Surveillance
Self-Defense

آن لائن حفاظتی تجربہ کار؟

  • آن لائن حفاظتی تجربہ کار؟

    کڑی نگرانی سے اپنی ذاتی حفاظت کی مقررہ مہارت کو بڑھانے کیلئے جدید ہدایات.

    مبارک ہو! آپ پہلے سے ہی اپنے آن لائن مواصلات کی حفاظت کی بہتری کیلئے اقدامات اٹھا چکے ہیں۔ اب آپ اسے اگلے مرحلے پر لیکر جانا چاہتے ہیں تو اس پلے لسٹ کے ذریعے آپ یہ کر سکتے ہیں اور یہاں آپ خطرات کو سمجھنے کیلئے اپنے ساتھ بات چیت کررہے شخص کی شناخت کی تصدیق اور آپکے ذخیرے میں چند نئے آلات کو شامل کرنے کا طریقہ سیکھیں گے

  • اپنے خدشات کا تعین کرنا

    اپنے ڈیٹا کو ہر وقت سب سے بچا کر رکھنا غیر عملی اور تھکا دینے والا کام ہے۔ لیکن ڈریئے مت، حفاظتی طریقوں اور پر فکر منصوبہ بندی کے ذریعے آپ یہ اندازہ لگا سکتے ہیں کہ آپ کیلئے کیا صحیح ہے۔ سکیورٹی ان ٹولز یا سافٹ ویئر سے متعلق نہیں ہوتی جنہیں آپ ڈاؤن لوڈ یا استعمال کرتے ہیں۔ بلکہ یہآپ کو پیش آنے والے ان منفرد خطرات کو سمجھنے اور ان کا مقابلہ کرنے سے شروع ہوتی ہے۔

    کمپیوٹر سکیورٹی میں خطرہ ایک ایسا ممکنہ وقوعہ ہوتا ہے جو آپ کی ان تمام کوششوں کو رائیگاں کر دیتا ہے جو آپ اپنے ڈیٹا کو بچانے کیلئے کرتے ہیں۔ آپ ان پیش آنے والے خطرات کا اس تعین کے ذریعے مقابلہ کر سکتے ہیں کہ آپ نے کیا محفوظ رکھنا اور کس سے محفوظ رکھنا ہے۔ اس کارروائی کو ’’ خطرے کا نمونہ ‘‘ کہتے ہیں۔

    یہ رہنمائی آپ کو اپنی ڈیجیٹل معلومات کیلئے خدشات کا تعین کرنا یا خطرے کے نمونے کے بارے میں جاننا سکھائے گی اور بہترین حل کیلئے منصبہ بندی کرنے کی بابت بتائے گی۔

    یہاں آپ چند سوالات پوچھ سکتے ہیں کہ خطرے کے نمونے کس طرح کے ہوسکتے ہیں؟ چلئے یوں سمجھ لیجئے کہ آپ اپنے گھر اور خود سے وابستہ چیزوں کو محفوظ رکھنا چاہتے ہیں۔

    میرے گھر میں ایسا کیا ہے جو حفاظتی اہمیت کا حامل ہے؟

    • اثاثوں میں شامل زیورات، الیکٹرونکس کا سامان، مالیاتی دستاویزات، پاسپورٹ یا تصاویر ہوسکتی ہیں

    میں انہیں کس سے محفوظ رکھنا چاہتا ہوں؟

    • نقصان پہنچانے والوں میں نقب زن، ایک ہی کمرے رہنے والے ساتھی یا مہمان شامل ہوسکتے ہیں

    کتنا امکان ہے کہ مجھے اس کی حفاظت کی ضرورت ہوگی؟

    • کیا میرے پڑوس میں کوئی نقب زن رہتا ہے؟ میرے کمرے میں رہنے والے ساتھی یا مہمان کتنے قابلِ بھروسہ ہیں؟ مجھے نقصان پہنچانے والے کیا قابلیت رکھتے ہیں؟ مجھے کن خدشات پر غور کرنا چاہئے؟

    ناکامی کی صورت میں مجھے کتنے برے نتائج کا سامنا ہوگا؟

    • کیا میرے گھر میں کوئی ایسی چیز ہے جس کا متبادل کوئی نہیں؟ کیا ان چیزوں کے متبادل چکانے کیلئے میرے پاس وقت یا رقم ہے؟ کیا میرے گھر سے چرائی جانے والی چیزوں کو واپس لانے کیلئے میں نے کوئی انشورنس وغیرہ کروا رکھی ہے؟

    ان نتائج سے بچنے کیلئے میں جو کچھ کرنا چاہتا ہوں اس کیلئے مجھے کتنی مشقت اٹھانا پڑے گی؟

    • کیا حساس دستاویزات کیلئے میں ایک محفوظ الماری خریدنے کیلئے راضی ہوں؟ کیا میں ایک بہترین معیاری تالا خریدنے کا بار اٹھا سکتا ہوں؟کیا میرے پاس اتنا وقت ہے کہ میں مقامی بنک میں ایک حفاظتی باکس کھلواؤں اور اپنی قیمتی چیزیں اس میں رکھوں؟

    ایک بار آپ خود سے یہ سوالات کر اس قابل ہوجاتے ہیں کہ آپ کو اندازہ ہوجاتا ہے کہ کیا اقدامات کئے جائیں۔ اگر آپ کا سامان قیمتی ہے اور اسے چرائے جانے کا کم ہے تو آپ کو تالے کی مد میں زیادہ پیسہ نہیں لگانا پڑتا۔ لیکن اگر اس کے چرائے جانے کے خدشات بہت زیادہ ہیں تو آپ کو بازار سے ایک بہترین معیاری تالا خریدنا پڑتا ہےحتٰی کہ ایک حفاظتی نظام کو شامل کرنے کا سوچنا پڑ جاتا ہے۔

    کسی خطرے کا نمونہ قائم کرنے سے آپ کو پیش آئے منفرد خطرات، اپنے اثاثوں، اپنے مخالفین، نقصان پہنچانے والے کی قابلیت اور پیش آئے ممکنہ خدشات کو سمجھنے میں مدد ملتی ہے۔

    خطرات کی جانچ کیا ہوتی ہے اوراس کیلئے میں کہاں سے شروع کروں؟

    خطرات کی جانچ کرنے سے آپ کو یہ مدد ملتی ہے کہ آپ ان چیزوں کو پیش آنے والے خطرات سے واقف ہوجاتے ہیں جو آپ کے لئے اہمیت کی حامل ہوتی ہیں اورآپ کو اندازہ ہوجاتا ہے کہ آپ ان چیزوں کو کِن سے بچانا چاہتے ہیں۔ جب بھی خطرات کی جانچ کرنے لگیں تو اس سے پہلے ان پانچ سوالات کے جوابات دیجئے:

    1. میں کس کی حفاظت کرنا چاہتا ہوں؟
    2. میں انہیں کس سے محفوظ کرنا چاہتا ہوں؟
    3. ناکامی کی صورت میں مجھے کتنے برے نتائج کا سامنا ہو سکتا ہے؟
    4. اس بات کا کتنا امکان ہے کہ مجھے اس کی حفاظت کی ضرورت ہوگی؟
    5. میں ممکنہ نتائج سے بچنے کی کوشش میں کتنی مشکلات سے گزرنے کیلئے تیار ہوں

    چلئے ان سوالات کا جائزہ لیتے ہیں۔

    میں کس چیز کی حفاظت کرنا چاہتا ہوں؟

    ایک اثاثہ وہ ہوتا ہے جس کی آپ کے نزدیک کوئی قدروقیمت ہو اور جس کی آپ حفاظت کرنا چاہتے ہیں۔ ڈیجیٹل حفاظت کے تنا ظر میں اثاثہ کسی بھی قسم کی معلومات کو کہتے ہیں۔ مثلاً آپ کی ای میل، رابطوں کی فہرست، پیغامات، آپ کا مقام اور آپ کی فائلیں آپ کے ممکنہ اثاثے ہوتے ہیں۔ آپ کی مشینیں بھی آپ کا اثاثہ ہوتی ہیں۔

    اپنے پاس رکھے ہوئے اثاثوں کی ایک فہرست تیار کریں،جو ڈیٹا آپ کے پاس موجود ہو کہ اسے کہاں رکھا ہے، اس تک کن کی رسائی ہے اور کس طرح دوسروں کو وہاں تک رسائی حاصل کرنے سے روکنا ہے۔

    میں انہیں کس سے محفوظ کرنا چاہتا ہوں؟

    دوسرے سوال کا جواب دینے کیلئے یہ جاننا ضروری ہے کہ وہ کون ہے جو آپ کو یا آپکی معلومات کو حدف بنانا چاہتا ہے۔ ایسا کوئی بھی شخص یا ذات جس سے آپ کے اثاثوں کو کوئی خطرہ لاحق ہو وہ آپ کا مخالف ہوتا ہے۔ ممکنہ مخالفین میں آپکا آقا، آپکی حکومت، یا کسی عوامی نیٹ ورک پر بیٹھا ہوا کوئی ہیکرہوسکتا ہے۔

    ان لوگوں کی فہرست تیار کریں جو آپکے کوائف یا مواصلات پر قبضہ کرنا چاہتے ہیں۔ وہ ایک شخص، ایک حکومتی ادارہ یا ایک کاروباری ادارہ ہو سکتا ہے۔

    جب آپ اپنے خطرات کی تشخیص کر رہے ہوں توچند حالات کے پیشِ نظر شاید یہ ترتیب ایسی ہو کہ آپ اس پر بالکل ہی عمل پیرا نہ ہوں خصوصاً جب آپ اپنے مخالفین کا تجزیہ کرہے ہوں۔

    ناکامی کی صورت میں مجھے کتنے برے نتائج کا سامنا ہو سکتا ہے؟

    ایک مخالف مختلف طریقوں سے آپکے کوائف کو خطرہ پہنچا سکتا ہے۔ مثال کے طور پر ایک مخالف جیسے ہی نیٹ ورک تک رسائی حاصل کرتا ہے تو وہ آپکے ذاتی مراسلات پڑھ سکتا ہے یا وہ اسےمٹا سکتا ہے یا آپکے کوائف کو بگاڑ سکتا ہے۔ حتٰی کہ ایک مخالف آپکو آپکے کوائف تک رسائی سے محروم کر سکتا ہے۔ .

