- میدان جمهوری اسلامی - جنب بانک مسکن - مجتمع اداری تجاری نگین - طبقه دوم واحد 6
- 03191015062
- info@alimokhtari.name
آینده در تکنیک های رمزگذاری
برای شما سوال پیش میاد که آیا ویندوز سیستم عامل امنی است یا نه! اگر از کاربران لینوکس بپرسید میگویند فقط لینوکس امن است و ویندوز بدرد نمیخوره اما باید این قضیه بهتر بررسی بشه. امنیت ویندوز احتیاج به آگاهی داره من از ابتدا مقالات زیادی درباره امنیت ویندوز ویستا نوشتم و سری کامل و عالی بود (بنظر خودم) اما برای هر سیستم عاملی حتی خود لینوکس هم باید برای امنیت اطلاعات کاربر بالا باشه. حالا لینوکس را کاری نداریم بیائیم سر خود ویندوز، ویندوز سیستم عاملی است که مایکروسافت برای فروش بیتشر و تعداد بیشتر کاربران تنظیماتی را بطور پیش فرض تعیین میکنه این تنظیمات به نحوی است که یک کاربر تازه کار ساده با اون دچار مشکل نشه. رابط کاربری عالی و اینترفیس خوب باعث میشه که ویندوز کاربر بالایی داشته باشه نسبت به هر سیستم عامل دیگری ولی وقتی صحبت از امنیت میشه یه ذره کار گیر میکنه نمونه خوبش UAC است که یک ابزار امنیتی ویندوز است ولی وقتی اومد کاربران شکایت کردند چون نشون میده کاربران ویندوز بیشتر دنبال راحتی هستند و فکر امنیت نمیکنند و وقتی UAC را خاموش میکنند درواقع یکی از ابزارهای امنیتی ویندوز را از کار انداختند.
اگر مایکروسافت تمام مسائل امنیتی ویندوز را فعال کند مطمئنا ۹۰ درصد کاربران آن در ویندوز گیر میفتند نمونه ساده آن قضیه permission است که تا حالا کاربران زیادی از من در نظرات مختلف این وبلاگ سوال کردند. شما وقتی یک ویندوز ۷ نصب کنید و بعد از مدتی فرمتش کنید و دوباره یک ویندوز ۷ جدید نصب کنید تنظیمات permission برای ویندوز جدید قابل دسترس نیست و فولدرهای دارای عکس و ویدئو و موزیک و اسناد شخصی از دسترس ویندوز جدید دور میمانند و شما پیام access is denied را دریافت میکنید.
این از خصوصیات ntfs جدید است و فرق بین دو ویندوز قدیم و جدید را متوجه میشود و میدونه که این فولدر یا فایل توسط چه ویندوزی ایجاد شده و روی آن کار انجام میده. حالا اگر کاربر این پیام را نشناسه فوری میگه سیستم ویروس گرفته مرده شور این ویندوز را ببرند AAAhhhh . در صورتیکه ویندوز فقط داشته خدمت میکرده و فایل را از دست کاربری که آنرا نمیشناخته مخفی کرده و منتظر اینست که کاربر به ویندوز ثایت کنه که صاحب این فایل است.
در این مطلب خارج از بحث ID و حفره های امنیتی که گهگاهی میشنوید و بروزرسانی میکنید میخواهم درباره تکنیکهای رمزگذاری صحبت کنم یعنی اینکه شما چطور توسط ویندوز از عکسها و فیلمهای شخصی یا اسنادی که دارید محافظت کنید به نحوی که کسی نتونه آنها را شناسایی کنه. دانستن این مطلب برای یه کاربر ساده و خانگی هم مهم است اگر به حفظ فایلهایتان اهمیت میدهید. البته فقط به اینجا ختم نمیشود، اطلاعات بانکی شما یا اینکه از مرورگری که استفاده میکنید چه اطلاعاتی را در خودش نگه داشته که شما میخواهید دیگران نفهمند. این بحث را اگر بشه گسترده انجام میدم و شاید از لحاظ سخت افزاری هم صحبت بکنم.
وقتی کلمه رمزگذاری را میشنوید باید آنرا در ویندوز به نام encryption بشناسید هر جا دیدید نوشته است encryption یعنی رمز گذاری من قبلا در این مطلب یکی از آنهار ا معرفی کرده بودم به نام EFS و حالا در این مطلب میخواهم بعدی را معرفی کنم به نام AES پس آماده باشید.
در وب معاملات از طریق پروتکل های رمزگذاری مثل HTTPS و SSL انجام میشود که بدون اینها تجارت الکترونیک بوجود نمی آمد. اینجا بود که aes ثبت شد، AES مخفف Advanced encryption standard است که از کلیدهای با اندازه ۱۲۸ و ۱۹۲ و ۲۵۶ بیت استفاده میکند که ایالت متحده امریکا دو اندازه آخر را کافی میدونه و تا الان هم تست زیادی شده و هیچ کس نتونسته این الگوریتم را بشکند.
به هر حال به این فکر کردند که تا سال ۲۰۳۱ فعلا به چیز جدیدی احتیاج نیست. دوست داشتم قضیه را روی ویندوز ببرم ولی اگر اینجا را توضیح ندم ناقص گذاشتم. بذار مثال بزنم که هر نفر از حدود ۷ میلیار آدم در جهان ۱۰ کامپیوتر داشته باشد و هر کامپیوتر بتونه ۱ میلیارد آزمایش ترکیب کلید در هر ثانیه انجام بده و فرض کنیم که بعد از ۵۰% شکست میخوره تست ترکیب یک حمله brute force که بطور موازی توسط ۷ میلیارد نفر اجرا شده میتونه یک کلید ۱۲۸ بیتی را در مدت ۷۷۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰۰ سال بشکند. این رقم ۲۴ صفر داره و مبنا بر اساس سال است.
تا حالا اسمی از bitlocker شنیده اید؟ در ویندوز ویستا و ۷ وجود دارد این ابزار میتونه به همین نحو بر اساس AES 128 بیتی اطلاعات شما بر روی کامپیوتر شخصیتان را امن کند. اگر bitlocker به همراه TPM بر روی مادربورد باشد این حملات کاملا خنثی میشود چون اونوقت تمام رمزگذاری ها از دسترس سیستم عامل خارج است و نقشی در آن ندارد. من در مطلبی با نام Trusted Platforms این قضیه را توضیح دادم. اگر علاقه دارید مطالعه فرمائید.
bitlocker فقط یکی از برنامه ها برای رمزگذاری است و برنامه های دیگری نیز وجود دارد و همه این برنامه ها یه وجه مشترک داخلشون است آنهم استفاده از cpu است برای رمزگذاری و رمزگشایی فشار زیادی را cpu تحمل میکنه چون تمام این محاسبات توسط خود cpu داره انجام میشه. وقتی شما از برنامه ای که زیپ است و فولدر آن و یا volume دیسک آن رمزگذاری شده cpu برای استفاده از آن داره به تنهایی زور میزنه و شاید شما ندونید که چرا bitlocker از aes 128 استفاده میکنه و از ۲۵۶ بیت استفاده نمیکنه چون اونوقت است که سیستم از پا در میاد.
کمک کردن به نرم افزار از طریق سخت افزار:
تا الان شاید متوجه شدید که من برای هر کامپیوتر سخت افزار خاصی را قبول دارم و بارها گفتم که باید نوع کامپیوتر با سخت افزار آن مناسب باشه و در مطلبی هم درباره cpu های اینتل صحبت کردم و ازتون خواستم که معماری های اینتل را برای کارتان مطالعه کنید و ببینید که کدام معماری بدردتان میخوره. برای اینکه بتونیم به نرم افزار برای رمزنگاری کمک کنیم بهتر که سخت افزار هم خوب بکار ببریم که البته این قابل توجه است که این بیشتر برای شرکتها و اطلاعات مهم کارایی داره وگرنه کاربر خانگی بغیر از عکس و ویدئو فولدر دیگه ای برای رمزگذاری نداره. کمپانی via آمد برای پردازش بهتر c5p nehemiah را بکار برد. و اینتل هم در معماری westmere در پردازنده ۳۲ نانومتری خودش یه مجموعه پیاده کرد با نام AES-NI تا اینکه افت کار cpu را کاهش دهد. همینطور جلوی حملات side channel را کمک میکنه گرفته شود و bitlocker هم شتابدهی میکند.
cpu های AMD چنین تکنولوژی ندارند و کمپانی هایی هم که بدنبال ساخت هارد دیسک هستند مثل segate که معروفترین است دنبال راههایی هستند که بتونند اینبار را از cpu بردارند و آنرا در درایو اداره کنند. این خودش نشون میده که دنیا به طرف رمزگذاری داره پیش میره و خودش باعث میشه کم کم امنیت همه جا را فرا بگیره. تلاش segate در چند سال باعث شد که sed بوجود بیاد sed یعنی self encrypting drive که من اگر همینطوری توضیح بدم برم دیگه باید بحث ویندوز را رها کنم و بپردازیم فقط به رمزگذاری که اطلاعات بیشتر راجع به اینها را از سایت خود سازنده بگیرید.
من در این مطلب سعی داشتم مقدمه ای از aes را توضیح بدم و همینطور آینده آن را و کاربران این سایت را آشنا کنم با سخت افزارهایی که در آینده باید با آنها سروکله بزنند و که البته الان هم دربازار موجود است و همینطور نرم افزار bitlocker که در مطلب بعدی همین رمزگذاری را توضیح میدم ولی اینبار میخوام نحوه کار با bitlocker را توضیح بدم. البته میدونم در سایتها و جاهای دیگه هم درباهر bitlocker مطلب خوانده اید ولی آنها اون چیزی که در ذهن من هست را ننوشته اند.
اگر به شما بگم نوشتن همین چند خط یک ساعت و نیم وقت من را گرفت باورتان میشه؟ چون قصد داشتم مطلب را ساده کنم و از موارد تخصصی و خاص که درون آن بود بگذرم وگرنه بحث سخت افزاری آن خیلی گسترده است و بحث کردن راجع به sed خودش خیلی کار میبره.
موفق باشید
علی مختاری
مقالات مرتبط
٪ نظرات
پیام بگذارید
ما را در شبکه های اجتماعی دنبال کنید
© تمامی حقوق برای علی مختاری محفوظ است.
لینک های مفید
تماس با من
میدان جمهوری اسلامی ، جنب بانک مسکن ، مجتمع اداری تجاری نگین
۰۳۱-۹۱۰۱۵۰۶۲
info@alimokhtari.name
وقتی کسی نظری نمیده معنیش این نیست که
کارت بیهوده است معنیش اینه لذتش ر و برده
ولی نظر خاصی نداره واست عنوانش کنه
پس مثبت فکر کن:)
ممنون عزیز
من خودم دقت کردم مطالبی که خواننده بیشتری داره کمتر نظر گذاشته شده.
آقای مختاری دستتون درد نکنه
واقعا مطلب عالی بود . مثل همیشه
خسته نباشید
علي عزيز،
باور دارم كه وقت زيادي براي نوشتن اين مقالهي خوب گذاشتي.
من خودم هم وبلاگنويسم و به اين نتيجه رسيدم كه: «گاهي نبايد همهي مطلب رو در متن مقاله گفت… بهتره بعضي چيزها در ابهام بمونه تا گفتگو شكل بگيره».
جديداً مطالبت رو دنبال ميكنم.
پاينده باشي.
نه من دنبال گفتگو نیستم قضیه اینه که از بحث ویندوز خیلی فاصله میگیره مثلا همین رمزگذاری خودش یه حرفه و تخصص است و اصلا ربط آنچنانی به ویندوز نداره. من فقط میخواستم برای تعریف bitlocker آنرا بطور مقدمه توضیح بدم.
برام جالب بود که سایت بانک ملت از رمز گذاری AES اون هم از نوع ۲۵۶ بیتی استفاده میکنه
http://up.iranblog.com/Files0/d85767af39814871b87c.JPG
نکته جالبی گفتی بانکهای مثل پارسیان و سامان هم ۲۵۶ است ولی صادرات ۱۲۸ بیت است.
cpu از شرکت ATI نداریم. CPU AMD
“cpu های ATI چنین تکنولوژی ندارند و کمپانی هایی هم که بدنبال ساخت هارد دیسک هستند مثل segate که معروفترین است دنبال راههایی هستند ….”
ممنون علی جان قاطی کرده بودم. آخه قبلش داشتم به این فکر میکردم که از gpu مثال بزنم که بعد منصرف شدم و اسم ati همینطوری تو ذهنم مانده بود که بجای amd نوشتم.
سلام
مطلب بسیار خوبی بود.
خیلی وقت بود که دنبال اطلاعات در این مورد میشگتم.
سلام
مطلبتون بهترین مقاله ای بود که امروز خوندم. موفق باشید
سلام علی جان.این مطلبت گل سر سبد مطلبهاته.راستی علی جان دیگه گرافیک ati شده amd .دیگه نام ati بکل برداشته شده
اگر میدونستم انقدر طرفدار داره جامع تر مینوشتم.
راستی سیستم عاملت ۷ شده!
راستش واسه کارم گیر ویندوزم.اما با این بحثهایی که میگی با ویندوز حال میکنم.من عاشق whs شدم.وقتی خونه جدیدمو گرفتم راهش میندازم.باید کمکم کنی علی جان
دمت گرم . ديگه اينجا شد پاتوق 😉
سلام، ممنونم از تمام اطللاعات مفیدی که در اختیار ما قرار می دهید.
موفق باشید.
سپاس
عالی بود خواستم بگم من جزو همونایم که نظر نمی دن ولی مطالبتو همرو دنبال می کنم
قضیه امنیت ویندوز خیلی مهمه بیشتر در این باره مطلب بزار
تا بعد
http://goo.gl/rRNP6
آقا با ذکر منبع و نام استفاده در وبلاگم قرار دادم. فوق العاده بود.
راستی یه نکته در اوایل مطلب گفتم من همون مشکل رو دارم می شه راهنمایی کنی منو.
در مورد اون پیغام access is denied خیلی از فایل های هارد اکسترنال من این پیغام رو می دند. بدبختیش اینه که برای باز کردن مثلا یه پوشه که توش دوتا فایل هست در کل باید شش بار دسترسی رو ویرایش کنم تا بتونم بازشون کنم. حالا شما فکر کن یه هارد یه ترابایت هست!
اگه یه راه حل داری بگو مرسی.
اگر یوزر را انتخاب کنی و فول کنترل بهش بدی دیگه برای همیشه آزاد میشه از فولدر بالایی آزاد کن.
ببخشید من یه کم تو شکل خطا اشتباه گفتم. من با این خطا مواجه می شم.
http://up.iranblog.com/Files00/359cead27f024174a3d2.JPG
بگید این رو چکار کنم.
متشکر
خوب خطا که فرقی نمیکنه شما باید حق مالکیت بگیری تنظیمات permission را الان چطوری انجام میدی؟
به قسمت security می رم و گزینه Advanced رو بر می گزینم.
http://up.iranblog.com/Files00/b259874522f845d79c11.JPG
بعد به سربرگ Owener رفته و گزینه Edit رو می زنم
http://up.iranblog.com/Files00/5f5218583e074393906f.JPG
بعد روی گزینه other users or groups کلیک می کنم.
http://up.iranblog.com/Files00/e6784cbf738a4a58a7d6.JPG
در این قسمت کلمه everyone رو می نویسم و و گزینه ok رو می زنم.
سپس این پیغام نمایش داده می شه:
http://up.iranblog.com/Files00/ba3c7b959a1f4db3a507.JPG
حال دوباره به قسمت Security می رم و بر روی گزینه edit کلیک می کنم. (این قسمت تا قبل از مراحل بالا غیر فعال بود)
http://up.iranblog.com/Files00/adadfd828bab4a8fafdb.JPG
سپس کلمه everyone رو دوباره می نویسم و با ok کردن خارج می شم.
