شرح تشفير الواتساب (بروتوكول Signal)

أنواع المفاتيح العامة (مفتاح خاص و آخر عام ينشأ باستخدام Curve25519)
  • مفتاح التعريف، يتم إنشاؤه أثناء تركيب التطبيق.
  • مفتاح ابتدائي، ينشأ أثناء التركيب و يجدد بشكل دوري وموقع بواسطة مفتاح التعريف.
  • مفاتيح الاستخدام الواحد، تنشأ حسب الحاجة.
أنواع مفاتيح الجلسة (مفاتيح تماثلية)
  • مفتاح رئيس.
  • مفتاح تسلسلي، ينشأ بالمفتاح الرئيس.
  • مفاتيح الرسائل، تنشأ بالمفاتيح التسلسلية.

عند تركيب التطبيق يقوم البرنامج بإرسال المفاتيح العامة لكل من مفتاح التعريف والمفتاح الابتدائي ومجموعة من مفاتيح الاستخدام الواحد لخوادم الواتساب. يحتفظ الخادم بهذه المفاتيح مع حساب المستخدم. المفاتيح الخاصة تبقى دائما مع المستخدم فقط.

إعداد جلسة المحادثات بين طرفين

المراسلات في نظام التشفير الجديد كلها مشفرة وذلك يشمل رسائل الإعداد الأولي ولتحقيق ذلك يقوم المرسل باستخدام المفاتيح العامة للمستقبل والتي يحصل عليها من خادم الواتساب¹. يرسل الخادم للمرسل مفاتيح المستقبل وهي مفتاح التعريف ومفتاح ابتدائي و أحد مفاتيح الاستخدام الواحد². فيقوم المرسل باستخدام مفاتيحه الخاصة و مفاتيح المستقبل العامة لإنشاء المفتاح السري (باستخدام بروتوكول ECDH) ويستخدم المفتاح السري في عملية تشفير الرسائل قبل إرسالها للمستقبل. كما يقوم المرسل بإرفاق مفاتيحه العامة مع الرسائل الأولى إلى أن يتم إنهاء إعداد الجلسة.

عندما تصل الرسائل للمستقبل يقوم باستخدام مفاتيحه الخاصة والمفاتيح العامة للمرسل والتي أرسلت له مع الرسالة وينشئ منها نفس المفتاح السري الذي أنشاءه المرسل (هذه هي عبقرية بروتوكول ديفي-هيلمان) ومن ثم يقوم باستخراج المفتاح الرئيس كما فعل المرسل ويستخدمه في عملية فك تشفير الرسائل وبهذا تكون الجلسة قد أعدت بين الطرفين وكلاهما يحمل مفاتيح تشفير الرسائل.

تشفير الرسائل

لكل رسالة تنشأ مفاتيح تشفير جديدة لدى الطرفين ولها هذه المميزات:

  1. المفاتيح لدي الطرفين متشابهة (شكرا لبروتوكول ديفي-هيلمان)و تنشأ من مفاتيحهم العامة والخاصة.
  2. مفتاح كل رسالة مستقل عن ما قبله وما بعده، فضياع الرسالة لا يوثر على سير التراسل. واكتشاف احد المفاتيح لا يمكن من فك تشفير الرسائل السابقة.
  3. لا يمكن استنباط المفاتيح الأصلية من مفاتيح الرسالة.
  4. المفتاح يستخدم لتشفير رسالة واحدة فقط ولا يعاد استخدامه؟

هذه المميزات تجعل عملية ربط رسالة مشفرة بمرسل معين مستحيلة، فالتحقق من صحة الرسالة ممكن لكن التحقق من هوية المرسل مستحيلة وهذه مفيدة في حال المراسلات الحساسة والتي يخشى فيها المرسل مثلا من محاكمته واتهامه بإرسال تلك الرسائل. لكن في نفس الوقت هذه الميزة تجعل عملية التحقق من هوية الطرف الآخر مستحيلة لذلك يتم استخدام مفتاح الاستخدام الواحد** وكذلك خاصية التحقق من خلال تطبيق الواتساب ومطابقة رمز التحقق يدويا مع الطرف الآخر لتجاوز هذه الثغرة.

ملفات الوسائط (الفيديو والصور و الصوت) والمستندات يتم تشفيرها بنفس الأسلوب. وعند استقبال ملف من شخص وتمريره لشخص آخر تتم عملية تشفير الملف بمفاتيح خاصة بالشخص اﻵخر وإرسال الملف المشفر من جديد.

تشفير رسائل المجموعات

بأسلوب مشابه تقريباً لطريقة المراسلات بين طرفين يقوم المرسل عند إرسال رسالته الأولى بإنشاء جلسة للمجموعة وذلك بالتخاطب مع جميع أعضاء المجموعة كل على حدة وبتشفير مختلف عن الآخرين ويرسل لهم مفتاح موحد خاص به يسمى مفتاح المرسل. يقوم المرسل بعدها باستخدام ذلك المفتاح لإنشاء مفاتيح التشفير لكل رسالة (مفتاح تسلسلي ومفتاح الرسالة) ويستخدم تلك المفاتيح لتشفير رسائله وإرسالها للخادم والذي بدورة يقوم بتوزيع تلك الرسالة لجميع أعضاء المجموعة. جميع الأعضاء يملكون مفتاح المرسل فيقومون باستخدامه لاستخراج المفاتيح التي تتيح لهم فك تشفير تلك الرسالة والرسائل القادمة.

عندما يقوم احدهم بمغادرة المجموعة يقوم بقية الأعضاء بمسح جميع مفاتيح المرسلين وإعادة إنشاء جلسات المجموعة من جديد.

التخاطب مع الخادم

بالإضافة لتشفير الرسائل بين المستخدمين فإن تطبيق الواتساب (في أجهزة الاندرويد والايفون والويندوز فون فقط) يقوم كذلك بتشفير قناة الاتصال مع الخادم وذلك يمنع من لديهم القدرة على التجسس على الشبكة من معرفة مالذي يقوم به المرسل ومع من يتحدث.

هل نثق في التطبيق الآن؟

يوفر تطبيق الواتساب خيار يمكن تفعيلة من خلال صفحة إعدادات الأمان لتنبيه المستخدم عندما يتغير مفتاح التعريف لأي من المستخدمين المعرفين لديه. ومفتاح التعريف يتغير عند تغيير جهاز الهاتف أو إعادة تركيب التطبيق أو قيام احدهم بانتحال شخصية الطرف الآخر لذا يجب التحقق من هوية الطرف الآخر ومطابقة رمز التحقق إذا كانت سرية المحادثة مهمة.

* يصعب الوثوق في تطبيق الواتساب وتشفيره لعدة أسباب منها:

  1. كون التطبيق مغلق المصدر مما يصعب عملية التحقق من طريقة عملة ومطابقتها مع ما اعلن عن طريقة عمل بروتوكول التشفير.
  2. كون التطبيق لا يزال يدعم التراسل غير المشفر للتوافق مع الإصدارات القديمة التي لا تدعم التشفير وأن وعملية الانتقال للتشفير تمت بشكل تلقائي من الشركة بدون موافقة المستخدم أو القدرة على اختيار نوع التراسل فهذا يعني أن الشركة قادرة على تعطيل التشفير لشخص معين دون علمه. وبما أن التطبيق يدعم التراسل بالطريقتين فالتحقق من ما يقوم به التطبيق صعب ويحتاج مراقبة مستمرة.
  3. كون بروتوكول Signal مصمم في الأصل ليوفر خاصية الإنكار (repudiation وهو عكس non-repudiation) والتي تمكن المرسل من إنكار علاقته بالرسائل التي قام هو بإرسالها فإن عملية التحقق تعتمد على الثقة بخادم الواتساب بالإضافة لعملية مطابقة رمز التحقق يدويا من كلا الطرفين.

وضع الآمان في التطبيق بعد إضافة خاصية التشفير يعد افضل من السابق بمراحل عدة خصوصا للمستخدم العادي ويعتبر من أكثر الحلول المتوفرة أمناً في تطبيقات المحادثات المشهورة حالياً. أما من يبحث عن أمان مطلق فعليه استخدام أدوات ووسائل أخرى لا تتطلب الثقة بطرف ثالث أو استخدام عدة حلول بتقنيات مختلفة مع بعض.

المصادر: WhatsApp-Security-Whitepaper و whispersystems.org
¹ هذه احد نقاط الضعف في التشفير، إذ يجب الثقة في الخادم وان المفاتيح المرسلة تخص المستقبل الحقيقي.
² يقوم الخادم بحذف المفتاح بعد استخدامه ولا يقبل استخدامه مرة أخرى، وفي حال استنفذت جميع مفاتيح الاستخدام الواحد ولم يستطع الخادم طلب مفاتيح جديدة من المستقبل لعدم وجودة online فإن العملية تتم بدونها. وهذه نقطة ضعف أخرى إذ يستطيع المخترق استغلالها بإنشاء طلبات اتصال وهمية حتى تستنفذ جميع مفاتيح الاستخدام الواحد.

راوترات منزلية تسمح للهاكرز بالدخول

قام احد الباحثين في أمن المعلومات “HD Moore” بعد اكتشاف ثغرة في بروتوكول UPnP المستخدم في محولات الشبكات Routers خصوصا الشبكات المنزلية، قام بعمل مسح لجميع عناوين الإنترنت في نطاق IPv4 مرة كل أسبوع ولمدة خمسة شهور واكتشف وجود ما بين 40 الى 50 مليون جهاز يحتوي على تلك الثغرة.

يستخدم بروتوكول UPnP للسماح للبرامج والأجهزة الموجودة في الشبكة الداخلية بفتح منافذ في جدار الحماية الخارجي للشبكة حسب الحاجة و بشكل تلقائي دون الحاجة لتدخل مستخدم الشبكة حيث يقوم البرنامج “مثلا خادم لعبة جماعية” بإرسال رسالة من الداخل لجهاز الشبكة وطلب فتح منفذ معين فيقوم جهاز الشبكة بفتح ذلك المنفذ في جدار الحماية مما يمكن اللاعبين بالاتصال من الخارج بالخادم داخل الشبكة، هذه الطريقة لا تمثل مشكلة كبيرة حيث تعتبر الطلبات القادمة من داخل الشبكة المنزلية موثوقة، لكن المشكلة تكمن في إهمال بعض الشركات المصنعة لأجهزة الشبكات حيث سمحو لجهاز الشبكة باستقبال طلبات فتح المنافذ من الداخل ومن خارج الشبكة أيضا! وهذي يعني أن الهاكرز يستطيعون إرسال الطلبات من الإنترنت وفتح منافذ في أجهزة الشبكات وتمكين انفسهم من الوصول للحواسيب داخل الشبكة.

مثال يبين عملية تجاوز جدار الحماية

Continue reading “راوترات منزلية تسمح للهاكرز بالدخول”

تصفح آمن من جهاز هاتفك

اذا كنت تريد تصفح الانترنت من جهاز هاتفك او استخدام برامج المحادثة والتواصل الاجتماعي ولكن تخشى من ان يقوم احد بالتجسس عليك سواء كان من المتطفلين او من الحكومات الجائرة وكنت تمتلك جهاز بنظام اندرويد (مثل سامسونق قالكسي او سوني اكسبيريا وغيره) فعليك بتركيب برنامج Orbot. اعداد البرنامج سهل ويدعم اللغة العربية بشكل جزئي واليكم بعض الصور من خطوات الاعداد

اذا كان جهازك بدون صلاحيات المستخدم المسؤول (بدون root كأن يكون الجهاز جديدا ولم تقم بعمل تعديلات للنظام لتفعيل تلك الخاصية) فإن امكاناتك ستكون محدودة. كما نرى في الصورة السابقة فالبرنامج يقدم خيار “طلب صلاحيات المستخدم الخارق” في حال وجود root للجهاز او الاستمرار بدونه.

في حال عدم وجود صلاحيات مستخدم مسؤول فعليك تحميل متصفح مخصص لاستخدام برنامج التور Orweb و برنامج اخر يقوم على تشفير بعض برامج المحادثة Gibberbot

اليرامج اللتي تدعم برنامج التور بدون روت

اما في حال وجود صلاحيات الروت (root) فبالامكان اعداد البروكسي الشفاف لكافة البرامج في الجهاز او بعضها لكي تستخدم التور في نقل البيانات كما نرى في الصورة التالية

بعد الانتهاء من اعداد البرنامج قم بضغط زر التشغيل للارتباط بخوادم التور

الامر لم يكمل بعد، بل يجب تجربة الارتباط والتحقق من ان برنامجك متصل عن طريق التور وليس بشكل مباشر. برنامج التور يوفر خاصية اختبار المتصفح، الصور التالية توضح عملية اختبار فايرفوكس (Firefox) بدون التور

وهنا الصور تبين تفعيل صلاحيات المستخدم المسؤول “الروت” واختيار فايرفوكس كأحد البرامج التي يتم تمرير بياناتها عن طريق خوادم التور ثم اعادة عملية الاختبار


مبروك قد تم اعداد المتصفح بشكل صحيح، تصفح آمن.

** ملاحظة: يجب أخذ الحذر عند استخدامها ومحاولة عدم استخدام معلومات شخصية قد تدل عليك، وايضا يجب ان تتقي الله ولا تستخدمها في ما يغضبه.

كيف يعمل التشفير في الانترنت SSL؟

هذا الموضوع سيكون شرح مبسط عن طريقة عمل Secure Socket Layer او SSL المستخدمة في مواقع الانترنت المشفرة والتي يبدأ عنوانها بـ https.
سبب حديثي عن هذا الموضوع هو اهميته واعجابي به وبطريقة عمله وهي ما سوف اتحدث عنها الان.

