تبلیغات

تبلیغات متنی

محبوبترینها

چگونه برای دریافت ویزای ایران اقدام کنیم؟ مدارک لازم و نکات کاربردی

فیلم چند لحظه انتظار که به کارگردانی محمد امین دوستی ساخته شده، توجه مخاطبین خود را در هنر و سینما جلب کرده

راهنمای خرید یو پی اس برای مراکز درمانی و بیمارستانی مطابق الزامات قانونی

آیا طلاق توافقی نیاز به وکیل دارد؟

چگونه ویزای آفریقای جنوبی را به آسانی دریافت کنیم؟ راهنمای قدم به قدم

همه چیز درباره ویزای آلمان و مراحل دریافت آن

چرا پاسارگاد به عنوان یکی از مهم‌ترین آثار تاریخی ایران شناخته می‌شود؟

خرید انواع خودکار و روان نویس شیک و ارزان

تعمیرگاه امداد خودرو کرمان موتور

آمار وبسایت

تعداد کل بازدیدها : 1819112163

چه‌کسی امنیت را به‌خطر می‌اندازد

واضح آرشیو وب فارسی:افتانا: احراز هویت و اطمینان در مورد مالکیت هویت، عوامل بسیار مهمی در حصول اعتماد برای انجام تراکنش‏های الکترونیکی و توسعه سرویس‏های بانکداری الکترونیکی هستند. «زیرساخت کلید عمومی»، زیرساختی برای کمک به ذی‌نفعان به ‌منظور مدیریت هویت و هدف آن برقراری امنیت، اعتماد دوطرفه و آرامش خاطر کاربران فضای مجازی است.

چه‌کسی امنیت را به‌خطر می‌اندازد

احراز هویت و اطمینان در مورد مالکیت هویت، عوامل بسیار مهمی در حصول اعتماد برای انجام تراکنش‏های الکترونیکی و توسعه سرویس‏های بانکداری الکترونیکی هستند. «زیرساخت کلید عمومی»، زیرساختی برای کمک به ذی‌نفعان به ‌منظور مدیریت هویت و هدف آن برقراری امنیت، اعتماد دوطرفه و آرامش خاطر کاربران فضای مجازی است.

این زیرساخت را می‌توان به مجموعه سخت‌افزار، نرم‌افزار، کاربران، سیاست‌ها و رویه‌هایی که برای ایجاد مدیریت، ذخیره، توزیع و ابطال گواهی مبتنی بر رمزنگاری با کلید عمومی مورد نیازند تعریف کرد که سرویس‌های امنیتی پایه (تضمین‌کننده صحت هویت کاربر، محرمانگی، جامعیت اطلاعات و عدم انکار) را برای کاربران در شبکه‌های ناامن فراهم می‌کند.

گواهی‏های صادرشده دیجیتال برای اشخاص به همراه زوج‌کلیدهای رمزنگاری در کارت‌های هوشمند ذخیره شده وبا رمز مربوطه امکان احراز هویت دوعاملی همراه با رمزنگاری اطلاعات و امضای دیجیتال را فراهم می‌کند تا تصدیق هویت دیجیتال انجام شود.

با این وجود پیچیدگی و مشکلات فعلی در مدیریت و درک این گواهی‌های دیجیتال ممکن است از نقطه‌نظر عموم مردم نادیده گرفته شده و باعث بروز تهدیدات فاجعه‌بار مانند «سرقت هویت(Identity Theft) » و «رمزگیری(Phishing)» شود؛ در این شرایط راه‏حلی مناسب جز «آگاهی‌رسانی مستمر» یا طراحی و ارائه سیستم‏های مدیریت هویت سازمانی در سمت کاربر به‌ منظور حصول بهبود در تشخیص کاربران برای تقویت امنیت، وجود ندارد.

تبلیغات فروشندگان راهکارهای یکپارچه امنیتی، همواره این‌گونه است که «اگر محصول X را خریداری کنید دیگر رایانه‌تان امن خواهد بود» اما واقعیت هیچ‌گاه به این سادگی نبوده است، به ویژه در مورد «زیرساخت کلید عمومی».

امنیت هر سیستم مبتنی بر مرکز صدور گواهی (CA) بسته به لینک‌های زیادی است که البته تمامی آنها هم رمزنگاری‌شده نیستند و هدف اصلی مهاجمان در این زمینه به شمار می‌آیند. ذی‌نفعان این سیستم‌ها همواره با مخاطرات امنیتی روبه‌رو هستند که در ادامه ضمن طرح سوال به بررسی آنها می‌پردازیم:

آیا سیستم به این افراد کمک کرده یا آنها را سردرگم کرده یا اساسا نادیده‌شان می‏گیرد؟ آیا به ‌صورتی نامناسب بر صداقت و کامل بودن افراد تکیه دارد؟ پای سیستم‌های کامپیوتری هم در میان است. آیا این سیستم‌ها امن هستند؟ این موارد با هم در یک روند کار می‌کنند. آیا این روند برای حداکثرسازی امنیت طراحی شده است یا سودآوری؟ هر یک از سوالات به یک خطر امنیتی اشاره دارند که باید به آن رسیدگی شود.

