100%
GRIMOIRE
الكتابمدونة البيبيمجلدات التوليفThe Foundation of Iron (EN)
FRENAR
← السابقالتالي →
HUMAN
مقال بنيوي · يوليو 2026 · مجلد مستقل
◆◆◆
الهوية المرخّصة
تشريح الإغلاق عبر IAM/KMS
◆ إعلان اللاتماثل — يسري على هذا المجلد بأكمله

لا يدّعي هذا المجلد أن إدارة الهوية ومفاتيح التشفير لدى مزوّد سحابي تشكّل بذاتها سوء نية. تمت صياغته من قبل مهندس بنية تحتية، وتدقيقه بشكل تقاطعي من قبل نظامي ذكاء اصطناعي، انطلاقًا من وقائع عامة قابلة للتحقق — وثائق تقنية للمزوّدين، أطر تنظيمية منشورة، مواصفات معايير مفتوحة. لا يحاكم أي نية. يوثّق آلية بنيوية تجعل الهوية الرقمية ومفتاح التشفير آخر قفل في البنية، حتى عندما تكون طبقة التنسيق مفتوحة والبيانات قابلة للنقل، ويقترح بنية التفافية معلنة صراحة كاقتراح، لا كحل منشور فعليًا.

◆◆◆
أمين غيتي — مهندس بنية تحتية و SRE
أستاذ سابق بمدرسة هندسة · مدرّب بنية تحتية
وثيقة عامة · CC BY-NC-SA 4.0
HUMAN
الخيط الناظم
ما سيُثبته هذا المجلد، بالترتيب

يبني هذا المجلد سلسلة من ثلاث مراحل: أولًا، لماذا تفلت الهوية الرقمية (IAM) ومفتاح التشفير (KMS) بنيويًا من بنود القابلية للعكس، حتى عندما تكون طبقة التنسيق مفتوحة وصيغة البيانات قابلة للنقل (الفصل الأول)؛ ثانيًا، إلى أي حد تغطي الأطر القائمة — مرجعية SecNumCloud، اللائحة الأوروبية للبيانات — هذه الآلية بالتحديد أو تتجاهلها (الفصل الثاني)؛ وأخيرًا، بنية التفافية قائمة على هوية حمل العمل الموحّدة وخزنة مفاتيح مستقلة، مع بيان صريح لحدّها الأقصى (الفصل الثالث).

◆ الأطروحة بجملة واحدة

تبقى طبقة تحكّم مفتوحة أو بنية منخفضة الجاذبية للبيانات محتجزة عمليًا إذا ظلت الهوية ومفتاح التشفير راسخين لدى المزوّد الأصلي — فالهوية والمفتاح هما القفل الأخير، تحديدًا لأن ما من بند لقابلية النقل يستهدفهما مباشرة.

الفصل الأول — الآلية
I.1الهوية كعلاقةلماذا لا تُعدّ هوية IAM أصلًا قابلًا للتصدير
I.2الاندماج الماديترسّخ المفتاح في وحدة الأمن المادية والمحاكي الافتراضي للمزوّد
I.3الركيزة النظريةآرثر (1989) وغروسمان وهارت (1986) مطبّقان على الهوية
الفصل الثاني — الدرع القائم وحدوده
II.1SecNumCloud وإدارة المفاتيحمرجعية صارمة بشأن التشفير، صامتة بشأن قابلية النقل
II.2الثغرة الدلالية في Data Actالمادة 30 والغموض بشأن تصدير المفاتيح الوظيفية
الفصل الثالث — الاقتراح
III.1رجل القش المرفوضلماذا لا يكفي Keycloak وVault وحدهما
III.2هوية حمل العمل الموحّدةSPIFFE/SPIRE وخزنة المفاتيح المستقلة
III.3التجميد الوظيفيجذر الثقة يبقى موقّعًا من طرف المحاكي الافتراضي المملوك
HUMAN
I.1
الوصول ليس ملفًا
الهوية كعلاقة، لا كأصل قابل للتصدير
الفصل الأول — الآلية

أثبت المجلدان السابع والثامن من هذه المجموعة أن بنية استعادة السيادة يمكن أن تحيّد إغلاق طبقة التنسيق أو إغلاق جاذبية البيانات، مع ترك آلية أخيرة صراحة خارج نطاقها: إدارة الهوية (IAM) والتشفير (KMS). يوثّق هذا الفصل هذه الآلية للمرة الأولى في هذه المجموعة.

◆ الآلية المركزية

هوية IAM ليست ملفًا يُصدَّر: إنها علاقة حية، لا تصح إلا داخل شبكة الثقة الخاصة بالمزوّد الذي أصدرها. لا معنى لدور، أو ملف تعريف مثيل، أو هوية مُدارة إلا داخل الدليل والسياسات وبنية التحقق الخاصة بالمزوّد الأصلي. نقل مؤسسة إلى مكان آخر لا ينقل هذه العلاقة — يجب إعادة بنائها من الصفر داخل شبكة الثقة الخاصة بالمزوّد الجديد.

◆ اللاتماثل بين البيانات والهوية

يمكن، نظريًا، نسخ بيانات مشفّرة نسخًا حرفيًا إلى بنية تحتية أخرى. لا يمكن نسخ هوية بالطريقة ذاتها: فهي ليست قيمة ثابتة، بل نتيجة عملية تصديق مستمرة — التحقق من أصل الطلب، وسلامة سلسلة الاستدعاء، وصلاحية الرمز الزمنية. نسخ تمثيل الهوية دون نسخ عملية التصديق التي تصادق عليها لا ينتج عنه شيء قابل للاستخدام.

HUMAN
I.2
وحدة الأمن المادية لا تُعير، بل تحتفظ
الاندماج المادي — لماذا لا يغادر المفتاح المزوّد أبدًا

يتبع مفتاح التشفير منطقًا مشابهًا، لكن مع قيد مادي إضافي: في المزوّدين الثلاثة الكبار (AWS، Azure، Google Cloud)، المفتاح الافتراضي الذي تولّده خدمة إدارة المفاتيح المُدارة لا يكون أبدًا، بحكم التصميم، قابلًا للتصدير في صورة صريحة.

◆ المادية التجريبية — حالة AWS KMS

توضّح الوثائق التقنية لـ AWS KMS صراحة أن مفتاحًا مصدره (وسيط Origin) هو AWS_KMS لا يمكن بأي حال استخراجه أو تصديره أو عرضه خارج وحدة الأمن المادية (HSM) التي تحتفظ به — باستثناء الجزء العام من مفتاح غير متماثل. تؤكد الوثائق أيضًا أن صيغة النصوص المشفّرة المتماثلة الناتجة عن AWS KMS غير منشورة، وأنه ما من نظام آخر، بما فيه وحدة أمن مادية أخرى، يمكنه فك تشفير محتوى مشفّر بهذا المفتاح.

◆ المادية التجريبية — حالة Azure Key Vault

تؤكد الوثائق الرسمية لمايكروسوفت أن مفتاحًا محميًا بوحدات Azure Key Vault المادية (الفئة Premium، رقائق nCipher/Thales، شهادة FIPS 140-2 المستوى 2) لا يمكن تصديره أبدًا: مفتاح تبادل المفاتيح المُولَّد داخل وحدة الأمن المادية لا يوجد أبدًا في صورة صريحة خارجها، ولا يمكن لمايكروسوفت إعادة أي نسخة مفكوكة التشفير من مفتاح العميل بعد نقله. الهوية التطبيقية المرتبطة (Managed Identity) ترتبط بدورها بكيان خدمة في Entra ID، لا تصح إلا داخل دليل مستأجر Azure الأصلي.

◆ المادية التجريبية — حالة Google Cloud KMS

تؤكد الوثائق الرسمية لجوجل كلاود أن مفتاحًا أُنشئ بمستوى حماية HSM (وسيط ProtectionLevel=HSM) يُولَّد ويُغلَّف ويُستخدم حصريًا داخل وحدات أمن مادية معتمدة وفق FIPS 140-2 المستوى 3: يضمن تصميم الخدمة نفسه أن المفتاح لا يمكن فك تغليفه أو استخدامه خارج وحدة الأمن المادية، ولا استخراجه منها. اتحاد هوية حمل العمل (Workload Identity Federation)، الذي يتيح تجنّب إنشاء مفاتيح حساب خدمة قابلة للتصدير، يبقى بدوره ميزة ضمن طبقة تحكّم IAM الخاصة بجوجل كلاود، تُفعَّل وتُلغى من هذه الطبقة وحدها.

◆ ما يثبته هذا التماثل

تتقارب المزوّدات الثلاثة الكبرى نحو البنية ذاتها: مفتاح التشفير الذي تولّده خدمتها المُدارة الأصلية لا يغادر أبدًا وحدات أمنها المادية، أيًّا كانت شهادة FIPS الدقيقة (المستوى 2 لـ Azure Key Vault Premium، والمستوى 3 لـ AWS CloudHSM وGoogle Cloud HSM). الآلية الموثّقة في الفصل الأول ليست إذن خصوصية لمزوّد واحد، بل اتفاقية بنيوية مشتركة بين الفاعلين الثلاثة الرئيسيين في السوق.

◆ ما يعنيه هذا عمليًا لأي مؤسسة

على أي مؤسسة ترغب في تغيير مزوّد الحوسبة السحابية دون فقدان الوصول إلى بياناتها المشفّرة مسبقًا أن تعيد تشفير كامل حجم البيانات المعنية بمفتاح جديد قبل الانتقال — وهي عملية تتصاعد تكلفتها خطيًا مع حجم البيانات المتراكمة أصلًا — أو أن تقبل البقاء تابعة لخدمة مفاتيح المزوّد الأصلي لفك تشفير ما سبق تشفيره لديه، حتى بعد انتقال البنية التحتية الحاسوبية نفسها.

