هویتا - معرفی اجزای زیرساخت کلید عمومی PKI - قسمت اول

معرفی اجزای زیرساخت کلید عمومی PKI - قسمت اول

در این خبر و دو خبر بعدی، به معرفی اجزای زیرساخت کلید عمومی PKI می پردازیم. در این بخش، سند سیاست‌ های گواهی الکترونیکی و سند دستورالعمل اجرایی گواهی الکترونیکی را شرح کرده ایم. همچنین می توانید کاربردهای گواهی الکترونیکی برای طرف اعتمادکننده را مطالعه کنید.

صاحب گواهی الکترونیکی
صاحب گواهی الکترونیکی، موجودیتی است که نامش به عنوان دارنده گواهی الکترونیکی (Subject)، در یک گواهی الکترونیکی ذکر می‌شود. به هنگام پذیرش یک گواهی الکترونیکی توسط صاحب آن گواهی الکترونیکی، در حقیقت وی تصدیق می‌کند که از کلید خصوصی مرتبط با کلید عمومی موجود در گواهی الکترونیکی که منطبق با الزامات CP مربوطه می‌باشد، استفاده کند. به عبارت دیگر با پذیرش گواهی الکترونیکی، درواقع وی می‌پذیرد که کلید خصوصی مرتبط با کلید عمومی موجود در گواهی الکترونیکی صرفاً تحت اختیار وی می‌باشد. صاحبان گواهی الکترونیکی می توانند یک شخص، یک سازمان، کارمندان یک سازمان، و یا موجودیت ها (اشیا) مثل سوئیچ ها، فایروال ها یا اجزای زیرساختی، دستگاه‌ های الکترونیکی، سرویس دهنده مورد اعتماد و غیره باشد که به ‌صورت تکی یا در یک سامانه یا شبکه مورداستفاده قرار می‌گیرند.

طرف‌ اعتماد کننده
طرف اعتماد کننده موجودیتی است که از گواهی الکترونیکی در موارد زیر استفاده می‌کند:
• تشخیص هویت موجودیت ایجادکننده اطلاعاتی که به صورت دیجیتالی امضا شده است.
• بررسی یکپارچگی و دست‌ نخورده بودن اطلاعاتی که به صورت دیجیتالی امضا شده است.
• ایجاد ارتباط محرمانه با صاحب یک گواهی الکگترونیکی از طریق اعتماد به صحت اعتبارِ مربوط بودن نام صاحب آن گواهی الکترونیکی به کلید عمومی موجود در آن گواهی الکترونیکی
طرف اعتماد کننده ممکن است خود نیز صاحب گواهی الکترونیکی باشد. به‌عنوان‌ مثال، اگر شخصی یک پیام از طریق پست الکترونیکی به‌ صورت امضاشده و رمزشده، ارسال نماید، آن شخص در نقش صاحب گواهی الکترونیکی از کلید خصوصی خود جهت امضا نمودن پیام استفاده کرده است و درعین حال در نقش طرح اعتماد کننده، به گواهی الکترونیکی گیرنده پیام اعتماد نموده و از کلید عمومی موجود در گواهی الکترونیکی وی جهت رمز نمودن پیام مورداشاره استفاده کرده است.
طرف اعتماد کننده ملزم است از گواهی الکترونیکی صرفاً برای منظوری که در گواهی الکترونیکی درج شده است و آن‌طور که در CP مربوطه توضیح داده شده است، استفاده نماید. همچنین طرف اعتماد کننده می‌بایست صحت اعتبار گواهی الکترونیکی را پیش از اعتماد به CA صادرکننده آن ازنظر اینکه زمان اعتبار گواهی الکترونیکی به اتمام نرسیده باشد و گواهی الکترویکی موردنظر، ابطال نشده باشد، کنترل نماید.

سند سیاست‌ های گواهی الکترونیکی
سیاست‌ های گواهی الکترونیکی (CP) سندی است شامل مجموعه ای از قوانین که کاربردپذیری گواهی‌های الکترونیکی برای مجموعه ای مشخص یا سطح کلاسی معین با ملزومات امنیتی خاص را تبیین می‌کند. این سند ممکن است توسط طرف اعتماد کننده، به‌ منظور کمک به تصمیم گیری وی در خصوص کفایت قابلیت اعتماد یک کلید عمومی متعلق به یکی صاحب گواهی الکترونیکی در یک کاربرد خاص، مورداستفاده قرارگیری. CPها شرایط لازم برای احراز هویت مراکز صدور گواهی الکترونیکی (CAها)، نیازمندی‌های امن کردن PKI و چگونگی تولید و ذخیره کلیدها را تشریح می‌ کنند. به‌عنوان نمونه، یک CP ممکن است کاربردپذیری یک نوع گواهی الکترونیکی دارای سطح اطمینان مشخص، برای تصدیق هویت طرف های درگیر در تراکنش بنگاه با بنگاه (B2B) جهت تجارت کالاها یا خدمات در یک رنج قیمت مشخص را تشریح نماید.


