اعتمدت عمليات الدفع الالكتروني على توقيع المستخدم لإحدى النماذج والتي يتم مطابقتها مع توقيع محفوظ مسبقا، أو من خلال مقارنة كتابة اليد بالاعتماد على خبراء مختصين عند الحاجة ، ويعتبر هذا النموذج كوثيقة قانونية تؤكد صحة العملية (Transaction) يتم إرسال بيانات هذا النموذج ( العنصر الأساسي للعملية ) خلال شبكات الحواسب بالاعتماد على تقنيات التشفير (Cryptographic Techniques ) بالإضافة إلى أن استخدام تقنيات التشفير تساعد على الحماية ضد حقل واسع من عمليات الهجوم على الاتصال القائم بين طرفين .

سأقوم خلال البحث بطرح معلومات بسيطة وأساسية لعمليات التشفير الضرورية لفهم كيفية عمل أنظمة الدفع الالكتروني .

» التشفير وفك التشفير (Encryption and Decryption) :

دعونا نوضح بعض النقاط إن النص الصحيح القابل للقراءة من قبل البشر يدعى بالنص الواضح ( Clear Text ) أو ( Plain Text) وعملية تحويل النص المقروء والواضح إلى نص مبهم غير مقروء تدعى بالتشفير (Encryption ) والنص الناتج عن عملية التشفير يدعى بالنص المشفر ( Cipher Text ).

عملية فك النص المشفر (Cipher Text ) ليعود إلى حالته الأولى ( Plain Text )

تدعى عملية فك التشفير ( Decryption) وبذلك نحصل على مفهوم رياضي كالتالي :

P: Plain Text, E: Encryption, C: Cipher Text

E (P) = C

D: Decryption

D (C) = P

معامل التشفير ( النص المقروء ) = نص غير مقروء ( مشفر )

معامل فك التشفير ( النص المشفر ) = نص مقروء

خوارزمية التشفير ( Cryptographic ) هي عبارة عن عمليات رياضية معقدة تستخدم من أجل عمليتي التشفير وفك التشفير

إن جميع خوارزميات التشفير الحديثة تعتمد على وجود مفتاح يؤثر في عمليتي التشفير وفك التشفير وبالتالي يتم كتابة المعادلات السابقة بالشكل

E (K, P) = C

D (K, C) = P

حيث Kهو المفتاح وبشكل آخر

التشفير و فك التشفير باستخدام المفتاح

تاريخيا كان الهدف هو إخفاء النصوص المقروءة عن الخصوم .

علم تحليل الشفرات: “Cryptanalysis ” هو العلم الذي يقوم على استعادة النص الغير المشفر ( Plain Text ) دون معرفة المفتاح الذي تم تشفير الرسالة باستخدامه.

يمكن تصنيف عمليات الهجوم على أنظمة التشفير ضمن مجموعات منها:

1- الهجوم على النص المشفر فقط ( Cipher text-only Attack ): في هذه الحالة يمتلك المهاجم عدة نصوص تم تشفيرها باستخدام مفتاح واحد، ومن ثم يتم محاولة الحصول على النص غير المشفر أو المفتاح المستخدم في عملية التشفير.

2- الهجوم من خلال معرفة النص ( Known-plaintext attack ): وفي هذه الحالة يمتلك المحلل عدة نصوص غير مشفرة بالإضافة إلى النص المشفر الناتج عن تشفير النصوص، ومن ثم يحاول المهاجم الوصول إلى المفتاح المستخدم في عملية التشفير

3- اختيار النصوص للهجوم (chosen-plaintext Attack ) : في هذه الحالة يمتلك المحلل عدة نصوص مشفرة بالإضافة إلى الوسائل الغير مشفرة الموافقة لتلك النصوص التي قام باختيارها ويتم اختيار هذه الرسائل لكي تقوم بإظهار معلومات أكثر عن المفتاح الذي تم استخدامه في عملية التشفير أو من أجل اتباع مسيرة معينة للهجوم .

