»

»

»

»

»

»

»

»

»

»

»

»

»

»

»

»

ایجاد محیطی امن و جلوگیری از دسترسی غیر مجاز به پست الکترونیک

کد مطلب : 148

یکی از موضوعات مهم ارسال پیام ،امنیت آن است. در گذشته نیز پیام را بنحوی ارسال می کردند که اگر در بین راه پیام به سرقت می رفت، متن پیام برای افراد غیر مجاز قابل فهم نبود.

امروزه با توجه به رشد سریع اینترنت، برای ارسال پیام از پست الکترونیکی استفاده می شود .بنابراین ایجاد یک محیط امن برای ارسال پیام ضرورت پیدا می کند ،تا از کپی غیر مجاز و استراق سمع آن جلوگیری شود.در این مقاله ، نحوه عملکردپست الکترونیکی و تهدیدهایی که با آن مواجه است وهمچنین رمزنگاری با کلید متقارن ونامتقارن مورد ارزیابی قرار می گیرد و در نهایت به این نتیجه می رسیم که با توجه به بزرگی اندازه کلید نامتقارن ،رمزنگاری پیامهای بزرگ با این کلید مناسب نیست و بهتر است ترکیبی از کلید متقارن ونامتقارن برای رمزنگاری داشته باشیم تا به نتیجه مطلوب برسیم . بنابراین بجای رمزنگاری کل پیام ،چکیده ای از پیام را بدست می آوریم.- چکیده پیام برای هرپیام منحصر بفرد است و با در دست داشتن آن نمی توان به کل پیام دست یافت.- برای این کار می توان از توابع ام دی 5 (MD5 ) و ا س اچ ای (SHA ) استفاده کرد . سپس با استفاده از کلیدخصوصی ارسال کننده ،پیام امضاء می گردد. برای مخفی ماندن متن ،پیام با کلید متقارن رمزنگاری و ارسال می گردد.

1. با رشد سریع اینترنت و توسعه تجارت الکترونیک ،پست الکترونیک، ارتباطات درون خطی شده است . با توجه به قابلیت اطمینان و راحتی ،تجارت برای ارتباط با مشتریان وشرکای تجاری به پست الکترونیک تکیه کرده است. از آنجا که بیشتر اطلاعات از طریق پست الکترونیک انتقال پیدا می کند،نیازبه امنیت اطلاعات می باشد. امروزه ، با توجه به زیر بنای مسیریابی حملاتی که به پستهای الکترونیک می شود ساده تر از دیگر حملات اینترنت است. یک مهاجم می تواندقبل از آنکه پیام به مقصد برسد مانع ردوبدل شدن آن شود و آن را تغییر دهد ویا همچنین می تواند در شبکه کامپیوتری وقفه ایجاد کند وآن را جعل کند. اگر این پیامها مربوط به حسابهای مالی ویا یاداشتهای محرمانه باشد نتیجه ویران کننده است .بنابراین پیاده سازی امنیت پست الکترونیک ضروری است .

●برخی از چالشها که در پستهای الکترونیکی مطرح است :

- پیامهایی که به صورت بمب عمل می کنند و باعث خرابکاری می شوند.

- جعل وخرابکاری در پیامهای الکترونیکی توسط مهاجم.

2- نحوه عملکردپست الکترونیکی

تصور کنید ارسال یک پیام الکترونیکی همانند ارسال نامه است پس کامپیوترها دفاتر پستی هستند ویک دفتر پست به وسیله پروسیجر قرارداد انتقال پستی ساده (SMTP) نامه رادریافت میکند ویا آن را به دفتر پست نزدیک به گیرنده نهایی ارسال می کند.بیشتر فرستندگان به دو طریق پست الکترونیکی را ارسال میکند:

- رابط مبتنی بر وب (Web Base Interface )

- مشتری پست الکترونیکی (email client) همانند نرم افزار Microsoft Outlook

2-1 مشتری پست الکترونیکی (E mail client)

مشتری پست الکترونیکی یک برنامه کاربردی، برای خواندن ، نوشتن و ارسال پست الکترونیکی است . به عبارت ساده تر یک رابط کاربر برای سیستم پست الکترونیک است . این برنامه مرکب از یک ویرایشگر متن ساده ، کتاب آدرس ، قفسه بایگانی و ماژولهای ارتباطی است. به کمک ویرایشگر متن میتوان متن پیام را ایجاد کرد و معمولا امکانات قالب بندی متن وبررسی درستی املاء را شامل می شود . همچنین می توان فایل یا اسنادی را به پیام ضمیمه کرد . برای مثال، دیاگرام یا طرح کلی می تواند ضمیمه یک پیام شود وارسال گردد، گیرنده پیام می تواند از پیشرفت پروژه آگاه شود . کتاب آدرس، این اجازه را به کاربر می دهد تا درس هایی را که برای آنها پیام می فرستد را در آن ذخیره کند در این صورت کاربر به راحتی می توان آدرس مورد نظر خود را بدون احتمال خطا به دست ورد.قفسه بایگانی، اجازه ذخیره پیام های ارسالی و دریافتی را به کاربر می دهد و همچنین توابعی برای جستجو دارد تا به کمک آن پیام های مطلوب را بازیابی کند . در نهایت بخشی از یک مشتری پست الکترونیکی ارتباط واقعی پیام را به ( از ) یک کارگزار پست الکترونیکی(email server) است .

2-2 کارگزار پست الکترونیکی

کارگزار پست الکترونیکی برنامه کاربردی است که از مشتری های پست الکترونیکی و یا از کارگزارهای پست الکترونیکی دیگر پیام های الکترونیکی را دریافت می کند و نقش اصلی را در سیستم پست الکترونیکی دارد . یک کارگزار پست الکترونیکی معمولاً شامل یک فضای حافظه ، یک مجموعه از رول های تعریف شده برای کاربران ، یک لیست از کاربران و یک سری ماژولهای ارتباطی می باشد . فضای حافظه، محلی که پیامها برای هر کاربر به صورت جداگانه ذخیره می شود می باشد و پیامهایی که در حال عبور به مقصد دیگری نیز هستند به صورت موقت در این فضا ذخیره می شوند. این فضا معمولاً به صورت یک بانک اطلاعاتی ساده می باشد . رولهای تعریف شده برای کاربران بیان می کند که کارگزار پست الکترونیکی چه عکس العملی نشان بدهد وقتی مقصد یک پیام تعیین می شود ( برای مثال : آدرس های پست الکترونیکی مشخصی مسدود باشد و یا کاربران خاصی در یک شرکت مجاز به ارسال نامه باشند یک بانک اطلاعاتی از حساب کاربران(user Account) وجود دارد که کارگزار پست برای هر کاربر آن را تشخیص می دهد و به صورت محلی با آن سر و کار دارد .) ماژولهای ارتباطی مولفه هایی هستند که واقعاً با اتصال پیام به( از )کارگزار های پست و مشتری های پست سرو کار دارند . بسته به نیاز کارگزار های پست ممکن است ماژو لهای مختلفی برای استفاده نصب شده باشد . یک شخص که معمولاً آن را رییس پست می نامیم از کارگزار پست و لیست کاربرانی که در آن تعریف شده اند پشتیبانی و نگهداری می کند . البته در بیشتر کارگزار های پست عملیات بدون عمل دست تکان دادن انجام می شود . بمنظور ارسال پیام ، برنامه ای که روی کامپیوتر شخصی مورد استفاده می باشد بایستی با یک دفتر پستی ارتباط برقرار کند که این دفتر پست همان SMTP است.اگر برنامه مذکور web mail باشد ابتدا از طریق زبان HTTP با سرور web mail ارتباط برقرار می کند سرور web mail با اتصال به سرور SMTP پیام را ارسال می کند.

