گواهینامه

دیجیتال

مقدمه

1/82

فهرستانواع تجارتالزمه تجارت امن انواع حمالت اينترنتیسرويس های امنيتی رمزنگاریالگوريتم های متقارنالگوريتم های نامتقارنتوابع درهم سازیامضاء ديجيتالگواهی ديجيتال مرکز صدور گواهیدفتر ثبت نام

تجارت سنتي •

تجارت الکترونيک •1/82

انواع تجارت

1شکل

تجارت سنتي

مکتوب بودن اصل بودن ممهور بودن مذاکره حضوری و

امضای اسناد

2شکل

2/82

تجارت الکترونيک

ویژگیها• عدم امکان برگزاری جلسات حضوری–تشخیص – برای افراد توانایHHی عدم

صحت ادعاها و اسناد به روش سنتی

3/82

تجارت الکترونيک - ادامه

از موارد بايد و ارسال کنندهدريافت كننده • :دنحاصل كن اطمينانزیر

احراز هویت طرف مورد نظر–عدم دسترسی غیر مجاز به اطالعات در –

هنگام ارسال عدم توانایی در تغییر اطالعات توسط –

افراد غیر مجاز

4/82

فرآيند احراز هويت

احرازهويت در تجارت سنتي• شناسنامه، پاسپورت،گذرنامه، گواهينامه –

... Hرانندگي، امضاء

احرازهويت در تجارت الکترونيک• گواهي ديجيتال، امضاي ديجيتال–

5/82

6/82

امنیتيجلوگيری ازحمالت(Security Attacks)

تامين سرويسهاي امنيتي(Security Services)

استفاده ازسازوکارهاي امنيتي(Security Mechanism)

الزمه تجارت امن

4شکل

7/82

انواعحمالت امنيتي

(Security Attacks)

قطعInterruption

دسترسي غيرمجازInterception

دستكاري داده ها

Modification

ايجاد پيغام Fabrication

5شکل

ارسال اطالعات به شکل امن

سيستم مبدأسيستم مقصد

8/82

6شکل

سيستم مبدأ سيستم مقصد

قطعInterruption

9/82

7شکل

سيستم مبدأسيستم مقصد

سيستم ثالث

دسترسي غير مجازInterception

10/82

8شکل

سيستم مبدأ سيستم مقصد

سيستم ثالث

دستكاري داده ها

Modification

11/82

9شکل

ايجاد پيغامFabrication

سيستم مبدأ

سيستم ثالث

سيستم مقصد

12/82

شکل 10

تصديق صحHت (Authentication)

تماميت(Integrity)

انكار ناپذيري (Non-Repudiation)

محرمانگي (Confidentiality)

امنيتي هاي سرويس(Security Services)

13/82

شکل 11

مواردی که سرویسهای امنیتی باید تضمین کنند

رمزنگاريencryption

تائيدهويتauthentication

مميزيauditing

اجازهauthorization

سازوکارهای يامنيت

(Security Mechanism)

شکل 12

14/82

گويند اگر و فقط اگر مشخصات زير را داشته امن پيغامي را :باشد

( Authenticationهويتشناسي :) • احراز هویت یکتای فرستنده توسط گیرنده.

( Privacyمحرمانگي :) •پيغام دادهاي تنها توسط فرستنده و ودن قابل مشاهده ب

گيرنده.

( Integrityجامعيت : ) •فرستنده بدون اين كه توسط تغيير پيغام دادهاي تنها

تشخيص داده شود .

پيغام امن

15/82

رمزنگاري

18/82

رمزنگاري

علم استفاده از ریاضیات برای رمز نمودی داده ها و •برگرداندن آن به حالت اول.

علم محقق ساختن انتقال اطالعات بر بستری نا امن.•استفاده از الگوریتمهای ریاضی جهت رمزنگاری.•رمز شدن پیغام با استفاده از یک کلید.•انتقال به گیرنده.•باز شدن پیغام با استفاده از یک کلید برای بدست •

آوردن پیام اصلی.

20/82

تاريخچه رمزنگاري

رمز نمودن پیغامها توسط ژولیوس سزار برای •فرماندهان.

عدم اعتماد به پیغام رسان.•جایگزین نمودن تمام حروف با سومین حرف بعد از •

آن..Caesar Cipherالگوریتم •

21/82

Caesar Cipher

A B C D E F G H I J K L M N O P Q R S T U V W X Y ZD E F G H I J K L M N O P Q R S T U V W X Y Z A B C

This is a testWklv lv d whvw

22/82

تاريخچه رمزنگاري - ادامه

Enigma- شکل14

استفاده گسترده آلمانهای نازی •از یک دستگاه رمزنگاری

الکترومکانیکی به نام انیگما در جنگ جهانی دوم.

.1932ساخته شده به سال •

23/82

تاريخچه رمزنگاري - ادامه

پیاده سازی ”رمزنگاری کلید عمومی“ توسط •Hellman و Diffie 1976 در سال.

پیداکردن راهی برای پیاده سازی یک کانال ارتباطی •ایمن بین دو نفر بدون نیاز به مالقات.

راهی برای استفاده از محاسبات ساده عددی بر روی •اعداد بزرگ برای توافق بر سر کلید.

24/82

تاريخچه رمزنگاري - ادامه

شکل 15

طراحی سیستم های کلید عمومی در کاربردهای • Hellmanخاص پس از نظریه رمز نگاری کلید عموم

.Diffieو بنا شدن سیستم های رمز کلید عمومی، عموما بر •

پایه ی حل ناپذیری محاسباتی یک مسأله پیچیده.

25/82

الگوريتمهايرمزنگاري

الگوريتمهاي متقارن

(Symmetric)

الگوريتمهاي نامتقارن(Asymmetric)

توابع درهم سازي

(Hash)

شکل 16

26/82

الگوريتمهاي متقارن

و • رمزنگاری برای مشترک کلید یHHک از اسHتفاده رمزگشایی.

”استاندارد رمزنگاری داده“ یا• DES(DATA ENCRIPTION STANDARD) الگوریتم از

های مشهور برای اسHتفاده در مؤسHسات مالی برای یا فرHدی هویHت شماره کردن PIN (PERSONALرمHز

IDENTITY NUMBER)

27/82

کاربرد رمزنگاری متقارناز • زيادي حجم رمزگذاري براي اسHHتفاده

اطالعات .حفHظ محرمانگHي اطالعات هنگامHي كHه همراه با •

گواهي ديجيتال استفاده گردد. امضاء • با كHه زمانHی پيغام تماميHت تضميHن

الكترونيكي استفاده گردد.

28/82

الگوریتم های متقارن

رمزنگاری

رمزگشايی

لیه او

امپی

دهزش

رمم

پیا

شکل 17

29/82

الگوریتم متقارن

آليس بابHi 3$r Hi

Hi 3$r Hi3$r

3$r

آليس باب

شکل 1830/82

مديريت كليد

كليد هاي متقارن بايد از طريق يك كانال ايمن توزيع شوند و بايد به صورت ادواري تغيير

