دانلود تحقیق امنیت اطلاعات در شبکه

تا یکی دو دهه قبل شبکه های کامپیوتری معمولاً در دو محیط وجود خارجی داشت:
• محیطهای نظامی که طبق آئین نامه های حفاظتی ویژه بصورت فیزیکی حراست می شد و چو.ن سایت های ارتباطی خودشان هم در محیط حفاظت شده نظامی مستقر بود و هیچ ارتباط مستقیم با دنیای خارج نداشتند، لذا دغدغه کمتری برای حفظ اسرار و اطلاعات وجود داشت.

(نمونه بارز این شبکه ARPANET در وزارت دفاع آمریکا بود)
• محیط های علمی و دانشگاهی که برای مبادله دستاوردهای تحقیقی و دسترسی به اطلاعات علمی ازشبکه استفاده می کردند و معمولاً بر روی چنین شبکه هایی اطلاعاتی مبادله می شد که آشکار شدن آن ها لطمه چندانی به کسی وارد نمی کرد.( اداراتی هم که اطلاعات محرمانه و سری داشتند معمولاً از کامپیوترهای Mainframe استفاده می کردند که هم مدیریت و حراست ساده تری نیاز دارد و هم کنترل کاربران آن بصورت فیزیکی ساده است)
با گسترش روز افزون شبکه های به هم پیوسته و ازدیاد حجم اطلاعات مورد مبادله و متکی شدن قسمت زیادی از امور روزمره به شبکه های کامپیوتری و ایجاد شبکه‌های جهانی چالش بزرگی برای صاحبان اطلاعات پدید آمده است.

امروز سرقت دانشی که برای آن هزینه و وقت، صرف شده یکی از خطرات بالقوه شبکه های کامپیوتری به شمار می آید.
در جهان امروز با محول شدن امور اداری و مالی به شبکه های کامپیوتری زنگ خطر برای تمام مردم به صدا درآمده است و بر خلاف گذشته که خطراتی نظیر دزدی و راهزنی معمولاً توسط افراد کم سواد و ولگرد متوجه مردم بود امروزه این خطر توسط افرادی تحمیل می شود که با هوش و باسوادند(حتی با هوش تر از افراد معمولی) و قدرت نفوذ و ضربه به شبکه را دارند.

معمولاً هدف افرادی که به شبکه های کامپیوتری نفوذ یا حمله می کنند یکی از موارد زیر است:
• تفریح یا اندازه گیری ضریب توانایی فردی یا کنجکاوی (معمولاً دانشجویان!)
• دزدیدن دانشی که برای تهیه آن بایستی صرف هزینه کرد (راهزنان دانش)
• انتقام جویی و ضربه زدن به رقیب
• آزار رسانی و کسب شهرت از طریق مردم آزاری (بیماران روانی)
• جاسوسی و کسب اطلاعات از وضعیت نظامی و سیاسی یک کشور یا منطقه
• رقابت ناسالم در عرصه تجارت و اقتصاد
• جا به جا کردن مستقیم پول و اعتبار از حسابهای بانکی و دزدیدن شماره کارتهای اعتبار
• کسب اخبار جهت اعمال خرابکاری و موذیانه (توسط تروریستها)
بهر حال امروزه امنیت ملی و اقتدار سیاسی و اقتصادی به طرز پیچیده ای به امنیت اطلاعات گره خورده و نه تنها دولتها بلکه تک تک افراد را تهدید می کند.

برای ختم مقدمه از شما سئوال می کنیم که چه حالی به شما دست می دهد وقتی متوجه شوید که شماره حساب بانکی یا کارت اعتباریتان توسط فرد ناشناس فاش شده و انبوهی هزینه روی دست شما گذاشته است؟

پس به عنوان یک فرد مطلع از خطراتی که یک شبکه کامپیوتری را دنبال می کند این فصل را دنبال کنید.

1-1) سرویسهای امنیتی در شبکه ها
تهدید های بالقوه برای امنیت شبکه های کامپیوتری بصورت عمده عبارتند از:
• فاش شدن غیر مجاز اطلاعات در نتیجه استراق سمع داده ها یا پیامهای در حال مبادله روی شبکه
• قطع ارتباط و اختلال در شبکه به واسطه یک اقدام خرابکارانه
• تغییر و دستکاری غیر مجاز اطلاعات با یک پیغام ارسال شده
بایستی با مفاهیم اصطلاحات زیر به عنوان سرویسهای امنیتی آشنا باشید:
الف) محرمانه ماندن اطلاعات : دلایل متعددی برای یک سازمان یا حتی یک فرد عادی وجود دارد که بخواهند اطلاعات خود را محرمانه نگه دارد.
ب) احراز هویت : بیش از آنکه محتوای یک پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید که پیام حقیقتاً از کسی که تصور می کنید رسیده است و کسی قصد فریب و گمراه کردن ( یا آزار) شما را ندارد.
ب) احراز هویت: بیش از آنکه محتوای یک پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید که پیام حقیقتاً از کسی که تصور می کنید رسیده است و کسی قصد فریب و گمراه کردن ( یا آزار) شما را ندارد.

ج) سلامت داده ها : یعنی دست نخوردگی و عدم تغییر پیام و اطمینان از آنکه داده ها با طالاعات مخبر مثل یک ویروس کامپیوتری آلوده نشده اند.

د) کنترل دسترسی: یعنی مایلید دسترسی افرادی ا که مجاز نیستند، کنترل کنیدو قدرت منع افرادی را که از دیدگاه شما قابل اعتماد به شمار نمی آیند از دسترسی به شبکه داشته باشید.

ه) در دسترس بودن: با این تفاضیل، باید تمام امکانات شبکه بدون دردسر و زحمت در اختیار آنهایی که مجاز به استفاده از شبکه هستند، باشد و در ضمن هیچ کس نتواند در دسترسی به شبکه اختلال ایجاد کند.

زمانی که یکی از سرویسهای امنیتی پنج گانه فوق نقض شود می گوییم به سیستم حمله شده است.

معمولاً یک شبکه کامپیوتری در معرض چهار نوع حمله قرار دارد: حمله از نوع وقفه: بدین معنا که حمله کننده باعث شود شبکه مختل شده و مبادله اطلاعات امکان پذیر نباشد.

حمله از نوع استراق سمع: بدین معنا که حمله کننده به نحوی توانسته اطلاعات در حال تبادل روی شبکه را گوش داده و بهره برداری نماید.

حمله از نوع دستکاری داده ها : یعنی حمله کننده توانسته به نحوی اطلاعاتی را که روی شبکه مبادله می شود تغییر دهد یعنی داده هایی که در مقصد دریافت می شود متفاوت با آن چیزی باشد که از مبدأ آن ارسال شده است.

حمله از نوع افزودن اطلاعات: یعنی حمله کننده اطلاعاتی را که در حال تبادل روی شبکه است تغییر نمی دهد بلکه اطلاعات دیگری را که می تواند مخرب یا بنیانگزار حملات بعدی باشد، به اطلاعات اضافه می نماید (مثل ویروس ها) به حمله ای که هنگام شروع با بروز اختلال در شبکه علنی می شود و در کار ارسال یا دریافت مشکل ایجاد می کند “حمله فعال” می گویند.

برعکس حمله ای که شبکه را با اختلال مواجه نمی کند و ظاهراً مشکلی در کار ارسال و دریافت به وجود نمی آورد “حمله غیر فعال” نامیده می شود و از خطرناکترین انواع حمله ها به شبکه به شمار می رود.

در ادامه این فصل دو راه کلی برای حراست و حفظ امنیت اطلاعات در یک شبکه کامپیوتری معرفی می شود: حراست و حفاظت داده ها و شبکه از طریق نظارت بر اطلاعات و دسترسی ها به کمک سیستم هایی که “دیوار آتش” نامیده می شود.

رمز گذاری اطلاعات به گونه ای که حتی اگر کسی آنها را دریافت کرد نتواند محتوای آن را بفهمد و از آن بهره برداری کند.

برای تمایز دو مورد فوق مثال عامیانه زیر بد نیست: چون احتمال سرقت همیشه وجود دارد اولاً شما قفلهای مطمئن و دزدگیر برای منزل خود نصب می کنید و احتمالاً نگهبانی می گمارید تا ورود و خروج افراد را نظارت کند (کاری که دیوار آتش انجام می دهد) ثانیاً چون باز هم احتمال نفوذ می دهید لوازم قیمتی و وجه نقد را در گوشه ای مخفی می کنید تا حتی در صورت ورود سارق موفق به پیدا کردن و بهره برداری از آن نشود.

با تمام این کارها باز هم اطمینان صد در صد وجود ندارد چرا که هر کاری از یک انسان باهوش بر می آید.

2)دیوار آتش دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه بیرونی (مثلاً اینترنت)قرار می گیرد و ضمن نظارت بر دسترسی ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.

مدلی ساده برای یک سیستم دیوار آتش در شکل (1) ارائه شده است.

