4.10 حماية الخصوصية بالتوقيع الرقمي والتشفير.

محتويات هذا الفصل:

• 4.10.1. مقدمة.
• 4.10.2. توليد زوجا المفاتيح.
• 4.10.3. تبادل المفاتيح.
• 4.10.4. التحقق والتوقيع.
• 4.10.5. التشفير وفك التشقير.
• 4.10.6. اختصارات.

4.10.1. مقدمة.

تدعم منظمة غنو حقوق الأفراد في حرية التعبير عن الرأي، وحرية توزيع وتعديل البرمجيات، وحق الحصول على حماية للخصوصية (مثل حرمة البيوت). على الرغم من أن الإسلام كفل للإنسان حق الحصول على الخصوصية وحرم التجسس، إلا أن السعودية (إلى جانب الدول التالية: روسيا، روسيا البيضاء، بورما، الهند، إندونيسيا، "إسرائيل" ، كزاخستان، باكستان) تمنع استيراد أو استعمال التشفير دون الحصول على إذن مسبق (رخصة) من الحكومة (أو على الأقل هكذا كانت عند كتابة كتيّب غنو لمكتبة السي في 2 من أيار 2001)، وعلى العكس تماماً تمنع بعض الدول (مثل الولايات المتحدة) تصدير خوارزميات وبرمجيات التشفير، الكثير من هذه الأخيرة تستثني البرمجيات التي يتوفر الكود المصدري لها للعموم كبرامج غنو. بسبب التغيّر المستمر في حالة القوانين فإنه يصعب عمل إحصائية محددة عن القوانين المرتبطة بالتشفير، لهذا عليك أن تتأكد من القوانين في بلدك قبل استعمال برمجيات التشفير، يمكنك أن تبدأ بقراءة الدراسة التي قام بها Bert-Japp Koops التي تجدها في http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm.

تعتبر PGP أي خصوصية جيدة جداً Pretty Good Privacy أحد أهم طرق حماية البيانات الشخصية الخاصة أو فحص سلامة التوقيع الرقمي digital signatures (لسبب ما يسميه الإعلام التوقيع الإلكتروني) باستخدام خوارزميات موثوقة وآمنة إلى حد بعيد، أقتبس من The GNU Privacy Handbook ما يلي: "إن طرق التشفير الحالية مثل '3DES' و Blowfish و IDEA كلها تستخدم مفاتيح ذات 128-بت، التي تسمح ب 2128 مفتاحاً ممكناً من بين 2¹²⁸ مفتاحاً وهو رقم من 39 منزلة!). وهذا كم كبير بل وكبير جداً، حتى لو جمعت كل الحواسيب الموجودة على هذا الكوكب للزمها أكثر من عمر الكون لإيجاد ذلك المفتاح المطلوب". ويعد GPG حارس الخصوصية من غنو GNU Privacy Guard أحد أفضل تطبيقات معايير OpenPGP سابقة الذكر، أقتبس من كتيّب GPG ما يلي: "تحديداً، يطبق GnuPG العديد من الأجزاء 'الاختيارية' من المعايير، على سبيل المثال فهي تدعم مقاطع RIPEMD/160 hash وضغط ZLIB (...) على سبيل المثال في وقت كتابة هذه الكتيّب لا يوجد أي إصدار آخر من PGP يدعم خوارزميات تشفير BLOWFISH". إذا كانت قوانين بلادك تسمح لك باستعمال أنظمة PGP التجارية فإنها بالتأكيد تسمح لك باستعمال GPG، وإلا فإنها قد تسمح وقد لا تسمح. إذا كان التشفير وحده الممنوع ربما يمكنك استعمال GPG للتوقيع وفحص التواقيع الرقمية (تتفاوت الدول في المنع، فبعضها تمنع الاستيراد من الأساس وبعضها يمنع الاستعمال وبعضها يمنع بث مواد مشفرة). يتوفر GPG للعديد من الأنظمة فهو غير محصور بنظام غنو/لينكس لمزيد من التفاصيل انظر www.GnuPG.org.

