REVIEW_ARTICLE مروری بر پیاده‌سازی‌های سخت‌افزاری سبک‌وزن رمز AES وسایل با منابع محدود حافظه، توان و انرژی، مانند حس‌گرهای بی­سیم شبکه و RFID-ها دارای نیازمندی­های امنیتی هستند که  پیاده­سازی الگوریتم­های رمزنگاری به‌صورت معمول روی این وسایل مناسب نبوده و منجر به مصرف زیاد منابع می‌شود. یک راه حل، طراحی الگوریتم­های جدید رمز سبک­وزن است که اغلب این الگوریتم­ها نسبت به الگوریتم­های استاندارد دارای سطح امنیتی پایین­تری هستند. راه حل دوم پیاده­سازی الگوریتم­های استاندارد مانند رمز قالبی AES به‌صورت سبک‌وزن است که در این نوع پیاده­سازی از روش‌هایی مانند به‌اشتراک‌گذاری منابع، پیاده­سازی S-box با مدارات ترکیبی، انتقال محاسبات روی میدان متناهی از یک پایه به پایه دیگر و محاسبات در پرواز استفاده می­شود. با توجه به اینکه تاکنون پیاده­سازی­های فشرده AES از لحاظ میزان مصرف ناحیه، انرژی، توان و توان عملیاتی به‌صورت جامع بررسی نشده­اند، در اینجا مهم­ترین پیاده­سازی­های سخت­افزاری سبک­وزن ارائه‌شده برای رمز AES بررسی و ارزیابی شده­اند. این معیارهای ارزیابی شامل مقدار گیت مصرفی، تعداد کلاک موردنیاز رمزنگاری/رمزگشایی، توان عملیات، مصرف توان، انرژی و ترکیب آن­ها است. بررسی­های ما نشان می­دهد با تلاش­های صورت‌گرفته از الگوریتم­های استاندارد مانند AES رمز در کاربردهای با منابع محدود ناحیه در حد 2000 الی 3000 گیت و انرژی محدود در حد چند پیکو ژول به راحتی می­توان استفاده کرد. برخی از این موفقیت­ها نتیجه پیشرفت فناوری مدارات CMOS و برخی نیز نتیجه ارائه معماری مناسب سخت­افزاری، خلاقیت در زمان­بندی یک عملیات رمزنگاری و استفاده بهینه از منابع است.   http://monadi.isc.org.ir/article-1-94-fa.pdf 2018-08-27 3 20 پیاده‌سازی سبک‌وزن AES توان و انرژی ناحیه مصرفی کلاک A Survey on Lightweight Hardware Implementation of AES Devices such as wireless sensor networks and RFIDs have limited memory, power and energy. They have security requirements so that the usual implementation of cryptographic algorithms is not appropriate for them and leads to high consumption of resources. One solution is designing new lightweight algorithms that have a lower security level than standard algorithms. The second solution is implementing standard algorithms such as AES block cipher as a lightweight algorithm. In this type of implementation, some techniques such as resource sharing, S-box implementation with combinational circuits, mapping computations finite fields from one base to another base and on the fly computation are used. In this paper, the most important lightweight implementations of AES are evaluated. The criteria considered for this evaluation include gate count, the number of clocks required for an encryption/decryption operation, throughput, power, energy and the combination of themes. Studies show that we can use standard encryption algorithms in applications with limited area between 2000-3000 GE and a small amount of energy, for example a few PJ. Some of these successes are achieved due to advancements in CMOS circuit technology and some others are the result of designing suitable hardware architecture, exact scheduling of cryptographic operations and efficient use of resources.   http://monadi.isc.org.ir/article-1-94-en.pdf 2018-08-27 3 20 Lightweight Implementation AES Power Energy Gate Count Clock Mohsen Jahanbani mjahanbani@ihu.ac.ir 1 Imam Hosain University AUTHOR Nasour Bagheri nbagheri@srttu.edu 2 Shahid Rajaei Teacher Training University AUTHOR Zeinolabedin Norozi znorozi@ihu.ac.ir 3 Imam Hussein University AUTHOR
REVIEW_ARTICLE بررسی انتخابات الکترونیکی مبتنی بر رمزنگاری هم‌ریخت  انتخابات یکی از مباحث مهم در ایفای مردم‌سالاری است. همچنین مبحث انتخابات در مجامع تجاری از جمله بورس و یا تعیین هیئت‌مدیره یک شرکت جایگاه به‌سزایی دارد. با توجه به پیشرفت مباحث رمزنگاری و ارائه سامانه رمزنگاری نامتقارن، تلاش​های زیادی در طراحی پروتکل​های انتخابات الکترونیکی صورت گرفته است؛ اما تمامی پروتکل​های طراحی‌شده، پیچیدگی بالا یا در جنبه ویژگی‌های، دارای نقطه‌ضعف‌هایی دارند. همچنین بیش‌تر طرح​های انتخابات الکترونیکی وابسته به تعدادی مسئول درست‌کار هستند که این موضوع در‌عمل  سخت است. علاوه‌بر‌این در بیش‌تر آن​ها برای تولید برگه رأی، رأی‌دهنده نقش کلیدی را ایفا می​کند که باعث می‌شود در صورت تحمیل اجبار، محرمانگی رأی از بین برود و یا این که رأی‌دهنده قادر به تهیه رسیدی برای نشان‌دادن محتوای رأی خویش باشد و در این صورت زمینه خرید و فروش رأی و مسایل غیراخلاقی را در انتخابات ایجاد می​کند. در این مقاله بعد از بررسی ویژگی​های امنیتی یک طرح انتخابات الکترونیکی، پروتکلی​های انتخابات الکترونیکی بر اساس رمزنگاری هم‌ریخت را بیان ​کرده و تفاوت رسیدار‌بودن و بدون رسید‌بودن یک پروتکل انتخاباتی بررسی می​شود. http://monadi.isc.org.ir/article-1-102-fa.pdf 2018-08-27 23 36 رمزنگاری هم‌ریخت بازرمزگذاری اثبات صفر دانش سیستم رمزنگاری الجمال انتخابات الکترونیکی بدون رسید بودن Survey of Electronic Election Based on HomomorphicEncryption Not only election is one of the significant issues in democratic societies, but also it can be used in commercial association such as stock market and it has a noteworthy feature to determine the board of the directors. According to progresses in cryptographic topics and asymmetric encryption systems, tremendous attempts have been made in the design of protocols for electronic elections. However, all of the designed protocols have either high complexity or weaknesses in security features. Since the majority of electronic election schemes are dependent on a number of honest persons, they are practically difficult. In addition, in most of them, voters will play a key role in producing ballot. If someone imposes compulsory, privacy will be lost or the voter will be able to provide a receipt to show the content of his vote, and this in turn, vote-buying and immoral issues will be appeared.  In this paper after, evaluating the security features of an electronic election scheme, an election protocol based on homomorphic encryption, will be expressed, and  the difference between the receipt  protocol and receipt-free protocol will be  examined.   http://monadi.isc.org.ir/article-1-102-en.pdf 2018-08-27 23 36 Homomorphic encryption Re-encryption zero-knowledge proof Elgamal encryption system electronic elections Receipt-Free Sajad Rezaee Adaryani sajjad21367@yahoo.com 1 AUTHOR Seyed Mahdi Sajjadieh mahdisajadieh@yahoo.com 2 AUTHOR Ali Zaghyan ali_zaghian1338@yahoo.com 3 AUTHOR
OTHERS_CITABLE رویکرد جدید برای تشخیص حملات سیبیل غیرمستقیم در شبکه‌های حس‌گر بی‌سیم مبتنی بر اعتماد آگاه از اطمینان با در‌نظرگرفتن عامل زمان شبکه‌های حس‌گر، اطلاعات محیط را از طریق حس‌گرها،گرفته و در صورت نیاز پس از اعمال پردازشی ساده، آن‌ها را ارسال می‌کنند.گره‌های حس‌گر دارای محدودیت‌هایی به‌لحاظ حافظه، توان محاسباتی، برد رادیویی و میزان انرژی دارند. با توجه به گسترش بدون مراقبت گره‌های حس‌گر و ماهیت بی‌سیم ارتباطات، این شبکه‌ها مستعد حملات زیادی هستند. یکی از این حملات، حمله سیبیل است. در این حمله گره مخرب چندین هویت جعلی برای خود ایجاد کرده و گره‌های همسایه را فریب می‌دهد. این سبب می‌شود که گره بدخواه ترافیک زیادی را به خود جذب کرده و به‌طور چشم‌گیری پروتکل‌های مسیریابی را مختل کند. مدل پیشنهادی برای تشخیص این دسته از حملات سیبیل از اعتماد آگاه از اطمینان با در‌نظر‌گرفتن عامل زمان استفاده می‌کند. در این مدل از اعتماد غیرمستقیم که برگرفته از توصیه‌های دریافتی از همسایه‌ها و وزن‌دهی به این توصیه‌ها است، استفاده شده و الگوریتم پیشنهادی توسط شبیه‌ساز متلب پیاده‌سازی شده است. نتایج شبیه‌سازی نشان می‌دهد که روش پیشنهادی برتری قابل توجهی از نظر دقت تشخیص و نرخ هشدارهای اشتباه دارد. میانگین نرخ تشخیص و تشخیص غلط مدل پیشنهادی به ترتیب 93 %  و 26/0 % است.   http://monadi.isc.org.ir/article-1-111-fa.pdf 2018-08-27 37 50 شبکه‌های حس‌گر بی‌سیم حملات سیبیل اطیمنان و اعتماد آگاه از اطمینان A Confidence-Aware Trust Approach for Detecting Indirect Sybil Attacks in Wireless Sensor Networks Considering Time Factor Wireless Sensor Networks (WSNs) gather the environmental information via some sensor nodes and send them after some simple processing functions if necessary. These nodes are constrained devices in terms of memory, processing capability, radio range, and energy. Due to the unattended deployment of sensor nodes and the nature of wireless communications, these networks are vulnerable to several attacks. Among these, the Sybil Attack is a serious threat in which a malicious node creates multiple fake identities in order to mislead the other sensor nodes. In this case, the malicious node can attract lots of traffic and disrupt routing protocols. In this paper, we present a confidence-aware trust model considering Time Factor to detect such attacks. In this model, we use the indirect trust, gained from the neighbors' recommendations, in order to detect the indirect Sybil attacks, in which a legal node is not directly associated with the Sybil node. The Algorithm has been implemented using MATLAB. The simulation results demonstrate significant preference of the proposed method in terms of detection accuracy and false alarm rates. The average rate of detection and false detection of the proposed model are 93% and 0.26%. http://monadi.isc.org.ir/article-1-111-en.pdf 2018-08-27 37 50 wireless sensor networks security sybil attack trust management confidence-Aware Trust Sayed Mohammad Tabatabaei Parsa m.tabatabaei.parsa@gmail.com 1 Imam Reza International University AUTHOR Hassan Shakeri shakeri@msdiau.ac.ir 2 Islamic Azad University AUTHOR
REVIEW_ARTICLE مروری بر حمله‌های انگشت‌نگاری تارنما در حملات انگشت‌نگاری تارنما، مقصد ارتباط کاربر بدون رمزگشایی محتوای ترافیک، با استفاده از روش‌های تحلیل ترافیک شناسایی می‌شود. در این حملات، به‌طورمعمول کاربران از یکی از تکنولوژی‌های روز (شبکه‌های گم‌نامی، پراکسی‌ها یا VPNها) برای پنهان کردن محتوای ترافیک و مقصد واقعی خود استفاده می‌کنند. با استخراج مجموعه‌ای از ویژگی‌ها از دنباله ترافیک ورودی، حمله آغاز می‌شود؛ سپس داده‌ها پیش‌پردازش می‌شوند و در نهایت، از یک الگوریتم یادگیری ماشین برای شناسایی مقصد ترافیک کاربر استفاده می‌شود. پژوهش‌های متنوعی در زمینه شناسایی مقصد ترافیک یا به طور واضح‌تر، تعیین صفحه وب مرورشده توسط کاربر با بهره‌گیری از روش‌های شناخته‌شده دسته‌بندی در حوزه یادگیری ماشین انجام گرفته‌است. در این مقاله، مروری جامع بر روش‌های انگشت‌نگاری تارنما انجام می‌شود که در آن، پژوهش‌های فوق بر اساس ویژگی‌های مورد استفاده برای انگشت‌نگاری، دسته‌بندی می‌شوند. این نوع دسته‌بندی با دیدگاهی تازه انجام می‌شود که بنابر دانش ما، تاکنون بر روی پژوهش‌های یادشده صورت نگرفته است.   http://monadi.isc.org.ir/article-1-112-fa.pdf 2018-08-27 51 64 حمله انگشت‌نگاری تارنما تحلیل ترافیک یادگیری ماشین دسته‌بندی استخراج ویژگی A Review on Website Fingerprinting Attacks In Website Fingerprinting (WFP) Attacks, clients’ destination webpages are identified using traffic analysis techniques, without any need to decrypt traffic contents. Typically, clients make use of the privacy enhancing technologies (e.g., VPNs, proxies, and anonymity networks) to browse webpages. These technologies allow clients to hide traffic contents and their real destinations. To perform an attack, features are extracted from the input packet sequence. Next, the data is pre-processed and finally, client’s real destination is revealed by means of a machine learning algorithm. Various studies have utilized statistical methods or classification approaches to infer the client’s visited webpages. In this paper, a comprehensive overview of WFP techniques is performed, in which previous studies are categorized based on the features they use for webpages identification. This is a new approach for categorizing previous works on WFP attacks and to the best of our knowledge, this viewpoint has not been applied so far.   http://monadi.isc.org.ir/article-1-112-en.pdf 2018-08-27 51 64 Website Fingerprinting Attack Traffic Analysis Machine Learning Classification Feature Extraction Maryam Taebi m.taebi@eng.ui.ac.ir 1 University of Isfahan AUTHOR Ali Bohlooli bohlooli@eng.ui.ac.ir 2 University of Isfahan AUTHOR Marjan Kaedi kaedi@eng.ui.ac.ir 3 University of Isfahan AUTHOR
REVIEW_ARTICLE مدیریت ریسک در سامانه جویشگرهای بومی    امروزه سامانه جویشگرهای بومی را می‌توان یکی از شاخص‌های توسعه صنعت فناوری اطلاعات در همه کشورها به ‌حساب آورد. از این رو موضوع ایمن­ سازی این نوع سامانه­ ها، بنا به جایگاه ویژه­ ی آن­ها در تامین دستیابی کاربران به اطلاعات درست در کم­ترین زمان ممکن، مطرح می­ گردد. موثرترین اقدامات برای تامین امنیت این نوع برنامه های کاربردی، انجام ارزیابی و مدیریت ریسک مطابق مرحله آغازین فرآیند امنیت نرم ­افزار است. این اقدامات متشکل از مجموعه­ مراحلی است که یک تیم نرم ­افزاری را در زمینه ­ی مدیریت برنامه­ های کاربردی در طی فرآیند توسعه­ یاری می ­دهد. به منظور کاهش سطح ریسک در این نوع سامانه ­ها، رویکرد پاسخ به ریسک انتخاب شده­ است. هدف اصلی این مقاله انجام ارزیابی و مدیریت ریسک مطابق اطلاعات جمع ­آوری شده بر مبنای پرسشنامه طراحی شده­ است. همچنین به­ منظور شناسایی ریسک­ های مهم از متدولوژی NIST و کنترل­ های امنیتی استفاده و نتایج محاسبات سطح ریسک­ های مهم نیز به تفکیک حوزه ­های شناخته شده ارائه شده است. http://monadi.isc.org.ir/article-1-87-fa.pdf 2018-08-27 65 84 سامانه جویشگرهای بومی ارزیابی و مدیریت ریسک متدولوژیNIST ریسک تهدید. Risk Management in Local Search Engine Systems Abstarct- The local search engine systems is one of the indicators of IT industry development in all countries. The safety of these systems arises according to its specific position, with providing users to access to right information in the least possible time. The most effective measures to secure this type of application are assessment and risk management in the early stage of software security. It consists of a set of steps that will help a software team in the applications management during the development process. In order to reduce the risk of this type of systems responce to risk approach is selected. The main objective of this article is assessment and risk management based on information collected from designed questionnaire. As well as to identify important risks, security controls and NIST methodology are used and the results of calculations of the risk level are provided on the basis of known fields. http://monadi.isc.org.ir/article-1-87-en.pdf 2018-08-27 65 84 Local Search Engines NIST Risk Management Methodology Risk Threat. Mahsa Omidvar Sarkandi mahsa.omidvarsarkandi@gmail.com 1 Iran Telecommunication Research Center AUTHOR Nasrin Taj Neyshabouri 2 Iran Telecommunication Research Center AUTHOR Hassan Koushkaki 3 Iran Telecommunication Research Center AUTHOR Shaghayegh Naderi 4 Iran Telecommunication Research Center AUTHOR
OTHERS_CITABLE مروری بر امنیت حریم خصوصی در شبکه‌های اجتماعی برخط امروزه شبکه‌های اجتماعی برخط (OSNs) یکی از محبوب‌ترین رسانه‌ها برای ارتباط، اشتراک‌گذاری و انتشار حجم قابل توجهی از اطلاعات است. محبوبیت OSNها اغلب با چالش رفتار با پیام‌های ناخواسته و اهداف مخرب پنهان در آن همراه است. براساس مطالعات اخیر، کاربران شبکه‌های اجتماعی به‌راحتی جزئیات محرمانه و شخصی خود را در معرض دید دیگران قرار می‌دهند. سوء استفاده از این اطلاعات می‌تواند در دنیای مجازی و حقیقی آسیب هایی به همراه داشته باشد. در این مقاله، دسته‌بندی اصلی حملات به امنیت و محرمانگی شبکه‌های اجتماعی برخط در چهار دسته حملات کلاسیک، مدرن، ترکیبی و حملات ویژۀ کودکان بیان شده است. راه‌های مقابله‌ای که می‌توان برای حفاظت از کاربران OSN در برابر انواع مختلف حملات به‌کار رود، از طرف اپراتورهای شبکه اجتماعی، شرکت‌های امنیتی و پژوهش‌گران ارائه شده است. در انتها  نیز هشت راه‌کار پیش‌گیری از این تهدیدها ارائه شده است. http://monadi.isc.org.ir/article-1-73-fa.pdf 2018-08-27 85 102 شبکه‌های اجتماعی برخط تهدیدات شبکه اجتماعی حریم خصوصی امنیت A review of privacy in online social networks Online social networks (OSNs) is one of the most popular medium for communicating, sharing, and publishing a considerable amount of information. OSN popularity often faces the challenge of dealing with unwanted messages and hidden malicious purposes in it. Based on recent studies, social network users can easily expose their confidential details with others. Misuse of this information can cause damage in virtual and real world. In this paper, main categories attacks are given on social network online security and privacy in four categories classic, modern, hybrid and children special attacks and ways that can be used to protect against different types of attacks used OSN users is the social network operators, security companies, and researchers are provided. Finally, eight ways to prevent these threats is presented.   http://monadi.isc.org.ir/article-1-73-en.pdf 2018-08-27 85 102 Online social networks social network threats privacy security Kamaleddin Ghezavati kghazavati@yahoo.com 1 Malek-e-Ashtar University of Technology AUTHOR Alireza Nowroozi nowroozi@ce.sharif.edu 2 Sharif University of Technology AUTHOR