با این سوال شروع می‌کنیم: آیا برای تجارت الکترونیکی اساسا به زیرساخت کلید عمومی (PKI) نیاز داریم؟
در نشریات عمومی یا فنی به هر مقاله‌ای درباره PKI مراجعه کنید احتمالا به این جمله برخواهید خورد که PKI ضرورتی مهم برای رونق تجارت الکترونیکی است. آیا این جمله اساسا اشتباه نیست؟ تجارت الکترونیکی هم‌اکنون رو به رونق است درحالی‌ که اصلا PKI وجود ندارد. سایت‏های اینترنتی بدون توجه به اینکه شما گواهی دارید یا نه، سفارش‌تان را با کمال میل می‏پذیرند اما همانند هر جمله اشتباه دیگری، در اینجا نیز یک واقعیت مرتبط وجود دارد: PKI تجاری برای رونق ضرورتا به تجارت الکترونیکی احتیاج دارد.

خطر شماره ۱: به چه کسی اعتماد می‌کنیم و چرا؟
استفاده نادقیق عبارت «اعتماد» دارای ریسک و مخاطراتی است. هر مرکز گواهی (CA) معمولا با عبارت «مورد اعتماد» تعریف می‌شود.

در علم رمزنگاری این گفته بدان معنی است که این مرکز گواهی می‌تواند کلیدهای خصوصی اش را به خوبی مدیریت کند اما بدان معنی نیست که شما ضرورتا می‌توانید به گواهی این مرکز گواهی برای هدفی خاص اعتماد کنید؛ یعنی برای انجام یک تراکنش مالی یا امضای یک سفارش خرید چندمیلیونی. چه کسی اختیار صدور چنین مجوزی را به مرکز گواهی داده است؟ چه کسی آن را قابل اعتماد کرده است؟

فرض کنید بسیاری از مراکز گواهی از کنار مساله نداشتن مجوز برای صدور گواهینامه‌‏ها بدون تامل عبور کنند. هر کسی می‏تواند نام تعیین کند اما خطر این مساله بر شانه کسی است که این گواهینامه‌‏ها را تایید می‏کند، در صورتی که او شناسه صادر کند به معنی آن است که گویی اختیارات این کار را دارد.

خطر شماره ۲: چه کسی از کلید من استفاده می‏کند؟
یکی از بزرگ‌ترین خطرات سیستم‌های مبتنی بر مرکز گواهی، مساله کلید امضای خصوصی شماست. چطور می‌خواهید از آن محافظت کنید؟ تقریبا هیچ‌ کدام از شما سیستم محاسباتی امن با کنترل دسترسی فیزیکی، شبکه امن با «فایروال» و دیگر حفاظت‌ها را در اختیار ندارید؛ کلید خصوصی‌تان را در یک کامپیوتر معمولی ذخیره می‌کنید که البته در معرض حمله ویروس و دیگر برنامه‌های جاسوسی قرار دارد.

حتی در صورتی که این کلید در کامپیوتر جایش امن باشد، آیا کامپیوترتان در یک اتاق قفل‌شده با نظارت ویدئویی قرار دارد که شما مطمئن باشید هیچ‌کس جز خودتان از این کلید استفاده نمی‌کند؟ اگر کلیدتان را روی یک کارت هوشمند ذخیره کرده‌اید، این کارت تا چه میزان در برابر حمله مقاوم است؟ اگر هم به اندازه کافی قابل اعتماد باشد آیا یک سیستم کامپیوتری مشکل‌دار می‌تواند این ابزار را وادار به امضای چیزی کند که شما قصد امضای آن را نداشته‌اید؟

اهمیت این مساله در به‌کارگیری عبارت «عدم انکار» است. این عبارت نیز از علم رمزنگاری گرفته شده است و معنی بسیار مهمی دارد: اینکه الگوریتم امضای دیجیتالی غیرقابل نفوذ است و بنابراین کسی نمی‌تواند امضای شما را جعل کند. اگر فروشندگان PKI این عبارت را بردارند و از آن به عنوان یک شرط حقوقی استفاده کنند و در مبادی حقوقی مدعی ‌شوند که کسی؛ از کلید امضای خصوصی‌تان استفاده کرده، شما حق رد امضای خود را ندارید.

به بیان دیگر، اگر کلید امضای شما توسط یک مرکز گواهی معتبر تایید شده باشد، در برابر هر آنچه با این امضا انجام شود، مسوول خواهید بود. مهم نیست چه کسی پشت صفحه‌کلید بوده یا اینکه اساسا ویروس از این امضا استفاده کرده باشد؛ به‌ هر حال به لحاظ قانونی مسوول هستید.

خطر شماره ۳: کامپیوتر تاییدکننده تا چه حد امن است؟
در بخش قبل نشان دادیم کامپیوتر ذخیره‌کننده یا استفاده‌کننده از کلید خصوصی باید امن باشد. کلیدهای طولانی هم نمی‌توانند چاره‌ساز باشند چون هر سیستم امنیتی به اندازه ضعیف‏ترین بخش خود امنیت دارد. این مساله در مورد کامپیوتر تاییدکننده – کامپیوتر استفاده‌کننده از گواهی- نیز صدق می‏کند.

در تایید گواهینامه از کلید خصوصی (محرمانه) استفاده نشده و تنها کلیدهای عمومی به کار گرفته می‌شوند. لذا سری وجود ندارد که بخواهیم از آن محافظت کنیم. البته از یک یا چند کلید عمومی «ریشه‌» استفاده می‌شود. اگر فرد حمله‌کننده بتواند گواهی خودش را به این لیست اضافه کند، با آن هم مانند تمامی گواهی‏های معتبر برخورد خواهد شد. حتی ممکن است به منزله گواهی‏های معتبر زمینه‌های دیگر نیز انگاشته شوند، تنها با این تفاوت که حاوی کلید عمومی حمله‌کننده به جای کلیدهای معتبر هستند.

نگهداری این کلیدهای ریشه در «گواهینامه‏های ریشه» نیز دردی دوا نمی‌کند زیرا این گواهینامه‏ها خودشان، خودشان را تایید می‌کنند و امنیت افزوده‌ای به همراه ندارند. راه‌حل این است که تمام محاسبات روی کامپیوتری که کاملا در برابر کدهای مهاجم مقاوم است انجام شود.

خطر شماره ۴: این کدام «جان رابینسون» است؟
گواهینامه‏ها معمولا هر کلید عمومی را با یک نام همراه می‌کنند اما افراد کمی هستند که میزان کارآمدی این همراهی را بدانند. تصور کنید گواهی «جان رابینسون» را دریافت می‌کنید. شاید شخصا تنها یک جان رابینسون را بشناسید اما مرکز گواهی از کجا این مساله را می‏داند؟ از کجا می‌دانید این جان رابینسونی که گواهی‏اش را دریافت کرده‌اید همان دوست شماست؟ شاید اگر گواهی‏اش را شخصا از او می‌گرفتید، می‌توانستید تاییدش کنید اما وقتی گواهی را در یک ایمیل دریافت می‌کنید باید اعتماد کنید که این حتما همان جان رابینسون است.

شاید «نام عمومی» این گواهی توسعه داده شده و آن را در میان نام‏های صادرشده توسط آن مرکز گواهی خاص، منحصربه‌فرد کند. آیا اطلاعات دیگری درباره دوست خود در اختیار دارید؟

زمانی‌که «دیفی و هلمن» (ارائه‌دهندگان الگوریتم رمزنگاری RSA و الگوریتم تغییرکلید) مساله رمزنگاری کلیدهای عمومی را مطرح کردند طرح‏شان شامل یک راهنمای تلفن متفاوت بود که در آن می‌توانستید کلیدهای عمومی را پیدا کنید. به ‌جای نام، آدرس و شماره تلفن، در آن نام، آدرس و کلید عمومی قرار داشت.

اگر می‌خواستید کلید عمومی «جان رابینسون» را پیدا کنید، کافی بود در این راهنما دنبال نام بگردید، کلید عمومی را پیدا کنید و تنها با استفاده از این کلید عمومی برایش پیغام بفرستید. این روش شاید درباره راهنمای تلفن بخش علوم کامپیوتر دانشگاه استنفورد در سال ۱۹۷۶ عملی بوده باشد اما در راهنمای تلفن نیویورک چند جان رابینسون وجود دارد، مسلما تعداد آنها از راهنمای تلفن فرضی برای اینترنت جهانی کمتر است.

خطر شماره ۵: آیا مرکز گواهی واقعا مسوول است؟
شاید «مرکز گواهی» درباره فرآیند صدور مسوول باشد اما آیا درباره محتوای آنها هم مسوول است؟مثلا گواهی یک سرور SSL دارای دو بخش داده‏ای با اهمیت امنیتی است: عنوان دارنده کلید (معمولا نام شرکت) و نام DNS برای سرور. مسوولانی برای تعیین نام DNS وجود دارند اما هیچ ‌کدام از مراکز گواهی‏هایSSL لیست‌شده در مرورگرهای معمولی چنین مسوولیتی ندارد. این بدان معنی است که نام DNS در گواهی عبارت مجازی نیست و نام شرکت‌ها مجاز است.