◆ ما لا تدّعيه هذه الآلية

لا يدّعي هذا الفصل أن استيراد مفتاح خارجي (Bring Your Own Key) يحل هذه الآلية: هذه الميزة، المتاحة لدى المزوّدات الثلاثة الكبرى، تنقل توليد المفتاح خارج المزوّد لكنها لا تغيّر لا التصديق المادي لوحدة الأمن، ولا التبعية للواجهة البرمجية المملوكة في كل عملية فك تشفير.

HUMAN
I.3
نظريتان، مأزق واحد
الركيزة النظرية — العوائد المتزايدة وحقوق التحكم المتبقية

ترسّخان نظريتان متمايزتان، مطبّقتان معًا، هذه الآلية دون اختزالها في مجرد تقصير تعاقدي من جانب المزوّدين.

◆ الركيزة الأولى — آرثر (1989)، العوائد المتزايدة والإغلاق التاريخي

أثبت و. براين آرثر ("Competing Technologies, Increasing Returns, and Lock-In by Historical Events"، The Economic Journal، المجلد 99، 1989) أن خيارًا تقنيًا أوليًا، ولو كان طفيفًا، يمكن أن ينغلق عبر الأثر التراكمي لأحداث تاريخية صغيرة تعزّزها عوائد متزايدة — دون أن يكون قرار واحد محدَّد مسؤولًا عن ذلك. الاختيار الأولي لمزوّد هوية يندرج في هذه الديناميكية: كل خدمة إضافية تُربط بهذا الدليل، وكل سياسة وصول إضافية تُكتب بلغته المملوكة، ترفع تكلفة أي انتقال لاحق دون أن يكون أي انتقال بمفرده هو سبب الإغلاق.

◆ الركيزة الثانية — غروسمان وهارت (1986)، حقوق التحكم المتبقية

يميّز غروسمان وهارت ("The Costs and Benefits of Ownership: A Theory of Vertical and Lateral Integration"، Journal of Political Economy، المجلد 94، 1986) بين حقوق محدّدة، قابلة للتعداد في عقد، وحقوق متبقية، تعود افتراضيًا لمن يملك الأصل. مطبَّقًا على الهوية والمفتاح: يمكن لعقد الخدمة السحابية أن يعدّد حقوقًا محدّدة (الوصول، الاستخدام، قابلية نقل البيانات الخام)، لكن الحق المتبقي على سلسلة التصديق المادي — أي وحدة أمن توقّع، وأي محاكٍ افتراضي يصادق على إقلاع آلة افتراضية — يبقى، بحكم البنية، ملكًا للمزوّد الذي يملك الرقاقة. ما من بند لقابلية النقل ينقل هذا الحق المتبقي، لأنه لم يكن قط حقًا محدّدًا قابلًا للتفاوض.

◆ ما يثبته الجمع بين الركيزتين

الهوية والمفتاح مُغلقان في آن واحد بأثر تراكمي غير مقصود (آرثر) وبلاتماثل بنيوي في ملكية البنية التحتية المادية التي تصادق عليهما (غروسمان وهارت). الركيزة الثانية تفسّر لماذا يقاوم هذا الإغلاق حتى حوكمة مفتوحة لطبقة التنسيق (المجلد السابع): فالحوكمة البرمجية لا تنقل ملكية وحدة الأمن المادية.

HUMAN
II.1
حماية المفتاح ليست تحريره
SecNumCloud وإدارة المفاتيح — مرجعية صارمة، صامتة بشأن قابلية النقل
الفصل الثاني — الدرع القائم وحدوده

تفرض مرجعية متطلبات SecNumCloud الصادرة عن ANSSI (النسخة 3.2) على المزوّدين المؤهَّلين التزامات دقيقة بشأن إدارة مفاتيح التشفير — لكن هذه الالتزامات تتعلق بمتانة هذه الإدارة، لا بقابليتها للنقل عند تغيير المزوّد.

◆ ما تفرضه SecNumCloud فعليًا

تفرض المرجعية إدارة آمنة لمفاتيح التشفير تشمل إجراءات مخصّصة للتوليد والتخزين والتوزيع والإلغاء، إضافة إلى متطلبات تشفيرية متوافقة مع توصيات ANSSI (المرجعية العامة للأمن، الملحق B1). يجب أن يكون تشفير البيانات أثناء التخزين والنقل منهجيًا. تستهدف هذه المتطلبات متانة الحماية — لا تتناول ما يحدث لمفتاح وظيفي عند مغادرة المزوّد.

