بصمة المفتاح العام
عودة للموسوعةكيفية التشفير باستخدام المفتاح العام تعتبر بصمة المفتاح العام تعبير عن سلسلة قصيرة من البايتات المستخدمة للتعرّف على مفتاح عام أطول. يتم إنشاء بصمات الأصابع عن طريق تطبيق دالة تجزئة التشفير (بالانجليزي cryptographic hash function ) على مفتاح عام. ونظرًا لأن حجم بيانات بصمات الأصابع أقصر من المفاتيح التي تشير إليها ، فيمكن استخدامها لتبسيط بعض مهام إدارة المفاتيح. في برامج Microsoft ، يتم استخدام "بصمة الإبهام" بدلاً من "بصمة الإصبع".
إنشاء بصمات المفتاح العام
عادةً ما يتم إنشاء بصمة مفتاح عام من خلال المراحل التالية:
- يتم تشفير المفتاح العام (واختيارياً بعض البيانات الإضافية) في سلسلة من البايتات. لضمان إمكانية إعادة إنشاء نفس بصمة الإصبع لاحقًا ، يجب حتىقد يكون الترميز محددًا ، ويجب تبادل وتخزين أي بيانات إضافية بجانب المفتاح العام. البيانات الإضافية هي عادة معلومات أي إنسان يستخدم المفتاح العام سيكون على دراية بها. من أمثلة البيانات الإضافية ما يلي: ما هي إصدارات البروتوكول التي يجب استخدام المفتاح معها (في حالة بصمات PGP ) ؛ واسم حامل المفتاح (في حالة بصمات مرساة الثقة X.509 ، حيث تتكون البيانات الإضافية من شهادة مسقطة ذاتيا X.509).
- يتم تجزئة البيانات التي تم إنتاجها في المستوى السابقة باستخدام دالة تجزئة التشفير مثل SHA-1 أوSHA-2 .
- عند الرغبة ، يمكن اقتطاع ناتج دالة التجزئة لتوفير بصمة أقصر وأكثر ملاءمة.
تنتج هذه العملية بصمة قصيرة يمكن استخدامها لمصادقة مفتاح عام أكبر بكثير. على سبيل المثال ، في حين حتى طول المفتاح العام RSA يبلغ 1024 بت أوأطول ، فإن بصمات الأصابع MD5 أوSHA-1 النموذجية يبلغ طولها 128 أو160 بت فقط.
عند عرضها علئ العين البشرية ، عادةً ما يتم تشفير بصمات الأصابع إلى سلاسل سداسية عشرية . هذه السلاسل يتم تنسيقها في مجموعة من الأحرف لتسهيل قراءتها. على سبيل المثال ، سيتم عرض بصمة MD5 128 بت لـ SSH على النحوالتالي:
43: 51: 43: A1: B5: FC: 8B: B7: 0A: 3A: A9: B1: 0F: 66: 73: A8
استخدام بصمات المفتاح العام لمصادقة المفتاح
عندما يتم استلام مفتاح عام عبر قناة غير موثوق بها ، مثل الإنترنت ، يرغب المستلم غالبًا في مصادقة المفتاح العام. يمكن لبصمات الأصابع المساعدة في تحقيق ذلك ، لأن حجمها الصغير يسمح لها بالمرور عبر قنوات موثوق بها بعكس المفتاح العام حيث ان حجمه لن يسمح له بالمرور بسهولة.
على سبيل المثال ، إذا كانت Alice ترغب في مصادقة مفتاح عام على أنه ملك ل Bob ، فيمكنها الاتصال ب Bob عبر الهاتف أوشخصيًا وطلب منه قراءة بصمة الإصبع لها ، أوإعطائها قصاصة ورق بها بصمة مكتوبة عليها. يمكن لـ Alice بعد ذلك التحقق من حتى البصمة الموثوق بها هذه تطابق بصمة المفتاح العام. يعد تبادل ومقارنة قيم كهذه أسهل كثيرًا إذا كانت القيم بصمات قصيرة بدلاً من المفاتيح العامة الطويلة.
