درس 7: التشفير — المفاهيم الأساسية والتطبيقات العملية

ماذا ستتعلم في هذا الدرس

• الفرق بين التشفير المتماثل (Symmetric) وغير المتماثل (Asymmetric) ومتى تستخدم كلاً منهما
• كيف تعمل خوارزميات التشفير الشائعة مثل AES و RSA وECC عملياً
• تطبيقات التشفير في حماية البيانات أثناء النقل (in transit) وأثناء التخزين (at rest)
• متطلبات التشفير في أطر SAMA CSCC و NCA ECC و PCI-DSS v4.0

التشفير ببساطة: تحويل البيانات إلى لغز

تخيّل أنك ترسل تحويلاً مالياً من نظامك المصرفي الأساسي (Core Banking) إلى نظام المدفوعات في مؤسسة النقد. البيانات تمر عبر شبكات متعددة قبل أن تصل. بدون تشفير، أي جهة تعترض هذا الاتصال ستقرأ رقم الحساب والمبلغ وبيانات العميل بنص واضح. التشفير يحوّل هذه البيانات إلى سلسلة من الأحرف العشوائية لا يستطيع فك تشفيرها إلا من يملك المفتاح الصحيح.

المبدأ الأساسي بسيط: نص واضح (Plaintext) + مفتاح تشفير (Key) + خوارزمية (Algorithm) = نص مشفّر (Ciphertext). لكن التفاصيل هي ما تصنع الفرق بين تشفير يحمي مؤسستك فعلاً وتشفير يعطيك إحساساً زائفاً بالأمان.

التشفير المتماثل: مفتاح واحد للطرفين

في التشفير المتماثل (Symmetric Encryption)، يستخدم المرسل والمستقبل نفس المفتاح لتشفير البيانات وفكها. الخوارزمية الأكثر استخداماً اليوم هي AES (Advanced Encryption Standard) بأطوال مفاتيح 128 أو 192 أو 256 بت. AES-256 هو المعيار المطلوب في أغلب أطر الامتثال السعودية لتشفير البيانات الحساسة. يتميز التشفير المتماثل بالسرعة العالية، مما يجعله مثالياً لتشفير كميات كبيرة من البيانات مثل قواعد البيانات وملفات النسخ الاحتياطي.

التحدي الأكبر هو توزيع المفتاح: كيف ترسل المفتاح السري للطرف الآخر بدون أن يعترضه أحد؟ هنا يأتي دور التشفير غير المتماثل.

مثال عملي: بنك سعودي يشفّر قاعدة بيانات العملاء باستخدام AES-256-GCM. كل سجل عميل يُشفَّر بمفتاح تشفير بيانات (DEK) فريد، وهذا المفتاح بدوره يُشفَّر بمفتاح رئيسي (KEK) مخزّن في وحدة أمان الأجهزة (HSM). هذا النمط يسمى Envelope Encryption وهو المطلوب في بيئات PCI-DSS.

التشفير غير المتماثل: زوج من المفاتيح

التشفير غير المتماثل (Asymmetric Encryption) يستخدم زوجاً من المفاتيح: مفتاح عام (Public Key) للتشفير ومفتاح خاص (Private Key) لفك التشفير. أشهر الخوارزميات هي RSA و ECC (Elliptic Curve Cryptography). الميزة أنك تستطيع نشر مفتاحك العام للجميع بدون خطر، لأن فك التشفير يتطلب المفتاح الخاص الذي لا يغادر خادمك أبداً.

ECC يكتسب شعبية متزايدة لأنه يوفر نفس مستوى الأمان بمفاتيح أقصر بكثير: مفتاح ECC بطول 256 بت يعادل تقريباً RSA بطول 3072 بت. هذا مهم في بيئات إنترنت الأشياء (IoT) والأجهزة محدودة الموارد التي تستخدمها بعض المؤسسات المالية في أنظمة نقاط البيع.

التشفير في الممارسة العملية

في الواقع، لا نختار بين متماثل وغير متماثل — نستخدم الاثنين معاً. بروتوكول TLS (الذي يحمي اتصالات HTTPS) يستخدم التشفير غير المتماثل في مرحلة المصافحة (Handshake) لتبادل مفتاح الجلسة، ثم يتحول للتشفير المتماثل (عادة AES) لنقل البيانات الفعلية. هذا يجمع بين أمان التشفير غير المتماثل وسرعة المتماثل.

