Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

آشنایی با زیرساخت کلید عمومی (PKI)

4,802 views

Published on

با رشد روزافزون تعاملات الکترونیکی و اقبال به توسعه تجارت الکترونیکی، چالش اعتماد به «تعاملات الکترونیکی و صحت اسناد الکترونیکی مبادله شده» به‌عنوان چالش جدیدی در این عرصه مطرح است. اعتماد و امنیت در فضای مجازی نیازمند برخورداری از زیرساخت مطمئن و قابل‌اعتماد است که در نظام قانونی کشورهای به‌کارگیرنده پذیرفته شده باشد. امروزه رایج‌ترین و جامع‌ترین زیرساخت اعتماد در فضای مجازی، زیرساخت کلید عمومی (PKI) است.
زیرساخت کلید عمومی (Public Key Infrastructure) به بستر فراهم‌شده در کشورها جهت به‌کارگیری گواهی‌های الکترونیکی گفته می‌شود که شامل مجموعه‌ای از قوانین، سیاست‌ها و دستورالعمل‌ها، استانداردها، سخت‌افزارها، نرم‌افزارها و فرایندهاست. مزایای استفاده از گواهی الکترونیکی در تعاملات الکترونیکی: «اطمینان از دست‌نخوردگی اسناد مبادله شده»، «اطمینان از هویت شخص ارسال‌کننده» و «اطمینان از انکارناپذیری تولید سند توسط تولیدکننده آن» است؛ بنابراین PKI (که بستر به‌کارگیری و مدیریت گواهی‌های الکترونیکی را در یک کشور فراهم می‌کند) پیش‌نیاز برقراری تعاملات تجاری/غیرتجاری الکترونیکی مطمئن در میان طرفین داخلی یا بین‌المللی است.

Published in: Technology
  • Login to see the comments

آشنایی با زیرساخت کلید عمومی (PKI)

  1. 1. Public Key Infrastructure
  2. 2. فهرست  انواع تجارت  لازمه تجارت امن  انواع حملات اينترنتی  سرويس های امنيتی  رمزنگاری  الگوريتم های متقارن  الگوريتم های نامتقارن  توابع درهم سازی  امضاء ديجيتال  گواهی ديجيتال  مرکز صدور گواهی  دفتر ثبت نام  گواهی SSL  مروری بر گواهی ثبت سفارش
  3. 3. • تجارت سنتی • تجارت ا لکترونيک فهرست انواع تجارت
  4. 4. تجارت سنتي در روش سنتی؛ مکتوب بودن، اصل بودن و ممهور بودن يک سند دليل وجود اعتبار آن است. طرفين به طور حضوری با هم مذاکره و اسناد را امضا می کنند. فهرست
  5. 5. تجارت الکترونيک  اما در تجارت الکترونيک امکان برگزاری جلسات حضوری وجود ندارد. طرفين نمی توانند با روشهای سنتی از صحت ادعاها و اسناد اطمينان حاصل کنند.  پس بايد به دنبال راهی بود تا در فضای سايبر)مجازی( نيز بتوان به مبادلة اطلاعات اتکا نمود. برای اين منظور بايد به امنيت ارسال و دريافت اطلاعات به عنوان يکفاکتور اساسی توجه کرد.  مفهومی که از امنيت تبادل دادههای الکترونيکی به ذهن می رسد، بايد شامل فرآيندی باشد که همة عناصر اصلی تشکيل دهنده مبادله را کامل و مطمئن محافظت نمايد. فهرست
  6. 6. تجارت الکترونيک - ادامه دريافت کننده بايد اطمينان حاصل کند که: فرستنده همان فرد مورد نظر است و اين امر غير قابل انکار باشد و از طرف ديگر مطمئن شود که اطلاعات پساز ارسال بواسطة دسترسی غير مجاز و يا نفوذ در آن تغييری بوجود نيامده است. از نظر فرستنده نيز اين موارد دارای اهميت هستند. فهرست
  7. 7. فرآيند احراز هويت  احرازهويت در تجارت سنتی - شناسنامه، پاسپورت،گذرنامه، گواهينامه رانندگی، امضاء ...  احرازهويت در تجارت الکترونيک - گواهی ديجيتال، امضای ديجيتال فهرست
  8. 8. فهرست جلوگيری ازحملات امنيتی (Security Attacks) تامين سرويسهای امنيتی (Security Services) استفاده ازسازوکارهای امنيتی (SecurityMechanism) لازمه تجارت امن
  9. 9. فهرست انواع حملات امنيتی (Security Attacks) قطع Interruption دسترسی غيرمجاز Interception دستکاری دادهها Modification ايجاد پيغام Fabrication
  10. 10. ارسال اطلاعات به شکل امن سيستم مقصد سيستم مبدأ فهرست
  11. 11. سيستم مقصد سيستم مبدأ قطع Interruption فهرست
  12. 12. سيستم مبدأ سيستم مقصد سيستم ثالث دسترسی غير مجاز Interception فهرست
  13. 13. سيستم مقصد سيستم مبدأ سيستم ثالث دستکاری داد هها Modification فهرست
  14. 14. ايجاد پيغام Fabrication سيستم مبدأ سيستم ثالث سيستم مقصد فهرست
  15. 15. تصديق صحت (Authentication) تماميت (Integrity) انکار ناپذيری (Non-Repudiation) محرمانگی (Confidentiality) سرويسهای امنيتی (Security Services) فهرست
  16. 16. رمزنگاری encryption تائيدهويت authentication مميزی auditing اجازه authorization سازوکارهای امنيتی (SecurityMechanism) فهرست
  17. 17. پيغامی را امن گويند اگر و فقط اگر مشخصات زير را داشته باشد: • هويتشناسی :(Authentication) گيرنده يکپيغام هويت يکتای فرستنده را شناسايی کند • محرمانگی :(Privacy) پيغام دادهای تنها توسط فرستنده و گيرنده قابل مشاهده باشد • جامعيت :(Integrity) پيغام دادهای را تنها فرستنده میتواند بدون اين که تشخيص داده شود تغيير دهد پيغام امن فهرست
  18. 18. برقراري امنيت در تجارت الکترونيک  محرمانگی Privacy  تائيدهويت Authentication  تماميت Integrity  انکارناپذيری None Repudiation P.A.I.N. فهرست
  19. 19. تجارت امن محرمانگي، تائيد هويت، تماميت، انکارناپذيري، در دسترس بودن سياستهای امنيتی ابزارهاي ايجاد امنيت در تجارت الکترونيکي فهرست
  20. 20. رمزنگاري فهرست
  21. 21. رمزنگاري رمزنگاري علمي است كه با استفاده از رياضيات داده ها را به صورت رمز درآورده و مجدد ا مي تواند به حالت عادي برگرداند. اين علم امکان ذخيره سازي اطلاعات وهمچنين انتقال اطلاعات بر بستري ناامن را محقق مي سازد .عمل رمزنگاري با استفاده از الگوريتمهاي رياضي صورت م يپذيرد. در يك سيستم يك پيغام با استفاده از يك كليد رمز مي شود.پس از آن پيغام رمز شده به گيرنده منتقل مي شود و در آن جا با استفاده از يك كليد باز مي شود تا پيغام اصلي بدست آيد فهرست
  22. 22. تاريخچه رمزنگاري  سابقه رمز نمودن اطلاعات به دوران امپراطوری روم بر میگردد، زمانی که ژوليوس سزار پيغامی را برای فرماندهان خود میفرستاد چون به پيغام رسان اعتماد نداشت و از اين که در راه اين پيغام به دست دشمن بيافتد هراسان بود، پيغام را به نحو زير تغيير میداد. تمام حروف A را در متن با حرف D جايگزين میکرد و تمام حروف B را در متن به حرف E جايگزين مینمود و بدين ترتيب برای بقيه حروف نيز عمل میکرد. در حقيقت تمام حروف را با سومين حرف بعد از آن جايگزين میکرد.  در نتيجه اگر اين متن تغيير يافته به دست کسی میافتاد که اين الگوريتم تغيير را نمیدانست نمیتوانست اين متن را رمزگشايی نموده و از محتويات آن چيزی بفهمد.  به اين الگوريتم CaesarCipher م یگويند. فهرست
  23. 23. Caesar Cipher A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C This is a test Wklv lv d whvw فهرست
  24. 24. تاريخچه رمزنگاري - ادامه Enigma در جنگ جهاني دوم آلمانهاي نازي به صورت گسترده اي از يك دستگاه رمزنگاري الکترومکانيکي به نام انيگما كه در سال 1932 ساخته شده بود استفاده نمودند. فهرست
  25. 25. تاريخچه رمزنگاري - ادامه تا اواسط دهه 70 ميلادی رمزنگاری جزو علومی بود که فقط در موارد ويژه توسط دولتها و متخصصين نظامی استفاده میگرديد. اين وضعيت در سال 1976 ميلادی با پياده سازی "رمزنگاری کليد عمومی" توسط Hellman و Diffie به نحو شايستهای تغيير کرد. اين کار آنها مشکل بزرگی را در سيستمهای رمزنگار که همانا مسئله تبادل کليد بود حل کرد. Hellman و Diffie راهی برای برپاسازی يک کانال ارتباطی ايمن بين دونفر بدون نياز به ملاقات آنها پيدا کردند. در آن زمان رمزنگاری به خوبی درك شده بود ولی هيچکس درك درستی از شيوه مديريت کليدهايی که اطلاعات را رمز میکنند نداشت. Hellman و Diffie راهی برای استفاده از محاسبات ساده عددی بر روی اعداد بزرگ برای توافق بر سر کليد پيدا کردند. فهرست
  26. 26. تاريخچه رمزنگاري - ادامه پس از نظريه رمزنگاری کليد عمومی Hellman و Diffie ، سيست مهای کليد عمومی بسياری طراحی شده اند که هرکدام در کاربردی خاص برتر یهای مربوط به خود را دارا م یباشند. سيست مهای رمزکليد عمومی عموماً بر پايه ح لناپذيری محاسباتی يک مسأله پيچيده بنا می شوند. فهرست
  27. 27. الگوريتمهاي رمزنگاري الگوريتمهای متقارن (Symmetric) الگوريتمهای نامتقارن (Asymmetric) توابع درهم سازی (Hash) فهرست
  28. 28. الگوريتمهاي متقارن  در رمز نگاری کليد پنهانی که به عنوان رمز نگاری متقارن شناخته می شود، از يک کليد برای رمز گذاری و رمزگشايی پيغام استفاده می شود. بنابراين فرستنده و گيرنده پيغام بايد يکراز مشترك داشته باشند که آن کليد است.  يک الگوريتم مشهور رمزنگاری ”استاندارد رمزگذاری داده“ يا DES(DataEncryptionStandard) می باشد که در مؤسسات مالی برای رمز کردن شماره هويت فردی يا PIN(PersonalIdentityNumber) استفاده می شود. فهرست
  29. 29. کاربرد رمزنگاري متقارن  برای رمزگذاری حجم زيادی از اطلاعات استفاده میشود.  هنگامی که همراه با گواهی ديجيتال استفاده گردد؛ باعث حفظ محرمانگی اطلاعات است.  زمانی که با امضاء الکترونيکی استفاده گردد؛ تماميت پيغام را تضمين مینمايد. فهرست
  30. 30. الگوریتم های متقارن رمزنگاری رمزگشايی پيام اوليه پيام رمزشده فهرست
  31. 31. الگوریتم متقارن باب آ ليس Hi 3$r Hi Hi 3$r Hi 3$r 3$r باب آ ليس فهرست
  32. 32. مديريت کليد کليدهای متقارن بايد از طريق يک کانال ايمن توزيع شوند و بايد به صورت ادواری تغيير کنند. مثال: n*(n-1)/2 تعداد کليد های مورد نياز ت عداد افراد در ارتباط 4 6 6 15 12 66 1000 49950 فهرست
  33. 33. تحليل الگوريتمهاي متقارن  مزايا  سرعت بالا هنگام رمزگذاری  توليد کليد بطور تصادفی و سريع  معايب  تعدد کليدها برای اعضای هر ارتباط  توزيع کليد بين طرفين ارتباط  موارد استفاده  رمزگذاری حجم زيادی از اطلاعات هنگام ذخيره روی رسانه ناامن  رمزنگاری دادهها هنگام انتقال توسط رسانه ناامن فهرست
  34. 34. الگوريتمهاي نامتقارن اين روش از دو کليد استفاده میکند.  يک کليد برای رمزنگاری و ديگری برای رمز گشايی.  دو کليد از نظر رياضی با هم ارتباط دارند به گونه ای که داده رمزنگاری شده با هريک قابل رمزگشايی با ديگری می باشد.  هر کاربر دو کليد دارد: کليد عمومی و کليد خصوصی. فهرست
  35. 35. پيام اوليه پيام رمزشده رمزنگاري رمزگشايي الگوريتم هاي نا متقارن Asymmetric Algorithms كليد 1 كليد 2 فهرست
  36. 36. رمزگشايی پيام اوليه پيام رمزشده رمزنگاری فهرست
  37. 37. الگوریتم های نامتقارن ک ليدهاي باب کليدهاي آليس Hello 3$r Hello Hello cy7 Hello 3$r cy7 باب آ ليس باب آ ليس كليد 1 كليد 2 كليد ف هرست 4 كليد 3
  38. 38. الگوريتمهاي نامتقارن فهرست
  39. 39. تحليل الگوريتمهاي نامتقارن  مزايا  عدم نياز به توزيع و ارسال کليد  معايب  سرعت پائين در حجم اطلاعات بالا  پيچيدگی توليد کليد  موارد استفاده  در تکنولوژی امضای ديجيتال فهرست
  40. 40.  برای رمز کردن داده برای هر طرف شرکت کننده فقط به کليد عمومی آن شرکت کننده نياز است در نتيجه تنها تأييد کليد عمومی شرکت کننده ها لازم است.  مهم ترين ويژگی های تکنيک نامتقارن غير قابل انکار بودن، امضای ديجيتالی وتأييد منبع داده ای صحيح می باشد. تحليل الگوريتمهاي نامتقارن - ادامه فهرست
  41. 41. در رمزنگاری نامتقارن بازرگان يک جفت کليد عمومی و خصوصی ايجاد می کند و کليد عمومی را منتشر می کند تا مصرف کنندگان از طريق آن کليد، پيغامهايشان را رمز کرده برای او بفرستند. در نهايت بازرگان به عنوان تنها دارنده کليد خصوصی، تنها کسی است که می تواند پيغامهای رمز شده با آن کليد عمومی را باز کند. تحليل الگوريتمهاي نامتقارن - ادامه فهرست
  42. 42. توابع درهم سازي الگوريتمهای درهم سازی يا Hash بر خلاف دو الگوريتم ذکر شده از کليد استفاده نم یکنند و عمل رمزنگاری به صورت يکطرفه بر روی اطلاعات انجام میدهند. عملکرد اين توابع بر روی دادهها بدين شکل است که با اعمال يک تابع Hash بر روی يک متن، يک چکيده يا دايجست از متن بدست میآيد. فهرست
  43. 43. کارکرد توابع درهم سازي خروجي و رودي Digest فهرست
  44. 44. Hash فرآيندی است که بصورت رياضی حجم يک جريان از داده را به يک طول ثابت کاهش می دهد. )معمولا 128 و يا 160 بيت(  عملکرد hash مشابه اثرانگشت يکشخصمی باشد.  اثرانگشت، پارامتری منحصربفرد به منظور تشخيص هويت افراد بوده و در ادامه با استفاده از آن امکان دستيابی به ساير مشخصات افراد نظير: رنگ چشم، قد، جنسيت و ساير موارد دلخواه، فراهم می گردد. توابع درهم سازي فهرست
  45. 45. کارکرد توابع درهم سازي خروجي و رودي فهرست
  46. 46. • امکان استنتاج ورودی از طريق خروجی وجود ندارد. • نمی توان دو ورودی را پيدا کرد که به ازای آنان خروجی يکسانی توليد گردد. درواقع احتمال توليد مقادير Hash يکسان برای دو مجموعه متفاوت از داده ها کمتر از 0.001 درصد است. ويژگي هاي توابع درهم سازي فهرست
  47. 47. تحليل توابع درهم سازي  مزايا • عدم نياز به توليد و ارسال کليد • سرعت بسيار بالا  موارد استفاده • تضمين تماميت پيغام فهرست
  48. 48. امضاء ديجيتال فهرست
  49. 49. امضاي ديجيتال • تعاريف و مفاهيم اوليه • نحوه بکارگيری و پوشش امنيتی فهرست
  50. 50. تعريف • امضا ديجيتال – همان قفل کردن اطلاعات می باشد. – قابل جعل و تغيير نمی باشد. – براساس رمزنگاری میباشد. • امضا دستی – تقريباً هميشه همانند به نظر میآيد. – میتواند جعل شود. فهرست
  51. 51. Message Hash Function Message Digest الگوريتم hash Message Digital Signature Digital Signature کليد خصوصی فرستنده دايجست رمزشده 160 bit Value نحوه امضاء يک پيغام ديجيتال فهرست
  52. 52. اعتبارسنجي امضاء ديجيتال آليس ب اب کليد خصوصی باب کليد عمومی باب فهرست
  53. 53. کارکرد امضاء ديجيتال  فرستنده از پيغام يکدايجست ايجاد میکند.  آنرا با کليد خصوصی خود رمز میکند.  به همراه پيغام ارسال میدارد.  گيرنده از متن پيغام دريافت شده يکدايجست ايجاد میکند.  گيرنده از کليد عمومی فرستنده استفاده میکند.  دايجسترمز شده را از حالت رمز خارج میسازد.  گيرنده دو دايجسترا با هم مقايسه میکند.  اگر همسان بودند، تماميت داده و هويت فرستنده مورد تائيد قرار میگيرد. فهرست
  54. 54. اجزاء اصلي الگوي جامع شناسايي امضاي ديجيتال  ارائه مجوز به مرکز گواهی هويت.  صدور، تعليق و لغو گواهی صادر شده به وسيله مرکز.  وظايف، ضمانت ها و تعهدات مراجع دارای مجوز، مشترکين، طرف های سوم و محل نگهداری کليد.  قواعد مخصوصشناسايی و اعتبار امضای ديجيتال. فهرست
  55. 55. امضاي الکترونيکي زماني معتبر است که :  اختصاص به شخص استفاده کننده داشته باشد.  قابليت تطبيقدهی داشته باشد.  تحت کنترل انحصاری شخص استفاده کننده باشد.  طوری به داده متصل شود که اگر داده تغييرکرد امضا بی اعتبار شود. فهرست
  56. 56. خدمات ارائه شده توسط امضاء ديجيتال • تائيد هويت Authentication  گيرنده میتواند مطمئن باشد که فرستنده کيست. • تماميت Integrity  گيرنده میتواند مطمئن باشد که اطلاعات حين انتقال تغيير پيدا نکرده است. • انکارناپذيری NoneRepudiation  فرستنده نمی تواند امضا داده را انکار نمايد. فهرست
  57. 57. امضاء الکترونيکي و محرمانگي بسته پيغام آليس ب اب کليد خصوصي آليس کليد عمومي باب کليد خصوصي باب P کليد تصادفي کليد تصادفي اعتبارسنجي امضاي ديجيتال فهرست
  58. 58. ارسال يک متن براي چند نفر آليس بسته پيغام كليد عمومي باب كليد عمومي بيل كليد عمومي تام كليد خصوص ي باب كليد خصوص ي بيل كليد خصوص ي تام فهرست
  59. 59. گواهي ديجيتال فهرست
  60. 60. گواهينامه ديجيتال چيست؟  سازوکاری برای توزيع کليدهای عمومی .  حاوی اطلاعات مربوط به هويت و کليد عمومی صاحب آن. فهرست
  61. 61. کليد عمومي و صاحب آن فهرست
  62. 62. حمله امنيتي کليد عمومي باب ک ليد عمومي تام کليد عمومي واقعي باب فهرست
  63. 63. حمله امنيتي-ادامه َ آَليس کليد عمومي تام تام باب کليد خصوصي تام تغيير کليد عمومي باب کليد خصوصي باب dsf sdf sdf sdf sdf sdf sds dfs d فهرست Tom’s File Tom’s File
  64. 64. الگوريتم هاي يک امضاي ديجيتال • الگوريتم برای ايجاد کليد • الگوريتم برای ايجاد امضا • الگوريتم برای تأييد امضا فهرست
  65. 65. مروري بر گواهي ديجيتال گواهی ديجيتال، يک کليد عمومی را به مجموعهای از اطلاعات شناسايی يک موجوديت پيوند میدهد. اين کليد عمومی با يک کليد خصوصی مرتبط میباشد. طرف متکی به صحت کليد عمومی موجود در گواهی اعتماد میکند. ميزان اعتماد طرف متکی به يکگواهی به عوامل متفاوتی بستگی دارد. اين عوامل شامل روال تاييد هويت درخواستکننده گواهی، روالهای اجرايی مرکز صدور گواهی، کنترلهای امنيتی، تعهدات صاحب امضا )مانند حفاظت از کليد خصوصی( و تعهدات مرکز صدور گواهی )مانند ضمانتها و رفع مسئوليتها( میباشد. فهرست
  66. 66. استاندارد X.509  بر طبق اين استادارد اطلاعاتی که در گواهینامه ديجيتال صادر میشود شامل موارد زير میباشد: • نسخه گواهینامه • شماره سريال • الگوريتم مورد استفاده • صادر کننده گواهی • بازه زمانی اعتبار • کليد عمومی فردی که گواهینامه برای او صادر شده است. • امضای صادر کننده گواهینامه • هويت فردی که گواهینامه برای او صادر شده است.  مشخصاتی که در اين قسمت ثبت میشود متفاوت بوده و وابسته به نوع گواهینامه میباشد. فهرست
  67. 67. امنيت امضاي ديجيتال  امنيت الگوريتم رمزنگاری کليد عمومی  امنيت توابع درهم سازی  امنيت کليد خصوصی فهرست
  68. 68. مروري بر گواهي ديجيتال سندی است که:  توسط يک موجوديت قابل اعتماد صادر و امضاء شده است.  بر اساس تائيد هويتی است که توسط يک مرکز صورت گرفته است.  حاوی يکسری اطلاعات و کليد عمومی شخص يا سازمان است.  مورد استفاده آن در گواهی قيد شده است.  دارای مدت اعتبار مشخصو محدود است. فهرست
  69. 69. کارکرد گواهي ديجيتال  فرستنده يککليد متقارن توليد میکند.  دادهها را بوسيله کليد متقارن به رمز درمیآيند.  فرستنده از کليد عمومی گيرنده استفاده میکند.  کليد متقارن را به حالت رمز درمی آورد.  به همراه متن رمزنگاری شده برای گيرنده ارسال مینمايد.  گيرنده از کليد خصوصی خود استفاده کرده.  کليد متقارن را از حالت رمز خارج میسازد.  گيرنده با استفاده از کليد متقارن پيغام را رمزگشايی ميکند. فهرست
  70. 70. مرکز صدور گواهي فهرست
  71. 71. مرکزصدورگواهي (Certification Authority)  مراکزی هستند که وظيفه صدور، حفاظت، انتشار و ابطال گواهینامه ديجيتال را بر عهده دارند.  کليدهای عمومی اين شرکتها به صورت پيش فرض در مرورگرهای اينترنتی قرار دارد.  تأييد هويت افراد به صورت سلسله مراتبی انجام میشود: • مراکز صدور گواهی ريشه • مراکز ميانی صدور گواهی • دفاتر ثبت ن ام فهرست
  72. 72. انواع مراکز صدور گواهي • مرکز صدور گواهی ريشه ) RootCA )  وظيفه مرکز صدور گواهی ريشه صدور گواهی برای مراکز صدور گواهی ميانی است. • مرکز صدور گواهی ميانی ) IntermediateCA )  وظيفه مرکز صدور گواهی ميانی، صدور گواهی برای درخواست کنندگانی است که هويت آنها مورد تأييد دفتر ثبتنام است. فهرست
  73. 73. معرفي اجزاء و کارکرد آنها RA RA RA RA درخواست گواهي Root CA CRL Valid Intermediate CA Intermediate CA فهرست
  74. 74. اجزاء مرکز صدور گواهي  مرکز صدور گواهی  دايرکتوری  مرکز اعلام وضعيت گواهی  سياستنامه و آييننامه گواهی ديجيتال  کميته سياست گذاری و راهبری  نر مافزار صدور و مديريت گواهی  سخت افزارهای رمزنگاری فهرست
  75. 75. وظايف مراکز صدور گواهي  توليد گواهی  انتشار گواهی  ابطال گواهی  تجديد گواهی  مديريت بانکهای اطلاعاتی  تدوين سياستهای امنيتی فهرست
  76. 76. دفتر ثبتنام (Registration Authority)  دفتر ثبتنام مرکزی است که متقاضيان دريافت گواهی ديجيتال برای ارائه درخواست و تحويل مداركبه آنجا مراجعه مینمايند. فهرست
  77. 77. وظايف دفتر ثبتنام  دريافت درخواست گواهی  تائيد هويت  ارسال درخواست به مرکز صدور  دريافت و تحويل گواهی به صاحب امضاء  دريافت و بررسی درخواستهای ابطال يا تمديد گواهی فهرست
  78. 78. اهداف دفاتر ثبت نام  تامين امنيت لازم در انجام معاملات و محيط های الکترونيکی و ترويج فرهنگاستفاده از هويت الکترونيکی است.  توليد و ارائه گواهينامه ديجيتال برای تبادلات تجارت الکترونيکی C2B و B2B (در حوزه کالا و خدمات(  تدوين آيين نامه ها و مقررات مربوط به مديريت بر گواهی ديجيتال توليد و عرضه شده.  ارائه خدمت به دفاتر ثبت گواهی ديجيتال ) RA ( و دفاتر خدمات گواهی ديجيتال در سراسر کشور.  ارائه خدمات آموزشی برای استفاده از اين فناوری در سراسر کشور. فهرست
  79. 79. فرآيند درخواست گواهي دفتر ثب تنام صاحب امضا CA فهرست
  80. 80. مراحل دريافت گواهينامه ديجيتال  فرد A ، از طريق يک نرم افزار توليد کليد، زوج کليدی برای خود توليد میکند.  فرد A ، کليد خصوصی خود را در يکمحل امن نزد خود نگهداری کرده و کليد عمومی را به همراه اطلاعات هويت خود به مرکز صدور گواهینامه ارسال میکند.  مرکز صدور گواهینامه، صحت اطلاعات ارسال شده از سوی A را بررسی کرده و در صورت درست بودن آنها يک گواهینامه ديجيتالی برای A صادر میکند.  مرکز صدور گواهینامه ) CA (، گواهی صادر شده را برای A ، ارسال میکند.  فرد A ، گواهینامه دريافت شده را بررسی میکند تا مطمئن گردد، کليد عمومی درج شده در گواهینامه، کليد خودشاست. فهرست
  81. 81. مراحل ابطال گواهينامه ديجيتال  وارد کردن گواهی در ليست گواهینامههای باطل شده ) CRL )  گواهینامه به دو صورت ممکن است باطل شود: • ابطال دائمی:  زمانی که کليد خصوصی يک فرد دزديده شود • ابطال موقتی:  زمانی که فردی کليد خصوصی خود را گم کند  زمانی تاريخ اعتبار گواهینامه به اتمام برسد فهرست
  82. 82. نحوه دريافت امضاء يا گواهي ديجيتال  دريافت گواهی ديجيتال بر روی لوح فشرده  دريافت گواهی ديجيتال بر روی کارت هوشمند  دريافت گواهی ديجيتال بر توکن فهرست
  83. 83. گواهي SSL فهرست
  84. 84. SSL چيست؟ Secure Socket Layer  راه حلی جهت برقراری ارتباط ايمن ميان يک وب سرور و يک مرورگر اينترنت  پروتکلی پايين تر از لايه کاربرد و بالاتر از لايه انتقال  پروتکل امنيتی است که توسط Netscape ابداع شده است. فهرست
  85. 85. ملزومات يک ارتباط مبتني بر گواهي SSL  دو نوع گواهی ديجيتال SSL يکی برای سرويس دهنده و ديگری برای سرويس گيرنده  يک مرکز صدور و اعطای گواهينامه ديجيتال يا CA فهرست
  86. 86. سازوکارهاي تشکيل دهنده SSL  تأييد هويت سرويس دهنده  تأييد هويت سرويس گيرنده  ارتباطات رمز شده فهرست
  87. 87. نمايش قفل امنيت SSL قفل کوچک زرد رنگ در نوار وضعيت مرورگر امنيت سايت توسط گواهی SSL میباشد. فهرست