سند دستورالعمل اجرایی گواهی الکترونیکی
دستورالعمل اجرایی گواهی الکترونیکی (CPS) ، رویه‌های اجرایی هستند که یک مرکز صدور گواهی الکترونیکی (CA) به کار می‌گیرد تا بر فعالیت های صدور، مدیریت، ابطال، تجدید یا تولید مجدد کلید گواهی الکترونیکی مطابق با یک سند سیاست گواهی الکترونیکی خاص (CP)، کنترل داشته باشد. دستورالعمل اجرایی ای، الزامات کلیدی را که برای شناسایی مالک کلید خصوصی، می‌بایست پیش از ایجاد یک گواهی الکترونیکی برآورده شوند، مشخص می‌کند. گزینه ‌های متعددی در خصوص میزان شدت عمل این الزامات وجود دارد. مرکز صدور گواهی الکترونیکی (CA)، این رویه ‌ها را به هنگام صدور گواهی ‌های الکترونیکی و مشخص کردن حقوق قانونی و تعهدات صاحب گواهی الکترونیکی و طرف اعتماد کننده به کار می‌گیرد. دستورالعمل‌ های اجرایی، همچنین ممکن است الزامات خاص دیگر موجودیت ها در درون زیرساخت کلید عمومی‌برای اجرای سایر نقش ‌های قابل‌اعتماد را تعریف کند. معمولاً سند دستورالعمل ‌های اجرایی گواهی الکترونیکی در راستای مطابقت و همسویی با سند سیاست‌ های گواهی الکترونیکی (CP) مرتبط، به‌صورت دوره ای بازنگری می‌شوند.


گواهی الکترونیکی
گواهی الکترونیکی، سندی است که توسط یک مرکز مورد اعتماد برای هر فرد صادر می‌شود (پس از یکبار مراجعه حضوری و شناسایی) و هویت دارنده یک کلید عمومی را گواهی الکترونیکی می ‌کند. گواهی الکترونیکی، کارت شناسایی فرد در فضای مجازی است. این گواهی الکترونیکی، برای همه ‌کسانی که به مرکز صدور آن اعتماد دارند، معتبر خواهد بود. (کلید عمومی در گواهی الکترونیکی قرار دارد). برای بررسی صحت امضای یک پیام، کلید عمومی صادرکننده پیام موردنیاز است.


امضای دیجیتال
امضای دیجیتال مکانیزمی است که به یک پیام در فضای تبادل اطلاعات اعتبار می‌ بخشد. امضای دیجیتال با به کارگیری یک الگوریتم ریاضی، که از دید کاربر پنهان است، موارد زیر را در مورد یک پیام تضمین می‌کند:
• تمامیت (دستکاری نشدن) پیام: گیرنده یک پیام باید اطمینان داشته باشد که پیام بدون هیچ تغییری، توسط فرستنده ارسال شده است.
• احراز هویت: هر فرد همان کسی است که ادعا می‌کند. هر پیام واقعاً توسط کسی ارسال شده است که ادعا می‌شود فرستنده پیام است.
• انکارناپذیری: کسی که پیامی را ارسال کرده یا صحت پیامی را تائید کرده است، در آینده نتواند ارسال کردن یا تائید کردن پیام را انکار کند.
امضای دیجیتال در بسیاری از کشورها ازجمله ایران، ازلحاظ قانونی پشتیبانی می‌شود. قانون تجارت الکترونیکی که در سال 1382 به تصویب مجلس شورای اسلامی رسیده است، مهمترین سندی است که امضای دیجیتال را از نظر قانونی پوشش می ‌دهد. ماده 7 این قانون به‌صراحت بیان می‌ کند «هرگاه قانون وجود امضا را لازم بداند امضای الکترونیکی مکفی است». طبق ماده 10 این قانون، امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد:
الف- نسبت به امضاکننده منحصر به ‌فرد باشد.
ب- هویت امضاکننده را معلوم نماید.
ج- به ‌وسیله امضاکننده و یا تحت اراده انحصاری وی صادرشده باشد.
د- به نحوی به یک پیام متصل شود که هر تغییری در آن پیام قابل‌ تشخیص و کشف باشد.
از طریق امضای دیجیتال، دسترسی افراد به حساب هایشان کنترل می‌شود؛ افراد می‌ توانند اسناد الکترونیکی را امضا کنند؛ برداشت از حساب و انتقال پول با تائید صاحبان حساب خواهد بود؛ و بسیاری کاربردهای دیگر. در همه این‌ها، هم کاربر و هم موجودیتی که به کاربر خدمات ارائه می دهد (بانک ها، مراکز دولتی، سازمان‌ها، فروشندگان و غیره) نسبت به امن بودن فعالیت خود اطمینان می یابند. بنابراین، نه دسترسی‌های غیرمجاز، امنیت کاربر را تهدید می‌کند و نه کاربر می تواند عملیاتی را که انجام داده است، انکار نماید.

۱۳۹۹/۰۳/۲۰- ۱۱:۳۸