Transcript فهرست
Public Key Infrastructure vghcghcm mmmmm mmmmm سمیه عابدیان 1389 vghcghcmmmmm mmmmmmmmm m فهرست انواع تجارت الزمه تجارت امن انواع حمالت اينترنتی سرويس های امنيتی رمزنگاری الگوريتم های متقارن الگوريتم های نامتقارن توابع درهم سازی امضاء ديجيتال گواهی ديجيتال مرکز صدور گواهی دفتر ثبت نام گواهی SSL مروری بر گواهی ثبت سفارش vghcghcmmmmm mmmmmmmmm انواع تجارت • تجارت سنتي vghcghcmmmmm mmmmmmmmm m • تجارت الک ترونيک فهرست تجارت سنتي در روش سنتي؛ مك توب بودن، اصل بودن و ممهور بودن يك سند دليل وجود اعتبار ان است .طرفين به طور حضوري با هم مذاکره و اسناد را امضا مي کنند. vghcghcmmmmm mmmmmmmmm m فهرست تجارت الک ترونيک اما در تجارت الک ترونيک امکان برگزاري جلسات حضوري وجود ندارد .طرفين نمي توانند با روشهاي سنتي از صحت ادعاها و اسناد اطمينان حاصل کنند. پس بايد به دنبال راهي بود تا در فضاي سايبر(مجازي) نيز بتوان به مبادلة اطالعات اتكا نمود .براي اين منظور بايد به امنيت ارسال و دريافت اطالعات به عنوان يك فاك تور اساسي توجه کرد. مفهومي كه از امنيت تبادل دادههاي الك ترونيكي به ذهن می رسد ،بايد شامل فرايندي باشد كه همة عناصر اصلي تشكيل دهنده مبادله را كامل و مطمئن محافظت نمايد. vghcghcmmmmm mmmmmmmmm m فهرست تجارت الک ترونيک -ادامه دريافت كننده بايد اطمينان حاصل كند كه: فرستنده همان فرد مورد نظر است و اين امر غير قابل انكار باشد و از طرف ديگر مطمئن شود كه اطالعات پس از ارسال بواسطة دسترسي غير مجاز و يا نفوذ در ان تغييري بوجود نيامده است .از نظر فرستنده نيز اين موارد داراي اهميت هستند. vghcghcmmmmm mmmmmmmmm m فهرست فرايند احراز هويت احرازهويت در تجارت سنتي شناسنامه ،پاسپورت،گذرنامه ،گواهينامه رانندگي ،امضاء ... احرازهويت در تجارت الک ترونيک گواهي ديجيتال ،امضاي ديجيتالvghcghcmmmmm mmmmmmmmm m فهرست الزمه تجارت امن جلوگيری ازحمالت امنيتي )(Security Attacks تامين سرويسهاي امنيتي )(Security Services استفاده ازسازوکارهاي امنيتي )(Security Mechanism vghcghcmmmmm mmmmmmmmm m فهرست قطع Interruption ايجاد پيغام Fabrication انواع حمالت امنيتي (Security Attacks) دستكاري دادهها Modification فهرست دسترسي غيرمجاز Interception vghcghcmmmmm mmmmmmmmm m ارسال اطالعات به شکل امن سيستم مقصد vghcghcmmmmm mmmmmmmmm m سيستم مبدا فهرست قطع Interruption سيستم مبدا فهرست سيستم مقصد vghcghcmmmmm mmmmmmmmm m دسترسي غير مجاز Interception سيستم مقصد سيستم ثالث vghcghcmmmmm mmmmmmmmm سيستم مبدا فهرست دستكاري دادهها Modification سيستم مقصد vghcghcmmmmm mmmmmmmmm m سيستم مبدا سيستم ثالث فهرست ايجاد پيغام Fabrication سيستم مقصد vghcghcmmmmm mmmmmmmmm m سيستم مبدا سيستم ثالث فهرست محرمانگي (Confidentiality) تماميت (Integrity) سرويس هاي امنيتي (Security Services) انكار ناپذيري (Non-Repudiation) فهرست تصديق صحت (Authentication) vghcghcmmmmm mmmmmmmmm m سازوکارهای امنيتي (Security Mechanism) مميزي auditing فهرست اجازه authorization تائيدهويت authentication رمزنگاري encryption vghcghcmmmmm mmmmmmmmm m پيغام امن پيغامي را امن گويند اگر و فقط اگر مشخصات زير را داشته باشد: • هويتشناسي ):(Authentication گيرنده يك پيغام هويت يك تاي فرستنده را شناساي ي كند • محرمانگي ):(Privacy پيغام دادهاي تنها توسط فرستنده و گيرنده قابل مشاهده باشد • جامعيت ): (Integrity پيغام دادهاي را تنها فرستنده ميتواند بدون اين كه تشخيص داده شود تغيير دهد vghcghcmmmmm mmmmmmmmm m فهرست برقراري امنيت در تجارت الک ترونيک Privacy محرمانگي Authentication تائيدهويت Integrity تماميت None Repudiationانکارناپذيري P.A.I.N. فهرست vghcghcmmmmm mmmmmmmmm m ابزارهاي ايجاد امنيت در تجارت الك ترونيكي vghcghcmmmmm mmmmmmmmm m فهرست رمزنگاري فهرست vghcghcmmmmm mmmmmmmmm m رمزنگاري رمزنگاري علمي است كه با استفاده از رياضيات دادهها را به صورت رمز دراورده و مجددا ميتواند به حالت عادي برگرداند .اين علم امکان ذخيره سازي اطالعات وهمچنين انتقال اطالعات بر بستري ناامن را محقق ميسازد .عمل رمزنگاري با استفاده از الگوريتمهاي رياضي صورت ميپذيرد. در يك سيستم يك پيغام با استفاده از يك كليد رمز مي شود.پس از ان پيغام رمز شده به گيرنده منتقل مي شود و در ان جا با استفاده از يك كليد باز مي شود تا پيغام اصلي بدست ايد vghcghcmmmmm mmmmmmmmm m فهرست تاريخچه رمزنگاري سابقه رمز نمودن اطالعات به دوران امپراطوري روم بر ميگردد ،زماني كه ژوليوس سزار پيغامي را براي فرماندهان خود ميفرستاد چون به پيغام رسان اعتماد نداشت و از اين كه در راه اين پيغام به دست دشمن بيافتد هراسان بود ،پيغام را به نحو زير تغيير ميداد .تمام حروف Aرا در متن با حرف D جايگزين ميكرد و تمام حروف Bرا در متن به حرف Eجايگزين مينمود و بدين ترتيب براي بقيه حروف نيز عمل ميكرد .در حقيقت تمام حروف را با سومين حرف بعد از ان جايگزين ميكرد. در نتيجه اگر اين متن تغيير يافته به دست كسي ميافتاد كه اين الگوريتم تغيير را نميدانست نميتوانست اين متن را رمزگشاي ي نموده و از محتويات ان چيزي بفهمد. به اين الگوريتم Caesar Cipherميگويند. vghcghcmmmmm vghcghcmmmmm mmmmmmmmm mmmmmmmmm m m فهرست Caesar Cipher ABCDEFGHI J KLMNOPQRSTUVWXYZ DEFGHI J KLMNOPQRSTUVWXYZABC This is a test Wklv lv d whvw فهرست vghcghcmmmmm mmmmmmmmm m تاريخچه رمزنگاري -ادامه در جنگ جهاني دوم المانهاي نازي به صورت گستردهاي از يك دستگاه رمزنگاري الك ترومكانيكي به نام انيگما كه در سال 1932 ساخته شده بود استفاده نمودند. vghcghcmmmmm mmmmmmmmm m Enigma فهرست تاريخچه رمزنگاري -ادامه تا اواسط دهه 70ميالدي رمزنگاري جزو علومي بود كه فقط در موارد ويژه توسط دولتها و متخصصين نظامي استفاده ميگرديد .اين وضعيت در سال 1976ميالدي با پياده سازي "رمزنگاري كليد عمومي" توسط Hellmanو Diffieبه نحو شايستهاي تغيير كرد .اين كار انها مشكل بزرگي را در سيستمهاي رمزنگار كه همانا مسئله تبادل كليد بود حل كرد. Hellmanو Diffieراهي براي برپاسازي يك كانال ارتباطي ايمن بين دونفر بدون نياز به مالقات انها پيدا كردند .در ان زمان رمزنگاري به خوبي درك شده بود ولي هيچكس درك درستي از شيوه مديريت كليدهاي ي كه اطالعات را رمز ميكنند نداشت. Hellmanو Diffieراهي براي استفاده از محاسبات ساده عددي بر روي اعداد بزرگ براي توافق بر سر كليد پيدا كردند. vghcghcmmmmm mmmmmmmmm m فهرست تاريخچه رمزنگاري -ادامه پس از نظريه رمزنگاري كليد عمومي Hellmanو ،Diffie سيستمهاي كليد عمومي بسياري طراحي شدهاند كه هركدام در كاربردي خاص برتريهاي مربوط به خود را دارا ميباشند .سيستمهاي رمزكليد عمومي عموما بر پايه حلناپذيري محاسباتي يك مساله پيچيده بنا ميشوند. vghcghcmmmmm mmmmmmmmm m فهرست الگوريتمهاي رمزنگاري الگوريتمهاي متقارن )(Symmetric vghcghcmmmmm mmmmmmmmm m الگوريتمهاي نامتقارن )(Asymmetric توابع درهم سازي )(Hash فهرست الگوريتمهاي متقارن در رمز نگاري كليد پنهاني كه به عنوان رمز نگاري متقارن شناخته مي شود ،از يك كليد براي رمز گذاري و رمزگشاي ي پيغام استفاده مي شود .بنابراين فرستنده و گيرنده پيغام بايد يك راز مشترك داشته باشند كه ان كليد است. يك الگوريتم مشهور رمزنگاري ”استاندارد رمزگذاري داده“ يا DES (Data ) Encryption Standardمي باشد كه در مؤسسات مالي براي رمز كردن شماره هويت فردي يا ) PIN (Personal Identity Numberاستفاده مي شود. vghcghcmmmmm mmmmmmmmm m فهرست کاربرد رمزنگاری متقارن براي رمزگذاري حجم زيادي از اطالعات استفاده ميشود. هنگامي كه همراه با گواهي ديجيتال استفاده گردد؛ باعث حفظ محرمانگي اطالعات است. زمانی كه با امضاء الك ترونيكي استفاده گردد؛ تماميت پيغام را تضمين مينمايد. vghcghcmmmmm mmmmmmmmm m فهرست الگوریتم های متقارن رمزنگاری پیام رمزشده پیام اولیه رمزگشاي ی vghcghcmmmmm mmmmmmmmm m فهرست الگوریتم متقارن اليس Hi 3$r باب 3$r اليس Hi فهرست 3$r Hi باب 3$r Hi vghcghcmmmmm mmmmmmmmm m مديريت كليد كليدهاي متقارن بايد از طريق يك كانال ايمن توزيع شوند و بايد به صورت ادواري تغيير كنند .مثال: تعداد كليد هاي مورد نياز تعداد افراد در ارتباط 6 4 15 6 66 12 49950 1000 vghcghcmmmmm mmmmmmmmm m n*(n-1)/2 فهرست تحليل الگوريتمهاي متقارن مزايا معايب سرعت باال هنگام رمزگذاري توليد كليد بطور تصادفي و سريع تعدد كليدها براي اعضاي هر ارتباط توزيع كليد بين طرفين ارتباط موارد استفاده رمزگذاري حجم زيادي از اطالعات هنگام ذخيره روي رسانه ناامن رمزنگاري vghcghcmmmmmدادهها هنگام انتقال توسط رسانه ناامن mmmmmmmmm m فهرست الگوريتمهاي نامتقارن اين روش از دو كليد استفاده ميكند. يك كليد براي رمزنگاري و ديگري براي رمز گشاي ي. دو كليد از نظر رياضي با هم ارتباط دارند به گونه اي كه داده رمزنگاري شده با هريك قابل رمزگشاي ي با ديگري مي باشد. هر كاربر دو كليد دارد :كليد عمومي و كليد خصوصي. vghcghcmmmmm mmmmmmmmm m فهرست الگوريتم هاي نا متقارن Asymmetric Algorithms رمزنگاری کلید 1 پيام رمزشده پيام اولیه کلید 2 رمزگشای ی vghcghcmmmmm mmmmmmmmm m فهرست رمزنگاری پيام رمزشده vghcghcmmmmm mmmmmmmmm m پيام اوليه رمزگشاي ی فهرست الگوریتم های نامتقارن باب اليس Hello 3$r باب 3$r اليس Hello cy7 کليدهای باب vghcghcmmmmm mmmmmmmmm m Hello كليد 2 كليد 1 Hello cy7 کليدهای اليس كليد 4 كليد 3 فهرست الگوريتمهاي نامتقارن vghcghcmmmmm mmmmmmmmm m فهرست تحليل الگوريتمهاي نامتقارن مزايا معايب عدم نياز به توزيع و ارسال كليد سرعت پائين در حجم اطالعات باال پيچيدگي توليد كليد موارد استفاده در تكنولوژي امضاي ديجيتال vghcghcmmmmm mmmmmmmmm m فهرست تحليل الگوريتمهاي نامتقارن -ادامه براي رمز كردن داده براي هر طرف شركت كننده فقط به كليد عمومي ان شركت كننده نياز است در نتيجه تنها تاييد كليد عمومي شركت كننده ها الزم است. مهم ترين ويژگي هاي تكنيك نامتقارن غير قابل انكار بودن ،امضاي ديجيتالي وتاييد منبع داده اي صحيح مي باشد. vghcghcmmmmm mmmmmmmmm m فهرست تحليل الگوريتمهاي نامتقارن -ادامه در رمزنگاري نامتقارن بازرگان يك جفت كليد عمومي و خصوصي ايجاد مي كند و كليد عمومي را منتشر مي كند تا مصرف كنندگان از طريق ان كليد ،پيغامهايشان را رمز كرده براي او بفرستند. در نهايت بازرگان به عنوان تنها دارنده كليد خصوصي ،تنها كسي است كه می تواند پيغامهاي رمز شده با ان كليد عمومي را باز كند. vghcghcmmmmm mmmmmmmmm m فهرست توابع درهم سازي الگوريتمهاي درهم سازي يا Hashبر خالف دو الگوريتم ذكر شده از كليد استفاده نميكنند و عمل رمزنگاري به صورت يكطرفه بر روي اطالعات انجام ميدهند .عملكرد اين توابع بر روي دادهها بدين شكل است كه با اعمال يك تابع Hashبر روي يك متن ،يك چكيده يا دايجست از متن بدست ميايد. vghcghcmmmmm mmmmmmmmm m فهرست كاركرد توابع درهم سازي خروجي ورودي Digest vghcghcmmmmm mmmmmmmmm m فهرست توابع درهم سازي Hashفرايندی است که بصورت رياضی حجم يک جريان از داده را به يک طول ثابت کاهش می دهد( .معموال 128و يا 160بيت) عملکرد hashمشابه اثرانگشت يک شخص می باشد. اثرانگشت ،پارامتری منحصربفرد به منظور تشخيص هويت افراد بوده و در ادامه با استفاده از ان امکان دستيابی به ساير مشخصات افراد نظير :رنگ چشم ،قد، جنسيت و ساير موارد دلخواه ،فراهم می گردد. vghcghcmmmmm mmmmmmmmm m فهرست كاركرد توابع درهم سازي خروجي vghcghcmmmmm mmmmmmmmm m ورودي فهرست ويژگی های توابع درهم سازی • امکان استنتاج ورودی از طريق خروجی وجود ندارد. • نمی توان دو ورودی را پيدا کرد که به ازای انان خروجی يکسانی توليد گردد .درواقع احتمال توليد مقادير Hashيکسان برای دو مجموعه متفاوت از داده ها کمتر از 0.001درصد است. vghcghcmmmmm mmmmmmmmm m فهرست تحليل توابع درهم سازي مزايا • عدم نياز به توليد و ارسال كليد • سرعت بسيار باال موارد استفاده • تضمين تماميت پيغام vghcghcmmmmm mmmmmmmmm m فهرست امضاء ديجيتال فهرست vghcghcmmmmm mmmmmmmmm m امضاي ديجيتال • • تعاريف و مفاهيم اوليه نحوه بكارگيري و پوشش امنيتي vghcghcmmmmm mmmmmmmmm m فهرست تعريف • امضا ديجيتال – همان قفل کردن اطالعات می باشد. – قابل جعل و تغيير نمی باشد. – براساس رمزنگاري ميباشد. • امضا دستي – تقريبا هميشه همانند به نظر ميايد. – ميتواند جعل شود. vghcghcmmmmm mmmmmmmmm m فهرست نحوه امضاء يك پيغام ديجيتال Message hash الگوريتم Message Digital Signature Hash Function کليد خصوصی فرستنده فهرست Message Digest Digital Signature 160 bit Value دايجست رمزشده vghcghcmmmmm mmmmmmmmm m اعتبارسنجي امضاء ديجيتال اليس کليد عمومی باب vghcghcmmmm mmmmmmmm باب کليد خصوصی باب فهرست كاركرد امضاء ديجيتال فرستنده از پيغام يك دايجست ايجاد ميكند. انرا با كليد خصوصي خود رمز ميكند. به همراه پيغام ارسال ميدارد. گيرنده از متن پيغام دريافت شده يك دايجست ايجاد ميكند. گيرنده از كليد عمومي فرستنده استفاده ميكند. دايجست رمز شده را از حالت رمز خارج ميسازد. گيرنده دو دايجست را با هم مقايسه ميكند. اگر همسان بودند ،تماميت داده و هويت فرستنده مورد تائيد قرار ميگيرد. vghcghcmmmmm mmmmmmmmm m فهرست اجزاء اصلی الگوی جامع شناساي ی امضای ديجيتال ارائه مجوز به مرکز گواهی هويت. صدور ،تعليق و لغو گواهی صادر شده به وسيله مرکز. وظايف ،ضمانت ها و تعهدات مراجع دارای مجوز ،مشترکين ،طرف های سوم و محل نگهداری کليد. قواعد مخصوص شناساي ی و اعتبار امضای ديجيتال. vghcghcmmmmm mmmmmmmmm m فهرست امضاي الك ترونيكي زماني معتبر است كه : اختصاص به شخص استفاده كننده داشته باشد. قابليت تطبيقدهي داشته باشد. تحت كنترل انحصاري شخص استفاده كننده باشد. طوري به داده متصل شود كه اگر داده تغييركرد امضا بي اعتبار شود. vghcghcmmmmm mmmmmmmmm m فهرست خدمات ارائه شده توسط امضاء ديجيتال • Authentication تائيد هويت گيرنده ميتواند مطمئن باشد كه فرستنده كيست. • تماميت Integrity گيرنده ميتواند مطمئن باشد كه اطالعات حين انتقال تغيير پيدا نكرده است. • انكارناپذيري None Repudiation فرستنده نمي تواند امضا داده را انكار نمايد. vghcghcmmmmm mmmmmmmmm m فهرست امضاء الك ترونيكي و محرمانگي كليد عمومي باب كليد تصادفي كليد تصادفي اليس كليد خصوصي باب بسته پيغام باب vghcghcm اعتبارسنجي امضاي ديجيتال P كليد خصوصي اليس فهرست ارسال يك متن براي چند نفر اليس كليد عمومي باب كليد خصوصي باب كليد خصوصي بيل كليد عمومي بيل كليد خصوصي تام vghcghcmmmmm mmmmmmmmm m كليد عمومي تام بسته پيغام فهرست گواهي ديجيتال فهرست vghcghcmmmmm mmmmmmmmm m گواهينامه ديجيتال چيست؟ سازوکاری برای توزيع کليدهای عمومی. حاوی اطالعات مربوط به هويت و کليد عمومی صاحب ان. vghcghcmmmmm mmmmmmmmm m فهرست كليد عمومي و صاحب ان فهرست vghcghcmmmmm mmmmmmmmm m حمله امنيتي كليد عمومي واقعی باب vghcghcmmmmm mmmmmmmmm m كليد عمومي باب كليد عمومي تام فهرست حمله امنيتي-ادامه كليد عمومي تام باب Tom’s File ََاليس كليد خصوصي باب تام dsfsd fsdfs dfsdf sdfsd sdfsd vghcghcmmmmm mmmmmmmmm m كليد عمومي باب كليد خصوصي تام Tom’s File تغيير فهرست الگوريتم های يک امضای ديجيتال • الگوريتم برای ايجاد کليد • الگوريتم برای ايجاد امضا • الگوريتم برای تاييد امضا vghcghcmmmmm mmmmmmmmm m فهرست مروري بر گواهي ديجيتال گواهي ديجيتال ،يك كليد عمومي را به مجموعهاي از اطالعات شناساي ي يك موجوديت پيوند ميدهد .اين كليد عمومي با يك كليد خصوصي مرتبط ميباشد. طرف متكي به صحت كليد عمومي موجود در گواهي اعتماد ميكند .ميزان اعتماد طرف متكي به يك گواهي به عوامل متفاوتي بستگي دارد .