RaazNet

رازنتبتا

دانشنامه
در این صفحه

جداسازی سخت‌افزاری و دستگاه‌های ثانویه

یک راهنمای جامع برای استفاده از جداسازی سخت‌افزاری و دستگاه‌های ثانویه جهت محافظت از داده‌های حساس. این راهنما استراتژی‌هایی را برای گوشی‌های دوم در بافت ایران، سیستم‌های ایزوله (Air-gapped) و سیستم‌عامل‌های امنی مانند Tails و Qubes پوشش می‌دهد.

Time15 minutes

جداسازی سخت‌افزاری و دستگاه‌های ثانویه

در محیط‌های پرخطر—مانند حضور در اعتراضات، عبور از مرزها، یا انجام تحقیقات حساس—امنیت نرم‌افزاری به تنهایی کافی نیست. اگر دشمن به دستگاه شما دسترسی فیزیکی پیدا کند، یا اگر سیستم‌عامل شما توسط بدافزار آلوده شده باشد، رمزگذاری‌های نرم‌افزاری قابل دور زدن هستند.

جداسازی سخت‌افزاری (Hardware Isolation) شامل استفاده از دستگاه‌های فیزیکی مجزا برای فعالیت‌های مختلف است تا از نشت اطلاعات و آلودگی متقابل جلوگیری شود. این راهنما نحوه اجرای مؤثر استراتژی‌های جداسازی سخت‌افزاری را با توجه به محدودیت‌ها و تهدیدهای خاص در ایران بررسی می‌کند.

اصل تفکیک‌سازی (Compartmentalization)

تفکیک‌سازی به معنای جدا کردن اطلاعات حساس از زندگی دیجیتال روزمره شماست. با استفاده از سخت‌افزارهای متفاوت برای وظایف مختلف، شما اطمینان حاصل می‌کنید که در صورت توقیف، هک شدن یا نظارت بر یک دستگاه، سایر هویت‌ها و داده‌های شما امن باقی می‌مانند.

سطوح جداسازی:

  1. مجازی‌سازی (Virtualization): اجرای ماشین‌های مجازی (VM) جداگانه روی یک کامپیوتر فیزیکی واحد.
  2. سیستم‌های زنده (Live Systems): بوت کردن یک سیستم‌عامل موقت و بدون حافظه (مانند Tails) از روی فلش مموری.
  3. جداسازی فیزیکی (Physical Separation): استفاده از دستگاه‌های کاملاً متفاوت (گوشی‌های ثانویه، لپ‌تاپ‌های ایزوله یا Air-gapped) برای وظایف خاص.

گوشی‌های هوشمند ثانویه ("گوشی‌های اعتراضات")

برای فعالان و معترضان در ایران، حمل گوشی هوشمند اصلی—که حاوی عکس‌های شخصی، چت‌ها و لیست مخاطبین است—بسیار خطرناک است. یک گوشی ثانویه (که اغلب "گوشی یک‌بار مصرف" یا Burner Phone نامیده می‌شود، هرچند ناشناس ماندن کامل دشوار است) میزان اطلاعاتی را که در صورت توقیف دستگاه در دسترس مقامات قرار می‌گیرد، به حداقل می‌رساند.

چالش ناشناس ماندن در ایران (طرح رجیستری همتا)

در بسیاری از کشورها، می‌توانید یک گوشی ارزان و سیم‌کارت اعتباری را با پول نقد بخرید و کاملاً ناشناس بمانید. در ایران، این کار به دلیل طرح رجیستری همتا تقریباً غیرممکن است.

  • تلفن‌های همراه باید با استفاده از کد ملی یا گذرنامه در شبکه ثبت شوند.
  • فعال‌سازی سیم‌کارت نیازمند مدارک شناسایی معتبر است.
  • بنابراین، فرض را بر این بگذارید که دستگاه و سیم‌کارت می‌توانند به هویت قانونی شما لینک شوند.

هدف: از آنجا که ناشناس ماندنِ مالکیت دشوار است، تمرکز خود را بر به حداقل رساندن داده‌ها (Data Minimization) بگذارید. اگر گوشی توقیف شد، نباید حاوی هیچ مدرک جرم یا ارتباطی با حلقه‌های اجتماعی اصلی شما باشد.

چک‌لیست برای گوشی ثانویه

۱. انتخاب سخت‌افزار

  • استفاده از دستگاه قدیمی: از گوشی یدکی که دارید یا یک گوشی هوشمند دست‌دوم ارزان قیمت استفاده کنید.
  • بازگشت به تنظیمات کارخانه (Factory Reset): قبل از پیکربندی دستگاه برای استفاده حساس، آن را کاملاً پاک‌سازی کنید.
  • بدون بیومتریک: قفل‌گشایی با چهره (Face ID) یا اثر انگشت را فعال نکنید. ممکن است شما را به زور وادار به باز کردن این قفل‌ها کنند. از یک پین یا رمز عبور قوی و ترکیبی (حداقل ۸ تا ۱۰ رقم) استفاده کنید.

۲. راه‌اندازی پاک (به حداقل رساندن داده‌ها)

  • بدون حساب‌های شخصی: وارد حساب اصلی گوگل (Gmail) یا اپل (iCloud) خود نشوید. در صورت نیاز یک حساب تازه و اختصاصی برای این دستگاه بسازید، یا بدون حساب کاربری از آن استفاده کنید (مثلاً با استفاده از F-Droid در اندروید).
  • حداقل برنامه‌ها: فقط برنامه‌هایی که اکیداً ضروری هستند را نصب کنید (مانند سیگنال، یک VPN، و یک برنامه دوربین امن).
  • عدم همگام‌سازی مخاطبین: لیست مخاطبین خود را وارد نکنید. شماره‌های ضروری (وکیل، تماس اضطراری) را به صورت دستی و با نام‌های مستعار ذخیره کنید یا آن‌ها را حفظ کنید.

۳. ارتباطات امن

  • فقط سیگنال: از سیگنال با استفاده از نام کاربری استفاده کنید و شماره تلفن خود را مخفی نگه دارید. قابلیت "پیام‌های ناپدیدشونده" (Disappearing Messages) را به‌صورت پیش‌فرض روی زمان کوتاه تنظیم کنید.
  • VPN/Tor: یک VPN قوی و مبهم‌سازی شده (مانند Mullvad، IVPN، یا سرور شخصی Outline) نصب کنید یا از مرورگر Tor برای اندروید استفاده کنید.
  • نقشه‌های آفلاین: از Organic Maps یا OsmAnd استفاده کنید و نقشه‌های شهر خود (تهران، مشهد و...) را دانلود کنید تا برای مسیریابی نیازی به اینترنت نداشته باشید.

۴. در طول رویدادهای پرخطر

  • خاموش نگه دارید: گوشی را تا زمانی که واقعاً به آن نیاز ندارید، خاموش نگه دارید.
  • کیف فارادی (Faraday Bag): گوشی را در کیف فارادی (کیسه محافظ امواج رادیویی) قرار دهید تا تمام سیگنال‌ها (موبایل، وای‌فای، بلوتوث، GPS) مسدود شود و از ردیابی موقعیت مکانی در حین حرکت جلوگیری شود.
  • پاک‌سازی اضطراری: یاد بگیرید چگونه دستگاه را به سرعت فکتوری ریست کنید. در برخی رام‌های اندروید (مانند GrapheneOS)، می‌توانید یک "پین اضطراری" (Duress PIN) تنظیم کنید که با وارد کردن آن، دستگاه به‌طور خودکار پاک‌سازی می‌شود.

سیستم‌عامل‌های امن و USBهای زنده (Live USBs)

اگر توانایی خرید کامپیوترهای فیزیکی جداگانه را ندارید، می‌توانید یک لپ‌تاپ واحد را با استفاده از سیستم‌عامل‌های تخصصی به یک ایستگاه امن و ایزوله تبدیل کنید.

تیلز (Tails - The Amnesic Incognito Live System)

بهترین برای: ناشناس ماندن شدید، افشاگری، و استفاده موقت روی کامپیوترهای غیرقابل اعتماد.

سیستم‌عامل Tails یک سیستم‌عامل قابل حمل است که از روی فلش مموری اجرا می‌شود.

  • فراموش‌کار (Amnesic): پس از خاموش کردن سیستم، همه چیز را فراموش می‌کند. هیچ ردی روی هارد دیسک کامپیوتر باقی نمی‌ماند.
  • اجبار به استفاده از Tor: تمام ترافیک اینترنت به زور از شبکه Tor عبور داده می‌شود. اتصالات ناامن مسدود می‌شوند.
  • رمزگذاری: ابزارهایی مانند LUKS (برای فضای ذخیره‌سازی رمزگذاری شده)، VeraCrypt و GnuPG را به‌صورت پیش‌فرض دارد.

سناریوی استفاده: یک فعال مدنی نیاز دارد سندی حساس را ویرایش و به‌صورت امن ایمیل کند. او Tails را از روی USB روی لپ‌تاپ خانوادگی بوت می‌کند، کار را انجام می‌دهد و سیستم را خاموش می‌کند. لپ‌تاپ خانوادگی هیچ سابقه‌ای از این فعالیت را حفظ نمی‌کند.

سیستم‌عامل کیوبز (Qubes OS)

بهترین برای: کاربران در معرض خطر بالا که به محیط‌های کاری ماندگار و بخش‌بندی شده نیاز دارند.

سیستم‌عامل Qubes یک سیستم‌عامل دسکتاپ است که "امنیت از طریق تفکیک‌سازی" را پیاده‌سازی می‌کند. این سیستم از هایپروایزر Xen استفاده می‌کند تا فعالیت‌های مختلف را در ماشین‌های مجازی جداگانه (که "qube" نامیده می‌شوند) ایزوله کند.

  • ایزولاسیون: اگر یک PDF مخرب را در کیوبِ "غیرقابل اعتماد" (Untrusted) باز کنید، بدافزار نمی‌تواند فرار کند و کیوب‌های "شخصی" (Personal) یا "گاوصندوق" (Vault) شما را آلوده کند.
  • یکپارچگی با Whonix: کیوبز به شما اجازه می‌دهد Whonix (یک دروازه Tor) را به راحتی اجرا کنید و اطمینان حاصل کنید که کیوب‌های خاصی همیشه از طریق Tor مسیریابی می‌شوند.
  • الزامات سخت‌افزاری: نیاز به یک کامپیوتر نسبتاً قدرتمند (پیشنهاد: ۱۶ گیگابایت رم یا بیشتر) و ویژگی‌های خاص پردازنده (VT-x/VT-d) دارد.

ماشین‌های ایزوله (Air-Gapped)

یک کامپیوتر ایرگپ (Air-gapped) کامپیوتری است که از نظر فیزیکی از شبکه‌های ناامن جدا شده است—یعنی هیچ اتصال وای‌فای، بلوتوث یا اترنت به اینترنت ندارد.

موارد استفاده:

  • تولید و ذخیره کلیدهای خصوصی PGP.
  • ذخیره کیف‌ پول‌های سرد (Cold Wallets) ارز دیجیتال.
  • ویرایش اسناد افشا شده‌ای که هرگز نباید از سیستم خارج شوند.

چگونه یک ایرگپ را حفظ کنیم:

  1. حذف فیزیکی: کارت‌های وای‌فای و بلوتوث را به صورت فیزیکی از لپ‌تاپ/دسکتاپ خارج کنید. پورت‌های USB را با چسب ببندید یا اگر استفاده از آن‌ها اکیداً ضروری است، از مسدودکننده‌های دیتا استفاده کنید.
  2. انتقال داده: داده‌ها باید فقط از روش‌های یک‌طرفه (مانند اسکن کدهای QR توسط دوربین) یا فلش‌های بسیار مطمئن و پاک‌سازی شده وارد/خارج شوند (هرچند USB خطر پل زدن روی شکاف هوا را از طریق بدافزارهایی مانند استاکس‌نت به همراه دارد).
  3. امنیت فیزیکی: دستگاه را در یک گاوصندوق یا مکان مخفی نگهداری کنید.

لوازم جانبی برای ایزولاسیون فیزیکی

کیف‌های فارادی (Faraday Bags)

این کیف‌ها با توری فلزی رسانا پوشانده شده‌اند که تمام سیگنال‌های رادیویی را مسدود می‌کند.

  • هدف: جلوگیری از اتصال گوشی به دکل‌های مخابراتی (توقف ردیابی موقعیت مکانی) و جلوگیری از دسترسی از راه دور/پاک‌سازی توسط مقامات.
  • نحوه استفاده: قبل از حرکت به سمت مکان حساس، گوشی خود را داخل آن قرار دهید. تنها زمانی که نیاز به استفاده دارید، آن را خارج کنید.

مسدودکننده‌های دیتای USB (معروف به "کاندوم USB")

آداپتورهای کوچکی که بین کابل USB و پورت شارژ قرار می‌گیرند. آن‌ها پین‌های انتقال داده را فیزیکی قطع می‌کنند و فقط اجازه عبور جریان برق را می‌دهند.

  • هدف: محافظت در برابر "Juice Jacking"—نصب بدافزار از طریق ایستگاه‌های شارژ عمومی (مثلاً در فرودگاه‌ها یا کافه‌ها).

کلیدهای امنیتی سخت‌افزاری (YubiKey / Nitrokey)

توکن‌های فیزیکی که برای احراز هویت دو مرحله‌ای (2FA) استفاده می‌شوند.

  • چرا ایزولاسیون؟ راز رمزنگاری شده روی تراشه سخت‌افزاری جداگانه ذخیره می‌شود، نه روی کامپیوتر یا گوشی شما. حتی اگر کامپیوتر شما به بدافزار آلوده باشد، مهاجم نمی‌تواند کلید فیزیکی مورد نیاز برای ورود را سرقت کند.

خلاصه توصیه‌ها برای شرایط ایران

سناریوی تهدیداستراتژی سخت‌افزاری پیشنهادی
استفاده روزمره / ریسک پایینگوشی هوشمند اصلی با رمز عبور قوی + VPN.
اعتراضات / تجمعاتگوشی ثانویه: دستگاه ارزان/قدیمی، بدون سیم‌کارت (فقط وای‌فای) یا سیم‌کارت از پیش فعال شده، حداقل داده، کیف فارادی.
ارتباطات حساسسیستم‌عامل Tails: بوت شده از روی USB روی لپ‌تاپ. برای افشای اسناد از ویندوز/مک‌او‌اس استفاده نکنید.
ذخیره کلید / آرشیوهادستگاه Air-Gapped: یک لپ‌تاپ قدیمی با سخت‌افزار شبکه حذف شده، رمزگذاری شده با VeraCrypt/LUKS.

هشدار نهایی

جداسازی سخت‌افزاری امنیت را افزایش می‌دهد، اما پیچیدگی را نیز بالا می‌برد. پیچیدگی دشمن امنیت است. اطمینان حاصل کنید که استفاده از دستگاه‌های ثانویه، USBهای Tails یا کیف‌های فارادی را قبل از قرار گرفتن در موقعیت پر استرس تمرین کرده‌اید. یک گوشی قفل شده که نمی‌توانید بازش کنید یا یک USB Tails که بوت نمی‌شود، در مواقع اضطراری بی‌استفاده است.

منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.