انتقل إلى المحتوى

أمن البريد الإلكتروني

من ويكيبيديا، الموسوعة الحرة

أمن البريد الإلكتروني [1] هو الوسيلة الأساسية لقطاع الأعمال والاتصالات، ويزداد استخدامه يوما بعد يوم. يستخدم لنقل الرسائل النصية ونقل المستندات وجداول البيانات، وبما أن عملية نقل البيانات عملية حساسة جدا فسلامة هذه البيانات هي موضع تساؤل، وهذا يمثل مشكلة؛ فالباب مفتوح على تفاصيل العقود بين الشركات المتنافسة والأسوأ من ذلك أن هناك قدرات لتزوير الرسائل الإلكترونية، وهناك عادات مبلغ عنها من اعتداءات من هذا القبيل.[2] [3][4]

تكنولوجيا الأمن

[عدل]

هناك عدد من الحلول القائمة باستخدام المفتاح العمومي القائم على الترميز. في هذه النظم المستخدم لديه مفتاحين رمزيين للمحافظة على أمن مصادر البيانات؛ المفتاح الأول هو المفتاح العمومي المشهور، والآخر هو مفتاح الحفاظ على السرية بالنسبة للمستخدم، وباستخدام الطرق الرياضية يمكن استخدام المفتاح السري الخاص لتوقيع مجرى البيانات مثل رسائل البريد الإلكتروني، وهذا التوقيع يدعى «التوقيع الرقمي» الذي يجري جنبا إلى جنب مع البيانات عند نقلها، وعندئذ يمكن استخدامها للتحقق من أن الرسالة لم يحدث ليها تغيير أثناء نقلها وذلك باستخدام المفتاح العمومي ويجب أن يكون المرسل على علم ودراية بالمفتاح الخاص.

هناك مجموعة من الطرق الرياضية المشهورة مثل خوارزمية (RSA)، وكالة الفضاء الروسية كثيرا ما تستخدم بالاشتراك مع تشفير البيانات الموحدة لتزويد نظام أمن كامل يزود بالرسائل الإلكترونية مع خدمات أمنية مثل:[1][5]

    • التوثيق الأصلي: وهو التأكد من معرفة من قام بإرسال الرسالة.
    • نزاهة المحتوى: وهو ضمان محتوى الرسالة بأنه لم يتغير بعد إرسالها.
    • عدم التنصل: التأكد من أن المنشىْ لا ينكر أنه أرسل الرسالة في وقت لاحق.
    • التشفير: تشفير محتوى الرسالة لمنع قراءتها.

تأمين الرسالة الإلكترونية

[عدل]

هناك ثلاثة أنظمة رئيسية ستخدم هذه التقنية للمحافظة على أمن نقل الرسائل وهي:PGP ،PEM ،X-400، ففي النظام الأول (PGP) مستخدم الرسالة يحدد الاسم ثم ينشيْ زوج من المفتاحين العام والخاص باستخدام البرمجيات المتاحة للاسم، أما الجزء الخاص فيبقى سري لدى المستخدم. وعندما ترسل الرسالة تكون قد شفرت بالمفتاح الخاص مع المحافظة على أمن المعلومات التي بالرسالة.

هذا نموذج بسيط تنامى بسرعة كبيرة لتأمين الحماية للرسائل والإنترنت بشكل خاص، لكن الأسماء ليست مضمونة فهناك إمكانية لاستخدام مفتاح خاطيْ لتشفير البيانات وليس هناك طريقة للسيطرة التامة إذا تم كشف المفتاح الخاص عن طريق الصدفة مثلا.

أهم نقاط الضعف في المفاتيح الرقمية

[عدل]
    • شخص ما يمكنه سرقة المفتاح الخاص بك من جهازك، لذا فالطريقة المثلى لحماية المفتاح الخاص هي وضع كلمة سر وعندها المفتاح المسروق لا قيمة له.
    • المصدر للشهادة يمكن أن يعطي لشخص آخر معلومات كافية لتسهيل إنشاء نسخة من المفتاح الخصوصي.
    • يمكن أن تكون الشهادة مزورة.
    • التوقيع الرقمي يحمل نفوذ أقوى من العنوان العادي، فإذا ضاعت الشهادة أو تم فقد كلمة السر؛ الطريقة الأفضل هي التوقف عن استخدام عنوان البريد الإلكتروني المسروق والبداية من جديد.

الشهادة الرقمية والمفتاحين العام والخاص

[عدل]

الشهادة الرقمية هي كجواز السفر وتحتوي مفتاح عام ومفتاح خاص، ويعمل المفتاحان معا للتأكد من أن الرسالة جاءت من المعالج «ردا على» عن طريق تحقيق التوقيع الرقمي للرسالة الإلكترونية ويتم ذلك عن طريق إرفاق التوقيع الرقمي إلى البريد الإلكتروني.

التوقيع الرقمي

[عدل]

يتم إنشاؤه عن طريق برمجية خاصة والمفتاح الخاص ويعملان معا وتعتبر المفاتيح الخاصة مفاتيح ذكية. التوقيع الرقمي يضمن:

    • صحة مطالب مرسل العنوان الإلكتروني.
    • أن الرسالة الإلكترونية لم تتغير أثناء إرسالها.

مشروع كلمة السر

[عدل]

نظرا للمشاكل التي تواجه سرية البيانات والرسائل الإلكترونية قامت لجنة من الأوروبيين بتمويل مشروع الكلمة السرية ووضع البنى التحتية لقيادة الخدمات الأمنية اعتمادا على إطار X-509، وبعد ذلك تم استخدام البنى التحتية لقيادة (X-400,PEM) في أوروبا.مشروع كلمة السر انتهى في هذا الوقت لكن هناك بقايا للبنى التحتية ما زالت موجودة ومتوقع إعادة استخدامها كأساس لمشاريع جديدة بإطارات جديدة.

تأمين الأدلة

[عدل]

إن الحلول الأمنية للرسائل الإلكترونية في هذا الوقت تركز على أمن وسرية نقل الرسائل تلك بين أي طرفين. لكن المشكلة هي الارتفاع في استخدام الأدلة المفتوحة مثل دليل (X-500) لدعم الرسائل الإلكترونية، فعلى سبيل المثال:

عند استخدام منتجات (NEXOR) يقوم المستخدم بإرسال رسالة (X-400) لمستخدم آخر فيلجأ للبحث في دليل (X-500) وهذا يعني أن المستخدم ليس بالضرورة أن يكون علي معرفة بعنوان البريد الإلكتروني وهذه طريقة اتصال ضعيفة. لذا (X-500) هي ميكانيكية لمنع حدوث هذا النوع من المشاكل باستخدام موديل (X.509) لعرض مجموعات مختلفة من المعلومات لفئات مختلفة من المستخدمين. هذا هو العنصر الرئيسي من مشروع إدارة الوجهات السياحية.

إدارة المفاتيح

[عدل]

هناك عنصر آخر آمن ومهم وهو التخزين الآمن للمفاتيح الخاصة، يتم تخزينهم ببطاقة معدات مادية؛ بحيث أن المفتاح الخاص لا يغادر البطاقة أبدا والبطاقة نفسها تقوم بجميع الوظائف تبعا للمفتاح المستخدم وهذه الوظائف مثل: التشفير، التوقيع، التحقق من الرسالة الإلكترونية.

لتطبيق النظام عليك شراء بطاقة من مصدر موثوق به، بحيث يكون هذا المصدر لا يعرف عن ميكانيكية الأمن المستخدمة.

مراجع

[عدل]
  1. ^ ا ب المعجم الموحد لمصطلحات الحرب الإلكترونية: (إنجليزي - عربي - فرنسي). سلسلة المعاجم الموحدة (30) (بالعربية والإنجليزية والفرنسية). الرباط: مكتب تنسيق التعريب. 2004. ص. 83. ISBN:978-9954-0-0737-2. OCLC:1049178801. QID:Q116186852.
  2. ^ J. Klensin (أكتوبر 2008). "General Syntax Principles and Transaction Model". Simple Mail Transfer Protocol. p. 15. sec. 2.4. DOI:10.17487/RFC5321. RFC 5321. However, exploiting the case sensitivity of mailbox local-parts impedes interoperability and is discouraged.
  3. ^ Morrison, Sara (6 Sep 2021). "How a simple email address makes things complicated". Vox (بالإنجليزية الأمريكية). Archived from the original on 2021-09-07. Retrieved 2024-07-15.
  4. ^ "...you can add or remove the dots from a mail address without changing the actual destination address; and they'll all go to your inbox...", Google.com نسخة محفوظة 2023-12-28 على موقع واي باك مشين.
  5. ^ يوسف سليمان خير الله (1998). أحمد شفيق الخطيب (المحرر). الموسوعة العلمية الشاملة (ط. 1). بيروت: مكتبة لبنان ناشرون. ص. 300. ISBN:978-9953-33-776-0. OCLC:745323823. QID:Q118142307.