شعار سال 1397
آی پی شما
استانداردها را جدی بگیریم
نظر به رشد روزافزون به‌کارگیری و استفاده از فناوری امضای دیجیتال و گواهی الکترونیکی در پیاده‌سازی و توسعه سامانه‌های نرم‌افزاری و سخت‌افزاری مختلف در کشور، تعداد توسعه‌دهندگان و سازمان‏هایی که اعلام می‌دارند سیستم‌های سخت‌افزاری و نرم‌افزاری آنان دارای توانمندی به‌کارگیری ...
استانداردها را جدی بگیریم
 

نظر به رشد روزافزون به‌کارگیری و استفاده از فناوری امضای دیجیتال و گواهی الکترونیکی در پیاده‌سازی و توسعه سامانه‌های نرم‌افزاری و سخت‌افزاری مختلف در کشور، تعداد توسعه‌دهندگان و سازمان‏هایی که اعلام می‌دارند سیستم‌های سخت‌افزاری و نرم‌افزاری آنان دارای توانمندی به‌کارگیری گواهی‌های الکترونیکی، انجام عملیات احراز هویت، پشتیبانی از امضای دیجیتال، صدور و مدیریت گواهی الکترونیکی، مدیریت کلید و… است، افزایش می‌یابد؛ متاسفانه در بسیاری از این سیستم‏ها به‌رغم اینکه در ظاهر امکان استفاده از گواهی‏های الکترونیکی و انجام عملیات امضای دیجیتال وجود دارد، به دلیلعدم رعایت استانداردهای مرتبط، شاهد آسیب‏پذیری‏های امنیتی بسیار جدی و عدم تعامل‏پذیری مناسب هستیم.
 
در بسیاری از سازمان‏ها این تصور نادرست وجود دارد که پشتیبانی سامانه‏های نرم‏افزاری نظیر اتوماسیون‏های مالی، اداری و بانکی از فناوری امضای دیجیتال صرفا به معنای امکان استفاده از گواهی‏های الکترونیکی X509 و قابلیت استفاده از یک ماژول سخت‏افزاری رمزنگاری نظیر کارت هوشمند یا توکن USB است. توجه داشته باشید که پشتیبانی درست و مطمئن از فناوری امضای دیجیتال دارای ابعاد گسترده فنی، فرآیندی و حقوقی است و این قابلیت تنها در بستر قانونی فراهم‌شده در کشورها و با اعمال درست استانداردهای تعیین‌شده در این بستر مهیا می‏‌شود. عدم اعمال استانداردهای مصوب در این حوزه می‏تواند بسترساز مخاطرات بسیار جدی و جبران‏ناپذیری نظیر انکارپذیری تراکنش‏ها، عدم اعتماد به اطلاعات امضاشده و تناظر آن با داده اصلی، عدم اعتماد به انجام درست و مطمئن عملیات صدور و مدیریت گواهی الکترونیکی، احراز هویت نامطمئن، عدم اعمال کنترل دسترسی مطمئن به منابع اطلاعاتی و عملیات اجرایی، خطر افشای اطلاعات محرمانه نظیر کلیدهای رمزنگاری و حساب‌های کاربری، امکان جعل گواهی الکترونیکی و عدم اعتبارسنجی درست زنجیره گواهی، جعل امضای دیجیتال، به‌کارگیری الگوریتم‏های رمزنگاری ناامن، به‌کارگیری الگوها و ساختارهای نادرست و نامطمئن در گواهی‏های الکترونیکی و… باشد. بنابراین لازم است تجهیز سامانه‏های نرم‏افزاری و سخت‏افزاری به زیرساخت کلید عمومی یا PKI که در واقع همان زیرساخت فنی، فرآیندی و حقوقی جهت به‌کارگیری فناوری امضای دیجیتال و گواهی الکترونیکی است، بر اساس مجموعه‌ای از استانداردها و الزامات صورت پذیرد.
مواجهه با تعدد فرآیندها و روش‌های مختلف توسعه و پیاده‌سازی، عملکرد ناصحیح و بعضا پیاده‌سازی‏های نامطمئن و غیراستاندارد در حوزه امضای دیجیتال و گواهی الکترونیکی، مرکز دولتی صدور گواهی الکترونیکی ریشه کشور را بر آن داشت تا با تایید شورای سیاستگذاری گواهی الکترونیکی کشور در تاریخ ۲۴/۰۳/۱۳۹۰، به‌ عنوان مرجع اعتماد و اطمینان در زیرساخت کلید عمومی کشور، اقدام به تهیه و تدوین استانداردهای ملی زیرساخت کلید عمومی کشور کند.
استانداردهای ملی PKI، مجموعه مستنداتی هستند که نیازمندی‌ها، ویژگی‌ها، الزامات، دستورالعمل‌ها و خصوصیات سیستم‌های سخت‌افزاری و نرم‌افزاری مجهز به زیرساخت کلید عمومی را فراهم می‌آورند. با به‌کارگیری و پیاده‏سازی این استانداردها کلیه توسعه‌دهندگان، خریداران دولتی و غیردولتی، کاربران و مشتریان محصولات مرتبط با امضای دیجیتال و گواهی الکترونیکی اطمینان می‌یابند که محصولات، فرآیندها و سرویس‌ها در انطباق کامل با هدف خود هستند.

 


 
این استانداردها با هماهنگ‌سازی ویژگی‌های فنی، محصولات و سرویس‌ها را کارآمدتر می‌کنند و ضمن حداقل کردن نقاط ضعف و خطاها و افزایش بهره‌وری، منجر به کاهش هزینه‌ها می‌شوند. اعتمادسازی، اعمال یکپارچگی و تعامل، آزمون‌پذیری و محدودسازی قلمرو استانداردهای بین‌المللی از جمله نتایج تدوین استانداردهای ملی PKI هستند. بنابراین صدور و مدیریت گواهی الکترونیکی مطمئن، انجام فرآیند صحیح امضای دیجیتال، انجام صحیح عملیات احراز هویت در سیستم‌ها، به‌کارگیری سخت‌افزارهای آزمون‌شده‌ معتبر و… در سایه انطباق با استانداردهای ملی PKI امکان‌پذیر است.
به عنوان نمونه استاندارد «الزامات برنامه‌های کاربردی مجهز به زیرساخت کلید عمومی» استانداردی جامع، منطبق با نیازمندی‌های کشور و مورد استفاده در کلیه سیستم‌های نرم‌افزاری مختلف مانند سیستم‌های اتوماسیون اداری، مالی، بانکی، پورتال‌‌ها و… است. استاندارد مزبور نمونه مشابهی با این جامعیت ندارد و در تهیه و تدوین آن از تجربیات متخصصان داخلی زیرساخت کلید عمومی کشور و تجارب و استانداردهای آزمایشگاه‌های بین‌المللی استفاده شده است.
لازم به ذکر است جهت حصول اطمینان از پیاده‌سازی و انطباق مجموعه استانداردهای ملی PKI مرتبط با هر سیستم (اعم از نرم‌افزاری و سخت‌افزاری)، آزمایشگاه‌های نرم‌افزاری و سخت‌افزاری مرکز دولتی صدور گواهی الکترونیکی ریشه، در حال ارائه سرویس به متقاضیان هستند.
در این میان سازمان‌ها و شرکت‌ها برای دستیابی به بازارهای جدید با استفاده از این استانداردها می‌توانند در بازار رقابتی محصولات، از رقبای خود پیشی گیرند و با هماهنگ‌سازی ویژگی‌های فنی، محصولات و سرویس‌های بهینه و کارآمدتری ارائه دهند. موارد مزبور منجر به افزایش کیفیت محصولات، افزایش رضایت و اطمینان خاطر مشتریان و بهبود میزان فروش می‌شود.
استانداردهای ملی PKI، به سه دسته کلی الزامات، دستورالعمل‌ها و پروتکل‌ها تقسیم‌بندی می‌شوند؛ این استانداردها بر اساس دسته منابع بین‌المللی و به صورت تلفیقی نگاشته شده‌اند.
قلمرو استانداردهای زیرساخت کلید عمومی به پنج حوزه و هر حوزه به تعدادی استاندارد به‌ شکل الزام، دستورالعمل و پروتکل تقسیم‌بندی می‌شود. قلمرو استانداردهای ملی PKI به شرح ذیل هستند:
  1. پروفایل‌های زیرساخت کلید عمومی
  2. الگوریتم‌ها و ساختار پیام‌های رمزنگاری
  3. پروتکل‌های زیرساخت کلید عمومی
  4. ماژول‌های سخت‌افزاری رمزنگاری
  5. تجهیز برنامه‌های کاربردی به زیرساخت کلید عمومی
هم‌اکنون مرکز دولتی صدور گواهی الکترونیکی ریشه ۱۱ استاندارد (مندرج در جدول زیر) در حوزه قلمروهای یادشده تهیه و تدوین کرده است. استانداردهای ملی PKI، با همکاری سازمان ملی استاندارد ایران، در حال طی کردن مراحل نهایی فرآیند تصویب هستند و از طریق وب‌سایت مرکز دولتی صدور گواهی الکترونیکی ریشه منتشر شده‏اند.
نویسنده :  ریحانه حسینی    |    1392/10/1