    مخالفین کے حملوں کی طرح ان کے محرکات بھی وسیع پیمانے پر مختلف ہوتے ہیں۔ جیسا کہ ایک حکومت شاید ایسی ویڈیو جس میں پولیس کا تشدد دکھائے گئے مواد کو آسانی سے مٹانے یا اس کی دستیابی کو کم کرنے کی کوشش کررہی ہو اور اس کی دوسری جانب ایک سیاسی مخالف، خفیہ مواد تک رسائی اور اس کو آپکے جانے بغیر شائع کرنے کی خواہش کر رہا ہو۔

    خطرات کے تجزیہ میں یہ سوچ شامل ہوتی ہے کہ اگر کوئی مخالف کامیابی سے آپ کے کسی اثاثے پر حملہ آور ہوتا ہے تو اس کے خاطر خواہ نتائج کتنے بھیانک ہوسکتے ہیں۔ اس

    آپ کا مخالف آپ کے نجی کوائف کیساتھ کیا کچھ کر سکتا ہےان عوامل کو لکھیں۔

    اس بات کا کتنا امکان ہے کہ مجھے اس کی حفاظت کی ضرورت ہوگی؟

    اس چیز کے بارے میں سوچنا بہت ضروری ہےکہ آپ پر حملہ کرنے والے کی صلاحیت کتنی ہے۔ مثال کیطور پرآپکا موبائل فون مہیا کار آپکے فون کی تمام جانکاری تک رسائی رکھتا ہے لہٰذا ان کوائف کو آپکے خلاف استعمال کرنے کی بھی صلاحیت رکھتا ہے۔

    کسی خاص اثاثے کیخلاف حقیقتاً واقع ہونے والے ایک خاص خطرے کے امکان کا نام ہے جو اپنی قبلیت کیساتھ ساتھ بڑھتا ہے۔ جیسا کہ آپ کے موبائل فون مہیا کار کے پاس آپکے کوائف تک رسائی حاصل کرنے کی صلاحیت موجود ہے لیکن ان کی طرف سے آپ کی ساکھ کو نقصان پہنچانے کیلئے آپکے آن لائن نجی ڈیٹا کو پوسٹ کرنے کا خدشہ بہت کم ہے۔

    یہاں خدشات اور خطرات کے مابین فرق کرنا بہت اہم ہے۔ خطرہ وہ بری چیز ہے جو واقع ہو سکتا ہے جبکہ خدشہ ایک غالب امکان کو ظاہر کرتا ہے کہ یہ خطرہ واقع ہوگا۔ مثال کے طور پر اس بات کا خطرہ ہے کہ آپکی عمارت گر سکتی ہے لیکن سان فرانسسکو (جہاں زلزلے عام ہیں) میں اس کا خدشہ سٹاک ہوم ( جہاں زلزلے نہ ہونے کے برابر ہوتے ہیں) سے کہیں زیادہ ہے۔

    خدشے کے تعین کرنے میں انفرادی اور داخلی دونوں عمل پائے جاتے ہیں۔ خطرے کے بارے میں ہر شخص کی ترجیحات یا خیالات ایک جیسے نہیں ہوتے۔ کئی لوگ غالب امکان سے ماورا ہو کر خطرات کو نا قابلِ قبول قرار دیتے ہیں چاہے کیسے ہی خدشات موجود کیوں نہ ہوں، کیونکہ خطرے کی موجودگی جب امکان کی صورت میں ہوتی ہے تو اسے اہمیت نہیں دی جاتی۔ دوسری صورت میں چونکہ لوگ خطرے کو ایک مسئلے کے طور پر نہیں جانچتے لہٰذا وہ بڑھتے ہوئے خدشات کو نظر انداز کردیتے ہیں۔

    جن خطرات کو آپ سمجھتے ہیں کہ بہت سنجیدہ طرزاور سنگین نوعیت کے ہیں کہ جن سے پریشانی میں اضافہ ہو سکتا ہے، انہیں تحریر کریں۔

    میں ممکنہ نتائج سے بچنے کی کوشش میں کتنی مشکلات سے گزرنے کیلئے تیار ہوں؟

    اس سوال کا جواب دینے کیلئے آپ کو خدشے کا تعین کرنا ہوگا۔ ہر کسی کے خطرات دوسروں سے مماثلت نہیں رکھتے۔

    مثلاً ایک اٹارنی کسی قومی سلامتی کیس میں ایک ایسے موّکل کی وکالت کرتا ہے جو مقدمے سے متعلق رابطوں اور شواہد کی شاید بڑے پیمانے پر مرموز ای میلز جیسے اقدامات ٰاٹھانے پر آمادہ ہو،یہ بالکل مختلف ہے، بہ نسبت اس ماں کے جو اپنی بیٹی کو روزانہ بلیوں کی تصاویر اور ویڈیوز عمومی ای میلز کے ذریعے بھیجتی ہے۔

    اپنے منفرد خطرات کو کم کرنے میں مدد حاصل کرنے کیلئے اپنے پاس موجود اختیارات کو لکھئے۔ یہ سب کرنے کیلئے آپ کو کس قسم کی مالی، تکنیکی یا معاشرتی پابندیوں کا سامنا ہے انہیں بھی تحریر کریں۔

    خطرات کی جانچ کرنے کی مشق روزانہ کی بنیاد پر

    اس بات کو ذہن میں رکھئے کہ آپ اپنے خطرات کی جانچ میں حالات کی تبدیلی کیساتھ تبدیلی کر سکتے ہیں۔ اس لئے فوری طور پران خطرات کی جانچ کا تعین کرنا ایک اچھی مشق ہے۔

    اپنے خاص حالات کے پیش نظر اپنے خطرات کا نقشہ خود کھینچئے۔ پھر اپنے کیلنڈر پر مستقبل کیلئے ایک تاریخ پر نشان لگائیے۔ اس سے آپ کو یاد رہے گا کہ دوبارہ اپنے خطرات کی جانچ کب کرنی ہے اور پچھلی تاریخوں میں کی گئی کارروائیوں کا تعین کر سکیں گے اور دیکھ سکیں گے کہ آیا وہی خطرات آپ کے حالات سے مطابقت رکھتے ہیں کہ نہیں۔

    آخری تازہ کاری: 
    1-10-2019
  • اپنے ٹولز کا انتخاب کریں

    بہت سی کمپنیوں اور ویب سائٹس کی طرف سے لوگوں کی مدد کیلئے حفاظتی ٹولز کی بڑی تعداد پیش کی جاتی ہے تاکہ لوگ اپنی ذاتی ڈیجیٹل سکیورٹی کو بہتر بناسکیں، ان میں سے آپ اپنے لئے بہترٹولز کا انتخاب کیسے کریں؟

    ہمارے پاس ایسے ٹولز کی کوئی فول پروف لسٹ نہیں ہے جو آپ کا دفاع کرسکیں (اگرچہ آپ ہماری بعضTool Guidesمیں سے عمومی طر پر بعض کا انتخاب کرسکتے ہیں)۔ لیکن اگر آپ کو پتہ ہو کہ آپ کس چیز کو محفوظ رکھنا چاہتے ہیں اور کس سے محفوظ کرنا درکار ہے تو یہ گائیڈ چند بنیادی گائیڈ لائنز کا استعمال کرتے ہوئے مناسب ٹولز کے انتخاب میں آپ کی مدد کر سکتی ہے۔

    یاد رکھئے، حفاظت کرنے کا مطلب یہ نہیں ہے کہ آپ کو ٹولز، یا ڈاؤن لوڈ ہونے والے سافٹ ویئر کا پتہ ہو۔ بلکہ حفاظت شروع ہی اس بات سے ہوتی ہے کہ آپ منفرد اور الگ قسم کے خطرات سے آشنا ہوں جن سے آپ کا سامنا ہوسکتا ہے اور یہ کہ ان خطرات سے کیسے نبرد آزما ہونا ہے۔ مزید معلومات کیلئے ہماری گائیڈ برائے اپنے خدشات کا تجزیہ کا مطالعہ کریں۔

    حفاظت ایک عمل ہے کوئی خرید نہیں

    آپ اپنے زیرِ استعمال سافٹ ویئر یا نئے آلات کی خرید سے قبل یہ بات ذہن نشین کر لیں کہ آپکو کوئی بھی آلہ کسی بھی حالت میں کڑی نگرانی سے مکمل حفاظت فراہم نہیں کرسکتا۔ لہٰذا اپنی ڈیجیٹل سکیورٹی کی مشقوں سے متعلق مکمل طور پر سوچ بچار کرلینا بہت ضروری ہے۔ مثلاً اگر آپ حفاظتی ٹولز اپنے فون پر استعمال کرتے ہیں لیکن اپنے کمپیوٹر پہ کوئی پاس ورڈ نہیں لگاتے تو آپ کے فون پہ موجود وہ ٹولز آپ کی کوئی خاطر خواہ مدد نہیں کر پائیں گے۔ اگر کوئی آپ کے بارے میں کسی قسم کی معلومات حاصل کرنا چاہے تو اس معلومات کو حاصل کرنے کیلئے اسے کوئی مشکل پیش نہیں آئے گی بلکہ آسانی سے حاصل کر لے گا۔

    دوسری بات یہ کہ ہر قسم کی چالوں یا حملہ آوروں سے بچاؤ کرنا قریب قریب ناممکن ہوتا ہے اس لئے آپ کو اس بات پہ دھیان دینا ہوتا ہے کہ کون لوگ آپ کا ڈیٹا حاصل کرنا چاہتے ہیں، اس میں ایسا کیا ہے جو وہ حاصل کرنا چاہتے ہیں، اور وہ اس ڈیٹا کو کن طریقوں سے حاصل کر سکتے ہیں۔ اگر آپ کو بڑا خطرہ کسی پرائیویٹ تفتیش کار سے ہے کہ وہ آپ کی حرکات کی نگرانی کر رہا ہے وہ بھی کسیا انٹرنیٹ کڑی نگرانی کے آلات کے بغیر تو آپ کو "این ایس اے پروف" والے ٹولز کی طرح کوئی مہنگا خفیہ کار فون سسٹم خریدنے کی کوئی ضرورت نہیں۔ لیکن دوسری طرف اگر آپ کو کسی حکومت کا سامنا ہے جو حسبِ معمول اپنے مخالفین کو جیل بھیج دیتی ہیں کیونکہوہ بے ضرر آوازوں کی ترتیب، پہلے سے مختص پیغام رسانی کیلئے کوڈز کی ترتیبات کو مرتب کرنے جیسے خفیہ کار ٹولز کا استعمال کرتے ہیں ایسے وقت میں ثبوت چھوڑنے کا جو آپ اپنے لیپ ٹاپ پہ خفیہ کاری کے سافٹ ویئر کے طور پہ استعمال کرتے ہیں اس کی بجائے آسان تراکیب کا استعمال کریں۔ ممکنہ حملے جن سے آپ بچنے کا منصوبہ بنا رہے ہوتے ہیں وہ خطرات کا تجزیہکہلاتے ہیں۔

    ایک ٹول کی بارے میں اس کی ڈاؤن لوڈنگ ، خریداری اور استعمال سے پہلے آپ یہاں دیئے گئے چند سوالات پوچھ سکتے ہیں۔

    یہ کتنا شفاف ہے؟

    حفاظتی محققین کے مابین یہ مضبوط یقین پایا جاتا ہے کہ دیانت داری اور شفافیت مزید محفوظ آلات کی طرف لے جاتے ہیں۔

    ڈیجیٹل حفاظتی برادری کی جانب سے استعمال شدہ اور سفارش کردہ زیادہ تر سافٹ ویئر اوپن سورس ہیں اور ان تک کھلی رسائی ہے۔ اس کا مطلب یہ ہوا کہ کوڈ جو کام کا طریقہ بتاتا ہے وہ دوسروں کیلئے جانچ پڑتال، ترمیم اور اشتراک میں عوامی رسائی کا باعث ہے۔ ان ٹولز کے بنانے والے اپنے پروگرام کے کام کرنے سے متعلق شفافیت کا ثبوت دیتے ہوئے دوسروں کو شامل کرتے ہیں کہ وہ اس پروگرام کی بہتری اور حفاظتی نقائص پہ نظر رکھیں۔

    اوپن سافٹ ویئر بہتر حفاظت کیلئے مواقع تو فراہم کرتا ہے لیکن اس کی ضمانت نہیں دیتا۔ اوپن سروس کا فائدہ مختلف حصوں میں کوڈ چیک کرتے ہوئے تکنیک کاروں کی برادری کو جاتا ہے جو چھوٹے منصوبوں کسی حد تک کوڈ، جو چھوٹے منصوبوں کیلئے (حتٰی کہ مقبول اور پیچیدہ کیلئے بھی) حاصل کرنا شاید مشکل ہو۔

    کسی ٹول پر غور کرتے ہوئے یہ دیکھ لیجئے کہ اس کا سورس کوڈ دستیاب ہے اور آیا وہ اس کی سکیورٹی کے معیار کی تصدیق کیلئے کوئی خود مختار سیکیورٹی آڈٹ رکھتا ہے۔ سب سے کم درجے کی بات یہ ہے کہ سافٹ ویئر یا ہارڈ ویئرکو ایک مفصل تکنیکی وضاحت رکھنی چاہئے کہ وہ دوسرے ماہرین کے تجزیئے کیلئے کس طرح کام کرتا ہے۔

    تخلیق کار اسکے فوائد اور نقصانات کے متعلق کتنا واضح ہیں؟

    کوئی بھی سافٹ ویئر یا ہارڈویئر مکمل طور پر محفوظ نہیں ہوتا۔ تخلیق کار یا فروخت کرنے والے جو اپنی مصنوعات کے بارے میں دیانت داری سے کام لیتے ہیں انہیں تلاش کیجئے۔

