امنیت اطلاعات توسط امضای دیجیتالی



آنچه در این مقاله می خوانیم:



امنیت اطلاعات
ابعاد امنیتی
تهدیدات امنیتی
رمز‏نگاری
الگوریتم های رمزنگاری

* الگوریتم متقارن
* الگوریتم نا متقارن
* الگوریتم درهم سازی

روش های احراز هویت
امضای دیجیتالی

* فرآیند امضای دیجیتالی
* فرآیند بررسی صحت امضای دیجیتالی

SSL
SSO




همانطور که مشخص است اطلاعات به صورت رمز نشده، نا امن و کاملا موجود بر روی اینترنت منتشر می‏شوند و سرمایه اساسی هر سازمان داده و اطلاعات موجود در آن سازمان یا نهاد میباشد همچنین داده‏های محرمانه باید در اختیار کاربران مجاز قرار بگیرد به همین دلایل موضوع حفاظت از داده‏ها و اطلاعات بحث بسیار مهم و اساسی می باشد در دنیای امروز و با توجه به پیشرفت های روز افزون علوم مختلف و موضوع مهم انتقال اطلاعات ما بایستی به دنبال راه حل هایی برای آسان نمودن اینکار از طریق فناوری های جدید باشیم که در این مقاله به صورت مختصر به یکی از این موارد یعنی امضای دیجیتال و بحث امنیت در آن می پردازیم که در این مقاله به شرح مختصری در رابطه با رمزنگاری و الگوریتم های آن و امنیت این الگوریتم ها و روشهای رمزنگاری پرداخته خواهد شد.


تهدید ها در امنیت اطلاعات



تهدید‏های طبیعی
تهدید‏های عمدی
تهدید‏های غیر عمدی



ابعاد امنیتی مهم در امضای دیجیتال



محرمانه‏ماندن اطلاعات (Confidentiality)
احراز هویت (Authentication)
تضمین صحت اطلاعات (Integrity)
غیر قابل انکار ساختن پیام‏ها (Non-Repudiation)



تهدیدات امنیتی

دستکاری/تحریف داده‏ها
استراق سمع داده‏ها
ایجاد اختلال یا وقفه کامل
جعل و ارسال داده ها ساختگی



رمزنگاری

الگوریتم‏های رمزنگاری
الگوریتم متقارن
DES، 3-DES، AES (Rijndael)، Serpent
الگوریتم نا‏متقارن
RSA، DSA ، ElGamal، Diffie-Hellman
الگوریتم درهم‏سازی
SHA-1، MD5، RIPEMD

الگوریتم متقارن
به ازای هر نشست نیاز به یک کلید نشست است.
نگهداری کلید ها مشکل است.


روش متقارن Symmetric در اين روش هر دو طرفي که قصد رد و بدل اطلاعات را دارند از يک کليد مشترک براي رمزگذاري و نيز بازگشايي رمز استفاده مي کنند.در اين حالت بازگشايي و رمزگذاري اطلاعات دو فرآيند معکوس يکديگر مي باشند. مشکل اصلي اين روش اين است که کليد مربوط به رمزگذاري بايد بين دو طرف به اشتراک گذاشته شود و اين سوال پيش مي آيد که دو طرف چگونه مي توانند اين کليد را به طور امن بين يکديگر رد و بدل کنند. انتقال از طريق انترانت و يا به صورت فيزيکي تا حدي امن مي باشد اما در انتقال آن در اينترنت به هيچ وجه درست نيست.در اين قبيل سيستم ها، کليدهاي رمزنگاري و رمزگشايي يکسان هستند و يا رابطه اي بسيار ساده با هم دارند .اين سيستم ها را سيستم هاي متقارن يا ” تک کليدي ” ميناميم. به دليل ويژگي ذاتي تقارن کليد رمزنگاري و رمزگشايي، مراقبت و جلوگيري از افشاي اين سيستم ها يا تلاش در جهت امن ساخت آنها لازم است در بر گيرنده ” جلوگيري از استراق سمع ” و ” ممانعت از دستکاري اطلاعات ” باشد .

الگوریتم نامتقارن
روش‏های کلید عمومی کند هستند.
تعویض جفت کلید ها

الگوریتم های رمز نامتقارن استفاده های بسیار جالبی دارند. در اینگونه رمزنگاری ها، کلید رمز از دو قسمت تشکیل شده است.
این قسمت ها عبارتند از:
• کلید عمومی (Public Key)
• کلید خصوصی (Private Key)

ویژگی منحصر به فرد الگوریتم های رمز نامتقارن، این است که عمل رمز نگاری با استفاده از کلید عمومی انجام می شود و عمل رمز گشایی با استفاده از کلید خصوصی. در نتیجه کلید عمومی همانگونه که از عنوان آن مشخص است می توان در دسترسی عموم قرار داد ولی کلید خصوصی بسیار محرمانه می باشد.
فرض کنید نرم افزاری تولید نموده اید که بر روی رایانه های مختلفی در سرتاسر جهان نصب شده است و قرار است بر اساس یک زمانبندی یا درخواست کاربر، اطلاعات محرمانه ای از رایانه ی کاربر به سرور شما ارسال شود. بدیهی است که این اطلاعات باید به شکل رمزنگاری شده ای برای شما ارسال شود تا اگر در بین راه به دست افراد بدخواهی افتاد، نتوانند به اطلاعات اصلی دسترسی پیدا کنند.

برای انجام این کار می توان از الگوریتم های رمز نگاری متقارن استفاده نمود. بدین ترتیب اطلاعات بر روی سیستم کاربر رمز شده و برای شما ارسال می شود. اما مشکلی که اینجا وجود دارد این است که برای اینکه اطلاعات به روش متقارن بر روی رایانه کاربر رمزنگاری شوند، طبق تعریف ابتدای مقاله باید کلید رمز را در داخل نرم افزار کاربر قرار دهید و این موضوع می تواند بسیار مشکل ساز شود. زیرا در صورتی که کاربر بتواند به هر نحوی به کلید رمز دسترسی پیدا کند، می تواند اطلاعات رمزنگاری شده را رمزگشایی نماید!
اینجاست که الگوریتم های رمز نامتقارن نمود پیدا می کنند. شما می توانید اطلاعات را با استفاده از کلید عمومی بر روی رایانه کاربر رمز نمایید. همانطور که قبلا ذکر شده، کلید عمومی فقط می تواند جهت رمز نمودن اطلاعات استفاده شود و به هیچ عنوان نمی تواند اطلاعات رمز شده را رمزگشایی کند. پس از اینکه اطلاعات برای شما ارسال شد، شما می توانید براحتی و توسط کلید خصوصی اطلاعات را رمزگشایی نمایید.


الگوریتم درهم سازی
تابع درهم ساز تابعی است که یک پیام با طول تصادفی را دریافت می کند و یک نتیجه درهم ساز با طول ثابت از آن تولید می کند در تابع درهم ساز از پیغامی که قرار است امضاء شود خلاصه ایی ایجاد شده و سپس امضاء می گردد توابع درهم ساز از این خصوصیت برخوردارهستند که یکطرفه هستند یعنی از خلاصه بدست آمده نمی توان به پیغام اصلی دست یافت.

روش‏های احراز هویت
چیزی که کاربر بداند
رمز عبور متنی، رمز عبور تصویری
چیزی که کاربر مالک آن است
توکن‏های امنیتی، کارت‏های هوشمند
چیزی که کاربر از نظر بیولوژیک دارد
اثر انگشت، الگوی شبکه چشم، تشخیص چهره، تشخیص صدا

کلمه عبور
رایج‏ترین نوع احراز هویت است.
مزیت
پیاده سازی بسیار ساده
معایب
می توان آن را حدس زد.
به آسانی به دیگری داده می شود.
یادآوری آن، به ویژه اگر مرتبا استفاده نشود، همیشه آسان نیست.

توکن
توکن دارای حافظه‏ای برای انجام عملیات رمز‏نگاری و نگهداری گواهی‏های الکترونیکی هستند و با استفاده از ریز تراشه موجود در آن ها و بکارگیری الگوریتم های پیچیده، عملیات رمز نگاری انجام می شود
تنها شخصی که دارنده توکن می باشد، می تواند با وارد کردن کلمه عبور توکن به اطلاعات محرمانه دسترسی پیدا کند.

بیو‏متریک
عبارت است ازاستفاده از خصوصیات فیزیکی اشخاص
مزیت : غیر قابل دسترسی، گم شدن، فراموشی
عیب: هزینه‏، نصب، نگهداری

امضای دیجیتالی
امضای دیجیتالی عبارتست از یك فایل موجود بر روی كامپیوتر كه اعتبار هویت شما را تایید می¬كند. امضاهای دیجیتالی توسط برنامه های اینترنتی و یا محلی سیستم شما مورد استفاده قرار می¬گیرند تا هویت شما را به فرد دیگری اثبات نمایند. معمولا امضاهای دیجیتالی با امضاهای الكترونیكی اشتباه گرفته می¬شوند. در حالی¬كه امضاهای الكترونیكی صرفا عبارتند از كپی¬های اسكن شده از یك امضای دستی. در برخی كشورها از جمله ایالات متحده آمریكا و كشورهای عضو اتحادیه اروپا، امضاهای الكترونیكی نیز اعتبار قانونی دارند.
یك امضای دیجیتالی در حقیقت یك طرح ریاضی برای اثبات هویت و اعتبار یك پیغام یا سند دیجیتالی است. یك امضای دیجیتالی معتبر به گیرنده پیغام نشان می¬دهد كه این پیغام توسط شخص شناخته شده ای ارسال شده و در زمان انتقال نیز تغییر نكرده است. امضاهای دیجیتالی معمولا برای انتشار نرم افزارها، نقل و انتقالات مالی، و موارد دیگری كه تشخیص جعل در آن اهمیت دارد، مورد استفاده قرار می¬گیرند.
هر مکانیزمی که بتواند سه نیاز زیر را در خصوص اسناد و مدارک دیجیتالی بر آورد کند، امضای دیجیتالی نامیده می شود.
1-گیرنده سند یا پیام الکترونیکی بتواند هویت صاحب سند را به درستی تشخیص دهد و از جعلی نبودن آن اطمینان حاصل کند.
2- صاحب و امضا کننده سند بعدا نتواند محتوای سند یا پیام ارسالی خود را به هیچ طریقی انکار کند.
3- یک حمله کننده نتواند پیام‏ها یا اسناد جعلی تولید و آن‏ها را به دیگران منتسب کند.

