Transcript فهرست
Public Key Infrastructure
vghcghcm
mmmmm
mmmmm
سمیه عابدیان
1389
vghcghcmmmmm
mmmmmmmmm
m
فهرست
انواع تجارت
الزمه تجارت امن
انواع حمالت اينترنتی
سرويس های امنيتی
رمزنگاری
الگوريتم های متقارن
الگوريتم های نامتقارن
توابع درهم سازی
امضاء ديجيتال
گواهی ديجيتال
مرکز صدور گواهی
دفتر ثبت نام
گواهی SSL
مروری بر گواهی ثبت سفارش
vghcghcmmmmm
mmmmmmmmm
انواع تجارت
• تجارت سنتي
vghcghcmmmmm
mmmmmmmmm
m
• تجارت الک ترونيک
فهرست
تجارت سنتي
در روش سنتي؛ مك توب بودن،
اصل بودن و ممهور بودن يك
سند دليل وجود اعتبار ان
است .طرفين به طور حضوري
با هم مذاکره و اسناد را امضا
مي کنند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تجارت الک ترونيک
اما در تجارت الک ترونيک امکان برگزاري جلسات حضوري وجود ندارد .طرفين نمي توانند
با روشهاي سنتي از صحت ادعاها و اسناد اطمينان حاصل کنند.
پس بايد به دنبال راهي بود تا در فضاي سايبر(مجازي) نيز بتوان به مبادلة اطالعات اتكا
نمود .براي اين منظور بايد به امنيت ارسال و دريافت اطالعات به عنوان يك فاك تور
اساسي توجه کرد.
مفهومي كه از امنيت تبادل دادههاي الك ترونيكي به ذهن می رسد ،بايد شامل فرايندي
باشد كه همة عناصر اصلي تشكيل دهنده مبادله را كامل و مطمئن محافظت نمايد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تجارت الک ترونيک -ادامه
دريافت كننده بايد اطمينان حاصل كند كه:
فرستنده همان فرد مورد نظر است و اين امر غير قابل انكار باشد و از طرف
ديگر مطمئن شود كه اطالعات پس از ارسال بواسطة دسترسي غير مجاز و
يا نفوذ در ان تغييري بوجود نيامده است .از نظر فرستنده نيز اين موارد
داراي اهميت هستند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
فرايند احراز هويت
احرازهويت در تجارت سنتي
شناسنامه ،پاسپورت،گذرنامه ،گواهينامه رانندگي ،امضاء ... احرازهويت در تجارت الک ترونيک
گواهي ديجيتال ،امضاي ديجيتالvghcghcmmmmm
mmmmmmmmm
m
فهرست
الزمه تجارت امن
جلوگيری ازحمالت امنيتي
)(Security Attacks
تامين سرويسهاي امنيتي
)(Security Services
استفاده ازسازوکارهاي امنيتي
)(Security Mechanism
vghcghcmmmmm
mmmmmmmmm
m
فهرست
قطع
Interruption
ايجاد پيغام
Fabrication
انواع
حمالت امنيتي
(Security Attacks)
دستكاري دادهها
Modification
فهرست
دسترسي غيرمجاز
Interception
vghcghcmmmmm
mmmmmmmmm
m
ارسال اطالعات به شکل امن
سيستم مقصد
vghcghcmmmmm
mmmmmmmmm
m
سيستم مبدا
فهرست
قطع
Interruption
سيستم مبدا
فهرست
سيستم مقصد
vghcghcmmmmm
mmmmmmmmm
m
دسترسي غير مجاز
Interception
سيستم مقصد
سيستم ثالث
vghcghcmmmmm
mmmmmmmmm
سيستم مبدا
فهرست
دستكاري
دادهها
Modification
سيستم مقصد
vghcghcmmmmm
mmmmmmmmm
m
سيستم مبدا
سيستم ثالث
فهرست
ايجاد پيغام
Fabrication
سيستم مقصد
vghcghcmmmmm
mmmmmmmmm
m
سيستم مبدا
سيستم ثالث
فهرست
محرمانگي
(Confidentiality)
تماميت
(Integrity)
سرويس هاي امنيتي
(Security Services)
انكار ناپذيري
(Non-Repudiation)
فهرست
تصديق صحت
(Authentication)
vghcghcmmmmm
mmmmmmmmm
m
سازوکارهای امنيتي
(Security Mechanism)
مميزي
auditing
فهرست
اجازه
authorization
تائيدهويت
authentication
رمزنگاري
encryption
vghcghcmmmmm
mmmmmmmmm
m
پيغام امن
پيغامي را امن گويند اگر و فقط اگر مشخصات زير را داشته باشد:
• هويتشناسي ):(Authentication
گيرنده يك پيغام هويت يك تاي فرستنده را شناساي ي كند
• محرمانگي ):(Privacy
پيغام دادهاي تنها توسط فرستنده و گيرنده قابل مشاهده باشد
• جامعيت ): (Integrity
پيغام دادهاي را تنها فرستنده ميتواند بدون اين كه تشخيص داده شود تغيير دهد
vghcghcmmmmm
mmmmmmmmm
m
فهرست
برقراري امنيت در تجارت الک ترونيک
Privacy
محرمانگي
Authentication تائيدهويت
Integrity
تماميت
None Repudiationانکارناپذيري
P.A.I.N.
فهرست
vghcghcmmmmm
mmmmmmmmm
m
ابزارهاي ايجاد امنيت در تجارت الك ترونيكي
vghcghcmmmmm
mmmmmmmmm
m
فهرست
رمزنگاري
فهرست
vghcghcmmmmm
mmmmmmmmm
m
رمزنگاري
رمزنگاري علمي است كه با استفاده از رياضيات دادهها را به صورت رمز دراورده و مجددا
ميتواند به حالت عادي برگرداند .اين علم امکان ذخيره سازي اطالعات وهمچنين انتقال
اطالعات بر بستري ناامن را محقق ميسازد .عمل رمزنگاري با استفاده از الگوريتمهاي رياضي
صورت ميپذيرد.
در يك سيستم يك پيغام با استفاده از يك كليد رمز مي شود.پس از ان پيغام رمز شده به گيرنده
منتقل مي شود و در ان جا با استفاده از يك كليد باز مي شود تا پيغام اصلي بدست ايد
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تاريخچه رمزنگاري
سابقه رمز نمودن اطالعات به دوران امپراطوري روم بر ميگردد ،زماني كه ژوليوس سزار پيغامي را براي
فرماندهان خود ميفرستاد چون به پيغام رسان اعتماد نداشت و از اين كه در راه اين پيغام به دست
دشمن بيافتد هراسان بود ،پيغام را به نحو زير تغيير ميداد .تمام حروف Aرا در متن با حرف D
جايگزين ميكرد و تمام حروف Bرا در متن به حرف Eجايگزين مينمود و بدين ترتيب براي بقيه
حروف نيز عمل ميكرد .در حقيقت تمام حروف را با سومين حرف بعد از ان جايگزين ميكرد.
در نتيجه اگر اين متن تغيير يافته به دست كسي ميافتاد كه اين الگوريتم تغيير را نميدانست
نميتوانست اين متن را رمزگشاي ي نموده و از محتويات ان چيزي بفهمد.
به اين الگوريتم Caesar Cipherميگويند.
vghcghcmmmmm
vghcghcmmmmm
mmmmmmmmm
mmmmmmmmm
m
m
فهرست
Caesar Cipher
ABCDEFGHI J KLMNOPQRSTUVWXYZ
DEFGHI J KLMNOPQRSTUVWXYZABC
This is a test
Wklv lv d whvw
فهرست
vghcghcmmmmm
mmmmmmmmm
m
تاريخچه رمزنگاري -ادامه
در جنگ جهاني دوم المانهاي نازي به صورت گستردهاي از يك
دستگاه رمزنگاري الك ترومكانيكي به نام انيگما كه در سال 1932
ساخته شده بود استفاده نمودند.
vghcghcmmmmm
mmmmmmmmm
m
Enigma
فهرست
تاريخچه رمزنگاري -ادامه
تا اواسط دهه 70ميالدي رمزنگاري جزو علومي بود كه فقط در موارد ويژه توسط دولتها و متخصصين
نظامي استفاده ميگرديد .اين وضعيت در سال 1976ميالدي با پياده سازي "رمزنگاري كليد عمومي"
توسط Hellmanو Diffieبه نحو شايستهاي تغيير كرد .اين كار انها مشكل بزرگي را در
سيستمهاي رمزنگار كه همانا مسئله تبادل كليد بود حل كرد.
Hellmanو Diffieراهي براي برپاسازي يك كانال ارتباطي ايمن بين دونفر بدون نياز به
مالقات انها پيدا كردند .در ان زمان رمزنگاري به خوبي درك شده بود ولي هيچكس درك درستي از شيوه
مديريت كليدهاي ي كه اطالعات را رمز ميكنند نداشت.
Hellmanو Diffieراهي براي استفاده از محاسبات ساده عددي بر روي اعداد بزرگ براي
توافق بر سر كليد پيدا كردند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تاريخچه رمزنگاري -ادامه
پس از نظريه رمزنگاري كليد عمومي Hellmanو ،Diffie
سيستمهاي كليد عمومي بسياري طراحي شدهاند كه هركدام در كاربردي
خاص برتريهاي مربوط به خود را دارا ميباشند .سيستمهاي رمزكليد عمومي
عموما بر پايه حلناپذيري محاسباتي يك مساله پيچيده بنا ميشوند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
الگوريتمهاي
رمزنگاري
الگوريتمهاي متقارن
)(Symmetric
vghcghcmmmmm
mmmmmmmmm
m
الگوريتمهاي نامتقارن
)(Asymmetric
توابع درهم سازي
)(Hash
فهرست
الگوريتمهاي متقارن
در رمز نگاري كليد پنهاني كه به عنوان رمز نگاري متقارن شناخته مي شود ،از يك كليد
براي رمز گذاري و رمزگشاي ي پيغام استفاده مي شود .بنابراين فرستنده و گيرنده پيغام بايد
يك راز مشترك داشته باشند كه ان كليد است.
يك الگوريتم مشهور رمزنگاري ”استاندارد رمزگذاري داده“ يا DES (Data
) Encryption Standardمي باشد كه در مؤسسات مالي براي رمز كردن شماره هويت
فردي يا ) PIN (Personal Identity Numberاستفاده مي شود.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
کاربرد رمزنگاری متقارن
براي رمزگذاري حجم زيادي از اطالعات استفاده ميشود.
هنگامي كه همراه با گواهي ديجيتال استفاده گردد؛ باعث حفظ محرمانگي
اطالعات است.
زمانی كه با امضاء الك ترونيكي استفاده گردد؛ تماميت پيغام را تضمين
مينمايد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
الگوریتم های متقارن
رمزنگاری
پیام رمزشده
پیام اولیه
رمزگشاي ی
vghcghcmmmmm
mmmmmmmmm
m
فهرست
الگوریتم متقارن
اليس
Hi
3$r
باب
3$r
اليس
Hi
فهرست
3$r
Hi
باب
3$r
Hi
vghcghcmmmmm
mmmmmmmmm
m
مديريت كليد
كليدهاي متقارن بايد از طريق يك كانال ايمن توزيع شوند و بايد به صورت ادواري
تغيير كنند .مثال:
تعداد كليد هاي مورد نياز
تعداد افراد در ارتباط
6
4
15
6
66
12
49950
1000
vghcghcmmmmm
mmmmmmmmm
m
n*(n-1)/2
فهرست
تحليل الگوريتمهاي متقارن
مزايا
معايب
سرعت باال هنگام رمزگذاري
توليد كليد بطور تصادفي و سريع
تعدد كليدها براي اعضاي هر ارتباط
توزيع كليد بين طرفين ارتباط
موارد استفاده
رمزگذاري حجم زيادي از اطالعات هنگام ذخيره روي رسانه ناامن
رمزنگاري
vghcghcmmmmmدادهها هنگام انتقال توسط رسانه ناامن
mmmmmmmmm
m
فهرست
الگوريتمهاي نامتقارن
اين روش از دو كليد استفاده ميكند.
يك كليد براي رمزنگاري و ديگري براي رمز گشاي ي.
دو كليد از نظر رياضي با هم ارتباط دارند به گونه اي كه داده رمزنگاري شده با
هريك قابل رمزگشاي ي با ديگري مي باشد.
هر كاربر دو كليد دارد :كليد عمومي و كليد خصوصي.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
الگوريتم هاي نا متقارن
Asymmetric Algorithms
رمزنگاری
کلید 1
پيام رمزشده
پيام اولیه
کلید 2
رمزگشای ی
vghcghcmmmmm
mmmmmmmmm
m
فهرست
رمزنگاری
پيام رمزشده
vghcghcmmmmm
mmmmmmmmm
m
پيام اوليه
رمزگشاي ی
فهرست
الگوریتم های نامتقارن
باب
اليس
Hello
3$r
باب
3$r
اليس
Hello
cy7
کليدهای باب
vghcghcmmmmm
mmmmmmmmm
m
Hello
كليد 2
كليد 1
Hello
cy7
کليدهای اليس
كليد 4
كليد 3
فهرست
الگوريتمهاي نامتقارن
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تحليل الگوريتمهاي نامتقارن
مزايا
معايب
عدم نياز به توزيع و ارسال كليد
سرعت پائين در حجم اطالعات باال
پيچيدگي توليد كليد
موارد استفاده
در تكنولوژي امضاي ديجيتال
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تحليل الگوريتمهاي نامتقارن -ادامه
براي رمز كردن داده براي هر طرف شركت كننده فقط به كليد عمومي ان شركت
كننده نياز است در نتيجه تنها تاييد كليد عمومي شركت كننده ها الزم است.
مهم ترين ويژگي هاي تكنيك نامتقارن غير قابل انكار بودن ،امضاي ديجيتالي
وتاييد منبع داده اي صحيح مي باشد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تحليل الگوريتمهاي نامتقارن -ادامه
در رمزنگاري نامتقارن بازرگان يك جفت كليد عمومي و خصوصي ايجاد مي كند و
كليد عمومي را منتشر مي كند تا مصرف كنندگان از طريق ان كليد ،پيغامهايشان را
رمز كرده براي او بفرستند.
در نهايت بازرگان به عنوان تنها دارنده كليد خصوصي ،تنها كسي است كه می
تواند پيغامهاي رمز شده با ان كليد عمومي را باز كند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
توابع درهم سازي
الگوريتمهاي درهم سازي يا Hashبر خالف دو الگوريتم ذكر شده از كليد
استفاده نميكنند و عمل رمزنگاري به صورت يكطرفه بر روي اطالعات انجام
ميدهند .عملكرد اين توابع بر روي دادهها بدين شكل است كه با اعمال يك تابع
Hashبر روي يك متن ،يك چكيده يا دايجست از متن بدست ميايد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
كاركرد توابع درهم سازي
خروجي
ورودي
Digest
vghcghcmmmmm
mmmmmmmmm
m
فهرست
توابع درهم سازي
Hashفرايندی است که بصورت رياضی حجم يک جريان از داده را به يک
طول ثابت کاهش می دهد( .معموال 128و يا 160بيت)
عملکرد hashمشابه اثرانگشت يک شخص می باشد.
اثرانگشت ،پارامتری منحصربفرد به منظور تشخيص هويت افراد بوده و در ادامه
با استفاده از ان امکان دستيابی به ساير مشخصات افراد نظير :رنگ چشم ،قد،
جنسيت و ساير موارد دلخواه ،فراهم می گردد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
كاركرد توابع درهم سازي
خروجي
vghcghcmmmmm
mmmmmmmmm
m
ورودي
فهرست
ويژگی های توابع درهم سازی
• امکان استنتاج ورودی از طريق خروجی وجود ندارد.
• نمی توان دو ورودی را پيدا کرد که به ازای انان خروجی يکسانی توليد گردد .درواقع
احتمال توليد مقادير Hashيکسان برای دو مجموعه متفاوت از داده ها کمتر از
0.001درصد است.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تحليل توابع درهم سازي
مزايا
• عدم نياز به توليد و ارسال كليد
• سرعت بسيار باال
موارد استفاده
• تضمين تماميت پيغام
vghcghcmmmmm
mmmmmmmmm
m
فهرست
امضاء ديجيتال
فهرست
vghcghcmmmmm
mmmmmmmmm
m
امضاي ديجيتال
•
•
تعاريف و مفاهيم اوليه
نحوه بكارگيري و پوشش امنيتي
vghcghcmmmmm
mmmmmmmmm
m
فهرست
تعريف
• امضا ديجيتال
– همان قفل کردن اطالعات می باشد.
– قابل جعل و تغيير نمی باشد.
– براساس رمزنگاري ميباشد.
• امضا دستي
– تقريبا هميشه همانند به نظر ميايد.
– ميتواند جعل شود.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
نحوه امضاء يك پيغام ديجيتال
Message
hash الگوريتم
Message
Digital Signature
Hash Function
کليد خصوصی فرستنده
فهرست
Message Digest
Digital Signature
160 bit Value
دايجست رمزشده
vghcghcmmmmm
mmmmmmmmm
m
اعتبارسنجي امضاء ديجيتال
اليس
کليد
عمومی باب
vghcghcmmmm
mmmmmmmm
باب
کليد
خصوصی باب
فهرست
كاركرد امضاء ديجيتال
فرستنده از پيغام يك دايجست ايجاد ميكند.
انرا با كليد خصوصي خود رمز ميكند.
به همراه پيغام ارسال ميدارد.
گيرنده از متن پيغام دريافت شده يك دايجست ايجاد ميكند.
گيرنده از كليد عمومي فرستنده استفاده ميكند.
دايجست رمز شده را از حالت رمز خارج ميسازد.
گيرنده دو دايجست را با هم مقايسه ميكند.
اگر همسان بودند ،تماميت داده و هويت فرستنده مورد تائيد قرار ميگيرد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
اجزاء اصلی الگوی جامع شناساي ی امضای ديجيتال
ارائه مجوز به مرکز گواهی هويت.
صدور ،تعليق و لغو گواهی صادر شده به وسيله مرکز.
وظايف ،ضمانت ها و تعهدات مراجع دارای مجوز ،مشترکين ،طرف های سوم
و محل نگهداری کليد.
قواعد مخصوص شناساي ی و اعتبار امضای ديجيتال.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
امضاي الك ترونيكي زماني معتبر است كه :
اختصاص به شخص استفاده كننده داشته باشد.
قابليت تطبيقدهي داشته باشد.
تحت كنترل انحصاري شخص استفاده كننده باشد.
طوري به داده متصل شود كه اگر داده تغييركرد امضا بي اعتبار شود.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
خدمات ارائه شده توسط امضاء ديجيتال
•
Authentication
تائيد هويت
گيرنده ميتواند مطمئن باشد كه فرستنده كيست.
• تماميت
Integrity
گيرنده ميتواند مطمئن باشد كه اطالعات حين انتقال تغيير پيدا نكرده است.
• انكارناپذيري
None Repudiation
فرستنده نمي تواند امضا داده را انكار نمايد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
امضاء الك ترونيكي و محرمانگي
كليد عمومي باب
كليد تصادفي
كليد تصادفي
اليس
كليد خصوصي باب
بسته پيغام
باب
vghcghcm
اعتبارسنجي امضاي ديجيتال
P
كليد خصوصي اليس
فهرست
ارسال يك متن براي چند نفر
اليس
كليد عمومي باب
كليد خصوصي باب
كليد خصوصي بيل
كليد عمومي بيل
كليد خصوصي تام
vghcghcmmmmm
mmmmmmmmm
m
كليد عمومي تام
بسته پيغام
فهرست
گواهي ديجيتال
فهرست
vghcghcmmmmm
mmmmmmmmm
m
گواهينامه ديجيتال چيست؟
سازوکاری برای توزيع کليدهای عمومی.
حاوی اطالعات مربوط به هويت و کليد عمومی صاحب ان.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
كليد عمومي و صاحب ان
فهرست
vghcghcmmmmm
mmmmmmmmm
m
حمله امنيتي
كليد عمومي واقعی باب
vghcghcmmmmm
mmmmmmmmm
m
كليد عمومي باب
كليد عمومي تام
فهرست
حمله امنيتي-ادامه
كليد عمومي تام
باب
Tom’s
File
ََاليس
كليد خصوصي باب
تام
dsfsd
fsdfs
dfsdf
sdfsd
sdfsd
vghcghcmmmmm
mmmmmmmmm
m
كليد عمومي باب
كليد خصوصي تام
Tom’s
File
تغيير
فهرست
الگوريتم های يک امضای ديجيتال
• الگوريتم برای ايجاد کليد
• الگوريتم برای ايجاد امضا
• الگوريتم برای تاييد امضا
vghcghcmmmmm
mmmmmmmmm
m
فهرست
مروري بر گواهي ديجيتال
گواهي ديجيتال ،يك كليد عمومي را به مجموعهاي از اطالعات شناساي ي يك
موجوديت پيوند ميدهد .اين كليد عمومي با يك كليد خصوصي مرتبط ميباشد.
طرف متكي به صحت كليد عمومي موجود در گواهي اعتماد ميكند .ميزان اعتماد
طرف متكي به يك گواهي به عوامل متفاوتي بستگي دارد .اين عوامل شامل روال
تاييد هويت درخواستكننده گواهي ،روالهاي اجراي ي مركز صدور گواهي،
كنترلهاي امنيتي ،تعهدات صاحب امضا (مانند حفاظت از كليد خصوصي) و
تعهدات مركز صدور گواهي (مانند ضمانتها و رفع مسئوليتها) ميباشد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
استاندارد X.509
بر طبق اين استادارد اطالعاتی که در گواهینامه ديجيتال صادر میشود شامل موارد زير میباشد:
• نسخه گواهینامه
• شماره سريال
• الگوريتم مورد استفاده
• صادر کننده گواهی
• بازه زمانی اعتبار
• کليد عمومی فردی که گواهینامه برای او صادر شده است.
• امضای صادر کننده گواهینامه
• هويت فردی که گواهینامه برای او صادر شده است.
مشخصاتی که در اين قسمت ثبت میشود متفاوت بوده و وابسته به نوع گواهینامه میباشد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
امنيت امضای ديجيتال
امنيت الگوريتم رمزنگاری کليد عمومی
امنيت توابع درهم سازی
امنيت کليد خصوصی
vghcghcmmmmm
mmmmmmmmm
m
فهرست
مروري بر گواهي ديجيتال
سندي است كه:
توسط يك موجوديت قابل اعتماد صادر و امضاء شده است.
بر اساس تائيد هويتي است كه توسط يك مركز صورت گرفته است.
حاوي يكسري اطالعات و كليد عمومي شخص يا سازمان است.
مورد استفاده ان در گواهي قيد شده است.
داراي مدت اعتبار مشخص و محدود است.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
كاركرد گواهي ديجيتال
فرستنده يك كليد متقارن توليد ميكند.
دادهها را بوسيله کليد متقارن به رمز درميايند.
فرستنده از كليد عمومي گيرنده استفاده ميكند.
كليد متقارن را به حالت رمز درمی اورد.
به همراه متن رمزنگاري شده براي گيرنده ارسال مينمايد.
گيرنده از كليد خصوصي خود استفاده كرده.
كليد متقارن را از حالت رمز خارج ميسازد.
استفاده از كليد متقارن پيغام را رمزگشاي ي ميكند.
گيرنده با
vghcghcmmmmm
mmmmmmmmm
m
فهرست
مركز صدور گواهي
فهرست
vghcghcmmmmm
mmmmmmmmm
m
مركزصدورگواهي
)(Certification Authority
مراکزی هستند که وظيفه صدور ،حفاظت ،انتشار و ابطال گواهینامه ديجيتال
را بر عهده دارند.
کليدهای عمومی اين شرکتها به صورت پيش فرض در مرورگرهای اينترنتی قرار
دارد.
تاييد هويت افراد به صورت سلسله مراتبی انجام میشود:
• مراکز صدور گواهی ريشه
• مراکز ميانی صدور گواهی
• دفاتر ثبت نام
vghcghcmmmmm
mmmmmmmmm
فهرست
انواع مراكز صدور گواهي
• مركز صدور گواهي ريشه ()Root CA
وظيفه مركز صدور گواهي ريشه صدور گواهي براي مراكز صدور گواهي
مياني است.
• مركز صدور گواهي مياني ()Intermediate CA
وظيفه مركز صدور گواهي مياني ،صدور گواهي براي درخواست
كنندگاني است كه هويت انها مورد تاييد دفتر ثبتنام است.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
معرفي اجزاء و كاركرد انها
Root
CA
Intermediate
Intermediate
CA
CA
Valid
درخواست گواهي
CRL
فهرست
RA
RA
RA
RA
vghcghcmmmmm
mmmmmmmmm
m
اجزاء مركز صدور گواهي
مركز صدور گواهي
دايرك توري
مركز اعالم وضعيت گواهي
سياستنامه و اييننامه گواهي ديجيتال
كميته سياست گذاري و راهبري
نرمافزار صدور و مديريت گواهي
سختافزارهاي رمزنگاري
vghcghcmmmmm
mmmmmmmmm
فهرست
وظايف مراكز صدور گواهي
توليد گواهی
انتشار گواهی
ابطال گواهی
تجديد گواهی
مديريت بانکهای اطالعاتی
تدوين سياستهای امنيتی
vghcghcmmmmm
mmmmmmmmm
m
فهرست
دفتر ثبتنام
)(Registration Authority
دفتر ثبتنام مركزي است كه متقاضيان دريافت گواهي ديجيتال براي ارائه
درخواست و تحويل مدارك به انجا مراجعه مينمايند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
وظايف دفتر ثبتنام
دريافت درخواست گواهي
تائيد هويت
ارسال درخواست به مركز صدور
دريافت و تحويل گواهي به صاحب امضاء
دريافت و بررسي درخواستهاي ابطال يا تمديد گواهي
vghcghcmmmmm
mmmmmmmmm
m
فهرست
اهداف دفاتر ثبت نام
تامين امنيت الزم در انجام معامالت و محيط های الک ترونيکی و ترويج فرهنگ استفاده از هويت
الک ترونيکی است.
توليد و ارائه گواهينامه ديجيتال برای تبادالت تجارت الک ترونيکی B2Cو ) B2Bدر حوزه کاال و
خدمات)
تدوين ايين نامه ها و مقررات مربوط به مديريت بر گواهی ديجيتال توليد و عرضه شده.
ارائه خدمت به دفاتر ثبت گواهی ديجيتال ( )RAو دفاتر خدمات گواهی ديجيتال در سراسر
کشور.
ارائه خدمات اموزشی برای استفاده از اين فناوری در سراسر کشور.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
فرايند درخواست گواهي
CA
صاحب امضا
vghcghcmmmmm
mmmmmmmmm
m
دفتر ثبتنام
فهرست
مراحل دريافت گواهينامه ديجيتال
فرد ،Aاز طريق يک نرم افزار توليد کليد ،زوج کليدی برای خود توليد میکند.
فرد ،Aکليد خصوصی خود را در يک محل امن نزد خود نگهداری کرده و کليد عمومی را به همراه
اطالعات هويت خود به مرکز صدور گواهینامه ارسال میکند.
مرکز صدور گواهینامه ،صحت اطالعات ارسال شده از سوی Aرا بررسی کرده و در صورت درست
بودن انها يک گواهینامه ديجيتالی برای Aصادر میکند.
مرکز صدور گواهینامه ( ،)CAگواهی صادر شده را برای ،Aارسال میکند.
فرد ،Aگواهینامه دريافت شده را بررسی میکند تا مطمئن گردد ،کليد عمومی درج شده در
گواهینامه ،کليد خودش است.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
مراحل ابطال گواهینامه ديجيتال
وارد کردن گواهی در ليست گواهینامههای باطل شده ()CRL
گواهینامه به دو صورت ممکن است باطل شود:
• ابطال دائمی:
زمانی که کليد خصوصی يک فرد دزديده شود
• ابطال موقتی:
زمانی که فردی کليد خصوصی خود را گم کند
زمانی تاريخ اعتبار گواهینامه به اتمام برسد
vghcghcmmmmm
mmmmmmmmm
m
فهرست
نحوه دريافت امضاء يا گواهي ديجيتال
دريافت گواهي ديجيتال بر روي لوح فشرده
دريافت گواهي ديجيتال بر روي كارت هوشمند
دريافت گواهي ديجيتال بر توکن
vghcghcmmmmm
mmmmmmmmm
m
فهرست
SSL گواهي
فهرست
vghcghcmmmmm
mmmmmmmmm
m
SSLچيست؟
Secure Socket Layer
راه حلي جهت برقراري ارتباط ايمن ميان يك وب سرور و يك مرورگر اينترنت
پروتكلي پايين تر از اليه كاربرد و باالتر از اليه انتقال
پروتكل امنيتي است كه توسط Netscapeابداع شده است.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
ملزومات يك ارتباط مبتني بر گواهي SSL
دو نوع گواهي ديجيتال SSLيكی براي سرويس دهنده و ديگري براي
سرويس گيرنده
يك مركز صدور و اعطاي گواهينامه ديجيتال يا CA
vghcghcmmmmm
mmmmmmmmm
m
فهرست
سازوکارهاي تشكيل دهنده SSL
تاييد هويت سرويس دهنده
تاييد هويت سرويس گيرنده
ارتباطات رمز شده
vghcghcmmmmm
mmmmmmmmm
m
فهرست
نمايش قفل امنيت SSL
قفل كوچك زرد رنگ در نوار وضعيت مرورگر امنيت سايت
توسط گواهي SSLميباشد.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
وظايف مركز صدور گواهي SSL
صدور و انتشار گواهي ها
ابطال گواهي ها در صورت لزوم
ارسال گواهي ها و ليست گواهي هاي باطل شده به مخزن
اطمينان از نگهداري ايمن كليدهاي خصوصي اين مركز
اگاه سازي و عرضه كننده سرويس مخزن از اين تعهدات
توليد كليدهاي خصوصي مركز صدور گواهي SSLبه طور ايمن
vghcghcmmmmm
mmmmmmmmm
m
فهرست
وظايف دفاتر ثبت نام گواهی SSL
اطمينان از اين كه عمليات ان ها مطابق با دستورالعمل اجراي ی انجام مي گيرد.
احراز هويت صاحبان امضا هنگام درخواست گواهي SSLيا درخواست ابطال گواهي.
اطالع رساني به درخواست كننده گواهي در مورد صدور گواهي درخواست شده.
اطالع رساني به صاحبان امضا در مورد ابطال گواهي ان ها.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
روند کار SSL
هويت سرويس دهنده براي سرويس گيرنده مشخص ميگردد
توافق سرويس دهنده و گيرنده بر سر نوع الگوريتم رمزنگاري
احراز هويت سرويس گيرنده براي سرويس دهنده
ايجاد كليدهاي اشتراكي مخفي
رمزنگاري ارتباطات بر مبناي SSL
vghcghcmmmmm
mmmmmmmmm
فهرست
نحوه عملكرد گواهي SSL
برنامه مرورگر يك كليد متقارن توليد ميكند ودادهها را به وسيله ان به رمز در
مياورد.
مرورگر از كليد عمومي وب سايت استفاده ميكند و كليد متقارن را به حالت رمز در
اورده و به همراه متن رمزنگاري شده براي وب سرور ارسال مينمايد.
وب سرور از كليد خصوصي خود استفاده كرده و كليد متقارن را از حالت رمز خارج
ميسازد.
وب سرور با استفاده از كليد متقارن اطالعات فرستاده شده از برنامه مرورگر را
رمزگشاي ي ميكند.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
استفاده گواهي SSLاز الگوريتمها
استفاده از الگوريتم متقارن و توليد كليد تصادفي براي رمزگذاري اطالعات رد و بدل
شده بين مرورگر و وب سرور.
استفاده از كليد عمومي وب سايت براي رمزنگاري كليدتصادفي.
vghcghcmmmmm
mmmmmmmmm
m
فهرست
گواهي ثبت سفارش
فهرست
vghcghcmmmmm
mmmmmmmmm
m
جايگاه زيرساخت کليد عمومي در ثبت سفارش
• ماهيت ثبت سفارش
-دولت الک ترونيک ،تجارت الک ترونيک ،شفاف سازي
• مخاطبان سيستم
-بازرگانان و تجار ،کارشناسان ،مديران
• نيازهاي امنيتي ثبت سفارش اينترنتي
محرمانگي ،تماميت ،امضاي ديجيتال ،عدم انکارvghcghcmmmmm
mmmmmmmmm
m
فهرست
پياده سازي زيرساخت کليد عمومي در ثبت سفارش
• استفاده از بستر SSLبه منظور تامين امنيت بستر انتقال اطالعات
• استفاده ازگواهي ديجيتال به منظور احراز هويت کاربر
• استفاده از امضاي ديجيتال به منظور:
اطمينان از صحت اطالعات ارائه شده توسط کاربر اطمينان از تماميت داده هاي موجود در بانک اطالعاتي تشخيص دسترسي و تغيير غيرمجاز اطالعاتvghcghcmmmmm
mmmmmmmmm
m
فهرست
روش اجرائي پياده سازي
•
•
•
فرايند ورود به سيستم
• کنترل گواهينامه ديجيتال
• امضاي کد کاربري و رمز عبور ارسالي به سرور
• تصديق اطالعات ارسالي از کالينت به سرور با امضاي ديجيتال
فرايند ثبت نام
• ايجاد َهش از محتويات ارائه شده و تصديق ان با بانک اطالعاتي
• امضاي محتويات ارائه شده از طرف کاربر
• تصديق محتويات ثبت شده در بانک اطالعاتي توسط امضاي کاربر
ثبت سفارش
• امضاي محتويات ارائه شده از طرف کاربر
• تصديق محتويات ثبت شده در بانک اطالعاتي توسط امضاي کاربر
• استفاده از مهر زماني به منظور تعيين زمان دقيق انجام عمليات
vghcghcmmmmm
mmmmmmmmm
فهرست