إن عملية حماية البيانات الحساسة والشبكات والأنظمة هي من ضمن أكثر العمليات صعوبة التي تواجهها أي منظمة وقد تطورت آليات الحماية عبر السنوات وخصوصاً بالنسبة لآليات التشفير حيث أخذت تلك الآليات والخوارزميات تتطور عبر الزمن ويتم تحسينها بسبب تجاوز المخترقين لها في البدايات حتى وصلت اليوم لأعلى مستوى من التعقيد الذي يضفي طابع أمان أكبر على الأنظمة والبيانات ويمنع المتلاعبين من تجاوزها .
حددت الهيئة الوطنية للأمن السيبراني المعايير الوطنية للتشفير والتي تهدف إلى تحديد الحد الأدنى من المتطلبات المقبولة لتوفير درجة الحماية المطلوبة للبيانات والأنظمة والشبكات الوطنية باستخدام آليات التشفير للأغراض المدنية والتجارية ، وإلى تعزيز الاستخدامات الوطنية للتشفير للمساهمة في حماية الفضاء السيبراني على مستوى المملكة.
أهمية المعايير الوطنية للتشفير
- تعتبر هذه المعايير المرجع الرئيسي الذي حدد متطلبات الحد الأدنى للتشفير للأغراض المدنية والتجارية من :
- أساسيات التشفير التماثلية وغير التماثلية المقبولة
- تصاميم التشفير التماثلية وغير التماثلية المقبولة
- بروتوكولات التطبيقات الشائعة المقبولة ذات العلاقة بالتشفير
- البنية التحتية للمفاتيح العامة
- إدارة دورة المفاتيح
- تطبيق المعايير الوطنية للتشفير يساعد بشكل أساسي في :
- حماية البيانات عند تخزينها أو معالجتها أو نقلها
- حماية الأنظمة والشبكات الوطنية
نطاق المعايير الوطنية للتشفير
تطلب الهيئة الوطنية للأمن السيبراني من كافة الجهات الوطنية الالتزام بالحد الأدنى من متطلبات التشفير للأغراض المدنية أو التجارية وذلك بما يضمن استخدام أنظمة التشفير المناسبة من قبل هذه الجهات .
من المهم جداً ان يضمن الملتزمون بهذه المعايير التطبيق الصحيح والآمن لها وذلك لتفادي الثغرات الناتجة عن أخطاء التطبيق .
تحدد المعايير الوطنية للتشفير مستويين اثنين من مستويات القوة لمعايير التشفير وهي المستوى الأساسي MODERATE والمستوى المتقدم ADVANCED وذلك لضمان مرونة التنفيذ وكفاءته .
على كل جهة اختيار وتطبيق مستوى التشفير المناسب حسب طبيعة ومستوى حساسية البيانات والأنظمة والشبكات المراد حمايتها.
مكونات المعايير الوطنية للتشفير
تحدد المعايير الوطنية للتشفير ما يلي :
- أساسيات التشفير المقبولة Accepted Cryptographic Primitives والتي تشمل المفاتيح والكتل ومتجهات التهيئة لكل من :
- الخوارزميات المتماثلة Symmetric Algorithms : كخوارزميات التشفير الانسيابية والكتلية
- الخوارزميات غير المتماثلة ASSYMETRIC Algorithms
- دوال الاختزال Hash Function
- خوارزميات التشفير الخفيفة Lightweight Crypto Algorithms
- تصاميم التشفير المقبولة Accepted Cryptographic Schemes
- طرق عمليات التشفير Modes of operations
- رموز توثيق الرسائل MAC
- التشفير والتوثيق باستخدام البيانات المرتبطة AEAD
- دوال حماية المفاتيح KWF
- دوال اشتقاق المفاتيح KDF
- الاتفاق على المفاتيح ونقلها Key agreement and key transport
- تصاميم التشفير الهجينة Hybrid Encryption Schemes
- تواقيع المفاتيح العامة Public Key Signature
- متطلبات التشفير لبروتوكولات التطبيقات الأكثر شيوعاً:
تم تحديد المتطلبات الفنية المقبولة لقائمة من بروتوكولات التشفير شائعة الاستخدام يمكن الاطلاع على تلك البروتوكولات ضمن قسم الأسئلة الشائعة
- الخوارزميات والمتطلبات للشهادات وصلاحيتها
- متطلبات الخطوات المختلفة لدورة المفاتيح KEY LIFECYCLE : لضمان إدارة المفاتيح بشكل آمن من لحظة إنشائها حتى إتلافها ، ولضمان الاستخدامات المعيارية لها خلال العمليات والإجراءات اللازمة
- توليد الأعداد شبه العشوائية PRNG
- التشفير ما بعد الحوسبة الكمية Post-Quantum-Cryptography
- هجمات القنوات الجانبية Side channel Attacks:
تحديد مجموعة التدابير لتقليل مخاطر تلك الهجمات وهي :
- إجراء عمليات التشفير داخل مكونات الأجهزة المعتمدة
- إجراء تحليل شامل لآثار هذه القنوات الجانبية على مكونات الأجهزة
- حماية جميع البيانات المشفرة باستخدام رموز توثيق الرسائل MAC والتحقق من موثوقية البيانات المشفرة قبل إجراء أي عمليات تشفير أخرى.