◆ الثغرة المرصودة

لا شيء في متطلبات SecNumCloud الموثَّقة يُلزم المزوّد المؤهَّل بضمان قابلية التصدير التشغيلية لمفتاح تشفير أُنشئ تحت رقابته نحو بنية تحتية لمزوّد آخر. تحمي المرجعية سلامة المفتاح وسريته ما دام لدى المزوّد المؤهَّل — لا تتناول قابليته للنقل عند لحظة الخروج.

◆ ما لا يدّعيه هذا الاستنتاج

لا يدّعي هذا الفصل أن هذه الثغرة تشكّل عيبًا في تصميم مرجعية SecNumCloud: متانة الحماية التشفيرية وقابلية نقل المفتاح الوظيفي هدفان متعارضان، ومرجعية أمنية من الطبيعي أن تُرجّح الأول. يوثّق هذا الفصل حدًّا في النطاق، لا تقصيرًا.

HUMAN
II.2
التكافؤ الوظيفي يتوقف حيث تبدأ الرقاقة
الثغرة الدلالية في Data Act — المادة 30 في مواجهة المفتاح الوظيفي

تفرض اللائحة الأوروبية للبيانات (UE 2023/2854، المعروفة بـ Data Act)، السارية منذ 12 سبتمبر 2025، على مزوّدي الخدمات السحابية نظامًا لتغيير المزوّد يقوم على «التكافؤ الوظيفي» وقابلية التشغيل البيني.

◆ ما تفرضه المادة 30 فعليًا

تفرض المادة 30 من Data Act، بالنسبة لخدمات من نوع البنية التحتية (IaaS)، أن يتخذ المزوّد الأصلي كل تدبير معقول لتمكين العميل من تحقيق التكافؤ الوظيفي في بيئة الخدمة الجديدة، عبر توفير القدرات والمعلومات والوثائق والمساعدة التقنية والأدوات اللازمة. أما بالنسبة للخدمات الأخرى (PaaS، SaaS)، فيتعلق الالتزام بإتاحة واجهات مفتوحة ومجانية تُسهّل قابلية نقل البيانات وقابلية التشغيل البيني.

◆ الثغرة الدلالية المرصودة — ركيزة نصية دقيقة

تُعرّف المادة 2، البند 38، من اللائحة «البيانات القابلة للتصدير» باستثناء صريح للبيانات التي قد يعرّض تصديرها المزوّد لثغرة أمن سيبراني، وكذلك الأصول المحمية بحق ملكية فكرية أو سر تجاري. أما مفهوم «الأصل الرقمي» فلا يغطي إلا العناصر التي يملك العميل بشأنها حق استخدام مستقلًا عن العلاقة التعاقدية مع المزوّد الذي يغادره. مفتاح تشفير وُلِّد واحتُفظ به من قبل خدمة إدارة المفاتيح المُدارة الخاصة بالمزوّد لا يستوفي بوضوح أيًّا من المعيارين: فهو لم يكن قط حقًا مملوكًا بمعزل عن هذا العقد، وقد يندرج تصديره الوظيفي، بحكم البنية، ضمن أمن الخدمة. غير أن النص لا يحسم هذه الحالة صراحة — وهذا الغياب تحديدًا لتصنيف قاطع، لا استثناء مُسمّى، هو ما يشكّل الثغرة الموثَّقة هنا.

◆ ما لا يدّعي هذا الفصل حسمه

لا يدّعي هذا الفصل أن Data Act يتجاهل عمدًا مسألة المفاتيح — فغياب الذكر الصريح قد يعكس بالقدر ذاته سهوًا أو إحالة ضمنية إلى المفهوم العام للتكافؤ الوظيفي. يوثّق هذا الفصل منطقة غموض قانوني، لا استنتاجًا حاسمًا بشأن نية المشرّع.

HUMAN
III.1
استبدال البرمجية لا يستبدل الرقاقة
رجل القش المرفوض — لماذا لا يكفي Keycloak وVault وحدهما
الفصل الثالث — الاقتراح

في مواجهة الآلية الموثَّقة في الفصلين الأول والثاني، ثمة استجابة جذابة نظريًا لكن قاصرة بنيويًا تتمثل في اقتراح مجرد استبدال برمجي لمزوّد الهوية وخزنة المفاتيح بمكافئات مفتوحة المصدر ذاتية الاستضافة.

◆ رجل القش المحدَّد والمرفوض

نشر مزوّد هوية مفتوح المصدر (مثل Keycloak) وخزنة مفاتيح ذاتية الاستضافة (مثل HashiCorp Vault) لا يحل الآلية الموثَّقة في الفصل الأول: فهذه الأدوات تدير المصادقة على مستوى التطبيق — التحقق من أن مستخدمًا أو خدمة يحمل رمزًا صالحًا — لا المصادقة على مستوى البنية التحتية، أي التحقق، لحظة إقلاع آلة افتراضية أو حاوية على رقاقة المزوّد، من أن هذا الإقلاع نفسه مشروع. تبقى هذه الطبقة الثانية، بحكم البنية، تحت سيطرة المحاكي الافتراضي المملوك.

◆ لماذا ينهار هذا الحل أمام مهندس الحوسبة السحابية

يمكن لمزوّد هوية تطبيقي ذاتي الاستضافة مصادقة المستخدمين البشريين والخدمات رفيعة المستوى. غير أنه لا يمكنه، في المقابل، أن يحلّ محل التصديق المادي الذي يُثبت أن حمل عمل معينًا يعمل فعليًا على العتاد الذي يدّعي استخدامه — يتطلب هذا التصديق الوصول إلى جذر الثقة الخاص بالمزوّد (رقاقة أمنية، برمجية دقيقة للمحاكي الافتراضي)، وهو ما لا يمكن لأي برمجية عميل إعادة إنتاجه من الخارج.

HUMAN
III.2
توحيد الهوية لا معاناتها
هوية حمل العمل الموحّدة — SPIFFE/SPIRE وخزنة المفاتيح المستقلة

تقوم حدود ما هو ممكن تقنيًا اليوم للالتفاف جزئيًا على هذه الآلية على هوية حمل عمل مُصادَق عليها بدلًا من الهوية التطبيقية وحدها.

◆ الاقتراح — SPIFFE/SPIRE وخزنة المفاتيح المستقلة

يتيح المعيار المفتوح SPIFFE (Secure Production Identity Framework for Everyone)، الذي ينفّذه SPIRE، المصادقة على هوية حمل عمل انطلاقًا من خصائص قابلة للتحقق للعقدة والعملية — بدلًا من سر مشترك — وتوحيد هذه الهوية عبر عدة مزوّدي حوسبة سحابية من خلال نطاقات ثقة قابلة للتشغيل البيني. مقترنًا بخزنة مفاتيح مستقلة تتّبع بروتوكول تشغيل بيني مثل KMIP (Key Management Interoperability Protocol)، يوفّر هذا المعيار قابلية نقل لطبقة الهوية وإدارة المفاتيح التطبيقية لا يوفّرها Keycloak ولا Vault وحدهما.

◆ ما يقدّمه هذا الاقتراح فعليًا

يمكن لمؤسسة تستخدم SPIFFE/SPIRE أن تحمل الهوية ذاتها لحمل العمل، قابلة للتحقق تشفيريًا، عبر عدة بيئات سحابية في آن واحد — شرط ضروري كي لا يكسر تغيير المزوّد فورًا سلسلة التفويض التطبيقية.

◆ ما لا يحله هذا الاقتراح وحده — يُعلَن منذ الآن

لا يحسم هذا الاقتراح السؤال المطروح في الفصل الأول بشأن جذر الثقة عند إقلاع الآلة — بل ينقله درجة، من الطبقة التطبيقية إلى طبقة مصادقة العقدة، التي تبقى بدورها تابعة للمزوّد. تُعالَج هذه النقطة صراحة في III.3.

HUMAN
III.3
جذر الثقة لا يُفوَّض
التجميد الوظيفي — لماذا يبقى توقيع المحاكي الافتراضي الكلمة الأخيرة

توضّح الوثائق التقنية لـ SPIRE نفسها آلية مصادقة العقدة، وتكشف هذه الآلية عن الحد الأقصى لأي بنية التفافية.

◆ التجميد الوظيفي — جذر الثقة يبقى لدى المزوّد

تعتمد مصادقة العقدة في SPIRE — الخطوة التي يثبت فيها وكيل SPIRE للخادم أنه يعمل فعلًا على العقدة التي يدّعيها — عادة على واجهات برمجية لبيانات وصفية خاصة بكل مزوّد حوسبة سحابية (وثيقة هوية مثيل AWS EC2، رموز بيانات وصفية لمثيل GCP، مصادقة هوية مُدارة في Azure). بعبارة أخرى: حتى أكثر تطبيقات هوية حمل العمل الموحّدة تقدمًا تتوقف، عند حلقتها الأولى، على التوقيع الصادر عن المحاكي الافتراضي للمزوّد الأصلي لحظة إقلاع الآلة على رقاقته.

◆ المفاضلة الصريحة التي يفرضها هذا الاستنتاج

التحرر الكامل من هذه التبعية يتطلب التخلي عن أكثر التجريدات المُدارة أداءً — الحوسبة اللاخادمية، منصات PaaS الأصلية — للنزول إلى مستوى حوسبة أخام، حيث تتحكم المؤسسة نفسها في المصادقة المادية (مثلًا عبر رقاقاتها الأمنية الخاصة على بنية تحتية تملكها). هذا تجميد وظيفي مماثل لما سبق قبوله في المجلدين السابع والثامن: مفاضلة صريحة بين الراحة التشغيلية والسيادة، لا حلًّا بلا تكلفة.

