در رمزنگاری یک مرجع صدور گواهی دیجیتال یا certification authority یا CA یک شخص حقیقی یا حقوقی است که گواهی های دیجیتال ،گواهی های کلید عمومی را صادر میکند. گواهی دیجیتال تضمین میکند که موضوع گواهی مورد نظر ما به اسم همان صاحبی است که در آن گفته شده است. این گواهی به دیگران که بر اساس این گواهی کار میکنند، اجازه میدهد که به امضاءها و بیانیه هایی که بر اساس کلید خصوصی گواهی یاد شده تولید شده اند اطمینان کنند. در این مدل ارتباط با اعتماد، یک مرجع صدور گواهی دیجیتال CA ،شخص ثالث مورد اطمینانی است که از سوی هر دو سمت گواهی موضوع یا همان صاحب گواهی و شخص اعتمادکننده به گواهی معتمد به حساب می آید. گواهی ها مشخصه هایی از طرح های گواهی دیجیتال (PKI) هستند. در یک طرح زیرساخت کلید عمومی Public Key Infrastructure یا PKI امضا از طرف مرجع صدور گواهی دیجیتال Certificate authority یا CA است.
صادر کننده گواهینامه امنیتی یا همان CA، سازمانی است که اعتبار و اطمینان لازم جهت صدور گواهینامه های امنیتی دیجیتال را کسب نموده است. CA هویت و قانونی بودن شرکت و یا شخص درخواست دهنده یک گواهینامه امنیتی را بررسی می کند و در صورت تأیید، یک گواهینامه برای وی صادر می نماید. زیرساخت کلید عمومی اجزای اساسی دارد که بخشی از آن HSM و CA هستند. فرد امضاکننده در یک سازمان بر اساس گواهینامه امنیتی که از طرف آن سازمان دریافت میکند، نقش امضاکننده را دارا است. در واقع مراکز CA یا احراز هویتی در دنیا وجود دارند که مرجع صدور امضاهای دیجیتال هستند. در ایران نیز به طور مثال یکی از مراکز، مرکز ریشه است که این کار را انجام میدهد. مرکز دولتی صدور گواهی الکترونیکی ریشه به صورت سلسله مراتبی این امضاها را تأیید میکند. افراد با توکنی که به آنها داده میشود، میتوانند وارد سامانه شوند و همیشه از همان امضا استفاده کنند. درنتیجه اساساً اگر فردی امضای دیجیتالی را انجام دهد که از طریق گواهینامه امنیتی آن سازمان نبوده باشد، در دنیا جایگاهی ندارد. همچنین زنجیره ای که از گواهی ریشه تا گواهی کاربر نهایی وجود دارد، زنجیره اعتماد نام دارد.
زیرساخت کلید عمومی در کل سه مزیت اصلی دارد؛ اول اینکه مطمئن می شویم پیامی که دریافت کرده ایم از شخص موردنظر به ما رسیده است. دوم اینکه هیچ تغییری در پیام ایجاد نشده و سوم اینکه تنها آن شخصی که پیام را دریافت میکند میتواند پیام را مشاهده کند. باتوجه به این سه مزیت اپلیکیشن های مختلفی قرار می گیرند که یکی از آنها احراز هویت یا به نوعی KYC است، دقیقاً مکانیسم بلاکچین نیز بر اساس مفاهیم PKI است. درواقع کیف پولی که داریم، یک زوج کلید عمومی و خصوصی است و زمانی که تراکنشی انجام دهیم، داریم آن تراکنش را به کمک کلید خصوصی امضا میکنیم. در این صورت مانند مفهوم PKI، دیگران مطمئن میشوند که این پیام از طرف ما بوده و میتوانند با آدرس کیف پول که در واقع از روی کلید عمومی ما ساخته شده است؛ ما را شناسایی کنند و مالکیت بیتکوین را مشخص کنند.
یکی دیگر از کاربردهای PKI که بلاکچین نیز از آن استفاده میکند، بحث احراز هویت مبتنی بر کلید عمومی و خصوصی است. یکی از کاربردهای قدیمی زیرساخت کلید عمومی را در وبسایت هایی که بر اساس اعتماد هستند از پروتکل SSL استفاده میکنند حال کاربرد دیگری که PKI دارد، بحث Web of Trust است. در واقع یعنی دو کاربر در محیط وب بتوانند بین خود اعتماد ایجاد کنند که در این بخش، موضوع اعتماد نقطه به نقطه مطرح است و بیشترین کاربردش نیز در ارسال ایمیل بین دو کاربر از طریق تبادل کلیدهای عمومی یکدیگر است. درنتیجه میتوان گفت که کاربرد اصلی PKI در صدور گواهی و احراز هویت است اما کاربرد دیگر آن رمزگذاری است.
Certificate Authority یک کامپیوتر یا سازمان است که وظیفه ایجاد و صادر کردن digital certificates را دارد که شامل اطلاعات هویتی در مورد یک دستگاه است مثل IP آدرس، fully qualified domain name یا FQDN و کلید public آن دستگاه است. CA درخواست را از دستگاه دریافت می کند و digital certificate را ایجاد می کند و به آن یک serial number اختصاص می دهد و همینطور این certificate را با digital signature خود تأیید کرده است. همچنین تاریخ اعتبار گواهی نامه و مشخصات صادر کننده در آن مشخص شده است. با استفاده از certificate authority مورد اعتماد، مبدأ و مقصد می توانند certificates یکدیگر را دریافت و بررسی کنند و تا زمانی که امضای CA را به همراه داشته باشد مورد تأیید مبدا و مقصد است. برای استفاده از CA تجاری نیاز به پرداخت هزینه وجود دارد. یکی از مزایای استفاده از CA تجاری، برای گرفتن digital certificates برای دستگاه خود این است که اکثراً مرورگر ها در خود لیستی از این CA ها را دارند درنتیجه هر کسی که از این مرورگرها استفاده کند می تواند هویت دستگاه شما را، بدون نیاز به هیچ تغییری روی دستگاه خود مورد بررسی قرار دهد. یک سازمان می تواند CA خود را داشته باشد و تمام end devices خود را تنظیم کند تا به certificate های صادر شده توسط این CA اعتماد داشته باشند و در این صورت دیگر نیاز به استفاده از CA های تجاری نیست اما استفاده از این CA ها محدود به آن سازمان و دستگاه های آن می باشد.
یک مرجع صدور گواهی دیجیتال، گواهی های دیجیتالی صادر میکند که شامل یک کلید عمومی و هویت صاحب آن است. کلید خصوصی متناظر به این سادگی در اختیار همه گذاشته نمی شود، و توسط کاربرِ مقابل که کلید برای آن تولید شده است مخفی می ماند. گواهی نیز به نوبه خود، تأیید یا اعتباری است از سوی مرجع صدور گواهی دیجیتال، به طوری که بیان میدارد کلید عمومی ذکر شده در گواهی متعلق به شخص، ارگان، سرویس دهنده یا هویتی که در گواهی به آن اشاره شده است. تعهد یک مرجع صدور گواهی دیجیتال برای طرح بیان شده در بالا، تضمین و مهر تأئیدی است برای استفاده کنندگان از گواهی، به طوری که کاربران و شخصیت هایی که بر اساس گواهی کار می کنند بتوانند به اطلاعات منتقل شده بر اساس گواهی مذکور اعتماد کنند. مراجع صدور گواهی دیجیتال از استانداردها و آزمون های بسیاری برای منظور فوق استفاده می کنند.
مرکز صدور گواهی CA، مراکزی امین و دارای اعتبار می باشند که وظیفه مطابقت کلیدهای عمومی یک شخص برای تأیید هویت و شناسایی آن شخص را دارند و مشخص می کنند که این کلید خاص متعلق به شخص خاصی است. در این مراکز گواهینامه ها صادر، باطل و یا تمدید می شوند. زمانی که یک مرکز CA، شخص یا سازمانی را تأیید می کند، آنگاه کلید عمومی با کلید خصوصی مرتبط با آن از طریق مرکز امنی مطابقت داده می شود. درگواهینامه های دیجیتالی، امضای دیجیتالی صادرکننده گواهی و همچنین نام صادرکننده گواهی از مراکز CA وارد می شود، که دارابودن این ویژگی، ضمانت مورد نیاز را در رابطه با اینکه این کلید عمومی متعلق به این شخص هست را تأمین می کند. بنابراین معتبربودن افراد نیز توسط CA تأیید می شود.
در واقع این مراکز با تأیید هویت شخص یا سازمان اقدام به صدورگواهینامه می کنند. بنابراین با درخواست گواهینامه از طرف شخص یا سازمان، دو کلید عمومی و خصوصی از طرف مرکز CA به آنها تحویل داده می شود، که توسط مشخصات شخص یا سازمان و کلید عمومی، مراکز CA گواهینامه ای صادر می کنند که مشمول امضای صادرکننده گواهی، مشخصات شخص یا سازمان و تاریخ اعتبار آن گواهی می باشد. در این میان، کلید خصوصی توسط شخص یا سازمان در مکان امنی نگهداری می شود.
. مرکز صدور گواهی CA شامل قسمت های مختلفی می باشد که عبارتند از :
۱. Root CA مرجع صدور گواهی ریشه: در Root CA ، هیچ شخصی قادر نخواهد بود به کلیدهای خصوصی دسترسی پیدا کند، بنابراین مسئولیت اعطای گواهی دیجیتالی را به CA واگذار می کند.این مرکز، امنیت فوق العاده بالایی دارد. در واقع مرکز صدور گواهی ریشه، وظیفه صدور گواهی برای مراکز میانی را بر عهده دارد.
۲. Intermediate CA مرکز صدور گواهی میانی: CA گواهینامه ای از طرف مرکز صدور ریشه را دارد، همچنین CA مسئولیت صدور گواهینامه را برای درخواست کنندگان گواهی را عهده دار می باشد که هویت آنها توسط دفاترثبت نام تأیید شده است.
. وظایف مرکز صدور گواهی CA:
۱. تولید گواهی
۲. انتشارگواهی
۳. ابطال گواهی
۴. تمدید گواهی
۵. تدوین سیاستهای امنیتی را به عهده دارند.
. مراکز صدور گواهی دیجیتالی، در زمینه گواهی ها، اهدافی را دنبال می کنند که عبارتند از :
۱. تولید و ارائه گواهینامه های الکترونیکی برای تبادلات تجارت الکترونیک
۲. تدوین آیین نامه های مرتبط با مدیریت گواهی دیجیتالی تولید شده
۳. تأمین امنیت مورد نیاز در فضای الکترونیکی
۴. ترویج فرهنگ استفاده از هویت الکترونیکی
۵. ارائه خدمات به دفاتر ثبت گواهی الکترونیکی RA که درخواست گواهینامه را از طرف کاربر ثبت کرده و آن را به CA اطلاع می دهد و پس از صدور گواهی الکترونیکی توسط CA ، آن را به کاربر تحویل می دهد.
. وظایف دفاتر ثبت نام RA دفاتر ثبت نام وظایفی از قبیل :
۱. دریافت درخواست گواهی الکترونیکی
۲. دریافت و بررسی درخواست تمدید گواهی
۳. دریافت و بررسی درخواست ابطال گواهی
۴. تأیید هویت
۵. ارسال درخواست به مرکز صدور گواهی
۶. دریافت گواهی از CA و تحویل آن به صاحب امضا را بر عهده دارد.