freedom-of-the-press-foundation

التشفير ينجح
كيف تحمون خصوصيتكم في عصر مراقبة “وكالة الأمن القومية” الأميركية
التشفير ينجح. أنظمة التشفير القوية، المنفذة بشكل صحيح هي واحدة من الأشياء القليلة التي يمكنكم الاعتماد عليها. للأسف، أدوات الأمن التي تستخدم على حواسيب المستخدمين ضعيفة بشكل رهيب، إلى حد أن “وكالة الأمن القومي” يمكنها أن تلتف حولها بشكل اعتيادي.
– تلك كانت إجابة إدوارد سنودن على الأسئلة الحية من خلال موقع الجارديان
“وكالة الأمن القومي” هي أكبر وكالة تجسس وأفضلها تمويلاً في العالم على الاطلاق. تنفق الوكالة المليارات والمليارات من الدولارات كل عام، باذلة كل ما تستطيع لسحب محتوى الاتصالات الرقمية من معظم البشر على هذا الكوكب، ممن لديهم إمكانية الوصول إلى الإنترنت وشبكة الهاتف. وكما تظهر التقارير الأخيرة في صحيفتي الغارديان وواشنطن بوست، حتى الاتصالات الأمريكية المحلية ليست في مأمن من شراك “وكالة الأمن القومي”.
المدافعة عن أنفسكم بوجه “وكالة الأمن القومي”، أو أي وكالة استخبارات حكومية أخرى، ليست بسيطة، وهي ليست مشكلة يمكن حلها عن طريق تحميل التطبيق وحسب. ولكن بفضل العمل المتفاني من تقنيي التشفير المدنيين ومجتمع البرمجيات الحرة والمفتوحة المصدر، لا يزال من الممكن التمتع بالخصوصية على شبكة الإنترنت، والبرمجيات المطلوبة للقيام بذلك متاحة مجاناً للجميع. هذا الأمر مهم بشكل خاص للصحفيين التي يتواصلون مع المصادر عبر شبكة الانترنت.

نموذج التهديد
“وكالة الأمن القومي” خصم قوي. إذا كنتم هدفاً مباشراً للوكالة، عليكم تكلف عناء كبيراً للتواصل بشكل يضمن خصوصيتكم حتى لو لم تكونوا مستهدفين من قبلها، فالمليارات من مستخدمي الإنترنت الأبرياء يعلقون في شباكها. يمكن لتغيير بعض الممارسات البرمجية الأساسية منحكم قدراً كبيرا من الخصوصية، حتى لو لم يؤمن لكم ذلك الأمن ضد الهجمات الموجهة من قبل حكومة الولايات المتحدة الأميركية. تستكشف هذه الورقة الأساليب التي يمكن استخدامها في كلتا الحالتين.
في حين تهدف الأدوات والنصائح في هذه الورقة إلى حماية خصوصيتكم من أساليب “وكالة الامن القومي” لجمع المعلومات، يمكن استخدام النصيحة نفسها لزيادة أمن حاسوبكم ضد أي خصم. من المهم أن نتذكر أن الحكومات الأخرى، بما في ذلك الصين وروسيا، تنفق مبالغ ضخمة من المال على معدات المراقبة العالية التقنية الخاصة، وهي تعرف بشكل خاص باستهدافها الصحفيين والمصادر. في الولايات المتحدة، يمكن لتدابير الأمن الرقمي السيئة أن تكلف المخبرين حريتهم، ولكن في البلدان الأخرى، يمكن أن تكلف كل من الصحفيين والمصادر حياتهم. ويوضح مثال حديث من سوريا كيف أن الإهمال في الأمن الرقمي يمكن أن يأتي بنتائج مأساوية.

أنظمة التشفير
اكتشفنا شيئاً. أملنا الوحيد ضد الهيمنة الكاملة. أمل يمكننا أن نستخدمه بمساعدة الشجاعة، والبصيرة، والتضامن في سبيل المقاومة. إنها خاصية غريبة من الكون المادي الذي نعيش فيه.
الكون يؤمن بالتشفير.
فتشفير المعلومات أسهل من فك تشفيرها.
– جوليان أسانج، في مقدمة “متمردو التشفير: الحرية ومستقبل الإنترنت”.
التشفير هو عملية أخذ رسالة عادية ومفتاح تم إنشاؤه بشكل عشوائي، والقيام بعمليات حسابية باستخدام الاثنين حتى يكون كل ما يتبقى نسخة مشفرة من الرسالة، مخلوطة ببعضها البعض. فك التشفير هو أخذ النص المشفر والمفتاح الصحيح والقيام بعمليات حسابية إضافية حتى يتم استرداد النص العادي. ويسمى هذا المجال الترميز. خوارزمية التشفير، والعمليات الحسابية التي يجب القيام به وكيفية القيام بها، تسمى الشيفرة.
لتشفير شيء ما، تحتاجون إلى المفتاح الصحيح، كما تحتاجون إلى المفتاح الصحيح لفك تشفيره أيضاً. إذا تم تنفيذ التشفير بشكل صحيح، وإذا كانت العمليات الحسابية سليمة، والمفاتيح آمنة، فكل قوة الحوسبة على وجه الأرض مجتمعة لا يمكنها كسر هذا التشفير.
نحن نبني أنظمة التشفير التي تعتمد على مسائل في الرياضيات التي نعتقد أنها صعبة، مثل الصعوبة في تحليل الأعداد الكبيرة إلى عوامل أولية. إلا إذا كانت هناك اختراقات رياضية تجعل من هذه المشاكل أسهل، و”وكالة الأمن القومي” تبقيها بالسر عن بقية العالم، فإن كسر التشفير الذي يعتمد على هذه الأنظمة لتحقيق الأمن غير مجد.
يجب أن يكون تصميم أنظمة التشفير والشيفرات نفسها علنية تماماً. الطريقة الوحيدة للتأكد من أن الشيفرات نفسها ليس فيها عيب كبير هي بنشر طريقة عملها، وأن يكون لدينا العديد من العيون للتدقيق في تفاصيلها، وتعريضها لهجمات للعمل على الثغرات التي تتخللها. طريقة العمل الداخلية لمعظم التشفير الذي نستخدمه بشكل يومي، مثل HTTPS، وهي التكنولوجيا التي تجعل من الممكن كتابة أرقام بطاقات الائتمان وكلمات السر بأمان في استمارات على شبكة الإنترنت، هي علنية تماماً. أي مهاجم يعرف كل التفاصيل حول عمل التشفير، يجب أن يفشل في كسره. التشفير الذي يكون ملكاً خاصاً، والذي يكون “كود” برمجته سرياً، لا يمكن الوثوق بأمانه.
وهنا سؤال مهم أن نطرحه عند تقييم أمن أي خدمة أو تطبيق يستخدم التشفير: هل من الممكن لمزود الخدمة نفسه التحايل على التشفير؟ إذا كان الأمر كذلك، لا يمكن أن تثقوا بأمن الخدمة. العديد من الخدمات مثل “سكايب” و”هشميل” تعد بالتشفير من حاسوب المرسل إلى حاسوب المتلقي، ولكن في كثير من الأحيان، يكون للقيّيمن على الخدمة أنفسهم مفاتيح فك تشفير المنتَج. التشفير من الحاسوب إلى الحاسوب يعني أن مزود الخدمة لا يمكن أن يطلع على اتصالاتكم حتى لو أراد ذلك.
وثمة حقيقة أخرى المهم معرفتها عن التشفير وهي أنه يمثل أكثر بكثير من حماية خصوصية الاتصالات. إذ يمكن استخدامه كتوقيع رقمي على الرسائل، بطريقة تثبت أن الرسالة صادرة عن الشخص المتوقع أنه أرسلها. ويمكن استخدام التشفير لبناء العملات الرقمية مثل “بت كوين” Bitcoin، كما يمكن استخدامه لبناء شبكات لتجهيل الهوية مثل “تور”.
ويمكن أيضاً أن يستخدم التشفير لمنع الناس من تثبيت تطبيقات “آي فون” التي لم تأتِ من المتجر “آبل”، ولمنع الناس من تسجيل الأفلام مباشرة من “نيتفليكس”، بالإضافة إلى منع الناس من تثبيت “لينكس” على الحاسوب اللوحي “ويندوز 8”. ويمكن أن تستخدم أيضاً لمنع المهاجمين عبر طريقة “رجل في الوسط ” من إضافة البرجيات الخبيثة إلى تحديثات البرامج الشرعية.
باختصار، يشمل التشفير مجموعة كاملة من الاستخدامات، ولكن هنا نحن نركز على الكيفية التي يمكننا استخدامها للتواصل بشكل آمن وخاص.

برمجيات يمكنكم أن تثقوا بها
عندما يستخدم سنودن مصطلح الأمن عند نقاط الاتصالSecurity) Endpoint) فهو يشير إلى أمن جهازي الحاسوب على جهتي المحادثة، اللذين يقومان بالتشفير وفكه، على عكس أمن الرسالة عندما تكون في حالة العبور. إذا بعثتم برسالة إلكترونية مشفرة إلى أحد الأصدقاء ولكن في الوقت نفسه لديكم راصد ضربات المفاتيح على حاسوبكم يسجل الرسالة بالكامل، بالإضافة إلى جملة المرور التي تحمي مفاتيح التشفير، فإن التشفير الذي تقومون به لا يستحق العناء.
منذ أن نشر عضوا مجلس إدارة “مؤسسة حرية الصحافة” غلين غرينوالد ولورا بويتراس قصص مصيدة مراقبة “وكالة الأمن القومي”، تم الإعلان عن الكثير من المعلومات الإضافية حول وكالات التجسس الأميركية. على وجه التحديد، كتب موقع “بلومبرغ” عن برامج طوعية لتبادل المعلومات بين الشركات الأميركية ووكالات تجسس أميركية.
حتى الآن، الاكتشاف الذي يشكل الصدمة الأكبر حول برامج تبادل المعلومات هذه هو أن”مايكروسوفت” لديها سياسة إعطاء معلومات عن نقاط الضعف في برامجها لحكومة الولايات المتحدة قبل أن تطلق تحديثات أمنية للجمهور. يذكر المقال:
شركة “مايكروسوفت”، أكبر شركة برمجيات في العالم، تزود وكالات الاستخبارات بمعلومات عن الثغرات في برامجها التي تتمتع بشعبية قبل أن تصدر التصليحات علناً، وفقًا لشخصين مطلعين على العملية. ويمكن استخدام هذه المعلومات لحماية أجهزة الحاسوب الحكومية أو النفاذ إلى أجهزة حاسوب الإرهابيين أو الخصوم العسكريين.
ويعني ذلك أنه من المرجح أن يكون قد تم تسليم “وكالة الأمن القومي” مفاتيح لأي حاسوب يعمل بنظام التشغيل “ويندوز” أو برامج “اوفيس” أو “سكايب” أو أي برامج أخرى من “مايكروسوفت”. إذا كنتم تشغّلون هذه البرمجيات على حاسوبكم، فمن المحتمل أنه مع الجهد الكافي، قد تكشف “وكالة الأمن القومي” حاسوبكم، وبالتالي اتصالاتكم المشفرة، إذا أصبحت هدفاً.
أيضاً، تفيدنا صحيفة “نيويورك تايمز” بأن “سكايب”، البرنامج الذي كان يُعرف خارج مجتمع الأمن الرقمي لفترة طويلة بأنه وسيلة آمنة للاتصال، كان يسلم المحادثات الخاصة إلى حكومة الولايات المتحدة على مدى السنوات الخمس الماضية على الأقل.
“سكايب”، خدمة الاتصال الهاتفي عبر الإنترنت، بدأت برنامجها السري الخاص، “مشروع الشطرنج”، لاستكشاف المسائل القانونية والتقنية في جعل مكالمات “سكايب” متاحة بسهولة لوكالات الاستخبارات والموظفين المكلفين بإنفاذ القانون، وفقاً لأشخاص مطلعين على البرنامج، طلبوا عدم الكشف عن اسمهم لتجنب المتاعب مع وكالات الاستخبارات.
“مشروع الشطرنج”، الذي لم يتم الكشف عنه سابقاً، كان صغيراً، يقتصر على أقل من عشرة أشخاص داخل “سكايب”، وتم تطويره بينما كانت الشركة تخوض محادثات مثيرة للجدل في بعض الأحيان مع الحكومة حول قضايا قانونية، كما قال أحد الأشخاص المطلعين على المشروع. بدأ المشروع قبل نحو خمس سنوات، قبل أن تباع معظم الشركة من قبل المؤسسة الأم، “إي باي”، لمستثمرين خارجيين في العام 2009. حصلت “مايكروسوفت”على “سكايب” في صفقة قيمتها 85 مليار دولار، تمت في تشرين الأول/ أكتوبر 2011.
ونفى مسؤول تنفيذي من “سكايب” في تدوينة العام الماضي أن تكون التغييرات في طريقة إدارة “سكايب” قد تمت بناء على طلب من “مايكروسوفت” لجعل التجسس أسهل لأجهزة إنفاذ القانون. ولكن على ما يبدو، فإن “سكايب” اكتشفت كيف تتعاون مع أجهزة الاستخبارات قبل أن تسيطر “مايكروسوفت” على الشركة، وفقاً لوثائق سربها إدوارد ج. سنودن، وهو متعاقد سابق مع “وكالة الأمن القومي”. إحدى الوثائق حول برنامج “بريزم” الذي كشف للجمهور من قبل السيد سنودن تقول إن “سكايب” انضمت لـ”بريزم” في 6 شباط/ فبراير 2011.
البرمجيات الاحتكارية، مثل الكثير مما صدر عن “مايكروسوفت”، و”آبل”، و”غوغل”، لديها عيب آخر. يصعب أكثر على المستخدمين التحقق بشكل مستقل من أن الأبواب الخلفية السرية لا يتم إيجادها بناء على الطلبات السرية لدولة المراقبة. على الرغم من أن التقارير الأخيرة أظهرت أن العديد من الشركات يسلم كمية غير معروفة من المعلومات بناء على طلبات بحسب “قانون مراقبة الاستخبارات الأجنبية” (FISA)، لم يتبين أن أي من هذه الشركات لديها أبواب خلفية مباشرة في أنظمتها.
هناك برامج أخرى موثوقة في هذا الصدد. البرمجيات الحرة والمفتوحة المصدر (بإمكانكم القراءة عن البرمجيات مفتوحة المصدر بالعربي من هنا) ليست دائماً سهلة الاستعمال وليست دائماً آمنة. ولكن عندما يتم تطويرها بشكل مفتوح، مع أنظمة مفتوحة لتتبع الثغرات، وقوائم بريدية مفتوحة، وهياكل تحكّم مفتوحة، و”كود” مفتوح المصدر، يصبح أكثر صعوبة على المشاريع أن تكون لديها سياسة لخيانة مستخدميها مثلما تفعل “مايكروسوفت”.
“جي إن يو/ لينكس” نظام تشغيل يتألف كلياً من البرمجيات الحرة والمفتوحة المصدر. تشمل أمثلة من نسخ “جي إن يو/ لينكس” “أوبونتو“، “ديبيان“، و”فيدورا كور“، وهي البرمجيات الحرة، البديلة لـ”ويندوز” و”ماك أو إس”، الأكثر شعبية. (بإمكانكم القراءة عن نظام التشغيل لينوكس بالعربي من هنا)
بينما يمكن أن تشمل البرمجيات الحرة “كود” خبيث، (انظروا(Underhanded C Contest ، يحتاج الشخص الذي يكتب “الكود” البرمجي إلى إخفاء “الكود” الخبيث بذكاء وأن يأمل ألا يلاحظها أي من المطورين الآخرين، أو الأشخاص الذين يعملون في أسفل السلسلة على صيانة حزمة “جي إن يو/ لينكس” الذين يعدون “الكود” المصدري ويجمعونه لمشاريع يتم شملها في نسخ نظام التشغيل.
في التسعينات، عندما كان التشفير المدني يكتسب شعبية وكانت حكومة الولايات المتحدة تفعل كل ما في وسعها لمنعه، ولدت حركة “سايفر بانك” “Cypherpunk” والتي يمكن ترجمة اسمها كـ”متمردو التشفير”. العديد من البرمجيات التي هدفت إلى تحقيق التشفير للشعب، نمت من تلك الحركة.
يكتب أعضاء “سايفر بانك” “الكود” البرمجي. نعلم أن على أحد ما كتابة البرمجيات للدفاع عن الخصوصية، ونظراً لأننا لا يمكن أن نحصل على الخصوصية إلا إذا قمنا جميعنا بذلك، سنقوم بكتابته. ننشر “الكود” الذي طورناه لكي يتمكن إخواننا “السايفر بانك” من التمرن عليه واللعب به. “الكود” الذي طورناه هو لنستخدمه جميعاً مجاناً، في كل العالم. لا نهتم كثيراً إذا كنتم لا توافقون على البرمجيات التي نكتبها. نعلم أن البرمجيات لا يمكن تدميرها وأن نظاماً متفرقاً على نطاق واسع لا يمكن إيقافه.
– إريك هيوز، في بيان “سايفر بانك” 1993
هذا “الكود”، وهو مفتوح وعام بحيث يمكن لأي زميل في “سايفر بانك” التمرن عليه واللعب به، والذي يمكن لأي شخص في العالم استخدامه بشكل مجاني، هو أساس البرمجيات والبروتوكولات التي يمكن أن نثق بها: TLS (التشفير الذي يغذي HTTPS)، LUKS (تشفير القرص المدمج في “جي إن يو/ لينكس”)، OpenPGP، “خارج السجل” Off-the-record، و”تور”.
قامت “تاكتيكال تكنولوجي كولكتف” (Tactical Technology Collective) ببناء دليل رائع للبرمجيات المفتوحة المصدر التي يمكنكم الثقة بها لإبقاء محادثاتكم الخاصّة خفيّة على المراقبين. من المهم التذكّر أنّ الاكتفاء باستخدام هذا البرنامج، وحتّى استخدامه بشكل جيّد، لا يكفل أمن تشفيركم. مثلاً، نحن لا نعرف إذا ما أقدمت “أبل” على تسليم ثغرات “زيرو داي” (zero day) من أيوس “iOS”لـ”وكالة الأمن القومي” كما فعلت “مايكروسوفت”. “تشات سيكيور” (ChatSecure)التي تمكنكم من تشفير محادثاتكم على أجهزة “iOS”، مستوى أمنها بمستوى أمن نظام التشغيل الذي يشغّلها.
من المهمّ التذكّر أن مجرّد استخدامكم برامج مجانيّة لا يحمي أجهزتكم من الاختراق. المخترقون يقومون دائماً باكتشاف ثغرات“zero day” للبرامج المجانية، وأحياناً يقومون ببيعها للحكومات ومخترقين آخرين. مستخدمو البرامج المجانيّة ما زالوا يقومون بتنزيل المرفقات الخبيثة في بريدهم الإلكتروني، وما زالوا في أغلب الأحيان يمتلكون خدمات معدّة بطريقة سيّئة تتيح استغلال خدمات حاسوبهم. والأسوأ هو أنّ الملفّات الخبيثة غالباً ما تكون جيّدة في الإختباء. إذا قام مستخدم البرامج المجانيّة بإدخال برامج خبيثة على حاسوبه، فإنّها على الأرجح ستبقى هناك حتى يقوم المستخدم بتهيئة القرص الصلبFormat) ).
“تايلز” (Tails) (بإمكانكم القراءة عنه بالعربي من هنا) هو نسخة من نظام التشغيل “لينكس” يمكن وضعها على قرص إقلاع “دي في دي” وقرص “يو إس بي” ولا تحتاج إلى التثبيت. سوف أشرح عنه تفصيليّاً في الأسفل وهو يحلّ كثيراً من هذه المشاكل.