كيف تستطيع شركة ريناد المجد لتقنية المعلومات (RMG) مساعدتك؟
نجحت شركة ريناد المجد لتقنية المعلومات (RMG) بأن تكون من أوائل الشركات التي استطاعت تطبيق المعايير الوطنية للتشفير عبر مجموعة من الخبراء و الاستشاريين، تقدم الشركة مجموعة من الخدمات والتي تتضمن :
- إجراء تقييم النضج.
- تطبيق المعايير الوطنية للتشفير
- تطوير السياسات والعمليات المتناسبة مع كل منشأة.
- تطوير مؤشرات الأداء.
- خدمات تأمين الحسابات.
- تقديم خدمات التدريب ونقل المعرفة
تواصل معنا اليوم وسنكون سعداء بخدمتك
الأسئلة المتكررة
تهدف المعايير الوطنية للتشفير إلى تحديد الحد الأدنى من المتطلبات المقبولة لتوفير درجة الحماية المطلوبة للبيانات والأنظمة والشبكات الوطنية باستخدام آليات التشفير للأغراض المدنية والتجارية ، وإلى تعزيز الاستخدامات الوطنية للتشفير للمساهمة في حماية الفضاء السيبراني على المستوى الوطني .
أولا ً : الخوارزميات المتماثلة
- خوارزميات التشفير الانسيابية : تتضمن
- SNOW 2.0 ( ISO/ IEC 18033-4)
- SOSEMANUK1 (eSTREAM)
- يجب أن يكون طول متجه التهيئة على الأقل 128 بت
- يجب استخدام متجه تهيئة مختلف لكل مفتاح
- يجب استخدام المفتاح مرة واحدة فقط
- فك التشفير بصورة صحيحة لا يعتبر وسيلة للتحقق من الموثوقية
- خوارزميات التشفير الكتلية
- AES(FIPS -197)
- Camellia( ISO/IEC 18033-3)
- Serpent
ثانياً : الخوارزميات غير المتماثلة
- RSA
- Diffie-Hellman
- ECDLP
ثالثاً : دوال الاختزال Hash Function
- SHA-2
- SHA-3
- دوال الاختزال يجب أن تكون مقاومة للانعكاس والتعارض ولإيجاد أصل الصورة
- بالنسبة لخوارزمية SHAKE128 يجب أن يكون حجم مخرجاتها d أكبر أو يساوي 256 بت
- بالنسبة لخوارزمية SHAKE256 يجب أن يكون حجم مخرجاتها d أكبر أو يساوي 512 بت
رابعاً : خوارزميات التشفير الخفيفة :
- خوارزميات التشفير الكتلية (ISO 29192-2) : PRESENT , CLEFIA
- خوارزميات التشفير الانسيابية(ISO 29192-3 ) : Enocoro , Trivium
- الخوارزميات غير المتماثلة (ISO 29192-4): Unilateral, ALIKE, Identity- based signature
- دوال الاختزال (ISO 29192-5) : PHOTON , SPONGENT, Lesamnta -LW
- رموز توثيق الرسائل MAC (ISO 29192-6) : Tsudik’S keymode, Chaskey12
- بروتوكول الانترنت الآمن IPsec
- بروتوكول طبقة النقل الآمنة TLS
- بروتوكول نظام اسم النطاق الآمن DNSSEC
- بروتوكول الاتصال الآمن عن بعد SSH
- بلوتوث Bluetooth
- نظام الاتصالات المتنقلة العالمية UMTS
- الجيل الرابع LTE
- الجيل الخامس 5G
- الوصول الآمن للشبكة اللاسلكية WPA
- بروتوكول كيربيروس Kerberos Protocol
