PKI چیست

PKI که مخفف عبارت Public Key Infrastructure است در زبان فارسی با ترجمه زیرساخت کلید عمومی از آن صحبت می شود. زمانی که یک شرکت، سازمان و یا نهاد بخواهد استناد پذیری را به مراحل فرآیند امور جاری خود اضافه کند، PKI به کمکشان می آید تا اسناد آن مجموعه را امن کنند. راه حلی که تا به امروز غالباً در فضای دیجیتال برای امن کردن اطلاعات مورداستفاده قرار گرفته است، استفاده از امضای دیجیتال و راه کارهای مشابه آن است که اساس و پایه آنها بر رمزنگاری نامتقارن است. در حوزه رمزنگاری نامتقارن مفاهیمی به نام کلید خصوصی و کلید عمومی وجود دارد که با استفاده از این دو کلید میتوان عملیات رمزنگاری و صحت سنجی اطلاعات را انجام داد.

با داشتن گواهینامه دیجیتال، کاربران وب سایت یا کاربران سرویس ها و خدمات متوجه می شوند که ما امنیت را در کارهایمان رعایت کرده ایم و طبیعتاً اعتماد بیشتری به خدمات ما پیدا خواهند کرد. ما می توانیم برای خودمان Certificate صادر کنیم اما نکته در اینجاست که فقط و فقط این Certificate را خودمان قبول داریم و برای دیگران که غیرمعتبر است، صدور گواهینامه دیجیتال را باید مرجعی انجام دهد که از دید همگان مورد اعتماد است و در اینترنت یک امین به حساب می آید. اما از Certificate های من درآوردی خیلی استفاده می شود و در اصطلاح فنی به آن Self-Signed Certificate یا Certificate خود تأیید شده اطلاق می شود. اگر سیستم گلستان دانشگاه پیام نور را به خاطر داشته باشید بعد از ورود به صفحه Login با یک پیام خطای قرمز رنگ مواجه می شدیم، این خطای قرمز رنگ یعنی سیستم جامع گلستان از یک گواهینامه خود امضا شده داخلی استفاده می کند که فقط برای همان دانشگاه معتبر است و در اینترنت اعتباری ندارد و اگر کسی با این سیستم تعامل کند خودش ریسک از دست رفتن محرمانگی اطلاعاتش را بر عهده می گیرد.

در سال ۱۹۷۶ افشاء عمومی الگوریتم های کلید نامتقارن و تبادل کلید امن توسط Diffe، Hellman، Rivest، Shamir و Adleman ارتباطات امن را کاملاً تغییر داد. همراه با گسترش بیش تر ارتباطات الکترونیکی دیجیتال دارای سرعت نیاز به روش هایی که در آن کاربران می توانستند بطور ایمن با همدیگر ارتباط برقرار کنند مشهود شد، حال هدف پیدا کردن روش هایی بود که کاربران می توانستند از کسی که با او تعامل دارند اطمینان حاصل کنند. پروتکل های رمز نگاری مناسب ابداع شدند و در چارچوب اصول رمزنگاری جدید با توانایی بهره بری مؤثر تحلیل شدند. با ابداع شبکه جهانی وب و گسترش سریع آن، نیاز به احراز هویت و ارتباط امن روز به روز بیش تر شد. دلایل تجاری به تنهایی کافی بودند. ساختار PKI برای سایت ها و کاربران وبی که خواستار ارتباطات ایمن بودند، ایجاد شد. فروشندگان و کارآفرینان، متوجه احتمال یک بازار بزرگ و شرکت های تازه به کار شدند و به منظور تحریک برای به رسمیت شناختن قانونی و حفاظت از مسئولیت، شروع به کار کردند.

قوانین تصویب شده و مقررات مصوب متفاوت است و مشکلات فنی و عملیاتی در تبدیل طرح PKI به بهره برداری تجاری وجود دارد و پیشرفت های، به مراتب کندتر از تصور پیشگامان این امر بوده است. در سال های اولیه قرن ۲۱، مهندسی رمز نگاری اساسی، به وضوح برای استقرار به طور صحیح آسان نبود. روش های عامل دستی یا اتوماتیک برای طراحی به طور صحیح آسان نبودند. استانداردهای موجود کافی نبودند. فروشندگان PKI بازاری برای خود پیدا کردند اما کاملاً همان بازاری که در رویای خود در اواسط دهه ۹۰ میدیدند، نبود و آهسته تر از روش های متفاوت نسبت به آنچه که پیش بینی می شد، رشد میکرد. زیرساخت های کلید عمومی، برخی از مشکلاتی را که با آن مواجه بودند، حل نکرده اند و فروشندگان بزرگ از کسب و کار آن بیرون رفته اند یا توسط دیگران سهام آنها خریداری شده است. زیر ساخت کلید عمومی تا به حال بیش ترین موفقیت را در پیاده سازی های دولتی به دست آورده است. بزرگترین پیاده سازی PKI تا این تاریخ، مربوط به زیرساخت کلید عمومی آژانس سیستم های اطلاعاتی دفاع یعنی DISA برای برنامه دسترسی مشترک به کارت ها می باشد.

گواهینامه های دیجیتال را مراکز صدور گواهینامه دیجیتال صادر می کنند که در اصطلاح فنی ما به آنها Certificate Authority می گوییم، دقت کنید که این مراکز صدور گواهی دیجیتال می توانند هم بصورت عمومی معتبر باشند و هم بصورت خصوصی برای مثال شما می توانید Certificate Authority راه اندازی کنید که درون شرکت ملی نفت ایران باشد و گواهینامه هایی که صادر می کند فقط در این شرکت معتبر هستند اما برای مثال این گواهینامه های دیجیتال برای مرکز آمار ایران غیر معتبر هستند و از طرفی شما می توانید Certificate Authority داشته باشید که در سطح کل کشور کار کند و برای مثال گواهینامه رانندگی شما که قطعاً خود این گواهینامه نیز دارای کلیدهای رمزنگاری است در کل کشور اعتبار دارد. زیرساخت کلید عمومی PKI مجموعه ای متشکل از سخت افزار، نرم افزار، افراد، سیاست ها و دستورالعمل های مورد نیاز برای مدیریت، توزیع، استفاده، ذخیره و ابطال گواهی های دیجیتال میباشد. در رمزنگاری ،PKI مقدمه ای است برای الصاق کلید عمومی به هویت کاربر، که با استفاده از یک مرکز صدور گواهی CA انجام می گیرد. هویت کاربر باید برای هر CA یکتا باشد. نسبت دادن کلید عمومی به هویت افراد مطابق با یک روند ثبت و صدور انجام میشود، که بر اساس سطح تضمین لازم ممکن است توسط یک نرم افزار در CA انجام شود یا با نظارت انسان باشد. مسئولیت تضمین درستی در PKI بر عهده مرکز ثبت نام RA است. مرکز ثبت نام، اطمینان میدهد که کلید عمومی به گونه ای به فرد مورد نظر الصاق شده است که عدم انکار را تضمین می کند.

رمزنگاری کلید عمومی تکنیک پنهانی است تا کاربران را قادر به ارتباط امن بر روی یک شبکه عمومی ناامن سازد و به طور قابل اعتماد، هویت کاربر را با استفاده از امضای دیجیتال بررسی کند. زیرساخت کلید عمومی PKI یک سیستم برای ایجاد، ذخیره سازی و توزیع امضاهای دیجیتال میباشد که به منظور بررسی یک کلید عمومی منحصربه فرد متعلق به نهاد خاص مورد استفاده قرار می گیرد. زیرساخت کلید عمومی گواهی های دیجیتال را که حاصل نگاشت کلیدهای عمومی به هویت افراد است، ایجاد کرده و این گواهی ها را در یک مخزن مرکزی، به طور امن نگهداری می کند و اگر لازم باشد، آنها را باطل میکند.

زیرساخت کلید عمومی از موارد زیر تشکیل شده است:
• مرکز صدور گواهی CA که هر دو، گواهی های دیجیتال را صادر و تأیید می کنند
• مرکز ثبت نام گواهی که هویت کاربرانی متقاضي اطلاعات از CA را بررسی میکند
• راهنمای مرکزی. به طور مثال، مکانی امن برای ذخیره و نمایه سازی کلیدها
• سیستم مدیریت گواهی

وظیفه اصلی مرکز صدور گواهی امضای دیجیتالی کلید عمومی مربوط به هر کاربر و انتشار آن است. این کار با استفاده از کلید خصوصی مرکز صدور گواهی انجام می شود بنابراین اعتماد به کلید کاربر، متکی به اعتماد به درستی کلید مرکز صدور گواهی است. ساز و کاری که کلیدها را به کاربران الصاق میکند، مرکز ثبت نام RA نامیده میشود که ممکن است از CA جدا باشد یا نباشد. الصاق کلید به کاربر بسته به سطح اطمینان لازم در آن، توسط نرم افزار یا تحت نظارت انسان صورت میپذیرد. ممکن است برای مرکز صدور گواهی CA عبارت طرف سوم قابل اعتماد TTP نیز بکار رود. علاوه بر این، زیرساخت کلید عمومی اغلب خود به عنوان مترادف برای پیاده سازی مرکز صدور گواهی استفاده می شود. این نگرش شامل سروری است که به عنوان یک مرکز صدور گواهی آنلاین، درون یک سیستم شناسایی یگانه عمل می کند. یک سرور شناسایی یگانه، گواهی های دیجیتال را برای کاربران سیستم صادر خواهد کرد، اگرچه هرگز آنها را ذخیره نخواهد کرد. کاربران می توانند برنامه ها و غیره را با گواهی های موقت اجرا کنند. استفاده از این راهکار به طور متنوع در گواهی های مبتنی بر x.509 متداول است.

زیر ساخت های کلید عمومی یک نوع از هر یک از فروشندگان مختلف، استفاده های بسیاری دارند، از جمله فراهم کردن کلیدهای عمومی و الصاق آن ها به هویت کاربران که برای موارد زیر استفاده می شوند:
• رمز گذاری یا احراز اصالت فرستنده پیام پست الکترونیکی
• رمز گذاری یا احراز اصالت سندها برای مثال امضای XML یا استانداردهای رمزدار کردن XML، به شرطی که سندها مانند XML رمز شده باشند
• احراز اصالت کاربران به برنامه های کاربردی
• راه اندازی پروتکل های ارتباطات امن، از جمله تبادل کلید اینترنت IKE و SSL در هردوی آنها، راه اندازی اولیه یک کانال امن با استفاده از روش های کلید نامتقارن انجام میشود در حالی که ارتباطات حقیقی، از روش های کلید متقارن سریع تر استفاده میکنند.
• امضاهای سیار، امضاهای الکترونیکی هستند که با استفاده از یک دستگاه تلفن همراه ایجاد میشوند و به امضاها یا خدمات مربوط به گواهی در یک محیط مخابراتی مستقل از مکان، تکیه می کنند.
• رابط اندازه گیری جهانی UMI استاندارد باز که در ابتدا توسط مشاوران کمبریج برای استفاده در دستگاه/ سیستم های اندازه گیری هوشمند و اتوماسیون خانگی ایجاد شد و از یک زیر ساخت PKI برای امنیت خود بهره می برد.

تکنولوژی PKI خلاصه شده عبارت Public Key Infrastructure می باشد که از این تکنولوژی جهت رمزنگاری Data انتقالی بین کامپیوتر ها و شبکه ها استفاده می شود. این تکنولوژی به روش رمز نگاری نامتقارن یا Asymetric Cryptography معروف است. در این روش 2 کلید مجزا جهت رمز نگاری وجود دارد و استفاده می شوند که عبارتند از Public Key و Private Key. از مهمترین کاربرد های PKI ایجاد زیرساخت امنیتی جهت ساختن امضاهای دیجیتالی Digital Certificates و گواهینامه های دیجیتالی Digital Certificates می باشد که برای اهراز هویت کاربران و Encrypt شدن Data انتقالی بین آنها و سرویس در حال استفاده مورد استفاده قرار مي گيرد. حال وارد بحث و توضیح 2 کلید PKI و چگونگی استفاده و کاربرد آنها می شویم. ابتدا از Public Key شروع می کنیم که همانطور که از اسم آن معلوم است این کلید یک کلید عمومی بوده و برای باز کردن رمز نگاری اطلاعات ما بکار نمی رود زیرا با این کار امنیت شما زیر س‍وال خواهد رفت بلکه برای رمز نگاری کردن یا Encrypt کردن Data ما کاربرد دارد. Private Key هم که یک کلید خصوصی است برای گشودن رمز نگاری یا Decrypt کردن Data ما استفاده می شود. اصولاً PKI در زیر ساخت امنیتی یک شبکه نقش بسزایی دارد و از یک تکنیک خاص امنیتی جهت ایجاد ارتباط امن بین مبدأ و مقصد استفاده می کند که به این تکنیک Cryptography می گویند.

در گذشته زمانی که سندی صادر می شد، شخصی آن را به صورت سنتی و دستی امضا می کرد و آن سند در سیستم به صورت کاغذی وجود داشت. این شیوه انتقال پیام ها چند مشکل بزرگ داشت، اولی امکان جعل اسناد و تغییر محتویات آن و یا وارد شدن یک سند تقلبی به سازمانی بود که تشخیص اصلی بودن یا نبود آن در سیستم سنتی بسیار سخت یا زمان بر بود. همچنین گاهی پیش می آمد فردی که واقعاً سندی را امضا کرده بود، در مواقع حساس منکر آن می شد و ادعا می کرد آن امضا جعل شده است. درنتیجه امضای دیجیتال و راهکار زیرساخت کلید عمومی برای حل این مسائل مطرح شد تا توکنی در اختیار افراد صاحب امضا در سازمان ها، قرار داده شود که حکم امضای دیجیتال و البته ابزار احراز هویت آن فرد محسوب شود. یکی از مزایایی که استفاده از امضای دیجیتال دارد، این است که اگر محتویات آن پیام تغییر کند، مشخص میشود و اساساً چون کلید خصوصی دست فرد صاحب امضا است، میتوان مطمئن شد که کسی غیر از او آن سند را امضا نکرده است. همچنین اگر فرد امضاکننده منکر امضای خود شود، تنها حالتی که میتوان این ادعا را از او پذیرفت این است که دسترسی او را از سامانه گرفته باشند. مدیر امنیت فناوری اطلاعات شرکت رادین یکی دیگر از کاربردهای مهم استفاده از زیرساخت کلید عمومی را در آرشیو و مدیریت اسناد عنوان کرد. به طور کلی اگر سازمانی بخواهد به سمت استناد پذیری امن حرکت کند، بایستی یکی از الزامات آن سازمان PKI باشد.