برای گرفتن مجوز تجاری، این نام‏ها باید ثبت شوند. البته هیچ ‌کدام از SSL مرکز گواهی‌های لیست‌شده در مرورگرها چنین اختیاری ندارند. به‌علاوه وقتی یک سرور دارای مجوز سرور SSL است، اجازه دارد SSL انجام دهد. چه کسی به یک SSL مرکز گواهی اختیار داده است این اجازه‌ها را کنترل کند؟ این یک هدف اقتصادی دارد (ایجاد جریان درآمدی برای مرکز گواهی‌ها) اما آیا هدف امنیتی هم دارد؟ اگر به سرورهای بدون گواهی هم اجازه ایجاد اتصالات رمزنگاری شده داده شود، چه اتفاقی می‏افتد؟
هیچ.

خطر شماره ۶: کاربر هم بخشی از طراحی امنیتی است؟
آیا برنامه استفاده‌کننده از گواهی، کاربر را هم مد نظر قرار می‌دهد یا توجهش کاملا معطوف به رمزنگاری است؟ در عین حال از آنجا که هر سیستم امنیتی از ضعیف‌ترین زنجیره خود ضعیف‌تر است، سیستم ترکیبی RA+CA از سیستم RA یا CA به تنهایی ضعیف‌تر خواهد بود، بدون توجه به اینکه مرکز گواهی تا چه حد قدرت دارد یا توافقنامه با آن چقدر
معتبر است؟

به طور مثال، کاربر معمولی بر اساس آنچه در یک سایت دارای حفاظت SSL به نمایش گذاشته شده، تصمیم به خرید از آن سایت می‌گیرد. گواهی نمایش داده‌نشده و احتمالا ارتباطی هم به آنچه نمایش داده شده، ندارد. امنیت SSL توانایی کنترل یا حتی واکنش به محتوای سایت را ندارد بلکه تنها آدرس DNS را کنترل می‏کند. نام شرکت با چیزی که کاربر بتواند ببیند مقایسه نشده و حتی سایت‌هایی وجود دارند که گواهی‌‏های آنها مربوط به شرکت میزبان صفحه است نه به شرکتی که لوگوی آن در صفحه ظاهر می‌شود. کاربران نه می‏توانند و نه می‏توان انتظار داشت که بتوانند همه چیز را درک کنند.

خطر شماره ۷: آیا مسوولیت بر عهده مرکز گواهی است یا یک «مرکز گواهی به‌علاوه مرکز ثبت‌نام گواهی »؟ برخی مراکز گواهی در واکنش به اینکه در برابر محتوای گواهی‏‏ها مسوول نیستند، یک ساختار گواهی دوبخشی ایجاد کرده‏اند؛ یک مرکز ثبت‌نام گواهی (RA) که توسط مسوول محتوای سایت اداره شده و در ارتباط امن با مرکز گواهی مسوول صدور گواهی‌هاست. دیگر فروشندگان مستقیما دستگاه مرکز گواهی را به مقام مسوول محتوا می‌فروشند.

مدلRA+CA از لحاظ ساختاری ناامن‌تر از سیستمی است که یک CA اختیار همه چیز را دارد. مدل RA+CA به یک نهاد مرکز گواهی که مسوول محتوا نیست اجازه می‌دهد برای این محتوا گواهی صادر کند. البته مرکز گواهی توافقنامه‏ای را امضا می‏کند که این کار را انجام ندهد اما این امضا به معنی از بین رفتن توان انجام این کار نیست. البته، مدل قرار گرفتن یک مرکز گواهی در مقام مسوول (نه در مقام فروشنده) با مدل تجاری برخی فروشندگان PKI منافات دارد. وقتی کد مرکزگواهی را به کسی بفروشید دریافت آبونمان برای گواهی‏های صادرشده دشوار خواهد شد.

خطر شماره ۸: مرکز گواهی چطور دارنده گواهی را شناسایی می‌کند؟
گواهی چه تنها به عنوان یک شناسه باشد یا مجوزی را با خود به همراه داشته باشد، به هر حال مرکز گواهی باید پیش از صدور این گواهی، کاربر آن را شناسایی کند.
اگر بخواهید هویت را در اینترنت اثبات کنید، در صورتی می‏توانید این کار را انجام دهید که یک راز مشترک با هدف داشته و کانالی هم برای برملا کردن این راز در اختیار داشته باشید.

در عین حال، حتی اگر کاربر به هر شکلی شناسایی شود، مرکز گواهی چطور اطمینان حاصل خواهد کرد که فرد کنترل‏کننده کلید خصوصی مترادف با این گواهی، همان کاربر شناسایی‌شده خواهد بود؟ از نظر برخی مراکز گواهی این مساله اصلا ربطی به آنها ندارد. برخی مراکز گواهی هم شاید کاربر را ملزم به امضای توافقنامه‏ای در همان ابتدای کار بکنند.