إخفوا موقعكم مع “تور”
“تور” (بإمكانكم القراءة عنه من هنا وهنا وهنا) برنامج خدماتي يسمح لكم باستعمال الإنترنت بشكلٍ يتيح إخفاء عنوانكم الإلكتروني(IP) الذي غالباً ما يمثّل مكان تواجدكم الفعلي بشكل دقيق. شبكة “تور” مؤلّفة من أكثر من 3600 خادم تعود إلى متطوعين، تسمى “العُقد” (Nodes). عندما يقوم أحدهم باستعمال شبكة “تور” لزيارة موقع الكتروني فإنّ اتصالاته يتمّ تمريرها عبر ثلاث عقد (تسمّى بالدوائر) قبل وصولها الى الانترنت العادي. أيّ شخص يعترض اتصالاتكم سوف يظنّ أنّ موقعكم هو مكان العقدة الأخيرة التي مرّ عبرها اتصالاتكم.
من المهم التذكر أن مجرد كون اتصالاتكم غير معروفة المصدر، لا يجعلها آمنة. “منظمة الحدود الالكترونية” EFF نفذت “إنفوغرافيك” جيّد للتعبير عن طريقة تعاون “تور” وHTTPS لحماية خصوصيتكم.
كما كلّ أدوات التشفير الجيّدة، تور مجّاني، ومتكامل مع “open bug tracker“، ولوائح بريد الالكتروني و“كود” المصدر.
“تايلز” نسخة من “جي إن يو/ لينوكس” تفرض على كلّ مستخدمي شبكة الانترنت أن يمرّوا عبر شبكة “تور”.
ان دليل الوثائق لـ”Tails” توزيع GNU / لينوكس الحي يقول التالي عن خصومهم العالميين:
من شأن العدو العالمي الذي يراقب دون أن يتحرك أن يكون شخصاً أو كياناً قادراً على رصد حركة المرور بين كل أجهزة الحاسوب في الشبكة، في الوقت نفسه. على سبيل المثال، من خلال دراسة توقيت الاتصالات عبر الشبكة وحجمها، سيكون من الممكن إحصائياً تحديد دوائر “تور” وبالتالي مطابقة مستخدمي “تور” والخوادم التي تتوجه إليها حركة الانترنت.
ما زلنا لا نعلم ما إذا كانت “وكالة الأمن القومي” الأميركية أو نظيرتها البريطانية “جي سي إتش كيو” تعدّ عدواً عالمياً، ولكننا نعرف أنهما تراقبان جزءاً كبيراً من شبكة الإنترنت. إنه من المبكر جداً معرفة على وجه اليقين كيف يمكن لهذه الوكالات الاستخباراتية هزيمة قوّة إخفاء شبكة “تور”.
حتى لو كان في وسع هذه الوكالات القيام بذلك، فإن استخدام “تور” لا يزال يعطينا العديد من المزايا، إذ يجعل عملها أكثر صعوبة، ومن خلاله نترك على الخوادم التي نتصل بها من خلال شبكة “تور” بيانات خاصة بنا أقل بكثير، مقارنة بما نتركه من خلال الخوادم العادية. يجعل “تور” من الصعب جداً تعرضكم لهجوم MITM في الشبكة المحلية لدينا أو على مستوى مزود خدمة الانترنت. وحتى إذا كان يمكن هزم بعض دوائر “تور” من قبل العدو العالمي، إذا كان هنالك ما يكفي من الناس يمرّون من خلال توجيه اتصالاتهم من خلال عقد “تور” نفسها، في الوقت نفسه، قد يكون من الصعب على العدو أن يعلم أيّ مستخدم ينتمي الى أي من الدوائر.
أسهل طريقة للبدء في استخدام “تور” هي بتنزيل حزمة متصفح “تور” وتثبيتها.
01-torbrowser
عندما كان سنودن يجيب على الأسئلة على موقع “غارديان” من خلال اتصال إنترنت آمن، كان على الأرجح يُمرّر اتصالاته عبر شبكة “تور”. من المرجح أنّه كان يستعمل أيضاً عقدة “Bridge” للاتصال بشبكة “تور”. كلّ هذا لكي يحمي نفسه ويخفي استعماله “تور” عن المتنصتين.

التشفير بواسطة “أو تي آر” (OTR – Off-the-Record)
OTR هي طبقة من التشفير يمكن إضافتها الى أي نظام محادثة، بشرط أن يكون بإمكانكم التواصل مع ذلك النظام عبر برنامج دردشة يدعم OTR مثلاً: Pidgin أو Adium.
يُستعمل OTR لهدفين: تشفير محتوى الدردشات والتحقّق من هوية الشخص الذي تتحادثون معه. التحقّق من هوية الشخص الذي تتحادثون معه أمر في بالغ الأهمّية والكثير من مستخدمي OTR ينسون القيام به. OTR أكثر سهولة في الاستخدام مقارنةً مع برامج أخرى تستعمل التشفير عبر المفتاح العام(Public Key Encryption) ، ولكن إذا أردتم استخدام OTR بشكل آمن، فعليكم أن تفهموا طريقة عمله وما هي الهجمات الممكنة ضده.

