كاربردهاي زير ساخت کليد عمومي در سازمان
نويسنده :شاهين خراساني راهکارهاي اصلي تامين امنيت دردنياي ديجيتال ،شباهت هاي قابل لمسي با دنياي غير ديجيتال دارند.براي نمونه، وجود طرف سوم در معاملات امروزي مساله اي عادي تلقي مي شود؛دفاتر ثبت اسناد و بنگاه هاي معاملاتي از اين نمونه اند. اين مراکز مورد اطمينان،دردنياي ديجيتال تحت عنوان PKI نمود پيدا مي کنند. مشکل اصلي تعلق کليد دررمز نگاري نامتقارن بيش از ده سال پس ازابداع الگوريتم هاي آن باقي بود تا آنکه گواهي کليد عمومي به عنوان پاسخ اني مشکل مطرح شد.اولين استاندارد گواهي کليد عمومي در سال 1988 منتشر شد؛اما هنوز سازندگان نرم افزار براي استفاده عملي از اين گواهي ها به ساختاري نياز داشتند که توليد،توزيع و ابطال اين گواهي ها را پشتيباني کند.يازده سال بعد استانداردهايي براي انتشار ليست گواهي هاي باطله منتشر شدومؤلفه هاي ديگر اين ساختار شکل گرفتند.
امروزه اين زير ساخت را با نام زير ساخت کليد عمومي(PKI)مي شناسيم. (PKI(Public Key Infrastructure ساختاري است که با ترکيبي از الگوريتم هاي رمز نگاري، نرم افزار، سخت افزار،سياست هاي امنيتي و همکاري عوامل انساني،بستري را براي امن سازي مبادلات الکترونيکي فراهم مي کند.با آنکه مباني تئوري آن بيش از يک ربع قرن قدمت دارند،اما تنها در چند سال اخير بروز و توسعه مشهود يافته است،طوري که در همين چند سال کاربرد آن در تامين امنيت اطلاعات الکترونيکي در محيط هاي اداري و مالي، در بسياري از کشورها رشد چشمگيري داشته است.
کاربران کامپيوتر براي درک مزاياي PKI نيازي به دانستن جزئيات الگوريتم ها و مفاهيم پيچيده ندارند و نيازها، ابزارها و رويه ها مشخص هستند.آنچه باعث شده استفاده از PKI در کشور به تعويق بيفتد، عمدتا ناشي از علل غير فني است.عدم وجود قوانين لازم و خدمات بيمه اي، ناکافي بودن شناخت عمومي و مديريتي از جايگاهPKI و حتي پاره اي مسائل سياسي نمونه هايي از اين علل مي باشند. $مجموعه کاربردهاي PKI در سازمان:
تعدد پرسنل و تنوع گروه هاي کاري مختلف در مجموع هاي بزرگ، لزوم استفاده از يک زير ساخت قابل اعتماد براي امن سازي ارتباطات را بهتر نشان مي دهد. در سيستم هايي که درآنها چندين بخش مجزا با يکديگر تعامل داده اي دارند،بروز نا امني در هر يک از اجزا مي تواند منشأ بروز مشکل امنيتي در تمام سيستم باشد. لذا امن سازي در يک سيستم بزرگ بايد به صورت يک پارچه انجام شود.
اصلي ترين روش ارتباطي سيستم هاي کاربردي با زير ساخت PKI ،گواهي هاي ديجيتال مي باشند، به طوري که مي توان هر سيستمي را که از اين گواهي ها استفاده مي کند، يک سيستم مبتني بر PKI ناميد.وجود استاندارد براي گواهي هاي ديجيتال باعث شده سيستم هاي مبتني بر PKI از مقياس پذيري بالايي بر خوردار باشند.اين سيستم ها مي توانند مستقل از يکديگر باشند و به نيازهايي مانند عدم انکار،هويت شناسي، تضمين صحت داده ها و محرمانگي پاسخ دهند.در صورت بروز هر اشکال امنيتي در سيستم ، مرکز گواهي سازمان مي تواند گواهي هاي ديجيتال را باطل کند.
از آنجايي که PKI يک بستر امن سازي است،حوزه هاي کاربرد آن محدود نيست.هر نوع داده يا مبادله الکترونيکي مطرح در حوزه عمليات خصوصي و غيرخصوصي که تهديد امنيتي درمورد آن مطرح باشد،جز مواردي است که مي توان از PKI براي امن سازي آن بهره گرفت.در حال حاضر بيشتر نرم افزارها وتجهيزات شبکه اي با قابليت استفاده از گواهي هاي ديجيتال براي امن سازي کانال هاي ارتباطي، احراز هويت مبدا، حفظ محرمانگي و جامعيت داده هاي الکترونيکي، ساخته مي شوند.موارد زير نمونه هايي از موارد پركاربرد زير ساخت کليد عمومي در سازمان ها مي باشند.
مديريت کليدهاي رمز نگاري:براي رمز نگاري روش هاي بسياري وجود دارد دراغلب اين روش ها کليد هاي رمز به وفور استفاده مي شوند و ملاحظات امنيتي بسياري در چگونگي توليد، نگهداري،انتقال و استفاده از آن ها مطرح است.مهم ترين کاربرد PKI ارائه يک سيستم استاندارد،براي مديريت اين کليد ها در قالب مرکز گواهي ديجيتال مي باشد.
امن سازي کانال هاي ارتباطي توسط پروتکل SSL/TLS:قرار داد TCP/IP هيچ گونه امنيتي براي داده ها ايجاد نمي کند و اطلاعات HTTP يا ديگر داده ها به صورت نا امن روي شبکه منتقل مي شوند و قابل شنود يا تغيير توسط مهاجمين مي باشند.براي تأمين امنيت در وب از روش هاي متفاوتي مي توان استفاده کرد.تاکنون قراردادهاي ارتباطي امن زيادي پياده سازي شده اند، اما هنوز يک استاندارد کامل براي ايجاد امنيت در وب تهيه نشده است.با وجود اين ،دررقابت ميان استانداردهاي موجود، قراردادSSL/TLS تقريبا توانسته است پيروز شود و به عنوان يک قرارداد ارتباطي امن غالب مطرح شود.
امروزه اين قرار داد در اکثر مرور گرها و کارگزارها پشتيباني مي شود.سايت هايي که اطلاعات مهم محرمانه با کاربران خود مبادله مي کنند(مانند کلمات عبور يا اطلاعات خصوصي)،مطلقا نبايد با استفاده از قرارداد نا امن HTTP اين کار را انجام دهند.نسخه امن شده اين قرار داد،به نام HTTPS پر کاربرد ترين قرار دادي است که در پياده سازي اين وب سايت ها به کار مي رود و مبتني بر رمز نگاري کليد عمومي کار مي کند.از گواهي هاي TLS/SSL براي امن سازي کانال ارتباطي بين سرويس گيرنده وب وسرويس دهنده وب(قرارداد HTTPS)، سرويس گيرنده و سرويس دهنده پست الکترونيکي، سرويس گيرنده و سرويس دهنده فايل(FTPS)و کارگزار پايگاه داده و سرويس گيرنده ها استفاده مي شود.با توجه به فراگير بودن سرويس هاي فوق، مديريت(مديريت گواهي به صدور، نگهداري ،ابطال و بازيابي گواهي و کليد اطلاق مي شود)گواهي هاي TLS/SSL امري ضروري مي نمايد.
امنيت ارتباطات بي سيم :پروتکل ديگري که ازامکان به کارگيري گواهي هاي TLS بر خورداراست و به نوعي از کاربردهاي PKIدر شبکه هاي بي سيم و با سيم محسوب مي شود، پروتکل EAP TLS TTLS است که با عنوان (dotlx802.1x)نيز خوانده مي شود.از اين پروتکل به منظور احراز هويت در لايه هاي پايين(Datalink)شبکه استفاده مي گردد و سپس در صورت نياز براي رمز نگاري از استاندارد 802.11i استفاده مي شود.
امن سازي کاربردهاي تحت وب:اين قسمت شامل امن سازي خدماتي است که در آنها کاربران مستقيما از طريق وب به اطلاعات دسترسي پيدا مي کنند.با استفاده از سرويس هاي رمز نگاري و مديريت کليد که توسط PKI ارائه مي شوند، مي توان خدمات تحت وب را با ضريب امنيتي بالاتر و در سطح گسترده تري ارائه کرد.
