جلسه ۰۶ : ایمن سازی اطلاعات با استفاده از رمزنگاری

• جزئیات
• نوع محتواآموزشی

مقدمه

درود بر شما عزیزان و کاربران سایت پی وی لرن. با آموزش رایگان هک در خدمتتون هستیم. در این بخش ایمن سازی اطلاعات با استفاده از رمزنگاری رو خواهیم داشت. همچنین رمزگذاری و رمزگشایی با استفاده از Cryptool و مراحل آن را بیان می کنیم تا بیش تر با کار آشنا شوید. خب پس ادامه ی آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری رو پی می گیریم.

ایمن سازی اطلاعات با استفاده از رمزنگاری

اطلاعات نقش حیاتی در راه اندازی کسب و کار، سازمان ها، عملیات نظامی و غیره دارد. اطلاعاتی اگر اشتباه باشند می توانند منجر به از دست دادن کسب و کار یا نتایج فاجعه بار دیگری شوند. برای ابمن سازی ارتباطات، یک کسب و کار می تواند از رمزنگاری برای اطلاعات استفاده کند. رمزنگاری شامل تبدیل اطلاعات به فرمت قابل خواندن غیر انسانی و برعکس است.

در این بخش از آموزش شما را با دنیای رمزنگاری آشنا می کنیم و نحوه اطمینان از دسترسی به اطلاعات را بیان خواهیم کرد.

مباحث تحت پوشش در این آموزش شامل موارد زیر می باشد.

• علم cryptography چیست؟
• cryptanalysis چیست؟
• cryptology چیست؟
• الگوریتم Encryption
• هک کردن

Cryptography چیست ؟

رمزنگاری مطالعه و استفاده از تکنیک هایی است که معنای واقعی اطلاعات را با تبدیل آن به فرمت های غیر قابل خواندن برای انسان پنهان می کند و بالعکس.

برای روشن شدن مطلب، آن را با کمک یک نمونه نشان می دهیم. فرض کنید شما می خواهید پیام “I LOVE APPLES” را بفرستید، می توانید هر حرف را در عبارت با جای سوم در الفبای متوالی جایگزین کنید (به عبارتی هر حرف را مثلا L را در نظر بگیرید سپس آن را در حروف الفبا دو پله جلوتر و برای رمزنگاری N قرار می دهیم). پیام رمزگذاری شده “K NQXG CRRNGV” خواهد بود. برای رمزگشایی پیام ، باید عملی بالعکس انجام دهیم. یعنی حروف را سرجای اولش بازگردانیم. تصویر زیر چگونگی انجام این عمل را نشان می دهد.

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری

فرایند تبدیل اطلاعات به فرم غیر قابل خواندن برای انسان رمزنگاری نامیده می شود.

روند رمزنگاری معکوس، رمزگشایی (decryption) نامیده می شود.

رمزگشایی با استفاده از یک کلید مخفی (secret key) انجام می شود که تنها توسط گیرندگان قانونی اطلاعات شناخته می شود. این کلید برای رمزگشایی پیام های مخفی استفاده می شود. این امر ارتباطات را امن می کند، زیرا حتی اگر مهاجم موفق به دریافت اطلاعات شود، برای آن ها اهمیتی ندارد.

اطلاعات رمزگذاری شده به عنوان یک رمز در نظر گرفته شده است.

Cryptanalysis چیست؟

Cryptanalysis هنر تلاش برای رمزگشایی پیام های رمز شده بدون استفاده از کلید که برای رمزگذاری پیام ها استفاده می شود، است. Cryptanalysis با استفاده از تجزیه و تحلیل ریاضی و الگوریتم هایی برای رمزگشایی انجام می شود. موفقیت حملات رمز گشایی بستگی دارد به:

• مقدار زمان در دسترس
• محاسبه قدرت در دسترس
• ظرفیت ذخیره سازی در دسترس

در زیر لیستی از حملات Cryptanalysis که معمولا استفاده می شود رو داریم.

حمله ی Brute force

این نوع حمله یکی از انواع حملات برای به دست آوردن رمز لاگین و امکان ورود می باشد. در این روش هکر از الگوریتمی استفاده می کند که سعی می کند تا تمام ترکیبات منطقی متن ساده را حدس و بررسی کند و با کد اصلی مقایسه نماید.

Dictionary attack

در این نوع حمله از یک فرهنگ لغت یا دیکشنری برای پیدا کردن تطبیق متن ارسالی یا کلید رمزگشایی استفاده می شود. این حمله اغلب در هنگام تلاش برای رمزگشایی رمزهای عبور استفاده می شود.

حمله Rainbow table

Rainbow Table مجموعه ای از پسوردهای کرک شده است. با استفاده از نرم افزار کرک تنها عملیات را مقایسه می کنید و قدرت پردازشی شما صرف محاسبه و مقایسه Hash نخواهد شد.

cryptology چیست؟

cryptology ترکیبی از تکنیک های cryptography و cryptanalysis است.

الگوریتم Encryption (رمزگذاری)

MD5- این مخفف Message-Digest 5 است. برای ایجاد مقادیر هش ۱۲۸ بیتی استفاده می شود. از لحاظ تئوری، هش ها را نمی توان به متن ساده اصلی تغییر داد. MD5 برای رمزگذاری رمزهای عبور و همچنین بررسی یکپارچگی داده ها استفاده می شود. MD5 مقاوم در برابر برخورد نیست. مقاومت در برابر برخورد، مشكلات در یافتن دو مقدار است كه همان مقادیر هش را تولید می كنند.

