امضای دیجیتال (Digital Signature)

نگاهی فنی

امضای دیجیتالی به این معناست که طرف مصرف کننده و طرف تجاری بتوانند از امنیت ارتباط و برنامه ها با استفاده از PKL(Public Key Infrastructure) بهره برداری کنند.

لزوم امنیت بر روی اینترنت

ما اکنون در حال سپری کردن عصر اطلاعات هستیم. تعداد افراد و تجارتهایی که هر روز به اینترنت ملحق می شوند به طور بی سابقه ای در حال رشد است. در حالیکه هر روز دسترسی به اینترنت آسان تر و سرعت آن سریعتر می شود و قیمت آن ارزانتر می شود, بسیاری از افراد میزان زیادی از وقت خود را بر روی اینترنت به تبادل اطلاعات و همچنین به تبادلات مالی میپردازند. در حالیکه اینترنت یک شبکه اطلاعاتی بازاست. هرکسی می تواند از اینترنت استفاده کند و در نتیجه هر کسی میتواند از آن برای استخراج اطلاعات از مناطق آسیب پذیر، برای مقاصد سودجویانه و غیر قانونی استفاده کند. اگر اینترنت بخواهد به منبعی برای استفاده اهداف تجاری و انتقال اطلاعات تبدیل شود مطمئنا به یک بنیاد و موسسه امنیت هم نیاز دارد.

امنیت چه چیزی را تامین می کند؟

تصدیق هویت
تصدیق هویت اطمینان از اینکه شخص یا طرفی که با آن در حال ارتباط هستیم همان کسی است که ما انتظار داریم و خودش می گوید.

محرمانه بودن
اطلاعات درون پیغام ها و با تبادلات محرمانه میشوند. و تنها برای اشخاص دریافت کننده و ارسال کننده قابل فهم و خواندن می باشد.

امانت داری
اطلاعاتی که درون پیغام و یا تبادلات وجود دارد در طول مسیر به طور اتفاقی یا عمدی مورد دستبرد قرار نمی گیرند.

غیر قابل انکار بودن
ارسال کننده نمی تواند منکر ارسال پیتم یا تبادل مالی شود، و دریافت کننده هم نمی تواند منکر دریافت آن شود.

کنترل دسترسی
کلیدهای عمومی و خصوصی هر دو از دو کلید رمزگذاری مرتبط و مجزا (معمولا رشته بلندی از اعداد) تشکیل شده اند. در زیر نمونه ای از یک کلید عمومی را مشاهده می کنید. دسترسی به اطلاعات حفظ شده تنها برای طرفین و اشخاص انتخاب شده میسر می باشد.

(public Key Infrastructure (PKI
PKI: باز میگردد به تکنولوژی، مراحل عملیاتی و خط مشیی که مجموعه محیطی را برای مقاصد تامین امنیت مطابق پاراگراف فوق فراهم میکند.

ه مردم و تجار این امکان را می دهد که از نرم افزارها و ابزارهای امن اینترنتی بهره ببرند. به طور مثال ترکیب قانونی و امن ایمیل و تبادلات مالی و انتقال خدمات، تماما در سایه تحقق می یابد.
این سازمان دو عامل اصلی را به خدمت میگیرد: کلیدهای عمومی رمزگذاری و گواهینامه اعتبار.

کلید های عمومی و خصوصی:

کلیدهای عمومی و خصوصی هر دو از دو کلید رمزگذاری مرتبط و مجزا (معمولا رشته بلندی از اعداد) تشکیل شده اند. در زیر نمونه ای از یک کلید عمومی را مشاهده می کنید:

۳۰۴۸ ۰۲۱۷ ۰۰C0 18FA 1256 SD14 125D 369Y
F459 LD25 00DF 26TY DDF8 RFG5 HTYF 1269 F798 WE15
3654 8695 GTD1 0210 FD02 0001 HTY1 LO56 125D 1236 0100 00CB

کلید عمومی همانی است که از نام آن پیداست، عمومی. این کلید در اختیار تمام کسانی که از یک منبع خاص یا یک فهرست مشخص استفاده میکنند قرار دارد. در حالیکه کلید خصوصی بایستی به صورت محرمانه نزد دارندگان مجاز آن باقی بماند.

FPRIVATE “TYPE=PICT;ALT=”

چون هر دو کلید به طور محاسباتی به هم مربوط می شوند، هر چیزی که با کلید عمومی رمزگذاری می شود تنها با کلید خصوصی مربوط به آن قابل رمزگشایی است و بالعکس.

برای مثال، اگر باب بخواهد اطلاعات محرمانه ای را برای آلیس ارسال کند، و می خواهد مطمئن باشد که تنها آلیس قابلیت دسترسی و خواندن آن را داشته باشد او می تواند با کلید عمومی آلیس آنرا رمزگذاری کند. تنها آلیس به کلید خصوصی مربوطه خودش دسترسی دارد در نتیجه تنها شخصی که قابلیت رمزگشایی اطلاعات رمزگذاری شده را دارد آلیس است. چون آلیس تنها کسی است که به کلید خصوصی خود دسترسی دارد ،لذا تنها کسی است قابلیت خواندن اطلاعات رمزگذاری شده را دارد. حتی اگر شخصی هم به اطلاعات رمزگذاری شده دسترسی پیدا کند چون به کلید خصوصی آلیس دسترسی ندارد، نمی تواند آنرا بخواند.

کلیدهای عمومی اینگونه امنیت را به ارمغان می آورند. در حالیکه یکی دیگر از قابلیتهای مهم کلید عمومی رمزگذاری، امکان بوجود آوردن امضای دیجیتالی می باشد.

گواهینامه دیجیتالی چیست و چرا ما به یکی نیاز داریم؟

یک گواهینامه دیجیتالی یک فایل دیجیتالی است که به صورت رمزگذاری شده ای حاوی اطلاعاتی از قبیل کلید عمومی و سایر اطلاعات دارنده خود است. دارنده می تواند یک شخص، یک شرکت، یک سایت و یا یک نرم افزار باشد. مانند یک گواهینامه رانندگی که عکس صاحب خود را به همراه سایر اطلاعات در مورد دارنده آن، شامل می شود، یک گواهینامه دیجیتالی نیز یک کلید عمومی را به اطلاعاتی در مورد دارنده آن متصل می کند.

در کلام دیگر، گواهینامه دیجیتالی آلیس، تصدیق می کند که کلید عمومی به او و تنها او تعلق دارد. به همراه کلید عمومی، یک گواهینامه دیجیتالی حاوی اطلاعاتی در مورد شخص حقیقی یا حقوقی دارنده آن می باشد، که برای شناسایی دارنده، و (بر این اساس که گواهینامه ها محدود می باشند)، تاریخ ابطال آنرا نمایش می دهد.

دفاتر ثانویه مطمئن صادر کننده گواهینامه، هویت شخص دارنده گواهینامه را قبل از آنکه تصدیق کنند، چک می کنند .بخاطر اینکه گواهینامه دیجیتالی اکنون یک فایل اطلاعاتی کوچک است، اصل بودن آن توسط امضای دیجیتالی خودش قابل بررسی است لذا به همان صورتی که یک امضای دیجیتالی را تایید می کنیم به همان صورت از صحت امضای دیجیتالی به اصل بودن گواهینامه پی خواهیم برد.

ثبت نام برای یک گواهینامه دیجیتالی

کاربران می توانند از طریق وب برای یک گواهینامه دیجیتالی ثبت نام کنند. پس از کامل شدن فرمهای مورد نیاز، مرورگر اینترت کاربر یک جفت کلید عمومی درست می کند. نیمی از کلید عمومی به دفاتر صدور گواهینامه برای درج در مشخصات دارنده آن ارسال می شود .درحالیکه کلید خصوصی کاربر بر روی کامپیوتر او در جایی امن (هارد دیسک، فلاپی درایو و …) نگهداری خواهد شد.

دفاتر صدور گواهینامه در ابتدا ملزم به تایید اطلاعات ارسال شده توسط کلید عمومی کاربر می باشند. اینکار از جا زدن کسی به جای کس دیگر و احتمال وقوع تبادلات نامشروع و غیر قانونی جلوگیری می کند.

اگر اطلاعات ارسال شده درست باشد، دفتر صادر کننده گواهینامه، یک گواهینامه دیجیتالی برای متقاضی خود صادر می کند. بمحض صدور، دفتر صادر کننده گواهینامه امضای دیجیتالی را در یک بایگانی عمومی نگهداری می کند.

پخش کردن گواهینامه دیجیتالی

در حالیکه گواهینامه دیجیتالی در یک بایگانی عمومی ذخیره شده است نیز، می تواند با استفاده از امضای دیجیتالی پخش گردد. به طور مثال زمانیکه آلیس نامه ای را برای باب به صورت دیجیتالی امضا می کند، او همچنین گواهینامه خود را به آن نامه پیوست می کند .لذا همزمان با دریافت نامه دیجیتالی باب میتواند معتبر بودن گواهینامه آلیس رانیز بررسی کند. اگر با موفقیت تایید شد، هم اکنون باب کلید عمومی آلیس را دارد و نیز میتواند اعتبار نامه ارسالی از طرف آلیس را بررسی کند.

انواع مختلف گواهینامه دیجیتالی

بر حسب نوع استفاده از گواهینامه دیجیتالی، چند نمونه مختلف از آن موجود می باشد.

شخصی: قابل استفاده توسط اشخاص حقیقی برای امضای ایمیل و تبادلات مالی.

سازمان ها: قابل استفاده توسط اشخاص حقوقی برای شناساندن کارمندان برای ایمیل های محفوظ و تبادلات تحت اینترنت.

سرور: برای اثبات مالکیت یک دامین اینترنتی.

تولید کنندگان: برای اثبات حق تالیف و حفظ حقوق آن برای نشر برنامه نرم افزاری.

سطوح مختلف گواهینامه های الکترونیکی

گواهینامه های دیجیتالی در سطوح مختلفی بسته به میزان و سطح اطمینان خواسته شده از طرف متقاضی، توسط دفاتر صدور گواهینامه موجود می باشند. در زبان ساده هر چه سطح گواهینامه بالاتر باشد، به میزان بیشتری دارنده آنرا تایید می کند. یک گواهینامه سطح بالا میتواند به این معنی باشد که گواهینامه می تواند برای کارهای حساس تری مانند بانکداری آنلاین و معرفی هویت یک نفر برای تبادلات مالی و تجارت الکترونیکی، مورد استفاده قرار بگیرد.

سطح گواهینامه ارتباط نزدیکی با نوع گواهینامه دارد. سطوح پایین شامل اطلاعات شخصی کمتری و یا بدون اطلاعات شخصی می باشند (به طور مثال فقط یک آدرس ایمیل). گواهینامه های متعلق به چنین سطحی می توانند برای ارسال ایمیل حفاظت شده بکار بروند، در حالیکه برای اثبات گواهینامه یک موسسه و یا یک سازمان نیاز به اطلاعات بیشتری و در نتیجه سطح بالاتری از گواهینامه است.

امضای دیجیتالی از دید برنامه نویسی

در یک امضای دیجیتالی سه دسته اطلاعات وجود دارد: هویت تولید کننده نرم افزار، هویت منبع تایید کننده (سازمانی که امضاء را صادر کرده) و یک عدد رمز برای تایید این مطلب که محتویات نرم افزار دستکاری نشده است.

اگر می خواهید برای وب محتویات فعال بنویسید باید یک گواهینامه کد تعیین اعتبار برای خود دست و پا کنید تا بتوانید برای نرم افزار های خود امضای دیجیتالی بگیرید. اگر فقط برای اینترنت برنامه می نویسید نیازی به این مراحل ندارید چون سطح امنیتی در آنها معمولا پایین است و نیازی به امضای دیجیتالی وجود ندارد.

اگر صرفاً برای شرکت خود نرم افزار می نویسید می توانید از گواهینامه آن استفاده کنید. اما توصیه می شود خودتان هم این گواهینامه را بگیرید.

با آن که شرکت های متعددی برای صدور گواهینامه کد تعیین اعتبار وجود دارند، میکروسافت شرکت Verisign را توصیه می کند. برای کسب اطلاعات بیشتر می توانید به سایت وب این شرکت که در زیر آمده است مراجعه کنید:

http://www.verisign.com/developers/index.html

هزینه دریافت این گواهینامه ۲۰ دلار در سال و مراحل انجام آن بسیار ساده است:

۱-      در سایت مزبور، یک فرم پر کنید و در آن اطلاعات خواسته شده (از جمله اطلاعات مربوط به کارت اعتباری) را وارد کنید.

۲-      شرکت Verisign کد شناسایی شما را با پست الکترونیک برایتان ارسال خواهد کرد.

۳-      به صفحه نصب گواهینامه رفته و کد شناسایی خود را وارد کنید. این کار باید در همان کامپیوتری که توسط آن کد شناسایی را گرفته اید، انجام شود.

۴-      گواهینامه به کامپیوتر شما فرستاده خواهد شد.

هنگام ثبت گواهینامه دو گزینه در اختیار دارید: ذخیره کردن آن در یک فایل یا در رجیستری ویندوز. توصیه می شود گواهینامه خود را در یک فایل و روی دیسک ذخیره کنید تا بتوانید آن را از گزند نامحرمان حفظ کنید. در حقیقت، دو فایل به کامپیوتر شما فرستاده می شود: یکی حاوی خود گواهینامه (با پسوند SPC) و دیگری حاوی کلید رمزبندی (با پسوند PVK).

امضای دیجیتالی: امضای دیجیتالی برای ایمیل و فایل های اطلاعاتی همان کاری را انجام میدهد که امضای شما بر روی یک سند کاغذی انجام می دهد.امضای دیجیتالی اصل بودن وصداقت یک پیغام یا سند و یا فایل اطلاعاتی را تضمین می کند.

چگونه یک امضای دیجیتالی درست کنیم؟

بوجود آوردن یک امضای دیجیتالی مراحل محاسباتی پیچیده ای دارد. در حالیکه این مراحل توسط کامپوتر انجام می شود، درست کردن امضای دیجیتالی دیگر حتی از یک امضای دستی هم آسان تر است.

مراحل زیر نشان دهنده اعمالی است که در حین ساخته شدن یک امضای دیجیتالی صورت می گیرد:

a) آلیس دکمه  singرا در نرم افزار ایمیل خود کلیک میکند و یا فایلی را که نیاز به امضا دارد انتخاب می کند.

b) کامپیوتر آلیس رمزگذاری را محاسبه می کند. (پیغام به یک تابع عمومی جهت رمزگذاری برده می شود). این تابع توسط کلید خصوصی آلیس رمزگذاری شده است (در این حالت آنرا کلید امضا می خوانیم).

c) پیغام آلیس و امضای دیجیتالی آن برای باب ارسال می شود.

d) باب پیغام امضا شده رادریافت می کند. در آنجا مشخص شده است که پیغام امضا شده است، و نرم افزار ایمیل باب می داند که چگونه آن امضا را تایید کند.

d) کامپیوتر باب امضای دیجیتالی آلیس را توسط کلید عمومی آلیس رمزگشایی می کند.

e) کامپیوتر باب کد رمزگذاری را از امضای دیجیتالی استخراج می کند. سپس کامپیوتر باب کد رمزگذاری را که استخراج کرده است با کدی که با پیغام آلیس ارسال شده است مطابقت می کند.

f) اگر پیغام آلیس صحیح انتقال یافته باشد و در طول راه مورد دستبرد واقع نشده باشد هر دو کلید استخراج شده یکسان می باشند. اگر دو کد رمزگذاری که استخراج شده اند با یکدیگر مطابقت نداشته باشد صلاحیت نامه منتفی است.

g) اگر پیغام اصلی مورد سرقت قرار گرفته باشد کد رمزگذاری که در کامپیوتر باب استخراج می شود متفاوت خواهد بود و در این صورت کامپیوتر باب به او اطلاع خواهد داد.

مرجع:  emodir