امن سازي پست االکترونيکي:با استفاده از PKI مي توان سرويس هاي رمزنگاري و امضاي ديجيتال را براي پست الکترونيکي کاربران فعال کرد.قرار داد مورد استفاده در پست الکترونيکي امن S/MIME مي باشد که توسط اکثر نرم افرارهاي معتبر پشتيباني مي گردد(قرار دادهاي ديگر مانند PGP به دليل ضعف در مديريت کليدها و در نظر نگرفتن مفاهيم PKI توصيه نمي شوند). امضاي ديجيتال نامه ها و رمز نگاري آنها براي چندين گيرنده توسط اين قرار داد پشتيباني مي شود و مي توان ادعا کرد که کليه نيازمنديهاي موجود براي ارسال و در يافت بسته هاي اطلاعاتي امن از طريق Email در اين قرار داد پيش بيني شده اند.معمولا از گواهي ديجيتال براي رمزگذاري و کليد خصوصي براي رمز گشايي نامه، همچنين از کليد خصوصي براي امضا و گواهي ديجيتال براي بررسي صحت امضا استفاده مي شود.در صورت استفاده صحيح از امکانات فراهم آمده در زير ساخت کليد عمومي، مي توان از اين قرارداد براي ارسال داده هايي با درجه امنيتي بالا روي شبکه از طريق پست الکترونيکي استفاده کرد.درحالت مطلوب نگهداري کليد خصوصي روي توکن هاي هوشمند است و ريسک استفاده از اين قرارداد را به ميزان قابل توجهي کاهش مي هد.
امن سازي برنامه اتوماسيون اداري :برنامه هاي اتوماسيون اداري نقش مهمي را در کارآيي و بهينه سازي فرآيندهاي مجموعه ايفا مي کنند.عموما محرمانگي و صحت داده ها در اين سيستم ها از اهميت به سزايي بر خوردار است.اين امن سازي مي تواند مبتني بر PKI انجام شود.
امن سازي برنامه هاي کاربردي خاص:برنامه هاي کاربردي ديگر نيز مستعد استفاده از سرويس هاي PKI مي باشند.با ديدي بلند مدت مي توان پيش بيني کرد که اکثر نرم افزارها مي توانند از اين خدمات بهره مند شده و از امنيت قابل قبولي برخوردار شوند.
امنيت پايگاه داده ها :بانك هاي اطلاعاتي، مؤلفه هاي حساسي در استانداردهاي امنيتي تلقي مي شوند.با وجود يک ساختار PKI در سازمان،مي توان طرح هاي متنوعي را براي امن سازي اطلاعات درون پايگاه داده ها پياده سازي نمود.از جمله رمز نگاري رکوردهاي خاصي از اطلاعات محرمانه درون پايگاه داده و امن سازي کانال هاي ارتباط با پايگاه داده.
امکان ورود به سيستم عامل و شبکه :حضور کارگزارهاي مبتني بر سيستم عامل ويندوز و اهميت هويت شناسي کاربران در اين ميان، نياز به بالا بردن امنيت روش هاي موجود ورود به سيستم را مطرح مي کند.در حال حاضر استفاده از توکن هاي امنيتي يا کارت هاي هوشمند به همراه گواهي ديحيتال براي هويت شناسي کاربران ،توسط کارگزارهاي دامنه ويندوز پشتيباني مي شود.حضور مرکز گواهي و توزيع کننده ليست گواهي هاي باطله براي استفاده از اين سرويس امنيتي امري ضروري است.
امنيت مستندات:با استفاده از خدماتي که برخي از نرم افزارها از قبيل Microsoft office وAdobe Acrobat مي دهند، مي توان امن سازي مستندات را در سازمان ،با امضاهاي ديجيتال يا خدمات رمزنگاري مبتني بر PKI سامان دهي کرد.
امنيت کد:براي تضمين بي خطر بودن برنامه هاي اجرايي ،مي توان از امضاي ديجيتال استفاده كرد.ازجمله ميتوان به گواهي هاي Code Signing اشاره کرد که هم اکنون براي امضاي اپلت هاي جاوا، اسکريپت هاي VB ، درايورهاي سخت افزار استفاده مي شوند.
امن سازي خدماتي که سازمان بر روي بستر ارتباطات سيار(MMSو SMS)ارائه مي کند يا در آينده ارائه خواهد داد .
کنترل دسترسي و طبقه بندي اطلاعات :اين کار با صدور گواهي هاي ديجيتال با درجه اعتبار متفاوت براي کاربردهاي مختلف انجام مي شود.
