منادی امنیت فضای تولید و تبادل اطلاعات (افتا)
سال:1402 | دوره:12 | شماره:1 |تعداد مقالات:7

1امروزه توسعه فناوری اطلاعات و ارتباطات منجر به تولید روزافزون محصولات جدید در این زمینه شده است. یکی از مهمترین محصولاتی که حفاظت از دارایی های اطلاعاتی را در سطوح مختلف امنیتی انجام می دهد، ماژول رمزنگاشتی است. از این رو، ارزیابی امنیتی یک ماژول رمزنگاشتی برای حفاظت در برابر حملات از اهمیت بسزایی برخوردار است. ارزیابی امنیتی یک ماژول رمزنگاشتی نیازمند آگاهی دقیق از نقاط ضعف بالقوه ای است که به نقص های امنیتی تبدیل می شوند. در این مقاله، تصویری جامع از معیارهای ارزیابی امنیتی ماژول رمزنگاشتی مطابق با استانداردهای بین المللی موجود (به عنوان مثال 3 وFIPS 140-2،ISO15408  و 11 #PKCS) ارائه می شود که متناسب با این معیارها و زیرمعیارها می توان با استفاده از مدل پیشنهادی و بر اساس ترکیبات خطی با وزن فازی، میزان انطباق این معیارها را برای ارزیابی اندازه گیری کرد. همچنین با توجه به این که ساختار هر نوع فرآیند ارزیابی مستلزم هزینه و زمان قابل توجهی است و از یک سو به سیاست ها و الزامات کشور و از سوی دیگر به امکانات و کارشناسان بستگی دارد بنابراین معرفی و ارائه ی راهکارهایی که به حل چالش ها کمک کند می تواند این فرآیند را تسهیل نماید، از این رو در بخش پایانی مقاله چالش هایی که در فرآیند ارزیابی امنیتی یک محصول همانند ماژول رمزنگاشتی در کشور وجود دارد معرفی می شود تا اهمیت مطالعه و تحقیق در این زمینه را تایید کند.

1در سال های اخیر، یکی از موضوعات مورد پژوهش در حوزه ی امنیت محاسبات برون سپاری شده، راستی آزمایی صحت اجرای محاسبات برون سپاری شده است. محاسبات برون سپاری شده، بر روی داده های دریافتی از یک یا چند منبع داده قابل اجرا می باشند. در حال حاضر روش های محدودی برای محاسبات برون سپاری شده با منابع داده توزیع شده ارایه شده اند.  راه حل های ارایه شده در این حوزه جهت راستی آزمایی صحت اجرای انواع توابع، توابع تجمعی، توابع خطی و توابع چند جمله ای در سه دسته اصلی محاسبات وارسی پذیر، احرازکننده های اصالت همریخت و روش های ارایه شده برای کاربرد خاص )نظیر پایگاه داده های برون سپاری شده، شبکه های حسگر بی سیم و سامانه های مدیریت جریان داده( قرار می گیرند. در این مقاله روش های مختلف ارایه شده برای راستی آزمایی صحت اجرای محاسبات و به طور دقیق تر روش های ارایه شده برای راستی آزمایی نتایج پرسمان های استفاده شده در سامانه های مدیریت جریان داده مرور و مقایسه شده اند.

1با ظهور پدیده های جدید در حوزه ی مخابرات و فناوری اطلاعات مانند رایانش ابری و شبکه های هوشمند، شاهد چالش های جدیدی در این حوزه ها هستیم. یکی از مهمترین این چالش ها محرمانگی داده های برون سپاری شده است. در واقع، به دلیل توان پردازشی محدود افزاره های هوشمند جدید، مانند تبلت و موبایل، برون سپاری محاسبات در این بسترها بیشتر مورد توجه کاربران قرار گرفته است. علاوه بر محرمانگی داده ها، امنیت الگوریتم های موجود در نرم افزارهای برخط نیز از اهمیت بسیاری برخوردار است. در نتیجه، صاحبان نرم افزار ممکن است نگران فاش شدن الگوریتم های خود پس از برون سپاری در محیط های ابری باشند. سیستم های رمزنگاری همریخت موجود می توانند محرمانگی داده هایی که باید به صورت برخط پردازش شوند را فراهم کنند. بااین حال، محرمانگی همزمان الگوریتم ها در این سیستم ها مورد توجه قرار نگرفته است. برای حل این مسئله، ما یک سیستم رمزنگاری همریخت بنام SHDF را معرفی می کنیم. این سیستم قادر است تمامی الگوریتم های یک نرم افزار و داده هایی که قرار است روی آنها پردازش شوند را به طور همریخت رمز کند و امکان انجام محاسبات لازم را در یک سرور ناامن فراهم کند. به علاوه، نشان می دهیم که سیستم ارائه شده دارای امنیت اثبات پذیر است و نتایج پیاده سازی ما نیز نشان می دهد که قابل استفاده در محیط های ابری با کارایی مناسب می باشد.

1 در رمزنگاری نشت تاب، هدف طراحی پروتکل های تبادل کلیدی است که بتواند در برابر حملات نشت مقاومت کند. این پروتکل ها با استفاده از یک مدل امنیتی نشت تاب مورد بررسی قرار می گیرند تا مشخص شود که آیا ویژگی های امنیتی ادعا شده را دارا هستند یا خیر. بررسی ویژگی های امنیتی بر این تمرکز دارد که چگونه یک مدل امنیتی نشت تاب طی سال ها تکامل یافته است تا نیازهای امنیتی فزاینده را برآورده کند و طیف وسیع تری از حملات را پوشش دهد. با مطالعه و بررسی ویژگی های امنیتی ارائه شده توسط این مدل ها، آسیب پذیری های احتمالی در طراحی پروتکل ها می تواند به طور مؤثری برطرف شود. این مقاله به بررسی انواع مدل های امنیتی نشت تاب مبتنی بر دو مدل $CK$ و $eCK$ می پردازد و نمونه هایی از پروتکل های امن تبادل کلیدی را که در این مدل ها تعریف شده اند، ارائه می کند. علاوه بر این، ارتباط بین قابلیت های مهاجمان در این مدل ها و انواع طرح های حمله در دنیای واقعی را مورد بررسی قرار می دهد و با ارائه بینشی در مورد مدل های مختلف امنیتی نشت تاب، حملات نشتی و توسعه پروتکل های امن، به پیشرفت دانش در این زمینه کمک می کند.

1با گسترش روزافزون استفاده از یادگیری عمیق و شبکه های عصبی در علوم مختلف و موفقیت های حاصل از آن، در سال 2019 شبکه های عصبی عمیق برای تحلیل رمز تفاضلی اتخاذ شدند و پس از آن توجه فزایند های به این زمینه از تحقیقات جلب شد. اکثر تحقیقات انجام شده بر روی بهبود و بهکارگیری تمایزگرهای عصبی متمرکز هستند و مطالعات محدودی نیز در رابطه با اصول ذاتی و ویژگیهای یادگرفته شده توسط تمایزگرهای عصبی صورت گرفته است. در این مطالعه با تمرکز بر روی سه رمز قالبی Speck ، Simon و Simeck ، به بررسی فرایند و روش تحلیل رمزهای قالبی با کمک یادگیری عمیق خواهیم پرداخت. در این میان، عوامل مؤثر و مولفههای موجود در جهت دسترسی به عملکرد بهتر، واکاوی و مقایسه خواهند شد. همچنین با تشریح حملات و مقایسه نتایج، به این سوال پاسخ خواهیم داد که آیا از شبکه های عصبی و یادگیری عمیق م یتوان به عنوان یک ابزار کارا برای تحلیل رمزهای قالبی استفاده نمود یا خیر.

