زير ساخت کليد عمومي/ نظام مديريت امنيت داده ها(نماد) 

    Public Key Infrastructure-PKI 

    زير ساخت كليد عمومي (PKI)، معمولا به مجموعه اي از استانداردها،سيستم ها و روش هايي اطلاق مي گردد كه هدف از بكارگيري آنها، شناسايي و تعيين هويت و اعتبار اشخاصي است كه از طريق يك يا چند شبكه ارتباطي اقدام به ارسال پيام و يا انجام تراكنش هاي مالي و غير مالي مي نمايند.

    در معماري يا زير ساختار PKI كه به رمز نگاري كليد عمومي و يا رمز نگاري نا متقارن نيز مشهور است بر خلاف رمزنگاري متقارن كه از يك كليد استفاده مي گردد، دو كليد يعني کليد عمومي و كليد خصوصي استفاده مي شود و اين امر باعث مي گردد كه در تراكنش هاي روزانه طرفين از اعتماد كامل به يكديگر برخوردار شوند. در اين سيستم،‌ كاربران داراي يك كليد عمومي هستند كه مي توانند در اختيار همگان قرار دهند و كليد ديگر يعني كليد خصوصي را محرمانه نگهدارند.

     

    داده ها در اين سيستم با كليد عمومي طرف مقابل رمز نگاري شده و گيرنده پيام با كليد خصوصي خود پيام را رمزگشايي مي نمايد. اين سيستم داراي پيچيدگي هاي خاص خود مي باشد لذا بكار گيري يك تمثيل مي تواند درك آن را آسانتر نمايد.

    اساس اين سيستم بر مبناي استفاده از كليدها استوار شده است. فرض شود شخصي داراي چندين صندوق است كه داري يك كليد است و صاحب كليد از روي آن چندين كليد مشابه ساخته و در اختيار افراد مختلف قرارداده است. افراد مذكور مي توانند پيام خود را در يكي از صندوق هاي مذكور گذارده و كليدي كه در اختيار وي قرارداده شده صندوق را قفل نمايد حال هيچ شخص ديگري بجز صاحب صندوق كه داراي كليد خصوصي مي باشد قادر به گشودن صندوق نخواهد بود زيرا تنها وي صاحب و دارنده كليد خصوصي است كه همراه با كليد عمومي از مركز صدور گواهي دريافت نموده است و در اين مرحله صاحب صندوق مطمئن مي گردد كه پيام براي وي و نه شخص ديگر ارسال شده است و چنانچه وي قادر به بازكردن صندوق نباشد اطمينان حاصل مي كند كه پيام از آن وي نمي باشد. افشاي اين پيام صرفا‌ زماني ميسر است كه شخص به كليد خصوصي صاحب صندوق دسترسي پيدا كند.

    پس هر شخصي كه كليد عمومي صاحب صندوق را داشته باشد مي تواند با امنيت كامل پيام خود را ارسال و هيچ كس به جز صاحب  صندوق كه داراي كليد خصوصي (زوج كليد عمومي) است نمي تواند صندوق را باز و به مفاد پيام دسترسي پيدا كند.

    اما سؤالي كه در اينجا مطرح مي شود اين است كه صاحب صندوق با باز كردن آن مي تواند اطمينان يابد كه پيام براي او ارسال شده است  اما اين پيام از طرف چه كسي ارسال شده؟ حتي اگر يادداشتي همراه پيام گذاشته باشيد عملا اين مسئله ثابت نمي گردد كه پيام از طرف چه شخصي ارسال گرديده زيرا هر كسي كه كليد عمومي صاحب صندوق را داشته باشد مي تواند اقدام به ارسال پيام نمايد.

    باز هم فرض شود كه در داخل هر صندوق، صندوق كوچكتري قرار دارد و اگر ارسال كننده پيام بخواهد هويت خود را آشكار و پس از ارسال قادر به كتمان هويت خود نباشد مي تواند نام و هويت خود را نوشته و با كليد خصوصي خود در صندوق كوچك را قفل نمايد. در اين صورت صاحب صندوق پس از بازكردن صندوق بزرگ با كليد خصوصي خود و خواندن پيام مي تواند با كليد عمومي ارسال كننده كه در اختيار وي قرار دارد صندوق كوچك را باز كرده و از هويت ارسال كننده مطلع گردد.

    در مثال فوق همه چيز و تمامي موارد بصورت فيزيكي در نظر گرفته شده است اما در دنياي فناوري اطلاعات و در دنياي رايانه بايد معادل صندوق ها و كليدها را بكار گرفت. در اين حيطه با سيستم و فناوري بنام رمز نگاري سر و كار خواهيم داشت يعني پيام ها توسط الگوريتم هاي پنهان سازي داده ها نظير R5A بصورت رمزي در آمده و دريافت كننده با كليد خصوصي خود يعني رشته اي از كاراكتر ها، از حالت رمزي خارج و با كليد عمومي ارسال كننده پيام، هويت وي را تشخيص خواهد داد. به عبارت ديگر در اين سيستم متن هاي آشكار (Clear text) بصورت متن هاي سري (cipher text) در مي آيند.

    در برنامه هاي كاربردي بانكي پيام هاي درون بانكي و بين بانك ها از چند شبكه مختلف عبور كرده و حامل داده هاي حساس مي باشد. اين پيام ها به شدت محرمانه بوده و در هر گروه از شبكه ارتباطي مي بايد سنديت آن تصديق گردد. اين اسناد توسط ارسال كننده و با استفاده از الگوريتم هاي sha2, MD5 فشرده شده و توسط كليد عمومي دريافت كننده رمز نگاري و توسط كليد خصوصي ارسال كننده امضاي ديجيتال و ارسال مي كردد که اين اقدامات باعث مي گردد كه پيام ها داراي خصايص ذيل گردند:

    • محرمانگي:‌ اطلاعات محرمانه و خصوصي مي گردند.
    • يكپارچگي: اطلاعات در بين مسير تغيير نمي يابد.
    • اصالت:‌ارسال كننده و دريافت كننده همديگر را شناسايي مي نمايند.
    • انكار ناپذيري :‌ارسال كننده يا دريافت كننده نمي توانند ارسال و يا وصول پيام ها را انكار نمايند.

    پروژه زيرساخت کليد عمومي در سايت بانک مرکزي ج.ا.ا پياده مي شود و مرکز صدور گواهي ريشه در اين بانک پياده سازي شده و بانک ها و سازمان ها از طريق مراکز ثبت نام (RA)مي توانند براي خود، براي کارکنان مجاز و همچنين سيستم ها و برنامه هاي کاربردي خود اقدام به درخواست گواهي ديجيتال نمايند. مراکز صدور گواهي (CA) بانک مرکزي گواهي درخواستي را صادر و براي هريک از کاربران يک کليد عمومي و يک کليد خصوصي (با استفاده از کارت هوشمند ويا توکن) مي نمايند. بانک ها نيز مي توانند براي مشتريان خود از مراکز صدور گواهي درخواست گواهي ديجيتال نمايند. امضاي ديجيتال مانند امضاي سنتي نيست بلکه عدد بزرگي است که بصورت رمز و کد درآمده است. اين عدد در حقيقت عددي انحصاري است که به متقاضي ارائه مي گردد. کارشناسان حقوقي اعتقاد دارند که امضاي ديجيتال يکي از مباحث حقوق رايانه اي است و برخي معتقدند که تاخير در عملياتي شدن پول الکترونيکي و تجارت الکترونيکي به دليل عدم برخورداري از امضاي ديجيتال است.

    از سوي ديگر جاي يک نهاد تاثيرگذار مثل سيستم بانکي که يکي از ارکان تجارت است و الکترونيکي شدن و استفاده از امضاي ديجيتال باعث محقق شدن تجارت الکترونيکي مي شود در اين زمينه  بسيار خالي است. البته موضوع حضور نداشتن بانک ها به خصوص بانک مرکزي در مرکز صدور گواهي ديجيتال موضوعي مهم بود. پيش از اين مقرر گرديده بود که بدليل صرفه جويي مرکز ريشه وزارت بازرگاني و مرکز ريشه بانک مرکزي مورد بررسي قرار گيرد و هرکدام از اين مراکز که از استانداردهاي امنيتي بهتري برخوردار بود به عنوان مرکز ريشه اصلي دولت در صدور گواهي ديجيتال در نظر گرفته شود. درنهايت وزارت بازرگاني موفق شد عنوان مرکز ريشه اصلي دولت را به دست آورد. از آنجايي که حضور سيستم بانکي به عنوان رکن اساسي و اصل تجارت هميشه مطرح بوده است اين موضوع در نشست هاي مشترک ميان نمايندگان بانک مرکزي و وزارت بازرگاني مطرح گرديد. سرانجام اين موضوع براي بررسي بيشتر به کمسيون اجتماعي مجلس شوراي اسلامي راه يافت و از طرف ديگر دبيرخانه شوراي عالي فناوري اطلاعات نيز پس از اين موضوع مساله را از نظر فني و کارشناسي مورد بررسي قرار داد. در نهايت تصميم بر اين گرفته شد که بانک مرکزي خود مستقلا مرکز صدور گواهي ريشه را براي خود و سيستم بانکي ايجاد نمايد.لذا پس از اين تصميم بانک مرکزي ضمن عقد قرارداد با شرکت ملي انفورماتيک، پياده سازي اين سيستم را به عهده اين شرکت قرار داد. 

    زيرساخت کليد عمومي و مرکز گواهي ديجيتال در يک نگاه  
    نام فارسي  زيرساخت کليد عمومي و مرکز گواهي ديجيتال بانک مرکزي ج.ا.ا  
    نام لاتين  CBI Public Key Infrastructure / Certificate Authority  
    نام اختصاري فارسي  نماد (نظام مديريت امضاي ديجيتال)  نام اختصاري لاتين  CBI PKI/CA 
    کاربرد  تضمين امنيت، اصالت و انکارناپذيري تراکنش هاي مالي  
    تاريخ قرارداد  7/2/1389  تاريخ آغاز پروژه  7/2/1389  
    تاريخ خاتمه پروژه  خرداد ماه 1390