اين عوامل شامل روال تاييد هويت درخواستكننده گواهي ،روالهاي اجراي ي مركز صدور گواهي، كنترلهاي امنيتي ،تعهدات صاحب امضا (مانند حفاظت از كليد خصوصي) و تعهدات مركز صدور گواهي (مانند ضمانتها و رفع مسئوليتها) ميباشد. vghcghcmmmmm mmmmmmmmm m فهرست استاندارد X.509 بر طبق اين استادارد اطالعاتی که در گواهینامه ديجيتال صادر میشود شامل موارد زير میباشد: • نسخه گواهینامه • شماره سريال • الگوريتم مورد استفاده • صادر کننده گواهی • بازه زمانی اعتبار • کليد عمومی فردی که گواهینامه برای او صادر شده است. • امضای صادر کننده گواهینامه • هويت فردی که گواهینامه برای او صادر شده است. مشخصاتی که در اين قسمت ثبت میشود متفاوت بوده و وابسته به نوع گواهینامه میباشد. vghcghcmmmmm mmmmmmmmm m فهرست امنيت امضای ديجيتال امنيت الگوريتم رمزنگاری کليد عمومی امنيت توابع درهم سازی امنيت کليد خصوصی vghcghcmmmmm mmmmmmmmm m فهرست مروري بر گواهي ديجيتال سندي است كه: توسط يك موجوديت قابل اعتماد صادر و امضاء شده است. بر اساس تائيد هويتي است كه توسط يك مركز صورت گرفته است. حاوي يكسري اطالعات و كليد عمومي شخص يا سازمان است. مورد استفاده ان در گواهي قيد شده است. داراي مدت اعتبار مشخص و محدود است. vghcghcmmmmm mmmmmmmmm m فهرست كاركرد گواهي ديجيتال فرستنده يك كليد متقارن توليد ميكند. دادهها را بوسيله کليد متقارن به رمز درميايند. فرستنده از كليد عمومي گيرنده استفاده ميكند. كليد متقارن را به حالت رمز درمی اورد. به همراه متن رمزنگاري شده براي گيرنده ارسال مينمايد. گيرنده از كليد خصوصي خود استفاده كرده. كليد متقارن را از حالت رمز خارج ميسازد. استفاده از كليد متقارن پيغام را رمزگشاي ي ميكند. گيرنده با vghcghcmmmmm mmmmmmmmm m فهرست مركز صدور گواهي فهرست vghcghcmmmmm mmmmmmmmm m مركزصدورگواهي )(Certification Authority مراکزی هستند که وظيفه صدور ،حفاظت ،انتشار و ابطال گواهینامه ديجيتال را بر عهده دارند. کليدهای عمومی اين شرکتها به صورت پيش فرض در مرورگرهای اينترنتی قرار دارد. تاييد هويت افراد به صورت سلسله مراتبی انجام میشود: • مراکز صدور گواهی ريشه • مراکز ميانی صدور گواهی • دفاتر ثبت نام vghcghcmmmmm mmmmmmmmm فهرست انواع مراكز صدور گواهي • مركز صدور گواهي ريشه ()Root CA وظيفه مركز صدور گواهي ريشه صدور گواهي براي مراكز صدور گواهي مياني است. • مركز صدور گواهي مياني ()Intermediate CA وظيفه مركز صدور گواهي مياني ،صدور گواهي براي درخواست كنندگاني است كه هويت انها مورد تاييد دفتر ثبتنام است. vghcghcmmmmm mmmmmmmmm m فهرست معرفي اجزاء و كاركرد انها Root CA Intermediate Intermediate CA CA Valid درخواست گواهي CRL فهرست RA RA RA RA vghcghcmmmmm mmmmmmmmm m اجزاء مركز صدور گواهي مركز صدور گواهي دايرك توري مركز اعالم وضعيت گواهي سياستنامه و اييننامه گواهي ديجيتال كميته سياست گذاري و راهبري نرمافزار صدور و مديريت گواهي سختافزارهاي رمزنگاري vghcghcmmmmm mmmmmmmmm فهرست وظايف مراكز صدور گواهي توليد گواهی انتشار گواهی ابطال گواهی تجديد گواهی مديريت بانکهای اطالعاتی تدوين سياستهای امنيتی vghcghcmmmmm mmmmmmmmm m فهرست دفتر ثبتنام )(Registration Authority دفتر ثبتنام مركزي است كه متقاضيان دريافت گواهي ديجيتال براي ارائه درخواست و تحويل مدارك به انجا مراجعه مينمايند. vghcghcmmmmm mmmmmmmmm m فهرست وظايف دفتر ثبتنام دريافت درخواست گواهي تائيد هويت ارسال درخواست به مركز صدور دريافت و تحويل گواهي به صاحب امضاء دريافت و بررسي درخواستهاي ابطال يا تمديد گواهي vghcghcmmmmm mmmmmmmmm m فهرست اهداف دفاتر ثبت نام تامين امنيت الزم در انجام معامالت و محيط های الک ترونيکی و ترويج فرهنگ استفاده از هويت الک ترونيکی است. توليد و ارائه گواهينامه ديجيتال برای تبادالت تجارت الک ترونيکی B2Cو ) B2Bدر حوزه کاال و خدمات) تدوين ايين نامه ها و مقررات مربوط به مديريت بر گواهی ديجيتال توليد و عرضه شده. ارائه خدمت به دفاتر ثبت گواهی ديجيتال ( )RAو دفاتر خدمات گواهی ديجيتال در سراسر کشور. ارائه خدمات اموزشی برای استفاده از اين فناوری در سراسر کشور. vghcghcmmmmm mmmmmmmmm m فهرست فرايند درخواست گواهي CA صاحب امضا vghcghcmmmmm mmmmmmmmm m دفتر ثبتنام فهرست مراحل دريافت گواهينامه ديجيتال فرد ،Aاز طريق يک نرم افزار توليد کليد ،زوج کليدی برای خود توليد میکند. فرد ،Aکليد خصوصی خود را در يک محل امن نزد خود نگهداری کرده و کليد عمومی را به همراه اطالعات هويت خود به مرکز صدور گواهینامه ارسال میکند. مرکز صدور گواهینامه ،صحت اطالعات ارسال شده از سوی Aرا بررسی کرده و در صورت درست بودن انها يک گواهینامه ديجيتالی برای Aصادر میکند. مرکز صدور گواهینامه ( ،)CAگواهی صادر شده را برای ،Aارسال میکند. فرد ،Aگواهینامه دريافت شده را بررسی میکند تا مطمئن گردد ،کليد عمومی درج شده در گواهینامه ،کليد خودش است. vghcghcmmmmm mmmmmmmmm m فهرست مراحل ابطال گواهینامه ديجيتال وارد کردن گواهی در ليست گواهینامههای باطل شده ()CRL گواهینامه به دو صورت ممکن است باطل شود: • ابطال دائمی: زمانی که کليد خصوصی يک فرد دزديده شود • ابطال موقتی: زمانی که فردی کليد خصوصی خود را گم کند زمانی تاريخ اعتبار گواهینامه به اتمام برسد vghcghcmmmmm mmmmmmmmm m فهرست نحوه دريافت امضاء يا گواهي ديجيتال دريافت گواهي ديجيتال بر روي لوح فشرده دريافت گواهي ديجيتال بر روي كارت هوشمند دريافت گواهي ديجيتال بر توکن vghcghcmmmmm mmmmmmmmm m فهرست SSL گواهي فهرست vghcghcmmmmm mmmmmmmmm m SSLچيست؟ Secure Socket Layer راه حلي جهت برقراري ارتباط ايمن ميان يك وب سرور و يك مرورگر اينترنت پروتكلي پايين تر از اليه كاربرد و باالتر از اليه انتقال پروتكل امنيتي است كه توسط Netscapeابداع شده است. vghcghcmmmmm mmmmmmmmm m فهرست ملزومات يك ارتباط مبتني بر گواهي SSL دو نوع گواهي ديجيتال SSLيكی براي سرويس دهنده و ديگري براي سرويس گيرنده يك مركز صدور و اعطاي گواهينامه ديجيتال يا CA vghcghcmmmmm mmmmmmmmm m فهرست سازوکارهاي تشكيل دهنده SSL تاييد هويت سرويس دهنده تاييد هويت سرويس گيرنده ارتباطات رمز شده vghcghcmmmmm mmmmmmmmm m فهرست نمايش قفل امنيت SSL قفل كوچك زرد رنگ در نوار وضعيت مرورگر امنيت سايت توسط گواهي SSLميباشد. vghcghcmmmmm mmmmmmmmm m فهرست وظايف مركز صدور گواهي SSL صدور و انتشار گواهي ها ابطال گواهي ها در صورت لزوم ارسال گواهي ها و ليست گواهي هاي باطل شده به مخزن اطمينان از نگهداري ايمن كليدهاي خصوصي اين مركز اگاه سازي و عرضه كننده سرويس مخزن از اين تعهدات توليد كليدهاي خصوصي مركز صدور گواهي SSLبه طور ايمن vghcghcmmmmm mmmmmmmmm m فهرست وظايف دفاتر ثبت نام گواهی SSL اطمينان از اين كه عمليات ان ها مطابق با دستورالعمل اجراي ی انجام مي گيرد. احراز هويت صاحبان امضا هنگام درخواست گواهي SSLيا درخواست ابطال گواهي. اطالع رساني به درخواست كننده گواهي در مورد صدور گواهي درخواست شده. اطالع رساني به صاحبان امضا در مورد ابطال گواهي ان ها. vghcghcmmmmm mmmmmmmmm m فهرست روند کار SSL هويت سرويس دهنده براي سرويس گيرنده مشخص ميگردد توافق سرويس دهنده و گيرنده بر سر نوع الگوريتم رمزنگاري احراز هويت سرويس گيرنده براي سرويس دهنده ايجاد كليدهاي اشتراكي مخفي رمزنگاري ارتباطات بر مبناي SSL vghcghcmmmmm mmmmmmmmm فهرست نحوه عملكرد گواهي SSL برنامه مرورگر يك كليد متقارن توليد ميكند ودادهها را به وسيله ان به رمز در مياورد. مرورگر از كليد عمومي وب سايت استفاده ميكند و كليد متقارن را به حالت رمز در اورده و به همراه متن رمزنگاري شده براي وب سرور ارسال مينمايد. وب سرور از كليد خصوصي خود استفاده كرده و كليد متقارن را از حالت رمز خارج ميسازد. وب سرور با استفاده از كليد متقارن اطالعات فرستاده شده از برنامه مرورگر را رمزگشاي ي ميكند. vghcghcmmmmm mmmmmmmmm m فهرست استفاده گواهي SSLاز الگوريتمها استفاده از الگوريتم متقارن و توليد كليد تصادفي براي رمزگذاري اطالعات رد و بدل شده بين مرورگر و وب سرور. استفاده از كليد عمومي وب سايت براي رمزنگاري كليدتصادفي. vghcghcmmmmm mmmmmmmmm m فهرست گواهي ثبت سفارش فهرست vghcghcmmmmm mmmmmmmmm m جايگاه زيرساخت کليد عمومي در ثبت سفارش • ماهيت ثبت سفارش -دولت الک ترونيک ،تجارت الک ترونيک ،شفاف سازي • مخاطبان سيستم -بازرگانان و تجار ،کارشناسان ،مديران • نيازهاي امنيتي ثبت سفارش اينترنتي محرمانگي ،تماميت ،امضاي ديجيتال ،عدم انکارvghcghcmmmmm mmmmmmmmm m فهرست پياده سازي زيرساخت کليد عمومي در ثبت سفارش • استفاده از بستر SSLبه منظور تامين امنيت بستر انتقال اطالعات • استفاده ازگواهي ديجيتال به منظور احراز هويت کاربر • استفاده از امضاي ديجيتال به منظور: اطمينان از صحت اطالعات ارائه شده توسط کاربر اطمينان از تماميت داده هاي موجود در بانک اطالعاتي تشخيص دسترسي و تغيير غيرمجاز اطالعاتvghcghcmmmmm mmmmmmmmm m فهرست روش اجرائي پياده سازي • • • فرايند ورود به سيستم • کنترل گواهينامه ديجيتال • امضاي کد کاربري و رمز عبور ارسالي به سرور • تصديق اطالعات ارسالي از کالينت به سرور با امضاي ديجيتال فرايند ثبت نام • ايجاد َهش از محتويات ارائه شده و تصديق ان با بانک اطالعاتي • امضاي محتويات ارائه شده از طرف کاربر • تصديق محتويات ثبت شده در بانک اطالعاتي توسط امضاي کاربر ثبت سفارش • امضاي محتويات ارائه شده از طرف کاربر • تصديق محتويات ثبت شده در بانک اطالعاتي توسط امضاي کاربر • استفاده از مهر زماني به منظور تعيين زمان دقيق انجام عمليات vghcghcmmmmm mmmmmmmmm فهرست