کارتهای هوشمند، توکنهای USB و HSM به عنوان مهمترین رکن اعمال امنیت و اعتمادسازی در تراکنشهای الکترونیکی و انجام عملیات امضای دیجیتال، محسوب میشوند. از این سختافزارها میتوان در طیف وسیعی از کاربردها نظیر احراز هویت چندعامله، امضای دیجیتالی و رمزگذاری اسناد، پست الکترونیکی امن و اعمال امنیت در حوزههای مختلف نظیر بانکداری و تجارت الکترونیکی، خدمات بهداشت الکترونیکی، کاربردهای نظامی و انواع سامانههای اتوماسیون مالی، اداری و بانکی بهره گرفت.
متاسفانه دیده میشود در برخی از نهادها و ارگانها از ماژولهای سختافزاری غیرقابل اعتماد بدون در نظر داشتن آسیبپذیریهای بسیار جدی و جبرانناپذیر این ماژولها، استفاده میشود.
با توجه به مخاطرات امنیتی مشاهدهشده در ماژولهای سختافزاری بهکارگرفتهشده در کشور، لازم و ضروری است که کلیه این ماژولها به طور دقیق ارزیابی و اعتبارسنجی شوند. پارهای از مخاطرات و آسیبپذیریهایی که در سختافزارهای PKI مشاهده شده شامل وجود رخنههای امنیتی تعمدی و غیرتعمدی، تولید کلیدهای ضعیف و آسیبپذیر، امکان استخراج و جعل کلیدهای محرمانه، بهکارگیری الگوریتمهای رمزنگاری جعلی، عدم اجرای درست و مطمئن الگوریتمهای رمزنگاری، امکان تغییر مشخصههای حساس و فقط خواندنی کلید، عدم تعاملپذیری مناسب، مدیریت کلید ضعیف و امکان اعمال انواع حملات سختافزاری و نرمافزاری است که در صورت عدم جلوگیری، وجود این آسیبپذیریها موجب وارد آمدن صدمات و خسارات جدی و جبرانناپذیری در بسترهای اطلاعاتی کشور خواهد شد.
متاسفانه شاهدیم برخی از محصولاتی که در ظاهر دارای گواهی تاییدیه امنیتی از مراجع خارج از کشور هستند نیز به دلیل عدم وجود ساز و کار مشخص جهت کنترل ورود این محصولات به کشور، از آسیبپذیریهای مزبور مستثنی نیستند. آزمایشگاههای ارزیابی سختافزارهای PKI و ارزیابی الگوریتم با هدف تست و ارزیابی انواع سختافزارهای رمزنگاری و الگوریتمهای بهکارگرفتهشده در آنها، توسط مرکز دولتی صدور گواهی الکترونیکی ریشه وابسته به مرکز توسعه تجارت الکترونیکی که مرجع اعتماد، اعتبارسنجی و اعتباربخشی در زیرساخت کلید عمومی کشور است، مهرماه سال ۹۰ تاسیس و راهاندازی شد.
این آزمایشگاهها ارزیابیهای خود را در حوزههای مختلفی شامل ارزیابی عملیاتی و انطباق با استانداردهای ملی و بینالمللی، امنیت، کارایی و پایداری انجام میدهند و مجهز به پنج نرمافزار آزمونگر و انواع تجهیزات آزمایشگاهی مرتبط هستند و آزمونهای خود را بر اساس ۷۵۰ شاخص مختلف و قریب به ۱۰ هزار بردار آزمون، اعمال میکنند.
در آزمایشگاههای مزبور تاکنون ۲۰ محصول داخلی و خارجی در حوزههای مختلف طی مراحل متعدد، مورد ارزیابی قرار گرفته است.
خوشبختانه طی مراحل مختلف آزمون، نتایج حاصل حاکی از ارتقای قابل توجه سطح امنیت و انطباق این محصولات است؛ بر اساس محاسبات انجامشده و مکانیسم امتیازگذاری آزمایشگاههای مرکز دولتی صدور گواهی الکترونیکی ریشه، به طور متوسط امتیاز این محصولات که نمایانگر درجه اعتماد به آنهاست تا ۴۰ درصد افزایش یافته است.
لازم به ذکر است این آزمونها، منجر به شکلگیری رقابتی سازنده میان تولیدکنندگان جهت افزایش امنیت و کارایی سختافزارهای مورد استفاده در زیرساخت کلید عمومی کشور شده است.