منذأيام والجدل قائم حول خطورة ثغرات أمنية كشفت في أدوات تشفير البريد الإلكتروني openPGP وS/MIME. وهي أنظمة تعتمد خوارزميات التشفير أو التعمية المتماثل symetric والتشفير أو التعمّية غير المتناظر Asymetricلتأمين حماية الخصوصية بمعياري التشفير AES: Advanced Encryption StandardAES وRSA بين المُرسِل والمُتلقي.
نظام التشّفير أو التعمّية openPGP ، هو النظام الأكثر شيوعا واستخداما من قبل الجمهور لتشّفير أو تعمّية البريد الإلكتروني. متوفر في أغلب برامج إدارة البريد الإلكتروني. إذ يكفي أن يثبت المستخدم Plug IN لبرنامج إدارة البريد الإلكتروني أو من خلال إضافة :
– Apple Mail with GPGTools – Outlook with Gpg4winThunderbird with Enigmail
أو Mailvelope … ، كذلك هنالك مجموعة من مزودي خدمة البريد الإلكتروني المشفر كـProtonmail و GMXCaramail الذين يقترحون خدمة التشفير والتعمّية.
أما تقنية التشفير الـS/MIME فهي تستخدم بشكل كبير في الشركات والمؤسسات، لما تحتاجه من بنى تحتية هامة ومكلفة لتوزيع شهادات مفاتيح التشفير للمستخدمين.
الثغرة الأمنية التي كشف عنهاSebastian Schnizel وزملاؤه ،أطلقوا عليها اسم Efail ، يبدو أنها من الثغرات المعروفة في أنظمة التشفير منذ عام 2000 وهي في كيفية تطبيق أنظمة التشفير وادماجها في برامج إدارة البريد الإلكتروني و ليست في البروتوكول بحد ذاته . غير أن أسلوب الهجمات التي كشفهاSchnizel وزملاؤه، هي التي اثارت ذعر الكثيرين. إذ بإمكان المهاجم اعتراض أي بريد الكتروني مشّفر والقيام بإدماج وسوم من لغة ترميز النص التشعبيHTML المستخدم لإنشاء صفحات ويب. والتي تتيحها اليوم برامج إدارة البريد الإلكتروني لتنسيق النصوص ووضع الروابط في البريد الإلكتروني.
أي يقوم المهاجم باعتراض البريد المشفّر وحقنه بعلامات أو وسوم لغة ترميز النص التشعبي، ومن ثم يعيد ارساله للمرسَل إليه. فيقوم هذا الأخير بفك تشّفير بريده الإلكتروني في برنامجه لإدارة البريد الإلكتروني. النص الذي تم فكّ تشّفيره، يرسل بشكل خفي للمهاجم بواسطة تلك العلامات او الوسوم التي تم ادماجها في شيفرة البريد الإلكتروني المشفّر.
حسب خبراء الأمن الذين كشفوا هذه الثغرة فإن أسلوب استخراج البيانات المشفرة يتم بطريقتين:
الطريقة الأولى: يقوم المهاجم بتغليف النص المشفر بوسم صورة. وعند فكّ تشّفير النص فإن برنامج إدارة البريد الإلكتروني سيفسر مجموعة الوسوم على أنها طلب صورة HTML، ويرسل للمهاجم المحتوى دون تشّفير.
ومن أصل 47 برنامج إدارة بريد الكتروني تمت تجربة أسلوب الاختراق هذا عليهم،17 منها معرضة لهذا النوع من الاختراق منها:
Apple Mail – Mail App –ThunderBird- Postbox- MailMate
الطريقة الثانية: مشابهة للطريقة الأولى لكنها أكثر تعقيدا إذ يقوم المهاجم بحقّن وسوم HTML مباشرة في النص المشّفر مستغلا هشاشة أمنية موجودة في بعض أنظمة التشّفير المستخدمة في PGP/GPG وS/MIME ، بحيث أن وسومHTML لا تظهر عند فك تشفير نص البريد الإلكتروني . ومن خلال هذا الأسلوب ينشئ قناة لاستخراج النص غير المشّفر. من مجموع 35 برنامج إدارة بريد الكتروني تمت تجربة أسلوب الاختراق هذا عليهم، 23 منها معرضة لهذا النوع من الاختراق عبر نظام التشفير S/MIME و10 من خلال نظام التشّفيرPGP/GPG .
بانتظار طرح الترقيعات لسّد هذه الثغرات، فإن الجدل والبلبلة حول خطورة أو عدم خطورة هذه الهفوات مستمرة بين خبراء الأمن والشركات المزودة لخدمة البريد الإلكتروني المشفر وأيضا بين المتخصصين في التشفير ;و أشهرهم ـBruce Schneier الذي أعتبر ان “استخدام هذا الأسلوب في اختراق البريد الإلكتروني المشفر ليس بمتناول الهاجم أو القرصان العادي وإنما من قدرات مؤسسات كوكالة الأمن القومي الأمريكية“.
أضاف Schneier أن هذا” الاكتشاف لا يعني أن تشفير البريد الإلكتروني أصبح مستحيلا بل هي هفوة بشرية، والهفوات البرمجية موجودة في كل البرامج المعلوماتية. الذين يستخدمون هذه الأدوات و الأنظمة لتشفير البريد الإلكتروني يمكنهم تعطيلها بانتظار صدور الترقيعات واستخدام تطبيقات التراسل سيغنال وتيليغرام بدلا عنها”.
NewsFrontPage 