نگاهی فنی
امضای دیجیتالی به این معناست که طرف مصرف کننده و طرف تجاری بتوانند از امنیت ارتباط و برنامه ها با استفاده از PKL(Public Key Infrastructure) بهره برداری کنند.
بزوم امنیت بر روی اینترنت
ما اکنون در حال سپری کردن عصر اطلاعات هستیم.
تعداد افراد و تجارتهایی که هر روز به اینترنت ملحق می شوند به طور بی سابقه ای در حال رشد است.
در حالیکه هر روز دسترسی به اینترنت آسان تر و سرعت آن سریعتر می شود و قیمت آن ارزانتر می شود, بسیاری از افراد میزان زیادی از وقت خود را بر روی اینترنت به تبادل اطلاعات و همچنین به تبادلات مالی میپردازند.
در حالیکه اینترنت یک شبکه اطلاعاتی بازاست.
هرکسی می تواند از اینترنت استفاده کند و در نتیجه هر کسی میتواند از آن برای استخراج اطلاعات از مناطق آسیب پذیر، برای مقاصد سودجویانه و غیر قانونی استفاده کند.
اگر اینترنت بخواهد به منبعی برای استفاده اهداف تجاری و انتقال اطلاعات تبدیل شود مطمئنا به یک بنیاد و موسسه امنیت هم نیاز دارد.
امنیت چه چیزی را تامین می کند؟
تصدیق هویت
تصدیق هویت اطمینان از اینکه شخص یا طرفی که با آن در حال ارتباط هستیم همان کسی است که ما انتظار داریم و خودش می گوید.
محرمانه بودن
اطلاعات درون پیغام ها و با تبادلات محرمانه میشوند.
و تنها برای اشخاص دریافت کننده و ارسال کننده قابل فهم و خواندن می باشد.
امانت داری
اطلاعاتی که درون پیغام و یا تبادلات وجود دارد در طول مسیر به طور اتفاقی یا عمدی مورد دستبرد قرار نمی گیرند.
غیر قابل انکار بودن
ارسال کننده نمی تواند منکر ارسال پیتم یا تبادل مالی شود، و دریافت کننده هم نمی تواند منکر دریافت آن شود.
کنترل دسترسی
کلیدهای عمومی و خصوصی هر دو از دو کلید رمزگذاری مرتبط و مجزا (معمولا رشته بلندی از اعداد) تشکیل شده اند.
در زیر نمونه ای از یک کلید عمومی را مشاهده می کنید.
دسترسی به اطلاعات حفظ شده تنها برای طرفین و اشخاص انتخاب شده میسر می باشد.
(public Key Infrastructure)PKI
PKI: باز میگردد به تکنولوژی، مراحل عملیاتی و خط مشیی که مجموعه محیطی را برای مقاصد تامین امنیت مطابق پاراگراف فوق فراهم میکند.
به مردم و تجار این امکان را می دهد که از نرم افزارها و ابزارهای امن اینترنتی بهره ببرند.
به طور مثال ترکیب قانونی و امن ایمیل و تبادلات مالی و انتقال خدمات، تماما در سایه تحقق می یابد.
این سازمان دو عامل اصلی را به خدمت میگیرد: کلیدهای عمومی رمزگذاری و گواهینامه اعتبار.
کلید های عمومی و خصوصی:
کلیدهای عمومی و خصوصی هر دو از دو کلید رمزگذاری مرتبط و مجزا (معمولا رشته بلندی از اعداد) تشکیل شده اند.
در زیر نمونه ای از یک کلید عمومی را مشاهده می کنید:
3048 0217 00C0 18FA 1256 SD14 125D 369Y
F459 LD25 00DF 26TY DDF8 RFG5 HTYF 1269 F798 WE15
3654 8695 GTD1 0210 FD02 0001 HTY1 LO56 125D 1236 0100 00CB
کلید عمومی همانی است که از نام آن پیداست، عمومی.
این کلید در اختیار تمام کسانی که از یک منبع خاص یا یک فهرست مشخص استفاده میکنند قرار دارد.
در حالیکه کلید خصوصی بایستی به صورت محرمانه نزد دارندگان مجاز آن باقی بماند.
FPRIVATE TYPE=PICT;ALT=
چون هر دو کلید به طور محاسباتی به هم مربوط می شوند، هر چیزی که با کلید عمومی رمزگذاری می شود تنها با کلید خصوصی مربوط به آن قابل رمزگشایی است و بالعکس.
برای مثال، اگر باب بخواهد اطلاعات محرمانه ای را برای آلیس ارسال کند، و می خواهد مطمئن باشد که تنها آلیس قابلیت دسترسی و خواندن آن را داشته باشد او می تواند با کلید عمومی آلیس آنرا رمزگذاری کند.
تنها آلیس به کلید خصوصی مربوطه خودش دسترسی دارد در نتیجه تنها شخصی که قابلیت رمزگشایی اطلاعات رمزگذاری شده را دارد آلیس است.
چون آلیس تنها کسی است که به کلید خصوصی خود دسترسی دارد ،لذا تنها کسی است قابلیت خواندن اطلاعات رمزگذاری شده را دارد.
حتی اگر شخصی هم به اطلاعات رمزگذاری شده دسترسی پیدا کند چون به کلید خصوصی آلیس دسترسی ندارد، نمی تواند آنرا بخواند.
کلیدهای عمومی اینگونه امنیت را به ارمغان می آورند.
در حالیکه یکی دیگر از قابلیتهای مهم کلید عمومی رمزگذاری، امکان بوجود آوردن امضای دیجیتالی می باشد.
این روش به خصوص در مساله تجارت الکترونیک که امروزه در جهان صنعت و فن آوری از طرفداران بسیاری برخوردار است ، جایگاه ویژهای دارد.
در مساله تجارت الکترونیک با دو مساله مهم روبرو هستیم که اولی تصدیق اصالت ، و دومی محرمانگی است .
تصدیق اصالت به این معنا که آیا شخصی که ادعا میکند آقای الف است، درست میگوید؟، و محرمانگی به این معنا که در صورتی که شخص ثالثی پیامهای ارسالی و دریافتی را از طریق شبکه گوش دهد، نمیتواند محتوای پیام را تشخیص دهد.
امضاء دیجیتال عمدتا در مورد مشکل اول مطرح میشود.
بدین ترتیب که فرد الف باید توسط یک کلید خصوصی ادعای خود را تصدیق کند و این توسط گیرند احراز هویت شود.
بسیاری از قوانین مدرن امروزی که از روش امضاء دیجیتال بهره جستهاند، الگوریتم کلید عمومی را به عنوان الگوریتم رمزنگاری انتخاب کردهاند.
الیته سیستمهای کلید عمومی میتوانند برای حل هر دو مشکل فوق استفاده شوند، یعنی هم محرمانگی اطلاعات را فراهم کنند و هم تصدیق اصالت کنند.
الگوریتم کلید عمومی بدین شکل عمل میکند که برای فراهم کردن محرمانگی پیام با کلید عمومی دریافتکننده رمز میشود و برای تصدیق هویت پیام با کلید خصوصی فرستنده رمز میشود.
در مورد هر کدام از این روشها ، الگوریتم رمزنگاری برای تمام پیام بکار میرود .
بطور خلاصه سیستمهای کلید عمومی امکانات زیر را ایجاد میکنند که شامل تایید فرستنده و صحت دادههای ارسالی فرستنده برای گیرنده ، و هم چنین صحت گیرنده برای فرستنده در برابر تقلب شخص ثالث است.
چنین امری به حفاظت شبکه کمک میرساند و درجه اعتبار را به ویژه در تجارت الکترونیک بالا میبرد.
استفاده از امضا و نوشته دیجیتال، اصالت و محرمانه ماندن پیام را تضمین میکند.
از نظر فنی استفاده از امضا و نوشته دیجیتالی اصالت و محرمانه ماندن پیام را تضمین میکند و قانون تجارت الکترونیکی امضا و نوشته الکترونیکی را معادل امضا و نوشته دستی میداند.
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران ، از ایلنا،دکتر بتول آهنی مشاور حقوقی شرکت مترا وابسته به کمیته IT وزارت راه گفت: مناقصههای بخش عمومی در نظام مالی و اقتصادی یک کشور اهمیت چشمگیری دارند و بروز اشکالی از فساد، سلامت، شفاف سازی و مستند سازی عملکردها در ساختار دولت الکترونیکی با برگزاری مناقصههای الکترونیکی ممکن میشود.
وی افزود: اما اعتبار حقوقی برگزاری مناقصه مشروط به رعایت ضوابط قانونی است؛ لذا درصورتی که برگزاری الکترونیکی مناقصه از نظر ما مطلوب باشد این پرسش مطرح میشود که آیا تامین ضوابط قانونی در محیط الکترونیکی ممکن میشود یا خیر.
دکتر آهنی با اشاره به قواعد ناظر برمناقصه، افزود: یک گروه به استفاده از شیوههای کاغذی توجه چندانی ندارند؛ بنابراین تامین نظر آنها در سیستمهای الکترونیکی نیز ممکن است، اما گروه دیگر استفاده از کاغذ و سیستمهای سنتی را القاء میکنند.
وی تصریح کرد: در مورد گروه دوم باید گفت که اهمیت ضوابط و تشریفات پیش بینی شده در قانون یکسان نیست، گاه عدم رعایت ضوابط موجب بطلان عملیات صورت گرفته میشود؛ زیرا از نظر قانونگذار تشریفات و ضوابط مقرر تنها راه دستیابی به اهداف مورد نظر است.
مشاورحقوقی شرکت مترا، تصریح کرد: گاه نیز آنچه برای قانونگذار اهمیت دارد حصول به هدف معینی است بدون آنکه راه دست یابی به آن موضوعیتی داشته باشد، در این وضعیت تاکید قانون بر راه و شیوه خاص به دلیل متعارف بودن یا انحصاری بودن آن در زمان وضع قانون است.
وی خاطرنشان کرد: محور تشریفات کاغذی در مناقصه «فراخوان» و «ارسال پیشنهاد» است، لازم است فراخوان مناقصه از طریق نشر آگهی در روزنامه رسمی و کثیرالانتشار صورت گیرد، این قاعده از نوع اول است و عدم رعایت آن به بطلان عملیات صورت گرفته منجر می شود، اما به نظر میرسد که ارسال پیشنهاد میتواند به طریق الکترونیکی صورت گیرد.
دکتر آهنی با اشاره به این که به موجب آییننامه معاملات دولتی، مناقصهگر باید مبلغ پیشنهادی خود را در پاکت لاک و مهر شده تسلیم کند، افزود: فلسفه این ضابطه، حفظ اصالت و محرمانه ماندن پیشنهاد ارایه شده است و استفاده از پاکت و لاک و مهر موضوعیت ندارد؛ بنابراین اگر در شیوه الکترونیکی نیز این هدف قابل دستیابی باشد، نظر قانونگذار تامین شده است.
وی اظهارداشت: از نظر فنی، استفاده از امضا و نوشته دیجیتال اصالت و محرمان ماندن پیام را تضمین میکند، قانون تجارت الکترونیکی امضاء و نوشته الکترونیکی را معادل امضاء و نوشته دستی میداند، هر چند این قانون در مورد پارکت و مهر نصی ندارد؛ اما با سکوت قانون، قواعد حقوقی به شرح گفته شده تفسیر میشوند .
البته امضا های دیجیتال می تواند به صورت های مختلف باشد: مثلا گرافیکی ، غیر گرافیکی ، فانتزی و ....
برای مثال کاراکتر های زیر مجموعا یک امضای دیجیتال غیر گرافیکی را تشکیل می دهند: ….........
با توجه به معایب ذکر شده ، استفاده از ترکیب کلید متقارن ونامتقارن برای رمزنگاری مناسب به نظر میرسد.
بدین ترتیب که متن پیام را با کلید متقارن رمزنگاری کنیم چون بسیار سریعتر از رمزنگاری با کلید عمومی است،اما باید محیطی امن برای به اشتراک گذاری کلید محرمانه را ایجاد کنیم.
برای رفع این مشکل به ترتیب زیر عمل می کنیم: - تهیه چکیده پیام - امضاء چکیده پیام با کلید خصوصی ارسال کننده (مشخص کننده هویت ارسال کننده پیام) - استفاده از امضاء دیجیتال به عنوان کلید محرمانه (چون دریافت کننده وارسال کننده پیام، از آن اطلاع دارند و نیازی به تهیه کلید دیگر نیست وهمچنین ارسال اطلاعات اضافی کاهش می یابد.) - رمز نگاری پیام با کلید متقارن (امضاء دیجیتال) - امضاء (رمزنگاری) امضاء دیجیتال با کلید عمومی دریافت کننده.(برای مخفی ماندن کلید محرمانه) - ارسال پیام این ترکیب امنیت بیشتری در مقابل استراق سمع کنندگان، کپی های ناخواسته،اثبات هویت فرستنده واثبات درستی پیام را فراهم می کند.
۸- نتیجه گیری : در این مقاله روش جدیدی برای امن کردن وجلوگیری از دسترسی غیر مجاز معرفی شده است.
این روش (بند ۶) مشکلات روشهایی قبلی که همان استراق سمع، اثبات هویت فرستنده (که در تجارت بسیار حایز اهمیت است)را حل میکند وهمچنین باعث حذف ردوبدل کردن اطلاعات اضافی می شود.
یک کار برد امضاء دیجیتال به گفته سازندگان 30Gigs.com، این سایت با هدف فراهم نمودن هر آنچه که مدیران سایتها و کاربران حریص اینترنت از یک ایمیل احتیاج دارند طراحی شده است.
طبق مطالب نوشته شده در صفحه "About Us " سایت، استفاده کنندگان می توانند علاوه بر بارگذاری (Upload) فایلهای خود با هر فرمتی در اشتراکشان ، برای ایمیل خود یک امضاء دیجیتال انتخاب نموده و یا بصورت ناشناس اقدام به ارسال ایمیل نمایند.
"هدف نهایی ما آن است تا به مرور زمان ظرفیت ایمیل ها را به 50 گیگابایت و پس از آن به 100 گیگابایت برسانیم.
با توجه به آنکه سایت 30Gigs.com هم اکنون در مراحل آزمایشی خود به سر می برد از کلیه مشترکانمان می خواهیم تا برای تبدیل شدن به بهترین سرویس دهنده خدمات ایمیل رایگان به ما کمک نمایند.
ما برای تمام کاربران خود یک فضای 30 گیگاباتی جهت بارگزاری فایلهایشان اختصاص داده ایم ضمن آنکه آنها می توانند از امضاء دیجیتال بصورت GD2 که مانع از ارسال اسپم توسط روباتها برای آنها می شود استفاده نمایند.
همچنین ما برای شما برخی دیگر امکانات اختصاصی را نیز قرار داده ایم مانند ارسال ایمیل به دیگران بصورت ناشناس و با هر نامی که دوست دارید." از آنجا که این سرویس مراحل آزمایشی خود را می گذارند، به تقلید (!) از گوگل (GMail) عضویت در آن فعلاً تنها از طریق دریافت دعوتنامه امکان پذیر است.
با توجه به آنکه دیگر این روزها بسیاری از شرکتها با وعده ارائه چندین گیگ فضای رایگان به کاربران هر روز آنها به سوی خود وسوسه می کنند اما معمولاً دوام چندانی ندارند، پیشنهاد می شود فرصت بدست آمده را از دست ندهید.
امضای دیجیتالی از دید برنامه نویسی در یک امضای دیجیتالی سه دسته اطلاعات وجود دارد: هویت تولید کننده نرم افزار، هویت منبع تایید کننده (سازمانی که امضاء را صادر کرده) و یک عدد رمز برای تایید این مطلب که محتویات نرم افزار دستکاری نشده است.
اگر می خواهید برای وب محتویات فعال بنویسید باید یک گواهینامه کد تعیین اعتبار برای خود دست و پا کنید تا بتوانید برای نرم افزار های خود امضای دیجیتالی بگیرید.
اگر فقط برای اینترنت برنامه می نویسید نیازی به این مراحل ندارید چون سطح امنیتی در آنها معمولا پایین است و نیازی به امضای دیجیتالی وجود ندارد.
اگر صرفاً برای شرکت خود نرم افزار می نویسید می توانید از گواهینامه آن استفاده کنید.
اما توصیه می شود خودتان هم این گواهینامه را بگیرید.
چندی است که گوگل به سخاوت خود افزوده است و هزاران دعوتنامه رایگان جی میل را بین علاقه مندان به استفاده از این سرویس منتشر ساخته است.
احتمالاً شما نیز برخی از امضاء های دیجیتال ساخته شده برای جی میل را در اینترنت دیده اید و افسوس آنرا می خورید که تواناییتان در کار با فتوشاپ آنقدر نیست که برای خود چنین طرح زیبایی را بسازید!
برای همین منظور اخیراً برخی از سایتها دست به اقدامی جالب زده اند: Gizmo Playtime NHacks تفاوت این سایتها در آن است که Playtime اجازه دانلود نمودن سورس کدها را نیز به شما می دهد.
استفاده از هر یک از سایتهای ذکر شده بسیار آسان می باشد، شناسه خود در جی میل را وارد نمایید و سپس دکمه "Create" را کلیک کنید، اندکی بعد امضاء دیجیتال شما بصورت یک فایل تصویری با پسوند png.
قابل دریافت است.
یکی از مزیتهای استفاده از چنین طرحی بجای نوشتن مستقیم آدرس ایمیل خود در سایتهای گوناگون، عدم شناسایی آن توسط نرم افزار های ارسال کننده هرزنامه است.چندی است که گوگل به سخاوت خود افزوده است و هزاران دعوتنامه رایگان جی میل را بین علاقه مندان به استفاده از این سرویس منتشر ساخته است.
یکی از مزیتهای استفاده از چنین طرحی بجای نوشتن مستقیم آدرس ایمیل خود در سایتهای گوناگون، عدم شناسایی آن توسط نرم افزار های ارسال کننده هرزنامه است.