أي نظام تشفير قابل للتعطيل من خلال عمليات الهجوم الوحشي والذي يتم فيها تجربة جميع القيم الممكنة لمفتاح التشفير حتى التوصل لهذا المفتاح. وطبعا هذا الأمر يعتمد على الخوارزمية المستخدمة في عملية التشفير بالإضافة إلى التجهيزات الحاسوبية المستخدمة لتنفيذ هذا الهجوم .

ومع التطور الحاصل في المجال المعلوماتي ومن حيث البرمجيات والآليات يجب أن يتم اعطاء هذا النوع من أنواع الهجوم اهتماما أكبر مما كان عليه في الماضي

» التشفير المتناسق:

كما يوحي الاسم فإن التشفير المتناسق يفترض امتلاك كلا الطرفين لمفتاح تشفير سري وحيد ، حتى يتم الاتصال فيما بينهما كما في الشكل التالي :

عملية تشفير متناسق

والخوارزمية الأكثر استخداما هي معايير تشفير البيانات القياسية Data Encryption Standard أو اختصارا ( DES ) وذلك حتى وقت قريب حيث تم اعتماد أكثر من خوارزمية.

1- معايير تشفير البيانات القياسية Data Encryption Standard:

في كانون الثاني 1977 تم اعتماد الطريقة القياسية للتشفير من قبل الحكومة الأمريكية وقد كانت عبارة عن مشروع ضمن مختبرات ( IBM ) يهدف إلى إنشاء خوارزمية ذات الاسم الرمزي ( “LUCIFER “) لا يمكن كسرها حتى باستخدام أسرع أجهزة الكمبيوتر المتوفرة في ذلك الوقت.

وقد تم تطبيق معايير معالجة البيانات الفيدرالية (The Federal Information Processing Standard - FIPS ) والتي تفرض استخدام هذه الآلية ( آلية التشفير ) للمعلومات الحساسة ولكن لايجب استخدامها للمعلومات السرية بالرغم من أن الخوارزمية معقدة إلا أنه من السهل جدا دمجها بالعتاد الصلب واستخدامها ضمن البرمجيات .

وقد قام المعهد الأمريكي للمعايير القياسية The American National Standard Institutes ( ANSI)

بالموافقة على (DES) واعتبارها معيار صناعي وتم إطلاق اسم خوارزمية تشفير المعلومات (Data Encryption Algorithm “DEA” ) عليها عوضا عن “DES” .

· الخوارزمية

تقوم آلية التشفير على ما يدعى ( Block Cipher ) حيث تقوم بمعالجة كتلة من البيانات في كل مرحلة وذلك لتحويل 64 بت من البيانات الغير مشفرة إلى 64 بايت من البيانات المشفرة

وهي تعمل ضمن 19 مرحلة فريدة يتم من خلال هذه المحصلة تفعيل ما سبق ذكره لإنتاج النص المشفر النهائي.

و عملية فك تشفير النص تقوم على نفس المبدأ السابق ولكن بترتيب عكسي بالنسبة للمراحل الـ 16 الخاصة بتطبيق المفاتيح الخاصة بالتشفير كما هو مبين بالشكل التالي:

خوارزمية DES

· (Cracking DES and the U.S export restrictions ) فك تشفير ( DES ) ومحظورات قوانين التصدير الأمريكية :

جميع نظم التشفير بدون أي استثناء معرضة للكسر عن طريق ما يدعى ” الهجمات الوحشية” والتي تقوم على تجربة جميع المفاتيح الخاصة بالتشفير حتى اكتشاف المفتاح المناسب عندما ظهرت ال (DES) لأول مرة كانت فكرة محاولة كسر التشفير عن طريق أداء 2⁵⁶ هجوم يعتبر حلا غير عمليا لكن المعدات أصبحت أسرع منذ ذلك الوقت ومن المتوقع أن تصبح أسرع في المستقبل القريب.

في عام 1996 وباستخدام ما يدعى ( Application Specific integrated circuits “ASICS”)، فإن صفيحة واحدة تكفي لإجراء اختبار على 30 مليون مفتاح مستخدم في تشفير الـ (DES) في الثانية.