مزوّدو الخدمات و”جابر” (Jabber)
استعمال OTR فقط يشفّر محتوى محادثاتكم ولا يمس البيانات الوصفيّة المتعلّقة بها. هذه البيانات تشمل من تتكلّمون معه، متى تكلمتم وعدد المرات التي تكلّمتم فيها. لذا، أنصحكم باستعمال خدمة، معروف عنها عدم تعاونها مع وكالات المخابرات. على الرغم من أنّ هذا لا يحمي بياناتكم الوصفيّة ولكن على الأقل سيكون لديكم فرصة أن تبقى خاصّة.
أقترح أيضاً استخدام خدمة XMPP المعروفة أيضاً بـ Jabber. مثل البريد الإلكتروني، Jabber هو بروتكول مفتوح المصدر وتطوره عدة جهات. فمستخدمو خدمة Jabber في riseup.net يمكنهم محادثة مستخدمي خدمة jabber.ccc.de وكذلك مستخدمي خدمة jabber.org.

برنامج دردشة يدعم OTR
لاستخدام OTR عليكم تنزيل برمجية. إذا كنتم تستعملون “ويندوز” يمكنكم، بشكل مستقل، تنزيل Pidgin وملحق OTR وتثبيتهما. (بإمكانكم القراءة عن بيدجن بالعربي من هنا). إذا كنتم تستخدمون GNU/Linux يمكنكم تنزيل حزم Pidgin وPidgin-otr وتثبيتها. يمكنكم قراءة الوثائق حول طريقة تثبيت حسابكم على Pidgin مع OTR. إذا كنتم تستخدمون نظام تشغيل Mac OS يمكنكم تنزيل Adium وتثبيته، وهو برنامج دردشة مجاني يدعم OTR. يمكنكم قراءة الوثائق الرسمية عن طريقة تثبيت تشفير OTR مع Adium.
هنالك أيضاً برامج دردشة تدعم Jabber وOTR للهواتف والحواسيب اللوحيّة. لنظام Android هنالك التطبيق Gibberbot ولـ iOS هناك ChatSecure. (بإمكانكم القراءة عنه بالعربي من هنا)

مفتاحكم
عندما تبدؤون باستخدام OTR، يولّد برنامج الدردشة مفتاح تشفير ويخزنه في ملف في المجلّد الرئيسي للمستخدم على القرص الصلب. إذا ضاع حاسوبكم أو هاتفكم الذكي، أو سرقا أو أصيبا ببرمجية خبيثة، فمن المحتمل أن يكون مفتاح OTR الخاص بكم قد سرق. إذا حصل ذلك، فالمهاجم السيء النيّة لديه الآن السيطرة على مخدم Jabber الذي تَملكونه ويستطيع أن يقوم بهجوم “Man-In-The-Middle” أو “رجل في الوسط”، حيث يقوم المهاجم بتلقي معلومات من الطرفين وإيهام كل طرف بأنه الطرف الآخر، على الرغم من أنّكم تتحادثون مع شخص كُنتم قد تحقّقتم من هويّته من قبل.

جلسات
إذا أردتم استعمال OTR للتكلم بخصوصيّة مع أصدقائكم، فمن المفروض منهم أن يستعملوه ايضاً. تحتاج الجلسة المشفّرة بين شخصين إلى مفتاحي تشفير. على سبيل المثال، إذا كنتم أنتم وصديقكم قد سجلتم دخولكم في دردشة “فيس بوك” مستعملين Adium أو Pidgin وقد أعددتما كلاكما OTR، فذلك يمكّنكما من التحادث بخصوصية. ولكن إذا كنتما قد سجلتما دخولكما باستخدام برامج دردشة، تستعمل Pidgin أو Adium وكان صديقكم يتحادث مباشرةً من متصفّح الشبكة من موقع Facebook.com، فذلك يمنع حصول محادثة خاصّة مشفّرة بينكما.
إذا أردتم استعمال خدمات “فيس بوك” أو “غوغل” للتحادث مع رفاقكم، ننصح بتعطيل المحادثة من واجهة الويب لتلك الخدمات واستعمال Adium وPidgin فقط للتواصل. وننصح أيضاً بأن تشجّعوا أصدقاءكم على القيام بالشيء ذاته.
عندما تبدؤون بجلسة مشفّرة عبر OTR، سيظهر لكم برنامج الدردشة التالي:
محاولة البدء بمحادثة مشفّرة مع username@jabberservice…
محادثة، لم يتم التحقّق من هويّة الطرف الآخر فيها، بدأت مع username@jabberservice/Chatclient
إذا كنتم قد تحقّقتم سابقاً من بصمة OTR العائدة إلى الشخص الذي تتكلّمون معه فالجلسة ستبدأ كما يلي:
محاولة البدء بمحادثة مشفّرة مع username@jabberservice…
محادثة، تم التحقّق من هويّة الطرف الآخر فيها، بدأت مع username@jabberservice/Chatclient
عندما تبدؤون جلسة OTR جديدة، يتبادل برنامج OTR لديكم ولدى صديقكم مجموعة من الرسائل للاتفاق على مفتاح تشفير جديد للجلسة. هذا المفتاح المؤقت، الذي يعلمه البرنامجان على طرفي الدردشة، لا يتم ارساله أبداً على الانترنت وسوف يستعمل لتشفير الرسائل وفك تشفيرها. عندما تنتهي الجلسة، ينسى كلا برنامجي المحادثة المفتاح. وإذا بدأتم محادثة جديدة مع الشخص ذاته لاحقاً، فالبرنامجان سوف يتفقان وينتجان مفتاح جلسة جديد.
بهذه الطريقة، حتى ولو كان هناك متنصّت يسجل كلّ محادثاتكم المشفّرة عبر مفتاح OTR (يجب العلم أنّ “وكالة الأمن القومي” لديها الحق بالتنصت على كلّ مخابراتكم حتّى لو كنتم مواطنين أميركيّين وحتى لو لم يكن لديها سبب للشكّ فيكم) ولاحقاً حصل المتنصت على هذا المفتاح، لا يمكنه استعماله لفكّ تشفير محادثاتكم السابقة.
هذه الخاصية تسمّى بـ “Forward Secrecy” (يمكن ترجمة الاسم بـ”السرية المستمرة”) وهي إحدى ميزات OTR، على عكس PGP الذي لا يملكها. إذا تمّت سرقة مفتاحي برنامجPGP الخاص بكم (سوف نتكلم مزيداً عن هذه الأمور بعد قليل) وكان لدى المهاجم إمكانيّة الدخول لرسائلكم المشفّرة عبر هذا البرنامج، يصبح بإمكانه فكّ تشفير كلّ رسائلكم. اقرؤوا المزيد عن طريقة عمل “Forward Secrecy” ولماذا يجب أن تستعمله كلّ مواقع الانترنت. الخبر الجيّد هو أنّ “غوغل” قد قام سابقاً باعتماده وأنّ “فيس بوك” سوف يبدأ باعتماده قريباً.

