logjam .. ثغرة جديدة في بروتوكول SSL لتشفير الاتصالات عبر الإنترنت
يعاني بروتوكول طبقة المنافذ الآمنة، والمعروف اختصارا باسم SSL، من ثغرة أطلق عليها مكتشفوها اسم logjam، والتي تؤثر سلبًا بدورها على قدرته في تشفير الاتصالات عبر الإنترنت، وعلى عمل بروتوكولات أخرى.
وتمس الثغرة بروتوكول يعرف باسم “تبادل مفتاح ديفي-هيلمان”، والذي يرمز له بـ D-H، والمستخدم في بروتوكول SSL، كما يسمح لبروتوكولات مثل HTTPS وSSH وIPsec وSMTPS بإنشاء مفتاح سري لتكوين اتصالات آمنة عبر الإنترنت.
وتمكن مجموعة من الباحثين من منظمات وجامعات متعددة من اكتشاف الخلل الموجود في الخوارزمية، ونشروا تقريرا تقنيا عبر الموقع weakdh.org يشرح الثغرات، والتي من شأنها منح قراصنة الإنترنت فرصة لاختراق الاتصالات الآمنة عبر الشبكة.
وأوضح التقرير بأن الثغرة تمكن القراصنة من خفض أمن الاتصال الذي تم إنشاؤه عبر بروتوكول SSL، إلى مستوى متدني من التشفير، ليصل إلى تشفير بقوة 512 بت فقط، ما يسمح له باختراقه بسهولة.
وتوقع الباحثون أن تكون نسبة 8.4 بالمائة من المواقع المصنفة بين أكثر مليون موقع إلكتروني شعبية على الإنترنت معرضة للاختراق استنادا على ثغرة Logjam، بما في ذلك عدد كبير من خدمات البريد الإلكتروني.
هذا، وأطلق الباحثون عبر الرابط، weakdh.org/sysadmin.html، دليلا يُمكن مشغلي ملقمات الويب من إجراء بعض الخطوات لضمان حمايتهم من استغلال الثغرة ضدهم.
يذكر أن المستخدم قادر على معرفة ما إذا كان متصفحه معرضا لهذه الثغرة أم لا من الموقع weakdh.org، مع الإشارة إلى أن معظم المتصفحات حاليا معرضة لهذه المشكلة، وأن عديد من الشركات تسعى لعلاجها، ومنها جوجل التي تحاول غلقها في متصفح كروم برفع مستوى التشفير المطلوب إلى 1024 بت.