كنند. مثال:n*(n-1)/2

تعداد افراد در ارتباط

تعداد كليد هاي مورد نياز

4 6

6 15

12 66

1000 49950شکل

19جدول

131/82

تحليل الگوريتمهاي متقارن

مزايا•سرعت باال هنگام رمزگذاري–توليد كليد بطور تصادفي و سريع–

معايب•تعدد كليدها براي اعضاي هر ارتباط–توزيع كليد بين طرفين ارتباط–

موارد استفاده•رمزگذاري حجم زيادي از اطالعات هنگام ذخيره روي –

رسانه ناامنرمزنگاري داده ها هنگام انتقال توسط رسانه ناامن–

32/82

الگوريتمهاي نامتقارن

.از دو كليد استفاده ميكنداين روش يك كليد براي رمزنگاري و ديگري براي رمز •

.گشاييدو كليد از نظر رياضي با هم ارتباط دارند به •

رمزنگاري شده با هريك قابل گونه اي كه دادهميH باشد. رمزگشايي با ديگري

هر كاربر دو كليد دارد: كليد عمومي و كليد •.HوصيHخص

33/82

لیه او

امپي

دهزش

رمم

پيا

رمزنگاری

رمزگشایی

الگوريتم هاي نا متقارنAsymmetric Algorithms

کلید 1

2کلید

شکل 20

34/82

رمزگشايی

ليه او

امپي

م پيا

دهزش

رم

رمزنگاری

شکل 21

35/82

الگوریتم های نامتقارن

کليدهای آليسکليدهای باب

Hello 3$r Hello

Hello cy7 Hello

3$r

cy7

آليس باب

آليس باب

1كليد 3كليد 4كليد 2كليد

شکل 2236/82

الگوريتمهاي نامتقارن

شکل 2337/82

تحليل الگوريتمهاي نامتقارن

مزايا•عدم نياز به توزيع و ارسال كليد–

معايب•سرعت پائين در حجم اطالعات باال–پيچيدگي توليد كليد–

موارد استفاده•در تكنولوژي امضاي ديجيتال–

38/82

تحليل الگوريتمهاي نامتقارن - ادامه

نیاز به کلید عمومی شرکت کننده جهت رمز کردن •و ارسال.

و طبیعتا نیاز به تأیید کلید عمومی شرکت کننده ها.•:تكنيك نامتقارن مهم ترین ویژگیهای •

غیر قابل انکار بودن– امضای دیجیتاHل– تأیید منبع داده ای صحیح–

39/82

توابع درهم سازي

عدم استفاده از کلید بر خالف دو الگوریتم ذکر •.Hashشده توسط تابع در هم سازی یا

انجام عمل رمزنگاری به صورت یکطرفه.•بدست آمدن یک خالصه یا دایجست یا چکیده از •

متن.

40/82

كاركرد توابع درهم سازي

ورودي خروجي

Digest

شکل 24

41/82

•Hash فرآیندی است کاهشدهنده حجم داده به بیت(.160 و یا 128یک طول ثابت)معموال

دارای عملکردی مشابه عملکرد اثر انگشت.•

توابع درهم سازي

42/82

كاركرد توابع درهم سازي

ورودي خروجي

شکل 25

43/82

توابع درهم سازیويژگی های

شکل 26

44/82

تحليل توابع درهم سازي

مزايا•عدم نياز به توليد و ارسال كليد•سرعت بسيار باال•

موارد استفاده•تضمين تماميت پيغام•

45/82

امضاء ديجيتال

46/82

امضاي ديجيتال

تعاريف و مفاهيم اوليه•نحوه بكارگيري و پوشش امنيتي•

47/82

تعريف امضا ديجيتال•

استفاده به منظور قفل کردن اطالعات – غیر قابل جعل و تغيير–استوار براساس رمزنگاري–

امضا دستي • همواره همانند به نظر آمدن– قابل جعل بودن–

شکل 2748/82

Message Hash Function

Message Digest

hashالگوريتم Message

Digital Signature

Digital Signature

کليد خصوصی فرستنده

bit Value 160 دايجست رمزشده

نحوه امضاء يك پيغام ديجيتال

شکل 2849/82

اعتبارسنجي امضاء ديجيتال

باب آليس

کليدخصوصی باب

کليد عمومی

باب

شکل 28

50/82

امضاء كردن و چك كردنThe quick brown fox... hash function 85d013f4

85d013f4 a3ff369b

The quick brown fox... a3ff369b

a3ff369b 85d013f4

The quick brown fox... hash function 85d013f4OK

The quick red fox...

The quick red fox... ad917c7f

Bad!

encrypt

كليد خصوصي باب

decrypt

كليد عمومي باب

امضاي الكترونيكي معتبر :شرایط

. شخص استفاده كنندهمختص• .قابليت تطبيق دهي دارا بودن • .تحت كنترل انحصاري شخص استفاده كننده•طوري به داده متصل شود كه اگر داده تغييركرد •

.امضا بي اعتبار شود

53/82

خدمات ارائه شده توسط امضاء ديجيتال

Authentication تائيد هويت•.اطمینان گیرنده از هویت فرستنده

Integrityتماميت•.اطمینان گیرنده از عدم تغییر در اطالعات در حین انتقال

None Repudiationانكارناپذيري•.عدم توانایی فرستنده در انکار امضا داده

54/82

امضاء الكترونيكي و محرمانگي

بسته پيغام

آليس

كليد خصوصي بابآليس

كليد عمومي باب كليد خصوصي

باب

P

كليد تصادفي كليد تصادفي

اعتبارسنجي امضاي ديجيتال

55/82

ارسال يك متن براي چند نفر

آليس

بسته پيغام

كليد عمومي باب

كليد عمومي بيل

كليد عمومي تام

كليد خصوصي باب

كليد خصوصي بيل

كليد خصوصي تام

56/82

گواهي ديجيتال

56/82

گواهينامه ديجيتال چيست؟.دهای عمومیيع کلي برای توزسازوکاری•و کليد ت ياطالعات مربوط به هوحاوی •

.صاحب آنعمومی

56/82

مروري بر گواهي ديجيتالبه را عمومHHي كليHد يHHك ديجيتال، گواهHHي مجموعه اي از اطالعات شناسHايي يHك موجوديت كليد يHك بHا عمومHي كليHد ايHن مي دهد. پيونHد به متكHي طرف مي باشد. مرتبHط خصHوصي اعتماد گواهي در موجود عمومHي كليHد صHحت مي كند. ميزان اعتماد طرف متكHي بHه يHك گواهي عوامل ايHن دارد. بسHتگي متفاوتHي عوامHل بHه شامHل روال تاييHد هويHت درخواسHت كننده گواهي، روال هاي اجرايي مركHز صدور گواهي، كنترل هاي امنيتHي، تعهدات صHاحب امضHا )ماننHد حفاظت از تعهدات مركHز صHدور گواهي و كليHد خصHوصي(

)مانند ضمانت ها و رفع مسئوليت ها( مي باشد.

56/82

حمله امنيتي

كليد عمومي تام كليد عمومي

باب كليد عمومي واقعی باب

56/82

ادامهحمله امنيتي-

آليس

كليد عمومي تام

تام

باب

كليد خصوصي تام

تغيير

كليد عمومي باب

كليد خصوصي باب

dsfsdfsdfsdfsdfsdfsdsdfsd

Tom’sFile

Tom’sFile

56/82

X.509استاندارد

تال يجين استادارد اطالعاتی که در گواهی نامه ديبر طبق ا•ر می باشد:يصادر می شود شامل موارد ز

گواهی نامه نسخه•اليشماره سر•تم مورد استفادهيالگور•صادر کننده گواهی• اعتبار بازه زمانی•د عمومی فردی که گواهی نامه برای او صادر شده يکل•

است.امضای صادر کننده گواهی نامه•ت فردی که گواهی نامه برای او صادر شده است. يهو•

ن قسمت ثبت می شود متفاوت يمشخصاتی که در ا بوده و وابسته به نوع گواهی نامه می باشد.

56/82

مروري بر گواهي ديجيتال

سندي است كه:توسط يك موجوديت قابل اعتماد صادر و امضاء –

شده است.بر اساس تائيد هويتي است كه توسط يك مركز –

صورت گرفته است.حاوي يكسري اطالعات و كليد عمومي شخص يا –

سازمان است.مورد استفاده آن در گواهي قيد شده است.–داراي مدت اعتبار مشخص و محدود است.–

56/82

كاركرد گواهي ديجيتال

فرستنده يك كليد متقارن توليد مي كند. • کليد متقارن به رمز درمي آيند.داده ها را بوسيله•فرستنده از كليد عمومي گيرنده استفاده مي كند. •كليد متقارن را به حالت رمز درمی آورد.•به همراه متن رمزنگاري شده براي گيرنده ارسال •

مي نمايد.گيرنده از كليد خصوصي خود استفاده كرده. •كليد متقارن را از حالت رمز خارج مي سازد.•گيرنده با استفاده از كليد متقارن پيغام را رمزگشايي •