يمكن حتى تكون بصمات الأصابع مفيدة أيضًا عند أتمتة تبادل أوتخزين بيانات المصادقة الأساسية. على سبيل المثال ، إذا كانت بيانات المصادقة الأساسية بحاجة إلى إرسالها عبر بروتوكول أوتخزينها في قاعدة بيانات حيث يمثل حجم المفتاح العمومي الكامل معضلة ، فقد يحدث تبادل بصمات الأصابع أوتخزينها حلاً أكثر قابلية للتطبيق.
بالإضافة إلى ذلك ، يمكن الاستعلام عن بصمات الأصابع باستخدام محركات البحث لضمان حتى المفتاح العام الذي قام المستخدم بتنزيله فقط يمكن رؤيته بواسطة محركات البحث التابعة لجهة خارجية. إذا قام محرك البحث بإرجاع عدد مرات الوصول للرجوع إلى بصمة الإصبع المرتبطة بالمسقط (المواقع) المناسبة ، فيمكن حتى يشعر المرء بمزيد من الثقة بأن المهاجم لا يتم حقنه من قبل مهاجم ، مثل هجوم رجل في المنتصف .
بصمات المفتاح العام عملياً
في أنظمة مثل SSH ، يمكن للمستخدمين تبادل بصمات الأصابع والتحقق منها يدويًا لإجراء مصادقة المفتاح. بمجرد حتى يقبل المستخدم بصمة مستخدم آخر ، سيتم تخزين بصمة الإصبع هذه (أوالمفتاح الذي يشير إليه) محليًا مع سجل باسم المستخدم أوعنوانه ، بحيث يمكن توثيق الاتصالات المستقبلية مع هذا المستخدم تلقائيًا.
في أنظمة مثل PKI المستندة إلى X.509 ، تستخدم بصمات الأصابع في المقام الأول لمصادقة مفاتيح الجذر. تصدر مفاتيح الجذر هذه شهادات يمكن استخدامها لمصادقة مفاتيح المستخدم. هذا الاستخدام للشهادات يلغي الحاجة إلى التحقق اليدوي من بصمات الأصابع بين المستخدمين.
في أنظمة مثل PGP أوGroove ، يمكن استعمال بصمات الأصابع لأي من الطرق المذكورة أعلاه: يمكن استخدامها لمصادقة المفاتيح الخاصة بالمستخدمين الآخرين ، أوالمفاتيح التابعة لسلطات إصدار الشهادات. في PGP ، يمكن للمستخدمين العاديين إصدار شهادات لبعضهم البعض ، وتشكيل شبكة من الثقة ، وغالبًا ما تستخدم بصمات الأصابع للمساعدة في هذه العملية (على سبيل المثال ، في أطراف توقيع المفاتيح ).
في أنظمة مثل CGA أوSFS ومعظم شبكات التشفير من نظير إلى نظير ، يتم تضمين بصمات الأصابع في تنسيقات العناوين والأسماء الموجودة مسبقًا (مثل عناوين IPv6 أوأسماء الملفات أوسلاسل تعريف أخرى). إذا كانت العناوين والأسماء يتم تبادلها بالعمل من خلال قنوات موثوق بها ، فإن هذا النهج يسمح لبصمات الأصابع بالضغط عليها.
في PGP ، يتم إنشاء معظم المفاتيح بكيفية تجعل ما يسمى "معهد المفتاح" يساوي 32 أو64 بت على التوالي من بصمة المفتاح. يستخدم PGP معهدات المفاتيح للإشارة إلى المفاتيح العامة لمجموعة متنوعة من الأغراض. هذه ليست بصمات أصيلة ، نظرًا لأن طولها القصير يمنعهم من حتى يتمكنوا من المصادقة بشكل آمن على مفتاح عمومي. لا ينبغي استخدام معهدات المفاتيح ذات 32 بت لأن الأجهزة الحالية يمكنها إنشاء معهد مفتاح 32 بت في أربعة ثوانٍ فقط.
