کارشناسان امنیت سایبری هشدار میدهند حزب کمونیست چین میتواند برای دسترسی به دادههای کاربران ناآگاه، از فرآیندی جهانی برای احراز هویت استفاده کند که ظاهراً امن است اما در واقع میتواند امن نباشد.
آنان میگویند با وجود آنکه روش رمزگذاری برای ایمنسازی دادههای دیجیتالی و محافظت از رایانهها ترجیح داده میشود، اما در برخی موارد، گواهینامههای دیجیتالی که برای برای احراز هویت در اینترنت استفاده میشوند، این امکان را برای رژیم چین به وجود میآورند که در شبکههای مختلف رایانهای نفوذ کند و خرابی به بار آورد.
نهادهایی در سراسر جهان که به عنوان «مراجع صدور گواهینامه» شناخته میشوند، گواهینامههای دیجیتالی صادر میکنند که هویت یک نهاد دیجیتالی در اینترنت را تأیید میکند.
اندرو جنکینسون، مدیرعامل شرکت امنیت مجازی سایبرسک اینویشن پارتنرز (CIP) و نویسنده کتاب «استاکسنتی برای آفتاب: ۲۰ سال سوءاستفاد دیجیتال و جنگ مجازی»، گواهینامه دیجیتال را با گذرنامه یا گواهینامه رانندگی مقایسه میکند.
جنکینسون به اپکتایمز گفت: «بدون آن، شخص یا دستگاهی که ازش استفاده میشود، نمیتواند مطابق استاندارهای صنعتی باشد و میتوان رمزگذاری دادههای حیاتی را دور زد و چیزی که به نظر میرسید رمزگذاری شده است، به صورت متن معمولی باقی میماند.»
از گواهینامههای دیجیتالی استفاده میشود تا ارتباطات داخلی و خارجی را رمزگذاری کنند و مانع از آن شوند که مثلاً یک هکر بتواند دادهها را رهگیری کند و به سرقت برد. اما جنکینسون میگوید گواهیهای نامعتبر یا «ناقض» میتوانند کل فرآیند رمزگذاری را دستکاری کنند و در نتیجه، «به میلیونها کاربر احساس امنیت کاذب داده میشود.»
لایههای اعتماد کاذب
مایکل دورن، معاون اجرایی شرکت امنیت مجازی گلوبال سایبر ریسک الالسی، میگوید معمولاً مراجع معتبر صدور گواهینامه، گواهیهای دیجیتال را صادر میکنند و همان سطح اعتمادی را که نسبت به خودشان وجود دارد، به ارائهکنندگان واسطه منتقل میکنند. با این حال، فرصتهایی برای یک نهاد کمونیستی (یک بازیگر بد) یا هر نهاد غیرقابل اعتماد دیگری فراهم میشود که برای افراد «شروری» گواهی صادر کنند که ظاهراً قابل اعتماد بهنظر میرسند اما نیستند.
دورن میگوید: «وقتی گواهی از نهادی معتبر صادر میشود، قابل اعتماد است. اما آنچه در واقع میتواند مشکلآفرین باشد این است که صادرکننده میتواند این اعتماد را به کسی منتقل کند که نباید مورد اعتماد قرار گیرد.»
دورن میگوید به این خاطر است که هرگز نمیتواند به یک مرجع صدور گواهینامه چینی اعتماد کند. او میگوید میداند تعدادی از شرکتها گواهیهای چینی را ممنوع کردهاند زیرا برای نهادهایی صادر شدهاند که قابل اعتماد نیستند.
جنکینسون میگوید مراجع چینی صدور گواهینامه بخش کوچکی از یک کل را تشکیل میدهند و گواهینامههایی که صادر میکنند معمولاً محدود به نهادها و محصولات چینی است.
در سال ۲۰۱۵، گواهیهایی که توسط مرکز اطلاعات شبکه اینترنتی چین (CNNIC) صادر شده بودند، زیر سؤال رفت. این مرکز نهادی دولتی است که بر ثبت نام دامنههای چینی نظارت میکند. گوگل و موزیلا با اطلاع از گواهینامههای غیرمجاز دیجیتالی که به چندین دامنه متصل شده بودند، گواهینامههای CNNIC را ممنوع اعلام کردند. هر دوی این شرکتهای اینترنتی به CNNIC اعتراض کردند که به شرکتی مصری اعتبار داده بود که گواهینامههای غیرمجاز صادر میکرد.
از سال ۲۰۱۶، موزیلا، گوگل، اپل و مایکروسافت مرجع چینی صدور گواهینامه، ووساین، و شرکت تبعه آن، استارتکام، را به دلیل رویههای امنیتی غیرقابلقبول ممنوع کردهاند.
جنکینسون یادآور میشود که بیشتر محصولات رایانهای چینی از گواهیهای دیجیتال چینی استفاده میکنند. بنابراین، کاربران چنین محصولاتی باید بدانند که با این کار ممکن است امنیت خود را به خطر بیاندازند.
مطالب دیگر:
با وجود نزدیک شدن آخرین مهلت واکسیناسیون، صدها هزار سرباز آمریکایی هنوز واکسینه نشدهاند
بایدن خواستار پیگرد قانونی افرادی شد که از احضاریههای ششم ژانویه سرپیچی میکنند