خوارزمية التشفير معطَّلة أو خطيرة

فئة OWASP: MASVS-CRYPTO: التشفير

نظرة عامة

على الرغم من الاستخدام الواسع النطاق للتشفير لحماية سرية البيانات وسلامتها، يظهر خطر كبير عندما ينفّذ المطوّرون عن غير قصد خوارزميات تشفير ضعيفة أو قديمة. وتنشأ هذه الثغرة الأمنية من نقاط الضعف المتأصلة في هذه الخوارزميات، والتي يمكن أن تستغلها الجهات المسيئة التي لديها القدرة الحسابية أو المعرفة اللازمة. ويمكن أن تكون عواقب هذا الاستغلال وخيمة، إذ قد تؤدي إلى الوصول غير المصرَّح به إلى البيانات، واختراقها، والتلاعب بالمعلومات الحسّاسة.

التأثير

قد يتم الكشف عن البيانات الحسّاسة أو تعديلها أو تزويرها. قد تؤدي خوارزميات التشفير المعطّلة أو الخطيرة إلى حدوث ثغرات أمنية، ويمكن إساءة استخدامها لفك تشفير المعلومات الحساسة أو التلاعب بالبيانات أو انتحال هوية الجهات الشرعية. ويمكن أن يتراوح تأثير استغلال هذه الثغرات الأمنية بين اختراق البيانات والخسائر المالية إلى الإضرار بالسمعة وفقدان ثقة المستخدمين.

المخاطرة: وظائف تجزئة التشفير ضعيفة أو معطّلة

إنّ استخدام دوال تجزئة تشفيرية ضعيفة أو معطّلة (مثل MD5 أو SHA1) يشكّل خطرًا كبيرًا على أمان البيانات وسلامتها. تم تصميم دوال التجزئة لإنشاء بصمات فريدة وثابتة الطول (تجزئات) لبيانات الإدخال، ما يجعلها مفيدة لأغراض مختلفة، بما في ذلك التحقّق من سلامة البيانات وتخزين كلمات المرور والتوقيعات الرقمية. ومع ذلك، عند استخدام دوال تجزئة ضعيفة أو مخترَقة، يمكن أن تنشأ عدة ثغرات أمنية:

• هجمات التضارب: تكون دوال التجزئة الضعيفة عرضة لهجمات التضارب، حيث يعثر المهاجم على مدخلَين مختلفَين ينتجان قيمة التجزئة نفسها. ويمكن أن يسمح ذلك للمهاجمين باستبدال البيانات الضارة بالبيانات المشروعة بدون أن يتم رصدهم، ما يؤدي إلى تعريض سلامة البيانات للخطر.
• عمليات اختراق البيانات: إذا تم تجزئة كلمات المرور باستخدام خوارزمية ضعيفة، قد يؤدي اختراق النظام إلى الكشف عن بيانات اعتماد المستخدم. وبعد ذلك، يمكن للمهاجمين استخدام جداول قوس قزح أو تقنيات أخرى لفك تشفير كلمات المرور، ما يتيح لهم الوصول إلى الحسابات بدون إذن.
• إنكار التوقيعات الرقمية: يمكن استغلال وظائف التجزئة الضعيفة المستخدمة في التوقيعات الرقمية لإنشاء توقيعات مزوّرة، ما يصعّب تحديد أصالة المستندات أو الرسائل وسلامتها.

إجراءات التخفيف

للتخفيف من هذه المخاطر، من الضروري استخدام دوال تجزئة تشفيرية قوية وموثوقة، مثل SHA-2 أو SHA-3، والحرص على تحديثها عند اكتشاف ثغرات أمنية جديدة. بالإضافة إلى ذلك، يمكن تعزيز حماية البيانات من خلال اتّباع ممارسات الأمان، مثل إضافة قيمة عشوائية إلى كلمات المرور واستخدام خوارزميات تجزئة خاصة بكلمات المرور، مثل bcrypt أو Argon2.

---

المخاطرة: وظائف تشفير ضعيفة أو معطّلة

يشكّل استخدام وظائف التشفير الضعيفة أو المعطّلة (مثل DES أو RC4) مخاطر جسيمة على سرية البيانات الحساسة. تم تصميم التشفير لحماية المعلومات من خلال تحويلها إلى تنسيق غير قابل للقراءة، ولكن إذا كانت خوارزمية التشفير معيبة، يمكن تجاوز هذه الحمايات:

• اختراقات البيانات: خوارزميات التشفير الضعيفة معرَّضة لهجمات مختلفة، بما في ذلك هجمات القوة العمياء وهجمات النص العادي المعروف وتقنيات تحليل التشفير. وفي حال نجاحها، يمكن أن تكشف هذه الهجمات البيانات المشفّرة، ما يسمح بالوصول غير المصرّح به إلى المعلومات الحساسة، مثل التفاصيل الشخصية أو السجلات المالية أو بيانات النشاط التجاري السرية.
• التلاعب بالبيانات وتزويرها: حتى إذا لم يتمكّن المهاجم من فك تشفير البيانات بالكامل، قد يظل بإمكانه التلاعب بها بدون أن يتم اكتشاف ذلك إذا كانت خوارزمية التشفير ضعيفة. ويمكن أن يؤدي ذلك إلى تعديلات غير مصرَّح بها على البيانات، ما قد يؤدي إلى عمليات احتيال أو تحريف أو أنشطة ضارة أخرى.

إجراءات التخفيف

استخدام خوارزميات تشفير قوية في وظائف التشفير

وللحدّ من هذه المخاطر، من الضروري استخدام خوارزميات تشفير قوية وموثوقة واتّباع أفضل الممارسات لإدارة المفاتيح وتنفيذ التشفير. من الضروري أيضًا تحديث خوارزميات التشفير بانتظام والبقاء على اطّلاع على التهديدات الجديدة للحفاظ على أمان البيانات بشكل فعّال.

في ما يلي بعض الخوارزميات التلقائية المقترَحة التي يمكنك استخدامها:

• التشفير المتماثل:
  • ‫AES-128/AES-256 مع وضع GCM
  • Chacha20
• التشفير غير المتماثل:
  • ‫RSA-2048/RSA-4096 مع مساحة متروكة OAEP

استخدام عناصر أساسية آمنة من مكتبة تشفير للحدّ من المشاكل الشائعة

مع أنّ اختيار خوارزمية تشفير مناسبة أمر بالغ الأهمية، إلا أنّه للحدّ من ثغرات الأمان، ننصحك باستخدام مكتبة تشفير توفّر واجهة برمجة تطبيقات مبسطة وتؤكّد على إعدادات تلقائية آمنة. لا يؤدي هذا النهج إلى تعزيز أمان تطبيقاتك فحسب، بل يقلّل أيضًا بشكل كبير من احتمالية حدوث ثغرات أمنية بسبب أخطاء في الترميز. على سبيل المثال، يسهّل Tink خيارات التشفير من خلال توفير خيارَين مختلفَين: تشفير AEAD وHybrid، ما يسهّل على المطوّرين اتّخاذ قرارات مدروسة بشأن الأمان.

---

المخاطرة: وظائف توقيع تشفير ضعيفة أو معطّلة

إنّ استخدام وظائف التوقيعات المشفرة الضعيفة أو المعطّلة (مثل RSA-PKCS#1 v1.5 أو تلك المستندة إلى وظائف التجزئة الضعيفة) يشكّل مخاطر جسيمة على سلامة البيانات والاتصالات. تم تصميم التوقيعات الرقمية لتوفير المصادقة وعدم الإنكار وتكامل البيانات، ما يضمن أنّ الرسالة أو المستند صادران عن مرسل معيّن ولم يتم التلاعب بهما. ومع ذلك، يمكن أن تتأثر هذه الضمانات إذا كان خوارزمية التوقيع الأساسية معيبة:

• تزوير التوقيعات: يمكن أن تكون خوارزميات التوقيع الضعيفة عرضة للهجمات التي تتيح للجهات المسيئة إنشاء توقيعات مزوّرة. وهذا يعني أنّه يمكنهم انتحال هوية جهات شرعية أو تزوير مستندات أو التلاعب بالرسائل بدون أن يتم رصدهم.
• إنكار التوقيعات: في حال اختراق خوارزمية التوقيع، قد يتمكّن الموقّع من الادعاء زورًا بأنّه لم يوقّع مستندًا، ما يؤدي إلى تقويض مبدأ عدم الإنكار وإحداث تحديات قانونية ولوجستية.
• التلاعب بالبيانات وتزويرها: في الحالات التي تُستخدم فيها التواقيع لحماية سلامة البيانات، يمكن أن تسمح الخوارزمية الضعيفة للمهاجمين بتعديل البيانات بدون إبطال التوقيع، ما يؤدي إلى تزوير غير مكتشَف واختراق محتمل للمعلومات المهمة.

إجراءات التخفيف

استخدام خوارزميات توقيع تشفير قوية

للتخفيف من هذه المخاطر، من الضروري استخدام خوارزميات توقيع تشفير قوية وموثوقة، مثل:

• ‫RSA-2048/RSA-4096 مع مساحة متروكة PSS
• خوارزمية التوقيع الرقمي على المنحنى الإهليلجي (ECDSA) مع منحنيات آمنة

استخدام عناصر أساسية آمنة من مكتبة تشفير للحدّ من المشاكل الشائعة

يُعدّ اختيار خوارزمية التوقيع المناسبة أمرًا ضروريًا، ولكن لتقليل الثغرات الأمنية إلى أدنى حد، ننصحك باستخدام مكتبة تشفير توفّر ضمانات أمان قوية تلقائيًا. على سبيل المثال، تسهّل Tink عملية اختيار التوقيعات من خلال توفير ECDSA مع منحنيات آمنة كخيار تلقائي، وكل ذلك ضمن واجهة برمجة تطبيقات مباشرة وشاملة. لا يعزّز هذا النهج الأمان فحسب، بل يسهّل أيضًا عملية التطوير من خلال إلغاء الحاجة إلى إعدادات معقّدة أو اتخاذ قرارات.

---

المراجع

• مكتبة التشفير Tink
• جودة تطبيقات Android: التشفير
• التوقيع الرقمي باستخدام Tink
• التشفير المختلط باستخدام Tink
• التشفير المصادَق عليه باستخدام Tink
• دوال التشفير والتجزئة التشفيرية الضعيفة أو المعطّلة في أداة Lint لأمان Android
• CWE-327: استخدام خوارزمية تشفير معطّلة أو محفوفة بالمخاطر
• CWE-328: استخدام تجزئة ضعيفة
• CWE-780: استخدام خوارزمية RSA بدون OAEP
• صفحة المعهد الوطني للمعايير والتقنية (NIST) حول دوال التجزئة المعتمَدة
• معيار التشفير المتقدّم (ويكيبيديا)
• Secure Hash Algorithm 2 (Wikipedia)
• Secure Hash Algorithm 3 (Wikipedia)
• نظام RSA للتشفير (ويكيبيديا)
• Elliptic Curve Digital Signature Algorithm (Wikipedia)
• تشفير ChaCha المتسلسل (ويكيبيديا)
• Salting password (Wikipedia)
• نظام التشفير المختلط (ويكيبيديا)
• التشفير المصادَق عليه