التحقّق من بصمة OTR
عندما تبدؤون بجلسةOTR جديدة مع أحد ما، يستقبل برنامج الدردشة الذي تستعملونه بصمة مفتاح تشفير ذلك الشخص وتتذكر برمجية OTR هذه البصمة. طالما ذلك الشخص يستعمل مفتاح التشفير نفسه والجهاز نفسه، ستكون البصمة هي نفسها طوال فترة المحادثة. إذا تغيّرت البصمة فإما أنّ الشخص الآخر بدأ باستعمال مفتاح OTR مختلف، أو أنكم ضحيّة هجوم “Man-In-The-Middle” أو “رجل في الوسط”، حيث يقوم المهاجم بتلقي معلومات من الطرفين وإيهام كل طرف بأنه الطرف الآخر.
من دون التحقق من البصمات لا توجد طريقة لمعرفة إذا ما كنتم ضحيّة هجوم من نوع “Man-In-The-Middle” ناجح وغير قابل للاكتشاف.
حتّى لو كان الشخص الذي تتكلّمون معه يبدو كصديقكم الفعلي لأنّه يعلم أشياء، فقط صاحبكم يعرفها، وإن كنتم تستعملون تشفير OTR، فالمهاجم قد يكون يقرأ محادثاتكم. قد يحصل هذا لأنه من الممكن أن تكونوا تتحادثون بشكل مشفّر عبر OTR مع المهاجم، الذي يكون في الوقت نفسه يتحادث بشكل مشفّر عبر OTR مع صديقكم، موهماً إياه أنّه أنتم وهو يقوم بتمرير الرسائل بينكما. عوض أن يرى برنامج الدردشة الذي تستعملونه بصمة صديقكم، فإنّه سيرى بصمة المهاجم. وكلّ ما سترونه أنتم كمستخدمين هو أنّه لم يتمّ التحقق من الشخص الآخر “Unverified”.
الصور التالية تظهر ما يظهره Pidgin للدلالة على التحقق من البصمة. إذا تحقّقتكم من بصمة OTR فستكون محادثتكم سرية، ولكن ان لم تتحقّقوا منها، فستكون محادثتكم مشفّرة ولكن يمكن أن تكونوا تحت هجوم. لا يمكنكم التأكد إلّا إذا تحقّقتم من البصمة.
02-unverified-and-verified
إذا ضغطتم على رابط “Unverified” (في Adium تأخذ شكل أيقونة قفل) يمكنكم اختيار “تحقّق من الصديق”. يدعم بروتوكول OTR ثلاثة أنواع من أدوات التحقّق: بروتوكول the socialist millionaire، مفتاح مشارك وتحقّق يدوي من البصمة.
كلّ برامج OTR تدعم التحقّق اليدوي من البصمة، ولكن لا تدعم كل برامج الدردشة أنواعاً أخرى من التحقّق. عندما يكون لديكم شكوك حول هذا الأمر، استعملوا التحقّق اليدوي.
03-fingerprints
في الصورة أعلاه، يمكنكم رؤية بصمتي OTR لكلا المستخدمين في الجلسة. الشخص الآخر يجب أن يرى البصمتين نفسيهما. لكي يتأكّد الطرفان من صحّة البصمتين، عليهما أن يتقابلا وجهاً لوجه، أو يتكلما على الهاتف إذا استطاعا التعرف على صوتي بعضهما البعض، أو استعمال طريقة أخرى آمنة خارج نطاق OTR للتأكّد من البصمات، مثالٌ على ذلك إرسال بريد الكتروني مشفّر ومُوقّع من PGP.
مفاتيح OTR مؤلّفة من 40 حرف ست عشري (Hexadecimal)، ومن المستحيل إحصائياً توليد مفتاحَي OTR يملكان البصمة نفسها، هذا الحدث يسمّى بالتصادم (Collision). ولكن من المحتمل توليد مفتاحي OTR يشبهان بعضهما البعض إلى حدّ ما. على سبيل المثال، يمكن للأحرف الأولى والأخيرة أن تتشابه مع وجود فوارق في الوسط. لذلك من المهم التأكّد من الأحرف الأربعين للتأكّد من صحّة مفتاحي OTR.
عادةً تقومون بإنشاء مفتاحOTR جديد لكلّ جهاز جديد تقومون بتهيئته (مثال على ذلك هو عندما تريدون أن تستعملوا حساب Jabber نفسه، يمكنكم التحادث من هاتفكم العامل بنظام Android عبر Gibberbot كما تتحادثون من حاسوبكم بنظام “ويندوز” عبر Pidgin) لذلك يصبح لديكم العديد من المفاتيح وبالتالي العديد من البصمات. من المهم إعادة عمليّة التحقق في كل جهاز ومع كل شخص أو جهة اتصال تقومون بالتحادث معها.
استعمال برمجية OTR مع عدم التحقق أفضل بكثير من عدم استعمالها على الاطلاق. إنّ المهاجم الذي يحاول أن يقوم بهجوم “Man-In-The-Middle” أو “رجل في الوسط” ضدّ جلسة OTR يواجه احتمالاً كبيراً بأن ينكشف، لذلك هذا الهجوم يستعمل بحذرٍ كبير.

السجلات
هنا مقتطف من سجلات الدردشة، التي نشرتها Wired، محادثة بين برادلي مانينغ وأدريان لامو، الذي سلّمه إلى السلطات:
(01:40:51) لم يتم التحقّق من المحادثة مع bradass87 حتى الآن. يجب أن تتحقّق من هذا الصديق.
(01:40:51) محادثة، لم يتم التحقق منها، بدأت مع bradass87.
(13:41:12) bradass87 : مرحبا
(01:44:04) bradass87 : كيف حالك؟
(13:47:01) bradass87 : انا محلل مخابراتي للجيش المنتشر في شرق بغداد، أنا أنتظر تسريحي من الخدمة “لاضطراب في التكيف” بدلا من “اضطراب في تحديد الهوية الجنسية”
(13:56:24) bradass87 : أنا متأكد أنّك مشغول جد…
(01:58:31) bradass87 : إذا كان لديك وصول غير مسبوق لشبكات سريّة لـ 14ساعة في اليوم و7 أيام في الأسبوع لمدة 8 أشهر ونيّف، ماذا كنت ستفعل؟
(01:58:31) [email protected] : تعبت من الشعور بالتعب
(02:17:29) bradass87 : ؟
(18:07:29) [email protected] : ما هو اختصاصك العسكري؟
كما ترون من “محادثة، لم يتم التحقق منها، بدأت مع bradass87″، استخدم الطرفان OTR لتشفير حديثهما، ومع ذلك انتهى الأمر بنشر هذه المحادثة على موقع Wired واستخدمت كدليل ضدّ برادلي مانينغ. بينما يبقى من الممكن أنّ حديثهما كان يتعرّض لهجوم “رجل في الوسط” MITM، لكنّ ذلك غير المرجح. بدلا من ذلك كان برنامج OTR لدى كل من برادلي مانينغ وأدريان لامو يقوم بتسجيل نسخة من محادثتهما بشكل غير مشفّر على القرص الصلب.
على الرغم من أنّ الحفاظ على سجل المحادثات يكون مفيداً أحياناً، إلا أنه يقوض إلى حد كبير خصوصيتكم وأمنكم. لو لم يسجل Pidgin وAdium المحادثات كجزء من اعداداتهما المبدئية، فمن المحتمل أن سجلات الدردشة هذه لَما أصبحت عامة.
مع إطلاق نسخة 4.0OTR في أيلول/ سبتمبر 2012، توقف Pidgin عن تسجيل المحادثات التي تجري عبر OTR بشكل افتراضي. لكنّ Adium لا يزال يسجلها كجزء من الإعدادات المبدئية لذلك يجب إيقاف التسجيل يدوياً بنفسكم، وهذا التسجيل ثغرة في Adium.

تشفير البريد الالكتروني عبر (PGP – Pretty Good Privacy
في سنة 1991، قام فيل زيمرمان بتطوير برنامج لتشفير البريد الالكتروني وسمّاه: Pretty Good Privacy (PGP). أراد أن يستخدمه الناشطون الداعمون للسلام عندما كانوا ينظمون الحركة المناهضة للأسلحة النووية.
اليوم أصبحت PGP شركة تبيع برنامجها التشفيري الخاص الذي سُمّي بالإسم نفسه. OpenPGP هو البرنامج الذي يحدّد طريقة عمل التشفير PGP، وGnuPG (باختصار (GPGهو برنامج مجاني، ملائم مئة بالمئة مع النسخة غير المجانيّة. GPG معروف حاليّاً أكثر من PGP لأنه متوفّر مجاناً للتنزيل، وسايفربانكس “cypherpunks” يثقون به أكثر لأنه مفتوح المصدر. التسميتان PGP وGPG غالباً ما تستعملان مكان بعضهما البعض.
للأسف PGP صعب الاستعمال، كما أشار غرينوالد وهو يشرح كيف أنّه لم يستطع أساساً التكلّم مع سنودن لأنّه كان من الصعب تهيئة البرنامج.
(بإمكانكم القراءة عن تشفير PGP بالعربي من هنا)

