Digital Signature New technology of Information Security فناوری نوین اطالعات در فرایند های کسب و کار ارائه دهنده : ابوالقاسم زارعی

Download Report

Transcript Digital Signature New technology of Information Security فناوری نوین اطالعات در فرایند های کسب و کار ارائه دهنده : ابوالقاسم زارعی 

‫‪Digital Signature‬‬
‫‪New technology of Information Security‬‬
‫فناوری نوین‬
‫اطالعات‬
‫در فرایند های کسب و کار‬
‫ارائه دهنده‪ :‬ابوالقاسم زارعی‬
‫سرفصل مطالب‬
‫‪1‬‬
‫مقدمه‬
‫‪2‬‬
‫مشکالت و مسائل امنیتی در مبادالت الکترونیکی‬
‫‪33‬‬
‫الزامات و مفاهیم امنیتی در دنیای مجازی‬
‫‪44‬‬
‫راهکارها و ابزارهای امنیتی(امضای دیجیتال)‬
‫‪53‬‬
‫کاربردهای گواهی دیجیتال در تبادالت اینترنتی‬
‫‪46‬‬
‫کاربردهای امضای دیجیتالی در انواع کسب و کار‬
‫سوال؟‬
‫‪ ‬آیا تا به حال به هویت فردی که برای شما ایمیل فرستاده شک‬
‫کرده اید؟‬
‫‪ ‬آیا مطمئن هستید اطالعاتی که بصورت الکترونیکی مبادله می شود‬
‫در بین راه دستکاری نشده است؟‬
‫‪ ‬در هنگام خرید اینترنتی آیا اطالعات حساب شما محرمانه می ماند؟‬
‫‪ ‬در هنگاه بازدید از یک سایت اینترنتی آیا به جعلی بودن آن شک کرده‬
‫اید؟‬
‫مقدمه‬
‫‪ ‬امروز مدیریت اسناد الکترونیکی‪ ،‬ارسال و دریافت آن‌ها بخش بزر‌گی از‬
‫فعالیت‌های اجرایی را شامل می‌شود‪.‬‬
‫‪ ‬یکی از تکنولوژی‌هایی که موجب افزایش اعتماد به این فرایند گردیده‪،‬‬
‫امضای دیجیتالی است‪.‬‬
‫‪ ‬در اسناد مکتوب‪ ،‬امضا‪ ،‬نشان تایید تعهدات قبول شده در آن سند به‬
‫شمار می‌آید‪.‬‬
‫‪ ‬در اسناد الکترونیکی هم نیازمند امضای الکترنیکی هستیم‪.‬‬
‫مقدمه‬
‫‪ ‬امروزه امنیت فضای الکترونیکی‪ ،‬وجههای از امنیت ملی هر کشور را‬
‫به تصویر میکشد‪.‬‬
‫‪ ‬اعتبارات مالی بیشتر و بیشتر به صورت الکترونیکی جا بجا میشوند‪.‬‬
‫‪ ‬سوء استفاده از ضعف های امنیتی و ناآگاهی کاربران بیش از هر‬
‫زمان دیگری در دسترس ماجراجویان و جاسوسان دنیای مجازی قرار‬
‫دارد‪.‬‬
‫‪ ‬و هر یک از این عوامل خود به تنهایی دلیل محکمی برای جدی گرفتن‬
‫موضوع امنیت اطالعات در فضای سایبری است‪.‬‬
‫مشکالت و مسائل امنیتی در مبادالت الکترونیکی‬
‫‪ ‬در یک ارتباط ایدهآل‪:‬‬
‫‪‬‬
‫مبدأ و مقصد یکدیگر را میشناسند و با هم در ارتباطند‬
‫‪‬‬
‫هیچ شخص ثالثی در این میان به اطالعات مبادله شده بین آنها‬
‫دسترس ی ندارد‬
‫‪‬‬
‫اطالعات ارسالی به طور کامل و سالم به مقصد میرسند‬
‫مشکالت و مسائل امنیتی در مبادالت الکترونیکی‬
‫در یک سیستم واقعی ممکن است‪:‬‬
‫‪ ‬ارتباط بین مبدأ و مقصد مورد حمله قرار گیرد‪،‬‬
‫‪ ‬دادهها مخدوش یا مفقود شوند‪،‬‬
‫‪ ‬یا مورد استراق سمع واقع شوند‪.‬‬
‫‪ ‬رابطه گرافیکی یک پایگاه اینترنتی معتبر جهت ربودن اطالعات محرمانه‬
‫ً‬
‫دقیقا کپی شده باشد(‪.)Phishing‬‬
‫‪ ‬همچنین احتمال دارد شخص ی لحظه به لحظه هر آنچه را که شما با‬
‫رایانه انجام میدهید مشاهده و ثبت نماید‪.‬‬
‫الزامات و مفاهیم امنیتی در دنیای مجازی‬
‫حفظ‬
‫محرمانگی‬
‫احراز و‬
‫تصدیق‬
‫هویت‬
‫تمامیت‬
‫امنیت‬
‫اطالعات‬
‫قابل دسترس‬
‫بودن‬
‫انکار ناپذیری‬
‫احراز و تصدیق هویت‬
‫کلمه‬
‫عبور‬
‫• ک د ددد رم د ددز ی د ددا کلم د ددات عب د ددور ب د ددا اطالع د ددات یخی د ددره ش د ددده در س س د ددتم‬
‫مطابقت داده می‌شود و عملیات احراز هویت صورت می‌گیرد‪.‬‬
‫عالئم‬
‫زیست‬
‫سنجی‬
‫• ب د د درای احد د د دراز هوی د د ددت از س د د ددنجش و تحلی د د ددل خصوص د د ددیات‬
‫منحصد ددرر ‌ه فد ددرد شخصد ددتی اسد ددتداده می‌شد ددود‪.‬اثد ددر ان شد ددت‪،‬‬
‫شکل عنبیه یا شبکیه چشم‪ ،‬فرم دست و چهره فرد‬
‫سخت‬
‫افزاری‬
‫• کارتهای هوشمند‪ :‬این کارت‌ها می‌توانند حاوی کلید خصوصتی افراد‪ ،‬گواهی‌نامه کلیدد‬
‫عمومی و دی ر اطالعات مدید باشند‪.‬‬
‫•‬
‫توکنه ااای امنیت اای‪ :‬س ددخت اف دزاری کوچ ددک اس ددت ک دده ب درای ورود ک دداررر ی ددک س ددروی رایان ده‌ای ب ده‬
‫سامانه بکار می‌رود و جهت احراز هویت‪ ،‬تعیین اعتبار‪ ،‬ن هداری امن و جلوگیری از دسترسدتی یدر مجداز‬
‫به داده‌های محرمانه کاررر‬
‫راهکارها و ابزارهای امنیتی در دنیای مجازی‬
‫رمزنگاری‌‬
‫الگوریتم های‬
‫ی‬
‫رمزنگار ‌‬
‫مجموعهای از فنون ریاض ی برای حفاظت از اطالعات و هنر‬
‫نوشتن به صورت رمز است بطوریکه هیچکس به غیر از دریافت‬
‫کننده مورد نظر نتواند محتوای پیام یا مستندات را بخواند‪.‬‬
‫الگوریتم متقارن‪ :‬در این روش از یک کلید مشترک برای رمزنگاری‬
‫و رمزگشایی استفاده میشود‪.‬‬
‫الگوریتم نامتقارن‪ :‬به جای یک کلید مشترک از یک جفت کلید به‬
‫نامهای کلید عمومی و خصوص ی استفاده میشود‪.‬‬
‫الگوریتم هش(‪ :)Hash‬توابع ریاضیاتی هستند‪ .‬هنگامی که‬
‫دادهای به عنوان ورودی به این تابع داده میشود‪ ،‬چکیدهای از‬
‫آن مجموعه داده تولید میشود که منحصر به فرد و قابل‬
‫بازگشت است‪.‬‬
‫فرایند رمز نگاری و رمز گشایی‬
‫کلید عمومی‬
‫گیرنده‬
‫راهکارها و ابزارهای امنیتی در دنیای مجازی‬
‫امضای دیجیتال‪:‬‬
‫‪ ‬نوعی رمزنگاری نامتقارن است(کلید عمومی و خصوص ی)‬
‫‪ ‬خصوصیات امضای دستی را در فضای الکترونیکی فراهم می سازد‬
‫‪ . ‬هر موجودیت منحصر به فرد در فضای مجازی دارای امضای دیجیتالی‬
‫خاص خود است‬
‫‪ ‬میتوان مستندات‪ ،‬پیغامها و دادههای الکترونیکی را توسط امضای‬
‫دیجیتال تأیید کرد‪.‬‬
‫‪ ‬می توان مطمئن بود تولید کننده امضا چه کس ی است‬
‫‪ ‬می توان مطمئن بود اطالعات پس از امضا‪ ,‬تغییر نکرده است‬
‫راهکارها و ابزارهای امنیتی در دنیای مجازی‬
‫امضای دیجیتال‪:‬‬
‫‪ ‬کلید خصوص ی فرد به صورت امن در وسیلهای مانند کارت هوشمند یا توکن‬
‫نگهداری میشود‬
‫‪ ‬با توجه به عدم امکان جعل امضای دیجیتال‪ ،‬اسناد یا پیامهای امضاء‬
‫شده غیر قابل انکار است‬
‫‪ ‬مراجع قضایی میتوانند از این خصوصیت جهت استناد قانونی به سند‬
‫الکترونیکی استفاده کنند‬
‫راهکارها و ابزارهای امنیتی در دنیای مجازی‬
‫گواهی دیجیتال‪:‬‬
‫‪ ‬یک سند الکترونیکی امضاء شده و غیر قابل‬
‫جعل است‬
‫‪ ‬معرف هویت فردی است که صاحب امضاء‬
‫دیجیتالی است‬
‫‪ ‬توسط مرکز صدور گواهی پس از اطمینان‬
‫از صحت هویت فرد و تحت قوانین معینی‬
‫برای یک شخص‪ ،‬سختافزار یا نرمافزار‬
‫صادر میشود‬
‫‪ ‬متناظر با هر گواهی‪ ،‬یک کلید خصوص ی‬
‫وجود دارد‪.‬‬
‫طرف سوم مورد اعتماد جهت تعیین هویت کاررران‬
‫مرکز تایید هویت‬
‫سلسله مراتب مراجع معتبر تایید هویت‬
‫‪1CA‬‬
‫‪3‬‬
‫‪CA 2‬‬
‫‪CA 3‬‬
‫‪2‬‬
‫‪7CA‬‬
‫شخص ‪E‬‬
‫‪6CA‬‬
‫شخص ‪D‬‬
‫‪4 CA‬‬
‫‪5CA‬‬
‫‪1‬‬
‫شخص ‪C‬‬
‫شخص‬
‫‪B‬‬
‫شخص ‪A‬‬
‫کاربردهای گواهی دیجیتالی در تبادالت اینترنتی‬
‫الیه اتصال امن (‪:)SSL‬‬
‫پروتکلی (مجموعهای از قوانین) جهت برقراری ارتباطات ایمن میان‬
‫سرویس دهنده و سرویس گیرنده در اینترنت است‬
‫و از این پروتکل برای امن کردن پروتکلهای غیر امن نظیر ‪،LDAP ،HTTP‬‬
‫‪ IMAP‬و ‪ ...‬استفاده‬
‫‪HTTPS‬‬
‫میشود‪.‬‬
‫کاربردهای گواهی دیجیتالی در تبادالت اینترنتی‬
‫استاندارد تبادل الکترونیکی امن‬
‫این استاندارد ابتدا مورد توجه شرکتهایی مانند ‪،MasterCard ،Visa‬‬
‫‪Netscape‬و مایکروسافت قرار گرفت‬
‫به دنبال تامین امنیت و محرمانگی تبادالت مالی اینترنتی بکار می رود‪.‬‬
‫با استفاده از رمزنگاری و گواهینامههای دیجیتال زنجیرهای از اعتماد بین‬
‫فروشندگان‪ ،‬بانکها و مشتریان ایجاد میکند‪.‬‬
‫(‪:)SET‬‬
‫استاندارد ‪:secure MIME‬‬
‫بر اساس این استاندارد‪ ،‬الزامات امنیتی احراز هویت‪ ،‬تمامیت پیام‪ ،‬انکارناپذیری (با‬
‫استفاده از امضای دیجیتال) و محرمانگی و امنیت (با استفاده از رمزنگاری) برای نامهها‬
‫و پیامهای الکترونیکی تامین میگردد ‪.‬‬
‫کاربردهای امضای دیجیتالی در انواع کسب و کار‬
‫تبادالت‬
‫‪B2B‬‬
‫تبادالت‬
‫‪B2C‬‬
‫تایی ااد هوی اات ط اارفین معامل ااه‪-‬اطمین ااان از ع اادم تغیی اار و دس ااتکاری ارتباط ااات مرب ااوط ب ااه‬
‫معامل ااه ‪-‬در سفارش ااات خری ااد‪ ،‬قبیه ااای رس ااید‪ ،‬فرمه ااای و ‪ ،‬ی ااا سیس ااتمهای خری ااد‬
‫آنالین به امضای دیجیتالی نیاز است‪.‬‬
‫ً‬
‫امض ااای دیجیت ااال عم اادتا ب ااه منظ ااور اح ااراز هوی اات مش ااتری و اطمین ااان از ع اادم تغیی اار‬
‫جزئی ااات معامل ااه در ح ااین ارتبا اااط‪ -‬در دیگ اار حوزهه ااای کس ااب و کا ااار ب ااا مش ااتری ماننا ااد‬
‫خدمات مالی‪ ،‬بانکداری الکترونیک‪ ،‬تبادالت سهام و بیمه‬
‫تبادالت‬
‫‪G2G‬‬
‫در تعااامالت بااین ههادهااای دولتاای‪ -‬اح اراز هویاات و تمامیاات پیامهااا و اسااناد مبادلااه ش اده‬
‫بوده و اغلب انکارناپذیری‬
‫تبادالت‬
‫‪G2B‬‬
‫احراز هویت آنها و اطمینان از عدم انکار و عدم تغییر ارتباطات فیمابین‪ -‬پیشنهادات‬
‫مناقصهای را به صورت دیجیتالی امضاء شود ‪-‬دولتها میتوانند سفارشات خرید‬
‫خود را به صورت دیجیتالی تایید کنند‬
‫تبادالت‬
‫‪G2C‬‬
‫احراز هویت شهروندان‪-‬اطمینان از عدم تغییر پیامها ‪ -‬رای گیری الکترونیکی –‬
‫خدمات انالین مانند‪ :‬مجوز فعالیت‪ ،‬احداث یا بهرهبرداری‪-‬دریافت اظهار نامه‬
‫مالیاتی‬
‫نتیجه گیری‬
‫‪ ‬در حال حاضر امنیت در فضای مجازی یکی از مهمترین مسایل حوزه ارتباطات است‪.‬‬
‫‪ ‬امضای دیجیتالی یکی از راهکارهایی است که برای جلوگیری از بروز این مشکل معرفی‬
‫گردید‪.‬‬
‫‪ ‬امضای دیجیتال مزایای بیشتری نسبت به امضای دستی دارد‪( :‬محرمانگی‪-‬تمامیت‪-‬‬
‫انکار ناپذیری‪ -‬احراز و تصدیق هویت)‬
‫‪ ‬با بکارگیری امضای دیجیتالی و ایجاد بسترهای امن ارتباطی میتوان به توسعه‬
‫بخشهایی چون دولت الکترونیک و تجارت الکترونیک امیدوار شد‪.‬‬
‫با تشکر از توجه شما‬