الرئيسيةبحث

أمن البريد الإلكتروني


أمن البريد الإلكتروني

مقدمة :

البريد الإلكتروني هو الوسيلة الأساسية لقطاع الأعمال و الاتصالات ،يزداد استخدامه يوما بعد يوم . يستخدم لنقا الرسائل النصية و نقل المستندات و جداول البيانات ، و بما أن عملية نقل البيانات عملية حساسة جدا, لذلك سلامة هذه البيانات هي موضع تساؤل, و هذا يمثل مشكلة ؛ فالباب مفتوح على تفاصيل العقود بين الشركات المتنافسة و الأسوأ من ذلك أن هناك قدرات لتزوير الرسائل الإلكترونية ، و هناك عادات مبلغ عنها من اعتداءات من هذا القبيل.

تكنولوجيا الأمن :

هناك عدد من الحلول القائمة باستخدام المفتاح العمومي القائم على الترميز . في هذه النظم المستخدم لديه مفتاحين رمزيين للمحافظة على أمن مصادر البيانات ؛ المفتاح الأول هو المفتاح العمومي المشهور, و الآخر هو مفتاح الحفاظ على السرية بالنسبة للمستخدم, و باستخدام الطرق الرياضية يمكن استخدام المفتاح السري الخاص لتوقيع مجرى البيانات مثل رسائل البريد الإلكتروني ، و هذا التوقيع يدعى " التوقيع الرقمي" الذي يجري جنبا إلى جنب مع البيانات عند نقلها, و عندئذ يمكن استخدامها للتحقق من أن الرسالة لم يحدث ليها تغيير أثناء نقلها و ذلك باستخدام المفتاح العمومي و يجب أن يكون المرسل على علم و دراية بالمفتاح الخاص .

هناك مجموعة من الطرق الرياضية المشهورة مثل خوارزمية (RSA) ، وكالة الفضاء الروسية كثيرا ما تستخدم بالاشتراك مع تشفير البيانات الموحدة لتزويد نظام أمن كامل يزود بالرسائل الإلكترونية مع خدمات أمنية مثل : • التوثيق الأصلي : و هو التأكد من معرفة من قام بإرسال الرسالة . • نزاهة المحتوى : و هو ضمان محتوى الرسالة بأنه لم يتغير بعد إرسالها. • عدم التنصل : التأكد من أن المنشىْ لا ينكر أنه أرسل الرسالة في وقت لاحق. • التشفير : تشفير محتوى الرسالة لمنع قراءتها.


تأمين الرسالة الإلكترونية :

هناك ثلاثة أنظمة رئيسية ستخدم هذه التقنية للمحافظة على أمن نقل الرسائل وهي:PGP ،PEM ،X-400 ، ففي النظام الأول (PGP) مستخدم الرسالة يحدد الاسم ثم ينشيْ زوج من المفتاحين العام و الخاص باستخدام البرمجيات المتاحة للاسم ، أما الجزء الخاص فيبقى سري لدى المستخدم . و عندما ترسل الرسالة تكون قد شفرت بالمفتاح الخاص مع المحافظة على أمن المعلومات التي بالرسالة . هذا نموذج بسيط تنامى بسرعة كبيرة لتأمين الحماية للرسائل و الإنترنت بشكل خاص ، لكن الأسماء ليست مضمونة فهناك إمكانية لاستخدام مفتاح خاطيْ لتشفير البيانات و ليس هناك طريقة للسيطرة التامة إذا تم كشف المفتاح الخاص عن طريق الصدفة مثلا .


أهم نقاط الضعف في المفاتيح الرقمية :

• شخص ما يمكنه سرقة المفتاح الخاص بك من جهازك ، لذا فالطريقة المثلى لحماية المفتاح الخاص هي و ضع كلمة سر و عندها المفتاح المسروق لا قيمة له. • المصدر للشهادة يمكن أن يعطي لشخص آخر معلومات كافية لتسهيل إنشاء نسخة من المفتاح الخصوصي. • يمكن أن تكون الشهادة مزورة . • التوقيع الرقمي يحمل نفوذ أقوى من العنوان العادي ، فإذا ضاعت الشهادة أو تم فقد كلمة السر ؛ الطريقة الأفضل هي التوقف عن استخدام عنوان البريد الإلكتروني المسروق و البداية من جديد.


الشهادة الرقمية و المفتاحين العام و الخاص :

الشهادة الرقمية هي كجواز السفر و تحتوي مفتاح عام و مفتاح خاص ، و يعمل المفتاحان معا للتأكد من أن الرسالة جاءت من المعالج "ردا على" عن طريق تحقيق التوقيع الرقمي للرسالة الإلكترونية و يتم ذلك عن طريق إرفاق التوقيع الرقمي إلى البريد الإلكتروني .


التوقيع الرقمي :

يتم إنشاؤه عن طريق برمجية خاصة و المفتاح الخاص و يعملان معا و تعتبر المفاتيح الخاصة مفاتيح ذكية. التوقيع الرقمي يضمن : • صحة مطالب مرسل العنوان الإلكتروني . • أن الرسالة الإلكترونية لم تتغير أثناء إرسالها.


مشروع كلمة السر :

نظرا للمشاكل التي تواجه سرية البيانات و الرسائل الإلكترونية قامت لجنة من الأوروبيين بتمويل مشروع الكلمة السرية ووضع البنى التحتية لقيادة الخدمات الأمنية اعتمادا على إطار X-509 ، و بعد ذلك تم استخدام البنى التحتية لقيادة (X-400,PEM) في أوروبا .مشروع كلمة السر انتهى في هذا الوقت لكن هناك بقايا للبنى التحتية ما زالت موجودة و متوقع إعادة استخدامها كأساس لمشاريع جديدة بإطارات جديدة.


تأمين الأدلة :

إن الحلول الأمنية للرسائل الإلكترونية في هذا الوقت تركز على أمن و سرية نقل الرسائل تلك بين أي طرفين . لكن المشكلة هي الارتفاع في استخدام الأدلة المفتوحة مثل دليل (X-500) لدعم الرسائل الإلكترونية ، فعلى سبيل المثال : عند استخدام منتجات (NEXOR) يقوم المستخدم بإرسال رسالة (X-400) لمستخدم آخر فيلجأ للبحث في دليل (X-500) و هذا يعني أن المستخدم ليس بالضرورة أن يكون علي معرفة بعنوان البريد الإلكتروني وهذه طريقة اتصال ضعيفة . لذا (X-500) هي ميكانيكية لمنع حدوث هذا النوع من المشاكل باستخدام موديل (X.509) لعرض مجموعات مختلفة من المعلومات لفئات مختلفة من المستخدمين . هذا هو العنصر الرئيسي من مشروع إدارة الوجهات السياحية.


إدارة المفاتيح :

هناك عنصر آخر آمن و مهم وهو التخزين الآمن للمفاتيح الخاصة ، يتم تخزينهم ببطاقة معدات مادية ؛ بحيث أن المفتاح الخاص لا يغادر البطاقة أبدا و البطاقة نفسها تقوم بجميع الوظائف تبعا للمفتاح المستخدم و هذه الوظائف مثل : التشفير ، التوقيع ، التحقق من الرسالة الإلكترونية . و لتطبيق النظام عليك شراء بطاقة من مصدر موثوق به ، بحيث يكون هذا المصدر لا يعرف عن ميكانيكية الأمن المستخدمة.