Keypairs وKeyrings
كما في OTR، كلّ من يريد أن يرسل رسائل مشفّرة ويستقبلها يحتاج إلى أن يولّد مفتاح PGP خاص به، المسمّى أيضاً بزوج المفاتيح “keypair”. أزواج مفاتيح الـPGP مقسّمة الى جزئين، المفتاح العام والمفتاح الخاص.
إذا كان لديكم مفتاح عام يعود إلى أحد ما، فيمكنكم استعماله في عمليتين:
يمكنكم تشفير رسالة وتلك الرسالة لا يمكن فك تشفيرها إلّا باستعمال المفتاح المرتبط بمفتاحكم العام. ويمكنكم التحقّق من التوقيع الرقمي الذي أنشئ عن طريق المفتاح الخاص بالمُوَقّع. من الآمن أن تعطوا مفتاحكم العام لأيّ شخص يريده. أسوأ ما يمكن أن يفعله هذا الشخص هو: تشفير رسالة، يمكنكم أنتم فقط فك تشفيرها.
يمكنكم استعمال مفتاحكم الخاص في عمليتين:
يمكنكم فكّ تشفير الرسائل التي شفّرت عن طريق مفتاحكم العام. ويمكنكم التوقيع رقميّاً على رسائلكم المرسلة. من المهم أن تبقوا مفتاحكم الخاص سرّي. يمكن لمهاجم أن يفكّ رسائل موجّهة لكم إذا كان يمتلك مفتاحكم الخاص ويمكنه أيضاً تزوير توقيعكم الرقمي وإرسال رسائل تبدو كأنّها صادرة عنكم.
تُشفّر المفاتيح الخاصّة عبر عبارة مرور. إذا أصبح حاسوبكم في خطر وسرق مفتاحكم الخاص المشفّر، فعلى المهاجم أن يحصل على عبارة المرور قبل أن يستطيع الحصول على المفتاح الخاص. على عكس OTR، فإنّ PGP لا يعتمد خاصية “Forward Secrecy”. إذا عُرف مفتاحكم السرّي ولدى المهاجم نسخات سابقة عن رسائل مشفّرة في بريدكم الالكتروني، فبإمكانه أن يفك تشفيرها كلّها.
قد يكون استعمال PGP غير سهل. مثالٌ على ذلك، إذا هيّأتم PGP على حاسوبكم ولكنّكم استلمتم الرسالة المشفّرة على هاتفكم، فلن تستطيعوا فكّ تشفيرها وقراءتها الّا عندما تستعملوا حاسوبكم.
مثل OTR، كلّ مفتاح PGP لديه بصمة فريدة. يمكنكم الحصول على نسخة من مفتاحي العام على موقع “مؤسسة حرّيّة الصحافة“، وبصمتي هي 5C17 6163 61BD 9F92 422A C08B B4D2 5A1E 9999 9697. إذا رأيتم مفتاحيَ العام، فسترون أنه طويلٌ جدًّا وسيكون من الصعب قراءته عبر الهاتف. تمتاز البصمة بقصرها وبكونها ملائمة أكثر لتستعمل كمفتاح. عندما تستعملون مفتاحي العام سيصبح بإمكانكم تشفير رسائل موجّهة إليّ وسأكون الوحيد الذي يستطيع فكّ تشفيرها، كلّ هذا يشترط عدم تعرّض مفتاحي السرّي للخطر ومعرفته من أي أحدٍ آخر.

عبارات المرور
يعتمد أمن نظام التشفير على أمن كلمة السرّ. بما أنّ كلمة السر يمكن تخمينها بشكلٍ سهل عبر الحواسيب، لذلك يفضّل المشفّرون تسميتها عبارة مرور لتشجيع المستخدمين على جعل كلمات السر طويلة وآمنة.

04-password_strength

رسوم هزلية تقدمة XKCD
https://xkcd.com/936

للمزيد من النصائح حول اختيار عبارات مرور جيدة، إقرأوا المقطع المتعلّق بعبارات المرور من موقع “مؤسسة الحدود الالكترونية” وأيضاً يمكنكم قراءة الصفحة الرئيسية من موقع “دايس وير“. (وبإمكانكم أيضاً القراءة بالعربي عنها من هنا)
بالإضافة الى حماية كلمات سر PGP، تحتاجون إلى عبارات مرور جيّدة لتشفير القرص وكلمات سرّ للبرامج حيث تخزن كلمات السر.

برامج
لتثبيت GPG، يجب أن ينزّل مستخدمو “ويندوز” “Gpg4win“، ولمستخدمي “Mac OS X” يمكنهم تنزيل “GPGTools”. من المفروض أن يكون GPG مثبت مسبقاً إذا كنت تستخدم “GNU/Linux”. GPG هو برنامج يعمل عن طريق سطر الأوامر، ولكن هنالك برمجيات ترتبط مع عملاء البريد الإلكتروني وتجعلها سهلة الإستعمال.
لاستعمال PGP بشكل صحيح عليكم تحميل عميل بريد إلكتروني. عميل البريد الإلكتروني هو برنامج على حاسوبكم ويمكنكم استعماله للتحقّق من بريدكم الالكتروني، بدلاً من استخدام متصفح الويب الخاص بكم. اعداد PGP الأكثر شعبية هو عميل البريد الإلكتروني Thunderbird مع البرنامج المضاف اليه Enigmail.  وكلاهما برمجيتان مجانيّتان تعملان على “ويندوز” و”ماك” و”جي إن يو/ لينكس”.
يصعب استعمال PGP بأمان من متصفح الويب حاليًّا. على الرغم من وجود بعض إضافات المتصفّح ((Extensions التي تساعد في هذه الأمور، فإنّنا ننصحكم بالبقاء مع عميل بريد الكتروني يعمل على سطح المكتب. من الممكن استعمال PGP مع Gmail، ولكن أسهل الطرق هي تهيئة عميل بريد الكتروني كـ”Thunderbird” واستعمال حسابكم الـ Gmail عبره.

التشفير وفكّه، والتوقيع الرقمي
بإمكانكم ارسال رسائل البريد الالكتروني المشفّرة والتوقيع رقميّاً عليها باستخدام واجهة المستخدم الرسومية المؤمّنة من Thunderbird وEnigmail. سوف أُريكم مثال كيف سأرسل بريد الكتروني مشفّر الى نفسي. عندما أكبس زرّ الإرسال، سوف تأخذ برمجيتي متن الرسالة وتشفّره باستعمال مفتاحيَ العام، ممّا يجعل محتوى الرسالة مبهم للمتنصتين، وبالطبع أيضاً لمزوِّدي بخدمة الانترنت.
05-encrypt_sign
بعدما وصلتني الرسالة في البريد الالكتروني، فتحتها، ثمّ طُلب منّي كتابة عبارة المرور. بما أنّ الرسالة شفّرت عن طريق مفتاحيَ العام، فإنّ الطريقة الوحيدة لفكّ تشفيرها هي باستعمال مفتاحي الخاص. وبما أنّ مفتاحي الخاص محمي ومشفّر عن طريق عبارة المرور، لذلك احتجت لكتابة عبارة المرور لفكّ تشفير مفتاحي الخاص مؤقتاً لأستعمله في فكّ تشفير الرسالة.
06-decrypt

PGP ليس فقط للبريد الالكتروني
على الرغم من أنّ PGP يستعمل غالباً لتشفير البريد الالكتروني، لا شيء يمنعكم من استعماله لتشفير أيّ رسالة ونشرها باستعمال أي وسيلة. يمكنكم نشر رسالة مشفّرة عبرPGP على المدوّنات، الشبكات الاجتماعيّة والمنتديات.
نشر كيفين بولسن رسالة، مشفّرة عبر PGP، على موقع Wired، وموجّهة الى ادوارد سنودن ليقرأها. طالما أنّ لدى Wired نسخة عن مفتاح سنودن العام، عندئذٍ فإنّ الشخص الوحيد الذي يمتلك مفتاح سنودن الخاص، قادر على فكّ تشفير الرسالة. نحن لا نعلم كيف حصلت Wired على نسخة من مفتاح سنودن العام.
الرسالة التالية تم تشفيرها عبر مفتاحي العام. من دون امتلاك نسخة عن مفتاحِيَ الخاص، من المفترض ألا تكون “وكالة الأمن القومي” قادرة على فكّ تشفير رسالتي. (وكالة الأمن القومي، أعلموني إذا فهمتموها).

—– PGP بداية رسالة —–
النسخة: GnuPG v1.4.12 (GNU/Linux)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=a8FR
—– PGP نهاية رسالة —–

التحقّق من الهويّة
كما في OTR، من المهمّ التحقّق من مفاتيح PGP الخاص بالاشخاص الذين تتحادثون معهم. في PGP تقومون بذلك عبر استخدام مفتاحكم السرّي للتوقيع رقمياًّ على المفتاح العام للشخص الآخر.
عند استعمالكم Thunderbird، يمكنكم الكبس على قائمة OpenPGP وفتح اعدادات إدارة المفتاح. اختاروا مربّع “عرض جميع المفاتيح كخيار افتراضي” (By default) لرؤية كل المفاتيح في حلقة مفاتيحكم (Keyring). من هنا يمكنكم استيراد المفاتيح من الملفات، حافظتكم وخوادم المفاتيح. يمكنكم أيضاً خلق ازواجٍ جديدة من المفاتيح “Keypairs” ورؤية تفاصيل كلّ المفاتيح الموجودة في حلقة مفاتيحكم “Keyring”.
أمّا بالنسبة لمفاتيح OTR، فإنّ كلّ مفتاح PGP له بصمته المميّزة. وكما في OTR، تحتاجون لقراءة كلّ أحرف البصمة للتأكّد من أنّ المفتاح العام الذي تنظرون إليه هو بالفعل يخصّ الشخص الذي تظنّون أنّه يملكه.
يمكنكم نقر الزر الأيمن للماوس في هذه القائمة واختيار “رؤية التفاصيل” لرؤية البصمات. تتألّف الصورة التالية من تفاصيل مفتاح PGP الذي يستعمله برنامج التشفير “TrueCrypt” للتوقيع الكترونياًّ على إصداراته. (للمزيد عن تروكربت بالعربي من هنا)
07-key_properties
كذلك كما OTR، تحتاجون للتقابل شخصيّاً، التكلّم عبر الهاتف، أو استعمال جلسة OTR تمّ التحقّق منها سابقاً للتأكّد من كلّ الأحرف في البصمة.
بعد أن تكونوا قد تأكّدتم من أنّ المفتاح العام يخصّ الشخص الذي تظنّون أنّه يخصّه، يمكنكم الآن نقر “اختار العمل” (Select Action) واختيار “وقّع المفتاح رقميّاً” (Sign Key).
08-key_signing
في الصورة أعلاه اخترت مربع “التواقيع المحلّية (لا يمكن تصديرها)”. وفي هذه الحالة يمكنكم توقيع مفاتيح PGP، وهو أمر أساسي لكي يعرض Enigmail وبرامج PGP الأخرى رسائل أمنيّة ذات معنى. وفي هذه الحالة أيضاً، لا تقعوا في خطر نشر معلومات، عمن تتكلّمون معهم، لخوادم مفاتيح PGP.
إذا استقبلتم بريد الكتروني مشفّر من شخص معروف لديكم ولكن البريد الكتروني غير موقّع الكترونياًّ، فلا يمكنكم التأكّد أنّه كُتِبَ من الشخص المعروف لديكم. من المحتمل أن تكون الرسالة مصدرها أحد قد اخترق حساب البريد الالكتروني للشخص المعروف لديكم.
إذا قال لكم صديقكم إنه قد ولّد مفتاحاً جديداً، فلا بدّ أن تلتقوا شخصيًّا أو تتكلّموا عبر الهاتف وتقرؤون البصمات للتأكّد من أنّكم لستم تتعرّضون لهجوم الكتروني.

الهجومات الالكترونية
إذا لم تتحقّقوا من البصمات ومن هويّة من تكلّمون فليس لديكم طريقة لمعرفة ان كنتم تتعرّضون لهجوم “رجل في الوسط”.
يتكلّم الصحافي، في الواشنطن بوست، بارتون غيلمان عن تجربته مع PGP، وهو الذي كان قد أمّنه سابقاً ادوارد سنودن على معلومات حول مشروع وكالة الأمن القوميّة “PRISM”.
في الخميس، قبل نشر الصحيفة خبرها الأوّل، إتّصلت به على قناة جديدة. لم يكن يتوقّعني هناك فأجاب بحذر.
كتب: “هل أعرفك؟”
فأرسلت له مذكّرة على قناة أخرى لكي يتحقّق من بصمتي الرقميّة، كانت هذه احدى الإحتياطات التي كنّا نستعملها منذ بعض الوقت. أرسلت له البصمة الخاطئة بسبب تعبي. فردّ علي: “هذه ليست البصمة الصحيحة” وهو يهمّ بالانصراف قال لي: “أنت تتعرض لهجوم رجل في الوسط”. كان يتكلّم عن طريقة تستعملها وكالة الأمن القومي للتفوّق على التشفير. فأسرعت وأصلحت خطئي.
كان سنودن على حق بحذره وإصراره على التحقّق من بصمة GPG الجديدة التي يستعملها غيلمان. إذا استعمل PGP بشكل صحيح، فإنّه يوفّر الأدوات اللّازمة لمنع هجوم “رجل في الوسط”. ولكن هذه الأدوات تعمل فقط عندما يكون المستخدمون دقيقين في التحقّق من الهويات عبر البصمات الرقميّة.

“تايلز”: نظام التشغيل الحي، المجهول الهوية والفاقد الذاكرة
يحتاج استعمال أنظمة تشفير منفذة بشكل صحيح إلى التعلم ويتطلب تفاني من مستخدميه، الذين يجب عليهم أن يستعدوا ليعملوا بشكل إضافي من أجل السيطرة على خصوصيتهم، وهذا هو السبب الأساسي لعدم استعمال OTR وPGP وانتشارهما. ولكن حتّى عندما تستخدمون هذه الأدوات، كيف سيكون بإمكانكم أن تتأكّدوا من التشفير يجري من حاسوب إلى حاسوب (Endpoint Security) عندما لا تستطيعون بالضرورة أن تثقوا بنظام تشغيلكم أو حتّى أي برنامج أخر تعتمدون عليه يوميَّا.
الحلّ هو باستخدام نظام تشغيل مختلف ويتألّف كلّيًّا من “برمجيات يمكنكم الثقة بها” في الأوقات التي تحتاجون فيها إلى سرّية حقيقيّة. “تايلز” (Tails) يحلّ هذه المشكلة.
Tails هو نظام حي (لا يتطلب التثبيت) يهدف الى الحفاظ على خصوصيتكم وإخفاء هويتكم. يساعدكم عند استخدام الانترنت، بإخفاء هويّتكم، من أيّ مكانٍ أو أيّ حاسوب تستعملون ولا يترك أثراً إلّا إذا طلبتم ذلك خصوصاً.
إنّه نظام تشغيل كامل، صُمّم لكي يستعمل من DVD أو من قرص USB بشكل مستقل عن نظام تشغيل الحاسوب. إنّه نظام مجاني وقد بني بالاستناد على Debian GNU/Linux. (لقراءة المزيد عن توزيعة تايلز من هنا)
يأتي” تايلز” مع العديد من البرامج المضمّنة في تكوينها مسبقا وآخذةً الأمن في الاعتبار، مثالاً على ذلك: متصفح الإنترنت، عميل الرسائل الفورية، عميل البريد الإلكتروني، مجموعة برامج مكتبية وبرامج تحرير الصورة والصوت، الخ…
” تايلز” ليس للجميع. ما زال صعب الاستعمال مقارنةً مع أنظمة التشغيل العاديّة. إنّه بطيء ولا يحوي كلّ البرمجيات التي قد تحتاجون إليها. لكن “تايلز” عنده كلّ هذه الخصاص لأنه صمّم خصوصًا ليجعل إمكانية العبث بأمن المطبق من الحاسوب إلى الحاسوب (Endpoint Security)، مهمةً صعبةً على المستخدم. إذا كنتم في موقع حيث تعتقدون بأنّ “وكالة الأمن القوميّ”، أو أي مهاجم محتمل آخر، تريد التعرّض لكم ولزملائكم (يذكر هذا بالعلاقة بين الصحافي والمخبر) فإنّ “تايلز” أفضل الأدوات الموجودة.
لأنّ “تايلز” ليس عمليًّا في استخدام الحاسوب اليومي فمن المفضّل أن تبدأوا باستعمال OTR وPGP بشكل طبيعي في حياتكم اليوميّة وأيضًا في نظام تشغيلكم العادي. “تايلز” بنفسه لن يساعد في منع آثار شبكات رصد الانترنت، لكنّ ما سيفعل ذلك هو تشفير كلّ محادثاتنا ومعلوماتنا بأكبر قدر ممكن، بشكل يومي.
كلّ مرة تقلعون “تايلز” فإنكم تبدؤون بسجلٍ نظيف. كلّ ما فعلتموه في جلسة سابقة على “تايلز” يتمّ محوه وتتمّ إعادة النظام إلى حالته الأساسيّة. ذلك يعني أنّه حتى في حال إصابتكم ببرمجيّة خبيثة وأنتم تستعملون “تايلز”، فالمرّة التالية التي ستقلعون فيها نظام التشغيل، ستكون البرمجيّة الخبيثة قد زالت.
يمكنكم البدء باستعمال “تايلز” عبر تنزيل ملف التشغيل ووضعه على قرص “دي في دي”. بعد ذلك، تحتاجون إلى إقلاع النظام من الـ “دي في دي”. هذه الخطوة تختلف حسب نموذج الكمبيوتر المستعمل لديكم، وهي غالباً ما تشمل أن تدخلوا إلى الـBIOS وتُغيّروا تراتبيّة الإقلاع في نظامكم لكي يحاول كمبيوتركم الإقلاع من الـ”دي في دي” قبل محاولة الإقلاع من القرص الصلب. على الأجهزة الجديدة، من الممكن في الـBIOS ، أن تحتاجوا ايضاً إلى تعطيل “أمن إقلاع” UEFI الذي هو نظام تشفير يستعمل في التأكّد من أنّ الكمبيوتر سيقلع فقط نسخة موقّعة رقميًّا من ويندوز (هذا يجعل من الصعب تقليع نظام تشغيل غير”ويندوز”). لدى موقع “تايلز” الكثير من المعلومات عن الأدوات المستعملة للإقلاع من قرص “دي في دي” أو قرص “يو إس بي”.
بعد الإقلاع من الـ “دي في دي”، لديكم امكانيّة تنصيب “تايلز” على قرص “يو إس بي”. هذا مفيد خاصةً لأنّه يسمح لكم بإعداد وحدة تخزين ثابتة، وهي عبارة عن جزء مشفّر من قرص”يو إس بي” يحفظ معلوماتكم. على الرغم من الإقلاع بسجل نظيف، إلّا أنّه من المهمّ أن يكون لديكم وصول لمفاتيحكم، كلّ من OTR وPGP. من المهم ّأيضًا أن يكون لديكم وصول إلى بريد Claws (المزيد من الشرح عنه في الأسفل) وإعداداتPidgin وأيٌّ من الملفّات التي تعملون عليها. تسمح لكم وحدة التخزين الثابتة بالقيام بذلك.