در این ساختار هر سازمان شبکه داخلی خود را با دنیای خارجی قطع کرده و هر نوع ارتباط خارجی از طریق یک دروازه که در شکل (1) نشان داده شده، انجام شود.

شکل (1) نمودار کلی بکارگیری یک دیوار آتش قبل از آنکه اجزای یک دیوار آتش را تحلیل کنیم باید عملکرد کلی و مشکلات استفاده از یک دیوار آتش را بررسی کنیم.

بسته های IP قبل از مسیریابی روی شبکه اینترنت ابتدا وارد دیوار آتش می شوند و منتظر می مانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد: الف) اجازه عبور بسته صادر شود.(Accept Mode) ب)بسته حذف گردد.

(Blocking Mode) بسته حذف شده و پاسخ مناسب به مبداء آن بسته داده شود.

(Response Mode) (به غیر از پیغام حذف بسته می توان عملیاتی نظیر اخطار، ردگیری، جلوگیری از ادامه استفاده از شبکه و تو بیخ هم در نظر گرفت) در حقیقت دیوار آتش محلی است برای ایست و بازرسی بسته های اطلاعاتی به گونه‌ای که بسته ها بر اساس تابعی از قواعد امنیتی و حفاظتی، پردازش ده و برای آنها مجوز عبوز یا یک عدم عبور صادر می شود.

اگر P مجموعه ای از بسته های ورودی به سیستم دیوار آتش در نظر گرفته شود و S مجموعه ای متناهی از قواعد امنیتی باشد داریم: X=F(p,s) F تابع عملکرد دیوار آتش و X نتیجه تحلیل بسته (شامل سه حالت Accept,Biocking,Response) خواهد بود.

همانطوری که همه جا عملیات ایست وبازرسی وقتگیر واعصاب خردکن است دیوار آتش هم به عنوان یک گلوگاه می تواند منجر به بالا رفتن ترافیک، تاخیر، ازدحام و نهایتاً بن بست در شبکه شود ( بن بست زمانی است که بسته ها آنقدر در حافظه دیوار آتش معطل می شوند تا طول عمرشان تمام شود و فرستنده اقدام به ارسال مجدد آنها کرده و این کار به طور متناوب تکرار شود) به همین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا از حالت گلوگاهی خارج شود .( تأخیر در دیوار آتش مجموعاً اجتناب ناپذیر است فقط بایستی به گونه ای باشد که بحران ایجاد نکند.) 3)مبانی طراحی دیوار آتش از آنجایی که معماری شبکه بصورت لایه به لایه است، در مدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایه ها را بگذراند و هر لایه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اطلاعاتی اضافه کرده و ان را تحویل لایه زیرین می دهد.

قسمت اعظم کار یک دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه و سرآیند هر بسته می باشد.

در بسته ای که وارد دیوار آتش می شود به تعداد لایه ها (4 لایه ) سرآیند متفاوت وجود خواهد داشت معمولاً سرآیند لایه اول (لایه فیزیکی یا Network Interface در شبکه اینترنت) اهمیت چندانی ندارد چرا که محتوای این فیلد ها فقط روی کانال فیزیکی از شبکه محلی معنا دارد و در گذر از هر شبکه یا مسیریاب این فیلدها عوض خواهد شد.

بیشترین اهمیت در سرآیندی است که در لایه های دوم ،سوم و چهارم به یک واحد از اطلاعات اضافه خواهد شد: در لایه شبکه دیوار آتش فیلدهای بسته IP را پردازش و تحلیل می کند.

در لایه انتقال دیوار آتش فیلدهای بسته های TCP یا UDP را پردازش و تحلیل می کند.

در لایه کاربرد دیوار آتش فیلدهای سرآیند و همچنین محتوای خود داده ها را بررسی می کند.

(مثلاً سرآیند و محتوای یک نامه الکترونیکی یا یک صفحه وب می تواند مورد بررسی قرار گیرد.) با توجه به لایه لایه بودن معماری شبکه لاجرم یک دیوار آتش نیز لایه به لایه خواهد بود به شکل (2) دقت کنید: اگر یک بسته در یکی از لایه های دیواره آتش شرایط عبور را احراز نکند همانا حذف شده و به لایه های بالاتر ارجاع داده نمی شود بلکه این امکان وجود دارد که آن بسته جهت پیگیری های امنیتی نظیر ثبت عمل و ردگیری به سیستمی جانبی تحویل داده شود.

سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا به ماهیتشان در یکی از سه لایه دیوار آتش تعرف می شوند به عنوان مثال : قواعد تعیین آدرس های ممنوع در اولین لایه از دیوار آتش قواعد بستن برخی از سرویسها مثل Telnet یا FTP در لایه دوم قواعد تحلیل سرآیند متن یک نامه الکترنیکی یا صفحه وب در لایه سوم شکل (2) لایه بندی ساختار یک دیوار آتش 1-3) لایه اول دیوار آتش لایه اول در دیوار آتش بر اساس تحلیل بسته IPو فیلد های سرآینداین بسته کار می کند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند: آدرس مبداء : برخی از ماشینهای داخل یا خارج شبکه با آدرس IP خاص “حق ارسال” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شود.

آدرس مقصد: برخی از ماشینهای داخل یا خارج شبکه با آدرس IP خاص “حق دریافت” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شوند.

(آدرسهای IP غیر مجاز توسط مسئول دیوار آتش تعریف می شود).

شماره شناسایی یک دیتاگرام :بسته هایی که متعلق به یک دیتاگرام خاص هستند حذف شوند.

شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می تواند حذف شود.

یعنی بررسی این که بسته متعلق به چه پروتکلی در لایه بالاتر است و آیا برای تحویل به آن پروتکل مجاز است یا نه.

زمان حیات بسته: بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مشکوک هستند و باید حذف شوند.

بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیوار آتش قابل بررسی هستند مهمترین خصوصیت لایه اول از دیوار آتش آن است که در این لایه بسته ها به طور مجزا و مستقل از هم بررسی می شود و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یک بسته نیست.

به همین دلیل ساده ترین و سریعترین تصمیم گیری در این لایه انجام می شود.

امروزه برخی از مسیریاب ها با امکان لایه اول دیوار آتش به بازار عرضه می شوند یعنی به غیر از مسیریابی، وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنها “مسیریاب های فیلتر کننده بسته” گفته می شود بنابراین مسیریاب قبل از اقدام به مسیریابی، بر اساس جدولی بسته های IP را غربال می کند و تنظیم این جدول بر اساس نظر مسئول شبکه و برخی از قواعد امنیتی انجام می گیرد با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در این لایه دقیقتر و سختگیرانه تر باشد حجم پردازش در لایه های بالاتر کمتر و در عین حال احتمال نفوذ پائینتر خواهد بود ولی در مجموع به خاطر تنوع میلیاردی آدرسهای IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پذیر خواهد بود و این ضعف در لایه های بالاتر بایستی جبران شود.

2-3) لایه دوم دیوار آتش در این لایه از فیلد های سرآیند لایه انتقال برای تحلیل بسته استفاده می شود عمومی ترین فیلدهای بسته های لایه انتقال چهت بازرسی در دیوار آتش، عبارتند از: شماره پورت پروسه مبداء و شماره پورت پروسه مقصد: با توجه به اینکه پورت های استاندارد شناخته شده هستند ممکن است مسئول یک دیوار آتش بخواهد سرویس ftp (انتقال فایل) فقط در محیط شبکه محلی امکان پذیر باشد و برای تمام ماشینهای خارجی این سرویس وجود نداشته باشد بنابراین دیوار آتش می تواند بسته های TCP با شماره پورت 20 و 21 (مربوط به ftp ) که قصد ورود یا خروج از شبکه دارند، حدف کند.

یکی دیگر از سرویسهای خطرناک که ممکن است مورد سوء استفاده قرار گیرد Telnet است که می توان براحتی پورت 23 را مسدود کرد یعنی بسته هایی که شماره پورت مقصدشان 23 است حذف شوند.

فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط TCP،“دست تکانی سه گانه اش” به اتمام نرسد انتقال داده امکان پذیر نیست لذا قبل از هر گونه مبادله داده دیوار آتش می تواند مانع برقراری هر ارتباط غیر مجاز شود.

یعنی دیوار آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نماید و در صورت غیر قابل اعتماد بودن، مانع از برقراری ارتباط شود.

دیوار آتش در این لایه نیاز به جدولی از شماره پروت های غیر مجاز دارد.

3-3) لایه سوم دیوار آتش در این لایه حفاظت بر اساس نوع سرویس و برنامه کاربردی انجام می شود.

یعنی با در نظر گرفتن پروتکی در لایه چهارم به تحلیل داده ها می پردازد.

تعداد صرایند ها در این لایه بسته به نوع سرویس بسار متنوع و فراوان است.

بنابراین در لایه سومدیوار آتش برای هر سرویس مجاز (مثل سرویس پست الکترونیکی، سرویس ftp، سرویس وب و …) باید یک سلسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش در لایه سوم زیاد است.

