آی پی شما
‏اعتبارسنجی امضاها نیمه‌کاره‌اند‏
متاسفانه اخیرا شاهد به‌کارگیری نادرست تکنولوژی امضای دیجیتال و گواهی الکترونیکی در بسترهای اطلاعاتی مهم کشور از جمله سیستم بانکداری الکترونیکی هستیم که نقش بسیار مهم گواهی‌های الکترونیکی در امنیت تراکنش‌های الکترونیکی را کمرنگ و حتی بستر سوءاستفاده از آن‌ ...
اعتبارسنجی امضاها نیمه‌کاره‌اند‏
 

متاسفانه اخیرا شاهد به‌کارگیری نادرست تکنولوژی امضای دیجیتال و گواهی الکترونیکی در بسترهای اطلاعاتی مهم کشور از جمله سیستم بانکداری الکترونیکی هستیم که نقش بسیار مهم گواهی‌های الکترونیکی در امنیت تراکنش‌های الکترونیکی را کمرنگ و حتی بستر سوءاستفاده از آن‌ را فراهم کرده است. امضای دیجیتال پیشرفته‌ترین، مطمئن‌ترین و پرکاربردترین روش جهت احراز اصالت و اطمینان از دست‌نخوردگی اطلاعات الکترونیکی است که در قانونگذاری بسیاری از کشورهای توسعه‌یافته و در حال توسعه پذیرفته شده و به واسطه بستر فنی و حقوقی فراهم‌شده در این کشورها، کلیه اسناد و تبادلات الکترونیکی که از تکنولوژی امضای دیجیتال بهره می‌گیرند، علاوه بر قابلیت احراز اصالت و اطمینان از دست نخوردگی، غیرقابل انکار نیز خواهند بود.
اصلی‌ترین رکن امضای دیجیتال، گواهی الکترونیکی است. گواهی الکترونیکی همان‌طور که از نامگذاری آن برمی‌آید نوعی گواهی بوده که دارای ماهیت الکترونیکی و دیجیتالی است. این گواهی همانند گواهی‌های فیزیکی و مدارک هویتی باید حاوی اطلاعات هویتی مالک گواهی و تاییدیه یک مرجع قانونی ذی‌صلاح باشد و این مرجع ذی‌صلاح در واقع همان مراکز میانی صدور گواهی هستند که تحت سیاست‌ها و قوانین مصوب در حوزه امضای دیجیتال و گواهی الکترونیکی فعالیت می‌کنند. گواهی الکترونیکی می‌تواند در طیف وسیعی از کاربردها از جمله احراز هویت، امضای دیجیتالی اسناد، امنیت وب‌سایت‌ها، امنیت کدهای اجرایی، پست الکترونیکی امن و… مورد استفاده قرار گیرد.
در کشور ما بستر فنی، فرآیندی و حقوقی لازم جهت به‌کارگیری امضای دیجیتال فراهم شده است. قانون حاکم بر تکنولوژی امضای دیجیتال در کشور، آیین‌نامه ماده ۳۲ قانون تجارت الکترونیکی است که بر اساس این قانون و طی اولین جلسه شورای سیاستگذاری گواهی الکترونیکی کشور در تاریخ ۳۰/۷/۱۳۸۶، مرکز دولتی صدور گواهی الکترونیکی ریشه مجوز ایجاد، امضا و صدور گواهی‌های مراکز میانی را در زیرساختی تحت عنوان زیرساخت کلید عمومی کشور و زیر نظر شورای سیاستگذاری گواهی الکترونیکی که متشکل از نمایندگان وزارتخانه‌ها، نهادها و سازمان‌های مختلف بوده، دریافت کرده است.
لازم به ذکر است که مرکز دولتی صدور گواهی الکترونیکی ریشه با بهره‌گیری از تجربه چندین ساله و با ارائه استانداردهای ملی و بومی مرتبط و راه‌اندازی آزمایشگاه‌های ارزیابی انواع سخت‌افزارها و نرم‌افزارهای مرتبط با زیرساخت کلید عمومی، بستر فنی لازم جهت اعمال امنیت، یکپارچگی و تعامل در زیرساخت کلید عمومی کشور به منظور استفاده مطمئن از کاربردهای مختلف گواهی الکترونیکی و امضای دیجیتال را فراهم کرده است.
گواهی‌های الکترونیکی به‌رغم فراهم‌سازی سرویس‌های امنیتی بسیار تاثیرگذار در بسترهای اطلاعاتی کشور، در صورت عدم استفاده درست و قانونمند، می‌توانند آسیب‌پذیری‌ها و مخاطراتی بسیار جدی و جبران‌ناپذیر در سامانه‌های نرم‌افزاری به‌کارگیرنده ایجاد کنند.
در این مقاله دو نمونه از موارد استفاده نادرست از تکنولوژی امضای دیجیتال که مرتبط با به‌کارگیری گواهی‌های الکترونیکی نامعتبر است و متاسفانه در کشور ما بسیار شایع شده، معرفی می‌شود. مورد اول مربوط به به‌کارگیری گواهی‌های الکترونیکی صادره در مراکز خارج از کشور است. اخیرا شاهد استفاده از گواهی‌های خارجی در سایت‌های بانکداری الکترونیکی، پورتال‌های سازمانی و فروشگاه‌های اینترنتی هستیم. در این موارد سرویس‌دهنده وب، یک گواهی الکترونیکی را از مرکز صدور گواهی متعلق به یک کشور خارجی دریافت می‌کند بدون اینکه جنبه‌های امنیتی آن ‌را در نظر داشته باشد. نکته بسیار مهم در خصوص گواهی الکترونیکی خارجی این‌ موضوع است که مرکز صدور گواهی الکترونیکی در هر کشوری تابع قوانین و سیاست‌های کلان آن کشور بوده و بنا بر شرایط و مصالح مختلف ممکن است برخلاف مصالح ملی و امنیتی کشورهای دیگر مورد استفاده قرار گیرد و حاوی روزنه‌های امنیتی تعمدی جهت دستیابی به کلید خصوصی متناظر باشد. ضمن اینکه کنترل‌ رویدادهای طول عمر گواهی الکترونیکی نظیر ابطال و اعلام وضعیت‌ گواهی‌ها توسط مراکز صدور گواهی خارج از کشور انجام می‌شود که تحت سیاست‌های قانونی کشور عمل نکرده و از نظر حقوقی مسوولیتی در قبال وقایع طول عمر گواهی‌ها نمی‌پذیرند که این خود آسیب‌پذیری‌های امنیتی بسیار مهمی نظیر منع سرویس، انکارپذیری و عدم اعتماد به وضعیت گواهی‌ها ایجاد می‌کند.
چالش دیگر در خصوص به‌کارگیری گواهی الکترونیکی خارجی، عدم وجود ساز و کار مشخص و قانونی در خصوص انجام فرآیند هویت‌شناسی کاربران توسط مراکز صدور گواهی خارجی و نمایندگی‌های فروش آنها در داخل کشور است. در بسیاری از موارد فرآیند هویت‌شناسی انجام نشده یا در صورت انجام، به صورت کاملا ناقص و بدون استعلام از مراجع ذی‌ربط صورت می‌پذیرد. این کاستی باعث‌ وقوع آسیب‌پذیری‌های امنیتی بسیار مهمی در خصوص گواهی‌های خارجی از جمله وقوع حملاتی از قبیل Phishing یا جعل سایت می‌‌شود؛ ضمن اینکه اطلاعاتی که متقاضیان دریافت گواهی الکترونیکی در اختیار مرکز صدور گواهی قرار می‌دهند می‌تواند منبع ارزشمندی از اطلاعات اقتصادی، اجتماعی، امنیتی و… از فعالیت‌های شهروندان کشورمان در اختیار کشورهای دیگر قرار دهد.
یکی از نمونه‌های بارز مخاطرات ناشی از به‌کارگیری گواهی‌های الکترونیکی خارجی، آلوده‌سازی سیستم‌های حساس و استرات‍‍‍‍ژیک کشور به کرم رایانه‌ای استاکس‌نت بوده است. تولیدکنندگان استاکس‌نت جهت غیرقابل شناسایی کردن آن، با دستیابی به کلید امضای کمپانی Realtek که گواهی آن توسط مرکز صدور گواهی Verisign صادر شده، درایورهای مربوط به استاکس‌نت را امضا کرده‌اند و نکته قابل توجه اینکه گواهی الکترونیکی Realtek پس از رخنه استاکس‌نت در سیستم‌ها و پس از گذشت شش ماه از افشای کلید محرمانه آن، توسط Versign باطل شد و بلافاصله پس از آن گواهی کمپانی JMicron که اتفاقا این گواهی نیز توسط Versign‌ امضا شده، مورد سوءاستفاده استاکس‌نت قرار گرفت!