أمان بصمات المفتاح العام
إن التهديد الأساسي لأمن بصمة الأصابع هوالهجوم الذي يقع في فترة مبكرة ، حيث يقوم المهاجم بإنشاء زوج رئيسي له مفتاحه العمومي على بصمة تتطابق مع بصمة الضحية. يمكن للمهاجم بعد ذلك تقديم مفتاحه العام بدلاً من المفتاح العام للضحية للتنكر كضحية.
تهديد ثانوي لبعض الأنظمة هوهجوم الاصطدام ، حيث يقوم المهاجم بتصنيع أزواج مفاتيح متعددة لها بصمة أصبع خاصة به. قد يسمح ذلك للمهاجم بالتخلي عن التوقيعات التي أنشأها ، أوالتسبب في حدوث تشويش آخر.
لمنع هجمات preimage ، يجب حتى تمتلك وظيفة تجزئة التشفير المستخدمة لبصمات الأصابع خاصية المقاومة preimage الثانية. إذا كانت هجمات التصادم تشكل تهديدًا ، فيجب حتى تمتلك وظيفة التجزئة خاصية مقاومة التصادم. في حين أنه من المقبول اقتطاع ناتج دالة التجزئة من أجل بصمات أقصر وأكثر قابلية للاستخدام ، يجب حتى تكون بصمات الأصابع المقتطعة طويلة بما يكفي للحفاظ على الخصائص ذات الصلة لوظيفة التجزئة ضد هجمات درس القوة الغاشمة .
في الممارسة العملية ، تعتمد معظم بصمات الأصابع الشائعة اليوم على تجزئات MD5 أوSHA-1 غير المقطوعة. اعتبارًا من عام 2017 ، يمكن العثور على التصادمات وليس الأعداد الأولية في MD5 وSHA-1. وبالتالي من المحتمل حتى يحقق المستقبل استخدامًا متزايدًا لوظائف التجزئة الأحدث مثل SHA-256 . ومع ذلك ، فإن بصمات الأصابع المستندة إلى SHA-256 وغيرها من وظائف التجزئة ذات أطوال الإنتاج الطويلة تكون أكثر عرضة للاقتطاع من بصمات الأصابع MD5 أوSHA-1 (قصيرة نسبيًا).
في المواقف التي يجب فيها تقليل طول بصمة الإصبع بأي ثمن ، يمكن تعزيز أمان بصمة الإصبع بزيادة تكلفة حساب بصمة الإصبع. على سبيل المثال ، في سياق العناوين التي تم إنشاؤها بطريقة مشفرة ، يسمى هذا "ملحق التجزئة" ويتطلب من أي إنسان حساب بصمة للبحث عن هاشوم يبدأ بعدد ثابت من الأصفار ، والتي يفترض حتى تكون عملية مكلفة.
انظر أيضا
- قائمة الحدثات PGP
- تشفير المفتاح العام
- المصادقة اللالكترونية
- دالة التجزئة
المراجع
- ^ Evil 32: Check Your GPG Fingerprints نسخة محفوظة 16 يونيو2019 على مسقط واي باك مشين.
2 , , نسخة محفوطة (September 1998), تم الإطلاع عليها 30 أغسطس 2019. 3 Aura, Tumas March 2005, " "Hash Extension, [rfc:3972 Cryptographically Generated Addresses (CGA)], IETF. sec. 7.2. doi:10.17487/RFC3972. RFC 3972. Retrieved January 2, 2018.
التصنيفات: تشفير باستخدام المفتاح العام, الصفحات بعناوين عرض تم تجاهلها, قالب أرشيف الإنترنت بوصلات واي باك, مقالات يتيمة منذ أغسطس 2019, جميع المقالات اليتيمة, جميع المقالات التي بحاجة لصيانة, بوابة تعمية/مقالات متعلقة, جميع المقالات التي تستخدم شريط بوابات
