توكن‌هاي هوشمند ابزاري براي دست‌نخوردگي اطلاعات شخصي

[TAHA]

خبرگزاري دانشجويان ايران - تهران
سرويس: جامعه اطلاعاتي -فناوري اطلاعات

توكن‌هاي سخت‌افزاري قابليت ذخيره‌سازي اطلاعات محرمانه کاربران از قبيل کليدهاي رمزنگاري، کلمات عبور و يا داده مرجع به‌صورت امن را داشته و امکان دسترسي غيرمجاز به اين اطلاعات و دستکاري آن‌ها وجود نخواهد داشت.
مهندس مهدي فلاح‌چاي - كارشناس فن‌آوري اطلاعات - در گفت‌وگو با خبرنگار فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، توكن‌هاي سخت‌افزاري را به‌عنوان نسل جديدي از سخت‌افزارهاي امنيتي دانست و اظهار كرد: توکن‌هاي هوشمند علاوه بر اين که به‌عنوان يک رسانه امن ذخيره‌سازي اطلاعات سري مورد استفاده قرار مي‌گيرند، امکان انجام عمليات و مکانيزم‌هاي مختلف رمزنگاري نيز جهت امن‌سازي بسترهاي اطلاعاتي در آن‌ها وجود دارد.
اين كارشناس با اشاره به کارت‌هاي هوشمند و توکن‌هاي USB كه به‌عنوان رايج‌ترين توکن‌هاي سخت‌افزاري امروزي مطرح هستند، عنوان كرد: کارت‌هاي هوشمند از قدمت بيش‌تري نسبت به توکن‌هاي USB برخوردارند يا به عبارت ديگر توکن‌هاي USB عضو جديد و تکامل‌يافته کارت‌هاي هوشمند تلقي مي‌شوند هرچند كه از نظر قابليت‌هاي فني و خدماتي که ارائه مي‌دهند مشابه يکديگرند.
فلاح‌چاي گفت: نيازمند نبودن پورت‌هاي USB به دستگاه كارت‌خوان برگ برنده آن‌ها در برابر كارت‌هاي هوشمند به حساب مي‌آيد.

مزايا، معايب و ويژگي‌ها

اين كارشناس درباره تفاوت حافظه‌هاي FLASH و توكن‌ها ابراز كرد: حافظه هاي فلش به‌طور معمول صرفاً به‌عنوان يک رسانه عادي جهت ذخيره‌سازي اطلاعات به کار مي‌روند در حالي كه ملزومات امنيتي سخت‌افزاري و نرم‌افزاري در آ‌ن‌ها رعايت نشده است و امکان پردازش و انجام عمليات رمزنگاري در فلش وجود ندارد و از اين رو قياس بين توکن‌هاي USB و فلش به‌دليل ماهيت کاملاً متفاوت آن‌ها منطقي به‌نظر نمي‌رسد.
وي درباره مزاياي توكن‌ها بيان كرد: توکن‌هاي سخت‌افزاري و به‌ويژه توکن‌هاي USB هوشمند مزاياي متعددي در ارائه امنيت به کاربران دارند که از آن جمله مي‌توان به احراز هويت دو عامله کاربران، نگه‌داري امن و جلوگيري از دسترسي غيرمجاز به داده‌ها و اطلاعات حساس کاربر، امکان دسترسي امن و مجاز به برنامه‌هاي کاربردي مختلف و پايگاه‌هاي داده و هم‌چنين امکان انجام عمليات رمزنگاري مختلف مانند رمزگذاري اطلاعات و امضاي ديجيتال اسناد الکترونيک به‌صورت سخت‌افزاري اشاره كرد.
او با اشاره به عرضه راه‌حل‌هاي امنيتي بالقوه و بالفعل گوناگون مبتني بر توکن تصريح كرد: رمزگذاري و امضاي ديجيتال فايل‌ها و اطلاعات حساس کاربر، ايجاد يک پارتيشن امن و رمزگذاري شده در سيستم، دسترسي به برنامه‌هاي کاربردي، ورود امن به شبکه/سيستم عامل، امنيت در شبکه خصوصي مجازي ،امنيت پست الکترونيک، هويت شناسي دو عامله در وب، دولت، تجارت و حفظ سلامت الکترونيکي برخي از اين راه‌حل‌ها هستند.

چه كساني از توكن استفاده مي‌كنند؟

اين كارشناس امنيت شبكه استفاده از توکن‌هاي هوشمند را محدود به کاربران و مشاغل خاصي ندانست و خاطر نشان كرد: به‌طور عمده توکن هوشمند توسط مراکز تجارت الکترونيک، بانک‌ها، ارگان‌هاي نظامي، سيستم‌هاي اتوماسيون، وزارت‌خانه‌ها، بيمارستان‌ها و کليه افراد و سازمان‌هايي که محرمانگي و اطمينان از حفظ تماميت و دست‌نخوردگي اطلاعات شخصي برايشان حائز اهميت است و احراز هويت اشخاص جهت دسترسي به منابع اطلاعاتي برايشان ضروري باشد، قابل استفاده است.

نحوه ذخيره‌سازي در توکن‌ها

فلاح‌چاي يادآور شد: نحوه ذخيره‌سازي اطلاعات و انجام عمليات رمزنگاري در توکن‌هاي هوشمند اصولاً بايد منطبق با استانداردهاي شناخته شده صورت بگيرد تا توسط تمامي برنامه‌هاي کاربردي که از اين استاندارد پشتيباني مي‌كنند قابل استفاده باشد.
او ادامه داد: در توکن هوشمند Parskey عمليات توليد کليد، رمزنگاري متقارن و نامتقارن و ذخيره‌سازي و مديريت واحدهاي اطلاعاتي در آن منطبق با استاندارد PKCS#11 (در بخش توليد رابط برنامه‌نويسي) صورت مي‌گيرد و از اين توکن مي‌توان در نرم‌افزارهايي که از استاندارد PKCS#11 پشتيباني مي‌كنند، نظير Adobe Acrobat و Outlook Express استفاده كرد.

نيازمندي توليد قطعات سخت‌افزاري توکن هوشمند

اين كارشناس با بيان اينكه توليد قطعات سخت‌افزاري توکن هوشمند نيازمند تجهيزات توليد قطعات نيمه هادي است اظهار كرد: در حال حاضر امکان ساخت تراشه‌هاي کارت هوشمند و درنتيجه نوعي از توکن‌ها که از اين فن‌آوري استفاده مي‌کنند در ايران وجود ندارد اما انواع ديگر که پردازنده (تراشه) همه منظوره و نرم‌افزار (firmware توکن) خاص خود را دارند، مي‌توانند توليد شوند.
او ابراز كرد: به‌دليل وابسته نبودن صنعت نرم‌افزار به ديگر صنايع، امکان استفاده از علوم رايانه و رمزنگاري در جهت توسعه توکن‌ها و بهبود وضعيت موجود به طور کامل در داخل کشور وجود دارد.

رويکرد وزارت بازرگاني چيست؟

وي درباره ميزان حمايت‌هاي صورت گرفته از توليد اين محصول در داخل كشور عنوان كرد: ظرفيت توليد کاملا وابسته به نياز بازار است ولي با توجه به رويکرد دولت و وزارت بازرگاني که سهم عمده بازار را در اختيار دارند، نمي‌توان انتظار رشد ظرفيت در توليد داخلي را داشت.
او در بيان علت اين موضوع گفت: در حال حاضر وزارت بازرگاني گواهي نامه هايي مانند FIPS 140 را از توليدکننده درخواست مي‌کند که امکان دريافت آن‌ها براي شرکت‌هاي ايراني وجود ندارد و به عنوان مثال گواهي نامه فوق توسط ايالات متحده آمريکا ارائه مي‌شود.
فلاح چاي درباره آثار تحريم‌ها نيز بر واردات توكن خاطر نشان كرد: نوع خاصي از توکن‌ها که از چيپ‌هاي کارت هوشمند بهره مي‌گيرند، در واردات چيپ کارت هوشمند دچار مشکل مي‌شود ولي انواع ديگري که پردازنده و نرم‌افزار خاص خود را دارند، مي‌توانند در داخل مورد استفاده قرار گيرند.
وي افزود: نکته ديگر اينکه برخي از توکن‌هاي هوشمند داراي تراشه‌هايي هستند که از کمک پردازنده‌هاي رمزنگاري بهره مي‌گيرند و ورود برخي از اين نوع تراشه‌ها به ايران ممنوع است و درنتيجه توليد توکن با استفاده از اين تراشه ها با مشکل مواجه خواهد شد.

امكان بروز حفره‌هاي امنيتي

اين كارشناس امنيت شبكه درباره امكان بروز حفره‌هاي امنيتي در توكن‌ها و امكان جاسوسي اطلاعات تصريح كرد: حملات کانال جانبي مهم‌ترين نوع حملات فيزيکي به تراشه‌هاي توکن هوشمند است.
او ادامه داد: معمولا اين نوع از حملات از رفتار تراشه در زمان انجام محاسبات، بهره‌برداري مي‌کنند و تحليل توان مصرفي، تابش الکترومغناطيس، زمان انجام محاسبات، عکس‌العمل در مقابل ايجاد خطا و اختلال، مي‌تواند اطلاعاتي را درباره کليد سري ذخيره شده در حافظه توکن هوشمند، آشکار کند.
فلاح چاي بيان كرد: با توجه به سادگي نسبي و کارساز بودن حمله تحليل توان، در صورت عدم توجه و مقابله با اين نوع حمله تلاش‌هايي که در ساير بخش‌هاي طراحي و پياده‌سازي سيستم براي برقراري امنيت به‌کار رفته‌اند، بي‌اثر خواهند شد.
وي ادامه داد: در توکن‌هاي هوشمند به علت سادگي پردازنده و حجم محدود داده‌ها همبستگي بين توابع توزيع احتمال مصرف توان و داده‌هاي در حال پردازش، نسبتاً زياد بوده و قابل بهره‌گيري در تحليل توان است.
به گفته او از زمان معرفي حمله تحليل توان توسط کچر و همکارانش تاکنون، روش‌هاي مختلفي براي مقابله با اين نوع حمله‌ها ارائه شده‌اند و اين روش‌هاي مقابله عموماً موجب کاهش کارايي سيستم مي‌شوند، به‌عبارت ديگر بده بستاني بين مقابله با اين نوع حمله‌ها و کارايي وجود دارد.
او با بيان اينكه تنظيمات مربوط به مشخصه واحدهاي اطلاعاتي ذخيره شده در توکن نيز سهم مهمي در امنيت اطلاعات ذخيره شده در توکن ايفا مي‌كند، تصريح كرد: با اعمال تنظيمات مناسب در اين مشخصه‌ها مي‌توان واحدهاي اطلاعاتي ذخيره شده در توکن را در مقابل استخراج و تغيير محافظت كرد.
فلاح‌چاي در پايان خاطر نشان كرد: در توکن‌هاي هوشمند استفاده از حافظه‌هاي خارجي مي‌تواند امنيت آن‌ها را در مقابل حملات مختلف به خطر اندازد و استفاده از حافظه داخلي ميکروکنترلر در توکن‌هاي هوشمند ضروري است.