من أجل تحقيق أمان جيد ، من المفيد أن تفهم قليلاً عن أفضل طريقة لاستخدام اكسكربت مع كلمات المرور وأمان الكمبيوتر المحلي. هناك أيضًا بعض التفاصيل حول الخوارزميات والأساليب المستخدمة في اكسكربت أدناه.
لماذا يعد اكسكربت آمنًا؟
يعتبر اكسكربت آمنًا لأنه يسعى إلى استخدام الممارسات والخوارزميات المقبولة فقط ولا يحاول ابتكار أي خوارزميات أو طرق تشفير جديدة. إنه أيضًا مفتوح المصدر ؛ يمكن لأي شخص فحص الكود المصدري ، والتحقق من وجود أخطاء أو سهو أو أبواب خلفية. لقد تم استخدامه وفحصه بحثًا عن نقاط الضعف لأكثر من 15 عامًا وجربه أكثر من 30 مليون مستخدم ، دون أي نقاط ضعف معروفة.
ما مدى أمان اكسكربت؟
ينقسم هذا السؤال إلى أطوال مفاتيح التشفير الفعالة. طول المفتاح المستخدم هو 128 أو 256 بت - لا يُعتقد حاليًا أن البحث الشامل هو خيار في أي من الحالتين وهو غير ممكن من الناحية الحسابية من حيث التشفير. تكمن المشكلة في كلمات المرور المستخدمة - هذه هي نقطة الضعف. يمكنك قراءة المزيد حول ما يجب مراعاته عند اختيار كلمة مرور أدناه.
اعتبارات كلمة المرور
يستخدم اكسكربت AES-128 أو AES-256 في الإصدار الممتاز- ولكن إذا كنت ترغب في تحقيق هذا المستوى من الأمان ، فيجب أن تمنحه 128 أو 256 بتًا من البيانات "العشوائية" الحقيقية. هذا صعب للغاية ، ولكن أسهل طريقة للتعامل مع هذا هو استخدام منشئ كلمات المرور المضمّن في الممتاز.
للحصول على 128 أو 256 بت فعليًا ، سيتعين عليك عمليًا حفظ كلمة المرور هذه في ملف نصي ، ثم الاحتفاظ بهذا الملف النصي سريًا للغاية ، وباستخدام اللغة الإنجليزية النموذجية في كلمة مرور ، فإن 128 بت تعادل تقريبًا 10 "عشوائي" الكلمات ، و 256 بت بذلك ضعف هذا. لا تستخدم جمل ذات مغزى ولا تستخدم على الإطلاق اقتباسات مشهورة أو حتى غامضة! من خلال إدخال اختلافات في الحالة ، بالإضافة إلى الأحرف غير الأبجدية ، يمكنك تقليل عدد الكلمات اللازمة. لا ينصح باستخدام أقل من 5 كلمات. إذا كنت تستخدم مجموعة عشوائية تمامًا من الأحرف والأرقام الكبيرة والصغيرة ، فستحتاج إلى 22 حرفًا لتحقيق أمان 128 بت ، وبالتالي 44 حرفًا لكل 256 بت. (ما ورد أعلاه هو تبسيط بسيط للمشكلة ، ولكن يجب أن يخدم ذلك.) تتيح لك ميزة التمزيق أو المسح في اكسكربت مسح الملفات بطريقة تجعل من المستحيل استرداد المحتويات باستخدام برنامج إلغاء الحذف. ومع ذلك ، هناك بعض المحاذير:
قد يتم استرداد اسم الملف وكذلك الحجم.
إذا تم عرض الملف أو تحريره باستخدام تطبيق يقوم بإنشاء نسخ مؤقتة من المحتوى (مثل مايكروسوفت أوفيس) ، فقد تظل هذه النسخ المؤقتة متاحة لإلغاء حذفها على القرص الثابت.
راجع القسم الخاص بأمان الكمبيوتر الشخصي المحلي للحصول على نصائح حول كيفية زيادة هامش الأمان لهذه الأمور.
أمان الكمبيوتر المحلي
لن يقوم برنامج اكسكربت في حد ذاته بحماية جهاز الكمبيوتر المحلي الخاص بك ، على سبيل المثال:
التعرض للبيانات بسبب:
تحتفظ تطبيقاتك بنص واضح في الذاكرة ، والذي يتم وضعه لاحقا في ملف ترحيل الصفحات.
تنشئ تطبيقاتك ملفات مؤقتة لا يتم مسحها بشكل صحيح.
قراءة عميقة لبيانات القرص الصلب التي تم استبدالها ببرامج مخصصة ومعدات معملية.
التعرض لكلمة المرور بسبب:
تدوير الطاقة في وقت غير مناسب لجهاز الكمبيوتر الخاص بك وتحليل الشفرات اللاحق.
متشمموا لوحة المفاتيح ، سواء في الأجهزة أو البرامج.
إهمال استخدام:
كلمات مرور قوية ، إما باستخدام اكسكربت أو تسجيل الدخول الخاص بك.
شاشات توقف محمية بكلمة مرور.
مفاتيح الحساب
مفتاح الحساب هو ما يمكّن من تنفيذ العديد من الميزات الغنية الجديدة ، مثل السماح لأعضاء الفريق الآخرين بفتح ملفات مؤمنة باستخدام كلمات المرور الخاصة بهم. من الناحية الفنية ، يتكون مفتاح حساب اكسكربت من زوج من المفاتيح العامة يتكون من جزء عام (غير سري) وجزء خاص (سري) وبعض البيانات الوصفية الأخرى.
يتم دائمًا تأمين مفتاح الحساب بكلمة المرور الخاصة بك أيضًا ، على الرغم من أن جزءًا واحدًا منه ليس سريًا ويتم استخدامه عند تأمين الملفات لك ولفريقك. بالنسبة لك ، تتمثل الفائدة في أنه يمكنك تغيير كلمة المرور لجميع الملفات في عملية واحدة. بالنسبة لأعضاء فريقك ، تتمثل الفائدة في أنه يمكنك أنت وفريقك السماح لبعضكما البعض بفتح الملفات المؤمنة دون مشاركة كلمات المرور بمجرد تحديد عنوان البريد الإلكتروني للعضو الآخر.
يمكن لأي شخص استخدام عنوان بريدك الإلكتروني للسماح لك بفتح ملف مؤمن بعبارة المرور الخاصة بك ، ويمكنك السماح لأي شخص لديه عنوان بريد إلكتروني بفتح ملف مؤمن بواسطتك. يتم تمكين كل هذا من خلال الجزء العام من مفتاح الحساب المتاح على الخادم الخاص بنا.
الخوارزميات
أساسيات التشفير هي AES-128 أو AES-256 للتشفير المجمع ، و PBKDF2 مع HMAC-512 لاشتقاق المفتاح ، و 4096 بت RSA لمفتاح الحساب ، و HMAC-512 للتحقق من السلامة.
تعتبر الخوارزميات المستخدمة آمنة على هذا النحو ، على حد علمنا ، من قبل حكومة الولايات المتحدة ومجتمع الإنترنت. يرجى الاطلاع على حزمة المستندات وكود المصدر للحصول على التفاصيل.
يتم التفاف مفتاح كلمة المرور باستخدام مواصفات NIST لـ AES Key Wrap. يتم استخدام المفتاح المشتق من كلمة المرور مع PBKDF2-SHA512 كمفتاح تشفير فقط.
كإجراء مضاد للقوة الغاشمة ، يتم التفاف المفتاح مع ما لا يقل عن 5000 تكرار ، مما يزيد من جهد العمل بحوالي 12 بت. يتم تحديد عدد التكرار الفعلي ديناميكيًا ، القيمة النموذجية هي 25000 إلى 100000 ، مضيفة 14-17 بتًا من طول المفتاح الفعال. أسرع آلة تقوم بتثبيت اكسكربت عليها - كلما كان الأمان أفضل!
يستخدم اكسكربت معيار التشفير المتقدم بمفاتيح 128 بت أو 256 بت في وضع العداد مع IV "عشوائي" لتشفير البيانات.
للتحقق من النزاهة ، يستخدم اكسكربت HMAC-SHA512 ، أي رمز مصادقة رسالة التجزئة باستخدام SHA-512 بإخراج 512 بت.
مولد الرقم العشوائي الزائف (PRNG) المستخدم هو في الأساس نظام التشغيل المقدم ، وفي بعض الحالات تمت إضافة إنتروبيا.
ومع ذلك ، قد تكون هناك أخطاء في التنفيذ لدينا - وهذا هو سبب كونه مفتوح المصدر ، لذلك يمكنك أنت وأقراننا مراجعته والاحتفاظ به آمنًا. لا ينبغي أن يؤخذ هذا على أنه مستوى منخفض من الثقة في الكود الخاص بنا - أي شخص يخبرك أن الكود الخاص به لا تشوبه شائبة هو إما عديم الخبرة أو كاذب.
هل اكسكربت متوافق مع HIPAA؟
لا يوجد شيء مثل برنامج متوافق مع HIPAA. يمكن أن تكون المنظمات والإجراءات فقط متوافقة مع HIPAA.
يخضع الاستخدام المناسب للتشفير والضمانات الفنية الأخرى لمعايير أمان HIPAA ، 45 CFR 160 و 162 و 164. القسم ذي الصلة هو 164.312 الضمانات الفنية. لم يتم تقديم أي توصيات أو متطلبات تتعلق بتقنيات تشفير محددة هناك أيضا ، فقد تمت الإشارة على وجه التحديد إلى أن اللائحة محايدة من الناحية التكنولوجية. الأمر متروك لكل مؤسسة لتقييم وضعها ومخاطرها ، ومن ثم تنفيذ المواصفات المطلوبة أو القابلة للعنونة.
على الرغم من أن المعيار لا يشير إليه بأي حال من الأحوال إلا في التعليقات ، فإن سياسة أمان الإنترنت CMS ، وهي وجهة النظر الحالية لمراكز الرعاية الصحية والخدمات الطبية لاستخدامها الخاص ، تحدد بعض المستويات التكنولوجية الدنيا لحالات معينة. يفي اكسكربت بهذه المتطلبات للإرسال عبر الإنترنت - ولكن يجب على مؤسستك تقييم ما إذا كان كافيا لاستخدام نفس المستوى مثل مراكز خدمات ميديكير و ميديكيد بشكل مستقل.
الأجزاء التي قد (ويجب) أن تكفيها اكسكربت باعتبارها (جزءا من) الحماية الفنية هي:
التحكم في الوصول / التشفير وفك التشفير - AES-128 / AES-256
النزاهة / المصادقة - نقل HMAC-SHA-512
ضوابط الأمان / النزاهة ، التشفير AES-128 / AES-256 / HMAC-SHA-512
يسمح معيار HIPAA الأمني باستخدام التشفير كأساس للتحكم في الوصول ، أي لحماية خصوصية البيانات في حالة السكون (المخزنة على قرص ثابت بدلاً من عبور الإنترنت على سبيل المثال). سوف يلبي اكسكربت معظم متطلبات المؤسسات هنا أيضًا.