امضای دیجیتالی

مرداد ۳۰, ۱۳۸۷ 0 By حسن شجاعی

زیاد شنیده‌ایم که تضمین امنیت در مبادله اسناد الکترونیکی لازمه پیشرفت در این زمینه است. مواردی که باعث ایجاد مشکل در یک تبادل امن می‌شود یا خطراتی که می‌تواند مبادله از طریق اینترنت را دچار مشکل کند را به چهار دسته کلی تقسیم می‌کنند(فرض بر این است که فرهاد می‌خواهد یک ایمیل برای شیرین ارسال کند): Interruption: فرهاد ایمیل را ارسال می‌کند ولی به دست شیرین نمی‌رسد. Interception: در مسیر بین فرهاد و شیرین، خسرو می‌تواند به یک کپی غیرمجاز از ایمیل دست پیدا کند. Fabrication: خسرو یک ایمیل جعلی ایجاد می‌کند و به نام فرهاد برای شیرین ارسال می‌کند. Modification: خسرو ایمیل فرهاد را در مسیر بین فرهاد و شیرین دستکاری می‌کند و ایمیل دستکاری شده را برای شیرین ارسال می‌کند. حال با توجه به خطرات عنوان شده، می‌توان یک مبادله امن را تعریف کرد.

یک مبادله امن مبادله‌ای است که امکان تشخیص هویت فرستنده(Authentication) وجود داشته باشد، محرمانگی(Privacy) در آن لحاظ شده باشد یعنی فقط فرستنده و گیرنده بتوانند به متن دسترسی داشته باشند و انکار ناپذیر(Non Repudiation) باشد یعنی فرستنده نتواند منکر ارسال خود شود. برای رسیدن به این اهداف، از تکنیکی با عنوان رمزنگاری استفاده می‌شود. در امضای دیجیتالی از روش نهان‌نگاری نامتقارن استفاده می‌شود. در این روش هر شخصی یک کلید خصوصی دارد که با استفاده از آن اطلاعات را رمزنگاری می‌کند و یک کلید عمومی که با استفاده از آن اطلاعات را رمزگشایی می‌کند. کلید عمومی شخص می‌تواند در اختیار همه قرار بگیرد ولی کلید خصوصی محرمانه است و شخص آنرا برای خود نگه‌میدارد. تنها راه رمزگشایی مطلبی که با یک کلید خصوصی رمزنگاری شده است، استفاده از کلید عمومی متناظر با آن است. اما گیرنده فقط به یکسری کلیدهای عمومی دسترسی دارد. از کجا می‌تواند بفهمد و مطمئن شود که این کلید عمومی به چه کسی تعلق دارد؟ تنها راه اطمینان استفاده از یک شخص ثالث می‌باشد. وظیفه این شخص ثالث، صدور یکسری مدارک شناسایی است که حاوی اطلاعاتی است که هویت دارنده یک کلید عمومی را مشخص می‌کند. این مدرک شناسایی با عنوان گواهی دیجیتالی شناخته می‌شود. این شخص ثالث باید قابل اطمینان باشد با عنوان مرکز صدور گواهی(Certification Authority) شناخته می‌شود. هم اکنون یک مرکز واحد در ایران برای صدور گواهی وجود ندارد. تعدادی از شرکت‌ها وجود دارند که گواهی دیجیتالی ارائه می‌کنند. از این میان می‌توان به مرکز صدور گواهی الکترونیکی میانی بازرگانی، IranSSL و مرکز گواهی پارس ساین اشاره کرد. من سایت آخری را تست کرده‌ام و این سایت به صورت کوتاه‌مدت گواهی رایگان در اختیار متقاضیان قرار می‌دهد. پس از دریافت گواهی از این سایت با استفاده از راهنمای استفاده از گواهی دیجیتال در Outlook Express از آن برای ارسال ایمیل‌های خود استفاده کنید.

بیشتر: (۱) دریافت فایل‌های ارائه شده در دومین همایش امضای دیجیتالی و تحقق دولت الکترونیک (۲) مفاهیم گواهی دیجیتالی