دریافت پست الکترونیکی از سرور SMTP

اینترنت ، برای انتقال پست الکترونیکی به ماشین منبع با پورت 25 ماشین مقصد اتصال تی . سی . پی برقرار می کند .این قرار داد دمون (Daemon) پست الکترونیکی است که اس . ام . تی . پی نام دارد. این دمون ، اتصالهای ورودی را می پذیرد و پیامهای ارسالی از آنها را به صندوق پستی مناسب کپی می کند. اگر پیام نتواند تحویل داده شود گزارش خطایی که حاوی اولین قسمت از پیام غیر قابل تحویل است به فرستنده ارسال می گردد . اس . ام . تی . پی قرار داد اسکی ساده ای است . پس از برقراری اتصال تی . سی . پی به پورت 25 ،ماشین فرستنده که به عنوان مشتری عمل می کند . منتظر ماشین گیرنده که به عنوان کارگزار عمل می کند می ماند تا شروع به صحبت کند . کارگزار با ارسال متن یک سطری شروع می کند این سطر حاوی هویت کارگزار است و مشخص می کند که آیا آمادگی دریافت پست الکترونیکی را دارد یا خیر . اگر آماده نباشد اتصال را قطع می کند و بعداً شروع به کار می کند . اگر کارگزار خواهان پذیرش پست الکترونیکی باشد مشتری اعلام می کند که پست الکترونیکی از کجا آمده و به کجا می رود اگر چنین گیرنده ای در مقصد وجود داشته باشد . کارگزار به مشتری می گوید که به ارسال پیام ادامه دهد . سپس مشتری پیام را می فرستد و کارگزار آن را وصول می کند . نیاز به جمع کنترلی نیست زیرا تی . سی . پی رشته ای از بایتهای قابل اعتماد را تهیه می کند اگر پست الکترونیکی بیشتری وجود داشته باشد ،ارسال می شود اگر تمام پست الکترونیکی در هر دو جهت مبادله شوند ، اتصال قطع می شود . یک گفتگوی ساده بین یک مشتری که با : C نمایش داده می شود و یک کارگزار که با : S نمایش داده می شود را نشان می دهد . همان طور که در شکل نشان داده شده است کارگزار همیشه کدهای وضعیت 250 ، 421 ، ....... پاسخ می دهد . بقیه جوابها طبق استاندارد خاصی نیست و برنامه نویس در انتخاب آزاد است .

C: HELO myComputerName

S: 250 smtp.theserverside.net Hello myComputerName [120.42.42.1]

C: MAIL FROM: me@TheServerSide.net

S: 250 smtp.TheServerSide.net is syntactically

correct

C: RCPT TP: you@TheServerSide.net

S: 250 verified

C: DATA

S: 354 Enter message, ending with "." on a line by itself

C: Date: 1 April 04 10:30:42

C: From: me@TheServerSide.net

C: To: you@TheServerSide.net

C: Subject: Say Hello

C: Hello my friend!

C: And good bye!

C: .

S: 250 OK ID=1B3alH-0004ue-00

C: QUIT

S: 221 smtp.TheServerSide.net closing connection

ابتدا مشتری کلمه « Hello » را همراه با نام کامپیوترخود ارسال می کند . کارگزار با کد 250 که نشانه پاسخ مثبت است پاسخ می دهد . متن نوشته شد درادامه کد 250، نیازی به تفسیر ندارد چون بسته به میل برنامه نویس می تواند متفاوت باشد . C: HELO myComputerName

S: 250 smtp.TheServerSide.net Hello myComputerName [120.42.42.1]

ارسال کلمه Hello ضروری به نظر می رسد بدین ترتیب کارگزار و مشتری عمل دست تکان دادن (Handshake) را انجام می دهند حال مشتری می تواند دستور یا فرمانش را به کارگزار ارسال کند . به منظور ارسال یک پست الکترونیکی ،مشتری بایستی ابتدا آدرس فرستنده را ارسال کند که این امر با ارسال Mail FROM: انجام می شود . C: MAIL FROM: me@TheServerSide.net

S: 250 smtp.TheServerSide.net is yntactically correct

فرمان :Mail From منتظر پارامتری به عنوان آدرس ارسال کننده پست الکترونیکی است . کارگزارنحوه نگارش را بررسی می کند و سپس کد 250 را به عنوان صحیح است به مشتری برمی گرداند . اگر نگارش اشکال داشته باشد کارگزار کد 501 را به مشتری بر می گرداند مشتری آدرس دریافت کننده پیام را با به کار بردن فرمان RCPT TO: مشخص می کند .

