|  10/17/2018 - چهارشنبه 25 مهر 1397
Menu
نوع جستجو را انتخاب کنید.
  • سایت
  • وب
جستجو
بایگانی اطلاعات > مشاهده

امضای الکترونیکی (ابراهیم عباسپور )


به نام خدا

امضای الکترونیکی

استاد دکتر ساجدی

ابراهیم عباسپور

درس سیستم های توزیع شده

 زمستان 90

امنيت اطلاعات چيست ؟
امنيت اطلاعات در واقع محافظت از اطلاعات در برابر طيف وسيعي از تهديدات است كه با هدف تضمين استمرار فعاليت هاي کاري ، به حداقل رساندن ريسك هاي کاري و به حداكثر رساندن ميزان بازده سرمايـه گـذاري ها و فرصت ها صورت مي پذيرد.
امنيت اطلاعات، حفظ محرمانگي (confidentiality) ، تماميت(integrity) و در دسترس بودن (availability) اطلاعـات و همچنـين ساير مـواردي مانند تصديق هويت (authenticity)،مسئوليت پذيري(accountability) ، عدم انکـار (non-repudiation) و قابليـت اطميـنان  (reliability) را شامل مي گردد.

علت نياز به امنيت اطلاعات در چيست؟

اطلاعات و فرآيندهاي پشتيباني ، سيستم ها و شبكه ها از جمله دارايي هاي مهم و حائز اهميت به شمار مي روند. سازمان ها ، سيستم هاي اطلاعاتي و شبكه هاي آنها با طيف وسيعي از تهديـدات امنيتـي از جملـه كلاهبرداري هاي كامپيوتري ، جاسوسي ، خرابكاري ، آتش سوزي ، سيلاب ، زلزله ، عمليات تروريستي و ... مواجه هستند.

تعريف امضاي ديجيتال

امضاي ديجيتال وسيله‌ي است که اصل بودن يک پيام يا فايل اطلاعاتي را در تبادلات الکترونيکي نشان می‌دهد؛ به طوري که:

  1. گيرنده می‌تواند هويت فرستنده را کنترل کند.
  2. فرستنده بعداً نمی‌تواند پيام ارسالي خود را تکذيب کند.
  3. امکان جعل امضا وجود نداشته و هر کس امضاي منحصر به فرد خود را دارد.

امنيت اطلاعات

در هنگام بررسي امنيت اطلاعات همواره با سه موضوع اصلي مواجه هستيم:

  • حمله امنيتي: به هر نوع عملي جهت مخدوش ساختن اطلاعات اطلاق می‌شود.
  • سرويس امنيتي: هر گونه سرويس جهت تأمين امنيت اطلاعات را گويند.
  • مکانيزم امنيتي: فرآيندي جهت تشخيص دادن و جلوگيري کردن از حملات امنيتي يا بازيابي کردن اطلاعات پس از وقوع حمله می‌باشد.

حملات امنيتي

 

 

 

 

 

سرويس‌هاي امنيتي

  • تصديق هويت:

 اطمينان يافتن از اينکه طرف مقابل در ارتباط ايجاد شده، همان فردي است که انتظار داريم.

  • محرمانگي داده:  

 ايمن نگاه داشتن داده‌هاي مورد نظر در طول ارتباط

  • جامعيت داده:    

 اطمينان يافتن از اينکه اطلاعات دريافت شده، دقيقاً همان اطلاعات ارسالي از سوي فرستنده می‌باشد.

  • انکار ناپذيري: 

 هيچ يک از طرفين ارتباط قادر به تکذيب کل يا بخشي از ارتباط نيستند.

  •  کنترل دسترسي:  

 از دسترسي غير مجاز به منابع مورد نظر جلوگيري نماييم.

روشهاي کلي تشخيص هويت

  • چي هستي ؟

- اثر انگشت nDNA nRetinal (شناخت از طريق شبکيه چشم)

  • چي داري ؟

- کارت شناسايي
- نشان امنيتي يا نرم افزاري
- موبايل

  • چي مي داني؟

- کلمه(Word) يا عبارت (Phrase) عبور            
- شماره شناسيي شخصي (PIN)

  • ترکيب

دستگاههاي زيست سنجي تشخيص هويت

اثر انگشت

فرد انگشت  خود را درداخل يا روي دستگاهي كه از انگشت اسكن ميگيرد قرار ميدهد و دستگاه اثر انگشت را به صورت رقمي درآورده و با تصويري كه قبلا بر روي فايل موجود در دستگاه ذخيره شده مقايسه ميكند. اين روش براي بررسي هويت اشخاص يا مقايسه اطلاعات با يك پايگاه اطلاعاتي  شامل تعداد زيادي از افراد استفاده ميشود.

كارآيي:

پايداري دربرابر تقلب ، دقت عملكرد ، سرعت وتجهيزات مورد نياز ، هزينه ، سادگي استفاده وپذيرش از سوي كاربر ازجمله عوامل تعيين كننده در كارآيي ميباشد:    

 ميزان عدم پذيرش نادرست= 9/4%    

 ميزان پذيرش نادرست= 0   

ميانگين زمان پردازش= 7 ثانيه

شبكيه

چشم ملزومات اين روش اين است كه كاربر به يك عدسي كه به صورت ليزري يك نمونه از رگهاي خوني را اسكن ميكند نگاه ميكند ونمونه با هويت واقعي فرد قابل مقايسه ميباشد. هزينه اين روش درحدود  2650 دلار ميباشد.

كارآيي:    

 ميزان عدم پذيرش نادرست= 1/5%  

 ميزان پذيرش نادرست=  1/5%  

 ميانگين زمان پردازش= 7 ثانيه

کف دست

سيستم اطلاعات 1000 نقطه از يك بخش 2 اينچ مربع از كف دست را اسكن ميكند  وبا اين اطلاعات فرد خطاكار يا معتبر در سيستم مشخص ميشود. هزينه اين روش درحدود  2650 دلار ميباشد.

كارآيي:    

 ميزان عدم پذيرش نادرست=0    

ميزان پذيرش نادرست=  0/00025 %   

ميانگين زمان پردازش= 2-3 ثانيه

هندسه دست (شكل دست)

در اين روش از اندازه گيري سه بعدي شكل هندسي دست براي تامين هويت افراد استفاده ميكند قيمت يك نمونه از اين دستگاه 2150 دلار است.

كارآيي:    

ميزان عدم پذيرش نادرست=0/1%    

 ميزان پذيرش نادرست=  0/01%   

ميانگين زمان پردازش= 2-3 ثانيه

تشخيص از چهره

ر اين روش از يك دوربين كه در محل تشخيص هويت نصب ميشود استفاده ميشود و دستگاه تصوير شخصي را كه وارد ميشود ثبت كرده وبا تصوير ذخيره شده در بانك مقايسه مينمايد  قيمت يك نمونه از دستگاه  2500 دلار                               

كارآيي:   

ميانگين زمان پردازش= 2  ثانيه

 بررسي صدا

در اين روش وقتي شخصي عبارتي را در ميكروفون صحبت ميكند اين دستگاه نمونه صدا را تحليل كرده و آن را با اطلاعات ذخيره شده در پايگاه داده مقايسه مينمايد. قيمت متغير است از 1200 دلار براي 3000 كاربر                                    

 كارآيي:  

ميانگين زمان پردازش= 2  ثانيه

روشهاي تشخيص هويت

 

رمزنگاري

  • رمزنگاري نوعي تبديل است که کاراکترها يا بيت‌هاي داده‌هاي ورودي را به کاراکترها يا بيت‌هاي ديگر تبديل می‌کند؛ به طوري که تشخيص متن اصلي از روي متن رمزنگاري شده بسيار دشوار می‌باشد.
  • عکس اين عمليات، يعني به دست آوردن متن ساده از روي متن رمزي را رمزگشيي گويند.
  • پارامتر امنيتي ورودي رمزنگاري و رمزگشايي، کليد نام دارد.
  • در يک رمزنگاري موفق الگوريتم‌ رمزنگاري بري عموم مشخص است اما کليدي که جهت رمزگشايي استفاده می‌شود سري است.

رمز سزار

 

ماشين رمز انيگما

ماشين رمز كننده لورنتز



ماشين رمزکننده لورنتز که در جنگ جهاني دوم توسط آلمان بري رمز کردن پيام‌هي نظامي مورد استفاده قرار گرفته است

 

رمز استوانه اي

رمزنگاري تصويري

اصول ششگانه رمزنگاري  پيشرفته

1- سيستم رمزنگاري اگر نه به لحاظ تئوري که در عمل غير قابل شکست باشد.

2- سيستم رمز نگاري بايد هيچ نکته پنهان و محرمانه ي نداشته باشد. بلکه تنها چيزي که سري است کليد رمز است.

3- کليد رمز بايد به گونه ي قابل انتخاب باشد که اولا بتوان براحتي آن را عوض کرد و ثانيا بتوان آنرا به خاطر سپرد و نيازي به يادداشت کردن کليد رمز نباشد.

4- متون رمز نگاري بايد از طريق خطوط تلگراف قابل مخابره باشند.

5- دستگاه رمز نگاري يا اسناد رمز شده بيد توسط يکنفر قابل حمل و نقل باشد.

6- سيستم رمزنگاري بايد به سهولت قابل راه اندازي باشد.

اهميت اصالت پيام

در بسياري از کاربرد ها مانند:

تراکنشهاي مالي

سيستم هاي يکپارچه شهرسازي

ثبت احوال و اسناد

ممكن است ارائه سرويس محرمانگي اهميت زيادي نداشته باشد  ولي اينکه محتواي اطلاعات  قابل اعتماد باشند از اهميت بسيار بالاتري برخوردار است. 

مفهوم احراز اصالت پيام

•اطمينان از:

–تماميت پيام؛ يعني پيام دريافتي دستکاري نشده است:

•بدون تغيير،

•بدون درج،

•بدون حذف  

 •بدون تكرار و تغيير توالي

–اين كه پيام از جانب فرستنده ادعا شده ارسال شده است

سرويس امنيتي

مجازشناسي: شما همان‏ ميزان حق دسترسي داريد كه به شما اعطا شده است

 l:: Access Controlو ديگر مكانيزمهاي سيستم عامل

بازرسي و كنترل: آيا تردد داده با مقررات امنيتي سازمان سازگار است؟

l:: Firewallو ابزارهاي كنترل اتصال 

مکانيزم امنيتي

اصلی‌ترين مکانيزم‌هي امنيتي، رمزنگاري و امضاي ديجيتال می‌باشند.

توسط رمزنگاري می‌توان محرمانگي پيغام‌هاي ارسالي را تضمين کرد.

سرويس‌هي تصديق هويت، جامعيت داده‌ها و انکارناپذيري توسط امضاي ديجيتال به دست می‌آيند.

نتيجه: تمامي سرويس‌هي مورد نياز جهت برقراري امنيت توسط ترکيب مکانيزم‌هي رمزنگاري و امضاي ديجيتال حاصل خواهند شد.

انواع امضاي ديجيتال

شاید تا کنون نامه های الکترونیکی متعددی را دریافت داشته اید که دارای مجموعه ای از حروف و اعداد در انتهای آنان می باشند. در اولین نگاه ممکن است اینگونه تصور گردد که اطلاعات فوق بی فایده بوده و شاید هم نشان دهنده بروز یک خطا در سیستم باشد! در حقیقت ما شاهد استفاده از امضای دیجیتال در یک نامه الکترونیکی می باشیم. به منظور ایجاد یک امضای دیجیتال از یک الگوریتم ریاضی به منظور ترکیب اطلاعات در یک کلید با اطلاعات پیام، استفاده می شود. ماحصل عملیات، تولید یک رشته مشتمل بر مجموعه ای از حروف و اعداد است.

یک امضای دیجیتال صرفاً به شما نخواهد گفت که «این شخص یک پیام را نوشته است»
بلکه در بردارنده این مفهوم مهم است که: «این شخص این پیام را نوشته است».

کاغذ به عنوان حامل اطلاعات مهم جای خود را کم کم به دیگر راه های تبادل اطلاعات می دهد. در واقع کاغذ دارای معایبی از قبیل انتقال آهسته و پرهزینه اسناد می باشد. همچنین شیوه های ذخیره سازی اطلاعات نیز به سرعت در حال تغییر است و به جای بایگانی انبوه دسته های کاغذ از روش های الکترونیکی استفاده می شود. فناوری های جدید انتقال اطلاعات، مانند EDI و پست الکترونیک و استفاده از سیستم های مدیریت اسناد کامپیوتری نگارش، ارسال و ذخیره اطلاعات را ساده تر، سریع تر و حتی ایمن تر ساخته است.

به خاطر ساختار غیر فیزیکی واسطه (وسیله حامل داده)، روش های سنتی علامت گذاری فیزیکی واسطه توسط مهر یا امضا (برای مقاصد تجاری و حقوقی) غیر قابل استفاده می باشند. هنگام کار با اسناد الکترونیکی، باید علامتی برای تشخیص اصل بودن و سندیت بخشیدن به محتوای آن، به اطلاعات اضافه شود. بعضی شیوه های جدید تنها برای سندیت بخشیدن به یک موجودیت جهت مجوزدهی به دسترسی، استفاده می شوند؛ برای مثال نباید یک سیستم تشخیص هویت انگشت نگاری کامپیوتری، یک امضای دستی اسکن شده یا وارد کردن اسم شخص در انتهای یک E-mail را به عنوان یک جایگزین معتبر برای امضاهای دستی پذیرفته زیرا همه عملکردهای یک امضای دستی را نخواهد داشت.

با امضا کردن در پای یک نوشته، امضا کننده هویت خود را به عنوان نویسنده مشخص می کند، جامعیت سند را تأیید نموده و بیان می دارد که به محتویات آن متعهد و پایبند می باشد.

برخی از خواص مهم امضاهای دستی عبارت است از:

1.     امضای یک شخص برای تمام مدارک یکسان است.

2.     به راحتی تولید می شوند.

3.     به راحتی تمیز داده می شوند.

4.     باید به گونه ای باشند که حتی الامکان به سختی جعل شوند.

5.     به طور فیزیکی تولید می شوند. یک امضای دیجیتالی یک ابزار سندیت بخشیدن الکترونیکی می باشد، که منجر به سندیت بخشیدن به یک رکورد الکترونیکی از طریق رمزنگاری با کلید همگانی می شود.

ویژگی های مهم امضاهای دیجیتال عبارت است از:

1.     در تولید آنها از اطلاعاتی که به طور منحصر به فرد در اختیار امضا کننده است، استفاده می شود.

2.     به طور خودکار و توسط رایانه تولید می شوند.

3.     امضای هر پیام وابسته به کلیه بیت های پیام است و هر گونه دستکاری و تغییر در متن سند موجب مخدوش شدن امضای پیام می گردد.

4.     امضای هر سندی متفاوت با امضای اسناد دیگر است.

5.     باید به راحتی قابل بررسی و تأیید باشد تا از جعل و انکار احتمالی آن جلوگیری شود. ساختار اصلی امضای دیجیتالی بدین صورت است که نویسنده اطلاعات الکترونیکی این اطلاعات را توسط کلید رمزنگاری محرمانه خود امضا می کند. این کلید باید توسط کاربر برای همیشه مخفی نگه داشته شود. امضا توسط کلید همگانی مربوطه امضا کننده، سند قابل کنترل می باشد. این کلید همگانی توسط عموم قابل رؤیت و دسترسی می باشد.

علت استفاده از یک امضای دیجیتال چیست؟

بهتر است برای پاسخ به سؤال فوق، سؤالات دیگری را مطرح کنیم!

برای تشخیص و تأیید هویت فرد ارسال کننده یک نامه الکترونیکی از چه مکانیزم هایی استفاده می شود؟

فرض کنید یک نامه الکترونیکی را از یکی از دوستان خود دریافت داشته اید که از شما درخواست خاصی را می نماید، پس از مطالعه پیام برای شما دو سؤال متفاوت مطرح می گردد:

·         آیا این نامه را واقعاً وی ارسال نموده است؟

·         آیا محتوای نامه ارسالی واقعی است و وی دقیقاً همین درخواست را داشته است؟

آیا وجود هر نامه الکترونیکی در صندوق پستی، نشان دهنده صحت محتوا و تأیید هویت فرد ارسال کننده آن است؟

امروزه سوء استفاده از آدرس های Email برای مهاجمان و ویروس ها به امری متداول تبدیل شده است و با توجه به نحوه عملکرد آنان در برخی موارد شناسایی هویت فرد ارسال کننده یک پیام بسیار مشکل و در برخی موارد غیر ممکن است. تشخیص غیر جعلی بودن نامه های الکترونیکی در فعالیت های تجاری و بازرگانی دارای اهمیت فراوانی است. یک نامه الکترونیکی شامل یک امضای دیجیتال، نشان دهنده این موضوع است که محتوای پیام از زمان ارسال تا زمانی که به دست شما رسیده است، تغییر نکرده است. در صورت بروز هر گونه تغییر در محتوای نامه، امضای دیجیتال همراه آن از درجه اعتبار ساقط می شود.

نحوه عملکرد یک امضای دیجیتال

قبل از آشنایی با نحوه عملکرد یک امضای دیجیتال، لازم است در ابتدا با برخی اصطلاحات مرتبط با این موضوع بیشتر آشنا شویم:

کلیدها (Keys)

از کلیدها به منظور ایجاد امضاهای دیجیتال استفاده می گردد. برای هر امضای دیجیتال، یک کلید عمومی و یک کلید خصوصی وجود دارد:

 

کلید خصوصی، بخشی از کلید است که شما از آن به منظور امضای یک پیام استفاده می نمایید. کلید خصوصی یک رمز عبور حفاظت شده بوده و نمی بایست آن را در اختیار دیگران قرار داد.

کلید عمومی، بخشی از کلید است که امکان استفاده از آن برای سایر افراد وجود دارد. زمانی که کلید فوق برای یک حلقه کلید عمومی (public key ring) و یا یک شخص خاص ارسال می گردد، آنان با استفاده از آن قادر به بررسی امضای شما خواهند بود.

حلقه کلید (Key Ring)

شامل کلیدهای عمومی است. یک حلقه کلید از کلیدهای عمومی افرادی که برای شما کلید مربوط به خود را ارسال نموده و یا کلیدهایی که از طریق یک سرویس دهنده کلید عمومی دریافت نموده اید، تشکیل می گردد. یک سرویس دهنده کلید عمومی شامل کلید افرادی است که امکان ارسال کلید عمومی در اختیار آنان گذاشته شده است.

اثر انگشت

 

زمانی که یک کلید تأیید می گردد، در حقیقت منحصر به فرد بودن مجموعه ای از حروف و اعداد که اثر انگشت یک کلید را شامل می شوند. تأیید می گردد.

گواهینامه های کلید

در زمان انتخاب یک کلید از روی یک حلقه کلید، امکان مشاهده گواهینامه (مجوز) کلید وجود خواهد داشت. در این رابطه می توان به اطلاعات متفاوتی نظیر صاحب کلید، تاریخ ایجاد و اعتبار کلید دست یافت.

نحوه ایجاد و استفاده از کلیدها

1.     تولید یک کلید با استفاده از نرم افزارهایی نظیر PGP (اقتباس شده از کلمات Pretty Good Privacy) و یا GnuPG (اقتباس شده از کلمات GNU Privacy Guard)

2.     معرفی کلید تولید شده به سایر همکاران و افرادی که دارای کلید می باشند.

3.     ارسال کلید تولید شده به یک حلقه کلید عمومی تا سایر افراد قادر به بررسی و تأیید امضای شما گردند.

4.     استفاده از امضای دیجیتال در زمان ارسال نامه های الکترونیکی. اکثر برنامه های سرویس دهنده پست الکترونیکی دارای پتانسیلی به منظور امضای یک پیام می باشند.

 

امضاي کليد متقارن :

دو طرفي که در حال مبادله اطلاعات هستند، به يک طرف سومي که big brother ناميده می‌شود، اطمينان کرده و از طريق رمزنگاري کليد متقارن و با واسط BB امضا را انجام می‌دهد.

امضاي کليد عمومي:

از کليدهاي عمومي و خصوصي و الگوريتم‌هاي رمزنگاري کليد عمومي استفاده می‌کند.

امضاي کليد متقارن

 

uBB، کليدهاي خصوصي (متفارن) A و B را در اختيار دارد.

امضاي کليد عمومي

 

استفاده از توابع درهم سازي در امضاي ديجيتال

 

استفاده از توابع درهم سازي در امضاي ديجيتال

 

 

 

حملات ممکن علیه امضاهای دیجیتالی

حمله Key-only

در این حمله، دشمن تنها کلید عمومی امضا کننده را می داند و بنابراین فقط توانایی بررسی صحت امضاهای پیام هایی را که به وی داده شده اند، دارد.

حمله Known Signature

دشمن، کلید عمومی امضا کننده را می داند و جفت های پیام/امضا که به وسیله صاحب امضا انتخاب و تولید شده است را دیده است. این حمله در عمل امکان پذیر است و بنابراین هر روش امضایی باید در مقابل آن امن باشد.

حمله Chosen Message

به دشمن اجازه داده می شود که از امضا کننده بخواهد که تعدادی از پیام های به انتخاب او را امضا کند. انتخاب این پیام ها ممکن است به امضاهای از قبل گرفته شده بستگی داشته باشد. این حمله در غالب حالات، ممکن است غیر عملی به نظر برسد، اما با پیروی از قانون احتیاط، روش امضایی که در برابر آن ایمن است، ترجیح داده می شود.

حمله Man-in-the-middle

در این حمله، شخص از موقعیت استفاده کرده در هنگام مبادله کلید عمومی، کلید عمومی خود را جایگزین کرده و برای گیرنده می فرستد و بدین گونه می تواند به پیام ها دسترسی داشته باشد بدون اینکه فرستنده و گیرنده، مطلع باشند.

 

تاریخ خبر : 1390/11/13      آدرس خبر : http://majame.tehran.irhttp://majame.tehran.ir/default.aspx?tabid=341&ArticleId=989
تعداد مشاهده : 2899
چاپprint

  نظرات

هیچ نظری ثبت نشده است.

نام شما
پست الکترونیک
وب سایت
عنوان
نظر
تصویر امنیتی CAPTCHA
کد را وارد کنید