4.10.2. توليد زوجا المفاتيح.

تعتمد الحماية على وجود ملفان عام وخاص (سري وعلني) يسميان زوجا المفاتيح، لتوليدهما استعمل '--gen-key' ثم اتبع التعليمات، أولاً حدد نوع المفاتيح (كلا، لم أخطئ بعدم استعمالي للمثنى) التي تريد توليدها

bash$ gpg --gen-key
gpg (GnuPG) 0.9.4; Copyright (C) 1999 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Please select what kind of key you want:
   (1) DSA and ElGamal (default)
   (2) DSA (sign only)
   (4) ElGamal (sign and encrypt)
Your selection? 1

تحذير

إذا كنت تريد نقل ملفات سرية (المفاتيح الخاصية أو شهادة الإبطال) من جهاز(قرص أو قسم) إلى آخر، تذكر أن تقوم بذلك عن طريق نسخ الملف إلى الهدف ثم تمزيق الملف الأصلي دون رجعة بواسطة الأمر "shred" وليس نقل الملف بواسطة "mv" أو مجرد جره فاسقاطه أو نسخ فلصق، نفس الشيء ينطبق على حذف الملف الذي يجب أن يتم بتمزيقه بواسطة "shred" وليس "rm" أو من الواجهة باختيار "send to trash" أو بالضغط على DEL أو SHIFT+DEL.

bash$ gpg --output revoke.asc --gen-revoke mykey

تحذير

إذا كانت المخرجات المتولدة سرية (مثل شهادة الإبطال) ترسل لجهاز الخرج القياسي (الشاشة) تذكر أن شخصاً ما يمكن أن يراقبك عن بعد عبر إكس أو VNC أو عن قرب بعينيه!

bash$ gpg --list-keys
/users/alice/.gnupg/pubring.gpg
---------------------------------------
pub  1024D/BB7576AC 1999-06-04 Alice (Judge) 
sub  1024g/78E9A8FA 1999-06-04

تلميح

يقترح كتاب The GNU Privacy Handbook أن تخزن نسخة احتياطية من المفتاح الخاص على وسيط محمي من الكتابة في مكان آمن. مثلاً، يمكنك أن تضعه على قرص مدمج ثم تودعه في خزنة الودائع لدى بنك في ظرف مختوم.

4.10.3. تبادل المفاتيح.

bash$ gpg --keyserver certserver.pgp.com --send-key mykey

bash$ gpg --keyserver certserver.pgp.com --recv-key 0xXXXXXXXX

يمكن أن يكون المفتاح العام الذي حصلت عليه موقع ذاتياً self-signed فقط، أي لا يوجد شخص آخر عليه الذي يدعي أنه صاحبه هو الذي يشهد على صحته، لا أحد يدعم هذا الإدعاء عبر توقيه الرقمي، عليك التحقق من أنه صاحبه الحقيقي من خلال بصمة المفتاح التي تعرضها بواسطة "--fingerprnt"، وذلك بالاتصال مع صاحبه الأصلي ومطابقتها بأية طريقة (وجهاً لوجه، عبر الهاتف، عبر موقع الويب ...إلخ) طالما أنك متأكد أنك تتعامل مع صاحب المفتاح الحقيقي، إذا كان هذا حصل التطابق يمكنك أن تشهد أنت على صحته بتوقيعك بواسطة "--sign-key hiskey" فلا يعود مجرد مفتاح موقع ذاتياً، الخيار "--check-sigs" يعمل على فحص وعرض التواقيع التي تشهد على صحة هذا المفتاح جربها يجب أن تشاهد نفسك إضافة للتوقع الذاتي.

4.10.4. التحقق والتوقيع.

الكثير من الناس يستخدم هذه الميّزة لإرسال رسال إلكترونية موقعة ليعرف المستلم أنك حقاً من أرسل له الرسالة وليس أي شخص آخر، الكثير من برامج البريد MUA مثل Ximian Evlution و 'balsa' و 'kmail' و Mozilla Messenger و Mozilla ThunderBird تدمج وظائف GnuPG بحيث تصل إليها بسهولة عبر الواجهة الرسومية GUI، ولكن أستعمال GnuPG عبر أداة سطر الأوامر يوفر المزيد من المزايا والخيارات، مثلاً فحص سلامة التوقيع عندما تملك حساب لدى بريد مجاني لا يدعم برتوكولات البريد عن بعد.

إذا رغبت في توقع رسالة (أي ملف) استعمال "--sign" أو "--clearsign" متبوعة باسم الملف الذي تريد توقيعه، مخرجات الأول تكون عبارة عن رموز ثنائية (ورموز غير قابلة للطباعة) binary لهذا في حالة الرسال قد تفضل الخيار الثاني أي التوقيع النصي clear text signature (لكلاهما نفس القوة)، يمكنك تحويل مخرجات 'gpg' إلى ملف (مثل 'file.asc') بدلاً من الخرج القياسي بواسطة '-o' أو '--output' ثم إرسال محتويات ذلك الملف وذلك بلصق المخرجات في موقع الويب الخاص بخدمة البريد (المجاني) أو تمررها عبر أنبوب إلى برنامج إرسال البريد بواسطة بروتوكول SMTP.

bash$ gpg --output file.sig --sign file.txt
bash$ gpg --output file.asc --clearsign file.txt

bash$ gpg --output file.txt.sig --detach-sig file.txt

bash$ gpg --output file.txt.asc --armor --detach-sig file.txt

إذا حصلت على ملف موقع وتريد فحص التوقيع استعمال الخيار '--verify' متبوعة بملف التوقيع المنفصل (إن وجد) ثم الملف الموقع

bash$ gpg --verify file.txt.sig file.txt

bash$ gpg --output file.txt --decrypt file.sig

4.10.5. التشفير وفك التشقير.

التشفير المتناظر يستعمل لحماية سرية بيانات بواسطة جملة سر (وليس زوجا مفاتيح) أي أن الطرفين (من يشفر ومن يفك التشفير لهما نفس الصلاحية) كل ما يلزم للتشفير أو لفك الشيفرة هو جملة السر (لا يوجد تبادل مفاتيح)، إذا عرفت جملة السر يمكنك أن تفك التشفير والحصول على الملف الأصلي. لتشفر ملف بهذه الطريقة استعمل '--symmetric' كما يلي:

bash$ gpg --output file.gpg --symmetric file
Enter passphrase:

التشفير غير المتناظر أو تشفير المفتاح العام لا يمكن اختراقه بواسطة هجوم القاموس (التخمين)، حتى يتم فك تشفير ملفات مشفرة بهذا الأسلوب عليك أن تمتلك المفتاح الخاص (السري) الذي لا يتم تداوله قط. ولأن هناك العديد من طرق التشفير المتناظر أقوى من طرق المفتاح العام، يستخدم GPG طرق هجينة hybrid تطبق الطريقتين على نفس الملف. لتشفير ملف بحيث يقرأه فقط الطرف الآخر، تحتاج أن يكون المفتاح العام للطرف الآخر، موجوداً في سلسلة المفاتيح لديك (أي imported) وحدد من هو من بينهم بواسطة '--recipient' كما يلي

bash$ gpg --output file.gpg --encrypt --recipient hiskey file

إذا حصلت على ملف مشفر بأي طريقة يدعمها GPG (سواء أكانت متشابهة symmetric أو هجينة hybrid) كل مما عليك استعمال "--decrypt" كما يلي:

bash$ gpg --output file --decrypt file.gpg

4.10.6. اختصارات.

كأي أداة من غنو يوجد الكثير من الخيارات المختصرة في GPG تسهل عليك استعماله مثلاً بدلاً من الخيار "--output" يمكن أن نستعمل "-o"، هذه قائمة ببعض الختصارات وما يقابها:

-a	--armor
-b	--detach-sign
-c	--symmetric
-e	--encrypt
-i	--interactive (the opposite of --batch)
-o	--output file
-q	--quiet (the opposite of -v)
-r	--recipient name
-s	--sign
-u	--local-user name
-v	--verbose