من المقدر بأنه من الممكن لوكالة حكومية قادرة على دفع 300 مليون دولار في بناء مضغوطة من هذه الصفائح قادرة على استخراج المفتاح المستخدم في تشفير معلومات باستخدام الـ ( DES ) خلال 12 ثانية. بالاعتماد على هذه الوقائع مصممي بروتوكولات التشفير بحاجة إلى التأكد من سلامة تصميماتهم كي لا يتم كسرها عن طريق الهجوم الوحشي الحكومة الأمريكية كانت واعية إلى حقيقة أن أنظمة التشفير قد تستخدم ضد مصالح الأمة الأمريكية ولذلك قامت بعدة خطوات للتأكد من أن منتجات أنظمة التشفير ستعامل بنفس الطريقة التي تعامل فيها الذخائر الحربية المعدة للتصدير وقد اعتمدت ال ( International Traffic in Arms Regulations “ITAR” ) على أن كل منتج خاص بالتشفير يجب أن يرخص بشكل فردي قبل أن يصرح بتصديره خارج الولايات المتحدة الأمريكية وقد وجد المتقدمون للحصول على هذا الترخيص بشكل عام بأنه لا يمكن الحصول على هذا الترخيص في حال كان البرنامج أو العتاد الصلب الخاص بنظام التشفير سيستخدم لتشفير معطيات الرسائل بينما استخدام نظم التشفير للتأكد من صحة الرسائل ( Message Integrity ) وتعطي الاستثناءات على ما سبق عندما يتعلق الموضوع بتشفير المعلومات المالية البحتة .

في عام 1992 وبالاتفاق مع منظمة موزعي البرامج الأمريكية (The American Software Publisher Association “ SPA” ) ، سمحت الحكومة الأمريكية برفع الحظر على خوارزميتي تشفير هما ( RC2 , RC4 ) والتي تعطي مفتاح تشفير ذو حلول 40 بت أو أقل ومن الواضح أن هذا الأمر سيجعل من المنتجات التي تستخدم هذه المفاتيح معرضة للهجمات الهمجية وفي كانون الثاني عام 1996 قامت مجموعة متفوقة من المختصين في مجال التشفير بتقديم تقرير يفيد بأن المنتجات التي تستخدم مفاتيح ذات حلول 40 بت لا تقدم بشكل افتراضي أي حماية ضد هذا النوع من الهجمات وقد أفادت بأن أنظمة التشفير التي من المفروض أن تقوم بحماية المعلومات بشكل وافي للسنوات ال20 القادمة يجب أن تستخدم مفاتيح يبلغ طولها على الأقل 90 بت.

في تشرين الأول 1996 قامت الحكومة الأمريكية بالرد على التقرير السابق من خلال السماح بتصدير البرمجيات التي تستخدم مفاتيح تشفير ذات 56 بت بشرط السماح لوكالات الدولة بإمكانية الوصول إلى هذه المفاتيح وذلك بالتنسيق مع الشروط الوطنية (National Polices) ومنذ ذلك الحين لانت شروط الحكومة الأمريكية في هذا الأمر وفي كانون الأول عام 2000 تم إلغاء شرط حلول مفتاح التشفير بشكل كامل .

2- التشفير الثلاثي باستخدام DES ( Triple DES ):

يعتبر التشفير الثلاثي باستخدام ( DES ) أكثر أمنا من التشفير باستخدام ( DES ) وهو ملائم للتحويل إليه حيث أنه لا يحتاج أي خوارزمية جديدة أو معدات مختلفة من تلك المستخدمة في ال .(DES) النمط المستخدم في عملية التشفير هو تشفير – فك تشفير –تشفير ( E-D-E ) مع نمط فك التشفير – تشفير – فك التشفير ( D-E-D ) عند فك تشفير النص فعلى سبيل المثال عندما يكون المفتاح الأول K1 المستخدم في عملية التشفير مساويا للمفتاح الثالث K3 المستخدم أيضا في عملية التشفير فإن هذا سيعطينا مفتاحا بطول 112 بت بينما في حال كانت جميع المفاتيح متشابهةK1 = K2 = K3 فإنه سيعطينا مفتاحا بطول 168 بت .

