حملات دی او اس نتیجه بخش تر و قدرتمندانه‌تر شده‌اند

 
محققان امنیت سایبری هشدار می‌دهند حملات موسوم به دی او اس در ماه‌های اخیر نتیجه بخش تر و قدرتمندتر شده و به شیوه‌هایی خلاقانه تر انجام می‌شوند.
 
 به نقل از زد دی نت، گزارش تازه مؤسسه امنیتی نت اسکات نشان می‌دهد در نیمه اول سال ۲۰۲۱ حدود ۵.۴ میلیون حمله از نوع دی او اس به ثبت رسیده که نسبت به مدت مشابه سال قبل ۱۱ درصد افزایش نشان می‌دهد.
 
در قالب حملات دی او اس سیل درخواست به سمت سایت‌های اینترنتی و ارائه دهندگان خدمات مختلف دیجیتال روانه می‌شود و در نتیجه این درخواست‌های بیشمار، سرورهای سایت‌ها و خدمات گوناگون کند شده یا از کار می‌افتند. در نتیجه دسترسی کاربران به آنها قطع می‌شود.
 
مهاجمان معمولاً بعد از آلوده کردن رایانه‌ها، ابزار متصل به اینترنت اشیا و غیره شبکه‌هایی موسوم به بوت نت به وجود می‌آورند و از آنها برای مدیریت و هدایت روند حملات دی او اس استفاده می‌کنند.
 
در گذشته این حملات به طور کور و عمومی به منظور اختلال در سایت‌ها و خدمات اینترنتی انجام می‌شدند، اما حالا آنها به طور مشخص برای از دسترس خارج کردن سرویس‌های کلود خاص، ابزار دفاعی تحت وب و غیره به کار می‌روند. ابزار حملات یادشده نیز متحول و به روز شده و قدرت و دقت بیشتری نسبت به گذشته دارند. این امر شناسایی مبدا ارسال ترافیک مزاحم و مقابله و مسدود کردن آنها را دشوار کرده است.
 
مهاجمان در موارد زیادی با سوءاستفاده از آسیب پذیری‌های نرم افزاری برنامه‌های گوناگون می‌توانند به پنهان کاری روی آورده و مقابله با حملات دی او اس را دشوار کنند. تعداد منابع حملات دی او اس نیز روز به روز در حال افزایش است که چالش دیگری برای مقابله با حملات مذکور است.

حمله سایبری کشاورزان آمریکایی را به دردسر انداخت

 
حمله سایبری به شرکت نیو کورپوریتیو که در ایالت آیووای آمریکا خدمات متنوعی را به کشاورزان ارائه می‌دهد باعث شد تا این افراد دچار مشکلات متعددی شوند.
 
 به نقل از رویترز، شرکت مذکور مجبور شد برای مهار حملات یادشده شبکه رایانه‌ای خود را آفلاین کند و همین مساله موجب اعتراض کشاورزان شد.
 
این شرکت انبارهای ذخیره غلات را در آیوا اداره می‌کند که بزرگترین تولیدکننده ذرت در ایالات متحده است. خرید محصولات کشاورزی و فروش کود و سایر مواد شیمیایی مورد نیاز برای کشت محصولات کشاورزی از جمله دیگر خدمات این شرکت است.
 
علاوه بر این، شرکت نیو کورپوریتیو دارای پلتفرم‌های فناورانه خاصی برای استفاده کشاورزان است تا به آنها مشاوره‌های زراعی برای افزایش برداشت محصول ارائه شود.
 
اما حالا همه این خدمات به علت حمله سایبری از دسترس خارج شده است.
 
نیو کورپوریتیو مدعی شده حملات سایبری مذکور را مهار کرده و در حال همکاری با پلیس و متخصصان امنیتی سایبری برای شناسایی عوامل حملات مذکور است. هنوز مشخص نیست پلتفرم‌های این شرکت چه زمانی دوباره در دسترس قرار گرفته و آنلاین می‌شوند.

هشدار مرکز ماهر به شرکتهای بازرگانی برای تبادلات مالی بین‌المللی

 
مرکز ماهر به شرکت‌های بازرگانی که تبادلات مالی بین‌المللی دارند در خصوص امکان هک ایمیل طرفین قرارداد و بروز خسارت های میلیون دلاری هشدار داد.
 
 مرکز ماهر با هشدار به شرکت‌های بازرگانی که تبادلات مالی بین‌المللی دارند اعلام کرد: با توجه به موارد ارجاع شده به مرکز ماهر، اخیراً ارسال پیش فاکتورهای مشابه با پیش فاکتور اصلی با شماره حساب جعلی شریک خارجی، مشاهده شده است.
 
این حملات عمدتاً از طریق هک ایمیل طرف داخلی، خارجی و یا هردو اتفاق افتاده است و گاهاً سبب خسارت‌های میلیون دلاری به یکی از طرفین شده است.
 
مرکز ماهر به شرکت‌های بازرگانی داخلی اکیداً توصیه کرده که قبل از واریز هر گونه مبلغ به حساب طرف خارجی، از صحت شماره حساب از مسیرهایی غیر از ایمیل (نظیر تلفن، واتس آپ و یا غیره) اطمینان حاصل کنند.

خسارت میلیون‌دلاری به شرکت‌های بازرگانی با شماره حساب جعلی

 
ارسال پیش‌فاکتورهای مشابه با پیش‌فاکتور اصلی با شماره حساب جعلی شریک خارجی، ممکن است از طریق هک ایمیل طرف داخلی یا خارجی اتفاق بیفتد و سبب خسارت‌های میلیون دلاری شود و به این منظور، به شرکت‌های بازرگانی داخلی که تبادلات مالی بین‌المللی دارند، باید قبل از واریز هرگونه مبلغ، از صحت شماره حساب اطمینان حاصل کنند.
 
 انگیزه‌های متعددی هم‌چون کسب شهرت، قدرت نمایی، حذف مطالب مخالفان و یا آزار باعث می‌شود که افرادی همواره علاقمند هک و یا نابودی برخی سایت‌ها باشند. بسیاری اوقات تصور غلطی از این گونه هکرها وجود دارد و معمولا شیوه‌هایی که معمولا برای هک وبلاگ‌ها استفاده می‌شود، بسیار ساده و رایج است و با کمی دقت می‌تواند از محتوا و مطالب وب‌سایت در برابر افرادی که سوءنیت دارند محافظت کرد.
 
با توجه به موارد ارجاع‌شده به مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)، اخیراً ارسال پیش‌فاکتورهای مشابه با پیش‌فاکتور اصلی با شماره حساب جعلی شریک خارجی، مشاهده شده است. این حملات عمدتا از طریق هک ایمیل طرف داخلی، خارجی و یا هردو اتفاق افتاده و گاهی سبب خسارت‌های میلیون دلاری به یکی از طرفین شده است. به این منظور، به شرکت‌های بازرگانی داخلی که تبادلات مالی بین‌المللی دارند، اکیدا توصیه می‌شود که قبل از واریز هرگونه مبلغ به حساب طرف خارجی، از صحت شماره حساب از مسیرهایی غیر از ایمیل (نظیر تلفن، واتس‌اپ و یا غیره) اطمینان حاصل کنند.
 
هکرها تلاش می‌کنند با ارسال ایمیل و پیام‌هایی، مدیران وب‌سایت کاربران را فریب دهند تا نام کاربری و کلمه عبور آنها را به دست آورند. هکرها تمام تلاش خود را می‌کنند که ایمیل‌ها هرچه بیشتر واقعی به نظر برسند. اما با کمی دقت می‌توان دریافت که ایمیل‌ها جعلی هستند. ایجاد صفحات جعلی (فیشینگ) یکی از شیوه‌های رایج سرقت اطلاعات کاربران وب‌سایت‌های مختلف در جهان است. در این شیوه هکرها صفحاتی بسیار شبیه صفحه نخست یا صفحه ورود کاربران (Login) یک سایت را طراحی می‌کنند و آن را در آدرسی که شبیه آدرس اصلی سایت باشد قرار می‌دهند. آن‌ها این گونه صفحات را به شیوه مختلف مانند ارسال ایمیل یا چت برای قربانی خود ارسال می‌کنند و در این میان گاهی افراد بدون دقت در مورد آدرس اصلی صفحه فوق کلمه عبور خود را وارد این صفحه می‌کنند که در نهایت در اختیار هکر قرار خواهد گرفت.
 
این شیوه یکی از شیوه‌های رایج برای هک ایمیل‌ یا سرقت اطلاعات مالی افراد است. دقت در نوار آدرس مرورگر و بررسی صحت آدرس وب‌سایت در مواقعی که قرار است اطلاعات مهمی هم‌چون کلمه عبور را در صفحه‌ای وارد کنیم می‌تواند بهترین شیوه برای حفاظت در برابر چنین تهدیدی باشد. سایت‌ها و وبلاگ‌های مرتبط با موضوع هک مملو از تروجان‌ها و نرم‌افزارهای جاسوسی است که با هدف سرقت کلمه عبور ایمیل‌ها است.
 
نفوذ به ایمیل افراد می‌تواند گامی موثر و برای سرقت اطلاعات وب‌سایت باشد. دقت در دریافت و به‌خصوص اجرای فایل‌ها و استفاده از نسخه‌های به‌روزشده آنتی‌ویروس‌ها و نرم‌افزارهای فایروال می‌تواند تا حدود زیادی خطرات چنین تهدیدی را کاهش دهد. کامپیوترهایی که مورد استفاده عموم هستند مانند کامپیوترهای کافی‌نت‌ها یا دانشگاه‌ها بهترین گزینه برای نصب نرم‌افزارهای جاسوسی و سرقت اطلاعات کاربران است و استفاده‌کنندگان از این کامپیوترها بیشتر در معرض تهدید و سرقت اطلاعات مهم خود هستند.
 
بنابراین تا آن جا که ممکن است اطلاعات مهم خود را در کافی‌نت‌ها یا کامپیوترهای دانشگاه وارد نکنید یا حداقل اگر چنین می‌کنید در دوره‌های زمانی کوتاه کلمه عبور خود را تغییر دهید. حدس و تست چند کلمه عبور یکی از شیوه‌هایی خواهد بود که در هک ایمیل اتفاق می‌افتد، کسانی که کلمات عبور ساده‌ای مانند نام کاربری خود یا نام واقعی خود یا اعداد ساده و قابل حدس انتخاب می‌کنند بیش از دیگران نسبت به سرقت اطلاعاتشان مقصر هستند. بنابراین لازم است کلمات عبور مناسب و پیچیده‌ای انتخاب کنید.
 
هم‌چنین مانیتورینگ ترافیک شبکه و مشاهده کلمه‌های عبور وارد شده توسط کارمندان یک شرکت یا سازمان توسط مسؤولان فنی شبکه و یا فریب مسوولان پشتیبانی سایت یا شرکت میزبان وب‌سایت و هم‌چنین فریب کاربران طمعکار با عنوان هک وب‌سایت دیگران با ورود کلمه عبور شخصی خودشان نیز از شیوه هایی هستند که در مواردی باعث صدمه به محتوای یک وبلاگ شده‌اند.
 

جلسه اضطراری کاخ سفید با شرکت‌های فناوری برای ارتقا امنیت سایبری

به دنبال برگزاری جلسه اخیر کاخ سفید پیرامون امنیت سایبری، «جو بایدن» رئیس جمهور آمریکا از جانب شرکت‌های بزرگ فناوری وعده دارد سرمایه‌ گذاری‌های بزرگ در بخش سایبری انجام می‌شود. برای نمونه در این خصوص هر یک از شرکت‌های مایکروسافت و گوگل میلیاردها دلار به سرمایه گذاری‌های خاص در بخش امنیت سایبری متعهد شدند.
 
این ملاقات در پی مجموعه‌ای از حوادث قابل ملاحظه امنیتی از جمله حمله باج‌افزاری به شرکت «کلونیال پایپلاین» که وظیفه‌ی حمل نفت و گاز در سراسر جنوب شرقی آمریکا را دارد انجام شد و در کنار آن حمله به شرکت زنجیره تامین نرم‌افزار «سولارویندز» و هک گسترده سرورهای نرم‌افزار «اکسچنج» مایکروسافت نگرانی‌ها را در این زمینه افزایش داد.
 
کاخ سفید در بیانیه‌ای اعلام کرد «تلاش کل کشور» برای مقابله با تهدیدات امنیت سایبری ضروری است. مایکروسافت در این خصوص گفت طی پنج سال آینده سرمایه‌گذاری بالغ بر 20 میلیون دلار انجام می‌دهد تا امنیت سایبری را با طراحی ویژه توسعه دهد و راهکارهای امنیتی پیشرفته در اختیار سازمان‌ها بگذارد.
 
این شرکت همچنین اعلام کرد به شکل فوری 150 میلیون دلار خدمات فنی برای کمک به دولت‌های فدرال، ایالتی و محلی ارائه می‌دهد تا در زمینه‌ی ارتقا امنیت خود از این مبالغ استفاده کنند.
 
شرکت گوگل نیز توضیح داد ظرف پنج سال آینده 10 میلیارد دلار برای توسعه‌ی برنامه‌های اعتمادسازی، امنیت زنجیره تامین نرم‌افزار و افزایش امنیت نرم‌افزارهای منبع باز اختصاص می‌دهد. این شرکت همچنین گفت به 100 هزار آمریکایی کمک می‌کند تا گواهینامه‌های مهارت‌های دیجیتالی شناخته شده در صنعت فناوری را دریافت کنند.

تعقیب دو کاربر توئیچ به علت نفرت پراکنی

 
دو کاربر سرویس پخش زنده بازی توئیچ در آمریکا به علت نفرت پراکنی مورد پیگرد قضائی قرار گرفتند. این افراد از ماه‌ها قبل کاربران مختلف را آزار داده بودند.
 
 به نقل از ورج، بسیاری از کاربران در مورد اقدامات این دو فرد نفرت پراکن گزارش‌هایی را برای توئیچ ارسال کرده بودند، اما این شرکت تا به حال توجهی به این مساله نشان نداده بود.
 
شکایت از این دو نفر با اسامی مستعار کروز کنترل و کریتین اوردوز تقدیم یک دادگاه فدرال در آمریکا شده است. این دو نفر با طراحی نزدیک به سه هزار حساب کاربری قلابی و رباتیک محتوای نفرت پراکن خود را در توئیچ منتشر می‌کردند.
 
بات های یادشده توسط کروز کنترل طراحی و توسط کریتین اوردوز مدیریت شده و از آنها برای نفرت پراکنی بر علیه سیاهان و برخی اقلیت‌های دیگر استفاده می‌شد.
 
بات های یادشده الهام بخش افراد دیگری برای طراحی نمونه‌های مشابهی برای نفرت پراکنی و آزار و اذیت نیز شد. تلاش برای شناسایی و مقابله با این افراد نیز ادامه دارد.

رسیدن مرز سایبری کشور به گیت وی سازمان‌ها

 
یک پژوهشگر حوزه امنیت فضای مجازی با بیان اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان‌ها و شرکت‌ها رسیده است، گفت: دستگاه واحدی باید مسئول جریان داده‌ای و امنیت سایبری کشور شود.
 
احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی به تشریح چالش‌های حوزه امنیت سایبری پرداخت و به این سوال پاسخ داد که آیا قوانین فعلی در حوزه امنیت داده در کشور کفایت می‌کند و یا اینکه نیازمند تدوین قوانین و مقررات در حوزه حکمرانی داده هستیم.
 
وی با بیان اینکه در حوزه امنیت داده در فضای مجازی، مسئولیت‌ها نه برای ناظر و نه برای دارنده داده، مشخص نیست، اظهار داشت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی قرار است داده مورد نیاز برای هدفی خاص توسط ذی‌نفعان مشخص، تحت سیاست‌های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود.
 
کیانخواه با اشاره به اینکه هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خود را انجام می‌دهد و این وجه سخت سازمان است، ادامه داد: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می‌برد. این همان مفهوم حکمرانی است.
 
وی با بیان اینکه اشکال وضعیت جاری در حوزه سازمان‌های ما، وظیفه‌گرا شدن است ادامه داد: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار انجام نمی‌شود. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت‌ها نیست. بلکه مساله انجام صرفاً وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است.
 
نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی تاکید کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در راستای توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص کند. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته‌نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده‌نگرانه که به رصد لحظه‌ای و پیش‌بینی‌ها استوار است.
 
وی با بیان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه‌دار باشند، خاطرنشان کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده‌ای نیازمند نظارت مستمر است. جریان‌های ناهنجار باید رصد و کشف و متوقف شود. اینکه مرز سایبری کشور به پشت دروازه ( GateWay) سازمان‌ها و شرکت‌ها رسیده جای تأسف و بازنگری را دارد.
 
کیانخواه با اشاره به اینکه هم اکنون مراکز داده که نیاز به ارائه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده‌اند و در حد پیامک و اطلاع رسانی‌های سایت محور به آن‌ها توجه می‌شود ادامه داد: نیازمند سازماندهی متمرکز برای استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در حوزه امنیت سایبری مسئولیت‌پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده‌ای کشور، هم‌گام و هم‌یار دستگاه‌ها در حفظ امنیت سایبری کشور که هم‌ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه‌های آینده از همین امروز آماده شد.
 
چالش جدی دو مرکز ماهر و افتا
 
وی در پاسخ به این سوال که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورای عالی فضای مجازی دارای مسئولیت‌هایی در این زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در حوزه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آن را بر عهده نمی‌گیرند، گفت: اصل وجود قانون اقدام مثبتی است. دستگاه‌های مختلفی در حوزه امنیت فعال هستند و این تقسیم‌کاری برای ایجاد هم‌افزایی خوب است. اما مسئله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به‌درستی دیده‌شده است؟
 
این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به اینکه شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه‌ای خارج از کشور با مسیریابی‌های بدون مانع وارد می‌شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه نیز همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره‌های شبکه، پاسخ (Response) به درخواست ارسال می‌شود.
 
وی ادامه داد: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی نیز سهولت برقرار می‌کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور ارائه‌دهنده محتوا دسترسی پیدا می‌کنند. حال بر اساس معماری شبکه ارائه‌دهنده سرویس و توان هکر یا گروه‌های هکری، میزان تاب‌آوری مرکز داده مشخص می‌شود.
 
کیانخواه با اشاره به اینکه امنیت دستگاه‌ها بر اساس سطح اهمیت بین دو مرکز ماهر و افتا تقسیم‌شده است، خاطرنشان کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم‌سازی دستگاه‌ها است. ابزار انجام این وظایف، اطلاع‌رسانی، آموزش و نظارت‌های دوره‌ای است.
 
وی با بیان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل‌جبران بوده یا سخت قابل جبران است، افزود: به‌طور مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن سرویس‌های حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است.
 
این پژوهشگر با اشاره به اینکه اشکالات و باگ های نرم‌افزاری و سخت‌افزاری سامانه‌ها عموماً پس از آسیب‌پذیری آشکار می‌شود، ادامه داد: یعنی اول تهدید بالقوه یا بالفعل عملی شده پس از آن فکر چاره می‌شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می‌شود؟ آیا صرفاً با رصد سامانه‌های امنیتی خارجی هشدارها صادر می‌شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده‌شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می‌شود. این چالش جدی دو مرکز افتا و ماهر است.
 
دلایل ناکارآمدی مراکز افتا و ماهر
 
به گفته کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می‌کنند و علی‌رغم تلاش‌های زیاد کارکنان مراکز مرتبط با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال گذشته ضربات جبران‌ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ‌داده است.
 
وی یکی از دلایل اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت‌ها در مقابل احتمال حادثه عنوان کرد و گفت: اول اینکه این مراکز خود را پشتیبان می‌بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم اینکه به علت حجم بالای نفوذ حملات سایبری حساسیت‌ها در کنترل کاهش پیداکرده درصورتی‌که نشت حتی یک بیت داده جبران‌ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات نیز ممکن است منجر به استثمار سده‌های آینده شود.
 
ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود
 
وی در پاسخ به این سوال که چرا سامانه‌های نظارتی سازمان‌های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ گفت: در مورد اینکه چرا سامانه‌های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه‌های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار هستند اما با این حال حوادث نشان می‌دهد ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود، یعنی مخاطره به‌دقت کشف نمی‌شود و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی‌شود.
 
کیانخواه گفت: وقتی مدل‌های ارزیابی ریسک دستگاه‌های ناظر بررسی می‌شود، این بی‌توجهی و بی‌دقتی قابل‌مشاهده است. انواع و اقسام ریسک‌ها برای سازمان‌ها از تجربیات و استانداردهای مرتبط استخراج می‌شود. این موضوع فقط حساسیت دستگاه‌ها نسبت به کشف ریسک‌های حقیقی و حیاتی را کاهش می‌دهد.
 
هزینه تجهیزات امنیتی بالاست
 
وی با اشاره به اینکه هزینه تجهیزات امنیتی بالا است و فرایند خرید و آموزش و عملیاتی سازی تجهیزات سازمان‌ها حتی اگر در بودجه مصوبشان باشد، ماه‌ها طول می‌کشد، گفت: مدیریت سازمان‌ها عموماً علاقه‌ای به هزینه در حوزه امنیت ندارند. هزینه برای امنیت در سازمان قابل‌مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می‌شود. وقتی هم که حادثه‌ای رخ می‌دهد عملاً رخ داده است و مدیریت‌ها نیز مسئولیت قبول نمی‌کنند. البته به‌روزرسانی نرم‌افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است.
 
این پژوهشگر امنیت فضای مجازی گفت: آموزش مستمر و اثربخش هم در حوزه امنیت صورت نمی‌پذیرد و با همان سهل‌انگاری ذکرشده به این حوزه توجه نمی‌شود.
 
چالش اتکا به تکنولوژی‌های حوزه شبکه و امنیت
 
کیانخواه گفت: اتکا به‌صرف تکنولوژی‌های حوزه شبکه و امنیت هم چالش جدی است. به‌طوری که مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل‌های صاحبان تکنولوژی را اصل می‌دانند. به نظر می‌آید علاوه بر توجه به این دستورالعمل‌ها، ارزیابی ریسک دقیق دارایی‌های سازمانی و توجه به امنیت بالا همراه با سهولت در ارائه سرویس و معماری دقیق و نظارت‌پذیری شبکه هم لازم است. اتکا بیش از اندازه به تکنولوژی‌ها منجر به کاهش توجه به آسیب‌پذیرهای واقعی شبکه و زیرساخت می‌شود.
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی معتقد است که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره‌خورده است و بی‌توجهی به مسئله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم‌های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش ریسک‌های امنیتی می‌شود.
 
وی گفت: ذات فعالیت در حوزه سرویس‌های زیرساختی همراه با استرس بالا است. وقتی جبران خدمت نیز به‌درستی انجام نشود مسئولیت‌پذیری کاهش‌یافته و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و برطرف کردن مشکلات و چالش‌ها است، به نابودی می‌رود. مسائل سایبر نوبه نو می‌شود و نیاز به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای ارائه خدمات اثربخش به جامعه است.
 
کیانخواه با اشاره به اینکه سازمان‌ها و کسب‌وکارهای خصوصی و دولتی به‌راحتی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی‌نفعان خود برقرار می‌کنند، تاکید کرد: در صورتی‌که بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی‌توان سرویس و خدمتی را دایر کرد. به‌راحتی نباید سرویس‌های داده محور را بدون رعایت دستورالعمل‌های مناسب برقرار کرد. روح دستورالعمل‌ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه‌ای را داشته باشد. همیاری لازم است و نه نظارت خشک.

رسیدن مرز سایبری کشور به گیت وی سازمان‌ها

 
یک پژوهشگر حوزه امنیت فضای مجازی با بیان اینکه متاسفانه مرز سایبری کشور به پشت گیت وی سازمان‌ها و شرکت‌ها رسیده است، گفت: دستگاه واحدی باید مسئول جریان داده‌ای و امنیت سایبری کشور شود.
 
احسان کیانخواه پژوهشگر حوزه امنیت و حکمرانی فضای مجازی به تشریح چالش‌های حوزه امنیت سایبری پرداخت و به این سوال پاسخ داد که آیا قوانین فعلی در حوزه امنیت داده در کشور کفایت می‌کند و یا اینکه نیازمند تدوین قوانین و مقررات در حوزه حکمرانی داده هستیم.
 
وی با بیان اینکه در حوزه امنیت داده در فضای مجازی، مسئولیت‌ها نه برای ناظر و نه برای دارنده داده، مشخص نیست، اظهار داشت: اصولاً محور امنیت حراست از دارایی نامشهود یا داده است. یعنی قرار است داده مورد نیاز برای هدفی خاص توسط ذی‌نفعان مشخص، تحت سیاست‌های دقیق و رفتارهای اصولی، به اشتراک و توسعه گذاشته شود و نظامات کنترلی متقن برای آن برقرار شود.
 
کیانخواه با اشاره به اینکه هر سازمان دارای یک ساختار تقسیم وظایف است که هر بخش و جایگاهی کار خود را انجام می‌دهد و این وجه سخت سازمان است، ادامه داد: سازمان دارای یک وجه نرم است که فرآیندها و کارها را به پیش می‌برد. این همان مفهوم حکمرانی است.
 
وی با بیان اینکه اشکال وضعیت جاری در حوزه سازمان‌های ما، وظیفه‌گرا شدن است ادامه داد: یعنی مفهوم حکمرانی ناظر به نتیجه یا پیامد کار انجام نمی‌شود. همانند مثل معروف کندن چاله! یعنی دغدغه مدیران، مجریان زیرساخت و شبکه، متصدیان امنیت سایبری و ناظران حوزه امنیت توجه به جریان و برآیند این فعالیت‌ها نیست. بلکه مساله انجام صرفاً وظیفه مشخص شده، بدون توجه به گام قبل و بعد آن و نتیجه و پیامد مورد انتظار است.
 
نظام جامع امنیت سایبری برای توسعه اقتصاد دیجیتال ایجاد شود
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی تاکید کرد: نیازمند برقراری نظام جامع هستیم تا شاکله جریان امنیت را در راستای توسعه دولت الکترونیکی و اقتصاد دیجیتال مشخص کند. عموماً دو نوع نظارت وجود دارد، نظارت مبتنی بر نتیجه که گذشته‌نگر است و با رخداد، خسارت آن شاید اصلاً قابل جبران نباشد و نظارت آینده‌نگرانه که به رصد لحظه‌ای و پیش‌بینی‌ها استوار است.
 
وی با بیان اینکه در این راستا مراکز نظارتی باید یکپارچه شوند و مراکز داده با حفظ محرمانگی باید شناسنامه‌دار باشند، خاطرنشان کرد: شبکه اینترنت داخل کشور از لحاظ شکل جریان داده‌ای نیازمند نظارت مستمر است. جریان‌های ناهنجار باید رصد و کشف و متوقف شود. اینکه مرز سایبری کشور به پشت دروازه ( GateWay) سازمان‌ها و شرکت‌ها رسیده جای تأسف و بازنگری را دارد.
 
کیانخواه با اشاره به اینکه هم اکنون مراکز داده که نیاز به ارائه خدمات برخط دارند، بدون کمک و پناه مطمئن رها شده‌اند و در حد پیامک و اطلاع رسانی‌های سایت محور به آن‌ها توجه می‌شود ادامه داد: نیازمند سازماندهی متمرکز برای استفاده از توان بخش عمومی، دولتی و خصوصی برای ارتقا مستمر امنیت سایبری کشور هستیم. از طرفی دستگاه واحدی باید در حوزه امنیت سایبری مسئولیت‌پذیر باشد که در عین سازماندهی متمرکز و رصد مستمر شبکه و جریان داده‌ای کشور، هم‌گام و هم‌یار دستگاه‌ها در حفظ امنیت سایبری کشور که هم‌ردیف امنیت سرزمینی قرارگرفته، باشد. باید برای دهه‌های آینده از همین امروز آماده شد.
 
چالش جدی دو مرکز ماهر و افتا
 
وی در پاسخ به این سوال که نهادهایی مانند مرکز افتا، مرکز ماهر، سازمان پدافند غیرعامل و پلیس فتا طبق مصوبه شورای عالی فضای مجازی دارای مسئولیت‌هایی در این زمینه هستند اما با این وجود چرا شاهد تعدد اتفاقات در حوزه درز اطلاعات و افشای داده و تهدیدات در فضای مجازی هستیم که هیچیک از این نهادها مسئولیت آن را بر عهده نمی‌گیرند، گفت: اصل وجود قانون اقدام مثبتی است. دستگاه‌های مختلفی در حوزه امنیت فعال هستند و این تقسیم‌کاری برای ایجاد هم‌افزایی خوب است. اما مسئله این است که آیا امنیت و مقابله با حوادث سایبری در این قانون به‌درستی دیده‌شده است؟
 
این پژوهشگر حوزه امنیت و حکمرانی فضای مجازی با اشاره به اینکه شبکه اینترنت کشور از لحاظ دسترسی Flat است، توضیح داد: یعنی درخواست (Request) به یک سرور در مرکز داده داخلی از نقطه‌ای خارج از کشور با مسیریابی‌های بدون مانع وارد می‌شود. البته ذات دسترسی در اینترنت و مسیریابی در شبکه نیز همین است. یعنی با کمترین هزینه دسترسی و حرکت روی گره‌های شبکه، پاسخ (Response) به درخواست ارسال می‌شود.
 
وی ادامه داد: این سهولت مسیر دسترسی به محتوای درون سرورها، برای خرابکاری اینترنتی نیز سهولت برقرار می‌کند. یعنی با کمترین مانع و شاید بدون مانعی، هکرهای اینترنتی به سرور ارائه‌دهنده محتوا دسترسی پیدا می‌کنند. حال بر اساس معماری شبکه ارائه‌دهنده سرویس و توان هکر یا گروه‌های هکری، میزان تاب‌آوری مرکز داده مشخص می‌شود.
 
کیانخواه با اشاره به اینکه امنیت دستگاه‌ها بر اساس سطح اهمیت بین دو مرکز ماهر و افتا تقسیم‌شده است، خاطرنشان کرد: وظیفه این دو مرکز ارتقا، توانمندسازی و مقاوم‌سازی دستگاه‌ها است. ابزار انجام این وظایف، اطلاع‌رسانی، آموزش و نظارت‌های دوره‌ای است.
 
وی با بیان اینکه ابتدا باید بپذیریم هرگونه حادثه سایبری غیرقابل‌جبران بوده یا سخت قابل جبران است، افزود: به‌طور مثال نشت داده هویتی، مالی یا رفتاری کاربران یا از دسترس خارج شدن سرویس‌های حیاتی روزمره مردم قابل جبران است؟ پاسخ خیر است.
 
این پژوهشگر با اشاره به اینکه اشکالات و باگ های نرم‌افزاری و سخت‌افزاری سامانه‌ها عموماً پس از آسیب‌پذیری آشکار می‌شود، ادامه داد: یعنی اول تهدید بالقوه یا بالفعل عملی شده پس از آن فکر چاره می‌شود. حال چقدر هشدارها دقیق است؟ این هشدارها چگونه تشخیص داده می‌شود؟ آیا صرفاً با رصد سامانه‌های امنیتی خارجی هشدارها صادر می‌شود؟ سوالاتی است که باید پاسخ داده شود. بعضاً هم مشاهده‌شده با چند روز تأخیر از اعلام جهانی، هشداری صادر می‌شود. این چالش جدی دو مرکز افتا و ماهر است.
 
دلایل ناکارآمدی مراکز افتا و ماهر
 
به گفته کیانخواه، مراکز داده کمتر همراهی مستمر و سایه به سایه این مراکز را مشاهده می‌کنند و علی‌رغم تلاش‌های زیاد کارکنان مراکز مرتبط با قانون «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» حداقل در یک سال گذشته ضربات جبران‌ناپذیری به فضای سایبر کشور با نشت داده و اطلاعات رخ‌داده است.
 
وی یکی از دلایل اصلی ناکارآمدی این مراکز را شفاف نبودن مسئولیت‌ها در مقابل احتمال حادثه عنوان کرد و گفت: اول اینکه این مراکز خود را پشتیبان می‌بینند و برای خود نقش لجستیکی قائل هستند (حداقل در عمل) و دوم اینکه به علت حجم بالای نفوذ حملات سایبری حساسیت‌ها در کنترل کاهش پیداکرده درصورتی‌که نشت حتی یک بیت داده جبران‌ناپذیر است. نگاه را باید فراتر از حال و قدرت سایبری را در آینده جستجو کرد. یعنی همین یک بیت اطلاعات نیز ممکن است منجر به استثمار سده‌های آینده شود.
 
ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود
 
وی در پاسخ به این سوال که چرا سامانه‌های نظارتی سازمان‌های دولتی و حاکمیتی که مسئولیت حفاظت از اطلاعات را دارند امن نیستند؟ گفت: در مورد اینکه چرا سامانه‌های نظارتی یا غیر نظارتی، امنیت لازم را ندارند، چند نکته مدنظر است. البته عموماً سامانه‌های نظارتی به شبکه اینترنت متصل نیستند و از امنیت نسبی برخوردار هستند اما با این حال حوادث نشان می‌دهد ارزیابی ریسک امنیت سایبری به‌درستی انجام نمی‌شود، یعنی مخاطره به‌دقت کشف نمی‌شود و احتمال وقوع و دارایی در معرض خطر آن مشخص نمی‌شود.
 
کیانخواه گفت: وقتی مدل‌های ارزیابی ریسک دستگاه‌های ناظر بررسی می‌شود، این بی‌توجهی و بی‌دقتی قابل‌مشاهده است. انواع و اقسام ریسک‌ها برای سازمان‌ها از تجربیات و استانداردهای مرتبط استخراج می‌شود. این موضوع فقط حساسیت دستگاه‌ها نسبت به کشف ریسک‌های حقیقی و حیاتی را کاهش می‌دهد.
 
هزینه تجهیزات امنیتی بالاست
 
وی با اشاره به اینکه هزینه تجهیزات امنیتی بالا است و فرایند خرید و آموزش و عملیاتی سازی تجهیزات سازمان‌ها حتی اگر در بودجه مصوبشان باشد، ماه‌ها طول می‌کشد، گفت: مدیریت سازمان‌ها عموماً علاقه‌ای به هزینه در حوزه امنیت ندارند. هزینه برای امنیت در سازمان قابل‌مشاهده نیست. چون در زمان صحت کارکرد، هزینه کرد برای امنیت هدر رفت منابع توصیف می‌شود. وقتی هم که حادثه‌ای رخ می‌دهد عملاً رخ داده است و مدیریت‌ها نیز مسئولیت قبول نمی‌کنند. البته به‌روزرسانی نرم‌افزاری تجهیزات امنیتی و هزینه برای آن هم مغفول است.
 
این پژوهشگر امنیت فضای مجازی گفت: آموزش مستمر و اثربخش هم در حوزه امنیت صورت نمی‌پذیرد و با همان سهل‌انگاری ذکرشده به این حوزه توجه نمی‌شود.
 
چالش اتکا به تکنولوژی‌های حوزه شبکه و امنیت
 
کیانخواه گفت: اتکا به‌صرف تکنولوژی‌های حوزه شبکه و امنیت هم چالش جدی است. به‌طوری که مدیران شبکه و زیرساخت عموماً Vlanبندی، فایروالینگ و اتکا به دستورالعمل‌های صاحبان تکنولوژی را اصل می‌دانند. به نظر می‌آید علاوه بر توجه به این دستورالعمل‌ها، ارزیابی ریسک دقیق دارایی‌های سازمانی و توجه به امنیت بالا همراه با سهولت در ارائه سرویس و معماری دقیق و نظارت‌پذیری شبکه هم لازم است. اتکا بیش از اندازه به تکنولوژی‌ها منجر به کاهش توجه به آسیب‌پذیرهای واقعی شبکه و زیرساخت می‌شود.
 
این پژوهشگر حوزه امینت و حکمرانی فضای مجازی معتقد است که سلامت و صلابت سایبری کشور به متخصصان بخش شبکه و امنیت شبکه گره‌خورده است و بی‌توجهی به مسئله جبران هزینه مبتنی بر عملکرد آنها و کاهش تمرکز تیم‌های توسعه و نگهداری شبکه و زیرساخت منجر به افزایش ریسک‌های امنیتی می‌شود.
 