دومین مورد استفاده نادرست و مخاطره‌آمیز از گواهی‌های الکترونیکی در کشور، به‌کارگیری گواهی‌های الکترونیکی نامعتبر و غیرقانونی‌ داخلی است. از نظر حقوقی گواهی‌های الکترونیکی معتبر به گواهی‌هایی اطلاق می‌شود که در زیرساخت کلید عمومی کشور و تحت سیاست‌های پذیرفته‌شده در قوانین کشور صادر شده باشند. تنها امضای الکترونیکی‌ای متناظر با این نوع گواهی‌هاست که سندیت داشته و غیرقابل انکار ‌باشد.
بدیهی است از نظر فنی نیز تنها زمانی می‌توان به سرویس‌های امنیتی قابل ارائه از طریق گواهی‌های الکترونیکی اعتماد کرد که نرم‌افزارها و سخت‌افزارهای صادرکننده و به‌کارگیرنده گواهی‌های الکترونیکی منطبق با استانداردهای پذیرفته‌شده عمل کنند، به طور دقیق مورد ارزیابی قرار گیرند و اعتبارسنجی شده باشند.
متاسفانه در حال حاضر شاهد به‌کارگیری گواهی‌های الکترونیکی داخلی تعریف‌نشده در حوزه زیرساخت کلید عمومی کشور در کاربردهای بسیار حساس نظیر سیستم بانکداری کشور، قوه قضائیه، سازمان ثبت احوال و شرکت‌های مخابراتی هستیم که بعضا در برخی از موارد دیده می‌شود حتی الزامات امنیتی اولیه نظیر ساختار پروفایل گواهی، طول کلید، پارامترهای کلید و دوره اعتبار گواهی در آنها مد نظر قرار نگرفته است. این موضوع ناشی از عدم انطباق با سیاست‌های شورای سیاستگذاری گواهی الکترونیکی کشور و استانداردهای مربوطه و همچنین عدم وجود نظارت و فرآیند اعتبارسنجی مناسب در محصولات و فرآیندهای به‌کارگرفته شده است.
در آزمایشگاه‌های مرکز دولتی صدور گواهی الکترونیکی ریشه در موارد متعدد دیده شده است که محصولات سخت‌افزاری و نرم‌افزاری مرتبط که بعضا برخی از آنها در ظاهر گواهی تاییدیه امنیتی از مراجع خارج از کشور را دریافت کرده‌اند، دارای آسیب‌پذیری‌های بسیار جدی و عدم انطباق با استانداردهای پذیرفته‌شده هستند. به عنوان نمونه پاره‌ای از مخاطرات مرتبط با سخت‌افزارها و نرم‌افزارهای به‌کارگیرنده گواهی الکترونیکی که اعتبارسنجی و اعتباربخشی نشده باشند، عبارتند از: امکان استخراج و جعل کلیدهای محرمانه، تولید کلیدهای ضعیف و آسیب‌پذیر، وجود روزنه‌های امنیتی تعمدی و غیرتعمدی، عدم اجرای درست و مطمئن الگوریتم‌های رمزنگاری، به‌کارگیری الگوریتم‌های رمزنگاری جعلی، عدم تعامل‌پذیری، عدم اطمینان از امضای اطلاعات درست و مورد نظر، دسترسی غیرمجاز، مدیریت کلید ضعیف، جعل امضا و امکان اعمال انواع حملات سخت‌افزاری و نرم‌افزاری. بنابراین به‌کارگیری درست و مطمئن تکنولوژی امضای دیجیتال و گواهی الگترونیکی در کشور مستلزم وجود بستر فنی و فرآیندی لازم جهت سیاستگذاری، استانداردسازی، اعتبارسنجی و اعتباربخشی تحت قانون حاکم بر امضای دیجیتال کشور است. با توجه به فراهم بودن این بستر در کشور، جهت اعتمادسازی در کاربران و سرویس‌گیرندگان امضای دیجیتال، ناگزیر از به‌کارگیری گواهی‌های الکترونیکی زیرساخت کلید عمومی کشور تحت قوانین مصوب و سیاست‌های شورای سیاستگذاری گواهی الکترونیکی کشور هستیم.
نویسنده :  سید مهدی فلاح‌چای    |    1392/10/1