف في المنظمة يمكن أن يكون بمثابة سمة واحدة يمكن (وغالبًا ما يتم استخدامها) في اتخاذ قرار التحكم في الوصول.

 يتضمن سيناريو ABAC النموذجي الطالب الذي يحاول الوصول إلى نظام إما مباشرة أو من خلال وسيط.  سيتعين على مقدم الطلب بشكل مباشر أو غير مباشر توفير مجموعة من السمات التي سيتم استخدامها لتحديد ما إذا كان سيتم السماح بالوصول أم لا.  بمجرد أن يقدم مقدم الطلب هذه السمات ، يتم فحصها مقابل السمات المسموح بها وسيتم اتخاذ قرار بناءً على قواعد الوصول.

•  التحكم في الوصول المستند إلى السياسة Policy-Based Access Control

 تمتلك معظم المؤسسات نوعًا من السياسة وهيكل الحوكمة لضمان التنفيذ الناجح لمهمة المنظمة ، ولتخفيف المخاطر ، ولضمان المساءلة والامتثال للقوانين واللوائح ذات الصلة.  لقد كان وضع الأمن الداخلي لمعظم الشركات والمؤسسات تقليديًا خارج نطاق القانون والتنظيم ، على الرغم من أن البنوك والهيئات ذات الصلة بالحكومة والبنية التحتية الحيوية هي بعض الأمثلة البارزة للمنظمات التي مارست فيها الحكومة سلطتها للضغط من أجل تشديد الإجراءات الأمنية  ضوابط.  مع مؤسسة التنظيم والتشريع في العديد من الصناعات ، مثل Gramm-Leach-Bliley (GLBA) للخدمات المالية ، وقانون القدرة على التأمين الصحي والمساءلة (HIPAA) للرعاية الصحية ، و Sarbanes-Oxley (SOX) للشركات ، والعديد من المنظمات  يكتشفون أنهم بحاجة إلى وضع سياسات أكثر صرامة وضوابط موحدة عبر المؤسسة من أجل الامتثال.  إنهم بحاجة إلى إنشاء وفرض سياسات تحدد من يجب أن يكون له حق الوصول إلى الموارد وتحت أي ظروف.  يحتاجون أيضًا إلى وضع آليات بحيث يمكن تدقيق الوصول بسهولة لأن هذه القوانين تحمل المديرين التنفيذيين للمؤسسات المسؤولية عن تصرفات مرؤوسيهم.  يعد التحكم في الوصول المستند إلى السياسة (PBAC) نموذجًا ناشئًا يسعى إلى مساعدة المؤسسات على تلبية الحاجة إلى تنفيذ ضوابط وصول ملموسة تستند إلى سياسة مجردة ومتطلبات الحوكمة.

 بشكل عام ، يمكن القول بأن PBAC هو تنسيق وتوحيد نموذج ABAC على مستوى المؤسسة لدعم أهداف الحوكمة المحددة.  يجمع PBAC بين السمات من المورد والبيئة والطالب مع معلومات عن مجموعة معينة من المواقف التي يتم بموجبها تقديم طلب الوصول ، ويستخدم مجموعات القواعد التي تحدد ما إذا كان الوصول مسموحًا به بموجب السياسة التنظيمية لتلك السمات في ظل تلك الظروف  .

•  التحكم في الوصول التكيفي مع المخاطر Risk-Adaptive Access Control =RAdAC

 المنظمات ليست ثابتة ؛  تتطور باستمرار وتستجيب لمجموعة متنوعة من المحفزات ، والتي يمكن أن تشمل المتطلبات القانونية ، والحقائق الاقتصادية والمالية ، وتحديات السوق ، ومجموعة متنوعة من عوامل الخطر ، وأنماط السفن الرائدة.  إن طبيعتها الديناميكية تعني أن السياسات التي توجهها يجب أن تكون قابلة للتكيف أيضًا ؛  هذا يمتد بشكل طبيعي إلى أمن المنظمة ومتطلبات التحكم في الوصول أيضًا.  تعتبر التهديدات الأمنية التي تواجهها المؤسسات ديناميكية أيضًا ، لذا يجب عليها تقييم المخاطر التي تتعرض لها البنية التحتية لتكنولوجيا المعلومات والبيانات المرتبطة بها باستمرار.  حتى نماذج التحكم في الوصول الأكثر تقدمًا ، مثل ABAC و PBAC لا يمكنها تلبية الحاجة إلى الديناميكية والتغييرات في مستويات المخاطر بشكل مناسب.  تم تصميم نموذج التحكم في الوصول التكيفي مع المخاطر (RAdAC) لتوفير التحكم في الوصول في الوقت الفعلي والقابل للتكيف والواعي بالمخاطر للمؤسسة.

 يمثل RAdAC تحولًا أساسيًا في طريقة إدارة التحكم في الوصول.  وهو يمتد إلى نماذج التحكم في الوصول السابقة الأخرى من خلال إدخال الظروف البيئية ومستويات المخاطر في عملية اتخاذ قرار التحكم في الوصول ، بالإضافة إلى مفهوم "الحاجة التشغيلية".  يتجاوز RAdAC الاعتماد التقليدي على السمات والسياسات الثابتة.  فهو يجمع بين المعلومات حول جدارة الفرد (أو الجهاز) بالثقة ، ومعلومات حول البنية التحتية لتكنولوجيا المعلومات للشركة ، وعوامل المخاطر البيئية ، ويستخدم كل هذه المعلومات لإنشاء مقياس مخاطر شامل قابل للقياس الكمي.  يستخدم RAdAC أيضًا العوامل الظرفية كمدخل لعملية صنع القرار.  يمكن أن تتضمن هذه المدخلات الظرفية معلومات عن مستوى التهديد الحالي الذي تواجهه المؤسسة بناءً على البيانات التي تم جمعها من مصادر أخرى ، مثل CERTs أو بائعي الأمن.

ماهي  الدفاعات او إجراءات الوقاية  ضد هجمات التحكم في الوصول

•  تنفيذ التحكم في الوصول المستند إلى الدور لتعيين أذونات لمستخدمي التطبيق لمتطلبات التحكم في الوصول الرأسي
•  تنفيذ التحكم في الوصول إلى سياق البيانات لتعيين أذونات لمستخدمي التطبيق في سياق عناصر بيانات محددة لمتطلبات التحكم في الوصول الأفقي
•  تجنب تعيين الأذونات على أساس كل مستخدم
•  تنفيذ إجراءات متسقة للتحقق من الترخيص في جميع صفحات التطبيق
•  عند الاقتضاء ، قم بتطبيق امتيازات DENY أخيرًا ، وقم بإصدار امتيازات ALLOW على أساس كل حالة على حدة
•  حيثما أمكن تقييد وصول المسؤول إلى الأجهزة الموجودة على شبكة المنطقة المحلية (أي أنه من الأفضل تجنب وصول المسؤول عن بُعد من نقاط الوصول العامة المواجهة)
•  قم بتسجيل جميع طلبات تفويض الوصول الفاشلة إلى موقع آمن لمراجعتها من قبل المسؤولين
•  قم بإجراء مراجعات لمحاولات تسجيل الدخول الفاشلة على أساس دوري
•  استفد من نقاط القوة والوظائف التي يوفرها حل SSO الذي اخترته
•  قم بإجراء مراجعات للتحكم في الوصول فيما يتعلق بمصفوفة التحكم في الوصول لواجهة المستخدم / واجهة الوصول إلى البيانات
•  تأكد من أن مصفوفة التحكم في الوصول تلتزم بالفصل بين الواجبات - وأن مقدم الطلب لا يمكنه تنفيذ التراخيص.