شبکه هاي VPN:شبکه هاي خصوصي مجازي با استفاده از رمز نگاري اطلاعات روي شبکه هاي عمومي ايجاد مي شوند و گواهي هاي ديجيتال در ايجاد بسياري از اين شبکه ها کاربرد دارند.در حال حاضر تجهيزات شبکه از قرار داد SCEP براي ارتباط با مرکز گواهي براي دريافت و تجديد گواهي استفاده مي کنند.بهره گيري از اين روش يکي از نيازهاي اساسي در شبکه هاي بزرگ با تعداد زيادي از تجهيزات شبکه اي است و مرکز گواهي در اين ميان نقش اساسي در مديريت کليدها(دريافت درخواست، صدور و ارسال گواهي از طريق SCEP)را بر عهده دارد.
هويت شناسي :هويت شناسي کاربرد وسيعي دارد؛ هم دروازه هاي فيزيکي(درب هاي اماکن حساس)و هم سرويس هاي الکترونيکي(مانند صندوق هاي پستي ...)به هويت شناسي نياز دارند.امروزه PKI در روش هاي امن احراز هويت نقش مهمي دارد و به اندازه هويت شناسي بيومتريک به آن اهميت داده مي شود.
رمز کردن اطلاعات مهم بر روي کامپيوتر شخصي و شبکه اي
نگهداري گذرواژه هاي مهم روي سخت افزارهاي امنيتي (USB Security Tokens)
بررسي جامعيت برنامه هاي کاربردي و توليد گواهي ويژه براي آنها
ارتباط سيستم هاي کاربردي با زير ساخت کليد عمومي چنان که بيان شد، امن سازي با PKI مستلزم استفاده از روش هاي پيچيده رمز نگاري است.سيستم هاي مبتني بر PKI داده هاي حساسي به نام کليد هاي رمزنگاري را دربستر PKI مبادله مي کنند.براي مثال هنگام هويت شناسي، يا توليد امضاي ديجيتال يا رمزگشايي اطلاعات رمز شده ، اين کليد ها مورد استفاده قرار مي گيرند.
کليدهاي رمز نگاري حساس ترين داده هاي موجود در يک سيستم امنيتي ،تلقي مي شوند.در اغلب موارد اين کليدها بايد قابل حمل به وسيله افراد باشند و استفاده ازآنها نيز براي کاربر بايد ساده باشد.اين مساله احتمال خطراتي مانند سرقت يا مفقود شدن و نابود شدن اين کليد ها را بالا مي برد.از هر نوع رسانه ديجيتال مي توان براي نگهداري کليدهاي رمز نگاري استفاده کرد(مانند ديسک نرم،CD Flash RAM، کارت هاي مغناطيسي و امثال آنها)،اما سطح امنيت اين رسانه ها متفاوت است.استفاده از رسانه هاي خاص اين کار، مانند کارت هاي هوشمند و توکن هاي امنيتي سخت افزاري (Tokens USB Security)بهترين راه حل موجود براي تامين امنيت کليدهاي رمزنگاري است.اين دستگاه ها از حفاظت فيزيکي بالايي در برابر حملات دسترسي به کليد بر خوردارند و همانند يک ريز کامپيوتر مخصوص رمز نگاري عمل مي کنند.
توکن هاي سخت افزاري به عنوان نسل جديدي از سخت افزارهاي امنيتي شناخته مي گردند که مزايا و قابليت هاي کلي سخت افزارهاي امنيتي را با به حداقل رساندن معايب استفاده از آنها در اختيار کاربران عادي سيستم هاي اطلاعاتي قرار مي دهند.توکن هاي سخت افزاري امروزه مشکل هزينه و قيمت بالاي سخت افزارهاي امنيتي را حل نموده و رفته رفته به وسايلي فراگير تبديل مي گردند.در اين ميان کارت هاي هوشمند و به ويژه توکن هاي هوشمندي که از طريق پورت USB کار مي کنند با استقبال فراوان کاربران در نقاط مختلف دنيا مواجه گرديده اند .براي استفاده از اين توکن ها ، بر خلاف کارت هاي هوشمند، نيازي به دستگاه کارت خوان مجزا وجود ندارد.
در اغلب کاربردهاي مبتي بر PKI هر يک از کاربران سيستم که براي او يک گواهي ديجيتال صادر مي شود، مي تواند از توکن USB ،براي نگهداري کليدهاي رمز و انجام عمليات رمز نگاري توسط آن ها استفاده کند.اين دستگاه کوچک ، امن و قابل حمل مي تواند با يک يا چند کلمه عبور حفاظت شود طوري که تنها با حضور شخص و با اجازه وي بتوان از آن استفاده کرد.شکل 1 نمونه اي از توکن هاي USB را نشان مي دهد.اين محصولات داراي مدل هاي مختلف و سطوح امنيت متفاوتي مي باشند.
براي هر کاربري که به تشخيص مديريت ملزوم به استفاده از اين دستگاه ها باشد ، يک توکن USB به صورت خاصي آماده (شخصي سازي)مي گردد و کليدهاي رمز نگاري و گواهي هاي ديجيتال در آن قرار داده مي شوند(در مواردي کليدها توسط خود توکن توليد مي شوند).چنان که اشاره شد ، گواهي ديجيتال و کليدهاي رمز نگاري کاربران معمولي ، به شکل فايل هاي رمز دار به آنها تحويل داده مي شود.
منبع:ماهنامه دنياي كامپيوتر و ارتباطات -شماره 85
امروزه اين زير ساخت را با نام زير ساخت کليد عمومي(PKI)مي شناسيم. (PKI(Public Key Infrastructure ساختاري است که با ترکيبي از الگوريتم هاي رمز نگاري، نرم افزار، سخت افزار،سياست هاي امنيتي و همکاري عوامل انساني،بستري را براي امن سازي مبادلات الکترونيکي فراهم مي کند.با آنکه مباني تئوري آن بيش از يک ربع قرن قدمت دارند،اما تنها در چند سال اخير بروز و توسعه مشهود يافته است،طوري که در همين چند سال کاربرد آن در تامين امنيت اطلاعات الکترونيکي در محيط هاي اداري و مالي، در بسياري از کشورها رشد چشمگيري داشته است.
کاربران کامپيوتر براي درک مزاياي PKI نيازي به دانستن جزئيات الگوريتم ها و مفاهيم پيچيده ندارند و نيازها، ابزارها و رويه ها مشخص هستند.آنچه باعث شده استفاده از PKI در کشور به تعويق بيفتد، عمدتا ناشي از علل غير فني است.عدم وجود قوانين لازم و خدمات بيمه اي، ناکافي بودن شناخت عمومي و مديريتي از جايگاهPKI و حتي پاره اي مسائل سياسي نمونه هايي از اين علل مي باشند. $مجموعه کاربردهاي PKI در سازمان:
تعدد پرسنل و تنوع گروه هاي کاري مختلف در مجموع هاي بزرگ، لزوم استفاده از يک زير ساخت قابل اعتماد براي امن سازي ارتباطات را بهتر نشان مي دهد. در سيستم هايي که درآنها چندين بخش مجزا با يکديگر تعامل داده اي دارند،بروز نا امني در هر يک از اجزا مي تواند منشأ بروز مشکل امنيتي در تمام سيستم باشد. لذا امن سازي در يک سيستم بزرگ بايد به صورت يک پارچه انجام شود.
اصلي ترين روش ارتباطي سيستم هاي کاربردي با زير ساخت PKI ،گواهي هاي ديجيتال مي باشند، به طوري که مي توان هر سيستمي را که از اين گواهي ها استفاده مي کند، يک سيستم مبتني بر PKI ناميد.وجود استاندارد براي گواهي هاي ديجيتال باعث شده سيستم هاي مبتني بر PKI از مقياس پذيري بالايي بر خوردار باشند.اين سيستم ها مي توانند مستقل از يکديگر باشند و به نيازهايي مانند عدم انکار،هويت شناسي، تضمين صحت داده ها و محرمانگي پاسخ دهند.در صورت بروز هر اشکال امنيتي در سيستم ، مرکز گواهي سازمان مي تواند گواهي هاي ديجيتال را باطل کند.
از آنجايي که PKI يک بستر امن سازي است،حوزه هاي کاربرد آن محدود نيست.هر نوع داده يا مبادله الکترونيکي مطرح در حوزه عمليات خصوصي و غيرخصوصي که تهديد امنيتي درمورد آن مطرح باشد،جز مواردي است که مي توان از PKI براي امن سازي آن بهره گرفت.در حال حاضر بيشتر نرم افزارها وتجهيزات شبکه اي با قابليت استفاده از گواهي هاي ديجيتال براي امن سازي کانال هاي ارتباطي، احراز هويت مبدا، حفظ محرمانگي و جامعيت داده هاي الکترونيکي، ساخته مي شوند.موارد زير نمونه هايي از موارد پركاربرد زير ساخت کليد عمومي در سازمان ها مي باشند.
مديريت کليدهاي رمز نگاري:براي رمز نگاري روش هاي بسياري وجود دارد دراغلب اين روش ها کليد هاي رمز به وفور استفاده مي شوند و ملاحظات امنيتي بسياري در چگونگي توليد، نگهداري،انتقال و استفاده از آن ها مطرح است.مهم ترين کاربرد PKI ارائه يک سيستم استاندارد،براي مديريت اين کليد ها در قالب مرکز گواهي ديجيتال مي باشد.
