تفاوت چهار اصطلاح برنامه‌نویسی و امنیت: Encryption ،Encoding ،Hashing و Obfuscation

شاید تا به حال با چهار اصطلاح encryption ،encoding ،hashing و obfuscation برخورد کرده باشید. نزدیکی مفاهیم این چهار اصطلاح می‌تواند هر کسی را به اشتباه بیندازد، به همین خاطر در این نوشته می‌خواهیم به اختصار تفاوت‌های آن‌ها و معنی دقیق‌تر هریک را بررسی کنیم.

آشنایی با Encoding یا کدگذاری

هدف از Encoding، تبدیل اطلاعات به گونه‌ای است که بدون مشکل، بتواند در سیستم‌های متفاوت قابل تحلیل و مشاهده باشد. برای مثال حروف و کاراکترهای موجود در یک ایمیل و یا کاراکترهای صفحات وب پس از اینکه به داده‌ی باینری (binary) معادل‌شان تبدیل شدند، می‌توانند توسط سیستم‌های مختلف ارسال و دریافت شوند. هدف اصلی، قابل استفاده بودن داده‌ها و تحلیل صحیح این اطلاعات است و در Encoding به دنبال مخفی نگه داشتن اطلاعات نیستیم.

فرآیند Encoding داده‌ها، ازطریق یک نقشه‌ی عمومی انجام می‌شود و درنتیجه برگرداندن آن به فرمت قبلی نیز به راحتی انجام‌پذیر است. پس برای Decode کردن تنها به الگوریتمی نیاز خواهیم داشت که با آن Encode را انجام دادیم و هیچ‌گونه نیازی به Key (کلید) نخواهد بود.

از استانداردهای رایج برای Encoding می‌توان به ASCII ، Unicode و Base64 اشاره کرد.

آشنایی با Encryption یا رمزنگاری


هدف از Encryption یا رمزنگاری تبدیل اطلاعات به فرمت دیگر به منظور مخفیانه نگه داشتن آنها می‌باشد. برای مثال ارسال یک نامه‌ی محرمانه به گونه‌ای که تنها خود مخاطب قادر به رمزگشایی و خواندن آن باشد و یا ارسال رمزعبور به صورت امن و مخفیانه در اینترنت. در Encryption هدف دسترسی‌پذیری نیست بلکه می‌خواهیم اطلاعات توسط کسی جز مخاطب اصلی آن‌ها قابل رؤیت نباشد.

در Encryption اطلاعات به گونه‌ای تبدیل می‌شود که تنها مخاطب‌(های) آن اطلاعات قادر به معکوس کردن فرآیند تبدیل اطلاعات هستند. فرآیند رمزنگاری با استفاده از یک کلید (که باید مخفی نگاه داشته شود)، یک متن آشکار و یک الگوریتم برای انجام عملیات رمزنگاری صورت می‌پذیرد. به همین شکل، برای رسیدن به متن آشکار نیز به متن رمزگذاری‌شده، الگوریتم و کلید نیاز خواهیم داشت.

از الگوریتم‌های رایج رمزنگاری می‌توان به AES ،Blowfish و RSA اشاره کرد.

آشنایی با Hashing یا درهم‌سازی

هدف از Hashing، اطمینان از یکپارچگی یا صحت (integrity) است، به شکلی که اگر چیزی تغییر کند، شما متوجه شوید که تغییری صورت گرفته است. به شکل دقیق‌تر می‌توان گفت که در Hashing، یک ورودی دلخواه گرفته شده و رشته‌ای با طول ثابت به نام Hash تولید می‌شود به شکلی که این رشته خروجی ویژگی‌های زیر را داشته باشد:

  • ورودی یکسان همیشه خروجی یکسان تولید می‌کند.
  • معمولاً چند ورودی متفاوت، خروجی یکسانی تولید نمی‌کنند.
  • امکان رسیدن از خروجی به ورودی وجود ندارد.
  • هرگونه تغییر در ورودی موجب تغییر اساسی در Hash می‌شود.

Hashing می‌تواند در کنار رمزنگاری نامتقارن استفاده شود تا اطمینان قوی به دست بیاید که پیام تغییر نکرده است. در این فرآیند یک ورودی اولیه ابتدا درهم‌سازی (Hash) شده و سپس این hash با کلید خصوصی فرستنده امضا می‌شود. سپس پیام، hash و امضا به مخاطب ارسال می‌شود. مخاطب پس از باز کردن پیام قادر است ابتدا امضای hash را با کلید عمومی فرستنده تطبیق دهد تا مطمئن شود خود فرستنده hash را امضا کرده است. سپس خودش پیام را یک بار دیگر hash می‌کند و آن را با hash دریافت‌شده از فرستنده مقایسه کند. اگر هر دو یکی بود، پیام معتبر است.

از الگوریتم‌های رایج Hashing می‌توان به SHA-3 و MD5 اشاره کرد.

آشنایی با Obfuscation یا مبهم‌سازی کد

هدف از Obfuscation یا مبهم‌سازی کد، سخت‌‌تر کردن درک آن است و معمولاً با این منظور صورت می‌گیرد که از کپی شدن کد یا آسیب‌پذیری آن جلوگیری به عمل آید.

به عنوان مثال یک کاربرد متداول Obfuscation، جلوگیری از دسترسی غیرمجاز به کدهای منبع یک محصول و کپی شدن آن توسط رقبا در فرآیند مهندسی معکوس است.

لازم به ذکر است که Obfuscation همانند Encryption یک محافظ قوی نیست، بلکه تنها یک مانع موقت است و همچون Encoding در اینجا نیز اغلب می‌تواند با همان تکنیکی که مبهم‌سازی شده، دوباره فرآیند معکوس شود. در مواقعی هم که Obfuscation پیچیده‌تر است، باز به شکل دستی و زمان‌بر، می‌توان در نهایت به اطلاعات اولیه دسترسی پیدا کرد.

نکته‌ی مهم دیگر، توجه به این موضوع است که بسته به محتوای کد، میزان مبهم‌سازی‌ای که می‌تواند روی آن صورت بگیرد با محدودیت‌هایی همراه است. مثلاً اگر یک کد کامپیوتری را مبهم‌سازی می‌کنید، نتیجه باید همچنان قابلیت اجرا توسط کامپیوتر را داشته باشد وگرنه برنامه از کار خواهد افتاد.

برخی از ابزارهای موجود برای Obfuscation عبارت‌اند از: ProGuard و Javascript Obfuscator .

منبع

5 دیدگاه در “تفاوت چهار اصطلاح برنامه‌نویسی و امنیت: Encryption ،Encoding ،Hashing و Obfuscation

Leave a comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *