في مقالي لهذا اليوم أريد تسليط الضوء على موضوع يتناول الصراع بين حماية خصوصية المستخدمين عبر التشفير القوي وبين محاولات الحكومات للوصول إلى البيانات عبر الأبواب الخلفية بحجة الأمن القومي. في عالمنا اليوم، تشكل البيانات الرقمية جزءًا لا يتجزأ من حياتنا اليومية، تبرز معركة متزايدة بين الحكومات وشركات التكنولوجيا حول موازنة الأمن القومي مع خصوصية المستخدمين. وقد عاد هذا الجدل إلى الواجهة مؤخرًا بعد ورود تقارير تفيد بأن حكومة المملكة المتحدة تضغط على شركة “أبل” لإضعاف نظام التشفير في iCloud، مما قد يسمح للسلطات بالوصول المباشر إلى البيانات المخزنة. تستخدم الحكومة البريطانية في ذلك قانون صلاحيات التحقيق (Investigatory Powers Act – IPA)، الذي يمنحها سلطات واسعة لمراقبة البيانات الرقمية.

وفي قلب هذه القضية، يكمن مفهوم التشفير من البداية إلى النهاية (End-to-End Encryption – E2EE)، وهو نظام يحمي البيانات بحيث لا يمكن لأي جهة، حتى الشركة التي توفر الخدمة نفسها، الوصول إليها أو فك تشفيرها. وعلى الرغم من أن هذا النوع من التشفير يُعتبر من أقوى الطرق لحماية خصوصية المستخدمين، إلا أنه يثير مخاوف الحكومات وأجهزة إنفاذ القانون، التي ترى فيه عائقًا أمام التحقيقات الجنائية والأمنية. سأركز في مقالي هذا على المحاور التالية

• ما هي الأبواب الخلفية؟ ولماذا يمثل إدخال “باب خلفي” في التشفير خطرًا على المستخدمين؟
• ما هو قانون IPA الذي تعتمد عليه بريطانيا في مطالبتها؟
• كيف يعمل التشفير من البداية إلى النهاية؟

سنستعرض في هذا المقال المحاور الثلاثة أعلاه، محاولين فهم التداعيات الأمنية والتقنية لهذه القضية على مستقبل الخصوصية الرقمية.

المحور الأول.

ما هو الباب الخلفي للتشفير (Cryptographic Backdoor)؟

الباب الخلفي للتشفير هو ثغرة أو نقطة ضعف مخفية عمدًا في خوارزمية التشفير أو في برمجيات تستخدم التشفير، مما يسمح لطرف معين (مثل الحكومات أو الشركات المطورة) بتجاوز التشفير والوصول إلى البيانات المشفرة بدون معرفة مفتاح التشفير الأصلي.

يتم دمج هذه الأبواب الخلفية بطرق متعددة، مثل:

1. إضافة نقاط ضعف خفية في مولدات الأرقام العشوائية، مما يجعل المفاتيح أقل أمانًا ويمكن التنبؤ بها.
2. إدخال شفرة برمجية سرية في مكتبات التشفير، تتيح فك التشفير عند توفر مفتاح رئيسي خاص.
3. استغلال خوارزميات ضعيفة عمدًا بحيث يمكن للجهة المضافة للباب الخلفي كسرها بسهولة، بينما تظهر للآخرين كأنها آمنة.

هل يهدد الباب الخلفي خصوصية بيانات المستخدم؟

نعم، الباب الخلفي يشكل خطرًا كبيرًا على خصوصية المستخدمين وأمان بياناتهم للأسباب التالية:

1. التجسس والرقابة: يمكن للجهة التي تمتلك الوصول إلى الباب الخلفي التجسس على الاتصالات المشفرة مثل الرسائل الفورية، البريد الإلكتروني، والمكالمات الصوتية.
2. استغلاله من قِبل القراصنة: في حال اكتشاف القراصنة لهذا الباب، يمكنهم استخدامه للوصول إلى البيانات وسرقتها أو استغلالها.
3. تقويض ثقة المستخدمين: يؤدي وجود أبواب خلفية إلى تقليل الثقة في المنتجات الأمنية والتشفير بشكل عام، مما قد يدفع المستخدمين للبحث عن بدائل غير آمنة.
4. ضعف أمان المعلومات: حتى لو كان الهدف من الباب الخلفي هو “أغراض أمنية” مثل مكافحة الجريمة، إلا أن المخاطر المترتبة عليه تفوق الفوائد بكثير، لأنه يعرض جميع المستخدمين للخطر.