    مفروضوں پہ مبنی بیانات پہ یقین مت کریں جو یہ کہتے ہوں کہ یہ کوڈ ‘‘ عسکری درجہ ’’ یا ‘‘ این۔ ایس۔ اے سے بچاؤ کرنے والا’’ ہے: ان کا کوئی مطلب نہیں ہوتا بلکہ یہ بیانئے اشارہ دیتے ہیں کہ تخلیق کار حد سے زیادہ خود اعتمادی کا شکار ہیں یا اپنی مصنوعات میں ممکنہ ناکامیوں کا سوچنے سے گریز کرتے ہیں۔

    کیونکہ حملہ آور ٹولز کی حفاظت کو ختم کرنے کیلئے ہمیشہ نئے طریقے دریافت کرتے رہتے ہیں اس لئے سافٹ ویئر یا ہارڈ ویئر کو اکثر نئے خطرات سے نمٹنے کیلئے اپ ڈیٹ کرنے کی ضرورت ہوتی ہے۔ اگر تخلیق کار ایسا کرنے پر رضا مند نہیں ہوتے تو اس کے سنگین نتائج سامنے آسکتے ہیں کیونکہ یا تو وہ بری تشہیر سے ڈرتے ہیں یا پھر انھوں نے مسائل کو حل کرنے کیلئے کوئی بنیادی ڈھانچہ تشکیل نہیں دیا۔ ان تخلیق کاروں کو جانئے جو ان اَپ ڈیٹس سے متعلق راضی ہیں اور جو اپنے کام کیساتھ دیانتداری اور شفافیت سے کام لیتے ہیں۔

    ٹول بنانے والوں کا آگے کا رویہ ان کے ماضی کی کارکردگیوں سے متعلق جاننے کا ایک اچھا اشارہ ہے۔ اگر ٹول کی ویب سائٹ معمول کی اَپ ڈیٹس اور معلومات کے گزشتہ ایشوز اور لنکس کی تفصیل دے؛ جیسے خصوصاً جب سے سافٹ ویئر کی آخری تازہ کاری سے اب تک کتنا عرصہ ہوگیا ہے ؛ تو آپ کو زیادہ پتہ چل سکتا ہے کہ وہ مستقبل میں بھی یہ سروس مہیا کرتے رہیں گے۔

    اگر تخلیق کار ناکام ہوں تو کیا ہوتا ہے؟

    جب کسی سافٹ ویئر یا ہارڈویئر کو حفاظتی ٹول بنانے والے بناتے ہیں تو (بالکل آپکی طرح) انہیں بھی ایک واضح علامتی اندیشے کا سامنا کرنا پڑتا ہے۔ ایک بہترین تخلیق کار واضح بیان کرتا ہے کہ وہ اپنی دستاویزات میں آپ کو کس طرح کے نقصانات سے بچا سکتے ہیں۔

    لیکن ایک حملہ آور ایسا ہوتا ہے جس کے بارے میں کئی تخلیق کار خود سے یہ سوچنا ہی نہیں چاہتےکہ اگر وہ سمجھوتہ کرلیں یا اپنے ہی صارفین پر حملہ کا فیصلہ کرلیتے ہیں تو کیا ہوتا ہے؟ مثلاً ایک کمپنی کو عدالت یا حکومت ذاتی کوائف کو ترک کردینے یا ‘‘ بیک ڈور’’ تخلیق کرنے پر مجبور کرے جو ان کے آلہ پر لگائے گئے حفاظتی اقدامات ختم کر دیں گے۔ آپ تخلیق کاروں کی بنیاد پر عدالتی کارروائی زیرِ غور لا سکتے ہیں ۔ مثلاً ایک امریکی ساختہ کمپنی ایران کے عدالتی احکامات کے خلاف مزاحمت کرنے کے قابل ہوگی چاہے وہ امریکی احکامات پر عمل پیرا ہی کیوں نہ ہوتی رہے۔

    اگرچہ ایک تخلیق کار حکومتی دباؤ کیخلاف مزاحمت کرنے کے قابل پوتا ہے لیکن ایک حملہ آور ٹول بنانے کے سسٹم میں مداخلت کرکے اسکے صارفین پر حملے کر کے ویسے ہی نتائج حاصل کرنے کی کوشش کر سکتا ہے۔

    سب سے زیادہ محفوظ ٹول وہ ہیں جو اس پر ممکنہ حملے پر غور کرنے اور اس کیخلاف دفاع کیلئے تیار کئے جاتے ہیں۔ ایک تخلیق کار ایسا نہیں کرے گا ایسے وعدوں کی بجائے اس زبان کی تلاش کریں جو یہ دعوٰی کرتی ہو کہ ایک تخلیق کار نجی کوائف تک رسائی حاصل نہیں کر سکتا۔ نجی کوائف کیلئے عدالتی احکامات کیخلاف لڑنے والے شہرت یافتہ اداروں کی تلاش کریں۔

    کیا اس کی آن لائن باز طلبی یا اس پر تنقید کی گئی ہے؟

    کمپنیاں اپنی مصنوعات فراخت کرنے اور اپنےنئے سافٹ ویئر کی سر گرم تشہیر کیلئے گمراہ کرنے کیلئے سراسر جھوٹ یاگمراہ کن مواد کا استعمال کیا جاسکتا ہے۔ ایک مصنوعات جو دراصل محفوظ تھی مستقبل میں ہولناک خرابیاں رکھتی ہوئی پائی جا سکتی ہے۔ اس بات کا یقین کرلیں کہ جو بھی آلہ آپ استعمال کرہے ہیں اسکی تازہ ترین معلومات کے بارے میں آپ باخبر ہیں۔

    ایک شخص کو کسی ٹول کی تازہ ترین معلومات سے آراستہ ہونے کیلئے کافی کام کرنا پڑتا ہے۔ اگر آپ کے ساتھی کوئی خاص مصنوعات یا سروس کا استعمال کرتے ہیں تو معلومات سے استفادہ کیلئے ان کے ساتھ ساتھ کام کرتے رہیں۔

    مجھے کون سا فون اور کون سا کمپیوٹر خریدنا چاہئے؟

    دفاعی تربیت کاروں سے اکثر پوچھا جاتا ہے؛ ’’کیا مجھےاینڈرائیڈ خریدنا چاہئے یا آئی فون‘‘؟ یا ’’ کیا مجھے PCخریدنا چاہئے یا Mac‘‘؟ یا ’’مجھے کون سا آپریٹنگ سسٹم استعمال کرنا چاہئے‘‘؟ ان سوالات کا جواب دینا کوئی آسان کام نہیں ۔ سافٹ ویئر یا ڈیوائسز کی حفاظت کے معاملے میں ردو بدل نئے نقائص کے سامنے آنے اور پرانے مسائل کو حل کرنے سے ہوتی رہتی ہے۔ کمپنیاں آپ کو بہتر حفاظتی حل دینے میں ایک دوسرے سے سبقت لینے کوترجیح دے سکتی ہیں یا اس دفاع کو کمزور کرنے میں حکومتوں کے دباؤ میں بھی آسکتی ہیں۔

    بعض معمول کے مشورے زیادہ تر صحیح ہوتے ہیں۔ جب آپ کوئی نئی ڈیوائس یا کوئی نیا آپریٹنگ سسٹم خریدیں تو نئے سافٹ ویئر اَپ ڈیٹس کیساتھ اس کی تجدید کرتے رہیں۔ اَپ ڈیٹس اکثر ان پرانے کوڈ میں دفاعی مسائل کو حل کریں گی جن سے حملے ناجائز فائدہ اٹھا سکتے ہیں۔ یہ بات نوٹ کیجئے کہ بعض پرانے فون اور آپریٹنگ سسٹمز آگے چل کر دفاعی اَپ ڈیٹس کیلئے بھی مدد نہیں کر پائیں گے۔ عموماً مائیکرو سافٹ یہ بات واضح کر چکا ہے کہ Windows Vista, XP, یا اس سے پہلے والے کے ورژن انتہائی دفاعی مسائل کیلئے بھی کوئی حل نہیں نکالیں گے۔ جس کا مطلب یہ ہوا کہ اگر آپ ان میں سے کسی کا استعمال کرتے ہیں تو آپ ان سے یہ امید مت رکھیں کہ یہ آپ کو حملہ آوروں سے بچا لیں گے۔ OS X سے قبل 10.11 یا EI Capitan پر بھی یہی بات لاگو ہوتی ہے۔

    اب جب کہ آپ کو پتہ چل گیا ہے کہ آپ کو کن خطرات کا سامنا ہوسکتا ہے اور کسی ڈیجیٹل سکیورٹی کی مد میں کن باتوں کا خیال رکھنا ہے تو ٹولز کے انتخاب میں اب آپ زیادہ احتیاط برتیں گے کہ منفرد حالات کے پیشِ نظر کون سے ٹولز مناسب ہوسکتے ہیں۔

    سرویلنس سیلف ڈیفنس میں بیان کردہ مصنوعات

    ہم یہ یقین دلانے کی کوشش کرتے ہیں کہ سافٹ ویئر یا ہارڈویئر جن کو ہم اس رہنمائی میں بیان کرتے ہیں ہمارے مذکورہ بالا معیار پر پورا اترتے ہوں۔ فی الحال صرف فہرست کردہ مصنوعات کے لئے ہم نے نیک نیتی سے کوشش کی ہے کہ ہم؛

    • اب تک ڈیجیٹل سکیورٹی کے بارے میں ہم جو کچھ جانتے ہیں اس کی پختہ بنیادوں سے آشنا ہیں،
    • عموماً ان کے آپریشنز (اور ان کی ناکامیوں ) سے متعلق شفاف رہیں،
    • ان امکانات کے خلاف دفاع رکھتے ہیں جن سے تخلیق کار خود ناکام ہوجائیں گے، اور
    • حال حاضر میں وسعت اور تکنیکی قابلِ علم صارف بنیاد کے ساتھ برقرار رکھا ہوا ہے۔

    اس تحریری مرحلے میں ہم یہ یقین رکھتے ہیں کہ عوام الناس کی ایک بڑی تعداد ان کے نقائص پر نظر رکھے ہوئے ہے اور لوگوں میں ان خدشات کو ابھاریں گے۔ برائے مہربانی یہ سمجھ لیں کہ جانچ پڑتال کرنے یا انکے تحفظ کے بارے میں آزادانہ یقین دہانیاں دلانے کیلئے ہمارے پاس وسائل نہیں ہیں۔ ہم ان مصنوعات کی توثیق نہیں کر رہے اور نہ ہی ہم ان کے مکمل تحفظ کی ضمانت دے سکتے ہیں۔

    آخری تازہ کاری: 
    10-29-2018
  • کلیدی تصدیق

    جب خفیہ کاری صحیح طور پر استعمال ہوتی ہے، تو آپکی مراسلات یا معلومات آپ اور آپ سے مربوط شخص کے ذریعے قابلِ مطالعہ ہونی چاہئے۔ اینڈ ٹو اینڈ خفیہ کاری آپکے کوائف کو تیسرے فریقین کے ذریعے کڑی نگرانی سے بچاتا ہے، لیکن جس شخص سے آپ بات کرہے ہیں اس کی شناخت سے متعلق غیر یقین ہیں تو اس کی افادیت محدود ہے۔ تب وہاں کلیدی تصدیق آتی ہے۔ عوامی کلیدوں کی تصدیق کے ذریعے آپ اور آپ سے مربوط شخص ایکدوسرے کی شناختوں کی تصدیق کے ذریعے اپنی گفتگو کی حفاظت پر ایک اور پرت چڑھاتے ہیں، آپ کو مزید یقین ہونے کی اجازت دیتے ہوئے کہ آپ صحیح شخص سے بات کر رہے ہیں۔

    کلیدی تصدیق دساتیر کا ایک عمومی چہرہ ہے جو اینڈ ٹو اینڈ خفیہ کاری استعمال کرتا ہے، جیسے پی۔جی۔پی اور او۔ٹی۔آر۔ سگنل پر، وہ "safety numbers" کہا جاتا رہے۔ مداخلت کے خدشے کے بغیر کلیدوں کی تصدیق کیلئے اس ایک کے علاوہ جس کی آپ خفیہ کاری کرنے جا رہے ہیں رابطہ کرنے کے ایک ثانوی طریقہ کا استعمال تجویز کیا جاتا ہے؛ اسے آؤٹ آف بینڈ تصدیق کہا جاتا ہے۔ مثال کے طور پر، اگر آپ اپنے او۔ٹی۔آر نشانِ انگشت کی تصدیق کر رہے ہیں تو آپ ایکدوسرے کو اپنے نشانِ انگشت ای۔میل کر سکتے ہیں۔ اس مثال میں، ای۔میل مراسلات کا ثانوی ذریعہ ہو گا۔

    آؤٹ آف بینڈ کلیدیں تصدیق کرنا

    یہ کرنے کے کئی طریقے ہیں۔ اگر یہ محفوظ طریقے سے مرتب ہو سکتے ہیں اور آرام دہ ہیں تو رو برو کلیدوں کی تصدیق میں یہ مثالی ہیں۔ یہ اکثر ساتھیوں کے مابین یا کلیدی دستخط کرنے والے فریقین میں ہوتی ہے۔

    اگر آپ رو برو نہیں مل سکتے تو آپ اپنے ساتھی سے ایک مواصلاتی وسائل کے ذریعے رابطہ کر سکتے ہیں جس کیلئے آپ کلیدوں کی تصدیق کیلئے کوشش کر رہے ہیں۔ مثلاً؛ اگر آپ کسی کے ساتھ پی۔جی۔پی کلیدیں تصدیق کرنے کی کوشش کر رہے ہیں تو آپ ایسا کرنے کیلئے او۔ٹی۔آر چیٹ یا ٹیلی فون استعمال کر سکتے ہیں۔

    جو پروگرام آپ استعمال کرتے ہیں اس کے باوجود آپ ہمیشہ اپنی اور اپنے سے مربوط ساتھی کی کلید دونوں تلاش کرنے کے اہل ہوں گے۔

    اگرچہ اپنی کلید تلاش کرنے کا طریقہ پروگرام کے ذریعے تبدیل ہوتا ہے لیکن کلیدوں کی تصدیق کرنے کا طریقہ کار تقریبًا ایک جیسا ہوتا ہے۔ آپ اپنی کلیدوں کے نشانِ انگشت باآوازِ بلند بھی پڑھ سکتے ہیں (اگر روبرو ہیں یا ٹیلی فون استعمال کر رہے ہیں) یا پھر آپ اسے ایک مراسلاتی پروگرام سے نقل اور چسپاں کر سکتے ہیں، لیکن آپ جس کا بھی انتخاب کریں، یہ ضروری ہے کہ آپ ہر حرف اور ہندسہ کا معائنہ کریں۔

    تجویز: اپنے کسی ایک دوست کیساتھ کلیدیں تصدیق کرنے کی کوشش کریں۔ ایک خاص پروگرام میں کلیدیں کس طرح تصدیق کریں، یہ جاننے کیلئے اس پروگرام کا کیسے رہنمائی کریں میں جائیے۔

    آخری تازہ کاری: 
    1-13-2017
  • Key Concepts in Encryption

    Under some circumstances, encryption can be fairly automatic and simple. But there are ways encryption can go wrong. The more you understand it, the safer you will be against such situations. We recommend reading the “What Should I Know About Encryption?” guide first if you haven’t already.

    In this guide, we will look at five main ideas. These are important concepts for understanding encryption in transit:

    • A cipher, a key
    • Symmetric and asymmetric encryption
    • Private and public keys
    • Identity verification for people (public key fingerprints)
    • Identity verification for websites (security certificates)

    A Cipher, A Key

    You’ve probably seen something that, on its face, is not understandable to you. Maybe it looks like it’s in another language, or like it’s gibberish—there’s some sort of barrier to being able to read and understand it. This doesn’t necessarily mean that it’s encrypted.

    What differentiates something that is not understandable from something that’s encrypted?

    Encryption is a mathematical process used to scramble information, so that it can be unscrambled only with special knowledge. The process involves a cipher and a key.

    A cipher is a set of rules (an algorithm) for encrypting and decrypting. These are well-defined steps that can be followed as a formula.

    A key is a piece of information that instructs the cipher in how to encrypt and decrypt. Keys are one of the most important concepts for understanding encryption.

    One Key or Many Keys?

    In symmetric encryption, there is one single key to both encrypt and decrypt information.

    Older forms of encryption were symmetric. For the “Caesar cipher” used by Julius Caesar, the key to encrypt and decrypt a message was a shift of three. For example, “A” would be changed to “D.” The message “ENCRYPTION IS COOL” would be encrypted to “HQFUBSWLRQ LV FRRO” using the key of three. That same key would be used to decrypt it back to the original message.

    Symmetric encryption is still used today—it often comes in the form of “stream ciphers” and “block ciphers,” which rely on complex mathematical processes to make their encryption hard to crack. Encryption today includes many steps of scrambling data to make it hard to reveal the original content without the valid key. Modern symmetric encryption algorithms, such as the Advanced Encryption Standard (AES) algorithm, are strong and fast. Symmetric encryption is widely used by computers for tasks like encrypting files, encrypting partitions on a computer, completely encrypting devices and computers using full-disk encryption, and encrypting databases like those of password managers. To decrypt this symmetrically-encrypted information, you’ll often be prompted for a password. This is why we recommend using strong passwords, and provide tutorials for generating strong passwords to protect this encrypted information.

    Having a single key can be great if you are the only person who needs to access that information. But there’s a problem with having a single key: what if you wanted to share encrypted information with a friend far away? What if you couldn’t meet with your friend in person to share the private key? How could you share the key with your friend over an open Internet connection?

    Asymmetric encryption, also known as public key encryption, addresses these problems. Asymmetric encryption involves two keys: a private key (for decryption) and a public key (for encryption).

    Symmetric Encryption

    Asymmetric Encryption

    • Fast
    • Slow
    • Doesn’t require a lot of computing power
    • Requires a lot of computing power
    • Useful for encrypting both large and small messages
    • Useful for encrypting small messages
    • Requires sharing the key for encryption and decryption
    • The decryption key does not need to be shared — only the “public key” for encryption is shared
    • Cannot be used for verifying identities (authentication)
    • Can be used for identity verification (authentication)

    Symmetric and asymmetric encryption are often used together for encrypting data in transit.

    Asymmetric Encryption: Private and Public Keys

    Private and public keys come in matched pairs, because the private key and public key are mathematically tied together. You can think of it like a rock that is split in half. When held back together, the two halves fit in place to form the whole. No other rock-half will do. The public key and private key files are much the same, but are ultimately composed of computer-readable representations of very large numbers.

    Although it is called a “public key,” it can be confusing to think of the public key as an actual, literal key to open things. It doesn’t quite serve that function. For more in-depth information on public keys and private keys, see SSD’s deep dive on public key cryptography.

    A public key is a file that you can give to anyone or publish publicly. When someone wants to send you an end-to-end encrypted message, they’ll need your public key to do so.

    Your private key lets you decrypt this encrypted message. Because your private key allows you to read encrypted messages, it becomes very important to protect your private key. In addition, your private key can be used to sign documents so that others can verify that they really came from you.

    Since the private key is ultimately a file on a device that requires protection, we encourage you to password protect and encrypt the device where the private key is stored. On Surveillance Self-Defense, we have guides for strong passwords and device encryption.

    Public Key

    Private Key

    • A file that can be shared widely (can be shared over the Internet easily)
    • A file that must be kept safe and protected
    • Sender needs the public key to encrypt information to the recipient
    • Used to decrypt encrypted messages that are addressed to the matched public key
    • Represented by a “public key fingerprint,” which is used for verifying identities (authentication)
    • Used for digital signatures, allowing a way to verify a sender’s identity (authentication)
    • Can be optionally posted to permanent, publicly-accessible databases, such as “keyservers” (keyservers are prominent in PGP encrypted email)
     

    In some ways, you can think of sending information in transit like sending a postcard. In the postcard illustration on the left (below), a sender writes: “HI! :-)” The sender addresses it to the message recipient. This message is unencrypted, and anyone passing the message along the way can read it.

    On the right is that same postcard, with the message encrypted between the sender and receiver. The message still conveys the message “Hi! :-)” but now it looks like a block of encrypted gibberish to the rest of us.

    How is this done? The sender has found the recipient’s public key. The sender addresses the message to the recipient’s public key, which encrypts the message. The sender has also included their signature to show that the encrypted message is really from them.

    Note that the metadata—of who is sending and who is receiving the message, as well as additional information like time sent and received, where it passed through, and so on—is still visible. We can see that the sender and receiver are using encryption, we can tell that they are communicating, but we can’t read the content of their message.

    Who Are You Encrypting To? Are They Who They Really Say They Are?

    Now, you might be wondering: “I get that my public key lets someone send me an encrypted message, and that my private key lets me read that encrypted message. But what if someone pretends to be me? What if they create a new public and private key, and impersonate me?”

    That’s where public key cryptography is especially useful: It lets you verify your identity and your recipient’s identity. Let’s look at the capabilities of the private key more closely.

    In addition to letting you read encrypted messages that are sent to your public key, your private key lets you place unforgeable digital signatures on messages you send to other people, as though to say “yes, this is really me writing this.”

    Your recipient will see your digital signature along with your message and compare it with the information listed from your public key.

    Let’s look at how this works in practice.

    Identity Verification for People: Public Key Fingerprints

    When we send any kind of message, we rely on the good faith of people participating. It’s like in the real world: We don’t expect a mail delivery person to meddle with the contents of our mail, for example. We don’t expect someone to intercept a friend’s letter to us, open and modify it, and send it to us, as though nothing had been changed. But there’s a risk this could happen.

    Encrypted messages have this same risk of being modified, however, public key cryptography allows us a way to double-check if information has been tampered with, by double-checking someone’s digital identity with their real-life identity.

    The public key is a giant block of text in a file. It is also represented in a human-readable shortcut called a key fingerprint.

    The word “fingerprint” means lots of different things in the field of computer security.

    One use of the term is a “key fingerprint,” a string of characters like “65834 02604 86283 29728 37069 98932 73120 14774 81777 73663 16574 23234” that should allow you to uniquely and securely check that someone on the Internet is using the right private key.

    In some apps, this information can be represented as a QR code that you and your friend scan off each other’s devices.

    You can double-check that someone’s digital identity matches who they say they are through something called “fingerprint verification.”

    Fingerprint verification is best done in real-life. If you’re able to meet with your friend in person, have your public key fingerprint available and let your friend double-check that every single character from your public key fingerprint matches what they have for your public key fingerprint. Checking a long string of characters like “342e 2309 bd20 0912 ff10 6c63 2192 1928” is tedious, but worth doing. If you’re not able to meet in person, you can make your fingerprint available through another secure channel, like another end-to-end encrypted messaging or chat system, or posted on a HTTPS site.

    Verifying someone’s key fingerprint gives you a higher degree of certainty that it’s really them. But it’s not perfect because if the private keys are copied or stolen (say you have malware on your device, or someone physically accessed your device and copied the file), someone else would be able to use the same fingerprint. For this reason, if a private key is “stolen,” you will want to generate a new public and private key pair, and give your friends your new public key fingerprint.

    Summary: Public-Key Encryption Capabilities

    In general, using public-key encryption can provide users:

    Secrecy: A message encrypted with public-key cryptography allows the sender to create a message that is secret, so that only the intended recipient can read it.

    Authenticity: A recipient of a message signed with public-key cryptography can verify that the message was authentically crafted by the sender if they have the sender’s public key.

    Integrity: A message signed or encrypted with public-key cryptography, in general, cannot be tampered with, otherwise the message will not decrypt or verify correctly. This means that even unintentional disruption of a message (e.g. because of a temporary network problem) will be detectable.

    Identity Verification for Websites and Services: Security Certificates

    You might wonder: “I can verify public key fingerprints, but what’s the equivalent for the web? How can I double-check that I’m using a service that really is the service that it says it is? How can I be sure that no one is interfering with my connection to a service?”

    Someone using end-to-end encryption shares their public key widely so others can verify that they are who they say they are. Similarly, when using transport-layer encryption, your computer automatically checks to confirm whether a public key for a service is who it really says it is, and that it is encrypting to the intended service: this is called a security certificate.

    Below, you can see an example of the security certificate for SSD from a generic Web browser. This information is often accessible by clicking the HTTPS lock in your Web browser and pulling up the certificate details.

    The Web browser on your computer can make encrypted connections to sites using HTTPS. Websites often use security certificates to prove to your browser that you have a secure connection to the real site, and not to some other system that’s tampering with your connection. Web browsers examine certificates to check the public keys of domain names—(like www.google.com, www.amazon.com, or ssd.eff.org). Certificates are one way of trying to determine if you know the correct public key for a person or website, so that you can communicate securely with them. But how does your computer know what the right public key is for sites you visit?

    Modern browsers and operating systems include a list of trusted Certificate Authorities (CAs). The public keys for these CAs are pre-bundled when you download the browser or buy a computer. Certificate Authorities sign the public key of websites once they’ve validated them as legitimately operating a domain (such as www.example.com). When your browser visits an HTTPS site, it verifies that the certificate the site delivered has actually been signed by a CA that it trusts. This means that a trusted third-party has verified that the site is who they are claiming to be.

    Just because a site’s security certificate has been signed by a Certificate Authority, does not mean that the website is necessarily a secure site. There are limits to what a CA can verify—it can’t verify that a website is honest or trustworthy. For example, a website may be “secured” using HTTPS, but still host scams and malware. Be vigilant, and learn more by reading our guide on malware and phishing.

    From time to time, you will see certificate-related error messages on the Web. Most commonly this is because a hotel or cafe network is trying to intercept your connection to a website in order to direct you to their login portal before accessing the web, or because of a bureaucratic mistake in the system of certificates. But occasionally it is because a hacker, thief, or police or spy agency is breaking the encrypted connection. Unfortunately, it is extremely difficult to tell the difference between these cases.

    This means you should never click past a certificate warning if it relates to a site where you have an account or are reading any sensitive information.

    Putting It All Together: Symmetric Keys, Asymmetric Keys, & Public Key Fingerprints.

    The example of Transport-Layer Security Handshakes

    When using transport-layer encryption, your computer’s browser and the computer of the website you’re visiting are using both symmetric algorithms and asymmetric algorithms. 

    Let’s examine a concrete example of how all these ideas work together: when you connect to this HTTPS website (https://ssd.eff.org/), what happens?

    When a website uses HTTPS, your browser and the website’s server have a very fast set of interactions called “the handshake.” Your browser—the likes of Google Chrome, Mozilla Firefox, Tor Browser, and so forth—is talking to the server (computer) hosting our website, https://ssd.eff.org.

    In the handshake, the browser and server first send each other notes to see if they have any shared preferences for encryption algorithms (these are known as “cipher suites”). You can think of it like your browser and our ssd.eff.org server are having a quick conversation: they’re asking each other what encryption methods they both know and should communicate in, as well as which encryption methods they prefer. (“Do we both know how to use an asymmetric algorithm like RSA in combination with a symmetric algorithm like AES? Yes, good. If this combination of encryption algorithms doesn’t work for us, what other encryption algorithms do we both know?”)

    Then, your browser uses asymmetric encryption: it sends a public key certificate to ssd.eff.org to prove that you are who you say you are. The site's server checks this public key certificate against your public key. This is to prevent a malicious computer from intercepting your connection.

    Once your identity is confirmed, the site’s server uses symmetric encryption: it generates a new, symmetric, secret key file. It then asymmetrically encrypts your browser’s public key, and sends it to your browser. Your browser uses its private key to decrypt this file.

    If this symmetric key works, your browser and website’s server use it to encrypt the rest of their communications. (This set of interactions is the transport layer security (TLS) handshake.) Thus, if all goes right in the handshake, your connection to ssd.eff.org shows up as Secure, with HTTPS beside ssd.eff.org.

    For a deeper dive on public and private keys, as well as verification, read our SSD guide on public key encryption next.

    آخری تازہ کاری: 
    11-26-2018
  • عوامی کلیدی رمز نگاری اور پی۔جی۔پی کا ایک تعارف

    پی۔جی۔پی پریٹی گڈ پرائیویسی کا مخفف ہے۔ یہ در حقیقت بہترین طریقہ خلوت ہے اور اگر اس کا صحیح استعمال کیا جائے تو یہ آپ کے پیغامات، تحریر اور فائلوں کو بھی زیادہ سمجھے جانے سے یہاں تک کہ حکومت کے مراعاتی کڑی نگرانی کے پروگراموں سے بھی بچا سکتا ہے۔ جب ایڈورڈ سنوڈن یہ کہتا ہے کہ خفیہ کاری کام کرتی ہے تو وہ پی۔جی۔پی اور اس کے متعلقہ سافٹ ویئر کے بارے میں بات کررہا ہوتا ہے۔ یہ ذہن نشین کر لینا چاھئے کہ حکومت کیلئے مخصوص لوگوں کے کمپیوٹروں کی کلیدوں کا چوری ہونا ان سنی بات نہیں ہے (ان کے کمپیوٹروں کو ان کی دسترس سے دور لے جاکر، یا جعلسازی کیساتھ حملوں کے ذریعے یا کمپیوٹروں پر طبعی رسائی حاصل کرکے ان میں مالویئر ڈالنے کے ذریعے) جس سے کہ حفاظتی حصار ٹوٹ جاتا ہے اور یہاں تک کہ پرانے خطوط پڑھنے کی اجازت بھی مل جاتی ہے۔ یہ کہنا قابلِ موازنہ ہے کہ آپ اپنے دروازے کو نہ توڑے جانے والا تالا تو لگا سکتے ہیں لیکن کوئی آپکی چابی گلی میں سے گزرتے ہوئے آپ کی جیب میں سے نکالنے کے قابل بھی ہو سکتا ہے اور پھر اس کی نقل لیکر اسے واپس آپ کی جیب میں رکھ دے اور اس طرح آپ کے گھر میں تالا توڑے بغیر داخل ہو سکتا ہے۔

    بد قسمتی سے پی۔جی۔پی سمجھنے اور استعمال کرنے میں نہایت بری سروس ہے۔ اس کی اسستعمال کردہ عوامی کلیدی رمزنویسی جہاں بہت اختراع پسند ہے وہیں آپ کیلئے اسے دماغ میں رکھنا مشکل بھی ہے۔ یہ سافٹ ویئر ۱۹۹۱ سے چلا آرہا ہے جس کی وجہ سے یہ مائیکرو سافٹ ونڈوز کے ابتدائی ورژن جتنا پرانا ہے، اور تب سے اس کی ظاہری حالت بھی اتنی تبدیل نہیں ہوئی۔

    اچھی خبر یہ ہے کہ اب ایسے بہت سے پروگرام دستیاب ہیں جو پی۔جی۔پی کے قدیم ڈیزائن کو چھپا سکتے ہیں اور خاص طور پر جب اس کا استعمال خفیہ کاری کرنے اور ای۔میل کی تصدیق کرنے کیلئے ہو تو اسے زیادہ آسان بنا سکتے ہیں۔ ہم نے اس سافٹ ویئر کو کسی بھی جگہ پر آپریٹ کرنے اور تنصیب کرنے کی ہدایات شامل کی ہیں۔

    اس سے پہلے کہ آپ پی۔جی۔پی یا اس کو استعمال کرنے والے دوسرے پروگراموں کو چلائیں چند لمحات عوامی کلیدی رمز نویسی کی بنیادی باتوں کو سمجھنے کیلئے گزارنا قدروقیمت رکھتے ہیں: کہ یہ آپ کیلئے کیا کر سکتا ہیں، کیا نہیں کرسکتا اور آپ کو اسے کب استعمال کرنا چاہئے۔

    دو کلیدوں کی کہانی

    جب ہم کڑی نگرانی سے مقابلے کیلئے خفیہ کاری کا استعمال کرتے ہیں تو اس زمرے میں ہم جو کچھ کرنے کی کوشش کر رہے ہیں وہ یہاں ہیں:

    ‘‘ ہیلو ماں’’ جیسے واضح پڑھے جانے والے پیغام کو زیرِغور لاتے ہیں۔ ہم اس پیغام کی ایک کوڈ والے پیغام میں خفیہ کاری کرتے ہیں جو اس پیغام پر نظر رکھنے والے ہر شخص کیلئے نا قابلِ فہم ہو۔ (OhsieW5ge+osh1aehah6, (کہتا ہے ہم اس مرموز پیغام کو انٹرنیٹ سے بھیجتے ہیں جہاں اسے بہت سے لوگوں کی طرف سے پڑھا تو جاتا ہے لیکن پر امید طور پر سمجھا نہیں جاتا۔ پھر جب یہ اپنی منزلِ مقصود پر پہنچتا ہے تو صرف اور صرف ہمارا متعلقہ وصول کنندہ ہی اسے اصل پیغام کی صورت میں غیر مخفی کرنے کا متحمل ہوتا ہے۔

    جب کوئی دوسرا شخص اس پیغام کو ڈی کوڈ نہیں کرسکتا تو ہمارا متعلقہ وصول کنندہ کیسے کر سکتا ہے؟ ایسا اس لئے ہونا چاہئے کیونکہ وہ چند اضافی معلومات جانتے ہیں جو دوسرا کوئی نہیں جانتا۔ آیئے اسے ڈی کوڈنگ کلید کا نام دیتے ہیں کیونکہ یہغیر مقفل کرتی ہےکوڈ میں موجود پیغام کو.

    وصول کنندہ اس کلید کو کیسے جان پاتا ہے؟ اکثروبیشتر یوں ہوتا ہے کہ پیغام بھیجنے والا پہلے سے اس کلید کے بارے میں بتا چکا ہوتا ہے، چاہے ‘‘ اس پیغام کو آئینے کے سامنے رکھ کر’’ بتایا جاتا ہو یا پھر ‘‘ ہر لکھے گئے کلیدی حرف کو حروفِ تہجی کے دوسرے حرف کا متبادل’’ دیا جاتا ہو۔ اگرچہ اس حکمتِ عملی کیساتھ ایک مسئلہ ہے۔ اگر آپ اپنے بھیجے گئے کوڈڈ پیغام پر جاسوسی ہوجانے کے بارے میں پریشان ہیں تو سوال یہ اٹھتا ہے کہ آپ اس گفتگو پر بھی جاسوسی ہوئے بغیر اپنے وصول کنندہ کو کلید کیسے بھیجتے ہیں؟ اگر آپ کا حملہ آور پہلے سے ہی کلید کی ڈی کوڈنگ کے بارے میں جانتا ہو تو ایک ہوشمندانہ مرموز پیغام بھیجنے کی کوئی وجہ نہیں بنتی۔ اور اگر آپ کے پاس ڈی کوڈنگ کلیدوں کو بھیجنے کا کوئی خفیہ طریقہ ہے تو آپ اپنے تمام خفیہ پیغامات بھیجنے کیلئے وہی طریقہ کیوں استعمال نہیں کرتے؟

    عوامی کلیدی رمز نگاری اس مسئلہ کا ایک عمدہ حل رکھتی ہے۔ گفتگو کرنے والا ہر شخص دو کلیدوں کی تخلیق کرتا ہے۔ ایک ان کی ذاتی کلید ہوتی ہے جسے وہ کسی دوسرے شخص کے علم میں لائے بغیر اپنے پاس ہی رکھتے ہیں۔ دوسری کلید عوامی ہوتی ہے جسے وہ ہر اس شخص کے ہاتھ میں دے دیتے ہیں جو ان سے رابطہ کرنا چاہتا ہو۔ اس کلید کے دیکھ لینے سے کوئی فرق نہیں پڑتا۔ آپ اس کلید کو آن لائن بھی رکھ سکتے ہیں تاکہ ہر کوئی اسے دیکھ سکے۔

    کئی ریاضیاتی خصوصیات کیساتھ کلیدیں بذاتِ خود کافی بڑے ہندسوں پر مشتمل ہوتی ہیں۔ عوامی اور ذاتی کلیدیں ایک دوسرے سے منسلک ہوتی ہیں۔ اگر آپ عوامی کلید کا استعمال کرکے کسی چیز کی خفیہ کاری کرتے ہیں تو کوئی دوسرا شخص اس کی ملتی جلتی ذاتی کلید کیساتھ اسے ڈی کوڈ کر سکتا ہے۔

    آئیے دیکھتے ہیں کہ یہ کیسے کام کرسکتا ہے۔ آپ آروو نامی شخص کو ایک خفیہ پیغام بھیجنا چاہتے ہیں۔ اس کے پاس ایک ذاتی کلید ہے اور ایک اچھے عوامی خفیہ کلید کار کی طرح وہ اپنی عوامی کلید ویب پیج پر درج کر چکا ہے۔ آپ اس عوامی کلید کو ڈاؤن لوڈ کریں اور پھر اس کے استعمال سے پیغام کو مرموز کریں اور آروو کو بھیج دیں ۔ چونکہ آروو کے علاوہ اور کوئی بھی مشابہت والی ذاتی کلید نہیں رکھتا لہٰذا صرف وہی اس پیغام کو ڈی کوڈ کر سکتا ہے۔

    اوقات کا نشان

    عوامی کلیدی رمز نگاری اس کلیدی خفیہ کشائی کی غیر قانونی آمدورفت کے مسئلے سے نجات حاصل کرتا ہے جو آپ اپنے مطلوبہ شخص کو ایک پیغام بھیجتے وقت لگاتے ہیں کیونکہ وہ شخص پہلے سے کلید رکھتا ہے۔ آپ کو صرف ملتی جلتی عوامی خفیہ کاری کلید کو اپنی حفاظت میں رکھنا پڑتا ہے جو وصول کنندہ بشمول جاسوس کسی کو بھی دے سکتا ہے۔ کیونکہ یہ محض ایک پیغام کی خفیہ کاری کیلئے مفید ہے اور جو بھی اس پیغام کی خفیہ کشائی کی کوشش کرے اس کیلئے یہ بیکار ہے۔

    مزید یہ بھی ہے کہ اگر آپ ایک پیغام کی متعدد عوامی کلید کے ساتھ خفیہ کاری کرتے ہیں تو اسکی صرف ملتی جلتی ذاتی کلید سے ہی خفیہ کشائی ہو سکتی ہے۔ جبکہ اس کا متضاد طریقہ بھی ٹھیک ہے کہ اگر آپ ایک پیغام کی کسی ذاتی کلید سے خفیہ کاری کرتے ہیں تو اسکی صرف اسی سے ملتی جلتی کلید سے ہی خفیہ کشائی ہو سکتی ہے۔

    یہ کونکر مفید ثابت ہوگا؟ پہلی نظر میں تو آپکی اپنی ذاتی کلید کے ساتھ خفیہ پیغام بنانے کا کوئی فائدہ نظر نہیں آتا کیونکہ اس دنیا میں ہر شخص اس کا توڑ کر سکتا ہے ( یا کم از کم ہر وہ شخص جس کے پاس آپکی عوامی کلید موجود ہے) لیکن فرض کریں میں ایک پیغام لکھتا ہوں جس میں کہوں ‘‘ میں آزل کو ۱۰۰ ڈالر دینے کا وعدہ کرتا ہوں’’ اور پھر اپنی ذاتی کلید کا استعمال کرتے ہوئے اسے ایک خفیہ پیغام کی شکل دے دوں۔ کوئی بھی شخص اس پیغام کی خفیہ کشائی تو کر سکتا ہے لیکن اسے تحریر وہی شخص کر سکتا ہے جو میری ذاتی کلید رکھتا ہو۔ اگر میں نے اپنی ذاتی کلید محفوظ رکھ کر ایک اچھا کام سر انجام دیا ہے تو اس کا حاصل صرف اور صرف میں ہوں۔ اس کے زیرِ اثر اس پیغام کو اپنی نجی کلید کیساتھ خفیہ کاری کے ذریعے میں نے اس بات کو یقینی بنایا ہے کہ یہ صرف میری طرف سے ہی آسکتا ہے۔ با الفاظِ دیگر میں نے اس برقی پیغام کے ساتھ ویسا ہی سلوک کیا جیسا ہم حقیقی دنیا میں ایک پیغام کو دستخط کرتے وقت کرتے ہیں۔

    دستخط کرنا پیغامات کو کسی اور کے ہاتھ میں جانے سے روکتی ہے۔ اگر کسی نے ‘‘ میں آزل کو ۱۰۰ ڈالر دینے کا وعدہ کرتا ہوں’’کو ‘‘ میں باب کو ۱۰۰ ڈالر دینے کا وعدہ کرتا ہوں’’ میں تبدیل کرنے کی کوشش کی تو وہ میری ذاتی کلید استعمال کرکے اس پیغام کی دوبارہ نشاندہی کرنے کے قابل نہیں ہوں گے۔ لہٰذا ایک دستخط کردہ پیغام کی متعدد ذرائع سے قائم کرنے کی ضمانت دی جاتی ہےاور آمدورفت میں اس کے ساتھ گڑ بڑ نہیں کی جاتی۔

    اسی لئے عوامی کلیدی رمز نگاری آپ کو ہر اس شخص کو بحفاظت خفیہ کاری اور پیغام بھیجنے دیتی ہے جس کی عوامی کلید کو آپ جانتے ہوں۔ اگر دوسرے لوگ آپ کی عوامی کلید جانتے ہیں تو وہ آپ کو وہ پیغامات بھیج سکتے ہیں جن کی صرف آپ خفیہ کشائی کر سکتے ہیں۔ اور اگر لوگ آپ کی عوامی کلید کو جانتے ہیں تو آپ پیغامات پر نشانی لگا سکتے ہیں تاکہ وہ لوگ آپ کی طرف سے آنے والے پیغامات کو جانیں۔ اور اگر آپ کسی اور کی عوامی کلید کو جانتے ہیں تو آپ ان کی طرف سے دستخط ہوئے ایک پیغام کی خفیہ کشائی کرکے یہ جان سکتے ہیں کہ وہ انہی لوگوں کی طرف سے آئے ہیں۔

    یہ بات اب تک واضح ہو جانی چاہئےکہ جتنے زیادہ لوگ آپ کی عوامی کلید کو جانتے ہیں اتنی ہی زیادہ عوامی کلیدی رمز نگاری مفید ہو جاتی ہے۔ یہ بات بھی واضح ہونی چاہئے کہ آپ کو اپنی ذاتی کلید کو بہت زیادہ محفوظ رکھنے کی ضرورت ہے۔ اگر کوئی دوسرا آپکی ذاتی کلید کی نقل حاصل کر لیتا ہے تو وہ آپ کا روپ دھار کے پیغامات پہ دستخط کر کے یہ دعوٰی کر سکتے ہیں کہ وہ پیغامات آپکی جانب سے لکھے گئے تھے۔ پی۔جی۔پی ایک ایسا خدوخال رکھتا ہے جو آپکو ایک ذاتی کلید کو ‘‘ فسخ’’ کرنے دیتا ہے اور لوگوں کو اس کے مزید قابلِ اعتماد نہ ہونے کے بارے میں خبردار کرتا ہے لیکن یہ ایک بہترین حل نہیں ہے۔ ایک عوامی کلیدی رمز نگاری نظام استعمال کرنے کا نہایت اہم پہلو یہ ہے کہ آپ اپنی ذاتی کلید کی بے حد احتیاط سے حفاظت کریں۔

    پی۔جی۔پی کیسے کام کرتا ہے

    پریٹی گڈ پرائیویسی زیادہ تر عوامی اور ذاتی کلیدوں کی تخلیق اور استعمال کی باریکیوں کے ساتھ منسلک ہے۔ آپ اس کے ساتھ ایک عوامی یا ذاتی کلیدی جوڑا تخلیق کرکے ذاتی کلید کی ایک شناختی لفظ کیساتھ حفاظت کرکے اسے استعمال کر سکتے ہیں اور اپنی عوامی کلید سے تحریر پر دستخط اور اسکی خفیہ کاری کرسکتے ہیں۔ یہ آپکو دیگر لوگوں کی عوامی کلیدیں ڈاؤن لوڈ اور آپکی اپنی عوامی کلیدوں کو عوامی کلیدی سرورز سے اپ لوڈ بھی کرنے دے گی، عوامی کلیدی سرورز وہ مخزن ہیں جہاں دیگر لوگ آپ کی کلید تلاش کر سکتے ہیں۔ اپنے ای۔میل سافٹ ویئر میں پی۔جی۔پی سے مطابقت رکھنے والے سافٹ ویئر کی تنصیب کے حوالے سے ہماری ہدایات دیکھیں۔

    اگر اس مجموعی جائزے سے کوئی ایک چیز آپ لینا چاہتے ہیں تو وہ یہ ہے کہ آپ کو اپنی ذخیرہ کی ہوئی ذاتی کلید کو کسی محفوظ جگہ پر رکھنی چاہئے اور ایک لمبے شناختی لفظ کیساتھ اس کی حفاظت کرنی چاہئے۔ جس کسی کے ساتھ آپ رابطہ کرنا چاہتے ہوں یا جو شخص آپ کی طرف سے آنے والے پیغام کی تصدیق کرنا چاہتا ہو کہ وہ خالصتاً آپ کی طرف سے ہی ہے تو اس شخص کو آپ اپنی عوامی کلید دے سکتے ہیں۔

    اعلیٰ درجہ پی۔جی۔پی: دی ویب آف ٹرسٹ

    آپ عوامی کلیدی رمز نگاری کے کام میں ایک ممکنہ عیب کی نشاندہی کرسکتے ہیں۔ فرض کریں کہ میں نے ایک عوامی کلید کو باراک اوبامہ سے منسوب کرکے تقسیم کرنا شروع کیا۔ اگر لوگوں نے مجھ پر اعتبار کیا تو وہ شاید باراک کو خفیہ کاری کی کلید کے استعمال سے خفیہ پیغامات بھیجنا شروع کردیں۔ یا وہ اس بات پر یقین کر سکتے ہیں کہ اس کلید کیساتھ نشان لگائی گئی کوئی بھی چیز باراک کا ایک حلفیہ بیان ہے۔ ایسا شاذونادر ہی ہوتا ہے اور درحقیقت ایسے کئی واقعات کچھ لوگوں بشمول اس مسودہ کے بعض مصنفین کی حقیقی زندگی میں پیش آچکے ہیں یعنی چند لوگوں کی جانب سے انہیں بے وقوف بنایا جاچکا ہے ( ہم یقینی طور پر یہ نہیں جانتے کہ آیا جعلی کلیدیں بنانے والے بعض لوگ حقیقت میں پیغامات کی راستے میں مداخلت کرنے اور انہیں پڑھنے کی اہلیت رکھتے ہیں کہ نہیں، یا یہ کہ جو لوگ محفوظ گفتگو کرتے ہیں انکے لئے اسے مزید تکلیف دہ بنانے کیلئے یہ ایک مذاق کے مساوی تھا۔)

    حملہ آور کا دو لوگوں کی گفتگو کے دوران براہِ راست بیٹھ کر ان کی پوری گفتگو کو سننا اور کبھی کبھار کفتگو کے دوران حملہ آوروں کے غلط فہمیاں پیدا کرنے والے پیغامات کی ترسیل بھی حملہ آور کا ایک اور سنسنی خیز حملہ ہوتا ہے۔ ایسا حملہ با لکل ممکن ہے لیکن بطور نظام انٹرنیٹ کے ڈیزائن کا شکریہ ادا کرتے ہیں جو پیغامات کو مختلف کمپیوٹروں اور نجی فریقین تک پہنچاتا ہے۔ ان شرائط کے تناظر میں (‘‘ مین آف دی مڈل اٹیک’’ کہلانے والا) کسی مقدم معاہدے کے بغیر کلیدوں کا تبادلہ کرنا بہت جوکھم میں ڈال سکتا ہے۔ باراک اوبامہ کی آواز میں ایک شخص اعلان کرتا ہے ‘‘ یہ میری کلید ہے’’ اور آپ کو ایک عوامی کلیدی فائل بھیجتا ہے۔ لیکن ایسے شخص کو کیا کہا جائے جو اس لمحے کا انتظار بھی نہ کرے اور اوبامہ کی کلیدی نشریات روک کر اپنی ذاتی کلید داخل کردے۔

    ہم اس بات کو کیسے ثابت کریں کہ ایک خاص کلید مطلوبہ شخص سے واقعی تعلق رکھتی ہے؟ ایک ذریعہ تو یہ ہے کہ ان سے براہِ راست کلید حاصل کی جائے لیکن یہ ہمارے اس بنیادی اعتراض جتنا بہتر نہیں ہے کہ کوئی شخص ہم پر نظر رکھے بغیر ایک خفیہ کلید حاصل کر لے۔ اب تک لوگ ذاتی اور عوامی خفیہ پارٹیوں میں ملتے ہوئے عوامی کلیدوں کا تبادلہ کر لیتے ہیں۔

    پی۔جی۔پی کچھ حد تک بہتر حل رکھتا ہے جسے ’’ ویب آف ٹرسٹ‘‘ کہا جاتا ہے۔ اس اصطلاح کے تحت اگر میں ایک کلید کو ایک مختلف سے تعلق رکھنے پر یقین رکھتا ہوں تو میں اس کلید پر دستخط کر سکتا ہوں اور پھر اسے (اور دستخط کو ) عوامی کلیدی سرور میں منتقل کر سکتا ہوں۔ بعدازاں یہ کلیدی سرورز دستخط شدہ کلیدوں کو ان کے طالب کسی بھی شخص تک پہنچا دیں گے۔

    عمومی طور پر میں جتنا زیادہ لوگوں پر اعتماد کروں گا کہ وہ ایک کلید پر دستخط کر چکے ہیں اتنا ہی زیادہ یقین کرونگا کہ کلید واقعی اس کا دعویٰ کرنے والوں سے تعلق رکھتی ہے۔ پی۔جی۔پی آپکو دیگر لوگوں کی کلیدوں پر دستخط کرنے دیتا ہے۔ اور آپ کو دیگر دستخط کنندگان پر بھی اعتماد کرنے دیتا ہے۔ پھر اگر وہ ایک کلید پر دستخط کریں گے تو آپ کا سافٹ ویئر خود کار طریقے سے کلید کے درستگی پر یقین کرلے گا۔

    ویب آف ٹرسٹ اپنے اعتراضات اور بہتر تجزیوں کی حالیہ جانچ پڑتال کر رہے ای۔ایف۔ایف جیسے اداروں کے ساتھ چلتا ہے۔ لیکن ابھی کیلئے اگر آپ کلیدوں کو لوگوں کے مابین سپردگی کا متبادل چاہتے ہیں تو ویب آف ٹرسٹ اور عوامی کلیدی سرور نیٹ ورک کا استعمال آپ کے بہترین انتخاب ہیں۔

    کوائف کے اعداد و شمار (میٹا ڈیٹا ): پی۔جی۔پی کیا نہیں کر سکتا

    پی۔جی۔پی ایک پیغام کے مندرجات کے خفیہ ہونے، حقیقی ہونے اور اس کے ساتھ چھیڑ چھاڑ نہ ہونے کی یقین دہانی سے متعلق ہے۔ لیکن صرف یہی آپ کی خلوت کے خدشات نہیں ہیں۔ جیسا ہم نے دیکھا کہ آپکے پیغامات سے متعلق معلومات کا انکے مندرجات کی طرح انکشاف کیا جا سکتا ہے ( دیکھئے ’’ میٹا ڈیٹا‘‘)۔ اگر آپ پی۔جی۔پی پیغامات کا اپنے ملک کے جانے مانے باغی کے ساتھ تبادلہ کر رہے ہیں تو خفیہ کشائی ہوئے پیغامات کے بغیر بھی ان کے ساتھ رابطہ کرنے میں آپ خطرے میں پڑ سکتے ہیں۔ درحقیقت بعض ممالک میں تو آپ کو مرموز پیغامات کی خفیہ کشائی سے انکار پر قید و بند کا سامنا کرنا پڑ سکتا ہے۔

    پی۔جی۔پی ان باتوں کی تلبیس کرنے کیلئے کچھ نہیں کر پاتا کہ آپ کس سے بات کر رہے ہیں یا یہ سب کرنے کیلئے آپ پی۔جی۔پی کا استعمال کر رہے ہیں۔ دراصل اگر آپ کلیدی سرورز پر اپنی عوامی کلید منتقل کرتے ہیں یا دوسرے لوگوں کی کلیدوں پر دستخط کرتے ہیں تو آپ موثر انداز سے دنیا کو یہ بتا رہے ہوتے ہیں کہ آپ کی کلید کون سی ہے اور آپ کسے جانتے ہیں۔

    آپ کو ایسا کرنے کی ضرورت نہیں۔ آپ خاموشی سے اپنی عوامی کلید کو اپنے پاس رکھ سکتے ہیں اور صرف ان لوگوں کو دیں جن کے ساتھ آپ خود کو محفوظ تصور کرتے ہیں اور انہیں یہ بھی بتائیں کہ اسے عوامی کلیدی سرورز میں منتقل نہ کریں۔ آپکو ایک کلید سے اپنا نام جوڑنے کی ضرورت نہیں۔

    اس بات کو چھپانا کہ آپ ایک خاص شخص سے بات کر رہے ہیں زیادہ مشکل ہے۔ ایسا کرنے کیلئے ایک راستہ تو یہ ہے کہ آپ دونوں گمنام ای۔میل اکاؤنٹس استعمال کریں اور ان تک رسائی کیلئے Torاستعمال کریں۔ اپنے ای۔میل پیغامات دوسرے لوگوں سے نجی رکھنے اور ایک دوسرے کو یہ ثابت کرنے کیلئے کہ پیغامات کے ساتھ چھیڑ چھاڑ نہیں کی جاتی رہی، اگر آپ یہ کریں گے تو پی۔جی۔پی آپ کے لئے مفید ہوگا۔

    آخری تازہ کاری: 
    5-9-2018
  • کس طرح کریں: OTR میک کے لئے استعمال کریں

    ایڈیم OS X کے لیے ایک مفت اور آزاد مصدر فوری پیغام رسانی کلائنٹ ہے جو آپ کو متعدد چیٹ پروٹوکول استعمال کرنے والے افراد کے ساتھ بات چیت کرنے کی اجازت دیتا ہے، بشمول Google Hangouts, Yahoo! Messenger,  Windows Live Messenger, AIM, ICQ, اور XMPP

    او-ٹی-آر(آف دی ریکارڈ ) ایک دستور(پروٹوکول) ہے جو لوگوں کو خفیہ بات چیت کی اجازت دیتا ہے ایسے پیغام رسانی کے آلات کا استعمال کرتے ہوئے جن سے وہ پہلے ہی سے واقف ہیں.لیکن اسے گوگل کے آف دی ریکارڈ کے ساتھ مخلوط نہیں کرنا چاہیے جو محض چیٹ کی لاگ نااہل کرتا ہے ، اور خفیہ کاری یا توثیق کی صلاحیتوں کا حامل نہیں ہے .میک صارفین کے لیے،ایڈیم کلائنٹ کے ساتھ OTR درساختہ آتا ہے.

    OTR میں شروع سے آخرتک خفیہ کاری ہوتی ہے ۔اس کا مطلب ہے کہ آپ اسے گوگل ہینگ آئوٹس جیسی بات چیت کی سروسز استعمال کرتے ہوئے کر سکتے ہیں ان کمپنیوں کی کبھی بھی گفتگو کے مشمولات تک رسائی حاصل ہوئے بغیر ۔یہ گوگل اور AOL میں استعمال ہونے والی اصطلاح آف دی ریکارڈ جسکا مطلب ہے کہ گفتگو کے نوشتہ جات نہیں بن رہے سے بلکل مختلف ہے، یہ اختیار آپ کی گفتگو کی خفیہ کاری نہیں کرتا.

    مجھے ایڈیم+OTR کیوں استعمال کرنا چاہیے ؟

    جب آپ گوگل ہینگ آئوٹس چیٹ پر گوگل ویب سائٹ کا استعمال کرتے ہوئے بات چیت اور گفتگو کرتے ہیں ، اس گفتگو کی HTTPS کے ذریعے خفیہ کاری ہوتی ہے، جس کا مطلب ہے کہ آپ کی گفتگو کے مواد کی ہیکروں اور تیسرے فریق سے حفاظت کرتا ہے جب کہ اسکی منتقلی ہورہی ہو.یہ، تاہم، گوگل یا فیس بک سے محفوظ نہیں ہے جن کے پاس آپکی گفتگو کی کلیدیں ہوتی ہیں اور جو انہیں حکام کے حوالے کر سکتے ہیں ہے یا مارکیٹنگ کے لئے ان کا استعمال۔

    جب آپ نےایڈیم تنصیب کرلیا، آپ بیک وقت ایک سے زیادہ اکاؤنٹس کو استعمال کرتے ہوئے سائن ان کر سکتے ہیں.مثال کے طور پر، آپ گوگل ہینگ آئوٹس XMPP بیک وقت استعمال کرسکتے ہیں. ایڈیم آپکو ان آلات کو بغیر OTR استعمال کئے بھی گفتگو کرنے دیتا ہے۔.جب آپ نےایڈیم تنصیب کرلیا، آپ بیک وقت ایک سے زیادہ اکاؤنٹس کو استعمال کرتے ہوئے سائن ان کر سکتے ہیں.مثال کے طور پر، آپ گوگل ہینگ آئوٹس، XMPP بیک وقت استعمال کرسکتے ہیں. ایڈیم آپکو ان آلات کو بغیر OTR استعمال کئے بھی گفتگو کرنے دیتا ہے۔چونکہ OTR صرف اس وقت کام کرتا ہے جب دونوں افراد اسے استعمال کر رہے ہوں اس کا مطلب ہے کہ اگر دوسرے شخص کے پاس یہ تنصیب نہیں ہے ،آپ اب بھی ان کے ساتھ بات چیت کر سکتے ہیں ایڈیم کا استعمال کرتے ہوئے .

    ایڈیم آپکو بینڈ کے باہر بھی تصدیق کرنے کی اجازت دیتا ہے اس بات کو یقینی بنانے کے لئے کہ آپ اس ہی شخص سے بات کر رہے ہیں جس سے آپ سوچ رہے ہیں کہ آپ بات کر رہے ہیں اور آپ MITM حملے کا شکار نہیں بن رہے ہیں . ہر بات چیت کے لئے، ایک اختیار ہے کہ یہ آپ کے لئے اور جس سے آپ بات کر رہے ہیں اس کے لئے موجود کلیدی فنگر پرنٹ دکھائے گا . ایک "کلیدی فنگر پرنٹ " حروف پر مشتمل ایک اسٹرنگ ہوتا ہے جیسا کہ "342e 2309 bd20 0912 ff10 6c63 2192 1928,” جسے ایک طویل عوامی کلید تصدیق کرنے کے لئے استعمال کیا جاتا ہے.کسی دوسرے مواصلت چینل کے ذریعے اپنے فنگر پرنٹ کا تبادلہ کیجیے ، مثلاً ٹویٹر DM یا ای میل،اس بات کو یقینی بنانے کے لئے کہ کوئی آپکی بات چیت میں دخل اندازی نہیں کر رہا ہے. چابیاں ملنے کے نہیں ہے تو، آپ کو درست شخص سے بات کر رہے ہیں اس بات کا یقین نہیں ہو سکتا. عملی طور پر، لوگوں کو اکثر ایک سے زیادہ چابیاں کا استعمال کریں، یا ہار اور نئے چابیاں بہلانا کرنے کے لئے ہے، تو آپ کو کبھی کبھار اپنے دوستوں کے ساتھ آپ کی چابیاں دوبارہ چیک کرنے کے لیے ہے تو حیران نہ ہو.

    حدود:کب مجھے ایڈیم+ OTR استعمال نہیں کرنا چاہیے؟

    جب ایک پروگرام یا ٹیکنالوجی بیرونی حملے کے خطرے سے دوچار ہو سکتا ہے:اسے واضح کرنے کے لئے ماہرِ فنّیات کے پاس ایک اصطلاح ہے ۔ وہ اسے کہتے ہیں کہ اس کی "حملے کی سطح " بڑی ہے .ایڈیم ایک بڑے حملے کی سطح ہے ۔یہ ایک پیچیدہ پروگرام ہے،جس میں سکیورٹی اولین ترجیح نہیں ہے.اس میں تقریبا یقینی طور پر نقائص ہیں،جن میں سے بعض کو حکومتیں یا بڑی کمپنیاں بھی ان کمپیوٹرز میں گھسنے کے لئے استعمال کر سکتی ہیں جو اسے استعمال کر رہے ہیں .ایڈیم کا استعمال کرتے ہوئے اپنی گفتگو کی خفیہ کاری غیر اہدافی جالکار نگرانی کی ایسی قسم جسے ہرایک کی انٹرنیٹ بات چیت پر جاسوسی کے لئے استعمال کیا جاتا ہے کے خلاف ایک بہترین دفاع ہے۔لیکن اگر آپ کو لگتا ہے کہ آپ کو ایک بہترین وسائل کے ساتھ حملہ آور(ایک قومی ریاست کے اجزائے کی طرح) نشانہ بنائے گا،تو آپکو مضبوط احتیاطی تدابیر پر غور کرنا چاہئے، جیسے PGP سے خفیہ بنائی گئی ای میل.

    آپکے میک پر Adium + OTR کی تنصیب

    مرحلہ ١: پروگرام تنصیب کریں

    سب سے پہلے, یہاں جائیے https://adium.im/ اپنے براؤزر میں۔"ڈاؤن لوڈ، ایڈیم 1.5.9." کا انتخاب کریں۔فائل .dmg یا ڈسک کی تصویر کے طور پر ڈاؤن لوڈ ہوگی، اور شاید آپ کے "ڈاؤن لوڈ" فولڈر میں محفوظ ہوگی۔

    فائل پر دوہرا کلک کریں ؛جو اس طرح کی ایک ونڈو کھول دے گا:

    ایڈیم کی تنصیب کے لئے ایڈیم کی شبیہ کو "درخواست" کے فولڈر میں منتقل کریں . ایک مرتبہ پروگرام تنصیب ہوجائے تو ، اسے آپ ایپلی کیشنز کے فولڈر میں تلاش کریں اور اسے کھولنے کے لیے دہرا کلک کریں ۔

    مرحلہ ٢ : آپ اکاؤنٹ کی تشکیل کریں

    سب سے پہلے, آپ کو ایڈیم کے ساتھ حسب خواہش بات چیت کے آلات یا پروٹوکول استعمال کرنے کے لئے فیصلہ کرنے کی ضرورت ہو گی.سیٹ اپ کا عمل بھی ہر قسم کے آلے کے لئے ملتا جلتا ہے لیکن بلکل ایک جیسا نہیں ہے ، .آپکو ہر آلے یا پروٹوکول کے لئے اپنے اکاؤنٹ کا نام ،ساتھ ساتھ ہر ایک اکاؤنٹ کے لئے آپ کا پاس ورڈ جاننے کی ضرورت ہو گی.

    ایک اکاؤنٹ سیٹ اپ کے لیے،آپ کی سکرین کے سب سے اوپر ایڈیم کی فہرست پر جائیے اور "ایڈیم" پر کلک کریں اور پھر "ترجیحات."پر.یہ سب سے اوپرایک اور فہرست کھول دے گا."اکاؤنٹ" منتخب کریں، پھر ونڈو کے نچلے حصے میں "+" سائن پر کلک کریں.آپکو اس طرح کی ایک فہرست نظر آئے گی:

    پروگرام منتخب کریں جس میں آپ سائن ان کرنا چاہتے ہیں.یہاں سے آپ کو یا تو آپ کا صارف نام اور پاس ورڈ داخل کرنے کے لیے، یا اپنے اکاؤنٹ میں سائن ان کرنے کے لئے ایڈیم کی منظوری کے آلہ کو استعمال کرنے کے لئے لقمیا دیا جائے گا ۔ایڈیم کی ہدایات پر احتیاط سے عمل کیجئے..

    OTR بات چیت کا آغاز کرنے کا طریقہ

    ایک مرتبہ آپ نے اپنے ایک یا اس سے زائد اکاؤنٹ سے سائن ان کیا،آپ OTR کا استعمال شروع کر سکتے ہیں .

    یاد رکھیں: OTR کا استعمال کرتے ہوئے کوئی گفتگو کرنے کے لئے، دونوں افراد کو ایک ایسا چیٹ پروگرام استعمال کرنے کی ضرورت ہے جو OTR کی حمایت کرتا ہو۔

    مرحلہ ١ : کسی OTR بات چیت کا آغاز

    سب سے پہلے ایسے شخص کی شناخت، کریں جو OTR استعمال کر رہا ہو، اور ایڈیم میں ان کے نام پر دہرا کلک کر کےان کے ساتھ بات چیت کا آغاز کیجئے۔ایک بار آپ نے بات چیت کی ونڈو کھول دی، آپکو ایک چھوٹا سا, کھلا لاک ،چیٹ ونڈو کے اوپری بائیں کونے میں نظر آئے گا ۔قفل پر کلک کریں اور "شروع کرئیے خفیہ OTR چیٹ" منتخب کریں۔

    مرحلہ ٢: اپنے کنکشن کی توثیق کریں

    ایک بار آپ نے بات چیت کا آغاز کیا اور دوسرے شخص نے دعوت قبول کر لی،تو آپ بند تالا کی شبیہ دیکھیں گے ؛ اس طرح سے آپ کو معلوم ہوگا کہ آپ کی گفتگو اب خفیہ ہے (مبارک ہو!)-- مگر انتظار کریں، ابھی ایک اور مرحلہ باقی ہے!

    اس وقت آپ نے ایک غیر مصدقہ، خفیہ بات چیت کا آغاز کیا ہے. اس کا مطلب ہے کہ جبکہ آپ کی مواصلات کی خفیہ کاری کی گئی ہے ،آپ نے ابھی تک اس شخص کی شناخت طے نہیں کی اور نہ ہی توثیق کی جس سے آپ بات کر رہے ہیں .جب تک آپ ایک ہی کمرہ میں نہ ہوں اور ایک دوسرے کی سکرین کو دیکھ سکتے ہوں ، یہ ضروری ہے کہ آپ ایک دوسرے کی شناخت کی تصدیق کریں.مزید معلومات کے لئے کلید تصدیق پرماڈیول پڑھیں

    ایڈیم کا استعمال کرتے ہوئے کسی دوسرے صارف کی شناخت کی تصدیق کرنے کے لئے، قفل پردوبارہ کلک کریں اور " تصدیق کریں " منتخب کریں.آپکو ایک ونڈو دکھائی دے گی جس میں آپکی کلید اور دوسرے صارف کی کلید دکھائی دے گی.ایڈیم کے کچھ ورژن صرف دستی فنگر پرنٹ کی تصدیق کی حمایت کرتے ہیں. اس کا مطلب ہے ،کچھ طریقہ استعمال کرتے ہوئےآپ کو اور وہ شخص جن کے ساتھ آپ چیٹنگ کر رہے ہیں انکو چیک کرنے کی ضرورت ہو گی اس بات کا یقین کرنے کے لئے کہ وہ کلیدیں جو آپکو ایڈیم کی طرف سے دکھائی جا رہی ہیں خاص طور پر مشابہ ہیں۔

    ایسا کرنے کے لئے سب سے آسان طریقہ انہیں بلند آواز میں ایک دوسرے کی سامنے پڑھنا ہے ،لیکن یہ ہمیشہ ممکن نہیں ہے.اس کو پورا کرنے کے مختلف طریقے ہیں مُعتَبَری کے مختلف درجات کے ساتھ. مثال کے طور پر، آپ اپنی کلیدیں فون پر ایک دوسرے کے لئے بلند آواز سے پڑھ سکتے ہیں اگر آپ ایک دوسرے کی آواز پہچانتے ہیں یا پھر انہیں ابلاغ کے کسی اور تصدیق شدہ طریقہ جیسے PGP استعمال کرتے ہوئے بھیج سکتے ہیں۔کچھ لوگ اپنی کلیدوں کی اپنی ویب سائٹ ٹویٹر اکاؤنٹ یا بزنس کارڈ پر تشہیر کرتے ہیں ۔

    سب سے زیادہ اہم بات یہ ہے کہ آپ تصدیق کریں کہ ہر ایک خط اور عدد بالکل مشابہ ہے۔

    مرحلہ ٣: نوشتہ جات نااہل بنائیں

    اب جب کہ آپ نے ایک خفیہ بات چیت کا آغاز کر دیا ہے اور آپ کے چیٹ ساتھی کی شناخت کی توثیق کر دی ہے ،ایک اور چیز آپ کو کرنے کی ضرورت ہے۔ بدقسمتی سے, ایڈیم آپکی OTR -خفیہ چیٹ کی طے شدہ نوشتہ جات بناتا ہے اور انہیں آپکی ہارڈ ڈرائیو میں محفوظ کرتا ہے ۔اس کا مطلب ہے کہ،اس حقیقت کے باوجود کہ وہ خفیہ ہیں،وہ سادہ متن میں آپ کی ہارڈ ڈرائیو پر محفوظ کی جا رہی ہیں ۔

    نوشتہ جات کاری نااہل بنانے کے لیے، فہرست میں سب سے اوپر سکرین پر "ایڈیم"، پھر 'ترجیحات."پر کلک کریں۔ "عمومی" نئی ونڈو میں، منتخب کریں اور پھر "پیغامات کی نوشتہ جات" اور "OTR محفوظ بات چیت کی نوشتہ جات" آپ معذور لاگنگ ہے یہاں تک کہ اگر، آپ چیٹنگ-وہ ہیں جن لاگ ان کریں یا آپ کے بات چیت کے پردے لے جا سکتا ہے کے ساتھ اس شخص سے زیادہ کنٹرول نہیں ہے، یاد رکھیں.

    نااہل بنائیں۔آپ کی سیٹنگیں اب اس طرح دکھائی دینا چاہیے:

    اس کے علاوہ، جب ایڈیم اطلاعات کے نئے پیغامات دکھاتا ہے،ان پیغامات کے مندرجات کے نوشتہ جات OS X کی اطلاع مرکز کی طرف سے بنتے ہیں۔اس کا مطلب ہے کہ جبکہ ایڈیم آپ کی مواصلتوں کا کوئی سراغ اپنے کمپیوٹر یا آپکے نامہ نگار کے کمپیوٹر پر نہیں چھوڑتا ہے،ہوسکتا ہے کہ آپ کا یا ان کے کمپیوٹر کا OSX نوشتہ جات بنا رہا ہو.اس سے بچنے کے لئے آپ کو اطلاعات نااہل بنانا چاہئے۔

    ایسا کرنے کے لیے، ترجیحات کی ونڈو میں "واقعات" منتخب کریں،اور کوئی بھی ایسے اندراجات تلاش کریں جن میں "ایک اعلان دکھائیں" ہو .ایسے کسی بھی اندراج کے لئے سرمئی مثلث پر کلک کر کے اسے وسعت دیجیے،اور پھر نو بے نقاب لائن جس پر" اعلان دکھائیں" لکھا ہو پر کلک کریں،پھراس لائن کو ہٹانے کے لیے لوئر بائیں طرف مائنس ("-") شبیہ پر کلک کریں۔اگر آپ اپنے کمپیوٹر پر چھوڑے گئے ریکارڈ کے بارے میں فکر مند ہیں، تو آپ کو پوری ڈسک پر بھی خفیہ کاری چالو کرنا چاہیے،جس سے اس ڈیٹا کو آپ کے پاس ورڈ کے بغیرتیسرے فریق کے ذریعہ حاصل ہونے سے تحفظ میں مدد ملے گی۔.

    آخری تازہ کاری: 
    1-19-2017
Next:
JavaScript license information