۶۶ شرکت بزرگ به خاطر استفاده از رمزگذاری HTTPS تحت پیگرد قرار گرفتند

آیا شما از HTTPS برای رمزکردن امن ترافیک وب‌گاه خود استفاده می‌کنید؟
شرکت CryptoPeak ممکن است از شما شکایت کند، این شرکت به همه برندهای بزرگ که از HTTPS روی کارگزارهای وب خود استفاده می‌کنند گفته است که از آن‌ها شکایت می‌کند.
شرکت CryptoPeak Solutions LLC که در تگزاس قرار دارد، ۶۶ شکایت علیه بسیاری از شرکت‌های بزرگ ایالات متحده تنظیم کرده است، و ادعا می‌کند که آن‌ها به صورت غیرقانونی از روش رمزنگاری ثبت شده آن‌ها روی وب‌گاه‌های HTTPS استفاده می‌کنند. این روش رمزنگاری منحنی‌های بیضوی ( Elliptic Curve Cryptography) یا ECC نام دارد.
رمزنگاری منحنی‌های بیضوی یک الگوریتم تعویض کلید است که اکثراً در وب‌گاه‌هایی که از لایه انتقال امن (TLS) استفاده می‌کنند جهت مخشص کردن کلیدهای متقارن استفاده شده در یک نشست استفاده می‌شود.
بعد از اینکه ادوارد اسنودن جهان را از برنامه نظارت سراسری دولت‌ها آگاه کرد، استفاده از رمزنگاری افزایش یافت. امروزه، شرکت‌های بزرگ و خدمات برخط بسیاری از رمزنگاری برای موارد زیر استفاده می‌کنند:
– حفاظت از داده‌های درحال انتقال بین بازدید کننده و دامنه
– کاهش خطر نفوذ
اما، وب‌گاه‌هایی که از کلید ECC استفاده می‌کنند، در خطر تحت فشار قرار گرفتن توسط دادگاه هستند. چون CryptoPeak این نوع‌آوری را با توضیح «سامانه‌ی رمزگذاری با قابلیت تایید و سپردن خودکار» ثبت کرده است و ادعای این شرکت شامل ECC نیز می‌شود. (US Patent ۶,۲۰۲,۱۵۰)
چکیده US Patent ۶,۲۰۲,۱۵۰ این نوع‌آوری را توصیف می‌کند، که در سال ۲۰۰۱ ثبت شده است.
نام برخی از بزرگت‌رین برندهایی که CryptoPeak از آن‌ها شکایت کرده در ادامه آمده است:
– یاهو
– Netflix
– Pinterest
– AT&T
– سونی
– Groupon
– GoPro
– Etsy
– Petco
– Target
– Costco
– Home Depot
– Expedia
– Barnes & Noble
– چندین موسسه مالی و هتل زنجیره‌ای
فهرست کامل این اسامی در این آدرس قابل مشاهده است.
با توجه به شکایت‌ها «به علت استفاده از ECC برای پروتکل TLS در یک یا بیش از یک وب‌گاه، متهم اعتراف به تخلف مستقیم کرده است.»
شرکت CryptoPeak را می‌توان در دسته «پتنت ترول» قرار داد، چون هنوز مشخص نیست که آیا این شکایت‌ها موفق خواهند بود یا نه. چون این اختراع برخی از کلیدی‌ترین اصول ECC را توصیف می‌کند که شامل تولید و انتشار کلید‌های عمومی هستند، و مشخص نیست که آیا مستقیماً ارتباطی به پیاده‌سازی HTTPS دارد یا نه.
برخی از شرکت‌ها که هدف CryptoPeak قرار گرفته‌اند، در حال مبارزه با این شکایت هستند که به دنبال گرفتن خسارت و حق امتیاز است و برخی دیگر از آن‌ها مانند Scottrade بیرون از نشست‌های دادگاه در حال مذاکره هستند، قابل ذکر است که «در مورد همه مسائل در حال بحث بین CryptoPeak و Scottrade تصمیم گرفته شده است.»
Netflix، یکی از ۶۰ شرکتی که به دادگاه فراخوانده شده، شکایت CryptoKey را غیر معتبر خواند و درخواستی برای معاف شدن از آن نوشت.
Netflix در یک دادگاه اعلام کرد: «نقص در این ادعاها بقدری واضح است که تنها گزینه CryptoPeak درخواست از دادگاه برای چشم‌پوشی کردن از کلمات این ادعا، خواندن آن با دید خوب، یا حتی تصحیح آن است.»
حال باید ببینیم که نتیجه چه خواهد شد.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap