معرفی اجزای زیرساخت کلید عمومی PKI - قسمت سوم

رمزنگاری RSA
رمزنگاری RSA شیوه ای برای رمزنگاری به روش کلید عمومی است. این روش، نخستین روش مورد اعتماد در بین روش های رمزنگاری دیگر است و یکی از بزرگترین پیشرفت ها در زمینه‌ی رمزنگاری به ‌حساب می آید. RSA همچنان به صورت گسترده ای در تبادلات الکترونیکی استفاده می‌شود و در صورت استفاده درست با کلیدهای طولانی کاملاً امن به نظر می رسد.
RSA به‌طورکلی از دو کلید عمومی و کلید خصوصی تشکیل می‌شود. کلید، عددی ثابت است که در محاسبات رمزنگاری استفاده می‌شود. کلید عمومی‌برای همه معلوم بوده و برای رمزگذاری پیام استفاده می‌شود. این پیام فقط توسط کلید خصوصی باز می‌شود. به بیان‌دیگر همه می توانند یک پیام را رمز کنند اما فقط صاحب کلید خصوصی می تواند پیام را باز کند و بخواند.
هرچند از لحاظ ریاضی کلیدهای عمومی و خصوصی با یکدیگر ارتباط دارند اما تقریباً محال است که کسی بتواند حتی با تجهیزات پیشرفته و صرف وقت زیاد با داشتن یکی از کلیدها، دیگری را تشخیص دهد. درواقع می توان گفت که با توجه به سطح دانش کنونی و سامانه‌های رایانه ای موجود، الگوریتم رمزنگاری و ارتباط میان کلیدها تقریباً غیرقابل شکستن است.
RSA مبتنی بر توان رسانی پیمانه ای است و از اعداد طبیعی خیلی بزرگ استفاده می‌کند. مستندات RSA تحت عنوانPKCS#1 استاندارد شده اند. استاندارد PKCS دارای پانزده نوع مختلف است که هر کدام مختص یک استاندارد در بخشی خاص است. در جدول زیر این انواع ذکر شده است:

ماژول ‌های رمزنگاری سخت‌ افزاری
ماژول های رمزنگاری سخت افزاری جهت تولید و نگهداری امن کلید، و انجام الگوریتم های رمزنگاری امضای دیجیتال به‌صورت On-Board بر روی تراشه سخت افزاری، استفاده می‌گردند. با توجه به حجم تراکنش انجام شده و سرعت و کارایی موردنظر، می توان از توکن امضای دیجیتال، کارت هوشمند، یا HSM به عنوان مؤلفه سخت افزاری استفاده نمود.
• توکن امضای دیجیتال: یک رسانه الکترونیکی قابل حمل جهت نگهداری ایمن زوج کلید رمزنگاری (کلید عمومی و کلید خصوصی) و مقادیر مربوط به شناسایی و انجام محاسبات مرتبط به آن‌ها (به‌عنوان مثال عملیات رمزنگاری مختلف) می‌باشد. همچنین از این وسیله می توان برای اعمال کنترل دسترسی استفاده کرد.
• HSM: نوعی ماژول سخت افزاری امن که از طریق واسط های نرم افزاری، امکان نگهداری امن کلیدهای رمزنگاری و اجرای ایمن مکانیزم های رمزنگاری را با کارایی مطلوب فراهم می ‌آورد.HSM با توجه به تراشه و ابعاد سخت افزار مورداستفاده در آن، نسبت به توکن امضای دیجیتال سخت افزاری و کارت هوشمند سرعت و کارایی بالاتری داشته و برای سامانه‌هایی با تراکنش های بالا (مانند سامانه صدور گواهی الکترونیکی) که کارایی و سرعت، جزء مؤلفه حیاتی در آن‌ها محسوب می‌شوند، مناسب می‌باشد. در مقابل توکن توکن امضای دیجیتال سخت افزاری و کارت هوشمند با توجه به حجم و ابعاد کوچکتر سخت افزار، و قابل‌حمل بودن، برای کاربران سامانه‌های مجهز به زیرساخت کلید عمومی مناسب می‌باشد.

لیست گواهی ‌های الکترونیکی باطل ‌شده
لیست گواهی‌های الکترونیکی باطل شده (CRL) ، فهرستی از گواهی‌های الکترونیکی صادرشده به ‌وسیله یک مرکز صدور گواهی الکترونیکی (CA) است که هنوز اعتبار آن‌ها منقضی نشده است، اما به دلایل مشخص از سوی آن مرکز ابطال شده و فاقد اعتبار هستند. گواهی الکترونیکی ممکن است به دلایل مختلفی باطل شوند به‌عنوان نمونه، لزوم ایجاد تغییر در اطلاعات درون یک گواهی الکترونیکی یا در معرض افشا قرار گرفتن کلید خصوصی مرتبط با کلید عمومی یک گواهی الکترونیکی، از دلایل ابطال یک گواهی الکترونیکی به شمار می روند. لیست گواهی‌های الکترونیکی باطل شده، به صورتی که در سند دستورالعمل اجرایی (CPS) مربوطه مشخص شده است، به‌صورت دوره ای منتشر می‌گردد و قبل از انتشار، توسط مرکز صدور گواهی الکترونیکی (CA) مربوطه، به‌صورت الکترونیکی امضا می‌شوند.
CRL شامل «شماره سریال کلیه گواهی الکترونیکی‌هایی که باطل شده‌اند + دلیل ابطال گواهی الکترونیکی + تاریخ ابطال گواهی الکترونیکی» می‌باشد.

دلایل ابطال گواهی الکترونیکی
• Unspecified : دلیل نامشخص
• Key_Compromise : افشای کلید مالک گواهی الکترونیکی
• CA_Compromise : افشای کلید مرکز صدور گواهی الکترونیکی
• Affiliation_Changed : تغییر اطلاعات دارنده گواهی الکترونیکی 
• Superseded : لغو گواهی به دلایلی به جزء افشای کلید، مانند خرابی توکن امضای دیجیتال و ...
• Cessation_of_Opration : توقف عملیات
• Certificate Hold : گواهی الکترونیکی تعلیق شده است. این مورد، تنها موردی است که امکان بازگشت دارد.
• privilege_Withdraw : تغییر امتیاز حق استفاده از گواهی الکترونیکی 
• AA_Compromise : افشای کلید خصوصی Attribute Authority