Digital Signature New technology of Information Security فناوری نوین اطالعات در فرایند های کسب و کار ارائه دهنده : ابوالقاسم زارعی
Download
Report
Transcript Digital Signature New technology of Information Security فناوری نوین اطالعات در فرایند های کسب و کار ارائه دهنده : ابوالقاسم زارعی
Digital Signature
New technology of Information Security
فناوری نوین
اطالعات
در فرایند های کسب و کار
ارائه دهنده :ابوالقاسم زارعی
سرفصل مطالب
1
مقدمه
2
مشکالت و مسائل امنیتی در مبادالت الکترونیکی
33
الزامات و مفاهیم امنیتی در دنیای مجازی
44
راهکارها و ابزارهای امنیتی(امضای دیجیتال)
53
کاربردهای گواهی دیجیتال در تبادالت اینترنتی
46
کاربردهای امضای دیجیتالی در انواع کسب و کار
سوال؟
آیا تا به حال به هویت فردی که برای شما ایمیل فرستاده شک
کرده اید؟
آیا مطمئن هستید اطالعاتی که بصورت الکترونیکی مبادله می شود
در بین راه دستکاری نشده است؟
در هنگام خرید اینترنتی آیا اطالعات حساب شما محرمانه می ماند؟
در هنگاه بازدید از یک سایت اینترنتی آیا به جعلی بودن آن شک کرده
اید؟
مقدمه
امروز مدیریت اسناد الکترونیکی ،ارسال و دریافت آنها بخش بزرگی از
فعالیتهای اجرایی را شامل میشود.
یکی از تکنولوژیهایی که موجب افزایش اعتماد به این فرایند گردیده،
امضای دیجیتالی است.
در اسناد مکتوب ،امضا ،نشان تایید تعهدات قبول شده در آن سند به
شمار میآید.
در اسناد الکترونیکی هم نیازمند امضای الکترنیکی هستیم.
مقدمه
امروزه امنیت فضای الکترونیکی ،وجههای از امنیت ملی هر کشور را
به تصویر میکشد.
اعتبارات مالی بیشتر و بیشتر به صورت الکترونیکی جا بجا میشوند.
سوء استفاده از ضعف های امنیتی و ناآگاهی کاربران بیش از هر
زمان دیگری در دسترس ماجراجویان و جاسوسان دنیای مجازی قرار
دارد.
و هر یک از این عوامل خود به تنهایی دلیل محکمی برای جدی گرفتن
موضوع امنیت اطالعات در فضای سایبری است.
مشکالت و مسائل امنیتی در مبادالت الکترونیکی
در یک ارتباط ایدهآل:
مبدأ و مقصد یکدیگر را میشناسند و با هم در ارتباطند
هیچ شخص ثالثی در این میان به اطالعات مبادله شده بین آنها
دسترس ی ندارد
اطالعات ارسالی به طور کامل و سالم به مقصد میرسند
مشکالت و مسائل امنیتی در مبادالت الکترونیکی
در یک سیستم واقعی ممکن است:
ارتباط بین مبدأ و مقصد مورد حمله قرار گیرد،
دادهها مخدوش یا مفقود شوند،
یا مورد استراق سمع واقع شوند.
رابطه گرافیکی یک پایگاه اینترنتی معتبر جهت ربودن اطالعات محرمانه
ً
دقیقا کپی شده باشد(.)Phishing
همچنین احتمال دارد شخص ی لحظه به لحظه هر آنچه را که شما با
رایانه انجام میدهید مشاهده و ثبت نماید.
الزامات و مفاهیم امنیتی در دنیای مجازی
حفظ
محرمانگی
احراز و
تصدیق
هویت
تمامیت
امنیت
اطالعات
قابل دسترس
بودن
انکار ناپذیری
احراز و تصدیق هویت
کلمه
عبور
• ک د ددد رم د ددز ی د ددا کلم د ددات عب د ددور ب د ددا اطالع د ددات یخی د ددره ش د ددده در س س د ددتم
مطابقت داده میشود و عملیات احراز هویت صورت میگیرد.
عالئم
زیست
سنجی
• ب د د درای احد د د دراز هوی د د ددت از س د د ددنجش و تحلی د د ددل خصوص د د ددیات
منحصد ددرر ه فد ددرد شخصد ددتی اسد ددتداده میشد ددود.اثد ددر ان شد ددت،
شکل عنبیه یا شبکیه چشم ،فرم دست و چهره فرد
سخت
افزاری
• کارتهای هوشمند :این کارتها میتوانند حاوی کلید خصوصتی افراد ،گواهینامه کلیدد
عمومی و دی ر اطالعات مدید باشند.
•
توکنه ااای امنیت اای :س ددخت اف دزاری کوچ ددک اس ددت ک دده ب درای ورود ک دداررر ی ددک س ددروی رایان دهای ب ده
سامانه بکار میرود و جهت احراز هویت ،تعیین اعتبار ،ن هداری امن و جلوگیری از دسترسدتی یدر مجداز
به دادههای محرمانه کاررر
راهکارها و ابزارهای امنیتی در دنیای مجازی
رمزنگاری
الگوریتم های
ی
رمزنگار
مجموعهای از فنون ریاض ی برای حفاظت از اطالعات و هنر
نوشتن به صورت رمز است بطوریکه هیچکس به غیر از دریافت
کننده مورد نظر نتواند محتوای پیام یا مستندات را بخواند.
الگوریتم متقارن :در این روش از یک کلید مشترک برای رمزنگاری
و رمزگشایی استفاده میشود.
الگوریتم نامتقارن :به جای یک کلید مشترک از یک جفت کلید به
نامهای کلید عمومی و خصوص ی استفاده میشود.
الگوریتم هش( :)Hashتوابع ریاضیاتی هستند .هنگامی که
دادهای به عنوان ورودی به این تابع داده میشود ،چکیدهای از
آن مجموعه داده تولید میشود که منحصر به فرد و قابل
بازگشت است.
فرایند رمز نگاری و رمز گشایی
کلید عمومی
گیرنده
راهکارها و ابزارهای امنیتی در دنیای مجازی
امضای دیجیتال:
نوعی رمزنگاری نامتقارن است(کلید عمومی و خصوص ی)
خصوصیات امضای دستی را در فضای الکترونیکی فراهم می سازد
. هر موجودیت منحصر به فرد در فضای مجازی دارای امضای دیجیتالی
خاص خود است
میتوان مستندات ،پیغامها و دادههای الکترونیکی را توسط امضای
دیجیتال تأیید کرد.
می توان مطمئن بود تولید کننده امضا چه کس ی است
می توان مطمئن بود اطالعات پس از امضا ,تغییر نکرده است
راهکارها و ابزارهای امنیتی در دنیای مجازی
امضای دیجیتال:
کلید خصوص ی فرد به صورت امن در وسیلهای مانند کارت هوشمند یا توکن
نگهداری میشود
با توجه به عدم امکان جعل امضای دیجیتال ،اسناد یا پیامهای امضاء
شده غیر قابل انکار است
مراجع قضایی میتوانند از این خصوصیت جهت استناد قانونی به سند
الکترونیکی استفاده کنند
راهکارها و ابزارهای امنیتی در دنیای مجازی
گواهی دیجیتال:
یک سند الکترونیکی امضاء شده و غیر قابل
جعل است
معرف هویت فردی است که صاحب امضاء
دیجیتالی است
توسط مرکز صدور گواهی پس از اطمینان
از صحت هویت فرد و تحت قوانین معینی
برای یک شخص ،سختافزار یا نرمافزار
صادر میشود
متناظر با هر گواهی ،یک کلید خصوص ی
وجود دارد.
طرف سوم مورد اعتماد جهت تعیین هویت کاررران
مرکز تایید هویت
سلسله مراتب مراجع معتبر تایید هویت
1CA
3
CA 2
CA 3
2
7CA
شخص E
6CA
شخص D
4 CA
5CA
1
شخص C
شخص
B
شخص A
کاربردهای گواهی دیجیتالی در تبادالت اینترنتی
الیه اتصال امن (:)SSL
پروتکلی (مجموعهای از قوانین) جهت برقراری ارتباطات ایمن میان
سرویس دهنده و سرویس گیرنده در اینترنت است
و از این پروتکل برای امن کردن پروتکلهای غیر امن نظیر ،LDAP ،HTTP
IMAPو ...استفاده
HTTPS
میشود.
کاربردهای گواهی دیجیتالی در تبادالت اینترنتی
استاندارد تبادل الکترونیکی امن
این استاندارد ابتدا مورد توجه شرکتهایی مانند ،MasterCard ،Visa
Netscapeو مایکروسافت قرار گرفت
به دنبال تامین امنیت و محرمانگی تبادالت مالی اینترنتی بکار می رود.
با استفاده از رمزنگاری و گواهینامههای دیجیتال زنجیرهای از اعتماد بین
فروشندگان ،بانکها و مشتریان ایجاد میکند.
(:)SET
استاندارد :secure MIME
بر اساس این استاندارد ،الزامات امنیتی احراز هویت ،تمامیت پیام ،انکارناپذیری (با
استفاده از امضای دیجیتال) و محرمانگی و امنیت (با استفاده از رمزنگاری) برای نامهها
و پیامهای الکترونیکی تامین میگردد .
کاربردهای امضای دیجیتالی در انواع کسب و کار
تبادالت
B2B
تبادالت
B2C
تایی ااد هوی اات ط اارفین معامل ااه-اطمین ااان از ع اادم تغیی اار و دس ااتکاری ارتباط ااات مرب ااوط ب ااه
معامل ااه -در سفارش ااات خری ااد ،قبیه ااای رس ااید ،فرمه ااای و ،ی ااا سیس ااتمهای خری ااد
آنالین به امضای دیجیتالی نیاز است.
ً
امض ااای دیجیت ااال عم اادتا ب ااه منظ ااور اح ااراز هوی اات مش ااتری و اطمین ااان از ع اادم تغیی اار
جزئی ااات معامل ااه در ح ااین ارتبا اااط -در دیگ اار حوزهه ااای کس ااب و کا ااار ب ااا مش ااتری ماننا ااد
خدمات مالی ،بانکداری الکترونیک ،تبادالت سهام و بیمه
تبادالت
G2G
در تعااامالت بااین ههادهااای دولتاای -اح اراز هویاات و تمامیاات پیامهااا و اسااناد مبادلااه ش اده
بوده و اغلب انکارناپذیری
تبادالت
G2B
احراز هویت آنها و اطمینان از عدم انکار و عدم تغییر ارتباطات فیمابین -پیشنهادات
مناقصهای را به صورت دیجیتالی امضاء شود -دولتها میتوانند سفارشات خرید
خود را به صورت دیجیتالی تایید کنند
تبادالت
G2C
احراز هویت شهروندان-اطمینان از عدم تغییر پیامها -رای گیری الکترونیکی –
خدمات انالین مانند :مجوز فعالیت ،احداث یا بهرهبرداری-دریافت اظهار نامه
مالیاتی
نتیجه گیری
در حال حاضر امنیت در فضای مجازی یکی از مهمترین مسایل حوزه ارتباطات است.
امضای دیجیتالی یکی از راهکارهایی است که برای جلوگیری از بروز این مشکل معرفی
گردید.
امضای دیجیتال مزایای بیشتری نسبت به امضای دستی دارد( :محرمانگی-تمامیت-
انکار ناپذیری -احراز و تصدیق هویت)
با بکارگیری امضای دیجیتالی و ایجاد بسترهای امن ارتباطی میتوان به توسعه
بخشهایی چون دولت الکترونیک و تجارت الکترونیک امیدوار شد.
با تشکر از توجه شما