- استخدام أجهزة وحدات التشفير
- يجب أن تكون المفاتيح الخاصة private key صالحة لمدة لا تزيد عن 5 سنوات للمستوى الأساسي
- يجب أن تكون المفاتيح الخاصة private key صالحة لمدة لا تزيد عن 3 سنوات للمستوى المتقدم
- استخدام برمجيات وحدة التشفير
- لا يسمح بأن تكون المفاتيح الخاصة صالحة لأكثر من سنتين للمستوى الأساسي
- غير مقبول للمستوى المتقدم
- إنشاء المفاتيح :
- يجب أن تكون المفاتيح السرية والخاصة غير معرضة للتنبؤ أو الانحياز
- يجب عدم استخدام المفاتيح الضعيفة
- تتطلب المفاتيح الخاصة والعامة توليد أعداد أولية مع خصائص رياضية إضافية
- تسجيل / تصديق المفاتيح :
- يجب ان يكون المفتاح مرتبطاً بصاحبه مع وجود شهادة لذلك
- يجب توزيع الشهادات الجذرية على الأطراف المعتمدة
- يجب استخدام هيئات شهادات موثوقة
- توزيع المفاتيح وتثبيتها:
- يجب توزيع المفاتيح على مستخدميها بطريقة آمنة وذلك بحماية سريتها وموثوقيتها
- يجب تثبيت وتخزين جميع نسخ المفاتيح بأمان
- يجب نقل المفاتيح العامة وحماية موثوقيتها باستخدام الشهادات
- يجب حماية المفاتيح الخاصة ومنح الصلاحيات من قبل المالك أو الطرف الثالث او هيئة الشهادات
- استخدام المفاتيح :
- يجب حماية المفاتيح ضد الاستخدام غير المصرح به منذ إنشائها وحتى إتلافها
- يجب حماية المفاتيح ضد إساءة الاستخدام من ملاك المفاتيح أنفسهم
- تخزين المفاتيح
- يجب على الجهات أن تحتفظ بنسخ احتياطية آمنة للمفاتيح في حال أن خوارزميات التشفير لا تزال مدعومة
- يجب ان تكون المفاتيح المستخدمة لغرض عدم الإنكار تحت التحكم الحصري من قبل المستخدم
- إلغاء المفاتيح والتحقق من صحتها :
- في الأنظمة الموزعة يجب اعتماد تدابير خاصة مثل الاعتماد على إصدارات محدثة لقائمة الشهادات الملغية وبروتوكول حالة الشهادة عبر الانترنت
- يجب التحقق من صحة المفاتيح عن طريق التأكد من خوادم قائمة الشهادات الملغية CRL وبروتوكولات حالة الشهادة عبر الانترنت OCSP
- أرشفة المفاتيح :
- يجب تأمين عملية أرشفة المفاتيح لضمان سريتها للحفاظ على سرية المعلومات المشفرة
- يجب أرشفة المفاتيح منتهية الصلاحية لضمان الوصول للبيانات القديمة
- يجب أن تتبع انظمة الأرشفة فترات الاحتفاظ وفقاً للتنظيمات ذات العلاقة
- إتلاف المفاتيح :
- يجب إزالة المفتاح من الجهاز بشكل آمن بحال لم تعد هنالك حاجة لتخزينه أو أرشفته
- يجب تنقية أنظمة تخزين الوسائط التي يتم حفظ المفاتيح فيها عند الإتلاف
- المحاسبة على المفاتيح
- يجب أن يكون هنالك محاسبة على جميع المفاتيح غير التماثلية
- يجب مراقبة استخدام المفاتيح غير التماثلية
- يجب أن يكون هنالك محاسبة على استخدام المفاتيح