مشکلات صدور مجوز
مثال۱) در این نمونه هیچ مشکلی وجود ندارد. آلیس با کارول ملاقات کرده و هویت او را تایید می‌کند. کارول اثبات می‌کند که او کلید را کنترل می‌کند.

مثال۲) در این نمونه باب هیچ تصور ذهنی‌ای از کارول ندارد لذا نام کارول هیچ معنی‌ای برای باب ندارد.

مثال۳) در این نمونه باب می‌خواهد بداند چه کسی از کلید استفاده می‌کند اما راهی برای ملاقات کارول ندارد. باب باید مطمئن شود که کارول از کلید استفاده می‌کند. اما برای این کار، باب باید رابطه الف را با استفاده از روابط ب و ج ایجاد کند. رابطه ب گواهی آلیس است. رابطه ج مقایسه برخی تصورات ذهنی است اما کسی نمی‌داند چطور باید این کار را انجام دهد.

مثال۴) در این نمونه باب و آلیس به جای تصورات ذهنی، نام‌ها را مقایسه می‌کنند. مشکل این است که شاید از نام کارول برای افرادی متفاوت استفاده کنند بدون اینکه از این مساله مطلع باشند، زیرا فقط نام را مقایسه می‌کنند.

مثال۵) مشکل نمایش داده‌شده در نمونه ۲ تا ۴ را به خاطر آورید، مشکلاتی را که در صورت تمایل آلیس و باب به ایجاد ارتباط ممکن است به وجود آید، تصور کنید.

الف. فردی به کامپیوتر آلیس حمله کند.
ب. فردی سندی به آلیس نشان می‌دهد تا تایید او را برای امضا دریافت و بعد سند دیگری را برای امضا ارسال کند.
ج. کسی کلید آلیس را از داخل کامپیوترش یا رمز عبور کلیدهایش را بدزدد.
د. کسی تلاش کند به کانال محافظت‌شده با رمزنگاری حمله کند (اما احتمالا ارزش امتحان را هم ندارد چون راه‏های مختلفی وجود دارد).

ه‍. کسی کلید آلیس را با کلید خودش عوض می‏کند. کلید آلیس با گواهی دیجیتال محفاظت می‌شود، حمله‌کننده می‌تواند کلید ریشه گواهی را تغییر دهد و برای کلید خودش گواهی صادر کند.
ی. کسی به باب درباره معتبر بودن امضا دروغ بگوید.

نکته اینجاست که ارتباط‏های بسیاری در این مسیر هستند که با رمزنگاری محفاظت نشده‌اند. این ارتباطات را می‌توان تغییر داد و چیزی را که واقعا از طرف آلیس نیست یا او قصد ارسالش را نداشته در برابر باب قرار داد.

خطر شماره ۹: استفاده از گواهی‏‌ها تا چه حد امن است؟
گواهینامه‏ها اکسیرهای جادویی امنیت نیستند که وقتی قطره‏ای از آن را به سیستم خود اضافه کنید، کاملا امن شود. آیا این گواهینامه‌‏ها با دقت امنیتی بالا ایجاد شده‏اند یا تنها تقلیدی از فعالیت‏های یک منبع دیگر بوده‏اند؟ بسیاری از این موارد و حتی بخشی از استانداردها نیز تنها تقلیدی از کارهای دیگر بوده‌اند که با بررسی گذشته‌شان متوجه می‌شوید در قالب گزینه‏های اختیاری افرادی شروع به فعالیت کرده بودند که اساسا به دنبال پاسخ‏های واقعی هم نبوده‌اند.

هر کلید در علم رمزنگاری یک عمر معین و در عین حال یک عمر سرقت دارد که تابعی از آسیب‌پذیری سیستم ذخیره‌کننده، میزان دسترسی به سیستم و شبکه، جذابیت کلید برای حمله‌کنندگان و… است. از این موارد، می‌توان احتمال از دست رفتن کلید را به عنوان تابعی از زمان و کاربرد، محاسبه کرد. آیا فروشنده این محاسبه را انجام می‌دهد؟ برای غیرمعتبر خواندن کلید، چه مرزهایی در نظر گرفته می‌شود؟

آیا فروشنده از ابطال کلید یا گواهی پشتیبانی می‏کند؟ لیست گواهی‌های ابطال‌شده (CRL) در برخی استانداردهای گواهی گنجانده شده اما بسیاری از این کار خودداری می‏کنند چون معتقدند مشابه روش منسوخ انتشار لیست شماره‏های بدحساب است که در سوپرمارکت‌ها عرضه می‌شد. این CRLها نیز به اندازه آنها بزرگ و منسوخ انگاشته می‌شوند. با این وجود اگر از CRL استفاده نشود چطور می‌توان ابطال را مدیریت کرد؟

در فرآیند مدیریت ابطال، چطور می‌توان سوءفعالیت یک گواهی را تشخیص داد تا اقدام به این ابطال کرد؟ این بدان معنی است که آیا مالک گواهی می‏تواند منکر انجام امضایی در گذشته شود؟ در این صورت، آیا امضاها به گونه‌ای تاریخ‏گذاری می‏شود که فرد بتواند امضاهای معتبر را از نامعتبر تشخیص دهد؟ آیا تاریخ‌گذاری با خدمات امن مهر زمانی انجام می‌شود؟

کلیدهای عمومی ایجادشده چقدر طول دارند و چرا این طول انتخاب شده است؟ آیا فروشنده از کلیدهای ۵۱۲ بیتی RSA تنها به دلیل سریع بودن آنها پشتیبانی می‌کند یا کلیدهای ۲۰۴۸ بیتی را تنها به این دلیل کنار گذاشته که کسی گفته به نظرش این کلیدها ناامن هستند؟

آیا استفاده مناسب از این گواهی‏ها نیازمند اقدام کاربر است؟ آیا کاربران چنین اقداماتی را انجام می‌دهند؟ به طور مثال، وقتی اتصال SSL را از طریق مرورگر خود ایجاد می‌کنید، به صورت بصری هم می‌توان مشاهده کرد که اتصال SSL موفق بوده و ارتباط رمزنگاری شده است. اما کسی که به صورت امن با او صحبت می‌کنید چطور؟ تا زمانی که برای خواندن گواهی دریافتی وقت نگذارید، متوجه نخواهید شد.
حتی در این صورت نیز، شاید باز هم متوجه نشوید (خطر شماره ۴ بالا) اما در غیر این صورت مانند این است که به اتاقی ناشناس با چراغ‌های خاموش وارد شوید: شاید بدانید کس دیگری هم در اتاق است و گفت‌وگوی شما با او خصوصی است اما تا زمانی که ندانید این فرد دیگر کیست، نباید هیچ اطلاعات سری‌ای را با او در میان بگذارید.

خطر شماره ۱۰: اصلا چرا از روندهای مرکز گواهی استفاده می‏کنیم؟
کارمند یکی از فروشندگان PKI سال‌ها قبل به ما گفت آنها در فروش PKI خود بسیار موفقند اما مشتریان هنوز ناراضی هستند. وقتی مرکز گواهی نصب شد و تمامی کارمندان گواهینامه‏های خود را دریافت کردند، مشتری رو به فروشنده PKI کرد و پرسید چطور به صورت ورود یکپارچه (SSO) عمل کنیم؟ و پاسخ این بود که نمی‌توانید این کار را انجام دهید چون نیازمند تغییرات زیرساختی و نرم‌افزاری گسترده است.

شاید مکانیسم ورود یکپارچه (Single Sign-On)قاتل PKI باشد. بر اساس SSO شما صبح وارد محل کار خود می‌شوید، کارت هوشمند و سپس PIN فعال‌کننده آن را وارد می‏کنید و بقیه روز نیاز به ورودهای مجدد ندارید. تمامی این کارها توسط مکانیسم SSO برای شما انجام می‌شود، جذاب است؟ مسلما جذاب است چون گرفتن مجوز خسته‌کننده است، هر کاری برای اجتناب از این بخش برایمان جذاب خواهد بود لکن متاسفانه ارزش امنیتی صدور مجوز به طور کامل با مکانیسم SSO از بین می‏رود. قرار است این مجوزها تضمین کنند که کاربر در زمان آزمایش پشت کامپیوتر خود است. بر اساس SSO وقتی کاربر، ناگهان محل کارش را ترک می‌کند، هر فرد عابری می‌تواند سر کامپیوتر آن فرد برود و با استفاده از مکانیسم SSO از همان‌جا وارد شود.

پس چرا این همه اشتیاق برای استفاده از روندهای مرکز گواهی وجود دارد؟ آیا تنها به دلیل تقلید و مد روز است که از این گواهینامه‌ها استفاده می‏کنند؟ آیا تنها برای شانه خالی کردن از زیر بار مسوولیت این کار را می‌کنند یا اینکه بعدها تقصیر را به گردن متخصصان PKI بیندازند؟

با نگاه منصفانه، ارزیابی ما این است که درک و تحقق امنیت دشوار است. مدیران سیستم‌های شلوغ و مدیران آی‌تی برای درک امنیت فرصت کافی ندارند. فقط نشریات تجاری را مطالعه می‏کنند. همین نشریات تجاری با تاثیرپذیری از فروشندگان PKI، از PKI تعریف می‏کنند و فروشندگان PKI هم می‏دانند خوانندگان نشریات تجاری نیازمند کوچک‌ترین ترغیب هستند: «همین یک مورد را خریداری کنید تا امنیت‌تان فراهم شود.» پس همین مورد را سفارش می‌دهند. آنچه در واقعیت اتفاق می‌افتد بسیار کمتر از این وعده‌هاست اما به هر حال در دنیای تجارت برد با کسانی است که چیزی برای فروش دارند.

نتیجه‌گیری
بروز حملات امنیتی علیه مرکز گواهی (CA) یا مراکز ثبت‌نام گواهی (RA)، رمزنگاری ضعیف، سرقت کلید، حملات SSL و ارائه گواهی‌های تقلبی، مخاطرات ‏امنیتی‌ای فراهم می‏آورد که استفاده یا سودمندی مورد انتظار از زیرساخت کلید عمومی را مورد تردید قرار می‌دهد، چنین حملاتی به احتمال زیاد مجددا رخ می‌دهد و مستلزم طراحی و اجرای اقدام‌های متقابل به‌موقع است، به‌ خصوص در مورد نحوه اعتبارسنجی گواهی هنگام ارائه سرویس‏های مالی به مشتریان، ابطال گواهی و مجوزدهی به گواهی که باید در مطالعات آتی مورد توجه قرار گیرد.

مرجع : ماهنامه پیوست

تاریخ انتشار : جمعه ۱۳ دی ۱۳۹۲ ساعت ۱۰:۰۰

این صفحه را در گوگل محبوب کنید

[ارسال شده از: افتانا]

[مشاهده در: www.aftana.ir]

[تعداد بازديد از اين مطلب: 39]

اضافه شدن مطلب/حذف مطلب

صفحات پیشنهادی

نماينده مجلس بحرين: برقراري امنيت با زنداني كردن وترساندن مردم امكان پذيرنيست

نماينده مجلس بحرين برقراري امنيت با زنداني كردن وترساندن مردم امكان پذيرنيست تهران واحد مركزي خبر سياسي 1392 09 23 يكي از نمايندگان مجلس بحرين ادعاي وزير كشور مبني بر نبود خشونت در بحرين را محكوم كرد و گفت امنيتي كه از طريق ترساندن و به زندان انداختن مردم به وجود بيايد شكن

فرستاده بان كي مون:شوراي امنيت نگران اوضاع ليبي است

فرستاده بان كي مون شوراي امنيت نگران اوضاع ليبي است تهران واحد مركزي خبر سياسي 1392 09 27 00 55 54 06 فرستاده دبير كل سازمان ملل به ليبي از نگراني شوراي امنيت درباره اوضاع اين كشور خبر داد به گزارش شبكه تلويزيوني اسكاي نيوز عربي طارق متري گفت شمار اندكي از اعضاي شوراي امني

نماينده جمهوري اسلامي ايران در شوراي امنيت: ثبات افغانستان ضامن امنيت منطقه است

نماينده جمهوري اسلامي ايران در شوراي امنيت ثبات افغانستان ضامن امنيت منطقه است نيويورك واحد مركزي خبر سياسي 92 9 27 نماينده كشورمان در سازمان ملل متحد در نشست شوراي امنيت با موضوع افغانستان گفت تقويت امنيت و استقرار ثبات در افغانستان براي امنيت منطقه و جهان مهم است و لازمه اي

نگاه امنيتي و انتظامي به آسيب‌هاي اجتماعي موجب زيرزميني شدن آن ها مي شود

نگاه امنيتي و انتظامي به آسيب‌هاي اجتماعي موجب زيرزميني شدن آن ها مي شود رييس انجمن مددكاران اجتماعي ايران با اشاره به اينكه براي مقابله با آسيب هاي اجتماعي بايد از رويكرد اجتماعي بهره گرفت گفت در مقابله با آسيب هاي اجتماعي تا حد امكان بايد از تحميل رويكردهاي انتظامي و قضايي خو

معاون وزير ارتباطات: امنيت فضاي سايبر نيازمند مشاركت همه كشورها است

معاون وزير ارتباطات امنيت فضاي سايبر نيازمند مشاركت همه كشورها است به گزارش خبرآنلاين و به نقل از روابط عمومي سازمان تنظيم مقررات و ارتباطات راديوئي دكتر علي‌اصغر عميديان در كنفرانس همكاري جهاني در زمينه امنيت فضاي سايبر چالش‌ها و چشم‌اندازها در باكو با اشاره به مطلب فوق افز

امريكا بر تعهد امنيتي قاطع خود در قبال كره جنوبي تاكيد كرد

امريكا بر تعهد امنيتي قاطع خود در قبال كره جنوبي تاكيد كرد تهران واحد مركزي خبر سياسي 1392 09 27 يك مقام ارشد امريكايي روز سه شنبه مجددا بر تعهد امنيتي قاطع واشنگتن از كره جنوبي تاكيد كرد و وعده داد كه امريكا به هماهنگي نزديك با سئول در تلاشها جهت غيرهسته اي كردن شبه جزيره كره

تلاش دشمن براي ايجاد جنگ‌هاي فرقه‌اي در داخل كشور/ تدابير امنيتي ناجا براي اربعين حسيني(ع)

تلاش دشمن براي ايجاد جنگ‌هاي فرقه‌اي در داخل كشور تدابير امنيتي ناجا براي اربعين حسيني ع فرمانده نيروي انتظامي در قم گفت دشمن تلاش بسياري براي راه‌اندازي جنگ‌هاي فرقه‌اي در ايران دارد درحالي‌كه با هوشياري علماي شيعه و سني و تدابير داهيانه مقام معظم رهبري ايران در چنين دامي ني

5چشم آژانس امنيت ملي آمريكا در جهان

5چشم آژانس امنيت ملي آمريكا در جهان ۵كشور با آژانس امنيت ملي آمريكا در زمينه جاسوسي هاي مختلف همكاري مي كرده اند طبق يكي از اسنادي كه ادوارد اسنودن افشا كرده است ۵كشور با آژانس امنيت ملي آمريكا در زمينه جاسوسي هاي مختلف همكاري مي كرده است به گزارش گروه وبگردي باشگاه خبرنگارا

نماينده دائم ايران در سازمان ملل: استقرار ثبات در افغانستان دز امنيت منطقه موثر است

نماينده دائم ايران در سازمان ملل استقرار ثبات در افغانستان دز امنيت منطقه موثر است خزاعي با اشاره به حضور ميليون‌هاي پناهنده افغاني در كشورهاي همسايه تاكيد كرد كه بايد زمينه براي بازگشتن آن‌ها فراهم شود نماينده دائم ايران در سازمان ملل استقرار ثبات در افغانستان دز امنيت منطقه

بشار جعفري: شوراي امنيت بايد عربستان ،‌ قطر و تركيه را تحت فشار قرار دهد

بشار جعفري شوراي امنيت بايد عربستان ‌ قطر و تركيه را تحت فشار قرار دهد تهران واحد مركزي خبر سياسي 1392 09 27 00 10 02 19 نماينده دائم سوريه در سازمان ملل متحد بر لزوم عمل كردن شوراي امنيت سازمان ملل به مسئوليت هايش تأكيد كرد و گفت اين شورا بايد نظام هاي عربستان قطر و تركي

خزاعي:ايران به همكاري براي تقويت امنيت در افغانستان ادامه مي‌دهد

خزاعي ايران به همكاري براي تقويت امنيت در افغانستان ادامه مي‌دهد محمد خزاعي ابراز اميدواري كرد برگزاري موفقيت‌آميز انتخابات در افغانستان به تقويت هرچه بيشتر وفاق ملي و ثبات سياسي در اين كشور منجر شود به گزارش خبرگزاري دانشجويان ايران ايسنا سفير و نماينده دائم ايران نزد سازمان

نماينده مردم لردگان در مجلس:دلالان تحريم از سوي دستگاه‌هاي امنيتي و انتظامي شناسايي شوند

نماينده مردم لردگان در مجلس دلالان تحريم از سوي دستگاه‌هاي امنيتي و انتظامي شناسايي شوند نماينده مردم لردگان در مجلس شوراي اسلامي گفت افراد حقيقي و حقوقي كه با عنوان دلالان تحريم شناخته مي‌شوند بايد توسط دستگاه‌هاي امنيتي انتظامي و قضايي شناسايي شوند مجيد جليل امروز در گفت‌و‌

شوراي امنيت اسرائيل و لبنان را به خويشتنداري فراخواند

شوراي امنيت اسرائيل و لبنان را به خويشتنداري فراخواند به دنبال كشته شدن يك سرباز اسرائيلي در مرزهاي مشترك لبنان با سرزمين‌هاي اشغالي شوراي امنيت دو طرف را به حفظ آرامش و خويشتنداري دعوت كرد چهارشنبه 27 آذر 1392

گوناگون

چگونه برای دریافت ویزای ایران اقدام کنیم؟ مدارک لازم و نکا...

جاذبه‌های گردشگری ایران در هر فصل، بهترین مقاصد برای سفر

خشونت؛ انتخاب یا غریزه؟ نگاهی عمیق به ریشه‌های خشونت

تأثیر قوانین افشای اموال بر معاملات املاک و مستغلات

راهنمای خرید یو پی اس برای مراکز درمانی و بیمارستانی مطابق...

برترین برند های اسپیکر در بازار برای عاشقان موسیقی

نقش پسته در رژیم غذایی ورزشکاران

مناسب ترین آجیل برای چاقی صورت

طرز تهیه معجون ساده خانگی با طعم عالی

طرز تهیه کیک آجیلی خانگی لذیذ و خوشمزه

طرز تهیه حلوای زعفرانی: دسر مجلسی با عطر و طعم بی‌نظیر