وأكثر من يلجأ لاستخدام التشفير الثلاثي باستخدام ( DES ) هي المؤسسات والمعاهد المالية التي قامت بتنصيب معدات ( DES ) سابقا لديها. بغض النظر عن جميع ما ذكر فإن تبني هذه الطريقة ضمن البرمجيات يعد بطيئا بالمقارنة مع ال (DES) حيث يجب أن يتم تطبيق توابع ال ( DES) ثلاث مرات بالإضافة إلى أن التشفير الثلاثي باستخدام (DES ) يستخدم نفس حجم أو ما يدعى (block size) وهو 64 بت كما هو الحال في ال (DES) والذي يعد ضعيفا.

التشفير الثلاثي باستخدام DES

3- خوارزمية تشفير البيانات العالمية ( IDEA ):

كما هو الحال مع الـ (DES) تقوم خوارزمية تشفير البيانات العالمية على تشفير كتلة من المعلومات كل على حدة باستخدام مفتاح سري متناسق للتشفير .

لقد تم تطويرها في بداية الأمر في زيورخ (Zurich) من قبل ماسي (Massey) وليا (Lia) في عام 1995 .

تستخدم خوارزمية تشفير البيانات العالمية (IDEA) مفتاح ذو طول 128 بت للعمل على 64 بت من البيانات غير المشفرة، و تستخدم نفس الخوارزمية التي تتألف من ثمان مراحل في عمليتي التشفير وفك التشفير.

· فك تشفير خوارزمية التشفير العالمية (Cracking IDEA) :

إن طول مفتاح التشفير المستخدم هو 128 بت وهو ضعفي الطول المستخدم في ( DES) مما يعني أن محاولة معرفة نصف قيم المفاتيح هو 2¹²⁷ مرة وهذا ما يجعل استخدام الهجمات الهمجية غير مجديا وخارج نطاق الاستخدام.

ومع العدد الكبير لمجموعات محللي نظم التشفير العاملين في الحقلين الأكاديمي والحربي الذين يحاولون إيجاد الثغرة في الخوارزمية والتي تسمح لهم بتخطي هذا التشفير فإن خوارزمية التشفيرالعالمية أثبتت جدارتها و هذه الخوارزمية محمية بحقوق ملكية في كل من الولايات المتحدة الأمريكية والاتحاد الأوربي ولا بد من دفع مبالغ لقاء الحصول على ترخيص لاستخدامها في مجال تجاري

4- المعايير القياسية للتشفير المتقدم (Advanced Encryption Standard “ AES”)

في الثاني من كانون الثاني 1997 أصدر المعهد الوطني للمعايير القياسية والتقنيات (The National Institute of standards & Technologies “ NIST” ) بيانا أعرب فيه عن نيته لتطوير الـ ( AES) وقام بتقديم طلب رسمي في أيلول 1997 م مجموعة المعايير التي قام المعهد بوضعها وهي:

1- تعتبر الـ (AES) غير سرية

2- ذات خوارزمية مفتوحة للعوام

3- متوفرة بشكل مجاني للجميع حول العالم

بالإضافة إلى ذلك يجب أن تكون الخوارزمية متناسقة الكتل المشفرة (Symmetric Block Cipher) وتدعم أحجام كتل 128, 192 و 256 بت.

في 20 آب 1998 م أعلن المعهد عن مجموعة من 15 خوارزمية مرشحة في المؤتمر الأول لمرشحي المعايير القياسية للتشفير المتقدم The First Candidate Conference ( AES1 )

قام المعهد فيما بعد باختيار خمس خوارزميات من أصل ال15 خوارزمية المشاركة هذه الخوارزميات المرشحة هي (Serpent , Rijndael , RC6 , Marcs , Twofish) ، وتم مراجعة هذه الخوارزميات بشكل أكبر ضمن فترة من الزمن للتوصل إلى الاختيار النهائي .

في 2 تشرين الأول عام 2000 م قام المعهد بالإعلان عن اختياره خوارزمية (Rijndael) والتي تلفظ ” ران دول ” لتعتمد في عملية التشفير المتقدمة ( AES ) .