اهمیت زیرساخت کلیدعمومی در سامانههای احراز هویت
یازدهمین رویداد کافه فینتک توسن با موضوع هویت دیجیتال و مفهوم (IDaaS)، دوشنبه 31 شهریورماه از طریق صفحه اینستاگرامی شرکت توسن برگزار شد.
در این کافه آنلاین، سعید گلمحمدی، مهندس فروش توسن و هومن مرجانی، مدیر فنی شرکت اعتماد هوشمند آینده به بررسی هویت دیجیتال پرداختند. ما در عصربانک مهمترین قسمتهای این رویداد را پوشش دادیم.
در ابتدای این برنامه آنلاین، مرجانی، با اشاره به رواج استفاده از خدمات الکترونیکی، گفت: «زیرساختهای امنی که توسط بانکها و شرکتها تا کنون ایجاد شده است از وقوع بسیاری از کلاهبرداریها و تقلبها جلوگیری کرده است. اما از آنجایی که در بسیاری از مواقع تقلب از سمت کاربران سامانههای آنلاین اتفاق میافتد، نیاز به یک سیستم احراز هویت احساس میشود تا پس از اعتبارسنجی مجوز هرگونه استفاده به کاربر سامانه را صادر کند.»
او توجه به زیرساخت کلیدعمومی (PKI) را حلقه مفقوده امنیت احراز هویت دیجیتالی دانست و افزود: «زیر ساخت کلیدعمومی چهار فاکتور محرمانگی، عدم انکار، یکپارچگی و احراز هویت را با ترکیبی از الگوریتمهای رمزنگاری، نرمافزاری، سختافزاری، سیاستهای امنیتی و همکاری عوامل انسانی به وجود میآورد تا بستری را برای امنسازی مبادلات الکترونیکی فراهم کند.»
اهمیت کلیدعمومی
مدیر فنی شرکت اعتماد هوشمند آینده در رابطه با چرایی اهمیت استفاده از زیرساخت کلیدعمومی، گفت: «این زیرساخت با استفاده از امضای دیجیتال، مفاهیم رمزنگاری و گواهی الکترونیکی ویژگی استنادپذیری را در سامانهها فراهم میکند. برای امنیت زیرساخت تمامی سامانهها باید به صورت یکپارچه از زیرساختهای کلیدعمومی استفاده کرد تا قابلیت عدم انکار را بدست آورد. همچنین با وجود فاکتور مهم محرمانگی، امنیت اطلاعات تبادل شده هم تضمین میشود.»
محصولات حوزه کلیدعمومی
مرجانی سامانه مدیریت و صدور گواهی الکترونیکی (CA) را یکی از ارکان اصلی زیرساخت کلیدعمومی معرفی کرد که اصطلاحا به CA معروف است و شامل چهار بخش اصلی مرکز صدور گواهی (CA)، مرکز ثبت نام درخواست صدور گواهی (RA)، پاسخگوی برخط وضعیت گواهیها (OCSP Responder) و مرکز مهر زمانی (TSA) میشود.
او در ادامه صحبتهای خود به این موضوع پرداخت که «خدمات زیرساخت کلید عمومی» مانند گواهی الکترونیکی باید در نرمافزارهای کاربردی سازمان فعال شود. قابلیت بهرهگیری از گواهی الکترونیکی و فراتر از آن زیرساخت کلیدعمومی در سیستمها از طریق سامانه Public Key Enabling انجام میشود.
مدیر فنی شرکت اعتماد هوشمند آینده، تاکید کرد: «همچنین در صورت نیاز به سطح دوم احراز میتوان از سامانه Managed Security Service Provider به عنوان راه کار پیادهسازی و مدیریت امضا دیجیتال بر روی سیم کارت موبایل بهره جست تا امضا دیجیتال بهصورت خیلی امنتر، کاربردیتر و محبوبتر از طریق تلفن همراه انجام شود. همچنین به عنوان تکنولوژی قدیمیتر با استفاده از توکنهای رمزنگاری نیز میتوان امضا سطح 2 را بکار برد. رویکرد استفاده از زیر ساخت کلیدعمومی جهت احراز هویت دیجیتال و تفاهم بانکها با همدیگر در این خصوص نیاز امروز مشتریان میباشد.»
او در پاسخ به سوال یکی از بینندگان رویداد کافه فینتک در رابطه با چگونگی نحوه اشتراکگذاری سیمکارتها توسط بانکها، گفت: «برای ایجاد هویت دیجیتال نیاز به امضای دیجیتال، کلیدعمومی و خصوصی و گواهی الکترونیکی است که در سیمکارت ذخیره شده باشد. بنابراین اگر بانکها به تفاهم برسند که از یک مرکز میانی سرویس بگیرند مشتریان میتوانند تنها با یکبار احراز هویت دیجیتال در یک بانک از تمامی سرویسهای بانکهای دیگر استفاده کنند. البته برای فراهم کردن این امر باید مسائل مربوط به رگولاتوری نیز حل شود.»
روشهای احراز هویت
مرجانی در پاسخ به این سوال که احراز هویت از طریق چه ابزارهایی دیگری انجام میشود، توضیح داد: «احراز هویت از طریق سه عامل انجام میشود. عامل اول آن چیزی که فقط کاربر میداند مانند کلمه عبور. عامل دوم یعنی آن چیزی که فقط کاربر در اختیار دارد مانند کارت، توکن، موبایل و …که اگر به امضای دیجیتالی مجهز شوند دارای اعتبار قانونی خواهند شد. بنابراین تا زمانی که سامانهها راهکار PKE را نهادینه نکنند این عامل مقبولیت و قابلیت اعتماد زیادی نخواهد داشت. عامل سوم هم مربوط به مشخصات بیومتریک مانند اثر انگشت، قرنیه ،DNA و… است.»
فرایند احراز هویت از طریق امضای دیجیتال
او در ادامه به یک نمونه فرآیند احراز هویت توسط امضا دیجیتال در بانک اشاره کرد و افزود: «در این روش بانک، مشتری را از طریق عامل دوم یعنی آن چیزی که در اختیار دارد احراز هویت میکند اگر مشتری دارای امضای دیجیتال بر روی سیم کارت خود باشد، بانک برای احراز هویت دیجیتالی او درخواست امضا مشتری خود را به سامانه (MSSP) ارسال میکند. سامانه هم درخواست را به اپلیکیشن موبایل مشتری ارسال خواهد نمود چون از قبل و بواسطه دریافت امضا دیجیتال توسط مشتری از یک مرکز RA در سیمکارت او کلید خصوصی و عمومی و گواهی الکترونیکی وجود دارد. اپلیکیشن مورد نظر که میتواند موبایل بانک هم باشد بر روی موبایل مشتری اعلان درخواست امضا را نمایش خواهد داد و مشتری را از درخواست مطلع مینماید. مشتری هم با ورود رمز (عامل اول: آنکه میداند) و ورود به اپلیکیشن امضا، درخواست را تایید نموده که در واقع این تایید به منزله امضا است. پس از اینکه کاربر دیگر اطلاعات درخواستی را وارد کرد مجددا دادهها به MSSP ارسال شده تا صحت امضا تایید گردد. سپس آنها توسط بانک حسب روالهای خود اجازه استفاده از سامانههای آنلاین را صادر میکنند.»
سامانههای احراز هویت مبتنی بر سلفی، فیلم و یا اثر انگشت
مدیر فنی شرکت هوشمند اعتماد آینده در پایان گفت: «سامانههای احراز هویت همچون شاهکار و ثبت احوال با وجود کارایی زیاد قابلیت عدم انکار را در خود ندارند. بنابراین ممکن است در بررسی پروندههای قضایی مشکلاتی به وجود آید. اما در صورت توجه به این دو مولفه دیگر کاربر نمیتواند ادعا کند سامانه احراز هویت اشکال داشت، چرا که شخص گواهی الکترونیکی دارد و قبل از انجام هرگونه عملیاتی از طریق امضای دیجیتال هویت خود را تایید کرده است.»