در جلسات و  محافل مختلف امنیتی زیادی به  این موضوع برخورد کرده ام که افرادی که  آگاهی عمیقی از امنیت سایبری ندارند  (به ویژه مدیران سازمان ها ) تصور می کنند که امنیت یک سامانه به ویژه یک سامانه رمز (باید) بسیار متکی باشد به پنهان نگاه داشتن ساختار و جزییات طراحی و یا پیاده سازی آن و زمانی که اشتباه بودن این تصور و ضعف های آن صحبت می کنیم و  به اصل کرکهُفس(Kerckhoffs's principle)-که در قرن ۱۹ میلادی در حوزه رمزنگاری مطرح شد- اشاره می کنیم تصور می کنند که چه حرف غریبی می گوییم. اگرچه متخصصین حوزه امنیت به این اصل اشراف کامل دارند اما هدف بنده از نوشتن این پست صرفا ترویج و آگاهی بخشی در مورد این اصل ساده امنیتی است تا در آینده کمتر شاهد این سوء برداشت باشیم.

البته اگر بخواهیم اندکی به کالبد شکافی این موضوع بپردازیم به این نکته پی می بریم که این تصور اشتباه در این گونه افراد -که عموما تحصیلات آکادمیک تخصصی در گرایش امنیت اطلاعات ندارند- می تواند حاصل سوء برداشت آنها از راهبرد امنیتی  امنیت از طریق ایجاد ابهام (Security through Obscurity strategy) باشد.اگرچه ایجاد ابهام و مبهم کردن غالب سامانه ها می تواند به تقویت امنیت در آنها کمک کند اما قرار دادند این راهبرد به عنوان یک اصل امنیتی در طراحی و پیاده سازی یک اشتباه قطعی و مسلم است و تهدیدات امنیتی پرخطری را برای سامانه مورد نظر رقم خواهد زد.

در ادامه به بیان اصل کرکهُفس (برخی آن را کرهافس نیز تلفظ می کنند) که برگرفته از ویکی پدیا است می پردازم:


اصل کرکهُفس(Kerckhoffs) اصلی مهم در زمینهٔ سامانه‌های رمزنگاری است که بیان می‌دارد در ارزیابی امنیت این سامانه‌ها همواره باید فرض کرد که نفوذگران روش‌های به کار رفته در سامانه را می‌دانند و با آن آشنایند. بنا بر این اصل، امنیت سامانه نباید به پنهانی و محرمانه بودن الگوریتم‌های آن وابسته باشد، بلکه تنها باید به محرمانه‌بودن کلیدهای رمز متکی باشد.

این اصل به نام آگوست کرکهُفس نام‌گذاری شده است. سامانه‌های رمزنگاری نوین عموماً بر پایهٔ اصل کرکهافس بنا می‌شوند. هرچند امروزه استفاده از سامانه‌هایی که محرمانه‌بودن روش‌ها را اصل قرار می‌دهند همچنان رایج است، اما رمز چنین سامانه‌هایی معمولاً خیلی زود شکسته می‌شود و در دنیای اطلاعات امروزی محرمانه نگاه داشتن جزئیات فنی یک سامانه بسیار دشوار است؛ همچنین با پیشرفت روزافزون فناوری‌ها مدت زمان لازم برای شکستن رمزها روز به روز کاهش می‌یابد و به علت نامعلوم بودن میزان این پیشرفت‌ها نمی‌توان آن‌ها در طراحی سامانه دخیل کرد؛ ولی می‌توان محرمانه‌نگاه داشتن روش‌ها را به عنوان یک سطح امنتی بیشتر و به صورت ترکیبی با اصل کرکهُفس استفاده نمود.

او در دو مقاله‌ای که در سال ۱۸۸۳ در مجله علوم نظامی فرانسه (Le Journal des Sciences Militaires) چاپ کرد. این مقاله‌ها که با عنوان رمزنگاری نظامی منتشر شدند شامل شش اصل اساسی بودند که اصل دوم آن به عنوان یکی از قوانین اساسی در رمزنگاری مدرن مورد تأیید دانشمندان و زیربنای فعالیت و پژوهش قرار گرفت. در زیر اصول ششگانه کرکهُفس آمده‌اند:

۱) سیستم رمزنگاری اگر به لحاظ تئوری امن نیست، در عمل باید غیرقابل شکست باشد.

۲) سیستم رمزنگار باید هیچ نکته پنهان و محرمانه‌ای نداشته باشد بلکه تنها چیزی که باید سری نگاه داشت شود کلید رمز است. (اصل اساسی کرکهُفس) طراح سامانه‌ نباید فرض را بر این بگذارد که  جزئیات سامانه خود را حتی از دشمنان مخفی نگاه دارد؛ این اصل به این نکته اشاره دارد که چنانچه امنیت سامانه ما صرفا متکی به محرمانه نگه داشتن اطلاعات طراحی باشد در صورت افشاء این اطلاعات(به هر نحوی) امنیت کل سامانه مختل می‌شود. منظور این است  که اگرچه  راهبرد امنیتی  امنیت از طریق ایجاد ابهام می‌تواند به امنیت سامانه‌ها کمک کند و ما نیز آن را به شما در امن سازی صنایع توصیه ‌می‌کنیم اما نباید صرفا متکی به پنهان کردن و محرمانه نگه‌داشتن دارایی ها و اطلاعات آنها باشیم بلکه باید به نحوی امن سازی را انجام دهیم که چنانچه حتی مهاجمین توانستن این اطلاعات را بدست آوردند باز نتوانند امنیت کل سامانه(سایت صنعتی) را مختل نمایند؛ این یعنی رسیدن به سطح بالاتری از بلوغ امنیتی.

۳) کلید رمز باید به گونه‌ای قابل انتخاب باشد که اولاً بتوان به راحتی آن را عوض کرد و ثانیاً بتوان آن را به خاطر سپرد و نیازی به یادداشت کردن کلید رمز نباشد.

۴) متون رمزنگاری شده باید از طریق خطوط تلگراف قابل مخابره باشند.

۵) دستگاه رمزنگاری یا اسناد رمز شده باید توسط یک نفر قابل حمل باشد.

۶) سیستم رمزنگاری باید به سهولت قابل راه‌اندازی و کاربری باشند. چنین سیستمی نباید به آموزش‌های مفصل و رعایت فهرست بزرگی از قواعد و دستورالعملها نیاز داشته باشد.


*** با عضویت در کانال تلگرام از مطالب بیشتر، فیلم ها و به روزرسانی های محتوای وب نوشت مطلع شوید.***


به امید افزایش دانش امنیتی همه دست اندرکاران حوزه فناوری اطلاعات و درگیر با امنیت سایبری-فیزیکی ، به ویژه مدیران محترم

دست به دست هم ، به مهر میهن خویش را کنیم آباد.