زیرساختارهای امنیتی مدرن برای مبادلات در شبكه اینترنت

استفاده از رایانه امروزه جزو كارهای روزمره بسیاری از افراد قرار گرفته و در كشورهای پیشرفته, سیستم های رایانه ای جزو لاینفك زندگی افراد جامعه می باشند در كشورهای در حال توسعه از جمله ایران, فرهنگ استفاده از رایانه با سرعت زیادی در حالت شكل گیری است و پیش بینی می شود كه در آینده ی نه چندان دور, شاهد همه گیر شدن استفاده از رایانه در ایران باشیم

دكتر شهرام بختیاری، استادیار پژوهشكده الكترونیك دانشگاه صنعتی شریف در یك مقاله‌علمی، زیرساختارهای امنیتی مدرن برای مبادلات در شكبه اینترنت را مورد بررسی قرار داده است.

در این مقاله آمده است:

استفاده از رایانه امروزه جزو كارهای روزمره بسیاری از افراد قرار گرفته و در كشورهای پیشرفته، سیستم‌های رایانه‌ای جزو لاینفك زندگی افراد جامعه می‌باشند. در كشورهای در حال توسعه از جمله ایران، فرهنگ استفاده از رایانه با سرعت زیادی در حالت شكل‌گیری است و پیش‌بینی می‌شود كه در آینده‌ی نه‌چندان دور، شاهد همه‌گیر شدن استفاده از رایانه در ایران باشیم.

در عصر كنونی استفاده از رایانه به تنهایی قابلیت زیادی را برای كاربران فراهم نمی‌كند بلكه عمدتا رایانه‌ها از طریق خطوط تلفنی ( dial-up ) و یا شبكه‌های محلی (lan) به یكدیگر متصل هستند. استقبال جهانی از شبكه اینترنت و وجود ابزار و استانداردهای مختلف، زمینه‌ای را فراهم آورده تا بتوان كاربران را به راحتی با یكدیگر ارتباط داد و منابع و اطلاعات الكترونیكی را درمیان آنها از طریق خطوط شبكه‌ای توزیع نمود. حتی مشاهده می‌شود كه بسیاری از اطلاعات با ارزش از قبیل اطلاعات مالی (خرید و فروش) و یا اطلاعات سری نیز از طریق شكبه اینترنت بین كاربران رد و بدل می‌شوند.

دو مساله مهم كه كاربران شبكه‌های كامپیوتری با آنها دست به گریبانند عبارتند از :

‌١- حفظ حریم خصوصی و محرمانگی: كاربران علاقمند هستند كه كارها و ارتباطات آنها غیر قابل ردیابی توسط دیگران باشد و همچنین پیام‌هایی كه آنها در شبكه می‌فرستند و یا دریافت می‌نمایند، قابل فهم توسط مداخله‌گرانی كه داده‌های رد و بدل شده در مسیر شكبه را شنود می كنند، نباشد.

‌٢- احراز هویت و عدم انكار: كاربران جهت پاره‌ای از مسائل نیاز دارند كه از صحت هویت طرف مقابل، اطمینان حاصل نمایند و مطمئن شوند كه كاربری كه با آن تماس گرفته‌اند واقعا همان فردی است كه انتظارش را داشته‌اند. همچنین در بعضی از مسائل، ارسال كننده‌ی یك پیام نباید بتواند پیامی را كه فرستاده انكار نماید. این ابزار همان امضای معمولی افراد را شبیه سازی می نماید.

رمزنگاری به عنوان یك از روش‌های قابل اعتماد جهت فراهم آوردن سرویس‌های فوق قابل استفاده می‌باشد. كلمه لاتین cryptography به معنی علم نوشتن به رمز می‌باشد. ولی امروز به صورت كلی‌تری جهت فراهم آوردن ابزارهایی كه می‌توانند سرویس‌هایی را برای امنیت اطلاعات و داده‌ها ارائه نمایند، استفاده می‌شود. امروزه رمزنگاری جزو روش‌های الزامی در فراهم نمودن امنیت سیستم‌ها و شبكه‌های كامپیوتری می‌باشد و مانند قدیم، منحصر به سیستم‌های نظامی و بانكی نمی‌شود. در عصر شبكه‌های كامپیوتری، هر فرد می‌تواند از منابع اطلاعاتی خود با استفاده از ابزارهای امنیتی كه عمدتا توسط سیستم‌های رمزنگاری فراهم می‌شوند، محافظت نمایند.

●یستمهای رمزنگاری متقارن و نامتقارن

با وجود اینكه امروزه سیستم‌های رمزنگاری برای كاربردهای مختلفی مورد استفاده قرار می‌گیرند ولی در ابتدا چنین سیستم‌هایی تنها جهت اختفا و به عنوان ابزاری برای به وجود آوردن محرمانگی پیام، طراحی شده بودند. در یك سناریوی كلی می توان فضایی را در نظر گرفت كه در آن، كاربر A قصد ارسال پیام P به كاربر B را دارد.

روش كار بدین ترتیب است كه ابتدا كاربر A ا زالگوریتم E جهت رمز نمودن پیام P استفاده می نماید. الگوریتم‌های رمزنگاری، نیاز به یك كلید رمزنگاری (Ke) دارند تا بتوانند از پیامی مانند P، یك خروجی مانند C تولید نمایند كه با پیچیدگی زیادی وابسته به هر دوی P و Ke باشد. كاربر B كه پیام C را دریافت می‌كند با استفاده از الگوریتم رمزگشایی D و با استفاده از كلید رمزگشایی (Kd) اقدامه به بازنمودن پیام C می‌نماید و نتیجه، پیام P خواهد بود.

فرق اساسی میان سیستم‌های رمزنگاری متقارن و نامتقارن این است كه در سیستم‌های رمزنگاری متقارن Kd یا مساوی Ke است و یا به راحتی از آن استنتاج می شود. در نتیجه كافی است هر دو كاربر A و B، كلید Ke را بدانند تا بتوانند پیام‌هایشان را توسط آن رمز نموده و سپس رمزگشایی نمایند. با توجه به اینكه Ke تنها برای A و B شناخته شده است لذا وقتی كاربر B پیام را باز می‌كند، مطمئن می‌شود كه پیام فوق از طرف A است (خاصیت احراز هویت) . با این وجود A به راحتی می‌تواند ارسال پیام فوق را انكار نماید زیرا B نیز می‌تواند چنان پیامی را به همان شكل، رمز نماید.

در سیستم‌های رمزنگاری نامتقارن، كلیدی‌های رمزگذاری و رمزگشایی متفاوت هستند. در حقیقت هر كاربر دارای یك زوج كلید می‌باشد كه یكی كلید عمومی و دیگری كلید خصوصی می‌باشد. فرض بر این است كه كلید خصوصی، تنها توسط آن كاربر شناخته شده است ولی كلید عمومی برای همه افرادی كه قصد ارتباط با آن كاربر را دارند معلوم است. حال اگر A قصد ارسال پیامی محرمانه به B را داشته باشد، پیام را توسط كلید عمومی B رمز می‌كند و‌آن را ارسال می نماید. كاربر B پیام رمز شده را توسط كلید خصوصی خود، رمزگشایی می‌نماید. با توجه به اینكه تنها B كلید خصوصی را داراست لذا هیچ فرد دیگری نمی‌تواند به محتوای پیام دسترسی پیدا كند. برای ایجاد خاصیت احراز هویت می‌توان پیام را توسط كلید خصوصی رمز نمود تا هر فردی كه كلید عمومی آن كاربر را داراست بتواند رمز را باز نموده و در نتیجه هویت كاربر فوق احراز شود. البته در عمل به‌جای اینكه متن، توسط كلید خصوصی رمز شود، توسط یك تابع در هم ساز (hash function)، یك جمع‌آزما با طول ثابت (مثلا ‌١٢٨ بیت) ایجاد می‌شود و سپس جمع‌آزما رمز می‌شود.

●مقایسه الگوریتم‌های رمزنگاری متقارن و نامتقارن

الگوریتم‌های رمزنگاری متقارن و نامتقارن از جنبه‌های مختلفی قابل مقایسه هستند. با توجه به اینكه هدف ایجاد امنیت قوی در شكبه اینترنت می‌باشد لذا امنیت، سادگی و همچنین افزایش توانایی‌های سیستم، دارای اهمیت بیشتری می‌باشند.

از لحاظ امنیت مشكل می توان سیستم‌های متقارن و نامتقارن را مقایسه نمود. سیستم‌های رمز نامتقارن، عمدتا بر اساس یك مساله سخت ریاضی بنیان نهاده شده‌اند و تا وقتی آن مساله ریاضی حل نشده، سیستم دارای امنیت لازم می‌باشد. به عنوان مثال یكی از مسایل ریاضی كه سیستم‌های رمز بر آن استوار هستند مساله تجزیه اعداد بزرگ می‌باشد. با توجه به اینكه در سیستم‌های رمز نامتقارن، با اعداد بزرگ كار می‌شود لذا اینگونه سیستم‌ها در مقایسه با سیستم‌های رمز متقارن معمولا از سرعت نسبتا پایینی برخوردار هستند.