◆ ما لا يدّعي هذا المجلد حله

لا يدّعي هذا المجلد أن الجمع بين SPIFFE/SPIRE وخزنة مفاتيح مستقلة يُزيل الآلية الموثَّقة في الفصل الأول. يثبت أن هذا الجمع يمثّل حدود ما هو ممكن تصوّره دون التخلي عن الخدمات المُدارة — وأن هذا الحد يُبقي، عند جذره، القفل ذاته الذي يسعى إلى الالتفاف عليه.

HUMAN
الخاتمة
قفل أخير، حدّ مُعترَف به

وثّق هذا المجلد آلية بقيت خارج نطاق المجلدين السابع والثامن: الهوية الرقمية ومفتاح التشفير ليسا أصلين قابلين للتصدير، بل علاقتي تصديق راسختين في شبكة ثقة المزوّد ورقاقته. لا تكفي حوكمة مفتوحة لطبقة التنسيق، ولا قابلية نقل صيغة البيانات، لتحييد هذا القفل الأخير.

◆ الأطروحة بجملة واحدة

تبقى طبقة تحكّم مفتوحة وبيانات قابلة للنقل محتجزتين عمليًا إذا ظلت الهوية التي تصل إليها والمفتاح الذي يفك تشفيرها موقَّعين، عند جذرهما، من قبل مزوّد واحد.

◆ ما لا يدّعي هذا المجلد حله — دعوة مفتوحة

لا يدّعي هذا المجلد تقديم حل كامل وبلا تكلفة للإغلاق عبر IAM/KMS: اقتراح الفصل الثالث ينقل المشكلة نحو طبقة مصادقة العقدة دون إزالتها، ولم تُحسَب تكلفته الحقيقية هنا — من حيث الراحة التشغيلية المفقودة — لغياب حالة موثَّقة علنًا بحجم كبير. ندعو صراحة كل مهندس نفّذ SPIFFE/SPIRE في إنتاج متعدد السحابات إلى توثيق هذه التجربة وتصحيح هذا التشريح أو إثراءه.

◆◆◆

مفتاح لا يمكنك حمله معك ليس مفتاحًا تملكه. إنه حق استخدام، قابل للإلغاء بحكم البنية، لدى من يملك الرقاقة.

◆◆◆
Amine RAITI · CC BY-NC-SA 4.0
HUMAN
الملحق المنهجي
تقديم الصيغة — تتبّع الدورة التقاطعية

يوثّق هذا الملحق، بشكل مختزل، المسار الفعلي لدورة الإنتاج التقاطعية لهذا المجلد: حدّد أمين رايتي المشروع وحكم في نقاط الخلاف، وصاغ كلود التأطير ثم المسودات المتعاقبة وأجرى التحقّقات الواقعية المستقلة، ودقّق جيميني كل تسليم بصفته المدقق الجنائي.

◆ لماذا يوجد هذا الملحق

لا يُقدَّم أي ادعاء في هذا المجلد على أنه مصدره الذاكرة. يتيح هذا الملحق لأي قارئ التحقق، خطوة بخطوة، مما طلبه أمين، وما تحقّق منه كلود بشكل مستقل قبل الكتابة، وما أقرّه جيميني أو رفضه أو طلب تصحيحه — بدلًا من دمج اقتراح تحت تحفّظ.

HUMAN
الملحق المنهجي
التأطير الأولي — الأطروحة، الركائز، الأحكام

عرض أمين على كلود الأطروحة المبدئية للإغلاق عبر IAM/KMS بوصفه القفل الأخير الناجي من انفتاح طبقة التنسيق (المجلد السابع) وقابلية نقل صيغة البيانات (المجلد الثامن). صاغ كلود مطالبة تأطير انطلاقًا من هذه الأطروحة وعرضها على جيميني للتدقيق.

◆ نقاط حُسمت عند التأطير

اقترح جيميني المرجع "Path Dependency and Architectural Interlocking, Arthur 1989"؛ تحقّق كلود من هذا المرجع بشكل مستقل وصحّح العنوان الحقيقي للمقالة، "Competing Technologies, Increasing Returns, and Lock-In by Historical Events". طلب جيميني بعدها ركيزة ثانية، غروسمان وهارت (1986)، لتغطية بُعد الاندماج المادي؛ تحقّق منها كلود بشكل مستقل قبل دمجها.

◆ حكم بشأن رجل القش

رفض جيميني اقتراح إعادة صياغة استبدال Keycloak/Vault الذي عولج بالفعل في المجلد الرابع، معتبرًا إياه غير كافٍ أمام الاعتراض التقني المتعلق بهوية حمل العمل. أعاد كلود توجيه الهدف التجريبي نحو SPIFFE/SPIRE وبروتوكول KMIP، وتحقّق منهما بشكل مستقل قبل صياغة الفصل الثالث.