وی گفت: ذات فعالیت در حوزه سرویس‌های زیرساختی همراه با استرس بالا است. وقتی جبران خدمت نیز به‌درستی انجام نشود مسئولیت‌پذیری کاهش‌یافته و شاکله شبکه یک سازمان که همانند موجودی زنده و ارگانیک نیازمند پایش سلامتی و برطرف کردن مشکلات و چالش‌ها است، به نابودی می‌رود. مسائل سایبر نوبه نو می‌شود و نیاز به تمرکز و نگهداشت مستمر دارد و جبران خدمت متخصصان این حوزه متناسب با بازار کار و شرایط جهانی، ضرورتی برای ارائه خدمات اثربخش به جامعه است.
 
کیانخواه با اشاره به اینکه سازمان‌ها و کسب‌وکارهای خصوصی و دولتی به‌راحتی خدمات مختلفی را با یک خط اینترنت، یک سرور و یک فایروال ارزان برای ذی‌نفعان خود برقرار می‌کنند، تاکید کرد: در صورتی‌که بدون داشتن معماری دقیق شبکه مبتنی بر وضعیت جاری و توسعه پیش رو، تجهیزات مربوطه و نیروی انسانی موردنیاز، نمی‌توان سرویس و خدمتی را دایر کرد. به‌راحتی نباید سرویس‌های داده محور را بدون رعایت دستورالعمل‌های مناسب برقرار کرد. روح دستورالعمل‌ها باید گویای خبرگی و ناظر بر شرایط اجرا باشد و نباید حس بیگانگی با شرایط اجرا و اقتضائات حرفه‌ای را داشته باشد. همیاری لازم است و نه نظارت خشک.

پروتکل تضمین امنیت در برابر حملات رایانه‌های کوانتومی تدوین شد

پروژه «تدوین الزامات فنی پیاده سازی پروتکل منتخب توزیع کلید کوانتومی متغیر پیوسته» در گروه ارتباطات نوری پژوهشکده فناوری ارتباطات پژوهشگاه ارتباطات و فناوری اطلاعات به اتمام رسید.
 
به گزارش پژوهشگاه ارتباطات و فناوری اطلاعات، دکتر سارا توفیقی مجری پروژه با بیان اینکه این پروژه از دی ماه سال گذشته آغاز و در سال جاری به اتمام رسیده است، گفت: توزیع کلید امن بین دو نفر با امنیت، مبتنی بر نظریه اطلاعات و صرف نظر از توان محاسباتی استراق سمع کننده غیرمجاز، یکی از حوزه‌های کاربردی جذاب اطلاعات کوانتومی است.
 
وی افزود: سامانه‌های توزیع کلید کوانتومی به دو دسته متغیرهای گسسته (DV-QKD) و متغیرهای پیوسته (CV-QKD) تقسیم‌بندی می‌شوند. کدگذاری متغیرهای گسسته متداول‌ترین و معمول‌ترین نوع کدگذاری است و اولین پروتکل QKD معرفی شده یعنی BB۸۴ از همین قسم است. ویژگی اصلی این نوع کدگذاری این است که بلافاصله بعد از مرحله غربالگری بین فرستنده و گیرنده یک کلید مشترک توزیع می‌شود.
 
توفیقی از دیگر مزایای پروتکل‌های توزیع کلید کوانتومی متغیر گسسته به ارائه اثبات امنیت غیر مشروط برای اکثر آن‌ها اشاره کرد و گفت: پیاده‌سازی پروتکل‌های DVQKD نیازمند استفاده از چشمه‌های کوانتومی (تک فوتونی یا درهم‌تنیده) و هم‌چنین آشکارسازهای تک فوتونی است که هزینه بالای آشکارسازهای تک فوتونی از چالش‌های اساسی پیاده‌سازی این پروتکل‌ها است. همچنین نرخ عبور نیز در پروتکل‌های DVQKD خیلی پایین است.
 
وی با اشاره به تاریخچه پیاده‌سازی‌های پروتکل‌های CV-QKD از گذشته تاکنون اظهار داشت: پروتکل‌های پیوسته در مقایسه با پروتکل‌های گسسته مزایا و نقاط ضعفی دارند. پیاده‌سازی مبتنی بر فناوری موجود مزیت بزرگ کار با پروتکل‌های پیوسته است. به ویژه آن‌که این پروتکل‌ها نیازی به آشکارسازهای تک‌فوتونی ندارند و در نتیجه پیاده سازی آن‌ها مقرون به صرفه است. اما، اثبات امنیت نامشروط پروتکل‌های پیوسته کمتر از پروتکل‌های گسسته پیشرفت کرده است.
 
توفیقی ادامه داد: به این ترتیب، اگر فرض را بر امکان پیاده‌سازی موفقیت‌آمیز و امنیت یکسان هر دو نوع پروتکل بگذاریم، می‌توان گفت انتخاب بین پروتکل‌های گسسته و پروتکل‌های پیوسته، به ترتیب، انتخاب بین یک کلید خام بدون نویز با نرخ کم و یک کلید خام نویزی با نرخ بالا است. نویزی که برای غلبه بر آن به توان محاسباتی کلاسیک نیازمندیم. در ضمن به دلیل شباهت سامانه‌های توزیع کلید کوانتومی متغیر پیوسته با سامانه‌های ارتباطات همدوس کلاسیک، امکان پیاده‌سازی هم‌زمان ارتباطات کوانتومی و ارتباطات کلاسیک وجود دارد.
 
به گفته وی، در فواصل کوتاه (درون شهری) پروتکل‌های توزیع کلید کوانتومی متغیر پیوسته راه حل مقرون به صرفه برای تضمین امنیت ارتباطات در برابر حملات رایانه‌های کوانتومی می‌باشند. اما در فواصل طولانی‌تر (بین شهری) نرخ تولید کلید امن در پروتکل‌های متغیر گسسته بیشتر است. شبکه توزیع کلید کوانتومی نهایی قطعاً ترکیبی از توزیع کلید کوانتومی متغیر پیوسته و متغیر گسسته خواهد بود.
 
