زیرساخت کلیدعمومی (PKI)
Download
Report
Transcript زیرساخت کلیدعمومی (PKI)
تجارت الکترونیک متدلوژی نوین کسب و کار در پاسخگویی به نیاز سازمانها،
تولیدکنندگان و مصرف کنندگان در حوزه های زیر می باشد:
– کاهش هزینه
– ارتقاء کیفیت محصوالت و خدمات
– افزایش سرعت تحویل
سیستم مبادله الکترونیک اسناد
Electronic Document Interchange
سیستم مبادله الکترونیکی
داده ()EDI
نشرالکترونیک
Marketing,
Advertising
E-Publishing
Sales, Customer
Support
سیستم نقل و انتقال
الکترونیکی وجوه ()EFT
تجارت
الکترونیک
Fax
Email
پیام رسانی الکترونیکی
Electronic Messaging
Information
Sharing
Collaborative
Work
کتابخانه دیجیتالی
شرکتها و سازمانها
سازمان ها و بنگاه ها
•
•
•
•
•
•
•
•
•
توسعه بازار و تعریف مدلهای جدید کسب و کار
افزایش انعطاف پذیری تجارت و انعطاف پذیری فرآیندها
کاهش هزینه و بهبود زنجیره عرضه
سرویس دهی 7 * 24
سرعت دسترس ی به بازار
کاهش هزینه های ارتباط
کارایی در تدارکات ()Procurement
تسهیل دسترس ی به اطالعات
کاهش هزینه های حمل و نقل
مشتریان و مصرف کنندگان
•
•
•
•
•
•
برخورداری از خدمات در همه جا و همه وقت ()Ubiquity
دسترس ی به کاالها و خدمات بیشتر
تسریع در تحویل
دسترس ی به اطالعات بیشتر
مشارکت در حراجی ها
ایجاد جوامع الکترونیکی
Agile Customer
جامعه
•
•
•
•
•
•
•
افزایش ارتباطات ()Tele-community
ارتقاء استاندارد زندگی
دسترس ی بیشتر به خدمات عمومی
کاهش تردد
کاهش مصرف سوخت و صرفه جویی های ناش ی از آن
کاهش اتالف وقت شهروندان
و ...
•
•
•
•
•
•
•
•
•
مسایل امنیتی
مسایل مربوط به اعتماد
ضعف معلومات افراد در مورد تجارت الکترونیک
فقدان مدلهای کسب و کار
مسایل فرهنگی
اعتبار کاربران
کالهبرداری ها
سرعت پایین اینترنت
مشکالت و مسایل قانونی
اعتماد ،یک میانبر روانی موثر است که می تواند به عنوان مکانیزمی
برای کاهش پیچیدگی رفتار انسانها در موقعیتهایی که افراد با عدم
اطمینان مواجه هستند ،عمل کند ( .لومان )1989
• عدم سوء استفاده فروشنده اینترنتی از اطالعات شخص ی
• دریافت کاال /خدمات مطابق شرایط تعهد شده
• مصون ماندن پیام در جریان انتقال
• امن بودن تراکنش
• جلوگیری از دسترس ی غیرمجاز به اطالعات
• جلوگیری از دستکاری پیام حین انتقال
• عدم انکار ارسال پیام توسط فرستنده آن
•
محرمانگي ) : (confidentialityعدم دسترس ی توسط افراد غیرمجاز
•
تماميت ) : (integrityاطالعات در صورت تغییر ،دستکاری و حذف در تمامی سیستم ارتباطی یکسان
باشند.
•
دسترس بودن ) : (availabilityدردسترس بودن اطالعات درهرزمان
•
تصديق هويت ) :(authenticityکاربرشخص ی است که ادعا می کند یا خیر؟
•
مسئوليت پذيري) :(accountabilityقابلیت ارزیابی عملکرد سیستم
•
ا
عدم انکـار ) : (non-repudiationطرفین نتوانند صحت و اعتباریک قرارداد یا متنی که قبال امضا شده
است را انکارنمایند.
ﺳﻴﺴﺘﻢﻫﺎي رﻣﺰﻧﮕﺎري ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ،ﺟﻬﺖ اﻳﺠﺎد اﻣﻨﻴﺖ در ﺗﺒﺎدل اﻃﻼﻋﺎت ﺑﺎ ﻓﺮاﻫﻢ
آوردن ﺳﺮوﻳﺲﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺨﺘﻠﻒ از ﻗﺒﻴﻞ اﻃﻤﻴﻨﺎن از ﺟﺎﻣﻌﻴﺖ ﻳﺎ دﺳﺖﻧﺨﻮردﮔﻲ و
ﺣﻔﻆ ﻣﺤﺮﻣﺎﻧﮕﻲ اﻃﻼﻋﺎت ،اﺣﺮاز ﻫﻮﻳﺖ ﻣﻮﺟﻮدﻳﺖﻫﺎ ،اﻧﻜﺎرﻧﺎﭘﺬﻳﺮي و ﻛﻨﺘﺮل
دﺳﺘﺮﺳﻲ ﺑﻪ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ ﻃﺮاﺣﻲ ﺷﺪه اﻧﺪ.
در فرایند انتقال پیام/اسناد الکترونیکی ،پس
از
دریافت سند/پیام ،دریافت کننده با چه
مسائلی روبروست؟
تولید کننده سند/پیام الکتریکی
-1آیا محتوای سند/پیام دستکاری نشده؟!
دریافت کننده سند/پیام الکتریکی
-2آیا سند/پیام توسط شخص مجازتولید شده؟
ا
-3آیا تولید کننده سند/پیام بعدا نمی تواند ان را انکار کند؟!
ممکن است درجریان انتقال سند/پیام الکترونیکی،
سند/پیام توسط یک شخص غیرمجاز به صورت
مخفیانه تغییرداده شود!
تولید کننده سند/پیام الکتریکی
دریافت کننده سند/پیام الکتریکی
تولید سند/پیام جعلی
ممکن است سند/پیام الکترونیکی توسط یک
شخص غیرمجازتولید شده باشد!
تولید کننده نامعتبر
دریافت کننده سند/پیام الکتریکی
من؟!
من تولید نکردم
ممکن است پس ازانتقال سند/پیام
الکترونیکی ،تولید کننده تولید سند/پیام را
انکارکند!
دریافت کننده سند/پیام الکتریکی
تولید کننده سند/پیام
الکترونیکی
احراز اصالت
محتوای سند
عدم امکان انکار
تولید کننده سند
احراز هویت تولید کننده سند
«اصالت سند الکترونیکی» به عنوان یکی ازصفات ذاتی سند ،به نحوی که :
درصورت هرگونه تغییر ،این مشخصه خود به خود ازبین برود؛
عناصرمنحصربه فرد و غیرقابل انکاری ازهویت تولید کننده سند را درخود داشته باشد.
راهکار :استفاده ازامضای دیجیتال مبتنی برگواهی
الکترونیکی معتبر
تولیدکننده:
تولید سند و امضای دیجیتال
آن
تولید کننده
سند الکتریکی
امضای دیجیتال
دریافت کننده سند الکتریکی
متقاض ی با مراجعه به یک مرکزصدور
گواهی معتبردر کشور ،گواهی خود را
دریافت می کند.
CA
مرجع صدور گواهی
گواهی امضای
دیجیتال
متقاض ی گواهی امضای دیجیتال
تولید کننده سند الکتریکی
-1تولید سند الکترونیکی
امضایدیجیتال
-2امضای دیجیتال سند با
استفاده ازنرم افزار مناسب
-1دریافت سند الکترونیکی
امضایدیجیتال
دریافت کننده سند الکتریکی
-2اعتبارسنجی خودکار امضای
دیجیتال با استفاده ازنرم افزارمناسب
آیا مرکزصدور گواهی اعتبارقانونی الزم را دارد؟
آیا سخت افزار مناسبی برای نگهداری گواهی انتخاب کرده ام؟!
آیا امضای من قابل کپی برداری و جعل نیست؟!
CA
مرجع صدور
گواهی
گواهی امضای
دیجیتال
متقاض ی گواهی امضای دیجیتال
آیا نرم افزار روال عملیات امضا را درست انجام داده؟!
آیا خود نرم افزار امن است و امکان جعل و دستکاری در سند را ندارد؟!
امضایدیجیتال
امضای دیجیتال سند با
استفاده ازنرم افزارمناسب
تولید کننده سند الکتریکی
آیا نرم افزار من اعتبارسنجی امضا را درست انجام داده؟!
آیا خود نرم افزار امن است؟!
آیا این امضا در سایر سامانه ها نیز معتبر است؟
امضایدیجیتال
اعتبارسنجی خودکار امضای دیجیتال
با استفاده ازنرم افزارمناسب
دریافت کننده سند الکتریکی
آیا مرکز صدور گواهی اعتبار قانونی الزم را دارد؟
آیا سخت افزارمناسبی برای نگهداری گواهی انتخاب کرده ام؟!
آیا امضای من قابل کپی برداری و جعل نیست؟!
CA
مرجع صدور
گواهی
گواهی امضای
دیجیتال
متقاض ی گواهی امضای دیجیتال
آیا نرم افزارروال عملیات امضا را درست انجام داده؟!
آیا خود نرم افزارامن است و امکان جعل و دستکاری درسند را
ندارد؟!
امضای دیجیتال
امضای دیجیتال سند با
استفاده ازنرم افزارمناسب ()PKE
تولید کننده
سند الکتریکی
آیا نرم افزارمن اعتبارسنجی امضا را درست انجام داده؟!
آیا خود نرم افزارامن است؟!
آیا این امضا درسایر سامانه ها نیز معتبراست؟!
امضای دیجیتال
دریافت کننده سند الکتریکی
اعتبارسنجی خودکار امضای دیجیتال
با استفاده ازنرم افزارمناسب ()PKE
راه حل :استفاده ازگواهی الکترونیکی SSL
برای سرورهای وب ،امن سازی کانال ارتباط
چالش:
-1چطور می توانم مطمئن باشم که به یک سرورجعلی وصل نشده ام؟!
-2آیا اطالعات خصوص ی من دربین راه سرقت نمی شود؟!
راه حل :استفاده ازگواهی
الکترونیکی پست الکترونیک امن و
SMIME
تولید کننده ایمیل
چالش :چطور می توانم مطمئن باشم
ایمیلی که دریافت کردم جعلی نیست؟!
دریافت کننده ایمیل
فایل سرور
راه حل :استفاده ازگواهی الکترونیکی برای
امضای کد برنامه تولید شده ()Code Signing
نرم افزاربرای دانلود
دانلود کننده نرم افزار
چالش :چطور می توانم مطمئن باشم نرم افزاری که دانلود کردم
جعلی نیست (دستکاری ،قفل شکنی ،یا ویروس ی نشده یا بد افزاری بر
روی آن قرارنگرفته است)؟!
راه حل :درج «مهرزمانی» درهنگام تولید سند
الکترونیکی با استفاده از گواهی مهرزمانی و سامانه مرکز
مهر زمانی ()TSA
چالش :آیا این سند الکترونیکی واقعا در
زمان (تاریخ و ساعت) ادعا شده تولید شده؟!
دریافت کننده سند الکتریکی
تولید کننده
سند الکتریکی
ﺑﻪ ﻓﺮآﻳﻨﺪ ﺗﺠﻬﻴﺰ ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي ﺑﻪ اﺳﺘﻔﺎده از ﮔﻮاﻫﻴﻨﺎﻣﻪﻫﺎي دﻳﺠﻴﺘﺎﻟﻲ
ﺑﺮاي ﭘﻴﺎدهﺳﺎزي ﺳﺮوﻳﺲﻫﺎ ،ﺗﺠﻬﻴﺰ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدي ﺑﻪ زﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ
( )PK-Enablingﮔﻔﺘﻪ ﻣﻲﺷﻮد.
ﺑﻪ ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي ﻛﻪ از زﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ( )PKIاﺳﺘﻔﺎده ﻣﻲﻧﻤﺎﻳﻨﺪ،
ﺑﺮﻧﺎﻣﻪﻫﺎي ﻛﺎرﺑﺮدي ﻣﺠﻬز ﺑﻪ زﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ ﻋﻤﻮﻣﻲ ( PK-Enabledﻛﻪ ﺑﻪ
اﺧﺘﺼﺎر PKEﻣﻌﺮﻓﻲ ﻣﻲﮔﺮدﻧﺪ) ﮔﻔﺘﻪ ﻣﻲﺷﻮد.
• انکار ﻧﺎﭘﺬﻳﺮي ﺗﺮاﻛﻨﺶﻫﺎي اﻧﺠﺎم ﺷﺪه ﺗﻮﺳﻂ ﻛﺎرﺑﺮان در ﻳﻚ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدي و ﻳﺎ
ﺳﻴﺴﺘﻢ اﻃﻼﻋﺎﺗﻲ
• اﺣﺮاز ﻫﻮﻳﺖ ﻛﺎرﺑﺮان ﺑﺼﻮرت دوﻋﺎﻣﻠﻪ و از ﻃﺮﻳﻖ ﺗﻮﻛﻦ ﺳﺨﺖاﻓﺰاري
• اﻋﻤﺎل ﻛﻨﺘﺮل دﺳﺘﺮﺳﻲ و ﻣﺠﻮزدﻫﻲ ﺑﻪ ﻛﺎرﺑﺮان ﺟﻬﺖ دﺳﺘﺮﺳﻲ ﺑﻪ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ
ﻣﺨﺘﻠﻒ و ﻋﻤﻠﻴﺎت اﺟﺮاﻳﻲ
• اﻣﻦﺳﺎزي ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ از ﻃﺮﻳﻖ ﭘﺮوﺗﻜﻞﻫﺎي اﻣﻨﻴﺘﻲ ﻣﺒﺘﻨﻲ ﺑﺮ زﻳﺮﺳﺎﺧﺖ ﻛﻠﻴﺪ
ﻋﻤﻮﻣﻲ (اﺣﺮاز ﻫﻮﻳﺖ و ﺣﻔﻆ ﻣﺤﺮﻣﺎﻧﮕﻲ در ﺣﻴﻦ اﻧﺘﻘﺎل اﻃﻼﻋﺎت)
• ﺣﻔﻆ ﻣﺤﺮﻣﺎﻧﮕﻲ اﻃﻼﻋﺎت درزﻣﺎن ذﺧﻴﺮهﺳﺎزي
• اﻃﻤﻴﻨﺎن از ﺟﺎﻣﻌﻴﺖ و اﺻﺎﻟﺖ ﻣﻨﺎﺑﻊ اﻃﻼﻋﺎﺗﻲ
• اﻃﻤﻴﻨﺎن از اصالت ﻛﺪﻫﺎي اﺟﺮاﻳﻲ ﻧﻈﻴﺮ ActiveXو Applet
• ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻚ اﻣﻦ (اﻣﻀﺎي دﻳﺠﻴﺘﺎل و رﻣﺰﮔﺬاري ﻧﺎﻣﻪﻫﺎ)
• اﻳﺠﺎد ﺷﺒﻜﻪﻫﺎي ﺧﺼﻮﺻﻲ ﻣﺠﺎزي ()VPN
شرایط و امضای الکترونیکی
مطمئن و ارزش اثباتی
ماده :10امضای الکترونیکی مطمئن باید:
الف -نسبت به امضاء كننده منحصر به فرد باشد.
ب -هویت امضاء كننده ((داده پیام)) را معلوم نماید.
ج -به وسیله امضاء كننده و یا تحت اراده انحصاري وي صادر
شده باشد.
ماده :14کلیه داده پیام های مطمئن درحکم اسناد
معتبر و قابل استناد درمراجع قضایی و حقوقی است.
ارائه دهندگان خدمات صدور
گواهی الکترونیکی
آیین نامه اجرایی ماده 32
()1386
ماده :31خدمات شامل تولید ،صدور ،ذخیره ،ارسال ،تایید ،ابطال و به
روزنگهداری گواهی های امضای الکترونیکی
ماده :32تهیه ضوابط اجرایی با :سازمان مدیریت و
وزارتخانه های بازرگانی ،ارتباطات ،دارایی و دادگستری
ماده :2تشکیل شورای سیاست گذاری گواهی الکترونیکی
ماده :4تشکیل مرکزدولتی صدور گواهی الکترونیکی
«ریشه» وابسته به مرکزتوسعه تجارت الکترونیکی
• توسعه سامانه صدور گواهی الکترونیکی با مؤلفه های:
– ،MegaCAسامانه مدیریت گواهی الکترونیکی با سطح 3امنیت (طال)
– ،MegaRAسامانه مدیریت ثبت نام با سطح 3امنیت (طال)
– ،MegaOCSPسرویس اعتبارسنجی برخط گواهی الکترونیکی با سطح 3امنیت (طال)
سطح چهار(پالتین)
نتایج ارزیابی نرم افزارهای – PKIآزمایشگاه امنیت مرکز ریشه
باالترین سطح امنیت
کسب شده در کشور ،سطح ( 3طال) می باشد
سطح سه (طال)
سطح دو (نقره
سطح یک(برنز)
سطح امنیت
مگانفت نخستین و تنها
مرکز میانی دولتی صادر کننده گواهی
الکترونیکی در صنعت نفت کشور و صنایع وابسته
•
صدور و مدیریت چرخه عمر 4000گواهی الکترونیکی در شرکتهای تابعه و وابسته صنعت نفت
•
تولید توکن بومی مگاتوکن با رعایت استانداردهای ملی و بین املللی
•
راه اندازی سامانه مهر زمانی
– صدور مهر زمانی دیجیتالی مبتنی بر استانداردهای امنیتی کشور
– تسهیل ایجاد زنجیره اعتماد در نرم افزارهای کاربردی در ثبت زمان به صورت امن
•
توسعه سامانه امن کننده ارتباط سطح شبکه
– ایجاد شبکه اختصاص ی امن با باالترین سطح امنیت تعریف شده در سطح بین املللی
– احراز هویت مبتنی بر امضای دیجیتال با استفاده از توکن و گواهی الکترونیکی
– رمزنگاری کلیه بسته های مبادله شده در سطح شبکه
•
تجهیز نرم افزارهای کاربردی به خدمات زیرساخت کلید عمومی (اتوماسیون اداری ،تامین کاال)CPMIS ،
....
برگزاري دوره
هاي آموزش ي
فعاليتها درسطح وزارت
نفت
تجهیزنرم
افزارهای کاربردی
افزایش کاربرد
امضای دیجیتال
توسعه دفاتر
ثبت نام
توسعه خدمات
نوین
فعاليتهاي درسمت فاوا نفت
تدوین استانداردها
و دستورالعملها
تولید نرم افزارها
و کتابخانه های
کاربردی
تولید سامانه
های امنیتی
تحقیق و توسعه
و ارائه راه کارهای
نوین
•
•
•
•
دستورالعمل احراز هویت از طریق گواهی الکترونیکی با استفاده از خدمات مرکز مگانفت
دستورالعمل صحت سنجی گواهی الکترونیکی در نرم افزارهای کاربردی
دستورالعمل نامگذاری گواهی الکترونیکی در سطح وزارت نفت
...
تدوین استانداردها و
دستورالعملها
تولید نرم افزارها و
کتابخانه های کاربردی
تولید سامانه های
امنیتی
تحقیق و توسعه و
ارائه راه کارهای نوین
•
•
•
•
•
راه اندازی سامانه درخواست آنالین صدور گواهی الکترونیکی
تولید کتابخانه های تجهیز نرم افزارهای کاربردی به خدمات زیرساخت کلید عمومی
تولید کتابخانه های کمکی جهت تسهیل استفاده از خدمات امنیتی مرکز مگانفت
تولید سرویسهای حوزه Mobile PKI
...
تدوین استانداردها و
دستورالعملها
تولید نرم افزارها و
کتابخانه های
کاربردی
تولید سامانه های
امنیتی
تحقیق و توسعه و
ارائه راه کارهای نوین
•
•
•
•
ارتقای سخت افزاری و نرم افزاری مگاتوکن
تولید کارت هوشمند با قابلیت پشتیبانی از استانداردهای گواهی الکترونیکی و امضای
دیجیتال
تولید نرم افزارهای امنیتی و سرویسهای مورد نیاز در حوزه زیرساخت کلید عمومی
...
تدوین
استانداردها و
دستورالعملها
تولید نرم افزارها
و کتابخانه های
کاربردی
تولید سامانه های
امنیتی
تحقیق و توسعه
و ارائه راه کارهای
نوین
•
•
•
•
تحقیق و توسعه در حوزه استانداردهای بروز در سطح بین املللی
توسعه سرویسها و خدمات نوین در حوزه کاربرد گواهی الکترونیکی
تولید سخت افزارهای نوین در حوزه امضای دیجیتال و گواهی الکترونیکی
...
تدوین
استانداردها و
دستورالعملها
تولید نرم
افزارها و
کتابخانه های
کاربردی
تولید سامانه
های امنیتی
تحقیق و توسعه و
ارائه راه کارهای
نوین
• تجهیز نرم افزارهای کاربردی به امضای دیجیتال و گواهی الکترونیکی
oاعالم استانداردهای زیرساخت کلید عمومی
oمشاوره در حوزه معماری زنجیره اعتماد
oارائه سرویسهای اعتبارسنجی و مهرزمانی
... o
تجهیزنرم افزارهای
کاربردی
برگزاري دوره هاي
آموزش ي
توسعه دفاتر
ثبت نام
افزایش کاربرد
امضای دیجیتال
توسعه خدمات
نوین
• تسهیل فرآیندهای درخواست صدور گواهی الکترونیکی
• تولید سامانه مدیریت کلید ()TMS
• امکان تمدید گواهی الکترونیکی از راه دور
• افزایش ظرفیت صدور گواهی الکترونیکی
• ...
توسعه دفاتر ثبت
برگزاري دوره هاي
آموزش ي
تجهیز نرم
افزارهای
کاربردی
افزایش کاربرد
امضای دیجیتال
توسعه خدمات
نوین
• بروزرسانی و ارتقای امنیت خدمات مورد ارائه در مرکز مگانفت
• تهیه و یا تولید سخت افزارهای امنیتی مبتنی بر علم روز جهانی
• شناخت نیازهای صنعت نفت و ارائه راهکارهای امنیتی
• ...
توسعه خدمات نوین
برگزاري دوره هاي
آموزش ي
تجهیز نرم
افزارهای
کاربردی
افزایش کاربرد
امضای دیجیتال
توسعه دفاترثبت
نام
• تجهیز نرم افزارهای کاربردی به گواهی الکترونیکی و امضای دیجیتال
• ارائه کتابخانه های کمکی به تولید کنندگان نرم افزار
• ارائه خدمات مشاوره در افزایش امنیت و توسعه کاربرد امضای دیجیتال
• معرفی و فرهنگ سازی کاربردهای گواهی الکترونیکی
• ...
افزایش کاربرد
امضای دیجیتال
برگزاري دوره هاي
آموزش ي
تجهیز نرم
افزارهای
کاربردی
توسعه خدمات
نوین
توسعه دفاترثبت
نام
• دوره های عمومی آشنایی با گواهی الکترونیکی و امضای دیجیتال
• دوره های تخصص ی برای تولیدکنندگان نرم افزار و کارشناسان فنی
• دوره های مدیریتی برای معرفی قوانین و سیاستهای تجارت الکترونیک
• کارگاه های یک/چند روزه معرفی کاربردهای گواهی الکترونیکی
• ارائه جزوات و خبرنامه های الکترونیکی
برگزاري دوره هاي
آموزش ي
• ...
افزایش کاربردهای
امضای دیجیتال
تجهیز نرم
افزارهای
کاربردی
توسعه خدمات
نوین
توسعه دفاترثبت
نام
پایان
ارائه دهنده :ایمان حسینی اصل
شرکت :فاوانفت صباکیش
سمت :مدیر مرکز صدور گواهی الکترونیکی نفت