كاربردهای زیرساخت كلید عمومی در سازمان­ها

تاريخ:13 دی 1388

راهكارهای اصلی تأمین امنیت در دنیای دیجیتال، شباهت‌های قابل لمسی با دنیای غیر دیجیتال دارند. برای نمونه، وجود طرف سوم در معاملات امروزی مسأله‌ای عادی تلقی می‌شود؛ دفاتر ثبت اسناد و بنگاه‌های معاملاتی از این نمونه‌اند. این مراكز مورد اطمینان، در دنیای دیجیتال تحت عنوان PKI نمود پیدا می‌كنند. مشكل اصلی تعلق كلید در رمزنگاری نامتقارن بیش از ده سال پس از ابداع الگوریتم­های آن باقی بود تا آنكه گواهی‌ كلید عمومی به عنوان پاسخ این مشكل مطرح شد. اولین استاندارد گواهی كلید عمومی در سال 1988 منتشر شد؛ اما هنوز سازندگان نرم‌افزار برای استفادة عملی از این گواهی‌ها به ساختاری نیاز داشتند كه تولید، توزیع و ابطال این گواهی‌ها را پشتیبانی كند. یازده سال بعد استانداردهایی برای انتشار لیست گواهی‌های باطله منتشر شد و مؤلفه‌های دیگر این ساختار شكل گرفتند.

امروزه این زیرساخت را با نام زیرساخت كلید عمومی (PKI) می‌شناسیم. PKI (Public Key Infrastructure) ساختاری است كه با تركیبی از الگوریتم‌های رمزنگاری، نرم‌افزار، سخت‌افزار، سیاست‌های امنیتی و همكاری عوامل انسانی، بستری را برای امن‌سازی مبادلات الكترونیكی فراهم می‌كند. با آنكه مبانی تئوری آن بیش از یك ربع قرن قدمت دارند، اما تنها در چند سال اخیر بروز و توسعة مشهود یافته است، طوری كه در همین چند سال، كاربرد آن در تأمین امنیت اطلاعات الكترونیكی در محیط‌های اداری و مالی، در بسیاری از كشورها رشد چشمگیری داشته است. 

كاربران كامپیوتر برای درك مزایای PKI نیازی به دانستن جزئیات الگوریتم‌ها و مفاهیم پیچیده ندارند و نیازها، ابزارها و رویه‌ها مشخص هستند. آنچه باعث شده استفاده از PKI در كشور به تعویق بیفتد، عمدتاً ناشی از علل غیرفنی است. عدم وجود قوانین لازم و خدمات بیمه‌ای، ناكافی بودن شناخت عمومی و مدیریتی از جایگاه PKI و حتی پاره‌ای مسائل سیاسی نمونه‌های از این علل می‌باشند.

مجموعه كاربردهای PKI در سازمان
تعدد پرسنل و تنوع گروه‌های كاری مختلف در مجموعه‌های بزرگ، لزوم استفاده از یك زیرساخت قابل اعتماد برای امن‌سازی ارتباطات را بهتر نشان می‌دهد. در سیستم‌هایی كه در آنها چندین بخش مجزا با یكدیگر تعامل داده‌ای دارند، بروز ناامنی در هر یك از اجزا می‌تواند منشأ بروز مشكل امنیتی در تمام سیستم باشد. لذا امن‌سازی در یك سیستم بزرگ، باید به صورت یك‌پارچه انجام شود. اصلی‌ترین روش ارتباطی سیستم‌های كاربردی با زیرساخت PKI، گواهی‌های دیجیتال می‌باشند، به طوری كه می‌توان هر سیستمی را كه از این گواهی‌ها استفاده می‌كند، یك سیستم مبتنی بر PKI نامید.

وجود استاندارد برای گواهی‌های دیجیتال باعث شده سیستم‌های مبتنی بر PKI از مقیاس‌پذیری بالایی برخوردار باشند. این سیستم‌ها می‌توانند مستقل از یكدیگر باشند و به نیازهایی مانند عدم انكار، هویت‌شناسی، تضمین صحت داده‌ها و محرمانگی پاسخ دهند. در صورت بروز هر اشكال امنیتی در سیستم، مركز گواهی سازمان می‌تواند گواهی‌های دیجیتال را باطل كند. از آنجایی كه PKI یك بستر امن‌سازی است، حوزه‌های كاربرد آن محدود نیست.

هر نوع داده یا مبادلة الكترونیكی مطرح در حوزة عملیات خصوصی و غیر خصوصی كه تهدید امنیتی در مورد آن مطرح باشد، جز مواردی است كه می‌توان از PKI برای امن‌سازی آن بهره گرفت. در حال حاضر بیشتر نرم‌افزارها و تجهیزات شبكه‌ای با قابلیت استفاده از گواهی‌های دیجیتال برای امن‌سازی كانال‌های ارتباطی، احراز هویت مبدا، حفظ محرمانگی و جامعیت داده‌های الكترونیكی، ساخته می‌شوند. موارد زیر نمونه­هایی از موارد پر كاربرد زیر ساخت كلید عمومی در سازمان­ها می­باشند.

● مدیریت كلیدهای رمزنگاری: برای رمزنگاری روش‌‌های بسیاری وجود دارد. در اغلب این روش‌‌ها كلیدهای رمز به وفور استفاده می‌شوند و ملاحظات امنیتی بسیاری در چگونگی تولید، نگهداری، انتقال و استفاده از آن‌ها مطرح است. مهم‌ترین كاربرد PKI ارائه یك سیستم استاندارد، برای مدیریت این كلیدها در قالب مركز گواهی دیجیتال می‌باشد.

● امن­سازی كانال­های ارتباطی توسط پروتكل SSL/TLS: قرارداد TCP/IP هیچ‌گونه امنیتی برای داده‌ها ایجاد نمی‌كند و اطلاعات HTTP یا دیگر داده‌ها به صورت ناامن روی شبكه منتقل می‌شوند و  قابل شنود یا تغییر توسط مهاجمین می‌باشند. برای تأمین امنیت در وب از روش‌های متفاوتی می‌توان استفاده كرد. تاكنون قراردادهای ارتباطی امن زیادی پیاده‌سازی شده‌اند، اما هنوز یك استاندارد كامل برای ایجاد امنیت در وب تهیه نشده است. با وجود این، در رقابت میان استانداردهای موجود، قرارداد SSL/TLS تقریباً توانسته است پیروز شود و به عنوان یك قرارداد ارتباطی امن غالب مطرح شود. 

امروزه این قرارداد در اكثر مرورگرها و كارگزارها پشتیبانی می‌شود. سایت‌هایی كه اطلاعات مهم محرمانه با كاربران خود مبادله می‌كنند (مانند كلمات عبور یا اطلاعات خصوصی)، مطلقاً نباید با استفاده از قرارداد ناامن HTTP این كار را انجام دهند. نسخة امن‌شدة این قرارداد، به نام HTTPS، پركاربردترین قراردادی است كه در پیاده‌سازی این وب‌سایت‌ها به كار می‌رود و مبتنی بر رمزنگاری كلید عمومی كار می‌كند. از گواهی‌های TLS/SSL برای امن‌سازی كانال ارتباطی بین سرویس‌گیرنده وب و سرویس‌دهنده وب (قرار داد HTTPS)، سرویس‌گیرنده و سرویس‌دهنده پست الكترونیكی، سرویس‌گیرنده و سرویس‌دهنده فایل (FTPS) و كارگزار پایگاه داده و سرویس گیرنده‌ها استفاده می‌شود. با توجه به فراگیر بودن سرویس‌های فوق، مدیریت (مدیریت گواهی به صدور، نگهداری، ابطال و بازیابی گواهی و كلید اطلاق می‌شود ) گواهی‌های TLS/SSL امری ضروری می‌نماید.

● امنیت ارتباطات بی‌سیم: پروتكل دیگری كه از امكان به‌كارگیری گواهی‌های TLS برخوردار است و به نوعی از كاربردهای PKI در شبكه‌های بی‌سیم و با سیم محسوب می‌شود، پروتكل EAP TLS TTLS است كه با عنوان( dot1x 802.1x) نیز خوانده می‌شود. از این پروتكل به منظور احراز هویت در لایه‌های پایین (Datalink) شبكه استفاده می­گردد و سپس در صورت نیاز برای رمزنگاری از استاندارد 802.11i استفاده می­شود.

● امن‌سازی كاربردهای تحت وب: این قسمت شامل امن‌سازی خدماتی است كه در آنها كاربران مستقیماً از طریق وب به اطلاعات دسترسی پیدا می‌كنند. با استفاده ازسرویس­های رمزنگاری و مدیریت كلید كه توسط PKI ارائه می­شوند، می‌توان خدمات تحت وب را با ضریب امنیتی بالاتر و در سطح گسترده‌تری ارائه كرد.

● امن‌سازی پست الكترونیكی: با استفاده از PKI، می‌توان سرویس‌های رمزنگاری و امضای دیجیتال را برای پست الكترونیكی كاربران فعال كرد. قرارداد مورد استفاده در پست الكترونیكی امن S/MIME می‌باشد كه توسط اكثر نرم‌افزارهای معتبر پشتیبانی می‌گردد (قراردادهای دیگر مانند PGP به‌دلیل ضعف در مدیریت كلیدها و در نظر نگرفتن مفاهیم PKI توصیه نمی‌شوند). امضای دیجیتال نامه‌ها و رمزنگاری آن‌ها برای چندین گیرنده توسط این قرارداد پشتیبانی می‌شود و می‌توان ادعا كرد كه كلیه نیازمند‌یهای موجود برای ارسال و دریافت بسته‌های اطلاعاتی امن از طریق Email در این قرارداد پیش‌بینی شده‌اند.

معمولاً از گواهی دیجیتال برای رمزگذاری و كلید خصوصی برای رمزگشایی نامه، همچنین از كلید خصوصی برای امضا و گواهی دیجیتال برای بررسی صحت امضا استفاده می‌شود. در صورت استفاده صحیح از امكانات فراهم آمده در زیرساخت كلید عمومی، می‌توان از این قرارداد برای ارسال داده‌هایی با درجه امنیتی بالا روی شبكه از طریق پست الكترونیكی استفاده كرد. در حالت مطلوب نگهداری كلید خصوصی روی توكن‌های هوشمند است و ریسك استفاده از این قرارداد را به میزان قابل توجهی كاهش می‌دهد.

● امن‌سازی برنامه اتوماسیون اداری: برنامه‌های اتوماسیون اداری نقش مهمی را در كارآیی و بهینه سازی فرآیندهای مجموعه ایفا می‌كنند. عموماً محرمانگی و صحت داده‌ها در این سیستم‌ها از اهمیت به‌سزایی برخوردار است. این امن­سازی می­تواند مبتنی بر PKI انجام شود.

● امن‌سازی برنامه‌های كاربردی خاص: برنامه‌های كاربردی دیگر نیز مستعد استفاده از سرویس‌های PKI می‌باشند. با دیدی بلند مدت می‌توان پیش‌بینی كرد كه اكثر نرم­افزارها می‌توانند از این خدمات بهره‌مند شده و از امنیت قابل قبولی برخوردار شوند.

● امنیت پایگاه‌داده‌ها: بانك‌های اطلاعاتی، مؤلفه‌های حساسی در استانداردهای امنیتی تلقی می‌شوند. با وجود یك ساختار PKI در سازمان، می‌توان طرح‌های متنوعی را برای امن‌سازی اطلاعات درون پایگاه‌داده‌ها پیاده‌سازی نمود. از جمله رمزنگاری ركوردهای خاصی از اطلاعات محرمانة درون پایگاه داده و امن‌سازی كانال‌های ارتباط با پایگاه‌داده.

● امكان ورود به سیستم عامل و شبكه:  حضور كارگزارهای مبتنی بر سیستم‌عامل ویندوز و اهمیت هویت‌شناسی كاربران در این میان، نیاز به بالا بردن امنیت روش‌های موجود ورود به سیستم را مطرح می‌كند. در حال حاضر استفاده از توكن‌های امنیتی یا كارت‌های هوشمند به همراه گواهی دیجیتال برای هویت شناسی كاربران، توسط كارگزار‌های دامنه ویندوز پشتیبانی می‌شود. حضور مركزگواهی و توزیع‌‌كننده لیست گواهی‌های باطله برای استفاده از این سرویس امنیتی امری ضروری است.

● امنیت مستندات: با استفاده از خدماتی كه برخی از نرم‌افزارها از قبیل Microsoft office و Adobe Acrobat می‌دهند، می‌توان امن‌سازی مستندات را در سازمان، با امضاهای دیجیتال یا خدمات رمزنگاری مبتنی بر PKI سامان‌دهی كرد.

● امنیت كد: برای تضمین بی خطر بودن برنامه‌های اجرایی، می‌توان از امضای دیجیتال استفاده كرد. از جمله می‌توان به گواهی‌های Code Signing اشاره كرد كه هم‌اكنون برای امضای اپلت‌های جاوا، اسكریپت‌های VB، درایورهای سخت‌افزار استفاده می‌شوند.

● امن‌سازی خدماتی كه سازمان بر روی بستر ارتباطات سیار (SMS و MMS) ارائه می‌كند یا در آینده ارائه خواهد داد.

● كنترل دسترسی و طبقه‌بندی اطلاعات:  این كار با صدور گواهی‌های دیجیتال با درجه اعتبار متفاوت برای كاربردهای مختلف انجام می‌شود.

● شبكه‌های VPN: شبكه‌های خصوصی مجازی با استفاده از رمزنگاری اطلاعات روی شبكه‌های عمومی ایجاد می‌شوند و گواهی‌های دیجیتال در ایجاد بسیاری از این شبكه‌ها كاربرد دارند. در حال حاضر تجهیزات شبكه از قرارداد SCEP برای ارتباط با مركز گواهی برای دریافت و تجدید گواهی استفاده می‌كنند. بهره‌گیری از این روش یكی از نیازهای اساسی در شبكه‌های بزرگ با تعداد زیادی از تجهیزات شبكه‌ای است و مركز گواهی در این میان نقش اساسی در مدیریت كلیدها (دریافت درخواست، صدور و ارسال گواهی از طریق SCEP) را بر عهده دارد.

● هویت‌شناسی: هویت‌شناسی كاربرد وسیعی دارد؛ هم دروازه‌های فیزیكی (درب‌های اماكن حساس) و هم سرویس‌های الكترونیكی (مانند صندوق‌های پستی ...) به هویت‌شناسی نیاز دارند. امروزه PKI در روش‌‌های امن احراز هویت نقش مهمی دارد و به اندازة هویت‌شناسی بیومتریك به آن اهمیت داده می‌شود.

● رمزكردن اطلاعات مهم بر روی كامپیوتر شخصی و شبكه‌ای

● نگهداری گذرواژه‌های مهم روی سخت‌افزارهای امنیتی (USB Security Tokens)

● بررسی جامعیت برنامه‌های كاربردی و تولید گواهی ویژه برای آنها

ارتباط سیستم‌های كاربردی با زیرساخت كلید عمومی چنان كه بیان شد، امن‌سازی با PKI مستلزم استفاده از روش‌‌های پیچیدة رمزنگاری است. سیستم‌های مبتنی بر PKI داده‌های حساسی به نام كلیدهای رمزنگاری را در بستر PKI مبادله می‌كنند. برای مثال هنگام هویت‌شناسی، یا تولید امضای دیجیتال یا رمزگشایی اطلاعات رمز شده، این كلیدها مورد استفاده قرار می‌گیرند.

كلیدهای رمزنگاری حساس‌ترین داده‌های موجود در یك سیستم امنیتی، تلقی می‌شوند. در اغلب موارد این كلیدها باید قابل حمل به وسیلة افراد باشند و استفاده از آنها نیز برای كاربر باید ساده باشد. این مسأله احتمال خطراتی مانند سرقت یا مفقود شدن و نابود شدن این كلیدها را بالا می‌برد. از هر نوع رسانة دیجیتال می‌توان برای نگهداری كلیدهای رمزنگاری استفاده كرد (مانند دیسك نرم، CD Flash RAM، كارت‌های مغناطیسی و امثال آن‌ها)، اما سطح امنیت این رسانه‌ها متفاوت است. استفاده از رسانه‌های خاص این كار، مانند كارت‌های هوشمند و توكن‌های امنیتی سخت‌افزاری (USB Security Tokens) بهترین راه حل موجود برای تأمین امنیت كلیدهای رمزنگاری است. این دستگاه‌ها از حفاظت فیزیكی بالایی در برابر حملات دسترسی به كلید برخوردارند و همانند یك ریزكامپیوتر مخصوص رمزنگاری عمل می‌كنند. 

توكن‌های سخت‌افزاری به عنوان نسل جدیدی از سخت‌افزارهای امنیتی شناخته می گردند كه مزایا و قابلیت‌های كلی سخت‌افزارهای امنیتی را با به حداقل رساندن معایب استفاده از آنها در اختیار كاربران عادی سیستم‌های اطلاعاتی قرار می دهند. توكن‌های سخت‌افزاری امروزه مشكل هزینه و قیمت بالای سخت‌افزارهای امنیتی را حل نموده و رفته رفته به وسایلی فراگیر تبدیل می‌گردند. در این میان كارت‌های هوشمند و به‌ویژه توكن‌های هوشمندی كه از طریق پورت USB كار می‌كنند با استقبال فراوان كاربران در نقاط مختلف دنیا مواجه گردیده‌اند. برای استفاده از این توكن‌ها، برخلاف كارت‌های هوشمند، نیازی به دستگاه كارت‌خوان مجزا وجود ندارد.

در اغلب كاربردهای مبتنی بر PKI، هر یك از كاربران سیستم كه برای او یك گواهی دیجیتال صادر می‌شود،‌ می‌تواند از توكن USB، برای نگهداری كلیدهای رمز و انجام عملیات رمزنگاری توسط آن­ها استفاده كند. این دستگاه كوچك، امن و قابل حمل می‌تواند با یك یا چند كلمة عبور حفاظت شود طوری كه تنها با حضور شخص و با اجازه وی بتوان از آن استفاده كرد. شكل1 نمونه‌ای از توكن‌های USB را نشان می‌دهد.

این محصولات دارای مدل‌های مختلف و سطوح امنیت متفاوتی می‌باشند. 
برای هر كاربری كه به تشخیص مدیریت ملزوم به استفاده از این دستگاه­ها باشد، یك توكن USB به صورت خاصی آماده (شخصی‌سازی) می‌گردد و كلیدهای رمزنگاری و گواهی‌های دیجیتال در آن قرار داده می‌شوند (در مواردی كلیدها توسط خود توكن تولید می­شوند). چنان كه اشاره شد، گواهی‌ دیجیتال و كلیدهای رمزنگاری كاربران معمولی، به شكل فایل‌های رمزدار به آنها تحویل داده می‌شود.