وی با بیان اینکه، در حال حاضر پیاده‌سازی توزیع کلید کوانتومی متغیر گسسته در چند مرکز پژوهشی و دانشگاهی کشور در حال انجام است، خاطر نشان کرد: در حوزه توزیع کلید کوانتومی متغیر پیوسته فعالیتی در کشور انجام نشده است و این پروژه به عنوان اولین گام در پیاده‌سازی پروتکل‌های توزیع کلید کوانتومی متغیر پیوسته، به مقایسه انواع چیدمان‌های CV-QKD از منظر گام‌های مختلف پیاده‌سازی چه در فاز کوانتومی و چه در فاز پسا پردازش پرداخته و اصول کار، مزایا و معایب انواع روش‌های مختلف پیاده‌سازی CV-QKD را مورد بررسی قرار داده است. در انتها نیز بر اساس میزان دسترسی به منابع مالی دو چیدمان جهت پیاده‌سازی معرفی شده است.

پروتکل تضمین امنیت در برابر حملات رایانه‌های کوانتومی تدوین شد

پروژه «تدوین الزامات فنی پیاده سازی پروتکل منتخب توزیع کلید کوانتومی متغیر پیوسته» در گروه ارتباطات نوری پژوهشکده فناوری ارتباطات پژوهشگاه ارتباطات و فناوری اطلاعات به اتمام رسید.
 
به گزارش پژوهشگاه ارتباطات و فناوری اطلاعات، دکتر سارا توفیقی مجری پروژه با بیان اینکه این پروژه از دی ماه سال گذشته آغاز و در سال جاری به اتمام رسیده است، گفت: توزیع کلید امن بین دو نفر با امنیت، مبتنی بر نظریه اطلاعات و صرف نظر از توان محاسباتی استراق سمع کننده غیرمجاز، یکی از حوزه‌های کاربردی جذاب اطلاعات کوانتومی است.
 
وی افزود: سامانه‌های توزیع کلید کوانتومی به دو دسته متغیرهای گسسته (DV-QKD) و متغیرهای پیوسته (CV-QKD) تقسیم‌بندی می‌شوند. کدگذاری متغیرهای گسسته متداول‌ترین و معمول‌ترین نوع کدگذاری است و اولین پروتکل QKD معرفی شده یعنی BB۸۴ از همین قسم است. ویژگی اصلی این نوع کدگذاری این است که بلافاصله بعد از مرحله غربالگری بین فرستنده و گیرنده یک کلید مشترک توزیع می‌شود.
 
توفیقی از دیگر مزایای پروتکل‌های توزیع کلید کوانتومی متغیر گسسته به ارائه اثبات امنیت غیر مشروط برای اکثر آن‌ها اشاره کرد و گفت: پیاده‌سازی پروتکل‌های DVQKD نیازمند استفاده از چشمه‌های کوانتومی (تک فوتونی یا درهم‌تنیده) و هم‌چنین آشکارسازهای تک فوتونی است که هزینه بالای آشکارسازهای تک فوتونی از چالش‌های اساسی پیاده‌سازی این پروتکل‌ها است. همچنین نرخ عبور نیز در پروتکل‌های DVQKD خیلی پایین است.
 
وی با اشاره به تاریخچه پیاده‌سازی‌های پروتکل‌های CV-QKD از گذشته تاکنون اظهار داشت: پروتکل‌های پیوسته در مقایسه با پروتکل‌های گسسته مزایا و نقاط ضعفی دارند. پیاده‌سازی مبتنی بر فناوری موجود مزیت بزرگ کار با پروتکل‌های پیوسته است. به ویژه آن‌که این پروتکل‌ها نیازی به آشکارسازهای تک‌فوتونی ندارند و در نتیجه پیاده سازی آن‌ها مقرون به صرفه است. اما، اثبات امنیت نامشروط پروتکل‌های پیوسته کمتر از پروتکل‌های گسسته پیشرفت کرده است.
 
توفیقی ادامه داد: به این ترتیب، اگر فرض را بر امکان پیاده‌سازی موفقیت‌آمیز و امنیت یکسان هر دو نوع پروتکل بگذاریم، می‌توان گفت انتخاب بین پروتکل‌های گسسته و پروتکل‌های پیوسته، به ترتیب، انتخاب بین یک کلید خام بدون نویز با نرخ کم و یک کلید خام نویزی با نرخ بالا است. نویزی که برای غلبه بر آن به توان محاسباتی کلاسیک نیازمندیم. در ضمن به دلیل شباهت سامانه‌های توزیع کلید کوانتومی متغیر پیوسته با سامانه‌های ارتباطات همدوس کلاسیک، امکان پیاده‌سازی هم‌زمان ارتباطات کوانتومی و ارتباطات کلاسیک وجود دارد.
 
به گفته وی، در فواصل کوتاه (درون شهری) پروتکل‌های توزیع کلید کوانتومی متغیر پیوسته راه حل مقرون به صرفه برای تضمین امنیت ارتباطات در برابر حملات رایانه‌های کوانتومی می‌باشند. اما در فواصل طولانی‌تر (بین شهری) نرخ تولید کلید امن در پروتکل‌های متغیر گسسته بیشتر است. شبکه توزیع کلید کوانتومی نهایی قطعاً ترکیبی از توزیع کلید کوانتومی متغیر پیوسته و متغیر گسسته خواهد بود.
 
وی با بیان اینکه، در حال حاضر پیاده‌سازی توزیع کلید کوانتومی متغیر گسسته در چند مرکز پژوهشی و دانشگاهی کشور در حال انجام است، خاطر نشان کرد: در حوزه توزیع کلید کوانتومی متغیر پیوسته فعالیتی در کشور انجام نشده است و این پروژه به عنوان اولین گام در پیاده‌سازی پروتکل‌های توزیع کلید کوانتومی متغیر پیوسته، به مقایسه انواع چیدمان‌های CV-QKD از منظر گام‌های مختلف پیاده‌سازی چه در فاز کوانتومی و چه در فاز پسا پردازش پرداخته و اصول کار، مزایا و معایب انواع روش‌های مختلف پیاده‌سازی CV-QKD را مورد بررسی قرار داده است. در انتها نیز بر اساس میزان دسترسی به منابع مالی دو چیدمان جهت پیاده‌سازی معرفی شده است.