بريدي موقع و(إن طلبت) فهو معمى

الأمان والخصوصية على الإنترنت أضعف بكثير مما تتصور.

الإنترنت -كشبكة عامة يملك الجميع نفس القوة فيها- لا تحميك من التنصت على مراسلتك ومن انتحال شخصيتك (وتوجد أسباب كثيرة تدفعك للدفاع عن نفسك من ذلك). لحسن الحظ فإن الأدوات التي تمكن كل واحد منا من سد ذلك العيب وضمان خصوصية رهيبة موجودة وسهلة الاستخدام والشكر للبرمجيات الحرة على ذلك. تلك الأدوات مُفعّلة ومستخدمة على نطاق واسع في مجتمع البرمجيات الحرة وأظننا في العالم العربي بحاجة ماسة إليها.

ربما تعرف إن كنت قرأت بعض التدوينات العشوائية في مدونتي أني أهتم غاية الاهتمام بتسخير التقنية لما يخدم المجتمع لأني أؤمن أن لذلك أثر كبير في العدالة والمساوة والاستقلال. تشرفت قبل فترة بالحصول على منحة للانضمام إلى زمالة مؤسسة البرمجيات الحرة في أوروبا وهي مؤسسة تعمل تحديدًا لذلك الهدف الذي أسعى إليه.

تهدف تلك الزمالة في المقام الأول إلى تمويل المؤسسة بتبرعات دورية من المجتمع. لكن إحدى شركات البرمجيات الحرة -شركة tarent GmbH- تمول برنامجًا لمنح تكاليف الزمالة لمدة سنة لثلاثة أفراد شهريًا من مجتمع البرمجيات الحرة (بالمناسبة، شهر أكتوبر 2010 الحالي آخر شهر لبرنامج المنح!)

كتعبير عن الشكر على الانضمام إلى الزمالة ترسل المؤسسة بطاقة OpenPGP متطورة يمكن أن ترفع خصوصيتك لدرجة عالية جدًا وأن تسهل “توقيع” (Sign) و”تعمية” (Encrypt/تشفير) بيانتك ومنها رسائلك البريدية بسهولة.

بطاقة عضويتي

(شكرا لأسماء على الصورة!)

الفكرة تعتمد أساسا على توليد مفتاحين متناظرين. يسمى أحدهما “المفتاح العلني” والآخر “المفتاح الخاص” (الطول الافتراضي لكل واحد منها 2048 حرف مما يعيق أي محاولة للتخمين). يكون المفتاح العلني متاحًا للجميع والخاص سريًا في حوزة المستخدم وحده. يمكن استخدام أيٍ من المفتاحين لتعمية البيانات والآخر لفكها.
مثلا لو أردتَ أن ترسل رسالة بريد لا يمكن أن يقرأها أحد سواي، يمكن أن تستخدم مفتاحي العلني لتعميتها وسأستخدم مفتاحي الخاص لفكها -ولن أتمكن من فكها بغيره- (يضمن ذلك أن المستلم صحيح). يمكن أيضًا إذا أردتُ أن أجعلك تتأكد أن الرسالة مني وأنها وصلتك كما أرسلتُها أن أستخدم مفتاحي الخاص لتعمية جزء مرفق بالرسالة اسمه “التلبيد” (Hash: وهي قيمة فريدة ناتجة عن إجراء عمليات حسابية معينة على البيانات الأصلية) سوف يقوم حاسوبك بفك تلك القيمة بمفتاحي العلني (ولن يتمكن من فكها بغيره) وإجراء العمليات الحسابية على الرسالة للتأكد من أن القيمتين متطابقتين (يُعرف ذلك بالتوقيع وهو يضمن أن المرسل صحيح).
كل ذلك (من توليد المفاتيح والتعمية والتوقيع) يتم باسخدام برنامج GnuPG (حارس غنو للخصوصية) الحر.
آمل أن تكون هذه النبذة سلسة الفهم (أخبرني إن لم تكن كذلك). إذا أردت معرفة المزيد اقرأ هذا الشرح الممتاز.

فكرة بطاقة الزمالة أنها تحتوي المفتاح الخاص بصورة محمولة وجذابة وآمنة جدًا فالمفتاح الخاص ليس مخرنًا على حاسوبي لكني أحتاج كلمة سر قبل أن أتمكن من استخدامه من البطاقة.

المهم بعد أن تحصل على البطاقة، أنت بحاجة إلى قارئ للبطاقات الذكية لتستفيد منها، نصحني بعض الأصدقاء على آيدنتكا باستخدام قطعة SCM Microsystems SCR335. نسيت الموضوع لبضعة أشهر ثم تذكرت الأمر فجأة بعد أن استمتعت إلى خطبة إبن موغلن فاشتريتها من eBay قبل بضعة أسابيع واليوم بدأ الاستخدام الرسمي.