سپس دسترسی رو برای everyone فول کنترل می کنم و با تایید خاج می شه.
حالا فایل باز می شه. تماس پرت
امیدوارم کامل باشه.
مگه user name شما home نیست؟ پس چرا فول کنترل را به home نمیدهید؟
everyone که برای شبکه بیشتر استفاده میشه.
بعد توی group شما چرا سیستم نیست؟ ویندوزتون چه نسخه ای هست؟
بله Home هست. چون نمی شه. ویرایش نمی شه! خواستم اون کار رو کنم اما تنها چیزی که عمل کرد everyone هست.
ویندوز من ویندوز ۷ نسخه Enterprise هست.
اگه می شه یه راه حل بدید من ۱۰۰ تا فولدر با محتویات داخلش رو یه جا دسترسی بدم. به خدا اگه یه ترابایت رو اینجوری بخوام دسترسی بدم باید به اندازه عدد آواگادرو سال نوری وقت صرف کنم.
با حساب ادمین وارد ویندوز بشید و permission را تغییر بدید.
با حساب ادمین وارد می شم همیشه. چگونه permission رو تغییر بدم؟
شما مگه با یوزر home وارد نمیشدید؟
درسته با Home وارد می شم ولی دسترسی Home ادمین هست.
home ادمین نیست. ادمین را فعال کنید و log off کنید وارد ادمین شوید و آنجا تست بگیرید.
http://up.iranblog.com/Files00/5047492ce3ab40b4a9ef.JPG
چه طوری فعال کنم! کجا فعال می شه؟
http://goo.gl/iVtP8
با ادمین وارد شدم اما تفاوتی نداره. یوزر هم تا فول کنترول بهش بدم. باید یه بار یوزر بسازم بعد بهش فول کنترل بدم. رسما فرقی نکرد. فقط جای everyone می نویسم users!
از شاخه بالاییش هم اصلاح کردم اما فولدر های درونش بازم همون مشکل رو داشتند.
پس بهتره مالکیت فایل را از ویندوز بگیرید:
http://goo.gl/qcCRS
http://goo.gl/ttgMw
سلام
ببخشید از صبح دانشگاه بودم. این لینکی که داده بودید اولیش رو انجام دادم تفاوتی نکرد. هنوز مشکل پا برجا هست.
اون یکی لینک را هم تست میکردی.
مشکل اینجاست من از راه دور نمیتونم کنترل کنم اگر مثلا جلوی من بود سیستم راهش را پیدا میکردم چون تا الان چنین موردی برای خودم پیش نیومده.
راه حل دوم هم کار نکرد. می گم می خواید ریموت دسکتاپ کنیم با تیم ورکر. شاید از توش یه مطلب خوب برا سایت دربیاد. ببخشید این چند وقته وقتتون رو می گیرم.
تیم ورکر مگه مال خود ویندوز چشه؟
روز جمعه اگه بشه اینکار را میکنیم.
انشا الله
مال خود ویندوز رو بلد نیستم. اما به قول شاعر : هزار بادیه سهل است با وجود تو رفتن
دیگه استاد باشه غمی نیست.
http://goo.gl/qUhTI
آقا الوعده وفا. اینم جمعه. منتظر پیغامتون هستم. به نظرم ایمیلم رو که دارید از جیتالک استفاده کنیم برای هماهنگی ها. ویندوز لایو هم دارم اگه با گوگل میونه خوبی ندارید فقط جای سرویس دهنده رایانامه ام بنویسید HOTMAIL.
منتظرم
مرسی
از team viewer استفاده میکنیم چون برای ریموت دسکتاپ ویندوز باید تنظیمات روتر و همهچیز را تغییر بدیم که کلی وقتمون را میگیره و معلوم نیست روی این آی پی ها جواب بده.
team viewer از id استفاده میکنه اگر نداری از این لینک دانلود کن.
http://goo.gl/CGRs
البته من خودم باهاش تا حالا کار نکردم ولی برای تجربه بد نیست.
ساعتش را با ایمیل بهت خبر میدم.
سلام برای همانگی از جیتالک استفاده کنیم. لطفا یه پیغام بدید چون فکر کنم ip رو اینجا نظارم بهتر باشه چون عموم می تونند ببینند. راس ساعت چهار خوبه؟
ip لازم نیست از id استفاده میکنیم.
همان ساعت ۴
۳۴۱۸۵۶۸۷۵
اینم id
سلام
ببخشید می خواستم بگم راه حلی برای مشکلم یافت شده یا نه؟
متشکرم
هنوز نه
با سلام حضور علی اقای عزیز
استاد بزرگوارم
قبل از اومدن ویندوز در سالهای ۷۶ تا ۷۷ که ما ویندوز نداشتیم یادمه روی کامپیوترها از قسمت بایوس رمز میذاشتن و بعد از ورود به بایوس با ms-Dos کار میکردیم یا PE2 اما الان هر چقدر توی این چند ساله سعی کردم که روی سیستم از قسمت بایوس رمز بذارم نتونستم .
ایا با وجود ویندوز چنین امکانی باز هم وجود داره یا نه که رمز به شکلی با شه که حتی کسی قادر به بوت کردن سیستم هم نباشه و فقط با ورود پسورد بشه به سیستم دسترسی داشته باشیم ؟
باز هم بخاطر مطالب فوق العاده از شما دوست و استاد بزرگوارم سپاسگذارم
با ارزوی توفیق روز افزون
از این دو مطلب استفاده کنید:
http://www.mywindows.ir/archives/3709
http://www.mywindows.ir/archives/2382
سلام اقای مختاری عزیز
یه سوال دارم البته دقیقا نمیدونم زیر کدوم مطلب بپرسم اما ممنون میشم جواب بدین
بعضی از وب سایتها وقتی میخوایم در اونها ثبت نام کنیم یا سوال بپرسیم و ایمیل رو وارد میکنیم چندتا گزینه میاد که میگه این سایت میخواد به اطلاعات شما دسترسی داشته باشه
مثلا وقتی در سایت خود شما ثبت نام کردم واکانت ساختم اشتراک ایمیلی رو هم فعال کردم تا از مطالب جدید شما در ایمیل اگاه بشم و همون موقعی که میخوای اشتراک ایمیلی بگیریم اکثرا ۳ تا گزینه داره که دقیقا یادم نیست اما تا حدودی اشاره به این داره که این وبسایت میخواهد به اطلاعات شما دسترسی داشته باشه
ایا تایید میکنید
که خوب برای اینکه مراحل کار کامل بشه مجبوریم تا تایید کنیم
حالا ایا این اطلاعات شامل پسورد ایمیل من هم میشه یا فقط اسم و مشخصات اکانته ؟
ممنون میشم راهنمایی کنین
با تشکر وارزوی توفیق
مصطفی جان عزیز
ثبت نام در اینترنت به دو صورت شده هم اکنون. یکی اینکه شما ثبت نام میکنید و یک ایمیل تائیدیه برای شما ارسال میشود تا روی لیک کلیک کنید و حساب کاربری شما ایجاد شود. این برای امنیت وب سایت است که نرم افزارهای مخرب سوء استفاده نکنند و همینطور ثبت نام کنند.
مورد دوم آنهایی که از شما سوال میکنند برای دسترسی به اکانت های دیگر شما سوال میکنند مثلا برای ثبت نام کار را راحت میکنند و بجای اینکه شما فرم ثبت نام را پر کنید از حساب کاربریتان در فیسبوک گوگل یا توئیتر میتوانید استفاده کنید بعد از اتصال با آنها از شما میپرسند که این سایت اطلاعات حساب شما میخواهد و از شما تائیدیه میخواهد وقتی تائید کنید اطلاعات پروفایل شما همچون ایمیل اسم فامیل و شاید جنسیت و تاریخ تولد هم شامل شود را از سات مورد نظر میگیرد. اما این سایتها پسورد شما را نمیدهند. شما هم برای تائید باید سایتی که میخواهد این اطلاعات را بدان خوب بشناسید.