اهمیت زیرساخت کلیدعمومی در سامانه‌های احراز هویت

یازدهمین رویداد کافه فین‌تک توسن با موضوع هویت دیجیتال و مفهوم (IDaaS)، دوشنبه 31 شهریورماه از طریق صفحه اینستاگرامی شرکت توسن برگزار شد.

در این کافه آنلاین، سعید گل‌محمدی، مهندس فروش توسن و هومن مرجانی، مدیر فنی شرکت اعتماد هوشمند آینده به بررسی هویت دیجیتال پرداختند. ما در عصربانک مهمترین قسمت‌های این رویداد را پوشش دادیم.

در ابتدای این برنامه آنلاین، مرجانی، با اشاره به رواج استفاده از خدمات الکترونیکی، گفت: «زیرساخت‌های امنی که توسط بانک‌ها و شرکت‌ها تا کنون ایجاد شده است از وقوع بسیاری از کلاهبرداری‌ها و تقلب‌ها جلوگیری کرده است. اما از آنجایی که در بسیاری از مواقع تقلب از سمت کاربران سامانه‌های آنلاین اتفاق می‌افتد، نیاز به یک سیستم احراز هویت احساس می‌شود تا پس از اعتبارسنجی مجوز هرگونه استفاده به کاربر سامانه را صادر کند.»

او توجه به زیرساخت کلیدعمومی (PKI) را حلقه مفقوده امنیت احراز هویت دیجیتالی دانست و افزود: «زیر ساخت کلیدعمومی چهار فاکتور محرمانگی، عدم انکار، یکپارچگی و احراز هویت را با ترکیبی از الگوریتم‌های رمزنگاری، نرم‌ا‌فزاری، سخت‌افزاری، سیاست‌های امنیتی و همکاری عوامل انسانی به وجود می‌آورد تا بستری را برای امن‌سازی مبادلات الکترونیکی فراهم کند.»

اهمیت کلیدعمومی

مدیر فنی شرکت اعتماد هوشمند آینده در رابطه با چرایی اهمیت استفاده از زیرساخت کلیدعمومی، گفت: «این زیرساخت با استفاده از امضای دیجیتال، مفاهیم رمزنگاری و گواهی الکترونیکی ویژگی استنادپذیری را در سامانه‌ها فراهم می‌کند. برای امنیت زیرساخت‌ تمامی سامانه‌ها باید به صورت یکپارچه از زیرساخت‌های کلیدعمومی استفاده کرد تا قابلیت عدم انکار را بدست آورد. همچنین با وجود فاکتور مهم محرمانگی، امنیت اطلاعات تبادل شده هم تضمین می‌شود.»

محصولات حوزه کلیدعمومی

مرجانی سامانه مدیریت و صدور گواهی الکترونیکی (CA) را یکی از ارکان اصلی زیرساخت کلیدعمومی معرفی کرد که اصطلاحا به CA معروف است و شامل چهار بخش‌ اصلی مرکز صدور گواهی (CA)، مرکز ثبت ‌نام درخواست صدور گواهی (RA)، پاسخگوی برخط وضعیت گواهی‌ها (OCSP Responder) و مرکز مهر زمانی (TSA) می‌شود.

او در ادامه صحبت‌های خود به این موضوع پرداخت که «خدمات زیرساخت کلید عمومی» مانند گواهی الکترونیکی باید در نرم‌افزارهای کاربردی سازمان فعال شود.  قابلیت بهره‌گیری از گواهی الکترونیکی و فراتر از آن زیرساخت کلیدعمومی در سیستم‌ها از طریق سامانه Public Key Enabling انجام می‌شود.

مدیر فنی شرکت اعتماد هوشمند آینده، تاکید کرد: «همچنین در صورت نیاز به سطح دوم احراز می‌توان از سامانه Managed Security Service Provider به عنوان راه کار پیاده‌سازی و مدیریت امضا دیجیتال بر روی سیم کارت موبایل بهره جست تا امضا دیجیتال به‌صورت خیلی امن‌تر، کاربردی‌تر و محبوب‌تر از طریق تلفن همراه انجام شود. همچنین به عنوان تکنولوژی قدیمی‌تر با استفاده از توکن‌های رمزنگاری نیز می‌توان امضا سطح 2 را بکار برد. رویکرد استفاده از زیر ساخت کلیدعمومی جهت احراز هویت دیجیتال و تفاهم بانک‌ها با همدیگر در این خصوص نیاز امروز مشتریان می‌باشد.»

او در پاسخ به سوال یکی از بینندگان رویداد کافه فین‌تک در رابطه با چگونگی نحوه اشتراک‌گذاری سیم‌‌کارت‌ها توسط بانک‌ها، گفت: «برای ایجاد هویت دیجیتال نیاز به امضای دیجیتال، کلیدعمومی و خصوصی و گواهی الکترونیکی است که در سیم‌کارت ذخیره شده باشد. بنابراین اگر بانک‌ها به تفاهم برسند که از یک مرکز میانی سرویس بگیرند مشتریان می‌توانند تنها با یکبار احراز هویت دیجیتال در یک بانک از تمامی سرویس‌های بانک‌های دیگر استفاده کنند. البته برای فراهم کردن این امر باید مسائل مربوط به رگولاتوری نیز حل شود.»

روش‌های احراز هویت

مرجانی در پاسخ به این سوال که احراز هویت از طریق چه ابزارهایی دیگری انجام می‌شود، توضیح داد: «احراز هویت از طریق سه عامل انجام می‌شود. عامل اول آن چیزی که فقط کاربر می‌داند مانند کلمه عبور. عامل دوم یعنی آن چیزی که فقط کاربر در اختیار دارد مانند کارت، توکن، موبایل و …که اگر به امضای دیجیتالی مجهز شوند دارای اعتبار قانونی خواهند شد. بنابراین تا زمانی که سامانه‌ها راهکار PKE را نهادینه نکنند این عامل مقبولیت و قابلیت اعتماد زیادی نخواهد داشت. عامل سوم هم مربوط به مشخصات بیومتریک مانند اثر انگشت، قرنیه ،DNA و… است.»

فرایند احراز هویت از طریق امضای دیجیتال

او در ادامه به یک نمونه فرآیند احراز هویت توسط امضا دیجیتال در بانک اشاره کرد و افزود: «در این روش بانک، مشتری را از طریق عامل دوم یعنی آن چیزی که در اختیار دارد احراز هویت می‌کند اگر مشتری دارای امضای دیجیتال بر روی سیم کارت خود باشد، بانک برای احراز هویت دیجیتالی او درخواست امضا مشتری خود را به سامانه (MSSP) ارسال می‌کند. سامانه هم درخواست را به اپلیکیشن موبایل مشتری ارسال خواهد نمود چون از قبل و بواسطه دریافت امضا دیجیتال توسط مشتری از یک مرکز RA در سیم‌کارت او  کلید خصوصی و عمومی و گواهی الکترونیکی وجود دارد. اپلیکیشن مورد نظر که می‌تواند موبایل بانک هم باشد بر روی موبایل مشتری اعلان درخواست امضا را نمایش خواهد داد و مشتری را از درخواست مطلع مینماید. مشتری هم با ورود رمز (عامل اول: آنکه میداند) و ورود به اپلیکیشن امضا، درخواست را تایید نموده که در واقع این تایید به منزله  امضا است. پس از اینکه کاربر دیگر اطلاعات درخواستی را وارد کرد مجددا داده‌ها به MSSP ارسال شده تا صحت امضا تایید گردد. سپس آنها توسط بانک حسب روال‌های خود اجازه استفاده از سامانه‌های آنلاین را صادر می‌کنند.»

سامانه‌های احراز هویت مبتنی بر سلفی، فیلم و یا اثر انگشت

مدیر فنی شرکت هوشمند اعتماد آینده در پایان گفت: «سامانه‌های احراز هویت همچون شاهکار و ثبت احوال با وجود کارایی زیاد قابلیت عدم انکار را در خود ندارند. بنابراین ممکن است در بررسی پرونده‌های قضایی مشکلاتی به وجود آید. اما در صورت توجه به این دو مولفه دیگر کاربر نمی‌تواند ادعا کند سامانه احراز هویت اشکال داشت، چرا که شخص گواهی الکترونیکی دارد و قبل از انجام هرگونه عملیاتی از طریق امضای دیجیتال هویت خود را تایید کرده است.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.