HUMAN
الملحق المنهجي
الفصل الأول — التحقّقات المنجزة، التحفّظات المُشار إليها

قبل صياغة الفصل الأول، تحقّق كلود بشكل مستقل من خمسة عناصر: مرجع آرثر (1989) المصحَّح، مرجع غروسمان وهارت (1986)، والوثائق التقنية لـ AWS KMS وAzure Key Vault وGoogle Cloud KMS التي تؤكد كل منها عدم قابلية تصدير مفاتيحها المادية الأصلية.

◆ حالة التحقق

أكّد كلود المرجعين النظريين عبر بحث مستقل (العنوان الدقيق، المجلة، المجلد، الصفحات). أكّد المادية التجريبية بشأن AWS KMS وAzure Key Vault (nCipher/Thales، FIPS 140-2 المستوى 2) وGoogle Cloud KMS (FIPS 140-2 المستوى 3) مباشرة من الوثائق الرسمية لكل من المزوّدين الثلاثة، في إطار التدقيق الشامل الذي طلبه جيميني على المسودة الأولى. أشار كلود، بدلًا من التصحيح الصامت، إلى خطأ في مستوى FIPS الذي قدّمه جيميني أولًا بشأن Azure (اقترح المستوى 3، وأكّدت وثائق مايكروسوفت المستوى 2).

HUMAN
الملحق المنهجي
الفصل الثاني — التحقّقات المنجزة، التحفّظات المُشار إليها

قبل صياغة الفصل الثاني، تحقّق كلود من مرجعية SecNumCloud v3.2 الصادرة عن ANSSI ومن المادتين 2 و30 من اللائحة الأوروبية 2023/2854 (Data Act) عبر بحث مستقل.

◆ حالة التحقق

أكّد كلود، من مصادر متعددة متّسقة، مضمون متطلبات SecNumCloud بشأن إدارة المفاتيح (التوليد، التخزين، التوزيع، الإلغاء)، دون أن تذكر أي منها التزامًا بقابلية نقل المفتاح الوظيفي. كان جيميني قد اقترح اقتباسًا نصيًا من المادة 30؛ رأى كلود، بعد التحقق، أنه أقرب إلى التقريب منه إلى الدقة ليُستنسخ كما هو، فاستعاض عنه بركيزة أدق، مستندة إلى تعريف «البيانات القابلة للتصدير» (المادة 2، البند 38 — استثناء خطر أمن سيبراني) و«الأصل الرقمي» (حق استخدام مستقل عن العقد)، بما يعزّز فرضية الثغرة الدلالية التي طرحها جيميني دون استنساخ صياغته غير الدقيقة.

HUMAN
الملحق المنهجي
الفصل الثالث — التحقّقات المنجزة، التحفّظات المُشار إليها

قبل صياغة الفصل الثالث، تحقّق كلود بشكل مستقل من الوثائق التقنية لـ SPIFFE/SPIRE، وبخاصة آلية مصادقة العقدة التي بنى عليها جيميني مطلبه بتحييد رجل القش.

◆ حالة التحقق

أكّد كلود، من مصادر تقنية متعددة متّسقة، أن مصادقة العقدة في SPIRE تعتمد على واجهات برمجية لبيانات وصفية خاصة بكل مزوّد حوسبة سحابية (وثيقة هوية مثيل AWS EC2، رموز بيانات وصفية لـ GCP، مصادقة Azure). سمح هذا التأكيد لكلود بالتحقق من البرهان المركزي للفصل الثالث دون تأكيده اعتمادًا على الذاكرة.

HUMAN
الملحق المنهجي
التدقيق الشامل — الحكم، النقاط المُقرّة، التصحيحات المُنجزة

عرض كلود على جيميني تدقيقًا شاملًا على المسودة الأولى الكاملة (vol9_fr_jet1.html)، المُسلَّمة دفعة واحدة على سبيل التجربة. أصدر جيميني حكمه: رفض جزئي منطقي، مع طلب حقن تحصينات مصفوفية. اعتبر البنية المفاهيمية (الهوية كعلاقة، الاندماج المادي، الركيزة النظرية) مستقرة وخالية من الانزياح الدلالي من الفصل الأول إلى الخاتمة.

◆ نقاط أقرّها جيميني دون تحفّظ

الربط بين آرثر (1989) وغروسمان وهارت (1986) في الفصل الأول. برهان التجميد الوظيفي في الفصل الثالث (SPIFFE/SPIRE، مصادقة العقدة التابعة لبيانات المزوّد الأصلي الوصفية)، الذي اعتُبر مجسَّدًا ولا يُدحض. الاستشهاد السلبي بـ HashiCorp Vault وKeycloak بوصفهما رجل قش مرفوضًا، الذي اعتبره جيميني سليمًا لاستمرارية المجموعة أمام المجلد الرابع.

◆ نقاط أصدر فيها جيميني رفضًا جزئيًا، صحّحها كلود في هذه المسودة

أشار جيميني إلى لاتماثل في المادية بين AWS من جهة، وAzure وGoogle Cloud من جهة أخرى في الفصل الأول؛ صحّحه كلود بحقن مادية تجريبية متماثلة للمزوّدين الثلاثة. اعتبر جيميني الغموض القانوني في الفصل الثاني بشأن Data Act غير مرسَّخ نصيًا بما يكفي؛ صحّحه كلود بركيزة على المادة 2، البندين 37 و38، بعد أن تبيّن أن الاقتباس الذي اقترحه جيميني غير قابل للتحقق كما هو.

◆ ما يبقى معلَّقًا بعد هذه الجولة

اعتبر جيميني بروتوكول الإنتاج المعدَّل (مسودة كاملة يتبعها تدقيق شامل واحد) مفيدًا تجريبيًا لكنه أقل صرامة من الدورة المعيارية فصلًا بفصل، وحسم العودة إلى البروتوكول المعياري بالنسبة للمجلد العاشر. طلب جيميني كذلك مسودة ثلاثية اللغة فورية؛ حسم أمين في الاتجاه المعاكس، مقرِّرًا أن يبقى المجلد بالفرنسية وحدها إلى حين التحقق والتحصين الكاملين.

HUMAN
الملحق المنهجي
تدقيق مضاد مستقل — تحقق مزدوج قبل الختم النهائي

بالتوازي مع التدقيق الشامل الثاني الذي أجراه جيميني، طلب أمين من كلود إجراء فحص جودة مستقل خاص به على الملف المختوم، دون افتراض أن حكم جيميني وحده يضمن الدقة الواقعية للمجلد.

◆ ما أعاد كلود تأكيده بشكل مستقل

أعاد كلود التحقق مباشرة من الوثائق الرسمية لكل من المزوّدين الثلاثة من عدم قابلية تصدير مفاتيح AWS KMS وAzure Key Vault Premium (FIPS 140-2 المستوى 2) وGoogle Cloud KMS (FIPS 140-2 المستوى 3). اعتبر مرجعي آرثر (1989) وغروسمان وهارت (1986) مستقرَّين، وقارن بنص اللائحة الدقيق أرقام البنود المذكورة في المادة 2 من Data Act (37 — التكافؤ الوظيفي، 38 — البيانات القابلة للتصدير)، التي أكّد صحتها.

◆ فارق دقيق أشار إليه كلود في تبرير جيميني، دون أثر على النص المختوم

برّر جيميني تقرير تدقيقه الأولي بالقول إنه كان يقصد خدمة Azure Dedicated HSM (المستوى 3) لا Key Vault Premium. تحقّق كلود من هذه الحقيقة، الصحيحة إذا أُخذت بمعزل — فـ Dedicated HSM يبلغ فعلًا المستوى 3 — لكنه لاحظ أن صياغة جيميني الأصلية جمعت هاتين الخدمتين المتمايزتين من Azure تحت مستوى شهادة واحد، وهو ما شكّل خلطًا. التصحيح الذي كان كلود قد أجراه في المسودة الثانية (المستوى 2 لـ Key Vault Premium) يبقى دقيقًا ولم يحتج إلى تعديل إضافي بعد هذا التدقيق المضاد.

◆ ما لا يحل محله هذا التدقيق المضاد

لا يدّعي هذا الفحص المستقل الذي أجراه كلود أنه يحل محل دورة التدقيق التقاطعي مع جيميني — بل يضاف إليها كتحقق مزدوج طلبه أمين صراحة قبل اعتبار ختم المجلد الفرنسي مكتسبًا نهائيًا، وفق مبدأ أن تحقّقين مستقلَّين أفضل من تحقّق واحد، حتى عندما لا يكشف الأول عن أي خطأ.

HUMAN
الملحق المنهجي
ختم الملحق — الحالة عند التسليم للمدقق
◆ الأطروحة بجملة واحدة

صحّح كلود هذه المسودة الثانية بعد التدقيق الشامل الذي أجراه جيميني وتدقيقه المضاد المستقل؛ يبقى المجلد خاضعًا لمراجعة إضافية من جيميني قبل الختم النهائي بالفرنسية.

الحالة عند ختم هذا الملحق: راجع كلود الفصول الثلاثة بالفرنسية وحدها، وجعل المادية متعددة السحابات متماثلة في الفصل الأول، وصحّح ركيزة Data Act في الفصل الثاني. لم تُنجز أي ترجمة إنجليزية أو عربية في تلك المرحلة — طلب جيميني إنتاجًا ثلاثي اللغة فوريًا، لكن أمين حسم في الاتجاه المعاكس: لن يُترجم المجلد إلا بعد التحقق والتحصين الكاملين بالفرنسية. أُنتجت هذه النسخة العربية بعد تأكيد ذلك الختم الفرنسي.

← السابقالتالي →