C: RCPT TO: you@TheServerSide.net

S: 250 verified

بعد از آن، مشتری با فرمان DATA قسمت داده را شروع می کند این فرمان هیچ پارامتری ندارد ولی سیگنالهایی که مشتری پس از آن ارسال می کند پیام پستی است . کارگزارکد354 را به مشتری بر می گرداند . داده با علامت « .» که به دنبال آن علامت « CR » به پایان می رسد .مشتری پست الکترونیکی موضوع ، آدرس ارسال کننده و مهر زمانی پیام را نیز در بر دارد که از فرامین اس . ام . تی . پی نیست. همچنین فرامین اس . ام . تی . پی فقط برای ارتباط بین مشتری و کارگزار است و قسمتی از پیام نیست ، بنابراین آدرس فرستنده که در فرمان Mail From :مشخص می شود در یک مشتری پست الکترونیکی نمایش داده نمی شود و ما مجبوریم به عنوان یک فیلد که در آر.اف.سی 822 مشخص شده و آن را به کار ببریم .

C: DATA

S: 354 Enter message, ending with "." on a line by itself

C: Date: 1 April 04 10:30:42

C: From: me@TheServerSide.net

C: To: you@TheServerSide.net

C: Subject: Say Hello

C: Hello my friend!

C: And good bye!

C: .

S: 250 OK ID=1B3alH-0004ue-00

در نهایت باید ارتباط را قطع کنیم که این امر ،با ارسال فرمان Quit انجام می شود و دوباره کارگزار کد وضعیت را ارسال می کند .

C: QUIT

S: 221 smtp.TheServerSide.net closing connection

تحویل نهایی

تا کنون فرض شد که تمام کاربران بر روی ماشینی کار می کنند که قابلیت ارسال و دریافت پست الکتریکی را دارداین فرض دراغلب موارد درست نیست.به عنوان مثال در بسیاری از شرکتها کاربران بر روی کامپیوتر های رومیزی کار می کنند که با اینترنت اتصال ندارند و قادر به ارسال و دریافت پست الکترونیکی از خارج از شرکت نیستند در عوض ، شرکت دارای یک یا چند کارگزار پست الکترونیکی است که می تواند پست الکترونیکی را ارسال و دریافت کند . برای ارسال و دریافت پیامها، کامپیوتر باید با استفاده از قراردادهای تحویل با کارگزار پست الکترونیکی صحبت کند . قرار داد ساده برای دریافت پست الکترونیکی از صندوق پستی راه دور، پی . ا . پی 3( POP3 ) ( قرار داد دفتر پستی ) نام دارد که در آر . اف . سی 1225 تعریف شد ، این قرار داد دستوراتی برای برقراری اتصال ، قطع اتصال، دریافت پیام و حذف پیام دارد . خود قرار داد متشکل از متن اسکی است و ویژگی هایی مثل اس . ام . تی . پی دارد . امتیاز پی . ا . پی 3 اخذ پست الکترونیکی از صندوق پستی و ذخیره آن در ماشین محلی کار براست که بعداً قابل خواندن خواهد بود . قرار داد تحویل پیشرفته تر آی . ام . ای . پی IMAP) ، قرارداد دستیابی پستی محاوره ای) است که در آر.اف.سی 1064 تعریف شد . این قرارداد برای کمک به کاربرانی که از چندین کامپیوتر ، ایستگاه کاری در دفتر کار، کامپیوتر شخصی در خانه و کامپیوتر کیفی در مسافرت استفاده می کنند طراحی شد . هدف عمده آی . ام . ای . پی IMAP این است که کارگزار دارای مخزن مرکزی باشد و هر ماشینی بتواند به آن دسترسی داشته باشد . بنابراین بر خلاف پی . ا . پی 3 ، آی . ام . ای . پی IMAP پست الکترونیکی را به ماشین شخصی کار بر کپی نمی کند زیرا ممکن است کاربر چندین ماشین داشته باشد آی . ام . ای . پی ویژگی های زیادی دارد از قبیل توانایی ارسال پیام با استفاده از صفحات آن( مانند : اولین پیام از پیام را ارسال کن) بدین ترتیب صندوق پستی بیشتر بوسیله بانک اطلاعاتی رابطه ای شبیه است تا دنباله ای از پیام های خطی . قراردادتحویل دیگر دی . ام . اس . پی ( DMSP، قرار داد سیستم پستی توزیع شده) نام دارد که بخشی از سیستم ( PCMIL ) پی . سی . میل است و در آر اف سی 1056 تشریح شد . این قرار داد فرض نمی کند که تمام پست الکترونیکی ( مثل : پی . ا . پی 3 و آی . ام . ای . پی ) در کار گزار وجود دارد در عوض ، به کاربران اجازه می دهد تا پست الکترونیکی را کارگزار به ایستگاه کاری کامپیوتر شخصی یا کیفی ارسال نماید و سپس اتصال را قطع کند . هنگام قطع اتصال پست الکترونیکی می تواند خوانده شود و پاسخ داده شود. وقتی مجدداً اتصال برقرار شد ، پست الکترونیکی منتقل می گردد و سیستم دوباره همزمان می شود . گذشته از این که آیا پست الکترونیکی مستقیماً به ایستگاه کاری کاربران یا کارگزار راه دور تحویل داده می شود . بسیاری از سیستم ها امکاناتی را برای پردازش بیشتر پست الکترونیکی ورودی تهیه می کنند .نصب فیلتر ها وسیله ارزشمندی برای کاربران پست الکترونیکی است . اینها قواعدی اند که وقتی پست الکترونیکی می رسد یا نمایندگی کاربر شروع به کار می کند کنترل می شوند هر قاعده، شرط و عملی را مشخص می کند . به عنوان مثال ، قاعده ای می تواند بیانگر این مطلب باشد که ، هر پیامی ا ز رضا باید با فونت قرمز رنگ 24 نقطه ای نمایش داده شود. ( یا بدون هیچ توضیحی به طور خود کار از بین برود .)

3- کمبود امنیت در پست الکترونیک

با توجه به مواردزیر پست الکترونیکی ذاتاً بدون ایمنی است

●Web Mail:

اگر ارتباط سرور Web Mail وکامپیوترشما متزلزل وناامن باشد، پس تمام اطلاعات شامل کلمه عبور،نام کاربر بدون رمز شدن بین سرور وکامپیوتر شما ،عبور داده شده است.

● SMTP :

SMTP متن پیام را رمز نمی کند . سرورهای SMTP پیام را به صورت یک متن ساده بین همدیگر ردوبدل می کنند و شخصی که استراق سمع می کند می تواند به راحتی از متن پیام آگاه گردد.

●POP3 و IMAP :

بایستی برای وارد شدن به سیستم ، کلمه عبور و نام کاربر به این دو قرارداد ارسال گردد . که این اعتبار نامه رمز نمی گردد. بنابراین کسی که استراق سمع می کند می تواند به راحتی از اعتبار نامه ها وپیام آگاه شود.

●کپی های پشتیبان:

پیامها به صورت متن ساده وآشکار در سرور SMTP ذخیره می شود.مدیران در هر زمان میتوانند از این پیامها کپی برداری کنند و از متن پیامها آگاه شوند.

4- تهدیدهایی که یک پست الکترونیکی با آن مواجه است

- استراق سمع:

اینترنت یک فضای بزرگ است که مردم زیادی با آن در ارتباطند.برای اشخاصی خیلی ساده است که به این شبکه ها و کامپیوترها دسترسی پیدا کنند واطلاعات در حال ردو بدل را بدزدند و بخوانند.

- سرقت هویت:

اگر شخصی کلمه عبور و نام کاربر شما را بدست بیاورد می تواند به سرور پست الکترونیکی دسترسی پیداکندونامه های شما را بخواند وسپس پیامهای جعلی به جای شما ارسال کند.

- تغییر پیام:

شخصی که در سطح مدیر اجازه دسترسی داشته باشد ، می تواند پیامهای شما را ببیندوقبل از آنکه به مقصد برسد آن را حذف کند ویا تغییر دهد. دریافت کننده پیام در صورت تغییر اصلا متوجه نمی شودکه این پیام توسط شخص دیگری دستکاری شده است.و در صورت حذف اصلا از وجود چنین پیامی آگاه نمی شود.

- پیامهای کاذب :

ایجاد پیام وارسال آن از قول شخص دیگر آسان است.بیشتر ویروس ها از این امکان استفاده میکنند وخودشان را تکثیر میکنند.

- کپی های حفاظت نشده :

پیام ها به صورت یک متن ساده وآشکار در تمامی سرورهای SMTP ذخیره می شوند.کپی پشتیبانی که از سرور ها گرفته می شود ممکن است پیام شما را نیز شامل شود. یک کپی ممکن است چندیدن سال نگهداری شود و توسط هر شخصی که به آنها دسترسی پیدا می کند خوانده شوددر حالی که شما فکر می کنید تمام کپی ها حذف شده اند ممکن است پیام های شما در یک مکان نا امن نگهداری شده باشد.

- انکار:

پیام ممکن است جعلی باشد وهیچ راهی وجود ندارد که شما اثبات کنید پیام از طرف کیست این بدین معنی است که اگر شخصی پیامی برای شماارسال کرد آن شخص میتواند ارسال پیام را انکار کند .برای انجام قراردادها وتجارت ، تجارت الکترونیک رفع این مشکل بسیار ضروری است.

5- رمز نگاری متقارن ونامتقارن در یک نگاه

5-1- رمزنگاری با کلید متقارن

در رمزنگاری متقارن شما و دوستتان یک کلید محرمانه را به اشتراک می گذارید با استفاده از این کلید متن را به صورت رمز در می آورید. این پیام برای همه بجز شخصی که کلید محرمانه را دارد بی معنی است.در این حالت با استفاده از همان کلید پیام رمز شده به صورت غیر رمز در آمده و قابل فهم می شود.

●مزایا:

استفاده از کلید متقارن مشکل استراق سمع و کپی های ناخواسته را بر طرف می کند. ( مگر آنکه استراق سمع کننده از کلید محرمانه آگاه باشد.) همچنین تغییر پیام برا ی کسی که در حین عبور پیام ، آن را دریافت می کند بسیار سخت است.

●معایب:

مشکل رمزنگاری بااستفاده از کلید متقارن این است که شما ودوستتان باید کلید محرمانه را به اشتراک بگذارید،چگونه ممکن است در یک محیط امن این کلید را بهم اعلام کنید، بدون آنکه ملاقاتی با دوستتان داشته باشید.

5-2- چکید پیام یا کدهای تایید

می توان با انجام الگوریتمی روی متن پیام، یک رشته از کاراکترها( 64 یا 128 ) را به دست آورد ، که اصطلاحا به آن چکیده پیام یا اثر انگشت می گویند.با هر تغییر در متن پیام اثر انگشت خاص آن پیام بدست خواهد آمد. نکته قابل توجه آن است که از طریق اثر انگشت به متن پیام نمی توان رسید و همچنین پیدا کردن دو پیام که اثر انگشت یکسان داشته باشند غیر ممکن است.(شبیه اینکه سعی کنیم دو نفر که دوقلو نباشند ولی اثر انگشت یکسان داشته باشند را بیابیم.) چکیده پیام سریعترین راه برای آن است که تشخیص دهیم پیام تغییر کرده است یا نه. اگر چکیده پیام اصلی را داشته باشیم ،در صورتی که چکیده پیام دریافتی با آن برابر باشد مطمین می شویم که پیام تغییر نگردیده ویا تعویض نشده است.

5-3- رمزنگاری با کلید نا متقارن

در رمزنگاری با کلید نا متقارن ،که معروف به رمزنگاری باکلید عمومی است هر شخص دارای دو کلید است .هر متن رمز شده با یکی از کلیدها تنها با کلید دیگر رمز گشایی می شود.برای مثال اگر شما دو کلید k1 و k2 را داشته باشید ،در صورتی که با k1 متن را رمزنگاری کنید بایستی با کلید k2 رمزگشایی گردد و در صورتی که با k2 متن را رمزنگاری کنید بایستی با کلید k1 رمزگشایی گردد.(که به طور واضح با روش رمزنگاری با کلید متقارن متفاوت است در آنجا برای هر دو عمل رمزنگاری ورمزگشایی از یک کلید استفاده می گردید.)در رمزنگاری با کلید نا متقارن هر شخص یک کلید عمومی ویک کلید خصوصی دارد.همه از کلید عمومی یکدیگر با اطلاع هستندولی کلید خصوصی مخفی نگهداشته می شود.