با وجود سرعت نسبتا كم الگوریتم‌های نامتقارن، سادگی كار با آنها و توانایی‌هایی كه فراهم می‌آورند آنها را برای استفاده از یك سیستم بزرگ و همه‌گیر جذب می‌نمایند. كلیدهای استفاده شده در الگوریتم‌های نامتقارن، راحت‌تر از الگوریتم‌های متقارن قابل توزیع هستند. اگر فرض كنیم در شبكه n كاربرد وجود دارد و همه كاربران بخواهند توسط الگوریتم متقارن با یكدیگر ارتباط امن داشته باشند، نیاز به ‌٢/(n (n-۱ كلید می‌باشد كه بین هر دو كاربر به اشتراك گذاشته شده است. در مقابل، اگر از الگوریتم نامتقارن استفاده شده باشد، به n زوج كلید (عمومی و خصوصی) نیاز می‌باشد. در ضمن چون در الگوریتم‌های نامتقارن، تنها كلید عمومی هر كاربر باید در شبكه توزیع شود لذا بر خلاف الگوریتم‌های متقارن كه در آنها بایستی كلیدها به طور امن (محرمانه) توزیع شوند، در الگوریتم‌های نامتقارن مشكل اساسی وجود ندارد.

●سازماندهی یك ساختار كلید عمومی

با مروری بر روند اعمال امنیت شبكه در چند دهه‌ی اخیر دیده می‌شود كه دیوار آتش ( firewall )، جزو اولین روش‌های حفاظت در شبكه بوده‌ است. سیستم‌های تشخیص نفوذگران ( Intrusion Detection Systems ) و شبكه‌های خصوصی - مجازی ( Virtual Private Networks ) نیز پس از آن پا به عرصه وجود گذاشتند. در عصر كنونی ساختار كلید عمومی و یا اصطلاحا (PKI)، Public Key Infrastructure به‌عنوان بهترین روش برای اعمال امنیت در شبكه شناخته شده است.

در این قسمت قصد بر این است كه ملزومات طراحی و سازماندهی یك ساختار كلی برای شبكه اینترنت بیان شود كه هر كاربر دارای یك زوج كلید مربوط به یكی از الگوریتم‌های نامتقارن باشد. با وجود اینكه امروزه ساختار كلید عمومی بسیار مطرح است ولی هنوز شاهد استفاده از روش‌های قدیمی در شبكه اینترنت برای بسیاری از كارهای حساس و حتی خرید و فروش می‌باشیم. البته به‌دلیل عدم هماهنگی در روش‌های فوق و پیروی نكردن از یك ساختار كلی و استاندارد، نیاز به یك سیستم هماهنگ و كارا احساس می‌شود.

●مشكلاتی كه در شبكه اینترنت وجود دارد

یكی از ساده‌ترین مثال‌هایی كه نشان دهنده‌ی ضعف شبكه اینترنت است؛ پست الكترونیكی می‌باشد. سناریویی را در نظر بگیرید كه در آن كاربر A قصد ارسال پست الكترونیكی به كابر B را دارد. وقتی نامه از مبدا رها می‌شود معمولا چندین گره را پشت سر می‌گذارد و نهایتا به گروه مقصد یعنی كاربر B می‌رسد. در این ارسال مشكلات فروانی ممكن است اتفاق بیافتند كه مهمترین آنها عبارتند از:

‌١) اگر ایجاد ارتباط فقط از طریق اینترنت ممكن است پس چگونه می‌توان آدرس كاربر B را به دست آورد به طوری كه مطمئن بود آدرس صحیح است؟

‌٢) چگونه می‌توان اطمینان حاصل نمود كه پیام ارسالی در بین راه (گره‌های عبوری) بازبینی نشده‌اند و پیام محرمانه باقی مانده؟

‌٣) چگونه هویت فرستنده‌ی پیام توسط گیرنده‌ی پیام احراز می‌گردد؟ به‌عبارت دیگر، كاربر B از كجا بفهمد كه پیام فوق واقعا از طرف كاربر A ارسال گردیده؟

یكی دیگر از مشكلات اساسی كه هم اكنون در شبكه اینترنت وجود دارد؛ انتقال اطلاعات از طریق FTP، HTTP و حتی TELNET می‌باشد. البته گونه‌ای از سرویس‌ها و ابزارهای تكمیلی ساخته شده‌اند كه تا حدی اینگونه مشكلات را رفع می‌نمایند ولی هنوز مكررا دیده می‌شود كه اطلاعات رد و بدل شده در شبكه اینترنت بدون امنیت (محرمانگی و احراز هویت) می‌باشد و حتی دیده می‌شود كه مثلا كلمه عبور استفاده شده در پروتكل‌های FTP و یا TELNET به صورت ساده در شبكه ارسال می‌شود و توسط هر فردی قابل كپی برداری می‌باشد.

مهمترین مشكلی كه شبكه اینترنت با آن دست به گریبان است؛ عدم یك سیستم و ساختار كلی جهت ایجاد ارتباطات امن برای كارهای حساس از قبیل تجارت الكترونیكی می‌باشد. در حال حاضر بسیاری از شركت‌ها از طریق شبكه اینترنت اقدام به فروش كالاهای خود نموده‌اند كه عمدتا به كالاهای ارزان قیمت محدود می‌شوند، زیرا اولا هنوز اعتماد لازم بین كاربران بوجود نیامده و ثانیا بسیاری از پروتكل‌های استفاده شده، از امنیت كافی برخوردار نیستند.

●راه‌كارهای امنیتی

از سالها قبل، كارهای زیادی برای ایجاد امنیت در شبكه اینترنت انجام شده است. به عنوان مثال PGP، SFTP، SHTTP، Secure Shell و Kerberos نمونه‌های عملی هستند كه مورد استفاده قرار گرفته‌اند، ولی هیچ‌یك قابلیت‌های لازم برای یك سیستم همه‌گیر با توانایی‌های لازم برای نیازهای جدید كاربران اینترنت را ندارند.

یكی از معروفترین استانداردهایی كه می‌تواند منجر به ساختار كلی مورد نظر شود، استاندارد X.۵۰۹ می‌باشد. این استاندارد كه توسط ISO/ITU تهیه شده، جهت ایجاد یك چارچوب برای PKI ارائه شده است و مبتنی بر استاندارد X.۵۰۰ می‌باشد. استاندارد X.۵۰۰ برای ایجاد سرویس دایركتوری ( Directory service ) برای شبكه‌های بزرگ كامپیوتری ارائه گردیده است.

استاندارد X.۵۰۹ به‌عنوان یكی از قدیمی‌ترین ساختارهای مبتنی بر كلید عمومی در سال ‌١٩٨٨ میلادی ظاهر شد كه متعاقب آن، نسخه‌های ‌٢ و ‌٣ نیز ارایه شدند. این استاندارد هم اكنون در بعضی از سیستم‌ها و پروتكل‌ها مورد استفاده قرار گرفته و SET و SSL نیز از آن بهره‌ می‌برند. در این استاندارد برای هر كاربر، یك گواهی صادر می‌شود كه از آن طریق می‌توان بسیاری از نیازهای امنیتی را برطرف نمود. تولید گواهی ( Certification ) و عمل تعیین اعتبار ( Validation ) دو عامل اصلی موردنیاز در PKI می‌باشند. هدف در عمل اول ایجاد ارتباط بین كاربر (یا شركت) و كلید عمومی آن بوده و در عمل دوم نیز هدف، تعیین اعتبار گواهی می‌باشد.

▪خصوصیات PKI

با توجه به مطالب ذكر شده، ‌PKI را می‌توان به صورت مجموعه‌ی سخت‌افزار، نرم‌افزار، كاربران، سیاست‌ها و رویه‌هایی كه برای ایجاد مدیریت، ذخیره، توزیع و انهدام گواهی مبتنی بر رمزنگاری با كلید عمومی مورد نیاز می‌باشند تعریف نمود.

خصوصیاتی كه در یك سیستم PKI مورد نیاز می‌باشند عبارتند از:

‌١) محرمانگی (Confidentiality): شامل محرمانگی محتوای پیام و عدم امكان شناسایی گیرنده و فرستنده پیام توسط نفر سوم.

‌٢) تمامیت (integrity): شامل دست‌نخوردگی پیام، اطمینان از رسیدن پیام به مقصد و اطمینان از عدم دریافت بیش از یك نسخه پیام توسط گیرنده.

‌٣) احراز هویت (authentication): شامل اطمینان از اینكه پیام دریافت شده، از كسی ارسال شده باشد كه پیام نشان می‌دهد و اطمینان از اینكه پیام ارسال شده را كسی دریافت می‌كند كه فرستنده مدنظر دارد.

‌٤) عدم انكار (non - repudiation): شامل عدم امكان انكار دریافت پیام، توسط گیرنده پیام و عدم امكان انكار ارسال پیام، توسط فرستنده پیام.

‌٥) كنترل (control): شامل وجود قوانین مدون و منابع مورد اطمینان و همچنین امكان دنبال كردن و ثبت خطا در روند سیستم.

‌٦) در دسترس بودن (availability): اطمینان از فعال بودن سیستم در تمام اوقات.

دكتر شهرام بختیاری

برگرفته از: خبرگزاری دانشجویان ایران

---

• بعدى
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.