توصیه مؤکد آنست که تمام سرویسهای غیر ضروری و شماره پورتهایی که مورد استفاده نیستند در لایه دوم مسدود شوند تا در کار درلایه سوم کمتر باشد.

به عنوان مثال فرض کنید مؤسسه ای نظامی پست الکترونیکی خود را دائر کرده ولی نگران فاش شدن برخی اطلاعات محرمانه است.در این حالت دیوار آتش در لایه سوم می تواند کمک کند تا برخی آدرسهای پست الکترونیکی مسدود شود.

در عین حال می تواند در متون نامه های رمز نشده دنبال برخی از کلمات کلیدی حساس بگردد و متون رمز گذاری شده را در صورتی که موفق به رمز گشایی آن نشود حذف نماید.

بعنوان مثالی دیگر یک مرکز فرهنگی علاقمند است قبل از تحویل صفحه وب به یک کاربر، درون آن را از لحاظ وجود برخی از کلمات کلیدی بررسی کند و اگر کلماتی که با معیارهای فرهنگی مطابقت ندارد درون صفحه یافت شد آن صفحه را حذف نماید.

4) اجزای جانبی یک دیوار آتش دیوار آتش یک سیستم امنیتی است که از سیستم های مسئول شبکه را پیاده و اعمال می کند.

بنابراین دیوار آتش بایستی از طریق یک ورودی سهل و راحت قواعد را از مسئول شبکه دریافت نماید و همواره فعالیتهای موجود روی شبکه را به مسئول شبکه گزارش بدهد.

بهمین دلیل معمولاً یک سیستم دیوار آتش دارای اجزای ذیل است: 1-4) واسط محاوره ای و ساده ورودی / خروجی برای تبادل اطلاعات و سهولت در تنظیم قواعد امنیتی و ارائه گزارش، نیاز به یک واسط کاربر که ساده و در عین حال کارآمد باشد وجود دارد.

معمولاً واسط کاربر مستقل از سیستم دیوار آتش دارای دستگاهی به عنوان صفحه نمایش وب نیست یلکه از طریق وصل یک ابزار جانبی مثل یک ترمینال ساده یا یک کامپیوتر شخصی معمولی فرمان می گیرد یا گزارش می دهد.

2-4) سیستم ثبت برای بالاتر بردن ضریب امنیت و اطمینان در شبکه، دیوار آتش باید بتواند حتی در موقعیکه اجازه خروج یا ورود یک بسته به شبکه صادر می شود اطلاعاتی در مورد آن بسته ذخیره کند تا در صورت هر گونه حمله یا نفوذ بتوان مسئله را پیگیری کرد.

در یک دیوار آتش عملی که ثبت کننده می تواند انجام بدهد آن است که مبداء و مقصد بسته های خروجی و ورودی، شماره پورتهای مبداء و مقصد، سرایند یا حتی محتوای پیام در لایه کاربرد را (برای تمام مبادلات خارج از شبکه محلی) ذخیره کند و لحظه به لحظه مبادله اطلاعات تمام کاربران و حتی مسئول شبکه را در فایلی درج نماید.

این اطلاعات می تواند به عنوان سندی بر علیه فرد خاطی استفاده شود یا به یافتن کسی که در خارج از شبکه مشغول اخلال گری است کمک نماید.

3-4) سیستم هشدار دهنده در صورت بروز مشکل یا انتقالی مشکوک، دیوار آتش می تواند مسئول شبکه را مطلع نماید و در صورت لزوم کسب تکلیف کند.

اعمال مشکوک در هر سه لایه تعریف می شود: مثل تقاضای ارتباط با آدرسهایIP مشکوک آدرسهای پورت مشکوک، اطلاعات مشکوک در لایه کاربرد (صفحات وب یا نامه های مشکوک).

5)راه حل نهائی با تمام نظارتی که بر تردد بسته های اطلاعاتی حین ورود یا خروج از شبکه می شود باز هم می توان زیرکانه از مرز دیوار آتش عبور کرد و بهترین حفاظت برای جلوگیری از فاش شدن اطلاعات محرمانه به دنیای خارج، نابود کردن خط ارتباطی شبکه به دنیای خارج است!

چرا که می توان اطلاعات سری را رمز و فشرده کرد و آنرا به عنوان بیت آخر از نقاط تصویر یک گل رز به عنوان کارت پستال تبریک سال نو ارسال نمود.