المصطلحات

1. The Risk-Adaptive Access Control = RAdAC  وتعني التحكم في الوصول الخطر التكيفي. 
2. Policy-based Access Control =PBAC وتعني التحكم في الوصول المستند إلى السياسة
3.   Attribute Based Access CONTROL= ABAC وتعني التحكم في الوصول المستند إلى السمات او الصفات
4.  Role Based Access Control  =RBAC وتعني التحكم في الوصول المستند إلى الدور. 
5.  Mandatory Access Control  =MAC وتعني التحكم في الوصول الإلزامي
6.   Discretionary Access Control=  DAC وتعني التحكم في الوصول التقديرية او القاموس 

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
6.  What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 
7.   What is meant  PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني 
8.   What are the differences between  electronic signature,  digital signature and  digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة؟ 

What are the differences between  electronic signature,  digital signature and  digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة؟ 

What are the differences between  electronic signature,  digital signature and  digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة؟ 

إذا كنت قد بدأت في قراءة هذا المنشور ، فذلك لأنك تساءلت أيضًا عما إذا كان التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة هو نفسه.  ينشأ الالتباس بين هذه المصطلحات الثلاثة لأنها غالبًا ما تستخدم كمرادفات ، وفي بعض المقالات يتحدثون عن التوقيع الرقمي ، عندما يتحدثون بالفعل عن التوقيع الإلكتروني ، أو الرقمي ، أو العكس.

 الحقيقة هي أن هذه الأنواع الثلاثة من التوقيعات ليست هي نفسها ، وفي هذا المنشور نشرح كيف تختلف.

1. electronic signature التواقيع الالكترونية
2. digital signature التواقيع الرقمية 
3. digitized signature تواقيع الرقمنة

جدول المحتويات

• - الفروق بين التوقيع الالكتروني التوقيع الرقمي والتوقيع المرقمن
• - ما هو التوقيع الالكتروني؟
•  - ما هو التوقيع الرقمي؟
•  - ما هو التوقيع الرقمي؟
• خاتمة

ما هو التوقيع الالكتروني؟

 التوقيع الإلكتروني هو بيانات إلكترونية مرفقة بمعلومات معينة (أيضًا بتنسيق إلكتروني).  في الوقت نفسه ، يعد التوقيع الإلكتروني مفهومًا قانونيًا مكافئًا للتوقيع بخط اليد ويهدف إلى إثبات إرادة الموقع.

 وفقًا للائحة (الاتحاد الأوروبي) Nº 910/2014 ، التي تحدد وتنظم التوقيعات الإلكترونية في الاتحاد الأوروبي ، فإن التوقيع الإلكتروني هو "بيانات في شكل إلكتروني مرفقة أو مرتبطة منطقيًا ببيانات إلكترونية أخرى يستخدمها الموقع إلى  إشارة."

 اللائحة (EU) Nº 910/2014 ، المعروفة باسم eIDAS ، هي الإطار التنظيمي الأوروبي الذي يمنح الصلاحية القانونية للتوقيعات الإلكترونية.

 إن تعريف التوقيع الإلكتروني الوارد في اللائحة هو الأكثر جوهرية ، وهو الأساس المشترك للأنواع الثلاثة للتوقيعات الإلكترونية الموجودة:

1.  التوقيع الإلكتروني أو التوقيع الإلكتروني البسيط
2.  التوقيع الإلكتروني المتقدم
3.  التوقيع الإلكتروني المؤهل

 تختلف هذه الأنواع الثلاثة من التوقيعات الإلكترونية بشكل أساسي باختلاف مستويات الأمان الخاصة بها ، وقدرتها على ضمان (أو عدم) ، وسلامة المستندات الموقعة وقدرتها على تحديد (أو عدم تحديد) الموقّع.

ما هو التوقيع الرقمي؟

 يتكون التوقيع الرقمي من تطبيق آليات التشفير على محتوى رسالة أو وثيقة بهدف توضيح لمتلقي الرسالة أن مرسل الرسالة حقيقي (مصادقة) ، وأن الأخير لا يمكنه إنكار أنه / هي أرسل الرسالة (  عدم الرفض) وأن الرسالة لم تتغير منذ انبعاثها (سلامة).

 لذلك ، يعد التوقيع الرقمي جزءًا أساسيًا من التوقيع الإلكتروني المتقدم والتوقيع الإلكتروني المؤهل ، ولكن ليس من التوقيع الإلكتروني البسيط.

 يعد التوقيع الرقمي قانونيًا ، ولكنه ليس قانونيًا في حد ذاته ، بمعنى أن هدفه ليس الإيمان بفعل إرادة من الموقع ، ولكن فقط لتشفير بيانات المستند لمنحه أمانًا أكبر.

التوقيع الرقمي هو توقيع إلكتروني يمكن استخدامه لمصادقة هوية مرسل المستند الإلكتروني (بريد إلكتروني ، جدول بيانات ، ملف نصي ، وما إلى ذلك) ، وبالتالي ضمان عدم تغيير المحتوى الأصلي للمستند الإلكتروني.  التوقيعات الرقمية قابلة للنقل بسهولة ، ولا يمكن تقليدها من قبل شخص آخر ، ويمكن ختمها تلقائيًا.  تعني القدرة على ضمان وصول الرسالة الأصلية الموقعة أنه لا يمكن للمرسل رفضها بسهولة لاحقًا.

 يمكن استخدام التوقيع الرقمي مع أي نوع من الرسائل ، سواء كانت مشفرة أم لا ، وذلك ببساطة بحيث يمكن للمستلم التأكد من هوية المرسل ومن وصول الرسالة سليمة.  تحتوي الشهادة الرقمية على التوقيع الرقمي للسلطة التي أصدرت الشهادة بحيث يمكن لأي شخص التحقق من أن الشهادة حقيقية.

 كيف يعمل التوقيع الرقمي

 افترض أن جون بحاجة إلى إرسال عقد إلى ماري في مدينة أخرى.  يريد جون أن يعطي ماري تأكيدًا بأنه لم يتغير عما أرسله يوحنا وأنه بالفعل من يوحنا.

 يقوم جون بنسخ ولصق العقد (وهو قصير!) في ملاحظة بالبريد الإلكتروني.

 باستخدام برنامج خاص ، يحصل جون على رسالة تجزئة (ملخص رياضي) للعقد.

 يستخدم John بعد ذلك مفتاحًا خاصًا حصل عليه John سابقًا من سلطة مفاتيح عامة-خاصة لتشفير التجزئة.

 تصبح التجزئة المشفرة توقيع جون الرقمي للرسالة.  (لاحظ أنه سيكون مختلفًا في كل مرة يرسل فيها جون رسالة.)

 في الطرف الآخر ، تتلقى ماري الرسالة.

 للتأكد من أنها سليمة ومن جون ، تقوم ماري بعمل تجزئة للرسالة المستلمة.

 تستخدم ماري بعد ذلك مفتاح John العام لفك تشفير تجزئة الرسالة أو ملخصها.

 إذا تطابق التجزئات ، تكون الرسالة المستلمة صالحة.

التوقيع الرقمي هو مخطط رياضي لإثبات صحة رسالة رقمية أو وثيقة.  يعطي التوقيع الرقمي الصالح سببًا للمستلم للاعتقاد بأن الرسالة تم إنشاؤها بواسطة مرسل معروف ، بحيث لا يستطيع المرسل إنكار إرسال الرسالة (المصادقة وعدم التنصل) وأن الرسالة لم يتم تغييرها أثناء النقل (تكاملها).  تُستخدم التوقيعات الرقمية بشكل شائع لتوزيع البرامج والمعاملات المالية وفي حالات أخرى يكون من المهم فيها اكتشاف التزوير أو التلاعب.

 غالبًا ما تُستخدم التوقيعات الرقمية لتنفيذ التوقيعات الإلكترونية ، ولكن لا تستخدم جميع التوقيعات الإلكترونية التوقيعات الرقمية.  في بعض البلدان ، بما في ذلك الولايات المتحدة والهند والبرازيل وأعضاء الاتحاد الأوروبي ، تتمتع التوقيعات الإلكترونية بأهمية قانونية.

 تستخدم التوقيعات الرقمية نوعًا من التشفير غير المتماثل.  بالنسبة للرسائل المرسلة عبر قناة غير آمنة ، يعطي التوقيع الرقمي المطبق بشكل صحيح المتلقي سببًا للاعتقاد بأن الرسالة قد تم إرسالها من قبل المرسل المزعوم.  تعد التوقيعات الرقمية مكافئة للتوقيعات التقليدية المكتوبة بخط اليد في كثير من النواحي ، لكن التواقيع الرقمية المطبقة بشكل صحيح هي أصعب من تزوير الكتابة اليدوية.  تستند مخططات التوقيع الرقمي ، بالمعنى المستخدم هنا ، إلى التشفير ، ويجب تنفيذها بشكل صحيح حتى تكون فعالة.  يمكن أن توفر التوقيعات الرقمية أيضًا عدم التنصل ، مما يعني أنه لا يمكن للموقِّع أن يدعي بنجاح أنه لم يوقع على رسالة ، بينما يدعي أيضًا أن مفتاحه الخاص يظل سرًا ؛  علاوة على ذلك ، تقدم بعض مخططات عدم التنصل طابعًا زمنيًا للتوقيع الرقمي ، بحيث يكون التوقيع صالحًا حتى لو تم الكشف عن المفتاح الخاص.  قد تكون الرسائل الموقعة رقميًا أي شيء يتم تمثيله كسلسلة من وحدات البت مثل البريد الإلكتروني أو العقود أو الرسائل المرسلة عبر بروتوكول تشفير آخر.  يتكون مخطط التوقيع الرقمي عادة من ثلاث خوارزميات

•  خوارزمية لتوليد المفاتيح تختار مفتاحًا خاصًا بشكل موحد عشوائيًا من مجموعة مفاتيح خاصة محتملة.  تقوم الخوارزمية بإخراج المفتاح الخاص والمفتاح العمومي المقابل.
•  خوارزمية توقيع تنتج توقيعًا عند تلقي رسالة ومفتاح خاص.
•  خوارزمية للتحقق من التوقيع ، والتي ، عند تقديم رسالة ، ومفتاح عام وتوقيع ، إما تقبل أو ترفض مطالبة الرسالة بالأصالة.

 مطلوب خاصيتين رئيسيتين.  أولاً ، يمكن التحقق من صحة التوقيع الذي تم إنشاؤه من رسالة ثابتة ومفتاح خاص ثابت باستخدام المفتاح العمومي المقابل.  ثانيًا ، يجب أن يكون إنشاء توقيع صالح لطرف ما دون معرفة المفتاح الخاص لهذا الطرف أمرًا غير عملي من الناحية الحسابية.

فيما يلي بعض الأسباب الشائعة لتطبيق التوقيع الرقمي على الاتصالات:

•  المصادقة

 على الرغم من أن الرسائل قد تتضمن غالبًا معلومات حول الكيان الذي يرسل رسالة ، فقد لا تكون هذه المعلومات دقيقة.  يمكن استخدام التوقيعات الرقمية لمصادقة مصدر الرسائل.  عندما تكون ملكية مفتاح سري للتوقيع الرقمي مرتبطة بمستخدم معين ، فإن التوقيع الصالح يوضح أن الرسالة قد تم إرسالها بواسطة هذا المستخدم.  تتضح أهمية الثقة العالية في أصالة المرسل بشكل خاص في السياق المالي.  على سبيل المثال ، لنفترض أن المكتب الفرعي للبنك يرسل تعليمات إلى المكتب المركزي يطلب تغيير رصيد الحساب.  إذا لم يكن المكتب المركزي مقتنعًا بأن مثل هذه الرسالة قد تم إرسالها بالفعل من مصدر معتمد ، فقد يكون التصرف بناءً على مثل هذا الطلب خطأً فادحًا.

•  التكامل

 في العديد من السيناريوهات ، قد يحتاج المرسل والمستقبل للرسالة إلى الثقة في أن الرسالة لم يتم تغييرها أثناء الإرسال.  على الرغم من أن التشفير يخفي محتويات الرسالة ، فقد يكون من الممكن تغيير رسالة مشفرة دون فهمها.  (بعض خوارزميات التشفير ، المعروفة بالخوارزميات غير القابلة للتحويل ، تمنع ذلك ، لكن البعض الآخر لا يمنع ذلك). ومع ذلك ، إذا كانت الرسالة موقعة رقمياً ، فإن أي تغيير في الرسالة بعد التوقيع يبطل التوقيع.  علاوة على ذلك ، لا توجد طريقة فعالة لتعديل رسالة وتوقيعها لإنتاج رسالة جديدة بتوقيع صالح ، لأن هذا لا يزال يعتبر غير ممكن من الناحية الحسابية بواسطة معظم وظائف تجزئة التشفير (انظر مقاومة الاصطدام).

•  عدم التنصل

 يعتبر عدم التنصل ، أو بشكل أكثر تحديدًا عدم رفض الأصل ، جانبًا مهمًا من جوانب التوقيعات الرقمية.  من خلال هذه الخاصية ، لا يمكن للكيان الذي قام بالتوقيع على بعض المعلومات في وقت لاحق أن ينكر التوقيع عليها.  وبالمثل ، فإن الوصول إلى المفتاح العام فقط لا يمكّن الطرف المحتال من تزوير توقيع صالح.

 لاحظ أن خصائص المصادقة وعدم التنصل وما إلى ذلك تعتمد على المفتاح السري الذي لم يتم إلغاؤه قبل استخدامه.  يُعد الإلغاء العلني لزوج المفاتيح قدرة مطلوبة ، وإلا ستستمر المفاتيح السرية المسربة في توريط المالك المزعوم لزوج المفاتيح.  يتطلب التحقق من حالة الإبطال إجراء فحص "عبر الإنترنت" ، على سبيل المثال  التحقق من "قائمة الشهادات الباطلة" أو عبر "بروتوكول حالة الشهادة عبر الإنترنت".  هذا مشابه تقريبًا للبائع الذي يتلقى بطاقات الائتمان أولاً بالتحقق عبر الإنترنت مع جهة إصدار بطاقة الائتمان لمعرفة ما إذا تم الإبلاغ عن بطاقة معينة ضائعة أو مسروقة.  بالطبع ، مع أزواج المفاتيح المسروقة ، غالبًا ما يتم اكتشاف السرقة فقط بعد استخدام المفتاح السري ، على سبيل المثال ، للتوقيع على شهادة مزيفة لأغراض التجسس.

ما هو التوقيع المرقمن؟

 التوقيع المرقمن هو تحويل  التوقيع العادي إلى صورة.  للحصول على التوقيع النرقمن الخاص بك ، يجب عليك القيام بذلك على الورق ومسحه ضوئيًا.  أو يمكنك أيضًا القيام بذلك من خلال بعض أنواع الأجهزة ، مثل لوحة التوقيع ، والتي تتيح لك حفظ صورة توقيعك على جهاز الكمبيوتر - بتنسيق .jpg أو .png - واستخدامها في كل مرة تحتاج إليها.

 يعتبر التوقيع الرقمي توقيعًا إلكترونيًا بسيطًا ، أي أنه قانوني.  ومع ذلك ، فإنه لا يقدم أي ضمان فيما يتعلق بهوية الموقع (وهي سمة من سمات التوقيعات البسيطة).

 بالإضافة إلى ذلك ، يمكن تزوير التوقيعات الرقمية بسهولة بالغة.  ومن المفارقات أن هذا النوع من التوقيع هو الذي يستخدمه معظم الناس للتوقيع ، وبالتالي لإعطاء موافقتهم ، في العديد من الوثائق والعقود.

 

 خاتمة

 إن التوقيع على وثيقة على الورق بالقلم ، ومسحها ضوئيًا وإرسالها عبر البريد ليس هو نفسه استخدام منصة متخصصة لإنشاء التوقيعات الإلكترونية.

 توفر التوقيعات الإلكترونية دعمًا أمنيًا وقانونيًا ، وفي حالة التوقيعات الإلكترونية المتقدمة والمؤهلة ، بالإضافة إلى تحديد هوية الموقع بشكل فريد ، فإنها تضمن سلامة المعلومات الواردة في الرسالة أو المستند.

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
6.  What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 
7.   What is meant  PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني 

What is meant  PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني

يستخدم تشفير المفتاح العام (ويسمى أيضًا تشفير المفتاح غير المتماثل) زوجًا من المفاتيح لتشفير وفك تشفير المحتوى.  يتكون زوج المفاتيح من مفتاح عام وآخر خاص مرتبطين رياضيًا.  يمكن للفرد الذي ينوي التواصل بشكل آمن مع الآخرين توزيع المفتاح العام ولكن يجب عليه الحفاظ على سرية المفتاح الخاص.  يمكن فك تشفير المحتوى المشفر باستخدام أحد المفاتيح باستخدام الآخر.

كيف يعمل التشفير بالمفتاح العام PKI 

  افترض ، على سبيل المثال ، أن بوب يريد إرسال رسالة بريد إلكتروني آمنة إلى أليس.  يمكن تحقيق ذلك بالطريقة التالية

 يمتلك كل من بوب وأليس أزواج المفاتيح الخاصة بهم.  لقد احتفظوا بمفاتيحهم الخاصة بأمان لأنفسهم وأرسلوا مفاتيحهم العامة مباشرة إلى بعضهم البعض.

 يستخدم بوب مفتاح أليس العام لتشفير الرسالة وإرسالها إليها.

 تستخدم أليس مفتاحها الخاص لفك تشفير الرسالة.

 يسلط هذا المثال المبسط الضوء على أحد المخاوف الواضحة التي يجب أن يشعر بها بوب حول المفتاح العام الذي استخدمه لتشفير الرسالة.  أي أنه لا يستطيع أن يعرف على وجه اليقين أن المفتاح الذي استخدمه للتشفير يخص أليس بالفعل.  من الممكن أن يقوم طرف آخر يراقب قناة الاتصال بين بوب وأليس باستبدال مفتاح مختلف.

 تطور مفهوم البنية التحتية للمفتاح العام للمساعدة في معالجة هذه المشكلة وغيرها.  تتكون البنية التحتية للمفتاح العام (PKI) من عناصر البرامج والأجهزة التي يمكن لطرف ثالث موثوق استخدامها لإثبات تكامل المفتاح العام وملكيته.  عادةً ما يحقق الطرف الموثوق به ، المسمى بالمرجع المصدق (CA) ، ذلك عن طريق إصدار شهادات ثنائية موقعة (مشفرة) تؤكد هوية موضوع الشهادة وتربط تلك الهوية بالمفتاح العام الموجود في الشهادة.  يوقّع المرجع المصدق على الشهادة باستخدام مفتاحه الخاص.  تصدر المفتاح العام المطابق لجميع الأطراف المعنية في شهادة CA موقعة ذاتيًا.  عند استخدام مرجع مصدق ، يمكن تعديل المثال السابق بالطريقة التالية

 افترض أن المرجع المصدق قد أصدر شهادة رقمية موقعة تحتوي على مفتاحها العام.  يقوم المرجع المصدق (CA) بالتوقيع الذاتي على هذه الشهادة باستخدام المفتاح الخاص الذي يتوافق مع المفتاح العام في الشهادة.

 توافق أليس وبوب على استخدام CA للتحقق من هوياتهما.

 تطلب أليس شهادة مفتاح عام من CA.

 يتحقق المرجع المصدق من هويتها ، ويحسب تجزئة المحتوى الذي سيشكل شهادتها ، ويوقع التجزئة باستخدام المفتاح الخاص الذي يتوافق مع المفتاح العام في شهادة المرجع المصدق المنشورة ، وينشئ شهادة جديدة من خلال تسلسل محتوى الشهادة و  علامة التجزئة الموقعة ، وإتاحة الشهادة الجديدة للجمهور.

 يسترد بوب الشهادة ويفك تشفير التجزئة الموقعة باستخدام المفتاح العام للمرجع المصدق ويحسب تجزئة جديدة لمحتوى الشهادة ويقارن بين التجزئةتين.  إذا تطابق التجزئات ، يتم التحقق من التوقيع ويمكن أن يفترض بوب أن المفتاح العام في الشهادة يخص أليس بالفعل.

 يستخدم بوب مفتاح أليس العام الذي تم التحقق منه لتشفير رسالة لها.

 تستخدم أليس مفتاحها الخاص لفك تشفير الرسالة من بوب.

 باختصار ، تمكّن عملية توقيع الشهادة بوب من التحقق من عدم العبث بالمفتاح العام أو إتلافه أثناء النقل.  قبل إصدار الشهادة ، تقوم سلطة إصدار الشهادات بتجزئة المحتويات ، وتوقيع (تشفير) التجزئة باستخدام مفتاحها الخاص ، وتضمين التجزئة المشفرة في الشهادة الصادرة.  يتحقق بوب من محتويات الشهادة عن طريق فك تشفير التجزئة باستخدام مفتاح CA العام ، وإجراء تجزئة منفصلة لمحتويات الشهادة ، ومقارنة التجزئتين.  إذا كانت متطابقة ، يمكن أن يكون بوب متأكدًا بشكل معقول من أن الشهادة والمفتاح العام الذي تحتوي عليه لم يتم تغييرهما.  يتكون PKI النموذجي من العناصر التالية.

ماهي عناصر ومكونات المفتاح العام PKI

العنصر	وصف
Certification Authority هيئة إصدار الشهادات	يعمل كجذر الثقة في البنية التحتية للمفتاح العام ويوفر خدمات تصادق على هوية الأفراد وأجهزة الكمبيوتر والكيانات الأخرى في الشبكة.
Registration Authority سلطة التسجيل	معتمدًا من مرجع مصدق جذري لإصدار شهادات لاستخدامات معينة يسمح بها الجذر. في Microsoft PKI ، عادة ما تسمى سلطة التسجيل (RA) بالمرجع المصدق الثانوي.
Certificate Database قاعدة بيانات الشهادات	يحفظ طلبات الشهادات والشهادات الصادرة والمبطلة وطلبات الشهادات في CA أو RA.
Certificate Store مخزن الشهادات	يحفظ الشهادات الصادرة وطلبات الشهادات المعلقة أو المرفوضة على الكمبيوتر المحلي.
Key Archival Server خادم الأرشيف الرئيسي	يحفظ المفاتيح الخاصة المشفرة في قاعدة بيانات الشهادات للاسترداد بعد الضياع.

PKI هو ترتيب يربط المفاتيح العمومية بهويات المستخدمين الخاصة عن طريق سلطة تصديق (CA).  يجب أن تكون هوية المستخدم فريدة داخل كل مجال CA.  يمكن لسلطة المصادقة الخارجية (VA) توفير هذه المعلومات نيابة عن CA.  يتم إنشاء الارتباط من خلال عملية التسجيل والإصدار ، والتي ، وفقًا لمستوى ضمان الارتباط ، يمكن تنفيذها بواسطة برنامج في CA أو تحت إشراف بشري.  يُطلق على دور PKI الذي يضمن هذا الربط اسم سلطة التسجيل (RA) ، والتي تضمن أن المفتاح العام مرتبط بالفرد الذي تم تعيينه له بطريقة تضمن عدم التنصل.

المصطلحات في المقال

1. certificate authority (CA). سلطة الشهادات او سلطة التصديق. 
2. validation authority (VA) سلطة التحقق. 
3. registration authority (RA) سلطة التسجيل.
4.  PKI (public key infrastructure) بنية المفتاح العام. 

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
6.  What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 

 What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني

What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 

تسمى البيانات التي يمكن قراءتها وفهمها دون أي تدابير خاصة نص عادي أو نص واضح.  يُطلق على طريقة إخفاء النص العادي بطريقة تخفي جوهره اسم التشفير.  يؤدي تشفير النص العادي إلى هراء غير قابل للقراءة يسمى النص المشفر.  إنك تستخدم التشفير لضمان إخفاء المعلومات عن أي شخص ليس المقصود بها ، حتى أولئك الذين يمكنهم رؤية البيانات المشفرة.  تسمى عملية إعادة النص المشفر إلى نصه الأصلي بفك التشفير.

العناصر الأساسية لأمن البيانات

 هناك ثلاثة عناصر أساسية لأمن البيانات.  تُعرف السرية والتكامل والمصادقة باسم تشفير بيانات ثلاثي CIA الذي يوفر السرية ، ويوفر تجزئة الرسائل المتكاملة وتوفر التوقيعات الرقمية للرسائل المصادقة.  يقدم التشفير

ماهي  العناصر الأربعة الأساسية التالية

•  السرية Confidentiality- ضمان أن المستخدمين المصرح لهم فقط هم من يمكنهم قراءة المعلومات السرية أو استخدامها.
•  المصادقة Authentication- هي التحقق من هوية الكيانات التي تتواصل عبر الشبكة.
•  التكامل Integrity- هي التحقق من أن المحتويات الأصلية للمعلومات لم يتم تغييرها أو إتلافها.
•  عدم التنصل Non-repudiation- هو التأكيد على أن طرفًا في الاتصال لا يمكنه أن ينكر خطأً حدوث جزء من الاتصال الفعلي.

ماهي  شروط التشفير الهامة

•  الخوارزمية Algorithm- مجموعة القواعد الرياضية المستخدمة في التشفير وفك التشفير.
•  التشفير Cryptography- علم الكتابة السرية الذي يمكّنك من تخزين البيانات ونقلها في شكل متاح فقط للأفراد المعنيين.
•  نظام التشفير Cryptosystem- تنفيذ الأجهزة أو البرامج للتشفير الذي يحول الرسالة إلى نص مشفر والعودة إلى نص عادي.
•  تحليل التشفير Cryptanalysis- ممارسة الحصول على نص عادي من نص مشفر بدون مفتاح أو كسر التشفير.
•  نص مشفر Ciphertext- بيانات بتنسيق مشفر أو غير قابل للقراءة.
•  التشفير Encipher- إجراء تحويل البيانات إلى تنسيق غير قابل للقراءة.
•  فك التشفير Decipher- إجراء تحويل البيانات إلى تنسيق قابل للقراءة.
•  المفتاح Key- التسلسل السري للبتات والتعليمات التي تحكم فعل التشفير وفك التشفير.
•  مجموعة المفاتيح Key clustering- المثيل عند قيام مفتاحين مختلفين بإنشاء نفس النص المشفر من نفس النص العادي.
•  Keyspace - القيم المحتملة المستخدمة لإنشاء بيانات نص عادي للمفاتيح بتنسيق قابل للقراءة ، يُشار إليه أيضًا بالنص الواضح.

 ما هي أنواع خوارزميات التشفير

 هناك عدة طرق لتصنيف خوارزميات التشفير مثل التصنيف بناءً على عدد المفاتيح المستخدمة للتشفير وفك التشفير ، والمحددة من خلال تطبيقها واستخدامها.  الأنواع الثلاثة للخوارزميات التي يتم تصنيفها عادةً هي

•  تشفير المفتاح السري (SKC) - يستخدم مفتاحًا واحدًا لكل من التشفير وفك التشفير
•  تشفير المفتاح العام (PKC) - يستخدم مفتاحًا واحدًا للتشفير وآخر لفك التشفير
•  دوال التجزئة  hash- تستخدم تحويلاً رياضياً "لتشفير" المعلومات بشكل لا رجوع فيه

 تشفير المفتاح المتماثل وغير المتماثل Symmetric and Asymmetric key Cryptography

 النوعان الأساسيان من التشفير هما تشفير المفتاح المتماثل وغير المتماثل.

•  تشفير المفتاح المتماثل - يعني أن كلاً من المرسل والمستقبل يستخدمان نفس المفتاح السري لتشفير البيانات وفك تشفيرها.  يتم تطبيق مفتاح سري ، والذي يمكن أن يكون رقمًا أو كلمة أو مجرد سلسلة من الأحرف العشوائية ، على نص رسالة لتغيير المحتوى بطريقة معينة.  قد يكون هذا بسيطًا مثل تبديل كل حرف بعدد من الأماكن في الأبجدية.

 طالما أن كلاً من المرسل والمستلم يعرفان المفتاح السري ، فيمكنهما تشفير وفك تشفير جميع الرسائل التي تستخدم هذا المفتاح.  عيب تشفير المفتاح المتماثل هو عدم وجود طريقة آمنة لمشاركة المفتاح بين أنظمة متعددة.  تحتاج الأنظمة التي تستخدم تشفير المفتاح المتماثل إلى استخدام طريقة غير متصلة بالإنترنت لنقل المفاتيح من نظام إلى آخر.  هذا غير عملي في بيئة كبيرة مثل الإنترنت ، حيث لا يوجد العملاء والخوادم في نفس المكان الفعلي.  قوة تشفير المفتاح المتماثل هي تشفير سريع ومجمّع.  تتمثل نقاط الضعف في تشفير المفتاح المتماثل في التوزيع الرئيسي وإمكانية التوسع والأمان المحدود (السرية فقط) وحقيقة أنه لا يوفر عدم التنصل ، مما يعني أنه يمكن إثبات هوية المرسل.

 من أمثلة الخوارزميات المتماثلة DES (معيار تشفير البيانات) و 3DES و AES (معيار التشفير المتقدم) و IDEA (خوارزمية تشفير البيانات الدولية) و Twofish و RC4 (Rivest Cipher 4)

•  تشفير المفتاح غير المتماثل (أو العام) - تم إنشاؤه لمعالجة نقاط الضعف في إدارة وتوزيع المفاتيح المتماثلة.  لكنك تعتقد بوجود مشكلة في المفاتيح السرية: كيف يمكن تبادلها بأمان عبر شبكة غير آمنة بطبيعتها مثل الإنترنت؟

 يمكن لأي شخص يعرف المفتاح السري فك تشفير الرسالة ، لذلك من المهم الحفاظ على أمان المفتاح السري.  يستخدم التشفير غير المتماثل مفتاحين مرتبطين يعرفان باسم زوج المفاتيح.  يتم توفير مفتاح عام لأي شخص قد يرغب في إرسال رسالة مشفرة إليك.  يتم الاحتفاظ بالمفتاح الخاص الثاني سرًا ، حتى تعرفه أنت فقط.  لا يمكن فك تشفير أي رسائل (نصية أو ملفات ثنائية أو مستندات) تم تشفيرها باستخدام المفتاح العام إلا باستخدام المفتاح الخاص المطابق.  لا يمكن فك تشفير أي رسالة مشفرة باستخدام المفتاح الخاص إلا باستخدام المفتاح العام المطابق.  هذا يعني أنه لا داعي للقلق بشأن تمرير المفاتيح العامة عبر الإنترنت لأنها بطبيعتها متاحة لأي شخص.  ومع ذلك ، فإن مشكلة التشفير غير المتماثل هي أنه أبطأ من التشفير المتماثل.  يتطلب قوة معالجة أكبر بكثير لتشفير وفك تشفير محتوى الرسالة.

 تستند العلاقة بين المفتاحين في تشفير المفتاح غير المتماثل على الصيغ الرياضية المعقدة.  تتمثل إحدى طرق إنشاء زوج المفاتيح في استخدام تحليل الأعداد الأولية إلى عوامل.  آخر هو استخدام اللوغاريتمات المنفصلة.  تعتمد أنظمة التشفير غير المتماثلة على وظائف أحادية الاتجاه تعمل بمثابة باب سحري.  في الأساس ، يكون التشفير أحادي الاتجاه حيث لا يستطيع نفس المفتاح فك تشفير الرسائل التي قام بتشفيرها.  يوفر المفتاح الخاص المرتبط معلومات لجعل فك التشفير ممكنًا.  يتم تضمين المعلومات حول الوظيفة في المفتاح العام ، في حين أن المعلومات حول Trapdoor موجودة في المفتاح الخاص.

 يعرف أي شخص لديه المفتاح الخاص وظيفة trapdoor ويمكنه حساب المفتاح العام.  لاستخدام التشفير غير المتماثل ، يجب أن تكون هناك طريقة لنقل المفاتيح العامة.  الأسلوب النموذجي هو استخدام شهادات X.509 الرقمية (المعروفة أيضًا باسم الشهادات).  الشهادة عبارة عن ملف معلومات يحدد مستخدمًا أو خادمًا ، ويحتوي على اسم المؤسسة والمؤسسة التي أصدرت الشهادة وعنوان البريد الإلكتروني للمستخدم والبلد والمفتاح العام.

 عندما يطلب الخادم والعميل اتصالاً مشفرًا آمنًا ، فإنهم يرسلون استعلامًا عبر الشبكة إلى الطرف الآخر ، والذي يرسل نسخة من الشهادة مرة أخرى.  يمكن استخراج المفتاح العام للطرف الآخر من الشهادة.  يمكن أيضًا استخدام الشهادة لتعريف حاملها بشكل فريد.  يمكن استخدام التشفير غير المتماثل لتشفير البيانات والتوقيعات الرقمية.

 يمكن أن يوفر التشفير غير المتماثل السرية والمصادقة وعدم التنصل.  تشمل نقاط القوة في تشفير المفتاح غير المتماثل توزيع المفاتيح وقابلية التوسع والسرية والمصادقة وعدم التنصل.  يتمثل ضعف تشفير المفتاح غير المتماثل في أن العملية بطيئة وتتطلب عادةً مفتاحًا أطول بكثير.  الذهاب مناسب فقط لكميات صغيرة من البيانات بسبب بطء تشغيله.

 تبادل المفاتيح الخاصة والعامة Private and Public Key Exchange 

 يُطلق على تبادل المفاتيح أيضًا اسم إنشاء المفتاح ، وهو طريقة لتبادل مفاتيح التشفير بين المستخدمين باستخدام خوارزمية تشفير.  إذا كان التشفير عبارة عن تشفير مفتاح متماثل ، فسيحتاج كلاهما إلى نسخة من نفس المفتاح.  إذا كان مفتاح التشفير غير المتماثل مع خاصية المفتاح العام / الخاص ، فسيحتاج كلاهما إلى المفتاح العام للآخر.

 قبل أي اتصال آمن ، يجب على المستخدمين إعداد تفاصيل التشفير.  في بعض الحالات ، قد يتطلب ذلك تبادل مفاتيح متطابقة (في حالة نظام المفاتيح المتماثل).  في حالات أخرى ، قد يتطلب الأمر امتلاك المفتاح العام للطرف الآخر.  بينما يمكن تبادل المفاتيح العامة بشكل مفتوح (يتم الاحتفاظ بالمفتاح الخاص بكل منها سرًا) ، يجب تبادل المفاتيح المتماثلة عبر قناة اتصال آمنة.

 في السابق ، كان تبادل مثل هذا المفتاح مزعجًا للغاية ، وتم تسهيله إلى حد كبير من خلال الوصول إلى القنوات الآمنة مثل الحقيبة الدبلوماسية.  إن تبادل النص الواضح للمفاتيح المتماثلة سيمكن أي معترض من معرفة المفتاح على الفور وأي بيانات مشفرة.

 أدى تقدم تشفير المفتاح العام في السبعينيات إلى جعل تبادل المفاتيح أقل إزعاجًا.  منذ نشر بروتوكول تبادل المفاتيح Diffie-Hellman في عام 1975 ، أصبح من الممكن تبادل مفتاح عبر قناة اتصالات غير آمنة ، مما قلل بشكل كبير من مخاطر الكشف عن المفتاح أثناء التوزيع.  من الممكن ، باستخدام شيء يشبه رمز الكتاب ، تضمين المؤشرات الرئيسية كنص واضح مرفق برسالة مشفرة.  كانت تقنية التشفير التي استخدمها كاتب الشفرات في Richard Sorge من هذا النوع ، حيث تشير إلى صفحة في دليل إحصائي ، على الرغم من أنها كانت في الواقع رمزًا.  كان مفتاح التشفير المتماثل للجيش الألماني من نوع مختلط في وقت مبكر من استخدامه ؛  كان المفتاح عبارة عن مزيج من جداول المفاتيح الموزعة سرًا ومكون مفتاح الجلسة الذي يختاره المستخدم لكل رسالة.

 في الأنظمة الأكثر حداثة ، مثل الأنظمة المتوافقة مع OpenPGP ، يتم توزيع مفتاح جلسة لخوارزمية مفتاح متماثل مشفرًا بواسطة خوارزمية مفتاح غير متماثل.  يتجنب هذا النهج حتى ضرورة استخدام بروتوكول تبادل المفاتيح مثل تبادل مفاتيح Diffie-Hellman.

 طريقة أخرى لتبادل المفاتيح تتضمن تغليف مفتاح واحد في الآخر.  عادةً ما يتم إنشاء مفتاح رئيسي وتبادله باستخدام طريقة آمنة.  عادة ما تكون هذه الطريقة مرهقة أو باهظة الثمن (تقسيم مفتاح رئيسي إلى أجزاء متعددة وإرسال كل منها مع ساعي موثوق به على سبيل المثال) وليست مناسبة للاستخدام على نطاق أوسع.  بمجرد استبدال المفتاح الرئيسي بأمان ، يمكن استخدامه بعد ذلك لتبادل المفاتيح اللاحقة بأمان بسهولة.  عادة ما تسمى هذه التقنية Key Wrap.  تستخدم تقنية شائعة تستخدم شفرات الكتلة ووظائف تجزئة التشفير.

 تتمثل إحدى الطرق ذات الصلة في تبادل مفتاح رئيسي (يسمى أحيانًا مفتاح جذر) واشتقاق مفاتيح فرعية حسب الحاجة من هذا المفتاح وبعض البيانات الأخرى (غالبًا ما يشار إليها على أنها بيانات التنويع).  ربما يكون الاستخدام الأكثر شيوعًا لهذه الطريقة هو في أنظمة التشفير القائمة على البطاقة الذكية ، مثل تلك الموجودة في البطاقات المصرفية.  يقوم البنك أو شبكة الائتمان بتضمين مفتاحهم السري في مخزن المفاتيح الآمن للبطاقة أثناء إنتاج البطاقة في منشأة إنتاج آمنة.  بعد ذلك ، عند نقطة البيع ، يستطيع كل من قارئ البطاقة والبطاقة استنباط مجموعة مشتركة من مفاتيح الجلسة بناءً على المفتاح السري المشترك والبيانات الخاصة بالبطاقة (مثل الرقم التسلسلي للبطاقة).  يمكن أيضًا استخدام هذه الطريقة عندما يجب أن تكون المفاتيح مرتبطة ببعضها البعض (على سبيل المثال ، مفاتيح الأقسام مرتبطة بمفاتيح الأقسام والمفاتيح الفردية مرتبطة بمفاتيح الأقسام).  ومع ذلك ، فإن ربط المفاتيح ببعضها البعض بهذه الطريقة يزيد من الضرر الذي قد ينجم عن خرق أمني حيث سيتعلم المهاجمون شيئًا عن أكثر من مفتاح واحد.  هذا يقلل من الانتروبيا ، فيما يتعلق بالمهاجم ، لكل مفتاح متورط.

 اثنان من أكثر خوارزميات تبادل المفاتيح شيوعًا هما

•  خوارزمية Diffie-Hellman Key Agreement
•  عملية تبادل مفتاح RSA

 توفر كلتا الطريقتين تبادل مفاتيح آمن للغاية بين الأطراف المتصلين.  لا يستطيع الدخيل الذي يعترض اتصالات الشبكة تخمين أو فك تشفير المفتاح السري المطلوب لفك تشفير الاتصالات بسهولة.  تختلف الآليات والخوارزميات الدقيقة المستخدمة لتبادل المفاتيح لكل تقنية أمان.  بشكل عام ، توفر خوارزمية Diffie-Hellman Key Agreement أداءً أفضل من خوارزمية تبادل المفاتيح RSA.

 اتفاقية Diffie-Hellman Key

 - تم اقتراح تشفير المفتاح العام علنًا لأول مرة في عام 1975 من قبل باحثين من جامعة ستانفورد ويتفيلد ديفي ومارتن هيلمان لتوفير حل آمن لتبادل المعلومات بشكل سري عبر الإنترنت.  يوضح الشكل 14.5 العملية الأساسية لاتفاقية Diffie-Hellman Key.

