هویتا - معرفی اجزای زیرساخت کلید عمومی PKI - قسمت سوم

معرفی اجزای زیرساخت کلید عمومی PKI - قسمت سوم

در ادامه ی معرفی اجزای زیرساخت کلید عمومی PKI به توضیح رمزنگاری RSA، ماژول ها و گواهی های الکترونیکی باطل شده پرداختیم.

رمزنگاری RSA
رمزنگاری RSA شیوه‌ای برای رمزنگاری به روش کلید عمومی است. این روش، نخستین روش مورد اعتماد در بین روش‌های رمزنگاری دیگر است و یکی از بزرگ‌ترین پیشرفت‌ها درزمینه‌ی رمزنگاری به‌حساب می‌آید. RSA همچنان به‌صورت گسترده‌ای در تبادلات الکترونیکی استفاده می‌شود و در صورت استفاده درست با کلیدهای طولانی کاملاً امن به نظر می‌رسد.
RSA به‌طورکلی از دو کلید عمومی و کلید خصوصی تشکیل می‌شود. کلید، عددی ثابت است که در محاسبات رمزنگاری استفاده می‌شود. کلید عمومی‌برای همه معلوم بوده و برای رمزگذاری پیام استفاده می‌شود. این پیام فقط توسط کلید خصوصی باز می‌شود. به‌بیان‌دیگر همه می‌توانند یک پیام را رمز کنند اما فقط صاحب کلید خصوصی می‌تواند پیام را باز کند و بخواند.
هرچند ازلحاظ ریاضی کلیدهای عمومی و خصوصی با یکدیگر ارتباط دارند اما تقریباً محال است که کسی بتواند حتی با تجهیزات پیشرفته و صرف وقت زیاد با داشتن یکی از کلیدها، دیگری را تشخیص دهد. درواقع می‌توان گفت که با توجه به سطح دانش کنونی و سامانه‌های رایانه‌ای موجود، الگوریتم رمزنگاری و ارتباط میان کلیدها تقریباً غیرقابل شکستن است.
RSA مبتنی بر توان‌رسانی پیمانه‌ای است و از اعداد طبیعی خیلی بزرگ استفاده می‌کند. مستندات RSA تحت عنوانPKCS#1 استاندارد شده‌اند. استاندارد PKCS دارای پانزده نوع مختلف است که هرکدام مختص یک استاندارد در بخشی خاص است. در جدول زیر این انواع ذکر شده است:

استاندارد نام توضیحات
PKCS#1 استاندارد رمزنگاری RSA در این استاندارد ویژگی‌ها و فرمت کلیدهای عمومی و خصوصی RSA، الگوریتم پایه و شماهای encoding/pading برای رمزگذاری، رمزگشایی و تائید امضا براساس RSA شرح داده‌شده است.
PKCS#2 -- این استاندارد از سال 2010 دیگر فعال نیست و با استاندارد PKCS#1 ادغام شده است. 
PKCS#3 استاندارد موافقت‌نامه استفاده از کلید Diffie – Hellman در این استاندارد فرآیند تبادل امن کلید بین طرفین در حالتی که شناختی نسبت به هم ندارند، بر مبنای الگوریتم Diffie – Hellman شرح داده‌شده است. 
PKCS#4 ---  این استاندارد از سال 2010 دیگر فعال نیست و با استاندارد PKCS#1 ادغام شده است.
PKCS#5 استاندارد رمزگذاری مبتنی بر رمز عبور

در این استاندارد فرآیند استخراج کلید به‌صورت امن (جلوگیری از حمله Brute-Force) و با هزینه کم‌تر شرح داده‌شده است.

PKCS#6

استاندارد فرمت تمدید گواهی

در این استاندارد مشخصات Extentionهای گواهی X509 نسخه 1 شرح داده می‌شود (که به نسبت نسخه 3 مشابه، منسوخ شده است)
PKCS#7 استاندارد فرمت پیغام رمزنگاری در این استاندارد فرمت امضا و رمزگذاری پیام‌ها تشریح شده است. لازم به ذکر است نسخه به‌روز شده این استاندارد CMS است.
PKCS#8 استاندارد فرمت اطلاعات کلید خصوصی در این استاندارد فرمت بسته‌بندی کلید خصوصی (به‌صورت رمز شده یا رمز نشده) بیان شده است.
PKCS#9 انتخاب انواع ویژگی در این استاندارد مشخصات فیلدهای مشترکی که در Extentionهای گواهی از استاندارد PKCS#6، پیام امضای دیجیتال در PKCS#7، اطلاعات کلید خصوصی در استاندارد PKCS#8 و درخواست امضای گواهی در استاندارد PKCS#10 بیان شده است.
PKCS#10 استاندارد درخواست گواهی در این استاندارد فرمت پیام‌های ارسالی به مراکز CA برای درخواست گواهی کلید عمومی تشریح شده است
PKCS#11 واسط ارتباط با توکن رمزنگاری در این استاندارد که به نام "Cryptoki" شناخته می‌شود، API ارتباط با توکن‌های رمزنگاری تعریف شده است.
PKCS#12 استاندارد فرمت تبادل اطلاعات شخصی در این استاندارد فرمت یک فایل حاوی کلید خصوصی و گواهی کلید عمومی مربوطه حفاظت‌شده توسط یک کلید متقارن مبتنی بر رمز عبور بیان می‌گردد. لازم به ذکر است pfx پسوند این فایل است.
PKCS#13 استاندارد رمزنگاری منحنی بیضوی یا ECC این استاندارد در سال 1998 از دسترس خارج شده است.
PKCS#14 مدت‌زمان ایجاد شماره تصادفی کاذب این استاندارد از دسترس خارج شده است.
PKCS#15 استاندارد فرمت اطلاعات توکن رمزنگاری

در این استاندارد ساختار فایل سیستمِ داخل توکن‌های رمزنگاری تشریح شده است.

ماژول ‌های رمزنگاری سخت‌ افزاری
ماژول‌های رمزنگاری سخت‌افزاری جهت تولید و نگهداری امن کلید، و انجام الگوریتم‌های رمزنگاری امضای دیجیتال به‌صورت On-Board بر روی تراشه سخت‌افزاری، استفاده می‌گردند. با توجه به حجم تراکنش انجام‌شده و سرعت و کارایی موردنظر، می‌توان از توکن، کارت هوشمند، یا HSM به‌عنوان مؤلفه سخت‌افزاری استفاده نمود.
• توکن: یک رسانه الکترونیکی قابل‌حمل جهت نگه‌داری ایمن زوج کلید رمزنگاری (کلید عمومی و کلید خصوصی) و مقادیر مربوط به شناسایی و انجام محاسبات مرتبط به آن‌ها (به‌عنوان‌مثال عملیات رمزنگاری مختلف) می‌باشد. همچنین از این وسیله می‌توان برای اعمال کنترل دسترسی استفاده کرد.
• HSM : نوعی ماژول سخت‌افزاری امن که از طریق واسط‌های نرم‌افزاری، امکان نگهداری امن کلیدهای رمزنگاری و اجرای ایمن مکانیزم‌های رمزنگاری را با کارایی مطلوب فراهم می‌آورد.HSM با توجه به تراشه و ابعاد سخت‌افزار مورداستفاده در آن، نسبت به توکن سخت‌افزاری و کارت هوشمند سرعت و کارایی بالاتری داشته و برای سامانه‌هایی با تراکنش‌های بالا (مانند سامانه صدور گواهی) که کارایی و سرعت، جزء مؤلفه حیاتی در آن‌ها محسوب می‌شوند، مناسب می‌باشد. در مقابل توکن سخت‌افزاری و کارت هوشمند با توجه به حجم و ابعاد کوچک‌تر سخت‌افزار، و قابل‌حمل بودن، برای کاربران سامانه‌های مجهز به زیرساخت کلید عمومی مناسب می‌باشد.


لیست گواهی ‌های باطل ‌شده
لیست گواهی‌های باطل‌شده (CRL) ، فهرستی از گواهی‌های صادرشده به‌وسیله یک مرکز صدور گواهی الکترونیکی (CA) است که هنوز اعتبار آن‌ها منقضی نشده است، اما به دلایل مشخص از سوی آن مرکز ابطال شده و فاقد اعتبار هستند. گواهی الکترونیکی ممکن است به دلایل مختلفی باطل شوند به‌عنوان نمونه، لزوم ایجاد تغییر در اطلاعات درون یک گواهی الکترونیکی یا در معرض افشا قرار گرفتن کلید خصوصی مرتبط با کلید عمومی یک گواهی الکترونیکی، از دلایل ابطال یک گواهی به شمار می‌روند. لیست گواهی‌های باطل‌شده، به صورتی که در سند دستورالعمل اجرایی (CPS) مربوطه مشخص‌شده است، به‌صورت دوره‌ای منتشر می‌گردد و قبل از انتشار، توسط مرکز صدور گواهی الکترونیکی (CA) مربوطه، به‌صورت الکترونیکی امضا می‌شوند.
CRL شامل «شماره سریال کلیه گواهی‌هایی که باطل‌شده‌اند + دلیل ابطال گواهی + تاریخ ابطال گواهی» می‌باشد.


دلایل ابطال گواهی
• Unspecified : دلیل نامشخص
• Key_Compromise : افشای کلید مالک گواهی
• CA_Compromise : افشای کلید مرکز صدور گواهی
• Affiliation_Changed : تغییر اطلاعات دارنده گواهی
• Superseded : لغو گواهی به دلایلی به جزء افشای کلید، مانند خرابی توکن و ...
• Cessation_of_Opration : توقف عملیات
• Certificate Hold : گواهی تعلیق شده است. این مورد، تنها موردی است که امکان بازگشت دارد.
• privilege_Withdraw : تغییر امتیاز حق استفاده از گواهی
• AA_Compromise : افشای کلید خصوصی Attribute Authority

۱۳۹۹/۰۴/۱۰- ۱۳:۳۱