در حقیقت سیستم دیوار آتش فقط یک ابزار محدود کننده است و اطمینان صد در صد ندارد.

6)رمز نگاری زمانیکه ژولیوس سزار پیامهایی را برای فرمانده ارتش خود در جنگ می فرستاد از بیم کشته شدن یا خیانت پیک، در تمام متن نامه خود هر حرف را با حرفی که سه تا بعد از آن قرار گرفته بود عوض می کرد (مثلاً بجای حرف A حرف D و بجای حرف B حرف E را قرار می داد) تا متن حالت معنی دار خود را از دست بدهد.

تنها کسی می توانست از مفهوم متن چیزی بفهمد که به رمز آن (یعنی Shift by 3) آگاهی داشت.

داده هائی که براحتی قابل فهم هستند و هیچ نکته ابهام خاصی در درک آنها وجود ندارد، متن ساده یا متن آشکار نامیده می شوند.

روشی که باعث می شود متن ساده حالت قابل درک و فهم خود را از دست بدهده “رمز نگاری” نامیده می شود.

معمولاً در دنیای شبکه های کامپیوتری رمز نگاری سلسله ای از عملیات ریاضی است که مجموعه ای از اطلاعات خالص و قابل فهم را به مجموعه ای از اطلاعات غیر قابل فهم، بی معنا و بلا استفاده تبدیل می کند.

به گونه ای که فقط گیرنده اصلی آن قادر باشد آن را از حالت رمز خارج و از آن بهره برداری نماید.

(یعنی کلید رمز را در اختیار داشته باشد) علم رمز نگاری با اصول ریاضی به رمز درآوردن اطلاعات و خارج کردن آنها از حالت رمز سر و کا دارد.

در مقابل علم رمز نگاری، علم تحلیل رمز قرار دارد که روشهای تجزیه و شکستن رمز اطلاعات ( بدون نیاز به کلید) و کشف کلید رمز را مورد بحث قرار می دهد.

الگوریتم یا روشی که بر اساس آن متن رمز پیدا می شود باید به گونه ای قابل برگشت (وارون پذیر) باشد تا بتوان به متن اصلی دست پیدا کرد.

در ادامه چند روش رمز نگاری را معرفی می نمائیم: 1-6)روشهای جانشینی روش جانشینی قدیمی ترین نوع رمز نگاری است که اولین بار سزاز آن را بکار برده است.

در این روش هر حرف از جدول حروف الفبا به حرفی دیگر تبدیل می شود.

بعنوان مثال در رمز سزار هر حرف به حرف سوم بعد از خودش تبدیل می شد که با این روش “حمله” بصورت زیر در می آمد: Attack متن اصلی Dwwdfn متن رمز شده این روش بعداً بهبود داده شد و بجای آنکه تمام حروف به طور منظم و با قاعده به یکدیگر تبدیل شوند جدول حروف الفبا طبق یک قاعده نامشخص که “جدول رمز” نامیده می شد به هم تبدیل می شدند.

بعنوان مثال اگر نامه یا متن تماماً حروف کوچک در نظر بگیریم جدول رمز می توان بصورت زیر باشد: طبق این جدول که گیرنده پیام بایستی از آن آگاهی داشته باشد کلمه attack به کلمه QZZQEA تبدیل می شود.

شاید یک مبتدی احساس کند که این روش امروزه مفید خواهد بود چرا که جدول رمز دارای 26!

(معادل 1026* 4) حالت متفاوت خواهد بود و امتحان تمام این حالات مختلف برای یافتن جدول رمز کاری بسیار مشکل است، در حالی که چنین نیست و این نوع رمز نگاری برای متون معمولی در کسری از ثانیه و بدون کلید رمز شکسته خواهد شد!

نقطه ضعف این روش در مشخصات آماری هر حرف در یک زبان می باشد.

بعنوان مثال در زبان انگلیسی حرف e در متن بیش از همه حروف تکرار می شود.ترتیب فراوانی نسبی برای شش حرف پر تکرار درمتون انگلیسی بصورت زیر است: اولین اقدام رمز شکنی (رمز شکنی همان رمز گشایی است بدون در اختیار داشتن کلید یا جدول رمز) آنست که متن رمز شده تحلیل آماری شود و هر کاراکتری که بیش از همه در آن تکرار شده باشدمعادل e ، حرف پر تکرار بعدی معادل t قرار بگیرد و روند به همین ترتیب ادامه یابد.

البته ممکن است برخی از حروف اشتباه سنجیده شوند ولی می تواند در مراحل بعدی اصلاح شود.

