آی پی شما
آیا کارت‌های هوشمند و توکن‌های USB دارای امنیت لازم هستند؟
کارت‌های هوشمند، توکن‌های USB و HSM به عنوان مهم‌ترین رکن اعمال امنیت و اعتمادسازی در تراکنش‌های الکترونیکی و انجام عملیات امضای دیجیتال، محسوب می‌شوند. از این سخت‌افزارها می‌توان در طیف وسیعی از کاربردها نظیر احراز هویت چندعامله، امضای دیجیتالی و ...

آيا كارت‌هاي هوشمند و توكن‌هاي USB داراي امنيت لازم هستند؟

کالبدشکافی محصولات

کالبدشکافی محصولات

 

کارت‌های هوشمند، توکن‌های USB و HSM به عنوان مهم‌ترین رکن اعمال امنیت و اعتمادسازی در تراکنش‌های الکترونیکی و انجام عملیات امضای دیجیتال، محسوب می‌شوند. از این سخت‌افزارها می‌توان در طیف وسیعی از کاربردها نظیر احراز هویت چندعامله، امضای دیجیتالی و رمزگذاری اسناد، پست الکترونیکی امن و اعمال امنیت در حوزه‌های مختلف نظیر بانکداری و تجارت الکترونیکی، خدمات بهداشت الکترونیکی، کاربردهای نظامی و انواع سامانه‌های اتوماسیون مالی، اداری و بانکی بهره گرفت.
متاسفانه دیده می‌شود در برخی از نهادها و ارگان‌ها از ماژول‌های سخت‌افزاری غیرقابل اعتماد بدون در نظر داشتن آسیب‌پذیری‌های بسیار جدی و جبران‌ناپذیر این ماژول‌ها، استفاده می‌شود.

با توجه به مخاطرات امنیتی مشاهده‌شده در ماژول‌های سخت‌افزاری به‌کارگرفته‌شده در کشور، لازم و ضروری است که کلیه این ماژول‌ها به طور دقیق ارزیابی و اعتبارسنجی شوند. پاره‌ای از مخاطرات و آسیب‌پذیری‌هایی که در سخت‌افزارهای PKI مشاهده شده شامل وجود رخنه‌های امنیتی تعمدی و غیرتعمدی، تولید کلیدهای ضعیف و آسیب‌پذیر، امکان استخراج و جعل کلیدهای محرمانه، به‌کارگیری الگوریتم‌های رمزنگاری جعلی، عدم اجرای درست و مطمئن الگوریتم‌های رمزنگاری، امکان تغییر مشخصه‌های حساس و فقط خواندنی کلید، عدم تعامل‌پذیری مناسب، مدیریت کلید ضعیف و امکان اعمال انواع حملات سخت‌افزاری و نرم‌افزاری است که در صورت عدم جلوگیری، وجود این آسیب‌پذیری‌ها موجب وارد آمدن صدمات و خسارات جدی و جبران‌ناپذیری در بسترهای اطلاعاتی کشور خواهد شد.
متاسفانه شاهدیم برخی از محصولاتی که در ظاهر دارای گواهی تاییدیه امنیتی از مراجع خارج از کشور هستند نیز به دلیل عدم وجود ساز و کار مشخص جهت کنترل ورود این محصولات به کشور، از آسیب‌پذیری‌های مزبور مستثنی نیستند. آزمایشگاه‌های ارزیابی سخت‌افزارهای PKI و ارزیابی الگوریتم با هدف تست و ارزیابی انواع سخت‌افزارهای رمزنگاری و الگوریتم‌های به‌کارگرفته‌شده در آنها، توسط مرکز دولتی صدور گواهی الکترونیکی ریشه وابسته به مرکز توسعه تجارت الکترونیکی که مرجع اعتماد، اعتبارسنجی و اعتباربخشی در زیرساخت کلید عمومی کشور است، مهرماه سال ۹۰ تاسیس و راه‌اندازی شد.
این آزمایشگاه‌ها ارزیابی‌های خود را در حوزه‌های مختلفی شامل ارزیابی عملیاتی و انطباق با استانداردهای ملی و بین‌المللی، امنیت، کارایی و پایداری انجام می‌دهند و مجهز به پنج نرم‌افزار آزمونگر و انواع تجهیزات آزمایشگاهی مرتبط هستند و آزمون‌های خود را بر اساس ۷۵۰ شاخص مختلف و قریب به ۱۰ هزار بردار آزمون، اعمال می‌کنند.
در آزمایشگاه‌های مزبور تاکنون ۲۰ محصول داخلی و خارجی در حوزه‌های مختلف طی مراحل متعدد، مورد ارزیابی قرار گرفته است.
خوشبختانه طی مراحل مختلف آزمون، نتایج حاصل حاکی از ارتقای قابل توجه سطح امنیت و انطباق این محصولات است؛ بر اساس محاسبات انجام‌شده و مکانیسم‌ امتیازگذاری آزمایشگاه‌های مرکز دولتی صدور گواهی الکترونیکی ریشه، به طور متوسط امتیاز این محصولات که نمایانگر درجه اعتماد به آنهاست تا ۴۰ درصد افزایش یافته است.
لازم به ذکر است این آزمون‌ها، منجر به شکل‌گیری رقابتی سازنده‌ میان تولیدکنندگان جهت افزایش امنیت و کارایی سخت‌افزارهای مورد استفاده در زیرساخت کلید عمومی کشور شده است.


نویسنده :  سید مهدی فلاح‌چای    |    1392/10/1