اعلام آخرین وضعیت ارزیابی کارت‌های هوشمند و توکن‌های USB

شعار سال 1400

آی پی شما

آزمایشگاه مرکز دولتی صدور گواهی الکترونیکی ریشه آخرین نتایج رتبه‌بندی سخت‌افزارهای PKI شامل توکن‌های USB و کارت‌های هوشمند را اعلام نمود.

فرانک رازقی اسکویی، قائم‌مقام مرکز توسعه تجارت الکترونیکی با اعلام این خبر گفت: آزمایشگاه‌های ارزیابی سخت‌افزارهای PKI و ارزیابی الگوریتم با هدف آزمون و ارزیابی انواع سخت‌افزارهای PKI و الگوریتم‌های بکارگرفته شده در آن‌ها، توسط مرکز دولتی صدور گواهی الکترونیکی ریشه وابسته به مرکز توسعه تجارت الکترونیکی که مرجع اعتماد، اعتبارسنجی و اعتباربخشی در زیرساخت کلید عمومی کشور است، در مهرماه سال 90 تأسیس و راه‌اندازی شد.

وی افزود: این آزمایشگاه‌ها ارزیابی‌های خود را در حوزه‌های مختلفی شامل ارزیابی عملیاتی و انطباق با استانداردهای ملی و بین‌المللی، امنیت، کارایی و پایداری انجام می‌دهند و مجهز به 5 نرم‌افزار آزمونگر و انواع تجهیزات آزمایشگاهی مرتبط بوده و آزمون‌های خود را بر اساس 750 شاخص مختلف و قریب به ده هزار بردار آزمون، اعمال می‌نمایند.

قائم‌مقام مرکز توسعه تجارت الکترونیکی در خصوص کاربرد سخت‌افزارهای PKI و وضعیت به‌کارگیری آن‌ها در کشور اظهار داشت: سخت‌افزارهای PKI از قبیل کارت‌های هوشمند، توکن‌های USB و HSM به‌عنوان مهم‌ترین رکن اعمال امنیت و اعتمادسازی در تراکنش‌های الکترونیکی و انجام عملیات امضای دیجیتال، محسوب می‌گردند. از این سخت‌افزارها می‌توان در طیف وسیعی از کاربردها نظیر احراز هویت چند عامله، امضای دیجیتالی و رمزگذاری اسناد، پست الکترونیکی امن و اعمال امنیت در حوزه‌های مختلف نظیر بانکداری و تجارت الکترونیکی، خدمات بهداشت الکترونیکی، کاربردهای نظامی و انواع سامانه‌های اتوماسیون مالی، اداری و بانکی بهره گرفت.

وی ادامه داد: در آزمایشگاه‌های مرکز دولتی صدور گواهی الکترونیکی ریشه در موارد متعدد دیده شده است، محصولات مختلف که بعضاً برخی از آن‌ها در ظاهر گواهی تأییدیه امنیتی از مراجع خارج از کشور را دریافت نموده‌اند، داری آسیب‌پذیری‌های بسیار جدی و عدم انطباق با استانداردهای پذیرفته‌شده می‌باشند. به‌عنوان مثال امکان استخراج و جعل کلیدهای محرمانه، تولید کلیدهای ضعیف و آسیب‌پذیر، وجود روزنه‌های امنیتی تعمدی و غیر تعمدی، عدم اجرای درست و مطمئن الگوریتم‌های رمزنگاری، به‌کارگیری الگوریتم‌های رمزنگاری جعلی، عدم تعامل‌پذیری و امکان اعمال انواع حملات سخت‌افزاری و نرم‌افزاری، ازجمله اشکالات و آسیب‌پذیری‌های آشکارشده بوده است.

اسکویی با اشاره به نقش آزمایشگاه در ارتقا و بهبود محصولات، افزود: در آزمایشگاه سخت‌افزار مرکز ریشه تاکنون بالغ‌بر 20 محصول داخلی و خارجی در حوزه‌های مختلف و در طی مراحل متعدد، مورد ارزیابی قرار گرفته است. خوشبختانه در طی مراحل مختلف آزمون، نتایج حاصل حاکی از ارتقای قابل توجه سطح امنیت و انطباق این محصولات می‌باشد؛ بر اساس محاسبات انجام‌شده و مکانیسم امتیازگذاری آزمایشگاه، به‌طور متوسط امتیاز این محصولات که نمایانگر درجه اعتماد به آن‌ها می‌باشد تا 40 درصد افزایش یافته است. لازم به ذکر است این آزمون‌ها، منجر به شکل‌گیری رقابتی سازنده میان تولیدکنندگان جهت افزایش امنیت و کارایی سخت‌افزارهای مورداستفاده در زیرساخت کلید عمومی کشور شده است.

اسکویی در خصوص سازوکار رتبه‌بندی و تخمین امتیاز محصولات اظهار داشت: اشکالات و آسیب‌پذیری‌های آشکارشده در سخت‌افزارهای PKI دارای سطوح مختلف اهمیت و حساسیت می‌باشند. خطاهای رخ داده‌شده بر اساس سطوح مزبور وزن‌گذاری شده و در تخمین امتیاز نهایی محصول تأثیرگذار خواهند بود. بدیهی است که خطاهای بحرانی بیش‌ترین وزن کاهش امتیاز را در محصولات دارا می‌باشند. شرح کامل متدلوژی آزمون، توصیف اشکالات آشکارشده در آزمون همراه با توضیحات مشاوره‌ای جهت اصلاح محصول و همچنین رویدادهای ثبت‌شده توسط نرم‌افزار آزمونگر و بردارهای آزمون، در قالب گزارش ارزیابی به کلیه متقاضیان آزمون، ارائه شده است. کلیه سخت‌افزارهای PKI تنها پس از اخذ تأییدیه از کلیه مراحل آزمون، گواهی تأییدیه PKI دریافت خواهند کرد.

گفتنی است نتایج ارزیابی و رتبه‌بندی سخت‌افزارهای PKI به‌صورت متناوب و دوره‌ای از طریق وب‌سایت مرکز دولتی ریشه منتشر می‌شود و در جدول ذیل چکیده‌ای از آخرین نسخه نتایج ارزیابی این سخت‌افزارها به همراه امتیاز تخمین زده‌شده برای آن‌ها در فاز اول آزمون، آورده شده است.

رتبه	نام محصول	تعداد دفعات ارزیابی	کشور سازنده	مدل	نوع محصول	شماره نسخه			امتیاز محصول در فاز اول (سقف امتیاز: 1000)
رتبه	نام محصول	تعداد دفعات ارزیابی	کشور سازنده	مدل	نوع محصول	Middleware	Firmware	Hardware	امتیاز محصول در فاز اول (سقف امتیاز: 1000)
1	پارس‌کی (ParsKey)	6	ایران	B	USB Token	3.98.0.0	3.98	3.2	900
1	نت بد (NetBod)	2	ایران	SignBod V1	USB Token	1.0.0.1	1.1	2.0	900
2	(ST3) اس تی 3	4	مالزی	ST3	USB Token	1.0.13.910	5.2	5.2	840
2	ای پس 3003 طوسی (ePass3003 طوسی)	6	چین	ePass3003Auto	USB Token	1.0.13.206	7.0	7.0	840
3	مگا توکن (MegaToken)	4	ایران	MegaToken	USB Token	2.1.0.3	2.6	1.2	810
4	کیا 3 (keyA3)	5	ایران	Advanced Security	USB Token	1.0.2.69	0.16	1.0	750
5	ام‌توکن (mToken)	4	چین	K3	USB Token	2.1.0.16	1.4	2.0	730
6	آی‌کی (iKey4000)	1	چین	Model 400	USB Token	7.3.0.6	1.0	1.0	705
7	جمالتو دات نت (Gemalto.NET)	2	-	.NET Card	Smart Card	2.3.1.0	0.0	0.0	610
8	سی 21 سی FTCOS (C21C)	3	چین	FTCOS/PK-01C	Smart Card	1.0.14.108	3.0	3.0	590
9	مورفو (Morpho)	1	آلمان	ypsID e-M Key	USB Token	6.0.65.0	3.0	2.0	540
10	(iKey2032) آی‌کی 2032	1	چین	Model 330	USB Token	7.3.0.6	1.0	1.0	515
11	سی 21 سی FTCOS (C21C)	1	چین	FTCOS/PK/13C	Smart Card	1.0.13.123	2.2	2.2	500
11	(ePass2003) ای‌پس 2003	3	چین	ePass2003	USB Token	1.1.13.401	2.0	2.0	500
12	واچ‌دیتا (WatchData)	3	چین	TimeCos/PK	USB Token	3.2.0.0	2.1	2.1	440
13	Gemalto Card -GX4 کارت جمالتو – جی‌ایکس4	10	ایران	Gemalto Optelio	Smart Card	2.0.4.1	2.4	2.1	420
14	یونی‌توکن-پرو (UniToken-Pro)	4	کانادا	UniToken PRO	USB Token	-	3.0	2.0	260
15	(ePass2000) ای‌پس 2000	1	چین	ePass2000_FT11	USB Token	-	1.3	1.3	150

منبع : مرکز دولتی صدور گواهی الکترونیکی ریشه 1393/5/29 16:01 تعداد بازدید : 8974