بروتوكول ترحيب العميل المشفر (ECH)

بروتوكول ترحيب العميل المشفر (ECH): هو بروتوكول أمان متقدم مصمم لتعزيز خصوصية المستخدم بشكل كبير عبر تشفير الاتصالات الأساسية بين العملاء والخوادم عند بدء الاتصال. يعمل ECH على تشفير رسالة ترحيب العميل بأكملها، بما في ذلك مؤشر اسم الخادم (SNI)، مما يضمن عدم كشف وجهة المستخدم لجهات المراقبة على الشبكة. بينما يمثل تعزيز خصوصية المستخدم هدفًا مرغوبًا، يرى العديد من خبراء أمن الشركات أن الخصوصية المتزايدة التي يوفرها ECH قد تحد من قدرتهم على اكتشاف التهديدات الإلكترونية ومنعها بفعالية. فالتطبيق الواسع لهذا البروتوكول الأمني قد يقلل بشكل كبير من إمكانية الشركات في تحديد الاتصالات بالنطاقات الضارة ومنعها.

في أواخر العام الماضي: رصد فريق في Corrata ارتفاعًا في اكتشافات نطاقات ECH. ورغم أن هذه الأعداد كانت صغيرة نسبيًا، إلا أنها أثارت اهتمامًا كبيرًا، مما دفع إلى التساؤل عما إذا كان هذا يشير إلى انتشار وشيك لـ ECH، وإلى أي مدى ستتأثر قدرة أدوات الأمن الشائعة على مراقبة أجزاء كبيرة من حركة المرور على الإنترنت في المستقبل القريب.

لفهم آلية عمل ECH: بشكل أعمق، يجب الأخذ في الاعتبار أن رمز القفل ووجود HTTPS في شريط عنوان المتصفح يشيران إلى استخدام الموقع لمعيار تشفير الإنترنت TLS (أمان طبقة النقل)، الذي يؤمن الاتصالات بين جهاز المستخدم وخادم الويب. الغالبية العظمى من حركة مرور الإنترنت تعتمد على معيار TLS 1.3، وقد صُمم ECH كإضافة مهمة لهذا المعيار لتحسين الخصوصية. يستخدم ECH تقنية Hybrid Public Key Encryption (HPKE) لتشفير رسالة ClientHello الداخلية، ويعتمد على DNS over HTTPS (DoH) لجلب المفتاح العام المطلوب للتشفير، مما يوفر حماية معززة لبيانات الاتصال الأولية.

بدون بروتوكول ECH: يتم الكشف عن اسم النطاق الذي يحاول العميل زيارته قبل إنشاء الاتصال المشفر بالكامل. هذا يعني أن أي جهة قادرة على مراقبة حركة مرور الإنترنت للمستخدم – مثل مشغلي شبكات الجوال، ومزودي خدمة الإنترنت (ISPs)، وفرق أمن الشركات، والجهات الخبيثة – يمكنها رؤية وجهة الاتصال، حتى عندما يتخذ المستخدم والخادم تدابير أمنية أخرى.

آلية عمل ECH وتأثيره على الأمن

يعمل ECH على تشفير: رسالة ترحيب العميل بأكملها (الرسالة الأولى التي يرسلها العميل في عملية تأكيد اتصال TLS) بحيث يمكن فقط للبوابة المؤدية إلى الخادم المقصود، والتي تحتفظ بالمفتاح الخاص المقابل، فك تشفير هذه الرسالة الداخلية وإكمال عملية تأكيد الاتصال بشكل آمن. لم يعد بإمكان مراقبي الشبكة رؤية النطاق المحدد الذي يحاول المستخدم الوصول إليه. يُعد ECH تطورًا لبروتوكول Encrypted SNI (ESNI) السابق، حيث يقوم بتشفير رسالة ClientHello بأكملها بدلاً من الاقتصار على SNI فقط، مما يوفر حماية أشمل للخصوصية ويزيد من مرونة البروتوكول في التعامل مع مشكلات التخزين المؤقت لـ DNS.

تكمن أهمية ذلك: في أن أدوات الأمن السيبراني الحيوية، مثل بوابات الويب الآمنة والجدران النارية من الجيل التالي، تعتمد على هذه الرؤية التقليدية لاكتشاف ومنع الوصول إلى المحتوى الذي قد يشكل تهديدًا، كالمواقع المتخصصة في التصيد الاحتيالي أو تنزيل البرامج الضارة. بالإضافة إلى فرق الأمن، لدى مزودي خدمة الإنترنت مصلحة تجارية في فهم كيفية استخدام المشتركين للإنترنت، وتسعى الحكومات لمراقبة وتقييد الوصول إلى المحتوى غير القانوني أو الضار أو غير المقبول.

تعتبر الرؤية ضرورية: بشكل خاص للبنوك والقطاعات الأخرى الخاضعة لرقابة تنظيمية صارمة، حيث غالبًا ما يُطلب منها مراقبة حركة مرور الإنترنت الواردة والصادرة. في الوضع الحالي، يمكن لهذه المنظمات فك تشفير حركة المرور بشكل انتقائي دون الاطلاع على البيانات الحساسة مثل معلومات التعريف الشخصية للموظفين أو السجلات الصحية. ولكن إذا قام ECH بحظر أدوات التصفية هذه، سيتعين على البنوك فك تشفير جميع حركة مرور الإنترنت للبقاء متوافقة مع اللوائح، مما قد يقلل من خصوصية المستخدم في هذه العملية.

تبني ECH وتحدياته الأمنية

أظهر تحليل Corrata: لمدى تبني وتأثير ECH على مستخدمي المؤسسات نتائج مختلطة. على الرغم من أن التبني العام للبروتوكول لا يزال منخفضًا جدًا (أكثر من 9% من أكبر مليون نطاق تدعم ECH، ولكن أقل من 0.01% من اتصالات TLS استخدمت البروتوكول)، إلا أن الجهات الخبيثة تستغل بالفعل ميزة إخفاء الهوية التي يوفرها ECH. تشير البيانات إلى أن 17% من جميع المواقع التي تدعم ECH محفوفة بالمخاطر، وأن مستخدمي متصفح Chrome الذين فعّلوا نظام DNS المشفر هم الأكثر عرضة للخطر. من الجدير بالذكر أن متصفح Firefox بدأ يدعم ECH في إصداره 118، وتم تمكينه افتراضيًا في الإصدار 119 والإصدارات الأحدث (المصدر: دعم موزيلا)، كما أن متصفح جوجل كروم يعزز دعمه للبروتوكول حاليًا (المصدر: مدونة Cloudflare).

للعمل بكفاءة: يتطلب بروتوكول ECH أن تتدفق حركة المرور عبر شبكة توصيل محتوى (CDN) تدعم البروتوكول. حاليًا، تُعد Cloudflare هي شبكة CDN الرائدة والوحيدة التي تدعم ECH على نطاق واسع، وقد لعبت الشركة دورًا محوريًا في دفع تبني البروتوكول. تجدر الإشارة إلى أن نظام iOS من Apple لا يدعم ECH حتى الآن. عند استخدام ECH عبر Cloudflare، يظهر اسم خادم مشترك مثل cloudflare-ech.com لجميع الاتصالات، مما يعزز خصوصية المستخدمين بإخفاء اسم النطاق الحقيقي عن الوسطاء (المصدر: مدونة Cloudflare).

لقد وجدنا أن أكثر: من 90% من اكتشافات التصيد الاحتيالي تستخدم بنية تحتية تابعة لـ Cloudflare. بالإضافة إلى مستوى إخفاء الهوية الذي يوفره بروتوكول ECH، تستفيد هذه المواقع من ميزات Cloudflare الأخرى. على سبيل المثال، يمكن لصفحة "captcha" توجيه حركة المرور من أجهزة سطح المكتب إلى موقع شرعي بينما يتم إرسال حركة المرور من الأجهزة المحمولة إلى موقع مزيف. ومع ذلك، من المهم التنويه بأن ECH ليس أداة مصممة للتحايل على الرقابة أو الحجب من قبل مزودي خدمة الإنترنت، حيث أن استعلامات DNS (حتى المشفرة منها) وعناوين IP الخاصة بالخادم تظل مرئية ويمكن استغلالها للحجب (المصدر: Kyodo Tech).

يجب أن نتوقع زيادة: شعبية ECH مع مرور الوقت، نظرًا لوجود فرص وحوافز لكل من جانب الخادم والعميل لدفع عملية التبني. على جانب العميل، يمكن لمتصفح Safari أن يدعم المعيار أو يمكن لـ Chrome تمكين DNS المشفر افتراضيًا. على جانب الخادم، سيتطلب الأمر هجرة شاملة إلى Cloudflare (وهو أمر مستبعد) أو دعمًا افتراضيًا من شبكات CDN الأخرى. يُعد تبني ECH إيجابيًا لشبكات CDN، فتعقيد عملية التنفيذ يعني أن المزيد من المواقع ستختار استخدام خدمات CDN، وستصبح شبكات CDN هي اللاعب الوحيد في البنية التحتية الذي يتمتع برؤية واسعة النطاق لحركة مرور الإنترنت.

في الوقت الحالي: يمكن لفرق الأمن أن تشعر ببعض الارتياح لأن المخاوف داخل المجتمع من أن تصبح حركة مرور الإنترنت للمؤسسات غير مرئية بالكامل لم تتحقق بعد. ولكن سيكون من غير المسؤول توقع استمرار هذا الوضع على المدى الطويل، نظرًا للفرص السوقية الكبيرة التي يوفرها تبني ECH لصناعة شبكات CDN. يجب أخذ التهديد الذي يمثله هذا البروتوكول على محمل الجد. إن تتبع ECH وفهم مستوى السرية الذي يوفره لم يعد خيارًا لفرق أمن المؤسسات. تظهر بياناتنا أنه بينما توجد بالتأكيد إمكانية لأن يصبح ECH عائقًا أمام المدافعين، فقد حان الوقت للاستعداد بدلًا من الذعر.