تامين امنيت در سيستمهاي بانکداري الکترونيک (3)
در قسمت اول و دوم اين مطلب سيستمهاي امنيتي بانکداري الکترونيک روي رايانههاي شخصي و تلفنهاي همراه را معرفي کرديم و برخي ويژگيهاي فني آنها را نيز توضيح داديم. در قسمت سوم ادامه مباحث دو هفته گذشته را پي ميگيريم.
پروتکلهاي امنيتي SSL/TLS/WTLS داراي عيبها و كاستيهاي امنيتي بودند كه در نگارش 3 برطرف شد. مشکل اصلي آن بود که SSL براي رمزگذاري و رمزگشايي، كليدهاي رمزنگاري همانندي را به كار ميبرد و در حالت خروجي، از امنيت کاربر كاسته ميشد.
نگارش دوم SSL به گونه اي بود که امكان داشت داده ارسالي مورد هجوم و دستبرد قرار گيرد و ارسال داده قطع شود و سرانجام، روشن نيست كه آيا داده به طور كامل ارسال شده است يا خير؟ در نگارش سوم SSL، براي بالا بردن امنيت، تغييراتي اندك در نگارش 2 انجام شده است.
در کنار اين پروتکل و نسخههاي مختلف آن، پروتكل TLS - كه مناسب محيطهاي بيسيم با دستگاههاي كوچك طراحي شده و داراي محدوديت در پهناي باند، حافظه و پردازش است- نيز پذيرفته شده است. WTLS با امکانات بيشتر از جمله پروتکلهاي خانواده TLS ارايه شده است.
امروزه مرورگرهاي رايج اينترنتي، پروتكل SSL/TLS، را به عنوان پروتکل پيشفرض پيادهسازي ميکنند.
هنگامي كه زيربناي معماري سيستم بانكداري الكترونيكي ارايه شد، بسياري از بانكها ترجيح ميدادند از پروتكل SSL/TLS - كه از طريق مرورگرها يا برنامههاي كاربردي مستقل اجرا ميشود- استفاده كنند. يك برنامه كاربردي مستقل به عنوان يك جايگزين براي برنامه كاربردي بانكداري الكترونيكي بر مبناي مرورگر، -كه هم امنيت لازم را فراهم ميكند و هم عمليات بانكي را انجام ميدهد– براي تسهيل ارايه خدمات بانکداري الکترونيک قابل استفاده است.
گاه يك برنامه كاربردي مستقل فقط به عنوان يك پروكسي يا واسطه روي كامپيوتر كاربر نصب ميشود تا ميان مرورگر و كامپيوتر بانك واسطه شود و امنيت لازم را براي ارتباط ميان كاربر و بانك برقرار كند. در بسياري از موارد، برنامهاي كه امنيت قوي داشته باشد و امكان انجام عمليات بانكي را نيز فراهم کند، به شكل اپلت يا يک برنامه کوچک کاربردي، براي كامپيوتر كاربر فرستاده ميشود و به عنوان يك پروکسي ميان مرورگر و بانك عمل ميكند.
يك كاربر زماني ميتواند به اجراي درست رابط كاربري برنامه بانكداري الكترونيكي اعتماد كند كه يك نسخه اصلي از برنامه كاربردي مستقل مرورگر را در اختيار داشته باشد. اگر يك اپلت جاوا به كار رود، بايد به طور ديجيتالي توسط بانك تاييد شود، به گونهاي كه كاربر پيش از اجراي برنامه بتواند آن را بررسي و تاييد كند. بديهي است که كاربران بايد تشخيص دهند كه آيا به راستي با بانك در ارتباط هستند يا عدهاي هکر و سارق آنلاين تلاش دارند به رايانه آنها دسترسي يابند.
در صدر همه اين موارد، بايد يك زيرساخت موسوم به كليد عمومي (PKI) پرمعني وجود داشته باشد. يك PKI، ارتباط درست كليدهاي عمومي با ديگر اجزا را تضمين ميكند.
از مسائل فني که بگذريم کشورهايي مانند ايران با محدوديتهاي خاصي مواجه هستند. محدوديتهاي صادراتي اعمال شده توسط امريكا، از صادرات مرورگرهايي كه قابليت رمزنگاري توانمند داشته باشند، جلوگيري ميكند. در امريكا، طول مرورگرهاي صادراتي حاوي كليد رمزنگاري متقارن تا 40 بيت و غيرمتقارن تا 512 بيت محدود بود. پس از رفع محدوديتها، موسسات مالي اجازه يافتند از سيستمهاي رمزنگاري قوي -كه در مرورگرها موجود بود- استفاده كنند. از ديدگاه تكنيكي، اين كار از طريق يك سرور ويژه صدور مجوز با كاربردهاي ويژه انجام ميپذيرفت. براي اين دستگاهها واژگان گوناگوني -مانند SGC مايكروسافت، نتاسكيپ بينالمللي و سرور جهاني وريساين- به كار ميرفت. از سال 2000 نيز نرمافزارهاي رمزنگاري بدون هيچ محدوديتي به ديگر كشورها صادر شد. هرچند كه سيستم پيادهسازي SSL/TLS روي مرورگر همچنان به كار ميرود، اما بسياري از بانكها آن را به كار نميبرند.
منبع:http://itnewsway.ir
/س
پروتکلهاي امنيتي SSL/TLS/WTLS داراي عيبها و كاستيهاي امنيتي بودند كه در نگارش 3 برطرف شد. مشکل اصلي آن بود که SSL براي رمزگذاري و رمزگشايي، كليدهاي رمزنگاري همانندي را به كار ميبرد و در حالت خروجي، از امنيت کاربر كاسته ميشد.
نگارش دوم SSL به گونه اي بود که امكان داشت داده ارسالي مورد هجوم و دستبرد قرار گيرد و ارسال داده قطع شود و سرانجام، روشن نيست كه آيا داده به طور كامل ارسال شده است يا خير؟ در نگارش سوم SSL، براي بالا بردن امنيت، تغييراتي اندك در نگارش 2 انجام شده است.
در کنار اين پروتکل و نسخههاي مختلف آن، پروتكل TLS - كه مناسب محيطهاي بيسيم با دستگاههاي كوچك طراحي شده و داراي محدوديت در پهناي باند، حافظه و پردازش است- نيز پذيرفته شده است. WTLS با امکانات بيشتر از جمله پروتکلهاي خانواده TLS ارايه شده است.
امروزه مرورگرهاي رايج اينترنتي، پروتكل SSL/TLS، را به عنوان پروتکل پيشفرض پيادهسازي ميکنند.
هنگامي كه زيربناي معماري سيستم بانكداري الكترونيكي ارايه شد، بسياري از بانكها ترجيح ميدادند از پروتكل SSL/TLS - كه از طريق مرورگرها يا برنامههاي كاربردي مستقل اجرا ميشود- استفاده كنند. يك برنامه كاربردي مستقل به عنوان يك جايگزين براي برنامه كاربردي بانكداري الكترونيكي بر مبناي مرورگر، -كه هم امنيت لازم را فراهم ميكند و هم عمليات بانكي را انجام ميدهد– براي تسهيل ارايه خدمات بانکداري الکترونيک قابل استفاده است.
گاه يك برنامه كاربردي مستقل فقط به عنوان يك پروكسي يا واسطه روي كامپيوتر كاربر نصب ميشود تا ميان مرورگر و كامپيوتر بانك واسطه شود و امنيت لازم را براي ارتباط ميان كاربر و بانك برقرار كند. در بسياري از موارد، برنامهاي كه امنيت قوي داشته باشد و امكان انجام عمليات بانكي را نيز فراهم کند، به شكل اپلت يا يک برنامه کوچک کاربردي، براي كامپيوتر كاربر فرستاده ميشود و به عنوان يك پروکسي ميان مرورگر و بانك عمل ميكند.
يك كاربر زماني ميتواند به اجراي درست رابط كاربري برنامه بانكداري الكترونيكي اعتماد كند كه يك نسخه اصلي از برنامه كاربردي مستقل مرورگر را در اختيار داشته باشد. اگر يك اپلت جاوا به كار رود، بايد به طور ديجيتالي توسط بانك تاييد شود، به گونهاي كه كاربر پيش از اجراي برنامه بتواند آن را بررسي و تاييد كند. بديهي است که كاربران بايد تشخيص دهند كه آيا به راستي با بانك در ارتباط هستند يا عدهاي هکر و سارق آنلاين تلاش دارند به رايانه آنها دسترسي يابند.
در صدر همه اين موارد، بايد يك زيرساخت موسوم به كليد عمومي (PKI) پرمعني وجود داشته باشد. يك PKI، ارتباط درست كليدهاي عمومي با ديگر اجزا را تضمين ميكند.
از مسائل فني که بگذريم کشورهايي مانند ايران با محدوديتهاي خاصي مواجه هستند. محدوديتهاي صادراتي اعمال شده توسط امريكا، از صادرات مرورگرهايي كه قابليت رمزنگاري توانمند داشته باشند، جلوگيري ميكند. در امريكا، طول مرورگرهاي صادراتي حاوي كليد رمزنگاري متقارن تا 40 بيت و غيرمتقارن تا 512 بيت محدود بود. پس از رفع محدوديتها، موسسات مالي اجازه يافتند از سيستمهاي رمزنگاري قوي -كه در مرورگرها موجود بود- استفاده كنند. از ديدگاه تكنيكي، اين كار از طريق يك سرور ويژه صدور مجوز با كاربردهاي ويژه انجام ميپذيرفت. براي اين دستگاهها واژگان گوناگوني -مانند SGC مايكروسافت، نتاسكيپ بينالمللي و سرور جهاني وريساين- به كار ميرفت. از سال 2000 نيز نرمافزارهاي رمزنگاري بدون هيچ محدوديتي به ديگر كشورها صادر شد. هرچند كه سيستم پيادهسازي SSL/TLS روي مرورگر همچنان به كار ميرود، اما بسياري از بانكها آن را به كار نميبرند.
منبع:http://itnewsway.ir
/س