طرح عمومی امضای دیجیتالی
یك طرح امضای دیجیتالی نوعا از سه الگوریتم تشكیل شده است:
• یك الگوریتم تولید كلید كه كلید خصوصی را به طور یكنواخت و تصادفی از مجموعه ای از كلیدهای خصوصی ممكن انتخاب می¬كند. این الگوریتم كلید خصوصی و یك كلید عمومی مرتبط با آن را ایجاد می¬كند.
• یك الگوریتم امضا كه یك پیغام و یك كلید خصوصی را دریافت كرده و با رمز كردن پیغام توسط كلید خصوصی فرستنده، امضا را تولید می¬كند.
• یك الگوریتم اعتبار یابی امضا كه یك پیغام، كلید عمومی و یك امضا را دریافت كرده و اعتبار پیغام را با رمزگشایی امضا توسط كلید عمومی فرستنده و مقایسه حاصل با پیغام اصلی، تایید و یا رد می¬كند.
در این میان دو ویژگی اساسی مورد نیاز است. نخست اینكه امضای تولید شده از یك پیغام ثابت و یك كلید خصوصی ثابت، باید بتواند هویت و اعتبار آن پیغام را با استفاده از كلید عمومی مربوطه مشخص نماید. دوم اینكه تولید یك امضای معتبر برای كسی كه كلید خصوصی را در اختیار ندارد از لحاظ محاسباتی باید غیر ممكن باشد.

فرآیند امضای دیجیتالی

مرحله 1. درهم سازی داده‏ها با استفاده از یکی از الگوریتم‏های درهم‏سازی (چکیده پیام)
مرحله 2. رمز‏نگاری داده درهم‏سازی با استفاده از کلید خصوصی فرستنده
مرحله 3. اضافه کردن امضا ( و یک کپی از کلید عمومی فرستنده) به انتهای متن پیام

فرآیند بررسی صحت امضای دجیتالی
مرحله 1. درهم‏سازی پیام اصلی با استفاده از الگوریتم درهم‏سازی مشابه
مرحله 2. رمز‏گشایی امضای دیجیتالی با استفاده از کلید عمومی
مرحله 3. مقایسه نتیجه در‏هم‏سازی و رمز گشایی. اگر هر دو طرف یکسان باشند، صحت امضای دیجیتالی تایید می‏شود. در صورتیکه تطابق نشوند، پیام یا امضا در حین انتقال تغییر یافته‏اند.


پروتکل SSL
Secure Socket Layer به منظور امنیت داده‏ شبکه‏های TCP/IP به کار می‏رود. SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویس دهنده و یک سرویس گیرنده است که توسط شرکت Netscape ارایه شده است. در واقع SSL پروتکلی است که پایین تر از لایه کاربرد (لایه 4 از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار می گیرد. مزیت استفاده از این پروتکل، بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکل های غیرامن لایه کاربردی نظیر HTTP، LDAP، IMAP و... می باشد که براساس آن الگوریتم های رمزنگاری بر روی داده های خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال می شود و محرمانه ماندن داده ها را در طول کانال انتقال تضمین می کند.
به بیان دیگر شرکتی که صلاحیت صدور و اعطای گواهی های دیجیتال SSL را دارد برای هر کدام از دو طرفی که قرار است ارتباطات میان شبکه ای امن داشته باشند، گواهی های مخصوص سرویس دهنده و سرویس گیرنده را صادر می کند و با مکانیزم های احراز هویت خاص خود هویت هر کدام از طرفین را برای طرف مقابل تایید می کند، البته غیر از این کار می بایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که این کار را با کمک الگوریتم های رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام می دهد.

SSO چیست؟
SSO یک فرآیند احراز هویت کاربر/نشست می باشد که با استفاده از آن یک کاربر می‏تواند با وارد کردن یک نام و کلمه عبور به چندین برنامه کاربردی/سرویس دسترسی پیدا کند. این فرآیند کاربر را برای تمامی سرویس‏های مورد نیاز احراز هویت می‏کند. کاربر در یک نشست منحصر به فرد می‏تواند سرویس‏ها/برنامه‏های کاربردی را تعویض کند.