هکر 21 ساله ايراني موفق به رمزگشايي الگوريتم گواهينامه هاي SSL شد.

به گزارش مشرق به نقل از بولتن نيوز، اين هکر که پس از رمزگشايي در نامه اي بلند به جهان نوشته که بدون کمک فرد يا سازماني است و به تنهايي اين کار را انجام داده است ذکر کرده من هکري هستم با تجربيات هزاران هکر ، و برنامه نويسي هستم با تجربيات هزاران برنامه نويس، اين هکر همچنين خود را مستقل از ارتش سايبري ايران دانسته و نوشته که من هيچ ارتباطي با اين گروه نداشته و فعاليت خود را به صورت مستقل انجام مي دهم.

در قسمتي ديگر از اين نامه ذکر شده است زماني که امريکا و اسراييل ويروس استاکس نت را ايجاد کرد ، هيچ شخصي در باره اين موضوع حرفي نزد ، هيچ مقصري پيدا نشد ، و هيچ اتفاقي رخ نداد ولي زماني که من اينکار را انجام دادم بايد چيزي رخ دهد ؟ زماني که من اينکار را کردم هيچ اتفاقي رخ نداد و اين يک معامله ساده بود.

همچنين در قسمتي از نامه سن خود را 21 سال ذکر کرده است .
از نکات قابل توجه در اين نامه اين بود که در پايان نامه به فينگليش ذکر کرده است : Janam Fadaye Rahbar ( جانم فداي رهبر )
شرکت هاي مسئول که سخت در شگفت اين عمليات هوشمندانه بوده اند سعي بر سطحي نشان دادن موضوع نمودند ، اين شرکت ها پس از 7 روز متوجه رمزنگاري شدند و پس از آن سريع اقدام به تغيير الگوريتم هاي رمز نگاري کردند .

اس اس ال چيست ؟
از اين پرتکول براي امن کردن پرتکول هاي غيرامن مانند HTTP ، LDAP ، IMAP و … استفاده مي شود. در حقيقت SSL بر اين اساس يکسري الگوريتم هاي رمزنگاري بر روي داده هاي خام قرار مي دهد که قرار است يک کانال ارتباطي غيرامن بگذرد تا محرمانه ماندن داده ها تضمين شود. به بيان ديگر شرکتي که صلاحيت صدور و اعطاء گوهينامه ديجيتال SSL را دارد براي هر کدام از دو طرفي که قرار است ارتباطات بين شبکه اي را امن کنند. اين مدارک بايد احراز هويت کاربران را تاييد کنند و از هر طرف گواهينامه تاييد شود. اگر اطلاعات حين انتقال به سرقت رفت براي رباينده قابل درک نيست که اين کار به صورت الگوريتم هاي رمزنگاري و کليدهاي رمزنگاري نامتقاران و متقاران انجام مي دهد.
براي داشتن ارتباطات امن مبتني بر SSL ، عموما به دو نوع گواهي ديجيتال SSL ، يکي براي سرويس دهنده و ديگري براي سرويس گيرنده و هم چنين يک مرکز صدور و اعطاي گواهينامه ديجيتال (Certificate authorities) که به اختصار CA ناميده مي شود، نياز است. وظيفه CA اين است که هويت طرفين ارتباط نشاني ها، حساب هاي بانکي و تاريخ انقضاي گواهينامه را بداند و بر اساس آن ها هويت ها را تعيين نمايد.

رمزنگاري
رمزنگاري (Cryptography) ، علم به رمز در آوردن (Encryption) اطلاعات است. البته بديهي است که توضيح روش هاي پيچيده اي که امروزه براي رمزنگاري استفاده مي شود از حوصله و اين مطلب خارج است. براي مثال زدن در ادامه به يکي از ساده ترين روش هاي رمزنگاري مي پردازيم:
مي دانيم هر حرف الفبا جايگاهي دارد مثلا حرف «B قبل از A» و حرف «M بعد از N» قرار دارد. حالا براي مثال يک جمله مثل My Site را مي خواهيم رمز نگاري کنيم. حالا هر حرف را به حرف قبلي برميگردانيم. جمله ما مي شود: Nx Rhsd به نظر شما معني دارد؟ اين جمله طوري کد گذاري شده که شما مي دانيد! اما هکر هاي حرفه اي باهوش تر از اين حرف ها هستند! به راحتي مي توانند الگوريتم ساده ي شما را شناسايي و هک کنند!

SSL چگونه کار مي کند؟
SSL در واقع پروتکلي است که در آن ارتباطات به وسيله يک کليد ، رمز گذاري (Encryption) مي شوند. لازم به ذکر است زماني که قرار است يکسري اطلاعات به صورت SSL به يک سايت که سرور آن گواهينامه SSL را دارد (ابتداي آدرس سايت https باشد) ازسال شود ، ابتدا بايد از يک کليد به عنوان قالبي براي به رمز درآوردن اطلاعات بين خدمات گيرنده (Client) و خدمات دهنده (Server) استفاده شود. براي ساخت اين کليد نياز به چند مرحله هماهنگي به شرح زير است.
• وقتي سرور بخواهد پروتکل SSL را فعال کند ابتدا يک کليد عمومي (Public Key) مي سازد.
• سپس کليد عمومي را همراه با يک درخواست گواهينامه SSL به يکي از صادرکنندگان اين گواهينامه مثل وريساين (Verisign) ارسال مي کند.
• وريساين نيز ابتدا مشخصات و ميزان قابل اعتماد بودن و امنيت سرور را ارزيابي کرده و کليد عمومي را دوباره رمزگذاري مي کند و براي سرور مي فرستد تا در انتقال اطلاعات خود از آن استفاده کند. به اين کليد جديد کليد خصوصي يا امنيتي (Private Key) مي گويند.
• حال هر زمان که کاربر بخواهد از طريق پرتکول SSL به اين سايت دست يابد ، ابتدا کامپيوتر کاربر يک کليد عمومي براي سرور مي فرستد (هر کامپيوتر کليد مخصوص به خود را دارد).
• سرور نيز اين کليد عمومي را با کليد امنيتي خود مخلوط کرده و از آن کليد جديدي مي سازد سپس آن را به کامپيوتر کاربر مي فرستد.
• از اين به بعد تمامي اطلاعاتي که رد و بدل مي شوند با اين کليد جديد رمزنگاري مي شوند.
البته واضح است که نيازي به دانستن تمام اين جزييات نيست و ما جهت رفع کنجکاوي آن ها را توضيح داديم. فقط اين را بدانيد که با استفاده از اين سرويس اطلاعات کاملا رمزنگاري شده و بازکردن آن ها تقريبا غيرممکن است. ضمن اين که تنها وظيفه شما اين است که از اين امکانات استفاده کنيد و پرتکول SSL را در مرورگر براي ايميل و ديگر حساب هاي خود که سرور به شما اين امکان را مي دهد فعال کنيد. اگر شما هم مدير يک سرور هستيد سعي کنيد گواهينامه پرتکول SSL را از صادرکنندگان آن مثل Verisign و Thawte خريداري و در اختيار کاربران و خدمت گيرندگان خود بگذاريد.

چه طور مي توانيم مطمئن شويم يک سايت از SSL استفاده مي کند؟
اين بخش خيلي ساده در عين حال حياتي و مهم است. براي اين کار به وب سايت موردنظر وارد شويد سپس زماني که سايت کاملا بارگذاري شد به ابتداي آدرس آن نگاه کنيد اکنون مي بايست به جاي http عبارت https را ببينيد (منظور از حرف s در پايان http، عبارت Secure است).