ميكند.56/82

مركز صدور گواهي

56/82

معرفي اجزاء و كاركرد آنها

RA RARA RA RA تس

وارخ

دي

اهگو

ل سا

ارو

ت وي

هيد

تاي

ياه

گوت

سوا

رخد

Root CA

CRL

ValidIntermediate CA

Intermediate CA

56/82

فرآيند درخواست گواهي

دفتر ثبت نام

صاحب امضا

CA

56/82

نحوه دريافت امضاء يا گواهي ديجيتال

دريافت گواهي ديجيتال بر روي لوح فشرده•دريافت گواهي ديجيتال بر روي كارت هوشمند•دريافت گواهي ديجيتال بر توکن•

56/82

Digital Signature

Public Key Private Key

Public Key can be distributed

Private Key should be secret

PKIPublic Key Infrustracture

Encryption

رمزگذاری با استفاده ازکليد

رمزگذاری شده (Encrypted) عمومیرمز گشايی

بااستفاده از کليد خصوصی

Certification

فرستنده پيام را امضاء می کند

معتبر بودن امضاء مورد

بررسی قرار مي گيرد

None Secure Model

Bob

ارسال ايميل

John

ارسال ايميل

Hackerنفوذ گر می تواند :

- نامه ارسالی را بخواند . . - محتوای آن را تغيير دهد

Receiving

changing

Re-sending

Secure Model

Bob

ارسال ايميل

ايميل توسط کليد خصوصی . است باب امضاء شده

ايميل توسط کليد عمومی . جان امضاء شده است

ارسال ايميل

Hacker

چوننفوذگرنامه ارسالی را ناخوانا می بيند -رااو کليد خصوصی ”جان“)دريافت کننده(

. در اختيار ندارد چوننفوذ گر نميتواند نامه امضاء شده ارسال کند -

کليد خصوصی ”باب“ )فرستنده(را ندارداو .

John

جان“ ايميل ارسالی را بدون تغيير دريافت ” - . ميکند

. کليد عمومی باب را دريافت ميکند - ايميل را توسط کليد خصوصی خود باز می -

. کندمي تواند نامه امضاء و رمزگذاری شده -

“برای ”باب .ارسال کند

A

Signed by HisPrivate Key

B C D E Fکليد نمی تواند نامه را بخواند زيرا نامه با

. عمومی او رمزگذاری نشده است

Encrypted byB,C,D,FPublic Key

Server

Client DNS server

Router

Yahoo mail server

ISP

Yahoo login page

Client DNS server

Router

Yahoo mail server

Yahoo fake serverYahoo fake login page

ISP

Client Server

Data Exchanging

Sniffer

Can see the screenUser name : --

Password : ---

Catch userConfidential Information

User name : administrator

Password : =44gtfDs43

Can affectinformation

- Changing Password- Using the account Resources

None Secure Model

http session pocket

Client

Data Exchanging

Sniffer

Secure Model

Can not read data because he doesn’t have the server’s private key .

https session pocketServer

. مواردی که در زمان ورود کاربر به يک شبکه امن مورد بررسي قرار مي گيرد

معتبر بودن صادر کننده

گواهينامه درصورتيکه صادر کننده گواهينامه

معتبرنباشد پيام خطا

نمايش داده ميشود

تاريخ اعتباردر صورت گذشتن از

زمان تاريخ اعتبار

گواهينامه عدم اعتبار

آن به کاربر اعالم ميشود

استفاده کنندهنام سايت

استفاده کننده بايستی با نام

مندرج در گواهينامه

يکسان باشددر غير اينصورت

پيغامخطا داده مي

شود

نمونه ای از گواهينامه غير معتبر

نمونه ای از گواهينامه معتبر

نمونه ای از گواهينامه شخصی

صفحه ورود به سيستم با استفاده از گواهينامه شخصی

منابع

معاونت فن آوری اطالعات و ارتباطات بانک انصار

56/82

با تشکر از حسن دوستان توجه شما

عزیز