أمثلة على أبواب خلفية مشهورة في التشفير

أولاً: خوارزمية Dual_EC_DRBG: .

هي خوارزمية تعتمد على المنحنى الإهليلجي (Elliptic Curve) والتي تولد أرقامًا عشوائية باستخدام العمليات الرياضية الخاصة بالمنحنيات الإهليلجية. تُستخدم في إطار معيار NIST SP 800-90A (National Institute of Standards and Technology Special Publication) الذي يحدد خوارزميات توليد الأرقام العشوائية لتطبيقات الأمان.

الخوارزمية تعتمد على نقطة معينة على المنحنى الإهليلجي، وتستخدم معلومات خاصة لتوليد الأرقام العشوائية. لكن اكتُشفت لاحقًا أن هناك ثغرة رئيسية يمكن أن تتيح لجهات معينة (مثل NSA) الحصول على قيمة سرية تجعل من السهل كسر التشفير.

ما هو المنحنى الإهليلجي؟

المنحنى الإهليلجي (Elliptic Curve) هو نوع خاص من المنحنيات الرياضية التي تُستخدم في العديد من التطبيقات، وخاصة في علم التشفير، حيث يوفر مستوى عالي من الأمان مع مفاتيح تشفير أصغر مقارنة بالخوارزميات التقليدية مثل RSA.

 ثانياً: قضية Juniper Networks (2015):

وُجد باب خلفي في معدات الشبكات التي تصنعها الشركة، مما سمح لطرف غير معروف بالتجسس على البيانات المشفرة. واجهت الشركة جدلاً فيما يتعلق باستخدام بعض خوارزميات توليد الأرقام العشوائية مثل Dual_EC_DRBG، والتي ثبت لاحقاً أنها قد تحتوي على ثغرات تمكّن جهات معينة من التنبؤ بالأرقام العشوائية وبالتالي كسر التشفير.  تُظهر قضية Juniper Networks التي حدثت في عام (2015) كيف يمكن أن تؤدي ثغرات في البرمجيات الأمنية إلى فتح أبواب خلفية قد تُستغل للتجسس على البيانات المشفرة، وهو ما يضع ضوءًا على أهمية التدقيق المستمر والشفافية في تطوير أنظمة التشفير – وهي ممارسات أساسية لضمان الثقة في حلول الأمن السيبراني، كما شهدنا في بعض جدالات RSA Security وممارساتها في الماضي.

كيف تحمي نفسك من الأبواب الخلفية؟

1. استخدم برمجيات مفتوحة المصدر مثل Signal وProton Mail، حيث يمكن التحقق من الشفرة البرمجية للتأكد من عدم وجود أبواب خلفية.
2. تجنب الخوارزميات التي لها تاريخ في وجود ثغرات مقصودة.
3. تابع الأخبار الأمنية وتحليلات الخبراء حول تقنيات التشفير الآمنة.
4. استخدم حلول تشفير مستقلة وليست مملوكة لشركات قد تخضع لضغوط حكومية.

تعتبر الأبواب الخلفية في التشفير تشكل خطرًا على خصوصية المستخدمين وأمن البيانات، حتى لو كان الهدف منها توفير وصول للحكومات أو الجهات الأمنية. يجب على الأفراد والشركات استخدام تقنيات تشفير موثوقة ومفتوحة المصدر قدر الإمكان لتجنب هذه المخاطر.

المحور الثاني

قانون صلاحيات التحقيق في المملكة المتحدة (Investigatory Powers Act – IPA)

تشريع القانون وتاريخه:
تم إقرار قانون صلاحيات التحقيق (IPA) في المملكة المتحدة عام 2016، وهو يُعرف أيضًا باسم “ميثاق المتلصصين” (Snooper’s Charter) بسبب نطاقه الواسع في جمع البيانات ومراقبة الاتصالات الرقمية.

سبب التشريع:
جاء القانون كرد فعل على تزايد التهديدات الأمنية، مثل الإرهاب والجرائم الإلكترونية، وأيضًا بعد تسريبات إدوارد سنودن عام 2013، التي كشفت عن برامج المراقبة الجماعية التي تديرها وكالات الاستخبارات مثل وكالة الأمن القومي الأمريكية (NSA) والمقر الرئيسي للاتصالات الحكومية البريطاني (GCHQ). أرادت الحكومة البريطانية من خلال القانون تقنين وتوسيع سلطاتها في المراقبة لتعزيز قدرتها على مكافحة التهديدات الأمنية.

الغرض من القانون واستخداماته:
يمنح IPA 2016 الحكومة البريطانية وأجهزة الأمن والاستخبارات سلطات واسعة لمراقبة البيانات الرقمية، ويشمل ذلك:

1. إجبار مزودي الخدمات (مثل شركات الإنترنت والتكنولوجيا) على الاحتفاظ ببيانات المستخدمين لمدة تصل إلى 12 شهرًا، بما في ذلك سجلات تصفح الإنترنت، حتى دون اشتباه بارتكاب جريمة.
2. إلزام الشركات التقنية بإضعاف أنظمة التشفير أو إدراج “أبواب خلفية” تتيح للحكومة فك تشفير الرسائل والبيانات عند الحاجة.
3. السماح لأجهزة الاستخبارات البريطانية مثل GCHQ بالتنصت على الاتصالات واعتراضها بشكل واسع، سواء داخل المملكة المتحدة أو خارجها.
4. إمكانية اختراق الأجهزة والبرامج عن بُعد (Hacking Powers)، وهو ما يسمح للحكومة بالدخول إلى أجهزة الأفراد المستهدفين للحصول على بياناتهم.

الجدل حول القانون

أثار IPA انتقادات واسعة من قبل المنظمات الحقوقية، وشركات التكنولوجيا، وحتى المحكمة الأوروبية لحقوق الإنسان، حيث يعتبره كثيرون تهديدًا لخصوصية الأفراد وتوسيعًا غير مبرر لصلاحيات المراقبة الجماعية. كما أن بعض شركات التكنولوجيا، مثل أبل، ترفض الامتثال لبعض بنوده، خاصة تلك التي تتعلق بإضعاف التشفير.

المحور الثالث

التشفير من البداية إلى النهاية

يمكن تلخيص عملية التشفير من البداية إلى النهاية في الخطوات التالية:

1. إنشاء المفاتيح (Key Generation):
   1. التشفير المتماثل: يُولد مفتاح واحد سري يُشارك بين المرسل والمستقبل.
   1. التشفير غير المتماثل: يُولد زوج من المفاتيح؛ مفتاح عام يُوزع على الجميع ومفتاح خاص يحتفظ به المستلم فقط.
2. التشفير (Encryption):

يستخدم المرسل خوارزمية تشفير (مثل AES للتشفير المتماثل أو RSA للتشفير غير المتماثل) مع المفتاح المناسب لتحويل النص العادي (البيانات الأصلية) إلى نص مشفر (غير مفهوم).

• نقل البيانات (Transmission):

يُرسل النص المشفر عبر قنوات الاتصال (كالإنترنت). نظرًا لأن البيانات مشفرة، فإن أي اعتراض على هذه البيانات لا يكشف محتواها الأصلي.

• فك التشفير (Decryption):

عند استلام البيانات، يستخدم المستقبل المفتاح المناسب (المفتاح السري في التشفير المتماثل أو المفتاح الخاص في التشفير غير المتماثل) وخوارزمية فك التشفير لاستعادة النص الأصلي.