1امروزه سامانه های زیست سنجه، یک تکنیک کلیدی برای شناسایی کاربر به شمار می آید، که به دلیل ویژگی غیرتهاجمی بودن و هم چنین مقاومت بالا دربرابر جعل و تقلب، مورد استقبال قرار گرفته اند. زیست سنجه های فیزیولوژیکی و رفتاری، دو گونه اصلی از انواع شناسه های زیست سنجه هستند. شناسه های رفتاری مانند تشخیص صدا، بر اساس اعمال انسان یا حتی حیوانات است. زیست سنجه فیزیولوژیکی نیز، مانند اثرانگشت و تشخیص چهره، که در سال های گذشته در زندگی روزمره همه ما استفاده شده است، برمبنای ویژگی های فیزیکی بدن انسان است. یکی از زیست سنجه های مختلفی که در مطالعه های این زمینه مورد بررسی قرار گرفته اند، سیگنال قلب است که به دلیل روند اخذ ساده آن نسبت به زیست سنجه هایی مانند سیگنال مغز، در سیستم های احرازاصالت و شناسایی به خوبی به کار گرفته شده است. علاوه بر آن، پایگاه داده های معتبری روی داده های سیگنال قلب وجود دارد؛ که پژوهشگران این موضوع، برای ارزیابی سیستم های خود به آن ها استناد می کنند. در این مطالعه، تجزیه، تحلیل و مقایسه روش های مختلف در احرازاصالت با استفاده از زیست سنجه سیگنال قلب، مورد مطالعه قرار گرفته است. هم چنین، در ادامه، مزایا و معایب روش ها و مدل های یادگیری عمیق مطرح شده در این زمینه، بررسی شده است. در بخش پایانی نیز، ابتدا پیاده سازی روش ارائه شده در پژوهش فاستر و لوپز، مطرح شده است و سپس در راستای ارزیابی آن، به ارائه آزمون های طراحی شده با استفاده از شبکه ایجاد شده در این مطالعه، می پردازیم و پس از آن، جمع بندی و نتیجه گیری از آن، مطرح شده است.

1ارائه تمامی خدمات از راه دور مستلزم احراز اصالت متقابل طرفین شرکت کننده است. چارچوبی که این احراز اصالت به وسیله آن انجام می شود، پروتکل های احراز اصالت نام دارد. به عبارتی، پروتکل رمزنگاری یا رمزنگاشتی یک الگوریتم رمزنگاری توزیع شده است که بین حداقل دو یا چند هستار با یک هدف مشخص تعاملاتی را برقرار می نماید. درواقع، این پروتکل ها کانال های امن و ناامنی برای ارتباط بین طرفین شرکت کننده در پروتکل فراهم نموده اند. معمولاً از کانال های امن جهت ثبت نام و از کانال های ناامن جهت احراز اصالت متقابل استفاده می شود. کاربر بعد از ثبت نام در سرور و تأیید اصالت آن توسط سرور می تواند از خدماتی که سرور ارائه می دهد بهره مند شود. پروتکل های احراز اصالت بسیاری در زمینه هایی مانند مراقبت پزشکی الکترونیکی، اینترنت اشیاء، محاسبات ابری و غیره ارائه شده است. حریم خصوصی و گمنامی کاربران در این طرح ها، بزرگ ترین چالش در پیاده سازی بستر جهت بهره مندی خدمات از راه دور است. به دلیل اینکه احراز اصالت کاربران در بستر ناامن اینترنت اتفاق می افتد، پس نسبت به تمامی حملات اینترنتی موجود می تواند آسیب پذیر باشد. به طور کلی دو روش جهت تحلیل و اثبات امنیت پروتکل های احراز اصالت وجود دارد. روش صوری و روش غیرصوری. روش غیرصوری که مبتنی بر استدلال های شهودی، خلاقیت تحلیلگر و مفاهیم ریاضی است، سعی و تلاش در جهت یافتن خطاها و اثبات امنیت دارد. درحالی که روش صوری که به دو صورت دستی و خودکار انجام می شود، از انواع منطق های ریاضی و ابزارهای تحلیل امنیت خودکار استفاده نموده است. روش دستی با استفاده از مدل های ریاضی مانند مدل پیشگوی تصادفی و منطق های ریاضی مانند منطق BAN، منطق GNY  و غیره و روش خودکار با استفاده از ابزارهای اویسپا، سایتر، پرووریف، تامارین و غیره انجام شده است. در واقع روش های اثبات و تحلیل امنیت پروتکل های امنیتی به دو دسته کلی مبتنی بر اثبات قضیه و وارسی مدل تقسیم شده اند، که در این مقاله جزئیات هرکدام از این روش های اثبات و تحلیل امنیت، تحلیل امنیت پروتکل ECCPWS  با برخی از این روش ها و در نهایت مقایسه این روش ها با یکدیگر از لحاظ نقاط قوت، نقاط ضعف و غیره بیان شده است. در این مقاله، روش های مبتنی بر وارسی مدل و سپس روش های مبتنی بر اثبات قضیه شرح داده می شود.