SHA- این مخفف عبارت Secure Hash Algorithm است. الگوریتم های SHA برای تولید بازه های تکراری یک پیام استفاده می شود. SHAنسخه های مختلف دارد مانند:

• SHA-0: مقدارهای هش را ۱۲۰ بیتی تولید می کند. به علت نقص های قابل توجه و استفاده از SHA-1 جایگزین شده است.
• SHA-1: مقادیر هش را ۱۶۰ بیتی تولید می کند. این مشابه نسخه های قبلی MD5 است. این دارای ضعف رمزنگاری است و از سال ۲۰۱۰ توصیه نمی شود.
• SHA-2: دارای دو تابع هش، یعنی SHA-256 و SHA-512 است. SHA-256 از کلمات ۳۲ بیتی استفاده می کند در حالی که SHA-512 از کلمات ۶۴ بیتی استفاده می کند.
• SHA-3: این الگوریتم به طور رسمی به عنوان Keccak شناخته می شود.
• RC4- این الگوریتم برای ایجاد رمزهای جریان استفاده می شود. این عمدتا در پروتکل هایی مانند (Secure Socket Layer (SSL برای رمزگذاری ارتباطات اینترنتی و (Wired Equivalent Privacy (WEP برای امنیت شبکه های بی سیم استفاده می شود.
• BLOWFISH – این الگوریتم شیوه ی رمزنگاری بر پایه استفاده از کلید رمز و یک رمزگذاری قطعه‌ای متقارن است. BLOWFISH می تواند برای رمزگذاری رمزهای عبور و سایر داده ها استفاده شود.

رمزگذاری و رمزگشایی با استفاده از Cryptool

در این سناریوی عملی، یک رمز ساده را با استفاده از الگوریتم RC4 ایجاد خواهیم کرد. سپس آن را با استفاده از حمله brute-force رمزگشایی خواهیم کرد. فرض کنید ما از کلید مخفی رمزگذاری ۲۴ بیت اطلاع داریم که از این اطلاعات برای شکستن رمز استفاده خواهیم کرد.

ما از CrypTool 1 به عنوان ابزار رمزنگاری استفاده خواهیم کرد. CrypTool 1 ابزار آموزشی اپن سورس برای مطالعات منطقی است. شما می توانید آن را از https://www.cryptool.org/en/ct1-downloads دانلود کنید.

ایجاد رمز جریان RC4

عبارت زیر را رمزگذاری خواهیم کرد.

Never underestimate the determination of a kid who is time-rich and cash-poor

ما از ۰۰ ۰۰ ۰۰ به عنوان کلید رمزنگاری استفاده خواهیم کرد.

• باز کردن CrypTool 1

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری

• جایگزین متن با Never underestimate the determination of a kid who is time-rich and cash-poor .

ایمن سازی اطلاعات با استفاده از رمزنگاری

• روی منوی Encrypt/Decrypt کلیک کنید.

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری

• (Symmetric (modern و سپس RC4 را همان طور که در بالا نشان داده شده انتخاب کنید.
• پنجره زیر ظاهر خواهد شد.

ایمن سازی اطلاعات با استفاده از رمزنگاری

• ۲۴ بیت را به عنوان کلید رمزنگاری انتخاب کنید.
• تنظیم مقدار به ۰۰ ۰۰ ۰۰
• روی دکمه Encrypt کلیک کنید.
• شما رمزنگاری جریانی زیر را دریافت خواهید کرد.

ایمن سازی اطلاعات با استفاده از رمزنگاری

حمله به cipher جریانی

• روی منوی Analysis کلیک کنید.

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری

• (Symmetric Encryption (modern سپس RC4 را انتخاب کنید همان طور که در بالا نشان داده شده است.
• پنجره زیر را دریافت خواهید کرد.

ایمن سازی اطلاعات با استفاده از رمزنگاری

• به خاطر داشته باشید فرض می شود که کلید مخفی ۲۴ بیت است. بنابراین مطمئن شوید که ۲۴ بیت به عنوان طول کلید انتخاب شده است.
• روی دکمه Start کلیک کنید. شما پنجره زیر را دریافت خواهید کرد.

ایمن سازی اطلاعات با استفاده از رمزنگاری

• توجه: زمان اتخاذ شده برای تکمیل حمله Brute-Force Analysis بستگی به ظرفیت پردازش دستگاه و طول کلید دارد. طول کل طولانی تر، برای تکمیل حمله بیش تر طول می کشد.
• هنگامی که تجزیه و تحلیل کامل است، شما نتایج زیر را دریافت خواهید کرد.

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری

• توجه: عدد Entropy پایین تر به این معنی است که احتمالا نتیجه درست است. ممکن است بالاتر از پایین ترین مقدار آنتروپی یافت شده باشد که می تواند نتیجه درست باشد.
• خطی را انتخاب کنید که بیش ترین حس را داشته باشد و سپس بر روی دکمه Accept selection  هنگامی که کار را انجام دادید، کلیک کنید.

خلاصه ی مطالب

• Cryptography علم رمزنگاری و رمزگشایی پیام است.
• cipher یک پیام است که به قالب فرمت غیر قابل خواندن تبدیل شده است.
• Deciphering یک cipher را به متن اصلی تغییر می دهد.
• Cryptanalysis هنر deciphering ciphers بدون دانش کلید مورد استفاده برای رمزگذاری آن ها است.
• Cryptology ترکیبی از تکنیک های cryptography و cryptanalystاست.

کلام پایانی

آموزش هک و ایمنی اطلاعات با استفاده از رمزنگاری رو بررسی نموده و حال بیش تر با اصطلاحات و مسائل ایمنی آشنا شده ایم. در جلسه ی بعد چگونگی کرک پسورد رو خواهیم داشت. با ما در سایت پی وی لرن همراه باشید.