PGP والبريد الالكتروني في Tails
لقد تكلّمت سابقاً عن استعمال Thunderbird مع الإضافة Enigmail وعن استعمال PGP، ولكنّ Tails لا يتضمّن هذه البرمجيّات. يتضمّن Tails البريد Claws الذي يحتوي على إضافة تسمح باستعمال PGP.
09-claws_mail
عوضًا عن استعمال واجهة المستخدم الرسومية، في مدير مفاتيح PGP لـEnigmail ، لاستيراد المفاتيح، وتصديرها، وتوليدها، ورؤية تفاصيلها وتوقيعها، يمكنكم النقر على أيقونة لوحة القطع واللصق (Clipboard) في الجزء الأيمن الأعلى من الشاشة واختيار “إدارة المفاتيح لفتح Seahorse” الذي يؤمّن المزايا نفسها.
10-tails_manage_keys

سير العمل
من أجل البدء في محادثات خاصّة وآمنة مع أصدقائكم وزملائكم مع درجةٍ عالية من الأمن من حاسوب إلى حاسوبة (Endpoint Security)، يجب اتخاذ الخطوات التالية:
إلتقوا مع أصدقائكم وجهاً لوجه. على كلٍّ منكم أن يجلب معه حاسوبه المحمول وقرص USB.
نزّلوا نسخة من Tails وانسخوها على “دي في دي”. ثمّ اقلعوا Tails واخلقوا قرص USB Tails لكل شخص.
عندما يحصل الجميع على قرص USB Tails، يجب على كلّ شخص أن يقلع Tails من حاسوبه المحمول وأن يعِد وحدة تخزين ثابتة على قرص “يو إس بي” الخاص به. بما أنّ وحدة التخزين مشفّرة، فعلى كلّ شخص أن يخلق عبارة المرور الخاصّة به، التي سيضطرّ إلى كتابتها في كلّ مرّة يقلع Tails. على الجميع أن يعيدوا تشغيل حواسيبهم في Tails وعند هذه النقطة أن يوصلوا وحدة التخزين الثابتة.
على كلّ شخص أن يخلق إسماً مستعاراً لحسابهم على Jabber. إحدى الطرق للقيام بذلك هي عبر الذهاب إلى الرابط https://register.jabber.org عبر Iceweasel . بما أن Tails يقوم بتوجيه كل بيانتكم المتبادلة على الانترنت عبر Tor، فأنتم بالفعل تقومون بخلق حساب Jabber مخفي الهويّة.
على كلّ شخص أن يفتح Pidgin ويعدّه لاستخدام حسابه الجديد في الـ Jabber وخلق مفتاح OTR جديد. على الجميع أن يضيفوا أنفسهم إلى قوائم الأصدقاء والبدء بجلسات OTR مع بعضهم. وبما أنّ الجميع في غرفةٍ واحدة، فهذا هو الوقت المناسب لمقارنة البصمات والتأكّد من هويّة جميع الأفرقاء لكي تستطيعوا التحادث، مستقبلًا، بأمان، على الانترنت.
على كلّ شخص أن يقوم بخلق عنوان بريدي ذات اسم مستعار. بعض مزوّدي خدمة البريد الالكتروني، كـ Gmail، يجعلون من الصعب جدًّا خلق حساب جديد عند استعمالكم لـ Tor وبقائكم مخفيّي الهويّة، لذلك من الأفضل التعامل مع مزوّدي خدمة بريد إلكتروني آخرين. تأكّدوا من أنّ مزوّدكم لخدمة البريد الالكتروني يدعم استعمال IMAP (لكي تتمكنوا من استخدام عميل بريد الكتروني يعمل على سطح المكتب) عبر SSL (لكي يستعمل عميل البريد الالكتروني التشفير عند اتصاله بخادم البريد الالكتروني). إذا استعمل الجميع مزوّد خدمة البريد الالكتروني نفسه، فإنّ رسائل البريد الالكتروني المرسلة بين حساباتكم لن تخرج من ذلك الخادم، ممّا يخفّف البيانات الوصفية عند استعمالكم لبريدكم الالكتروني. هذه البيانات الوصفيّة ستكون متوفرة لأيّ طرف يقوم بمراقبة الانترنت بهدف الإيقاع بأشخاص معينين.
كلّ شخص يجب أن يولّد مفتاح PGP جديد لعنوان بريده الإلكتروني. كما في تشفير القرص، من المهم اختيار عبارة مرور قويّة عند توليد مفتاح PGP.
Tails يتضمّن عميل البريد الالكتروني الدّاعم لـ PGP المسمى ببريد Claws. على كلّ شخص أن يعدّ بريد Claws ليستعمل عنوانه البريدي الجديد وثمّ ارسال نسخة من مفتاحه العام لكلّ الحاضرين في الغرفة.
على كلّ شخص أن يستورد المفتاح العام للآخرين إلى حلقة مفاتيحه ويجب أن يتأكّد يدويًّا من بصمات PGP. لا تتخطوا هذه الخطوة. في النهاية، من المفروض من كلّ شخص أن يكون قد ولّد حلقة مفاتيح للآخرين تحوي مفاتيح موقّعة رقميًّا.
إذا قام مهاجم خبيث بسرقة قرص Tails USB، وعدّله، ثمّ أرجعه إليكم، فإبمكانه خرق كلّ أمن Tails. لهذا السبب، فمن المهمّ أن تبقي على قرص Tails USB معك في كلّ الأوقات.
مدير المخابرات المركزية الأميركيّة، الجنرال المتقاعد ديفد بيتراوس، لو قام هو وكاتبة سيرة حياته، باولا برودول، باستعمال Tails، Tor، OTR، وPGP، لكانت علاقتهم الخارجة عن نطاق الزواج قد بقيت سرًّا.

فرصة الكفاح
إن حماية أمنكم في عصر المراقبة الكاملة من قبل “وكالة الأمن القومي” هو أمر في غاية التعقيد. إنّ اكتساب الفهم المبدئي للمبادئ المستعملة، حتّى من دون الاستعمال الفعلي للبرمجيات، يحتاج إلى تعليم هائل.
ولكن حتى مع وصولهم المباشر إلى كافة البيانات المسافرة بسرعة الضوء في العمود الفقري للإنترنت من خلال كابلات الألياف البصرية، حتّى مع تعاون أهمّ شركات التكنولوجيا في اميركا (الذين يصعب جدًّا على الاشخاص التخلي عنهم) فإنّ نظام المراقبة الأكبر والأكثر نفوذًا والأفضل تمويلًا، الذي شهدته على الاطلاق، لا يمكنه هزيمة الرياضيات.
التحدي المتمثل في حركة “سايفربانك” الجديدة هو جعل التشفير آمناً ومتحقق من هويّته من الطرف إلى الطرف، في متناول الجميع، وأيضًا مُشغّل افتراضيًّا.

Micah Lee

المصدر:  https://pressfreedomfoundation.org/encryption-works