دليل التشفير المتقدم: AES وRSA وECC والتشفير ما بعد الكمي

تصفح
العودة إلى المدونة
نُشر
December 05, 2025
وقت القراءة
5 دقيقة قراءة
كتبه
Simon Meier

يستكشف هذا الدليل الشامل مفاهيم التشفير المتقدمة والخوارزميات والبروتوكولات المستخدمة في أنظمة الاتصال الآمن الحديثة. مثالي للمطورين ومحترفي الأمن السيبراني.

ملاحظة: يفترض هذا الدليل الإلمام بمفاهيم التشفير الأساسية. للمبتدئين، ابدأ بـ نصائح الأمان للمبتدئين.

خوارزميات التشفير المتماثل

AES (Advanced Encryption Standard)

المعيار الذهبي للتشفير المتماثل، اعتمدته حكومة الولايات المتحدة في عام 2001.

الميزات الرئيسية

  • أحجام المفاتيح: 128 أو 192 أو 256 بت
  • حجم الكتلة: 128 بت
  • الجولات: 10 أو 12 أو 14 حسب حجم المفتاح
  • الأداء: محسّن بشكل كبير، مع توفر تسريع الأجهزة

الأوضاع الشائعة

  • GCM (Galois/Counter Mode): تشفير موثّق، موصى به لمعظم الاستخدامات
  • CBC (Cipher Block Chaining): الوضع التقليدي، يتطلب MAC منفصل
  • CTR (Counter): قابل للمعالجة المتوازية، يُستخدم في بعض البروتوكولات

ChaCha20

شفرة تدفق حديثة صممها Daniel J. Bernstein، تزداد شعبيتها كبديل لـ AES.

المزايا

  • أسرع من AES على الأجهزة بدون تسريع الأجهزة
  • تنفيذ بوقت ثابت (مقاوم لهجمات التوقيت)
  • تصميم بسيط، أسهل في التنفيذ الآمن
  • يُستخدم مع Poly1305 للتشفير الموثّق

التشفير غير المتماثل

RSA (Rivest-Shamir-Adleman)

يُستخدم على نطاق واسع لتبادل المفاتيح والتوقيعات الرقمية.

الاعتبارات الرئيسية

  • الحد الأدنى لحجم المفتاح: 2048 بت (يوصى بـ 4096 بت للأمان طويل الأجل)
  • الأداء: مكلف حسابياً مقارنة بالتشفير المتماثل
  • مخططات الحشو: استخدم OAEP للتشفير، PSS للتوقيعات
  • التهديد الكمي: عرضة لأجهزة الكمبيوتر الكمومية (خوارزمية Shor)

Elliptic Curve Cryptography (ECC)

بديل أكثر كفاءة لـ RSA مع أمان مماثل بأحجام مفاتيح أصغر.

المنحنيات الشائعة

  • Curve25519: مصمم لتبادل مفاتيح ECDH، معتمد على نطاق واسع
  • Ed25519: للتوقيعات الرقمية، يُستخدم في SSH و GPG
  • P-256 (secp256r1): معيار NIST، مدعوم على نطاق واسع
  • P-384، P-521: مستويات أمان أعلى

المزايا مقارنة بـ RSA

  • 256 بت ECC ≈ أمان 3072 بت RSA
  • حساب أسرع
  • مفاتيح وتوقيعات أصغر
  • متطلبات أقل للنطاق الترددي والتخزين

بروتوكولات تبادل المفاتيح

Diffie-Hellman (DH)

يسمح لطرفين بإنشاء سر مشترك عبر قناة غير آمنة.

المتغيرات

  • Classic DH: التنفيذ الأصلي
  • ECDH: إصدار المنحنى الإهليلجي (أكثر كفاءة)
  • X25519: ECDH حديث باستخدام Curve25519

Perfect Forward Secrecy (PFS)

يضمن بقاء الاتصالات السابقة آمنة حتى لو تم اختراق المفاتيح طويلة الأجل.

التنفيذ

  • توليد أزواج مفاتيح مؤقتة لكل جلسة
  • إتلاف مفاتيح الجلسة بعد الاستخدام
  • يُستخدم في TLS 1.3 و Signal Protocol وغيرها

دوال التجزئة

عائلة SHA-2

  • SHA-256: مخرجات 256 بت، مستخدم على نطاق واسع
  • SHA-384، SHA-512: مستويات أمان أعلى
  • التطبيقات: التوقيعات الرقمية، التحقق من الشهادات، تجزئة كلمات المرور (مع التقنيات المناسبة)

SHA-3 (Keccak)

  • بناء مختلف عن SHA-2 (دالة الإسفنج)
  • مقاوم لهجمات تمديد الطول
  • مناسب للتطبيقات التي تتطلب هوامش أمان عالية

BLAKE2/BLAKE3

  • أسرع من SHA-2 و SHA-3
  • آمن تشفيرياً
  • BLAKE3: قابل للتوازي بشكل كبير، ممتاز للبيانات الكبيرة

دوال اشتقاق المفاتيح (KDFs)

PBKDF2 (Password-Based Key Derivation Function 2)

  • الغرض: اشتقاق مفاتيح تشفير من كلمات المرور
  • التكرارات: الحد الأدنى 100,000 (توصية OWASP)
  • حالة الاستخدام: تخزين كلمات المرور، اشتقاق المفاتيح

Argon2

الفائز في مسابقة تجزئة كلمات المرور (2015)، موصى به للتطبيقات الجديدة.

المتغيرات

  • Argon2id: هجين (موصى به لمعظم الاستخدامات)
  • Argon2i: محسّن ضد هجمات القنوات الجانبية
  • Argon2d: أقصى مقاومة لهجمات GPU

scrypt

  • دالة صعبة على الذاكرة (مقاومة لهجمات الأجهزة)
  • يستخدمها Litecoin و Tarsnap
  • توازن جيد بين الأمان والتوافق

رموز مصادقة الرسائل (MACs)

HMAC (Hash-based MAC)

  • يجمع دالة التجزئة مع مفتاح سري
  • يوفر المصادقة والسلامة
  • شائع: HMAC-SHA256، HMAC-SHA512

Poly1305

  • مصادق لمرة واحدة
  • يُستخدم مع ChaCha20 للتشفير الموثّق
  • سريع وبوقت ثابت

التشفير الموثّق

لماذا هو مهم

التشفير وحده لا يضمن السلامة. يمكن للمهاجم تعديل النص المشفر دون اكتشاف. التشفير الموثّق يحل هذه المشكلة.

AEAD (Authenticated Encryption with Associated Data)

  • AES-GCM: الأكثر دعماً على نطاق واسع
  • ChaCha20-Poly1305: أفضل على الأجهزة المحمولة
  • AES-CCM: يُستخدم في بعض بروتوكولات اللاسلكي

التوقيعات الرقمية

توقيعات RSA

  • الحشو: استخدم PSS (Probabilistic Signature Scheme)
  • دالة التجزئة: SHA-256 أو أعلى
  • حجم المفتاح: 2048 بت كحد أدنى

ECDSA (Elliptic Curve Digital Signature Algorithm)

  • توقيعات أصغر من RSA
  • يتطلب توليد nonce دقيق (RNG ضعيف = مفتاح مخترق)
  • يوصى بالمتغير الحتمي (RFC 6979)

Ed25519

  • حتمي (لا يتطلب RNG)
  • توليد وتحقق سريع من التوقيع
  • توقيعات صغيرة (64 بايت)
  • مقاوم لهجمات القنوات الجانبية

البروتوكولات الحديثة

Signal Protocol

بروتوكول تشفير من طرف إلى طرف متطور تستخدمه Signal و WhatsApp و Facebook Messenger.

الميزات الرئيسية

  • Double Ratchet: يحدّث المفاتيح بشكل مستمر
  • Perfect Forward Secrecy: تبقى الرسائل السابقة آمنة
  • Post-Compromise Security: يتعافى من اختراق المفتاح
  • غير متزامن: يعمل حتى عندما يكون المستلم غير متصل

TLS 1.3

أحدث إصدار من بروتوكول Transport Layer Security.

التحسينات

  • إزالة الخوارزميات الضعيفة ومجموعات الشفرات
  • يوفر دائماً السرية الأمامية
  • مصافحة أسرع (1-RTT، خيار 0-RTT)
  • Server Hello مشفر

Noise Protocol Framework

إطار عمل بروتوكول تشفير حديث لبناء أنظمة اتصال آمنة.

التطبيقات

  • WireGuard VPN
  • Lightning Network
  • I2P messaging

التشفير ما بعد الكمي

التهديد

يمكن لأجهزة الكمبيوتر الكمومية كسر RSA و ECC باستخدام خوارزمية Shor. الخوارزميات المتماثلة أقل تأثراً لكنها تتطلب مفاتيح أكبر.

مرشحو NIST ما بعد الكمي

  • Kyber: تغليف مفاتيح قائم على الشبكة
  • Dilithium: توقيعات رقمية قائمة على الشبكة
  • SPHINCS+: توقيعات قائمة على التجزئة

استراتيجية الانتقال

  • نهج هجين: دمج الخوارزميات الكلاسيكية وما بعد الكمية
  • زيادة أحجام المفاتيح المتماثلة إلى 256 بت
  • متابعة عملية توحيد معايير NIST
  • التخطيط لمرونة الخوارزميات

أفضل ممارسات التنفيذ

لا تصمم التشفير الخاص بك

استخدم مكتبات راسخة ومراجعة من قبل النظراء:

  • libsodium: مستوى عالٍ، سهل الاستخدام
  • OpenSSL: شامل، مدعوم على نطاق واسع
  • BoringSSL: نسخة Google من OpenSSL
  • Ring: مكتبة تشفير Rust

إدارة المفاتيح

  • استخدم وحدات الأمان الأجهزة (HSMs) للمفاتيح الحرجة
  • تنفيذ سياسات تدوير المفاتيح
  • لا تقم أبداً بتضمين المفاتيح في الكود المصدري
  • استخدم اشتقاق المفاتيح لأغراض متعددة
  • احذف المفاتيح بشكل آمن من الذاكرة بعد الاستخدام

توليد الأرقام العشوائية الآمنة

  • استخدم مولد أرقام عشوائية آمن تشفيرياً (CSPRNG)
  • لا تستخدم أبداً دوال rand() القياسية
  • مولدات RNG لنظام التشغيل: /dev/urandom (Linux)، CryptGenRandom (Windows)
  • خاص باللغة: crypto.randomBytes (Node.js)، وحدة secrets (Python)

منع هجمات التوقيت

  • استخدم مقارنة بوقت ثابت للأسرار
  • تجنب التفرع بناءً على البيانات السرية
  • كن على دراية بهجمات توقيت الذاكرة المؤقتة
  • استخدم مكتبات مصممة مع مقاومة هجمات التوقيت

الاختبار والتحقق

عمليات التدقيق الأمني

  • اختبار الاختراق المنتظم
  • مراجعات الكود من قبل خبراء الأمن
  • عمليات التدقيق الأمني من طرف ثالث
  • برامج مكافآت الأخطاء

الامتثال

  • FIPS 140-2/3: معيار حكومة الولايات المتحدة
  • Common Criteria: شهادة أمان دولية
  • PCI DSS: متطلبات صناعة بطاقات الدفع

موارد للتعلم الإضافي

الكتب

  • "Cryptography Engineering" بقلم Ferguson و Schneier و Kohno
  • "Serious Cryptography" بقلم Jean-Philippe Aumasson
  • "Applied Cryptography" بقلم Bruce Schneier

موارد عبر الإنترنت

  • Cryptopals Crypto Challenges
  • دورات التشفير من Stanford (Coursera)
  • IACR ePrint Archive
  • Crypto Stack Exchange
شاهد التشفير عملياً: يستخدم SecretNote تشفير AES-256-GCM مع اشتقاق آمن للمفاتيح لحماية رسائلك. جرّبه الآن!