دومین نکته آنست که در زبانی مثل انگلیسی حروف کنار هم وابستگی آماری بهم دارند مثلاً در 9/99 درصد مواقع در سمت راست حرف q حرف u قرار گرفته (qu) یا در کنار حرف t معمولاً (البته با احتمال پایین تر ) h قرار گرفته است.

یعنی به محض کشف حرف q رمز u هم کشف می شود و اگر t کشف شد کشف h ساده تر خواهد شد.

ترتیب فراوانی نسبی برای پنج “دو حرفی” پر تکرار در متون انگلیسی بصورت زیر است: سومین نکته نیز به سه حرفی ها بر می گردد.

مثلاً در زبان انگلیسی سه حرفی های and , the , ing , ion به کرات تکرار می شوند و می توانند با بررسی آماری تمام سه حرفی های یک متن رمز شده، پر تکرار ترین آنها در متن، ملاک رمز شکنی قرار بگیرند.

در تمام زبانهای دنیا چنین خصوصیتی را می توان بررسی کرد.

چهارمین نکته برای رمز شکنی مراجعه به فرهنگ لغات یک زبان است که بر اساس پیدا شدن چند حرف از یک کلمه رمز بقیه حروف آن نیز آشکار میشود.

به دلائل فوق روش رمز گذاری جانشینی کارآئی مناسبی ندارد و براحتی رمز آن بدست خواهد آمد.

2-6) رمز نگاری جایگشتی در رمز نگاری جانشینی محل قرار گرفتن و ترتیب حروف کلمات در یک متن بهم نمی خورد بلکه طبق یک جدول رمز جایگزین می شد.

در روش رمز گذاری جایگشتی آرایش و ترتیب کلمات بهم می خورد.بعنوان یک مثال بسیار ساده فرض کنید تمام حروف یک متن اصلی را سه تا سه تا جدا کرده و طبق قاعده زیر ترتیب آن را بهم بریزیم: کلمه اصلی:the کلمه رمز:eth برای رمز گشایی، گیرنده پیام باید کلید جایگشت را که در مثال ما (2 و1 و3) است بداند.

معمولاً برای راحتی در بخاط رسپردن کلید رمز، یک کلید متنی انتخاب می شود و سپس جایگشت بر اساس ترتیب حروف کلمه رمز انجام می شود.

برای وضوح این روش به مثال زیر دقت کنید: please- trasnfer – one- milion- dollors-to-my- swiss-bank-account-six-:متن اصلی two- two MEGA BANK: کلمه رمز تمام کلمات متن اصلی بصورت دسته های هشت تائی جدا شده و تماماً زیر هم نوشته می شود:(علامت – را فاصله خالی در نظر بگیرید) حال بر اساس ترتیب الفبایی هر حرف در کلمه رمز، ستونها بصورت پشت سر هم نوشته می شوند.

یعنی ابتدا ستون مربوط به حرف A ، سپس B، E و ….

پس رمز بصورت زیر در می آید: “as---wkt-sfmdti---rll-sciolanor-auwenenssnnot-llm-cx-proiayboteeioosasw” بنابراین برای بازیابی اصل پیام در مقصد، گیرنده باید کلید رمز (یا حداقل ترتیب جایگشت) را بداند.

این روش رمز هم قابل شکستن است چرا که اگر چه ترتیب حروف بهم ریخته است ولی در متن رمز شده تمام حروف هر یک از کلمات وجود دارند.

بعنوان مثال تک تک حروف dollars یا swiss bank را می توان در متن رمز شده پیدا کرد لذا با بررسی تمام حالات ممکن که کلمه dollars زا به صورت پراکنده در متن در می آورد می توان رمز را بدست آورد.

البته حجم پردازش مورد نیاز بیشتر خواهد بود ولی بهر حال این نوع رمز گذاری براحتی قابل شکستن می باشد و در دنیای امروز چندان قابل اعتماد نیست.

7)استانداردهای نوین رمز گذاری در اوائل دهه هفتاد دولت فدرال آمریکا و شرکت آی.

بی.

ام (IBM) مشترکاً روشی را برای رمز نگاری داده ها ایجاد کردند که بعنوان استانداردی برای نگهداری اسناد محرمانه دولتی مورد استفاده قرار گرفت.

این استاندارد که DES نام گرفت امروزه محبوبیت خود را از دست داده است.

الگوریتم روش رمز نگاری DES در شکل (3) نشان داده شده است که در ادامه کلیت آنرا توضیح می دهیم: ورودی رمز نگار یک رشته 64 بیتی است، بنابراین متنی که باید رمز شود بایستی در گروههای هشت کاراکتری دسته بندی شوند.