من الآن فصاعدًا سوف أحرص على توقيع كل رسائلي الإلكترونية. هذا يعني ببساطة أني أعددت برنامج البريد الذي أستخدمه (ومعظم برامج البريد تدعم ذلك) ليرفق “التوقيع الرقمي” مع كل رسالة. يمكنك أن تحصل على مفتاحي العلني بطرق عدة (وآمن طريقة أن نلتقي شخصيًا لنتبادل المفاتيح) ثم تتحقق من كل رسالة أرسلها (يمكن أيضًا ضبط معظم برامج البريد لتتحق تلقائيًا).
يمكنك أيضًا أن تُعمّي كل الرسائل التي ترسلها لي باستخدام مفتاحي العلني لأتمكن وحدي من قراءتها، لكن -مرة أخرى- الوسيلة الآمنة الوحيدة أن نتبادل المفاتيح شخصيًا خشية أن تحصل على مفتاح غير مفتاحي العلني الحقيقي (بالخطأ أو بفعل فاعل).

أنصح الجميع باستخدام GnuPG اليوم قبل غد لأنه يسد أبوابًا من الاحتيال والنصب والتنصت. مجرد فهمك للفكرة التي شرحتها أعلاه ستمكنك بسهولة من توليد المفاتيح وضبط عميل بريدك والبدء في استخدامه فورًا. سوف يتمكن مراسلوك الذين لا يستخدمون GnuPG من قراءة بريدك بالصورة العادية، لكن من أراد التحقق فيستمكن من ذلك بسهولة. يمكنك طبعًا استخدام GnuPG دون البطاقة ودون القارئ بالطريقة العادية.

إذا أردت أن تكون المراسلات بيننا معماة فاطلب ذلك رجاءً بعد أن تعمي الرسالة بمفتاحي العلني. أتمنى أن تكون كل المراسلات التي أجريها معماة يومًا ما!

إذا كنت تتفق مع ما تناضل مؤسسة البرمجيات الحرة في أوروبا له، فلا تتردد في الانضمام إلى زمالتها فهي تستحق الدعم.

6 تعليقات

  1. لم أفهم المقصد من الفكرة. هل سيضطر كل من يريد استقبال رسائلك الخاصة أن يحصل على بطاقة وقارئ بطاقات؟ ربما يسهل علينا وضعُ المصطلحات الأصلية في المقال إلى جانب الترجمة العربية فهمَه.

    • أهلا ماجد. كلا، ليس الأمر كذلك.
      كل ما في الأمر أني أعددت برنامج البريد الذي أستخدمه لتوقيع (Signing) البريد بإرفاق ملف صغير يحتوي رموزًا خاصة بكل رسالة بترتيب وطول معين لا يمكن أن ينتجها سوى مفتاحي الخاص (Private key) ولا يمكن التحقق منها إلا بمفتاحي العلني (Public key).

      إذا كنت تستخدم GPG (سواءً عبر البطاقة أو بدونها -لا فرق إلا في سهولة الحمل والجذب-) وإذا كنت تملك مفتاحي العلني فيمكن أن تتأكد أن هذه الرسالة وصلتك مني حتمًا.

      سوف يتمكن مراسلوك الذين لا يستخدمون GnuPG من قراءة بريدك بالصورة العادية، لكن من أراد التحقق فيستمكن من ذلك بسهولة. يمكنك طبعًا استخدام GnuPG دون البطاقة ودون القارئ بالطريقة العادية.

      الأمر الآخر أني سأرسل لمن يطلب وسأستقبل من أي أحد رسائل مُعماة (Encrypted/مشفرة) بنفس فكرة المفتاح العلني والمفتاح الخاص لكنها لن تكون الأصل.

      عمومًا القضية فعلا تستحق قراءة القليل عنها وهي ليست صعبة مطلقًا.

      • جميل استخدام هذه التقنيات لزيادة الخصوصية، ولكنني لن أعتمد عليها أبدًا لحماية خصوصيتي في عالم لا يحترم الخصوصية. لا أظن أننا وصلنا إلى مرحلة تمكننا من الثقة في مقدمي خدمة البريد الإلكتروني، وعميل الاستقبال (إن كان احتكاريًا)، بل ومقدم خدمة الإنترنت والهاتف نفسه (الذي لا يعتبر أي معايير للحرية الشخصية).

      • مشوار تحقيق الخصوصية طويل لكن تعمية الرسائل تكفلها لك وللمتلقي. قوة gpg لا شك فيها ولا يمكن لا لمزود البريد ولا للمزود الإنترنت ولا لأي أحد آخر قراءة الملفات المُعمّاة ما لم يحصل على المفتاح الخاص الذي يبلغ طول 2048 حرف (هذا يعني أن أمامك على الأقل 68^2048 احتمال، وهذا يعني ألا حاجة للقلق).
        ربما لا يمكن ضمان أن 100% من معلوماتك تنتقل بأمان إلى الطرف المعني (ليس قبل صندوق الحرية!)، لكن يمكن بسهولة رفع النسبة الحالية وعلى من يهمه الأمر أن يقوم بما يستطيع.

  2. منذ زمن لم أدخل قارئ جوجل للخلاصات لأجد ان الكثير من مقالاتك ذهبت علي و لم أقرأها 🙁 .

    طريقة التشفير رائعة ولكن نحتاج الى وقت كبير الى نشر هذه الفكرة …. وخاصةً أن الخصوصية عندنا هي من الأمور التي تكاد منسية أو ربما غير موجودة !!!

أضف تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *