هویتا - معرفی اجزای زیرساخت کلید عمومی PKI - قسمت سوم

معرفی اجزای زیرساخت کلید عمومی PKI - قسمت سوم

در ادامه ی معرفی اجزای زیرساخت کلید عمومی PKI به توضیح رمزنگاری RSA، ماژول های رمزنگاری و گواهی های الکترونیکی باطل شده پرداختیم. همچنین ذکر کردیم که اساسا این رمزنگاری به چه صورتی است. در انتهای این خبر می توانید دلایل ابطال گواهی الکترونیکی را مطالعه کنید.

رمزنگاری RSA
رمزنگاری RSA شیوه ای برای رمزنگاری به روش کلید عمومی است. این روش، نخستین روش مورد اعتماد در بین روش های رمزنگاری دیگر است و یکی از بزرگترین پیشرفت ها در زمینه‌ی رمزنگاری به ‌حساب می آید. RSA همچنان به صورت گسترده ای در تبادلات الکترونیکی استفاده می‌شود و در صورت استفاده درست با کلیدهای طولانی کاملاً امن به نظر می رسد.
RSA به‌طورکلی از دو کلید عمومی و کلید خصوصی تشکیل می‌شود. کلید، عددی ثابت است که در محاسبات رمزنگاری استفاده می‌شود. کلید عمومی‌برای همه معلوم بوده و برای رمزگذاری پیام استفاده می‌شود. این پیام فقط توسط کلید خصوصی باز می‌شود. به بیان‌دیگر همه می توانند یک پیام را رمز کنند اما فقط صاحب کلید خصوصی می تواند پیام را باز کند و بخواند.
هرچند از لحاظ ریاضی کلیدهای عمومی و خصوصی با یکدیگر ارتباط دارند اما تقریباً محال است که کسی بتواند حتی با تجهیزات پیشرفته و صرف وقت زیاد با داشتن یکی از کلیدها، دیگری را تشخیص دهد. درواقع می توان گفت که با توجه به سطح دانش کنونی و سامانه‌های رایانه ای موجود، الگوریتم رمزنگاری و ارتباط میان کلیدها تقریباً غیرقابل شکستن است.
RSA مبتنی بر توان رسانی پیمانه ای است و از اعداد طبیعی خیلی بزرگ استفاده می‌کند. مستندات RSA تحت عنوانPKCS#1 استاندارد شده اند. استاندارد PKCS دارای پانزده نوع مختلف است که هر کدام مختص یک استاندارد در بخشی خاص است. در جدول زیر این انواع ذکر شده است:

استاندارد نام توضیحات
PKCS#1 استاندارد رمزنگاری RSA در این استاندارد ویژگی‌ها و فرمت کلیدهای عمومی و خصوصی RSA، الگوریتم پایه و شماهای encoding/pading برای رمزگذاری، رمزگشایی و تائید امضا براساس RSA شرح داده‌شده است.
PKCS#2 -- این استاندارد از سال 2010 دیگر فعال نیست و با استاندارد PKCS#1 ادغام شده است. 
PKCS#3 استاندارد موافقت‌نامه استفاده از کلید Diffie – Hellman در این استاندارد فرآیند تبادل امن کلید بین طرفین در حالتی که شناختی نسبت به هم ندارند، بر مبنای الگوریتم Diffie – Hellman شرح داده شده است. 
PKCS#4 ---  این استاندارد از سال 2010 دیگر فعال نیست و با استاندارد PKCS#1 ادغام شده است.
PKCS#5 استاندارد رمزگذاری مبتنی بر رمز عبور

در این استاندارد فرآیند استخراج کلید به صورت امن (جلوگیری از حمله Brute-Force) و با هزینه کمتر شرح داده شده است.

PKCS#6

استاندارد فرمت تمدید گواهی الکترونیکی

در این استاندارد مشخصات Extention های گواهی الکتزونیکی X509 نسخه 1 شرح داده می‌شود (که به نسبت نسخه 3 مشابه، منسوخ شده است)
PKCS#7 استاندارد فرمت پیغام رمزنگاری در این استاندارد فرمت امضا و رمزگذاری پیام ها تشریح شده است. لازم به ذکر است نسخه به روز شده این استاندارد CMS است.
PKCS#8 استاندارد فرمت اطلاعات کلید خصوصی در این استاندارد فرمت بسته بندی کلید خصوصی (به صورت رمز شده یا رمز نشده) بیان شده است.
PKCS#9 انتخاب انواع ویژگی در این استاندارد مشخصات فیلدهای مشترکی که در Extention های گواهی الکتزونیکی از استاندارد PKCS#6، پیام امضای دیجیتال در PKCS#7، اطلاعات کلید خصوصی در استاندارد PKCS#8 و درخواست امضای گواهی الکتزونیکی در استاندارد PKCS#10 بیان شده است.
PKCS#10 استاندارد درخواست گواهی الکترونیکی در این استاندارد فرمت پیام های ارسالی به مراکز CA برای درخواست گواهی الکتزونیکی کلید عمومی تشریح شده است.
PKCS#11 واسط ارتباط با توکن امضای دیجیتال رمزنگاری در این استاندارد که به نام "Cryptoki" شناخته می‌شود، API ارتباط با توکن‌های امضای دیجیتال رمزنگاری تعریف شده است.
PKCS#12 استاندارد فرمت تبادل اطلاعات شخصی در این استاندارد فرمت یک فایل حاوی کلید خصوصی و گواهی الکتزونیکی کلید عمومی مربوطه حفاظت شده توسط یک کلید متقارن مبتنی بر رمز عبور بیان می‌گردد. لازم به ذکر است pfx پسوند این فایل است.
PKCS#13 استاندارد رمزنگاری منحنی بیضوی یا ECC این استاندارد در سال 1998 از دسترس خارج شده است.
PKCS#14 مدت‌زمان ایجاد شماره تصادفی کاذب این استاندارد از دسترس خارج شده است.
PKCS#15 استاندارد فرمت اطلاعات توکن امضای دیجیتال رمزنگاری

در این استاندارد ساختار فایل سیستمِ داخل توکن‌های امضای دیجیتال رمزنگاری تشریح شده است.

ماژول ‌های رمزنگاری سخت‌ افزاری
ماژول های رمزنگاری سخت افزاری جهت تولید و نگهداری امن کلید، و انجام الگوریتم های رمزنگاری امضای دیجیتال به‌صورت On-Board بر روی تراشه سخت افزاری، استفاده می‌گردند. با توجه به حجم تراکنش انجام شده و سرعت و کارایی موردنظر، می توان از توکن امضای دیجیتال، کارت هوشمند، یا HSM به عنوان مؤلفه سخت افزاری استفاده نمود.
توکن امضای دیجیتال: یک رسانه الکترونیکی قابل حمل جهت نگهداری ایمن زوج کلید رمزنگاری (کلید عمومی و کلید خصوصی) و مقادیر مربوط به شناسایی و انجام محاسبات مرتبط به آن‌ها (به‌عنوان مثال عملیات رمزنگاری مختلف) می‌باشد. همچنین از این وسیله می توان برای اعمال کنترل دسترسی استفاده کرد.
• HSM: نوعی ماژول سخت افزاری امن که از طریق واسط های نرم افزاری، امکان نگهداری امن کلیدهای رمزنگاری و اجرای ایمن مکانیزم های رمزنگاری را با کارایی مطلوب فراهم می ‌آورد.HSM با توجه به تراشه و ابعاد سخت افزار مورداستفاده در آن، نسبت به توکن امضای دیجیتال سخت افزاری و کارت هوشمند سرعت و کارایی بالاتری داشته و برای سامانه‌هایی با تراکنش های بالا (مانند سامانه صدور گواهی الکترونیکی) که کارایی و سرعت، جزء مؤلفه حیاتی در آن‌ها محسوب می‌شوند، مناسب می‌باشد. در مقابل توکن توکن امضای دیجیتال سخت افزاری و کارت هوشمند با توجه به حجم و ابعاد کوچکتر سخت افزار، و قابل‌حمل بودن، برای کاربران سامانه‌های مجهز به زیرساخت کلید عمومی مناسب می‌باشد.


لیست گواهی ‌های الکترونیکی باطل ‌شده
لیست گواهی‌های الکترونیکی باطل شده (CRL) ، فهرستی از گواهی‌های الکترونیکی صادرشده به ‌وسیله یک مرکز صدور گواهی الکترونیکی (CA) است که هنوز اعتبار آن‌ها منقضی نشده است، اما به دلایل مشخص از سوی آن مرکز ابطال شده و فاقد اعتبار هستند. گواهی الکترونیکی ممکن است به دلایل مختلفی باطل شوند به‌عنوان نمونه، لزوم ایجاد تغییر در اطلاعات درون یک گواهی الکترونیکی یا در معرض افشا قرار گرفتن کلید خصوصی مرتبط با کلید عمومی یک گواهی الکترونیکی، از دلایل ابطال یک گواهی الکترونیکی به شمار می روند. لیست گواهی‌های الکترونیکی باطل شده، به صورتی که در سند دستورالعمل اجرایی (CPS) مربوطه مشخص شده است، به‌صورت دوره ای منتشر می‌گردد و قبل از انتشار، توسط مرکز صدور گواهی الکترونیکی (CA) مربوطه، به‌صورت الکترونیکی امضا می‌شوند.
CRL شامل «شماره سریال کلیه گواهی الکترونیکی‌هایی که باطل شده‌اند + دلیل ابطال گواهی الکترونیکی + تاریخ ابطال گواهی الکترونیکی» می‌باشد.


دلایل ابطال گواهی الکترونیکی
• Unspecified : دلیل نامشخص
• Key_Compromise : افشای کلید مالک گواهی الکترونیکی
• CA_Compromise : افشای کلید مرکز صدور گواهی الکترونیکی
• Affiliation_Changed : تغییر اطلاعات دارنده گواهی الکترونیکی 
• Superseded : لغو گواهی به دلایلی به جزء افشای کلید، مانند خرابی توکن امضای دیجیتال و ...
• Cessation_of_Opration : توقف عملیات
• Certificate Hold : گواهی الکترونیکی تعلیق شده است. این مورد، تنها موردی است که امکان بازگشت دارد.
• privilege_Withdraw : تغییر امتیاز حق استفاده از گواهی الکترونیکی 
• AA_Compromise : افشای کلید خصوصی Attribute Authority

۱۳۹۹/۰۴/۱۰- ۱۳:۳۱