|
|
|
| الگوريتم Hash که مرسوم به Message-digest نيز مىباشد در فرآيندهاى ارسال و دريافت امضاء ديجيتال در تجارت الکترونيک مورد استفاده قرار مىگيرد. اين الگوريتم با دريافت پيامى با طول متغير آن را به يک پيام خلاصه با طول ثابت نگاشت مىنمايد. نقطه قوت اين الگوريتم در آن است که امکان نگاشت خلاصه پيام به پيام اوليه ميسر نمىباشد. متداولترين توابع اين الگوريتم عبارتند از:
|
|
| - MD4/MD5 براى RSAهاى ا طول خلاصه شده ۱۲۸ (digest) بيت
|
|
| - SHA1 که توسط دولت آمريکا براى digestهايى با طول ۱۶۰ بيت مورد استفاده قرار مىگيرد.
|
|
|
|
| با استفاده از الگوريتمهاى Hash و تکنولوژى کليد عمومى مىتوان به امضاهاى ديجيتالى دست يافت. يک امضاى ديجيتالى درواقع يک کليد خصوصى رمزشده براساس پيام خلاصهشده است. در سمت گيرنده نيز با استفاده از کليد عمومى امضاء ديجيتالى را رمزگشايى و صحت آن را مورد تأييد قرار مىدهند. RSA و DSS دو استاندارد متداول براى امضاهاى ديجتال مىباشند. RSA از سال ۱۹۹۱ بهعنوان استاندارد بازار مورد استفاده قرار گرفته است درحالى که DSS پيشنهاد انستيتوى ملى تکنولوژى و استانداردها (NIST) مىباشد.
|
|
| توزيع کليدهاى symmetric در شبکه اينترنت
|
|
| در فرآيند رمزنگارى دوطرف فرآيند تجارى در شبکه از کليد مشابهى جهت رمزگذارى و رمزگشايى استفاده مىنمايند. مشکل اصلى در اين روش حصول اطمينان از ارسال اين کليد به طرف گيرنده است که مىبايد ضمانت لازم درخصوص عدم دستيابى و رمزگشايى اين اطلاعات توسط اشخاص غيرمجاز حاصل گردد، که خود عاملى محدودکننده در بکارگيرى سيستمهاى مبتنى بر symmetric key مىباشد زيرا از يک کليد مشترک در دو طرف استفاده مىشود و از اينرو روش بکارگيرى public-key متداولتر است.
|
|
| براى رفع مشکل مذکور الگوريتمهايى موسوم به kerberos مورد استفاده قرار مىگيرند که اين نام از نام يک سگ افسانهاى يونانى که داراى سهسر بوده است اقتباس گرديده است.
|
|
| چگونگى فرآيند بکارگيرى الگوريتم public key و محدوديتهاى آن
|
|
| اين روش بهمنظور ارسال مطمئن پيامها در اينترنت از روش public key استفاده مىشود. در اين روش ابتدا ارسال کننده پيام، پيام را با کليد عمومى دريافت کننده رمزگذارى کرده و از سوى ديگر دريافت کننده، پيام را با کليد خصوصى خود رمزگشايى مىنمايد. اين سيستم پيام را بصورت محرمانه، يکپارچه و همراه با احراز و شناسايى هويت گيرنده تهيه مىنمايد ليکن دو مشکل عمده کارايى و توزيع کليدها بهشرح ذيل درمورد الگوريتم public key وجود دارد.
|
|
| کارايى:
|
| الگوريتمهاى public key حدوداً سهبرابر، کندتر از الگوريتمهاى summetric key مىباشند و براى رفع اين نقصان تغييراتى در رمزنگارى بصورت زير انجام پذيرفته است: |
|
| - فرستنده، پيام را با يک symmetric key که بصورت تصادفى ايجاد مىگردد، رمزگذارى مىنمايد.
|
|
| - اين کليد سپس براساس public key گيرنده رمزگذارى مىشود.
|
|
| - هنگام دريافت، دريافتکننده با استفاده از private key اقدام به رمزگشايى symmetric key مىنمايد.
|
|
| - گيرنده سپس با استفاده از symmetric key اقدام به رمزگشايى پيام مىنمايد.
|
|
| توزيع کليد: |
| ازآنجايى که شبکههاى اينترنت متولى حقوقى خاصى ندارند و بعضاً بلاصاحب است و ارسال دادهها مىتواند توسط افراد غيرمجاز مورد دستبرد قرار گيرد لذا مسئله توزيع کليدها ازجمله دغدغههاى ارسال و دريافت در شبکههاى اينترنت مىباشد. بنابراين نياز به مکانيزمى براى ايجاد public key مىباشد بهنحوى که ضمانت گردد هر کليد عمومى متعلق به يک نام و هر نام معرف يک شخص يا موجوديت حقيقى يا حقوقى مىباشد. |
|
|
|
| گواهينامه (certificate) يک سند تصديق رسمى است که مشخص مىنمايد public key متعلق به يک نام بهعنوان موجوديتى حقيقى يا حقوقى و مستقل مىباشد.
|
|
| certificate يک سند رسمى است زيرا بصورت ديجيتالى بهامضاى يک مؤسسه شناختهشده و معتبر موسوم به certificate authority رسيده است اين گواهى پس از صدور بصورت الکترونيکى براى متقاضى ارسال مىگردد.
|
|
| در حال حاضر مؤسسات بسيارى بهعنوان مراکز CA بهثبت رسيده و فعاليت مىنمايند ازجمله مؤسسه Verisign که تعداد بسيارى سند احراز هويت براى سايتهاى وب، مؤسسات ارائه کنندگان خدمات تجارت الکترونيکى و اشخاص حقيقى و حقوقى ثبت و صادر نموده است.
|
|
| واضح است ازآنجايى که امضاى اشخاص محرمانه نيست لذا ارسال گواهى صادره از يک مرکز CA نيز نيازى به امنيت ندارد چراکه مشخصات و هويت افراد يا مؤسسات حقوقى قبلاً طى تشريفات رسمى در مراکز CA بهثبت رسيده است. لذا هرکس مىتواند public key خود را در شبکه توزيع نمايد. و جهت خواندن سندى که بصورت ديجيتالى امضاء شده است نياز به يک public key صادرشده توسط CA مىباشد.
|
|
| يک سند certificate مانند کارتهاى اعتبارى داراى يک مدت اعتبار مشخص و معين مىباشد و مىتواند قبل از انقضاى تاريخ اعتبار در ليست اسناد لغوشده (يا غير معتبر) قرار گيرد. هر مؤسسه CA ليستى از گواهىهاى غيرمعتبر خود که روزآمد و موسوم به CRL-Certificate Revocation Lists مىباشد را متناوباً تهيه مىنمايد. اين فهرست حاوى شماره سريال گواهىهايى است که عليرغم عدم انقضاى تاريخ بهدلايل مختلف غيرمعتبر گرديدهاند. اسناد و گواهىها (Certificates) در تجارت الکترونيک از استانداردهاى مصوبه ايزو تحت عنوان W509V3 پيروى مىنمايد.
|