لا تعتمد اتفاقية مفتاح Diffie-Hellman على التشفير وفك التشفير ، ولكنها تعتمد بدلاً من ذلك على وظائف رياضية تمكن طرفين من إنشاء مفتاح سري مشترك لتبادل المعلومات بشكل سري عبر الإنترنت.  بشكل أساسي ، يوافق كل طرف على قيمة عامة g وعدد أولي كبير p.  بعد ذلك ، يختار أحد الطرفين قيمة سرية x ويختار الطرف الآخر قيمة سرية y.  يستخدم كلا الطرفين قيمهما السرية لاشتقاق القيم العامة ، g x mod p و g y mod p ، وتبادل القيم العامة.  ثم يستخدم كل طرف القيمة العامة للطرف الآخر لحساب المفتاح السري المشترك الذي يستخدمه كلا الطرفين للاتصالات السرية.  لا يمكن لطرف ثالث اشتقاق المفتاح السري المشترك لأنه لا يعرف أيًا من القيم السرية ، x أو y.

 على سبيل المثال ، تختار Alice القيمة السرية x وترسل القيمة العامة g x mod p إلى Bob.  يختار بوب القيمة السرية y ويرسل القيمة العامة g y mod p إلى Alice.  تستخدم أليس القيمة g xy mod p كمفتاحها السري للاتصالات السرية مع Bob.  يستخدم بوب القيمة g yx mod p كمفتاح سري.  نظرًا لأن g xy mod p يساوي g yx mod p ، يمكن لأليس وبوب استخدام مفاتيحهما السرية مع خوارزمية مفاتيح متماثلة لإجراء اتصالات سرية عبر الإنترنت.  يضمن استخدام وظيفة modulo أنه يمكن للطرفين حساب نفس قيمة المفتاح السري ، لكن المتصنت لا يمكنه ذلك.  يمكن للتنصت أن يعترض قيم g و p ، ولكن بسبب المشكلة الرياضية الصعبة للغاية الناتجة عن استخدام عدد أولي كبير في mod p ، لا يمكن للمتنصت أن يحسب بشكل عملي إما القيمة السرية x أو القيمة السرية y.  المفتاح السري معروف فقط لكل طرف ولا يكون مرئيًا أبدًا على الشبكة.

 يتم استخدام تبادل مفاتيح Diffie-Hellman على نطاق واسع مع تفاصيل فنية مختلفة بواسطة تقنيات أمان الإنترنت ، مثل IPSec و TLS ، لتوفير تبادل مفاتيح سري للاتصالات السرية عبر الإنترنت.  للمناقشات التقنية حول اتفاقية مفتاح Diffie-Hellman وكيفية تنفيذها في تقنيات الأمان ، راجع أدبيات التشفير المشار إليها ضمن

 خوارزمية المفتاح المتبادل RSA Key Exchange - 

خوارزميات Rivest-Shamir-Adleman (RSA) المتاحة من RSA Data Security، Inc. ، هي خوارزميات تشفير المفتاح العام الأكثر استخدامًا.  بالنسبة إلى تبادل مفاتيح RSA ، يتم تبادل المفاتيح السرية بشكل آمن عبر الإنترنت عن طريق تشفير المفتاح السري بالمفتاح العام للمستلم المقصود.  يمكن للمستلم المقصود فقط فك تشفير المفتاح السري لأنه يتطلب استخدام المفتاح الخاص للمستلم.  لذلك ، لا يمكن لأي طرف ثالث يعترض المفتاح السري المشفر والمشترك فك تشفيره واستخدامه.  يوضح الشكل أدناه عملية تبادل مفتاح RSA الأساسية.

تستخدم بعض تقنيات الأمان عملية تبادل مفاتيح RSA لحماية مفاتيح التشفير.  على سبيل المثال ، يستخدم EFS عملية تبادل مفاتيح RSA لحماية مفاتيح التشفير المجمعة المستخدمة لتشفير الملفات وفك تشفيرها.

 شفرات الكتل و التدفق  Stream and Block Ciphers

 شفرات الكتل وشفرات التدفق هما نوعان من شفرات التشفير.

•  شفرات الكتل  Block Ciphers - هي شفرات تشفير تعمل عن طريق تشفير كمية ثابتة أو "كتلة" من البيانات.  حجم الكتلة الأكثر شيوعًا هو 64 بت من البيانات.  يتم تشفير هذا الجزء أو الكتلة من البيانات كوحدة واحدة من النص الواضح.  عندما يتم استخدام تشفير الكتلة للتشفير وفك التشفير ، يتم تقسيم الرسالة إلى كتل من البتات.  ثم يتم وضع الكتل من خلال واحدة أو أكثر من طرق الخلط التالية مثل الاستبدال والتبديل والارتباك والانتشار.

•  تشفيير بيانات التدفق  Stream Cipher- يقوم بتشفير أجزاء مفردة من البيانات كدفق مستمر من بتات البيانات.  عادةً ما يتم تنفيذ أصفار الدفق بسرعة أعلى من شفرات الكتلة وتكون مناسبة لاستخدام الأجهزة.  ثم يجمع تشفير التدفق بين بت نص عادي مع دفق بتات مشفر شبه عشوائي عن طريق عملية XOR (عملية OR حصرية).

 تشفير المفتاح السري Secret Key Cryptography

 إنه نظام تشفير يشترك فيه مرسل الرسالة ومتلقيها في مفتاح واحد مشترك يستخدم لتشفير الرسالة وفك تشفيرها.  أنظمة المفاتيح السرية أبسط وأسرع ، لكن عيبها الرئيسي هو أنه يجب على الطرفين بطريقة ما تبادل المفتاح بطريقة آمنة.  يتجنب تشفير المفتاح العام هذه المشكلة لأنه يمكن توزيع المفتاح العام بطريقة غير آمنة ، ولا يتم نقل المفتاح الخاص مطلقًا.  يسمى تشفير المفتاح السري أيضًا تشفير المفتاح المتماثل.  أكثر أنظمة المفاتيح المتماثلة شيوعًا هو معيار تشفير البيانات (DES).

ماهو  DES - 

معيار تشفير البيانات (DES) عبارة عن تشفير جماعي يستخدم التشفير السري المشترك.  تم اختياره من قبل المكتب الوطني للمعايير كمعيار رسمي لمعالجة المعلومات الفيدرالية (FIPS) للولايات المتحدة في عام 1976 والذي تمتعت لاحقًا باستخدامه على نطاق واسع على المستوى الدولي.  يعتمد على خوارزمية مفتاح متماثل يستخدم مفتاح 56 بت.  كانت الخوارزمية مثيرة للجدل في البداية مع عناصر تصميم سرية ، وطول مفتاح قصير نسبيًا ، وشكوك حول باب خلفي لوكالة الأمن القومي (NSA).  وبالتالي ، خضعت DES لتدقيق أكاديمي مكثف ألهم الفهم الحديث لأصفار الكتلة وتحليل الشفرات الخاصة بهم.

 يعتبر DES الآن غير آمن للعديد من التطبيقات.  ويرجع ذلك أساسًا إلى أن حجم المفتاح 56 بت صغير جدًا ؛  في كانون الثاني (يناير) 1999 ، تعاون موقع Distributed.net مع مؤسسة Electronic Frontier Foundation لكسر مفتاح DES بشكل علني خلال 22 ساعة و 15 دقيقة.  هناك أيضًا بعض النتائج التحليلية التي توضح نقاط الضعف النظرية في التشفير ، على الرغم من صعوبة تصاعدها في الممارسة العملية.  يُعتقد أن الخوارزمية آمنة عمليًا في شكل Triple DES ، على الرغم من وجود هجمات نظرية.  في السنوات الأخيرة ، تم استبدال التشفير بمعيار التشفير المتقدم (AES).  علاوة على ذلك ، تم سحب DES كمعيار من قبل المعهد الوطني للمعايير والتكنولوجيا (سابقًا المكتب الوطني للمعايير).

 Triple DES - يشار إليه أيضًا باسم 3DES ، وهو وضع من خوارزمية تشفير DES الذي يقوم بتشفير البيانات ثلاث مرات.  يتم استخدام ثلاثة مفاتيح 64 بت ، بدلاً من مفتاح واحد ، لطول مفتاح إجمالي يبلغ 192 بت (يتم تشفير التشفير الأول بالمفتاح الثاني ، ويتم تشفير نص التشفير الناتج مرة أخرى باستخدام مفتاح ثالث).

 صدق المعهد الوطني للمعايير والتكنولوجيا (NIST) على معيار التشفير المتقدم (AES) كبديل لـ DES.  أيدت NIST Triple DES كمعيار مؤقت لاستخدامه حتى يتم الانتهاء من AES.  على الرغم من أن AES قوي على الأقل مثل Triple DES ، إلا أنه أسرع بشكل ملحوظ.  تدعم العديد من أنظمة الأمان كلاً من Triple DES و AES.  AES هي الخوارزمية الافتراضية ، بينما يتم الحفاظ على Triple DES غالبًا للتوافق مع الإصدارات السابقة.

 مصادقة الرسالة Message Authentication

 تسمح مصادقة الرسالة لطرف واحد - المرسل - بإرسال رسالة إلى طرف آخر - المتلقي - بطريقة أنه إذا تم تعديل الرسالة في الطريق ، فمن المؤكد أن المستقبل سيكتشف ذلك.  تسمى مصادقة الرسائل أيضًا مصادقة أصل البيانات.  يقال إن مصادقة الرسالة تحمي سلامة الرسالة ، مما يضمن أن كل رسالة يتم استلامها وتعتبر مقبولة تصل في نفس الحالة التي تم إرسالها بها - مع عدم إدراج أي أجزاء أو فقدها أو تعديلها.

 توفر مصادقة الرسائل خدمتين.  يوفر طريقة لضمان سلامة الرسالة وطريقة للتحقق من مرسل الرسالة.  لطلب المصادقة ، يجب على التطبيق المرسل تعيين مستوى المصادقة للرسالة المراد مصادقتها.  المصادقة من أجل سلامة الرسالة تضمن عدم تلاعب أي شخص بالرسالة أو تغيير محتواها.

 هناك طريقتان لإنتاج رمز مصادقة الرسالة:

•  معيار تشفير البيانات (DES)
•  فحص التكرار الدوري (CRC)

 رمز مصادقة الرسالة Message Authentication Code -

 يطلق عليه أيضًا اسم MAC.  رمز مصادقة الرسالة (MAC) هو مجموع تدقيق تشفير على البيانات يستخدم مفتاح جلسة لاكتشاف كل من التعديلات العرضية والمتعمدة للبيانات.  إنه رمز أمان يتم كتابته بواسطة مستخدم الكمبيوتر للوصول إلى الحسابات أو البوابات.  هذا الرمز مرفق بالرسالة أو الطلب المرسل من قبل المستخدم.  يجب أن يتعرف نظام الاستقبال على رموز مصادقة الرسائل (MAC) المرفقة بالرسالة من أجل منح وصول المستخدم.  تُستخدم أنظمة MAC بشكل شائع في عمليات تحويل الأموال الإلكترونية (EFTs) للحفاظ على سلامة المعلومات.

 تتضمن تقنية رمز مصادقة الرسالة استخدام مفتاح سري لتوليد كتلة صغيرة من البيانات التي يتم إلحاقها بالرسالة.  تفترض هذه التقنية أن هناك طرفين متصلين ، يقول A و B ، يشتركان في مفتاح سري مشترك KAB.  عندما يكون لدى A رسالة لإرسالها إلى B ، فإنه يحسب رمز مصادقة الرسالة كدالة للرسالة والمفتاح: MACM = F (KAB، M).  يتم إرسال رمز بالإضافة إلى الرسالة إلى المستلم المقصود.  

يقوم المستلم بنفس العملية الحسابية على الرسالة المستلمة ، باستخدام نفس مفتاح السر ، لإنشاء رمز مصادقة رسالة جديد.  تتم مقارنة الكود المستلم بالرمز المحسوب.  إذا افترضنا أن المستلم والمرسل فقط يعرفان هوية المفتاح ، وإذا كان الرمز المستلم يطابق الكود المحسوب ، إذن

•  يتأكد المتلقي من عدم تغيير الرسالة.
•  يتأكد المتلقي من أن الرسالة واردة من المرسل المزعوم.  نظرًا لعدم معرفة أي شخص آخر بالمفتاح السري ، لا يمكن لأي شخص آخر إعداد رسالة برمز مناسب.
•  إذا كانت الرسالة تحتوي على رقم تسلسلي ، فيمكن عندئذ التأكد من التسلسل الصحيح للمتلقي ، لأن المهاجم لا يمكنه تغيير الرقم التسلسلي بنجاح.

 يمكن استخدام عدد من الخوارزميات لإنشاء الكود.  يوصي المكتب الوطني للمعايير ، في منشوره DES Modes of Operation ، باستخدام خوارزمية تشفير البيانات (DEA).

 دوال  التجزئة hash

 تأخذ دالة التجزئة مجموعة من الأحرف (تسمى مفتاحًا) وترسمها إلى قيمة بطول معين (تسمى قيمة التجزئة أو التجزئة).  تمثل قيمة التجزئة سلسلة الأحرف الأصلية ، ولكنها عادةً ما تكون أصغر من الأصل.  يتم استخدام التجزئة في التشفير وأيضًا لفهرسة العناصر وتحديد موقعها في قواعد البيانات.

 تقوم دالة التجزئة hash بتعيين المفاتيح إلى أعداد صحيحة صغيرة (مجموعات).  تقوم دالة التجزئة المثالية بتعيين المفاتيح إلى الأعداد الصحيحة بطريقة عشوائية ، بحيث يتم توزيع قيم المجموعة بالتساوي حتى في حالة وجود انتظام في بيانات الإدخال.  يمكن تقسيم هذه العملية إلى خطوتين مثل

•  تعيين المفتاح إلى عدد صحيح.
•  تعيين العدد الصحيح إلى الصندوق bucket .

ملاحظة المقصود بالتعيين هو الاسناد اي اعطاء او وضع قيم. 

 تقوم دالة التجزئة  hash البسيطة بتعيين مفتاح عدد صحيح واحد (k) إلى قيمة دلو عدد صحيح صغير h (k).  m هو حجم جدول التجزئة (عدد الحاويات).  قليل من وظائف التجزئة البسيطة هي

•  طريقة القسمة (Cormen) اختر مفتاح رئيسًا لا يكون قريب من الاس  2.  h (k) = k mod m.  يعمل بشكل سيئ لأنواع كثيرة من الأنماط في بيانات الإدخال.
•  متغير Knuth في القسم h (k) = k (k + 3) mod m.  من المفترض أن تعمل بشكل أفضل بكثير من طريقة القسمة الأولية.

 تقوم وظائف التجزئة بتقطيع بيانات الإدخال وإحداث فوضى فيها بحيث يكون من الصعب أو المستحيل استنتاج البيانات الأصلية من البقايا المشوهة.  توفر القيمة طريقة للتحقق مما إذا كانت الرسالة قد تم التلاعب بها أو إتلافها أثناء النقل أو التخزين.  إنه نوع من "البصمة الرقمية".  علاوة على ذلك ، يمكن تشفير ملخص الرسالة باستخدام تشفير تقليدي أو تشفير بالمفتاح العام لإنتاج توقيع رقمي ، والذي يستخدم لمساعدة المستلم على الشعور بالثقة في عدم نسيان الرسالة المستلمة.  يجب أن تفي دالة التجزئة H بالشروط التالية

•  يجب أن يكون في اتجاه واحد: بالنسبة لقيمة تجزئة معينة (v = H (x ، يجب أن يكون من غير المجدي للخصم أن يجد رسالة x بحيث أن(x = H-1 (v.
•  يجب أن يكون على الأقل مقاومًا للتصادم بشكل ضعيف: بالنظر إلى قيمة التجزئة(v = H (x والرسالة x التي تم حسابها منها ، يجب أن يكون من غير المجدي حسابيًا للخصم أن يجد رسالة أخرى y مختلفة عن x بحيث أن  (v =H(y

 قد يكون مقاومًا للتصادم بشدة: من غير المجدي حسابيًا للخصم أن يجد زوجًا من الرسائل المميزة x و y بحيث يكون (H (x) = H (y.

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