امن سازي کانال هاي ارتباطي توسط پروتکل SSL/TLS:قرار داد TCP/IP هيچ گونه امنيتي براي داده ها ايجاد نمي کند و اطلاعات HTTP يا ديگر داده ها به صورت نا امن روي شبکه منتقل مي شوند و قابل شنود يا تغيير توسط مهاجمين مي باشند.براي تأمين امنيت در وب از روش هاي متفاوتي مي توان استفاده کرد.تاکنون قراردادهاي ارتباطي امن زيادي پياده سازي شده اند، اما هنوز يک استاندارد کامل براي ايجاد امنيت در وب تهيه نشده است.با وجود اين ،دررقابت ميان استانداردهاي موجود، قراردادSSL/TLS تقريبا توانسته است پيروز شود و به عنوان يک قرارداد ارتباطي امن غالب مطرح شود.
امروزه اين قرار داد در اکثر مرور گرها و کارگزارها پشتيباني مي شود.سايت هايي که اطلاعات مهم محرمانه با کاربران خود مبادله مي کنند(مانند کلمات عبور يا اطلاعات خصوصي)،مطلقا نبايد با استفاده از قرارداد نا امن HTTP اين کار را انجام دهند.نسخه امن شده اين قرار داد،به نام HTTPS پر کاربرد ترين قرار دادي است که در پياده سازي اين وب سايت ها به کار مي رود و مبتني بر رمز نگاري کليد عمومي کار مي کند.از گواهي هاي TLS/SSL براي امن سازي کانال ارتباطي بين سرويس گيرنده وب وسرويس دهنده وب(قرارداد HTTPS)، سرويس گيرنده و سرويس دهنده پست الکترونيکي، سرويس گيرنده و سرويس دهنده فايل(FTPS)و کارگزار پايگاه داده و سرويس گيرنده ها استفاده مي شود.با توجه به فراگير بودن سرويس هاي فوق، مديريت(مديريت گواهي به صدور، نگهداري ،ابطال و بازيابي گواهي و کليد اطلاق مي شود)گواهي هاي TLS/SSL امري ضروري مي نمايد.
امنيت ارتباطات بي سيم :پروتکل ديگري که ازامکان به کارگيري گواهي هاي TLS بر خورداراست و به نوعي از کاربردهاي PKIدر شبکه هاي بي سيم و با سيم محسوب مي شود، پروتکل EAP TLS TTLS است که با عنوان (dotlx802.1x)نيز خوانده مي شود.از اين پروتکل به منظور احراز هويت در لايه هاي پايين(Datalink)شبکه استفاده مي گردد و سپس در صورت نياز براي رمز نگاري از استاندارد 802.11i استفاده مي شود.
امن سازي کاربردهاي تحت وب:اين قسمت شامل امن سازي خدماتي است که در آنها کاربران مستقيما از طريق وب به اطلاعات دسترسي پيدا مي کنند.با استفاده از سرويس هاي رمز نگاري و مديريت کليد که توسط PKI ارائه مي شوند، مي توان خدمات تحت وب را با ضريب امنيتي بالاتر و در سطح گسترده تري ارائه کرد.
امن سازي پست االکترونيکي:با استفاده از PKI مي توان سرويس هاي رمزنگاري و امضاي ديجيتال را براي پست الکترونيکي کاربران فعال کرد.قرار داد مورد استفاده در پست الکترونيکي امن S/MIME مي باشد که توسط اکثر نرم افرارهاي معتبر پشتيباني مي گردد(قرار دادهاي ديگر مانند PGP به دليل ضعف در مديريت کليدها و در نظر نگرفتن مفاهيم PKI توصيه نمي شوند). امضاي ديجيتال نامه ها و رمز نگاري آنها براي چندين گيرنده توسط اين قرار داد پشتيباني مي شود و مي توان ادعا کرد که کليه نيازمنديهاي موجود براي ارسال و در يافت بسته هاي اطلاعاتي امن از طريق Email در اين قرار داد پيش بيني شده اند.معمولا از گواهي ديجيتال براي رمزگذاري و کليد خصوصي براي رمز گشايي نامه، همچنين از کليد خصوصي براي امضا و گواهي ديجيتال براي بررسي صحت امضا استفاده مي شود.در صورت استفاده صحيح از امکانات فراهم آمده در زير ساخت کليد عمومي، مي توان از اين قرارداد براي ارسال داده هايي با درجه امنيتي بالا روي شبکه از طريق پست الکترونيکي استفاده کرد.درحالت مطلوب نگهداري کليد خصوصي روي توکن هاي هوشمند است و ريسک استفاده از اين قرارداد را به ميزان قابل توجهي کاهش مي هد.
امن سازي برنامه اتوماسيون اداري :برنامه هاي اتوماسيون اداري نقش مهمي را در کارآيي و بهينه سازي فرآيندهاي مجموعه ايفا مي کنند.عموما محرمانگي و صحت داده ها در اين سيستم ها از اهميت به سزايي بر خوردار است.اين امن سازي مي تواند مبتني بر PKI انجام شود.
امن سازي برنامه هاي کاربردي خاص:برنامه هاي کاربردي ديگر نيز مستعد استفاده از سرويس هاي PKI مي باشند.با ديدي بلند مدت مي توان پيش بيني کرد که اکثر نرم افزارها مي توانند از اين خدمات بهره مند شده و از امنيت قابل قبولي برخوردار شوند.
امنيت پايگاه داده ها :بانك هاي اطلاعاتي، مؤلفه هاي حساسي در استانداردهاي امنيتي تلقي مي شوند.با وجود يک ساختار PKI در سازمان،مي توان طرح هاي متنوعي را براي امن سازي اطلاعات درون پايگاه داده ها پياده سازي نمود.از جمله رمز نگاري رکوردهاي خاصي از اطلاعات محرمانه درون پايگاه داده و امن سازي کانال هاي ارتباط با پايگاه داده.
امکان ورود به سيستم عامل و شبکه :حضور کارگزارهاي مبتني بر سيستم عامل ويندوز و اهميت هويت شناسي کاربران در اين ميان، نياز به بالا بردن امنيت روش هاي موجود ورود به سيستم را مطرح مي کند.در حال حاضر استفاده از توکن هاي امنيتي يا کارت هاي هوشمند به همراه گواهي ديحيتال براي هويت شناسي کاربران ،توسط کارگزارهاي دامنه ويندوز پشتيباني مي شود.حضور مرکز گواهي و توزيع کننده ليست گواهي هاي باطله براي استفاده از اين سرويس امنيتي امري ضروري است.
امنيت مستندات:با استفاده از خدماتي که برخي از نرم افزارها از قبيل Microsoft office وAdobe Acrobat مي دهند، مي توان امن سازي مستندات را در سازمان ،با امضاهاي ديجيتال يا خدمات رمزنگاري مبتني بر PKI سامان دهي کرد.
امنيت کد:براي تضمين بي خطر بودن برنامه هاي اجرايي ،مي توان از امضاي ديجيتال استفاده كرد.ازجمله ميتوان به گواهي هاي Code Signing اشاره کرد که هم اکنون براي امضاي اپلت هاي جاوا، اسکريپت هاي VB ، درايورهاي سخت افزار استفاده مي شوند.
امن سازي خدماتي که سازمان بر روي بستر ارتباطات سيار(MMSو SMS)ارائه مي کند يا در آينده ارائه خواهد داد .
کنترل دسترسي و طبقه بندي اطلاعات :اين کار با صدور گواهي هاي ديجيتال با درجه اعتبار متفاوت براي کاربردهاي مختلف انجام مي شود.
شبکه هاي VPN:شبکه هاي خصوصي مجازي با استفاده از رمز نگاري اطلاعات روي شبکه هاي عمومي ايجاد مي شوند و گواهي هاي ديجيتال در ايجاد بسياري از اين شبکه ها کاربرد دارند.در حال حاضر تجهيزات شبکه از قرار داد SCEP براي ارتباط با مرکز گواهي براي دريافت و تجديد گواهي استفاده مي کنند.بهره گيري از اين روش يکي از نيازهاي اساسي در شبکه هاي بزرگ با تعداد زيادي از تجهيزات شبکه اي است و مرکز گواهي در اين ميان نقش اساسي در مديريت کليدها(دريافت درخواست، صدور و ارسال گواهي از طريق SCEP)را بر عهده دارد.
هويت شناسي :هويت شناسي کاربرد وسيعي دارد؛ هم دروازه هاي فيزيکي(درب هاي اماکن حساس)و هم سرويس هاي الکترونيکي(مانند صندوق هاي پستي ...)به هويت شناسي نياز دارند.امروزه PKI در روش هاي امن احراز هويت نقش مهمي دارد و به اندازه هويت شناسي بيومتريک به آن اهميت داده مي شود.
رمز کردن اطلاعات مهم بر روي کامپيوتر شخصي و شبکه اي
نگهداري گذرواژه هاي مهم روي سخت افزارهاي امنيتي (USB Security Tokens)
بررسي جامعيت برنامه هاي کاربردي و توليد گواهي ويژه براي آنها
ارتباط سيستم هاي کاربردي با زير ساخت کليد عمومي چنان که بيان شد، امن سازي با PKI مستلزم استفاده از روش هاي پيچيده رمز نگاري است.سيستم هاي مبتني بر PKI داده هاي حساسي به نام کليد هاي رمزنگاري را دربستر PKI مبادله مي کنند.براي مثال هنگام هويت شناسي، يا توليد امضاي ديجيتال يا رمزگشايي اطلاعات رمز شده ، اين کليد ها مورد استفاده قرار مي گيرند.
کليدهاي رمز نگاري حساس ترين داده هاي موجود در يک سيستم امنيتي ،تلقي مي شوند.در اغلب موارد اين کليدها بايد قابل حمل به وسيله افراد باشند و استفاده ازآنها نيز براي کاربر بايد ساده باشد.اين مساله احتمال خطراتي مانند سرقت يا مفقود شدن و نابود شدن اين کليد ها را بالا مي برد.از هر نوع رسانه ديجيتال مي توان براي نگهداري کليدهاي رمز نگاري استفاده کرد(مانند ديسک نرم،CD Flash RAM، کارت هاي مغناطيسي و امثال آنها)،اما سطح امنيت اين رسانه ها متفاوت است.استفاده از رسانه هاي خاص اين کار، مانند کارت هاي هوشمند و توکن هاي امنيتي سخت افزاري (Tokens USB Security)بهترين راه حل موجود براي تامين امنيت کليدهاي رمزنگاري است.اين دستگاه ها از حفاظت فيزيکي بالايي در برابر حملات دسترسي به کليد بر خوردارند و همانند يک ريز کامپيوتر مخصوص رمز نگاري عمل مي کنند.
توکن هاي سخت افزاري به عنوان نسل جديدي از سخت افزارهاي امنيتي شناخته مي گردند که مزايا و قابليت هاي کلي سخت افزارهاي امنيتي را با به حداقل رساندن معايب استفاده از آنها در اختيار کاربران عادي سيستم هاي اطلاعاتي قرار مي دهند.توکن هاي سخت افزاري امروزه مشکل هزينه و قيمت بالاي سخت افزارهاي امنيتي را حل نموده و رفته رفته به وسايلي فراگير تبديل مي گردند.در اين ميان کارت هاي هوشمند و به ويژه توکن هاي هوشمندي که از طريق پورت USB کار مي کنند با استقبال فراوان کاربران در نقاط مختلف دنيا مواجه گرديده اند .براي استفاده از اين توکن ها ، بر خلاف کارت هاي هوشمند، نيازي به دستگاه کارت خوان مجزا وجود ندارد.
در اغلب کاربردهاي مبتي بر PKI هر يک از کاربران سيستم که براي او يک گواهي ديجيتال صادر مي شود، مي تواند از توکن USB ،براي نگهداري کليدهاي رمز و انجام عمليات رمز نگاري توسط آن ها استفاده کند.اين دستگاه کوچک ، امن و قابل حمل مي تواند با يک يا چند کلمه عبور حفاظت شود طوري که تنها با حضور شخص و با اجازه وي بتوان از آن استفاده کرد.شکل 1 نمونه اي از توکن هاي USB را نشان مي دهد.اين محصولات داراي مدل هاي مختلف و سطوح امنيت متفاوتي مي باشند.
براي هر کاربري که به تشخيص مديريت ملزوم به استفاده از اين دستگاه ها باشد ، يک توکن USB به صورت خاصي آماده (شخصي سازي)مي گردد و کليدهاي رمز نگاري و گواهي هاي ديجيتال در آن قرار داده مي شوند(در مواردي کليدها توسط خود توکن توليد مي شوند).چنان که اشاره شد ، گواهي ديجيتال و کليدهاي رمز نگاري کاربران معمولي ، به شکل فايل هاي رمز دار به آنها تحويل داده مي شود.
منبع:ماهنامه دنياي كامپيوتر و ارتباطات -شماره 85