أولا يوفر نظام SSL ثلاث خصائص:

  1. تشفير البيانات المرسلة عبر الانترنت بحيث لا يستطيع احد فهم محتواها غير المرسل والمستقبل الرسمي Confidentiality.
  2. حماية البيانات المرسلة من العبث او التعديل قبل وصولها للمستقبل Integrity.
  3. التأكد من هوية المرسل حتى يتسنى للمستقبل تحديد اذا كانت البيانات مرسلة من جهه صحيحه او لا Authentication.

سوف اقوم في حديثي هذا بشرح الخاصية رقم 1 وترك باقي الخصائص لموضوع قادم ان تيسر الوقت. Continue reading “كيف يعمل التشفير في الانترنت SSL؟”

التجسس على لوحة المفاتيح

قام مجموعة من الباحثين في مجال امن المعلومات بالتوصل الى 4 طرق يستطيعون من خلالها التقاط الموجات الكهرومغناطيسية المنبعثة من لوحة مفاتيح الحاسب المكتبي والتي تحمل اشارات تبين للحاسب الزر الذي تم الضغط عليه.

قام هؤلاء الباحثين باستخدام انواع مختلفة من لوحات المفاتيح وقالو انها جميعا معرضة على الاقل لاحد انواع التجسس الاربعة التي اكتشفوها واستطاعو التقاط المعلومات عن قرب باستخدام هوائي بسيط وهو عبارة عن سلك عادي وكما تمكنو من التقاط الاشارة من مسافه 20 متر باستخدام هوائي كبير.


Compromising Electromagnetic Emanations of Keyboards Experiment 1/2 from Martin Vuagnoux on Vimeo.


Compromising Electromagnetic Emanations of Keyboards Experiment 2/2 from Martin Vuagnoux on Vimeo.

وهذا رابط الموضوع http://lasecwww.epfl.ch/keyboard

إنترنت سبيل

في الماضي كنت أرى كثيراً من المنازل وعلى أسوارها الخارجية توجد حنفية ماء بارد ومكتوب عندها “ماء سبيل”. حيث يهدف غالبية أصحاب تلك المنازل إلى نيل الأجر من الله حيث أن تلك المياه يستفيد منها العديد من المارة بكافة أصنافهم وطبقاتهم خصوصا في مثل أجواء صيفنا الحارة فقد قال النبي صلى الله عليه وسلم: “في كل كبد رطبة أجر” رواه البخاري.

في وقتنا الحاضر ومع انتشار الانترنت والخطوط الرقمية (DSL) وانخفاض أسعار أجهزة الحاسب المحمولة اتجه كثير من الناس إلى استخدام الشبكات اللاسلكية (WIFI) لأداء أعمالهم وتصفح الانترنت في أي مكان في المنزل. وكل هذا أدى إلى ظهور ما اسمية بـ “الانترنت السبيل” وهي عبارة عن شبكات لاسلكية غير مشفرة قد يتعدى بث إشاراتها حدود المنزل ليصل إلى الشارع ومنازل الجوار مما يسمح لأي شخص في نطاق تلك الإشارة ويحمل حاسب آلي مزود ببطاقة شبكة لاسلكية بالولوج إلى تلك الشبكة.

Continue reading “إنترنت سبيل”

الحرب الرقمية الأولى

يعاني كثير من مستخدمي البريد الاليكتروني اليوم من انتشار ما يسمى بالرسائل التطفلية (SPAM أو Junk email) وهي نوع من الرسائل المزعجة والغير مرغوبة والتي تحتوي في الغالب على إعلانات لمنتجات ومواقع على الانترنت حيث تقوم الشركات المالكة لتلك المنتجات والمواقع بالتعاقد مع بعض الأشخاص لكي يقوموا بإرسال الإعلانات لأكبر عدد ممكن من مستخدمي البريد الالكتروني حول العالم. Continue reading “الحرب الرقمية الأولى”

كيف تحمي بريدك من الرسائل المزعجة؟

كثيرا ما تصلني استفسارات و أسئلة من بعض الزملاء والأصدقاء عن سبب استقبالهم لرسائل الإعلانات بشكل كبير وعلى نحو مفاجئ في بعض الأحيان وكيف استطاعت تلك الشركات من الحصول على عنوانهم البريدي (الشخصي أو العمل). في البداية يجب أن تعلم أن هناك شركات مهمتها الوحيدة هي جمع اكبر قدر ممكن من العناوين وبيعها لشركات الإعلانات وغالب هذه الشركات تلجا إلى طرق شرعية وغير شرعية للحصول عليها. فأحببت أن أوضح بعض السبل التي تتسبب في حصول هذا الأمر وبعض الحلول التي قد تساعد في تقليل حدوثه.

Continue reading “كيف تحمي بريدك من الرسائل المزعجة؟”