محمدعلی کاظمی در گفتوگو با خبرنگار ایمنا اظهار کرد: صنعت فناوری در دو دهه گذشته بر یک اصلِ هرچه سامانه بستهتر، امنتر استوار بوده است، اما این معادله یک قربانی خاموش داشته که کمتر به آن پرداختهایم و آن حق مالکیت واقعی کاربر بر سختافزاری است که خریده است.
وی افزود: ما امروز با میلیونها دستگاه محاسباتی روبهرو هستیم که از نظر فیزیکی سالم هستند، اما از نظر نرمافزاری در قفسی از تدابیر امنیتی گرفتار شدهاند که کلید آن فقط در دست تولیدکننده است.
کارشناس فناوری اطلاعات و ارتباطات با اشاره به یک تناقض بنیادین گفت: ما برای محافظت از دادههای شهروندان، لایههای امنیتی را هر سال بیشتر به عمق تراشهها میبریم؛ این کار درست است و باید ادامه پیدا کند، اما همزمان همان لایهها چنان با هویت دیجیتال سازنده گره خوردهاند که هرگونه تلاش برای تنفس دوباره به دستگاه، با برچسب «دستکاری غیرمجاز» روبهرو میشود؛ نتیجه آنکه امنیت، ناخواسته به دشمن پایداری تبدیل شده است.
کاظمی ادامه داد: مسئله اینجاست که در معماری رایج، زنجیره اعتماد بهصورت یک مسیر یکطرفه و بازگشتناپذیر طراحی شده است؛ وقتی شما گوشی همراه خود را برای نخستینبار روشن میکنید، یک امضای دیجیتال در ژرفترین لایه سختافزار، میانافزار را تأیید میکند، سپس میانافزار هسته اصلی را، و هسته هم سامانه عامل را.
وی اضافه کرد: در هر مرحله، اگر امضایی معتبر نباشد، دستگاه از کار میایستد؛ این زنجیره، گوشی را به دژی نفوذناپذیر تبدیل میکند، اما مشکل اینجاست که معمار این دژ پس از چند سال پشتیبانی، کلیدها را دور میاندازد و دژ بیاستفاده رها میشود.
کارشناس فناوری اطلاعات و ارتباطات گفت: آنچه ما نیاز داریم، نه تضعیف امنیت، که بازاندیشی در مفهوم مالکیت دیجیتال است؛ تصور کنید سازوکاری استاندارد وجود داشت که به مالک قانونی اجازه میداد با یک فرمان تأییدشده، زنجیره اعتماد را بازنشانی کند؛ یعنی بهجای آنکه دستگاه تلفن شما برای همیشه به هویت سازنده اولیه گره بخورد، مالک جدید بتواند ریشه اعتماد را به نام خودش بازتعریف کند؛ این کار از نظر فنی شدنی است، اما نیازمند ارادهای جمعی در صنعت است؛ ارادهای که تاکنون غایب بوده است.
کاظمی خاطرنشان کرد: بخش دیگری از این بحران، به گم شدن دانش فنی پس از پایان عمر تجاری یک محصول برمیگردد؛ تولیدکنندگان، مستندات لازم برای راهاندازی دوباره لایههای امنیتی را در اختیار عموم نمیگذارند و استدلالشان این است که افشای این اطلاعات، خودِ سازوکار محافظتی را بیاثر میکند؛ این استدلال تا اندازهای درست است، اما یک راه میانه هم وجود دارد که میتوان کلیدهای رمزنگاری ریشه را در یک ساختار امانی سپرد و پس از پایان پشتیبانی رسمی، با سازوکاری شفاف در اختیار جامعه توسعهدهندگان مستقل قرار داد.
وی تصریح کرد: راهحل بلندمدت، جدا کردن مسیر امنیت از مسیر انحصار است؛ ما به استانداردهایی باز نیاز داریم که سازوکار تأیید صحت نرمافزار را شفاف کنند، بیآنکه کلیدهای سری را فاش کنند؛ به بیان دیگر، باید بتوانیم صحت یک سامانه عامل جدید را تأیید کنیم، بدون آنکه لازم باشد تولیدکننده اصلی زنده باشد، پاسخگو باشد، یا حتی وجود داشته باشد؛ این همان نقطهای است که امنیت و پایداری میتوانند به جای تقابل، همافزا شوند.
کارشناس فناوری اطلاعات و ارتباطات گفت: ما امروز سختافزارهایی میسازیم که بیش از آنکه ابزار باشند، گاوصندوقهایی هستند با رمز فراموششده؛ امنیت را در آنها نهادینه کردهایم، اما امکان واگذاری، بازیابی و بازتعریف هویت را از آنها گرفتهایم.
کاظمی بیان کرد: تا وقتی که سازوکار انتقال مالکیت امن، به یکی از الزامات طراحی تبدیل نشود، هر نسل از گوشیها محکوم است که پس از پایان پشتیبانی رسمی، نه به چرخه خلاقیت و استفاده که به چرخه زباله بپیوندد و این شکستی است که هیچکس نباید به آن تن دهد.
نظر شما