  88. 88. وظايف مرکز صدور گواهي SSL  صدور و انتشار گواهی ها  ابطال گواهی ها در صورت لزوم  ارسال گواهی ها و ليست گواهی های باطل شده به مخزن  اطمينان از نگهداری ايمن کليدهای خصوصی اين مرکز  آگاه سازی و عرضه کننده سرويس مخزن از اين تعهدات  توليد کليدهای خصوصی مرکز صدور گواهی SSL به طور ايمن فهرست
  89. 89. وظايف دفاتر ثبت نام گواهي SSL  اطمينان از اين که عمليات آن ها مطابق با دستورالعمل اجرايی انجام می گيرد.  احراز هويت صاحبان امضا هنگام درخواست گواهی SSL يا درخواست ابطال گواهی.  اطلاع رسانی به درخواست کننده گواهی در مورد صدور گواهی درخواست شده.  اطلاع رسانی به صاحبان امضا در مورد ابطال گواهی آن ها. فهرست
  90. 90. روند کار SSL  هويت سرويس دهنده برای سرويس گيرنده مشخص میگردد  توافق سرويس دهنده و گيرنده بر سر نوع الگوريتم رمزنگاری  احراز هويت سرويس گيرنده برای سرويس دهنده  ايجاد کليدهای اشتراکی مخفی  رمزنگاری ارتباطات بر مبنای SSL فهرست
  91. 91. نحوه عملکرد گواهي SSL  برنامه مرورگر يک کليد متقارن توليد میکند ودادهها را به وسيله آن به رمز در میآورد.  مرورگر از کليد عمومی وب سايت استفاده میکند و کليد متقارن را به حالت رمز در آورده و به همراه متن رمزنگاری شده برای وب سرور ارسال مینمايد.  وب سرور از کليد خصوصی خود استفاده کرده و کليد متقارن را از حالت رمز خارج میسازد.  وب سرور با استفاده از کليد متقارن اطلاعات فرستاده شده از برنامه مرورگر را رمزگشايی میکند. فهرست
  92. 92. استفاده گواهي SSL از الگوريتمها  استفاده از الگوريتم متقارن و توليد کليد تصادفی برای رمزگذاری اطلاعات رد و بدل شده بين مرورگر و وب سرور.  استفاده از کليد عمومی وب سايت برای رمزنگاری کليدتصادفی. فهرست
  93. 93. گواهي ثبت سفارش فهرست
  94. 94. جايگاه زيرساخت کليد عمومي در ثبت سفارش • ماهيت ثبت سفارش - دولت الکترونيک، تجارت الکترونيک، شفاف سازی • مخاطبان سيستم - بازرگانان و تجار، کارشناسان، مديران • نيازهای امنيتی ثبت سفارش اينترنتی - محرمانگی، تماميت، امضای ديجيتال، عدم انکار فهرست
  95. 95. پياده سازی زيرساخت کليد عمومی در ثبت سفارش • استفاده از بستر SSL به منظور تامين امنيت بستر انتقال اطلاعات • استفاده ازگواهی ديجيتال به منظور احراز هويت کاربر • استفاده از امضای ديجيتال به منظور: - اطمينان از صحت اطلاعات ارائه شده توسط کاربر - اطمينان از تماميت داده های موجود در بانک اطلاعاتی - تشخيص دسترسی و تغيير غيرمجاز اطلاعات فهرست
  96. 96. روش اجرائي پياده سازي • فرآيند ورود به سيستم • کنترل گواهينامه ديجيتال • امضای کد کاربری و رمز عبور ارسالی به سرور • تصديق اطلاعات ارسالی از کلاينت به سرور با امضای ديجيتال • فرآيند ثبت نام • ايجاد هَشاز محتويات ارائه شده و تصديق آن با بانکاطلاعاتی • امضای محتويات ارائه شده از طرف کاربر • تصديق محتويات ثبت شده در بانکاطلاعاتی توسط امضای کاربر • ثبت سفارش • امضای محتويات ارائه شده از طرف کاربر • تصديق محتويات ثبت شده در بانکاطلاعاتی توسط امضای کاربر • استفاده از مهر زمانی به منظور تعيين زمان دقيق انجام عمليات فهرست

×