# التحقق من إعدادات TLS لموقعك باستخدام OpenSSL
openssl s_client -connect yourdomain.com:443 -tls1_3

# فحص الشهادة الرقمية وتاريخ انتهائها
openssl x509 -in certificate.pem -text -noout

# تشفير ملف باستخدام AES-256-GCM
openssl enc -aes-256-gcm -salt -in sensitive_data.csv -out encrypted_data.enc -pass file:./keyfile

# إنشاء زوج مفاتيح RSA 4096-bit
openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:4096
openssl rsa -pubout -in private_key.pem -out public_key.pem

# إنشاء زوج مفاتيح ECC باستخدام منحنى P-256
openssl ecparam -genkey -name prime256v1 -out ec_private.pem
openssl ec -in ec_private.pem -pubout -out ec_public.pem

إدارة المفاتيح: حيث تنجح أو تفشل استراتيجيتك

التشفير القوي بإدارة مفاتيح ضعيفة لا يساوي شيئاً. إدارة المفاتيح (Key Management) تشمل دورة حياة كاملة: التوليد، التخزين، التوزيع، التدوير (Rotation)، والإتلاف. المعيار الذهبي هو استخدام وحدات أمان الأجهزة (HSM) المعتمدة بمستوى FIPS 140-2 Level 3 على الأقل لتخزين المفاتيح الرئيسية. في البيئات السحابية، توفر خدمات مثل AWS KMS و Azure Key Vault و Google Cloud KMS بديلاً مُداراً مع إمكانية ربط HSM مخصص (Bring Your Own Key).

سياسة تدوير المفاتيح ضرورية: PCI-DSS v4.0 يتطلب تدوير مفاتيح التشفير بشكل دوري وعند الاشتباه بأي اختراق. حدد جدولاً زمنياً (كل 90 يوماً مثلاً لمفاتيح DEK وسنوياً لمفاتيح KEK) والتزم به عبر أتمتة العملية.

الربط بالواقع السعودي

إطار SAMA CSCC يتطلب صراحةً تشفير البيانات الحساسة أثناء النقل والتخزين ضمن مجال حماية المعلومات (Information Protection). ضوابط NCA ECC 2-2024 تشترط استخدام خوارزميات تشفير معتمدة وطنياً أو دولياً وتمنع استخدام خوارزميات ضعيفة أو منتهية الصلاحية مثل DES و 3DES و MD5. نظام PDPL يُلزم الجهات بتطبيق تدابير تقنية مناسبة لحماية البيانات الشخصية، والتشفير هو الإجراء التقني الأول الذي ينظر إليه المراجعون. كذلك PCI-DSS v4.0 يشدد في المتطلب 3 والمتطلب 4 على تشفير بيانات حامل البطاقة بمعايير محددة.

أخطاء شائعة يجب تجنبها

• تخزين مفاتيح التشفير بجانب البيانات المشفرة: هذا مثل قفل الخزنة ولصق المفتاح على بابها. المفاتيح يجب أن تُخزَّن في HSM أو خدمة إدارة مفاتيح منفصلة تماماً عن قاعدة البيانات المشفرة.
• استخدام خوارزميات قديمة أو مكسورة: لا تزال بعض المؤسسات تستخدم SHA-1 للتوقيع الرقمي أو 3DES لتشفير البيانات. هذه الخوارزميات لم تعد آمنة. انتقل إلى SHA-256 أو أعلى و AES-256 كحد أدنى.
• إهمال تشفير البيانات أثناء التخزين (at rest): كثير من المؤسسات تشفّر البيانات أثناء النقل عبر TLS لكنها تتركها بنص واضح في قاعدة البيانات والنسخ الاحتياطية. المراجعون في SAMA و NCA يتحققون من كلا النوعين.

ملخص الدرس

• التشفير المتماثل (AES) سريع ومناسب للبيانات الكبيرة، بينما غير المتماثل (RSA/ECC) يحل مشكلة توزيع المفاتيح — والحلول العملية تجمع بينهما
• إدارة المفاتيح هي العمود الفقري لأي استراتيجية تشفير: التوليد الآمن، التخزين في HSM، التدوير الدوري، والإتلاف المنظم
• أطر الامتثال السعودية (SAMA CSCC, NCA ECC, PCI-DSS, PDPL) تتطلب تشفير البيانات الحساسة أثناء النقل والتخزين بخوارزميات معتمدة وإدارة مفاتيح موثقة

الدرس القادم

في الدرس التالي سنتناول: أمن التطبيقات — ثغرات OWASP Top 10 — ستتعرف على أخطر عشر ثغرات في تطبيقات الويب وكيف تكتشفها وتعالجها في أنظمتك المصرفية وتطبيقات الخدمات المالية.

هل تريد تطبيق ما تعلمته على مؤسستك؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.