اولین عملی که بر روی رشته ورودی 64 بیتی انجام می شود جابه جا کردن محل بیتهای 64 بیتی طبق جدول صفحه بعد است.

به این عمل جایگشت مقدماتی گفته می شود: در جدول بالا پس از عمل جایگشت، بیت اول به موقعیت بیت پنجاه و هشتم و بیت دوم به بیت پنجاهم از رشته جدید منتقل شده و بهمین ترتیب ادامه می یابد تا رشته 64 بیتی جدید بدست آید.

شکل (3) الگوریتم روش رمزنگاری DES در مرحله بعدی رشته بیتی جدید از وسط به دو قسمت 32 بیتی چپ و راست تقسیم می شود.32 بیت سمت چپ را Lo و 32 بیت سمت راست را Ro می نامیم.

(به شکل (3) نگاه کنید) سپس در 16 مرحله پیاپی اعمال زیر انجام می شود: در هر مرحله 32 بیت سمت راست مستقیماً به سمت چپ منتقل شده و 32 بیت سمت چپ طبق رابطه زیر به یک رشته بیت جدید تبدیل و به سمت راست منتقل خواهد شد.

Li-1f (R i-1,Ki) Li-1 رشته سی و دو بیتی سمت چپ از مرحله قبل می باشد، علامت بمعنای XOR و f تابع خاصی است که آنرا به صورت مجزا توضیح خواهیم داد R i-1 رشته سی و دو بیتی سمت راست از مرحله قبل و ki کلید رمز در هر مرحله است.

(پس مجموعاً 16 کلید مختلف وجود دارد.) نمودار زیر یک مرحله از 16 مرحله عملیات را نشان می دهد: این عملیات 16 مرحله اجرا می شود و پس ازمرحله آخر جای Li و Ri عوض خواهد شد.

حال عکس عمل جایگشتی که در ابتدا انجام شده بود صورت می گیرد تا بیتها سرجایشان برگردند این کار طبق جدول زیر انجام می شود: پس از این عمل، 64 بیت جدید معادل هشت کاراکتر رمز شده خواهد بود که می توان آنها را به جای متن اصلی ارسال کرد .

حال بایستی جزئیات تابع f را که اصل عمل رمز نگاری است تعیین کنیم: در تابع f که بصورت یک بلوک پیاده سازی می شود ابتدا رشته 32 بیتی Ri که از مرحله قبل به دست آمده بر طبق جدول زیر به یک رشته 48 بیتی تبدیل می شود.

بنابراین بعضی از بیتها در رشته جدید تکراری هستند.

پس از تبدیل RI به رشته 48بیتی عمل XOR روی آن با کلید 48 بیتی KI انجام می شود.

نتیجه عمل یک رشته 48 بیتی است و بایستی به 32 بیتی تبدیل شود.

برای این کار 48 بیت به 8 مجموعه 6 بیتی تبدیل شده و هر کدام از 6 بیتی ها طبق جداولی به یک چهار بیتی جدید نگاشته می شود( در مجموع 8 جدول) .برای کامل شدن عمل تابع f رشته 32 بیتی جدید طبق جدول زیر جایگشت مجددی خواهد داشت.

در سیستم DES فقط یک کلید 56 بیتی وجود دارد که تمام 16 کلید مورد نیاز در هر مرحله یا جایگشت متفاوت از همان کلید 56 بیتی استخراج خواهد شد.

بنابراین کاربر برای رمز گشایی فقط باید یک کلید در اختیار داشته باشد و آنهم همان کلیدی است که برای رمزنگاری به کار رفته است.

برای رمز گشایی از سیستم DES دقیقاً مراحل قبلی تکرار می شود با این تفاوت که کلید KI برای رمز گشایی، کلید K16 در مرحله رمز نگاری خواهد بود، کلید K2 همان K15 است و به همین ترتیب .

در حقیقت برای رمزگشایی کافی است 16 کلید بصورت معکوس به سیستم اعمال شوند.

نکته دیگر که در مورد سیستم DES قابل توجه است آن است که چون رشته رمز شده بصورت هشت کاراکتری رمز می شود، تکرار بلوک های رمز می تواند به رمز شکنها برای حمله به سیستم DES کمک نماید.

به همین دلیل در سیستم DES قبل از آن که یک بلوک رمز شود ابتدا با بلوک رمز شده قبلی خود XOR می شود و سپس این 8 کاراکتر مجدداً رمز خواهد شد.

به شکل (4) دقت کنید: