تويتر تطبق طريقة تشفير جديدة على مواقعها

People holding mobile phones are silhouetted against a backdrop projected with the Twitter logo in Warsaw

أعلنت شبكة تويتر عن بدء تطبيقها مزايا تشفير أمنية جديدة على مواقعها المختلفة على الويب و الموبايل وكذلك الواجهة البرمجية api والتي تعرف بطريقة Forward Secrecy.

وفي الحالة الطبيعية فإن موقع تويتر يستخدم البروتوكول الآمن HTTPS لكن مع الطريقة الجديدة من التشفير فإنها تضيف طبقة حماية إضافية بحيث عندما تقوم جهة ما بمراقبة حركة المستخدمين والبيانات المتبادلة ولو بشكل مشفر وبعدها إن تمكنوا من سرقة الرقم الخاص بفك التشفير، فإن طريقة التشفير الجديدة ستمنعهم من إستخدام هذا الرقم لفك تشفير السجلات والبيانات التي تمت سرقتها ومراقبتها بالتالي تبطل فعاليتها.

ولنوضح الصورة قليلاً فإنه مع بروتوكول HTTPS فإن المستخدم يختار رقم عشوائي لجلسة التصفح، ويتم تشفير هذا الرقم بواسطة الرقم العام للمخدم، وبعدها يتم إرساله عبر الشبكة. لكن إن تمكن شخص ما من الحصول على الرقم الخاص للمخدم وبعض البيانات المسجلة عن حركة التصفح فإنه يمكنه فك تشفير مفتاح الجلسة العشوائي وبعدها استخدامه لفك تشفير كامل جلسة المستخدم والإطلاع على كل بياناته.

ولكن طريقة forward secrecy تقوم بأن يتم استخدام رقم جلسة عشوائي مشترك ما بين المخدم والمستخدم وبدون الحاجة لإرسال الرقم عبر الشبكة حتى لو كان الرقم مشفر. وهذه الطريقة تمنع حدوث عمليات الإختراق المعروفة بطريقة الرجل في المنتصف man-in-the-middle.

يذكر أن سجل شبكة تويتر كان الأفضل في فضيحة PRISM الخاصة بتجسس وكالة الأمن القومي على المستخدمين والإطلاع المباشر على المخدمات، وبهذا الدعم الإضافي اليوم فإن تويتر تحاول بذل كل ما يمكنها للحفاظ على سرية بيانات مستخدميها وهو ما يبعث بالراحة ويساعدها على زيادة قاعدة المستخدمين مقارنة بغير شبكات كان من السهل التجسس عليها وحتى الإطلاع على الرسائل الخاصة مثل فيس بوك.

للمزيد من التفاصيل الفنية عن طريقة التشفير الجديدة و آلية عملها يمكن الإطلاع على هذه الصفحة

  • الريامي

    (ولكن طريقة forward secrecy تقوم بأن يتم استخدام رقم جلسة عشوائي مشترك ما بين المخدم والمستخدم وبدون الحاجة لإرسال الرقم عبر الشبكة حتى لو كان الرقم مشفر. وهذه الطريقة تمنع حدوث عمليات الإختراق المعروفة بطريقة الرجل في المنتصف man-in-the-middle )

    ١- forward secrecy ليس لها دخل في عملية man-in-the-middle وليس من اختصاصها ، مع العلم ان بعض تطبيقاتها تسمح بوجود هذا النوع من الاختراق لاغراض ثانية

    ٢- شرح العملية المذكور بالكامل خطا وانما تتمع عبر خوارزمات key agreement مثل diffie-hellman وهو الاشهر والمطبق حاليا في خيارات SSL الحديثة ، مع العلم ان diffie-hellman معرضة لاختراقات من نوع man-in-the-middle لكن يتم استخدام طرق اخرى للتاكد من الاشخاص

    ٣- العامل الاساسي في perefect forward secrecy انه لا يتم تبادل اي مفتاح تشفير خلال كامل العملية ، وهو ما يجعل من الصعب فك تشفير المحادثة لاحقا
    الموضوع فيه تفصيل،،
    تقبل مروري

تعليقات عبر الفيسبوك