هيكل المفتاح العمومي PKI

الملف الشخصي · 01-08-2011 06:35 PM

هيكل المفتاح العمومي PKI

السلام عليكم ورحمة الله وبركاته :

هيكل المفتاح العمومي PKI

إن التجارة الإلكترونية و المعاملات المصرفية تتطلب التدابير الأمنية الصارمة و المشددة، ومن المعروف بأن استخدام الشركات للإنترنت كمنصة لممارسة أنشطتها التجارية سيرفع معدل نجاحهم لكن هناك المخاطر التي ستواجهها الشركة و أهمها انتحال الشخصيات وتغيير المعلومات الحساسة المتناقلة عبر الإنترنت أو التجسس عليها و هنا تظهر أهمية وجود بروتوكولات أمنية مشددة لحماية مصالحهم ، والخصوصية ،وتوفر الاتصالات الآمنة ، وقيمة التبادل ، وأصول المعلومات. (4)

البنية التحتية للمفتاح العموميPKI هي عبارة عن منظومة أمنية متكاملة لتوفير بيئة مناسبة للتعامل الآمن عبر شبكات الحاسب الآلي وتعتبر نظاما لإدارة مفاتيح التشفير بواسطة الشهادة الرقمية، وتتلخص أهداف البنية التحتية للمفتاح العموميPKI كالتالي :

1-التحقق من الهوية Authentication :

هي تمكين المستخدمين من معرفة هوية بعضهم البعض و التحقق منها بشكل قاطع.

2-سرية البيانات Confidentiality :

هي التمكن من تبادل المعلومات بحيث لا يمكن للآخرين معرفة طبيعة تلك البيانات.

3-سلامة البيانات Integrity :

هي التمكن من كشف أي محاولة لتغيير أو تعديل محتوى المعلومة بعد الإرسال.

4-التوقيع الإلكتروني Electronic Signature :

التوقيع على وثيقة مع مقدرة المستلم التحقق من صحة التوقيع، و بذلك يتم التحقق من الهويات عبر الوثائق الإلكترونية و الشهادات الرقمية Digital Certificates. (1)

هناك طرق عديدة للتحقق من الهوية ولكنها تحتوي على بعض السلبيات التي يتم تلافيها عبر الشهادات الرقمية من هذه الطرق: إرسال رقم سري عن طريق الهاتف النقال، أو منح المستخدم جهاز توليد أرقام سرية لزمن مؤقت، استخدام لوحة المفاتيح الافتراضية لمنع نسخ الرموز السرية ، استخدام قاعدة معلومات لطرح عدد من الأسئلة على المستخدم. سنتطرق من خلال هذا المقال إلى تعريف البنية التحتية للمفتاح العمومي وبيان أهميتها و تعريف الشهادة الرقمية و أهميتها في إثبات الهوية.

البنية التحتية للمفتاح العموميPublic Key Infrastructure)PKI) :

في علم التشفير تعرّف بأنها: " الترتيبات التي يتم بها ربط المفتاح العام مع المستخدم بواسطة مصدر الشهادة (Certificate Authority CA) ، هوية المستخدم يجب أن تكون نادرة لكل مصدر شهادة يتم ذلك عن طريق برمجيات خاصة في مصدر الشهادة ، من الممكن أن تكون هذه البرمجيات تحت إشراف بشري، جنباً إلى جنب مع برمجيات مُنَسِقة في مواقع مختلفة و متباعدة "(3). إن إلزامية وجود لكل مستخدم هوية مستخدم، ومفتاح عام، وربط المفتاح بمستخدم معين، وإثبات صحة المفتاح هي ما تجعل شهادة فك تشفير المفتاح العام ( Public Key Certificate ) الصادرة عن مصدر الشهادةCA غير قابلة للتزوير.

تقنية PKI تمكن المستخدمين من استخدام معلومات المفتاح العام عبر شهادة فك تشفير المفتاح العام (Public Key Certificate) الخاص بهم لتشفير رسائل بعضهم البعض بدون اتصال مسبق فيما بينهم لكن ما يربطهم هو الثقة بين بعضهم البعض.

بشكل عام البنية التحتية للمفتاح العام ( PKI ) تتكون من برامج العملاء (Clients software) ، برامج الخوادم (Servers Software) ، و المكونات المادية الأخرى (مثل البطاقات الذكية) ، العقود و الضمانات القانونية.

شهادة فك تشفير المفتاح العام الخاصة بالمُوقَع يمكن أن تستخدم كطرف ثالث Trusted Third Party TTP)) للتحقق من التوقيع الرقمي(Digital Signature) لرسالة معينة تم إنشاءها باستخدام المفتاح الخاص (Private Key) للمُوقع (للمُمضي)، بشكل عام الـ PKI تمكن الأطراف من الحصول على السرية و نزاهة الرسالة و توثيق المستخدم دون الحاجة لتبادل معلومات سرية مسبقاً، أو حتى دون إجراء أي اتصال مسبق.

صحة البنية الأساسية للمفتاح العام بين الأطراف المتصلة محدودة بسبب المشاكل العملية مثل إلغاء الشهادة (أو توقيفها مؤقتاً)، شروط مصدر الشهادة (CA) لإصدار الشهادات و اعتمادها و تغيير في الأنظمة و القوانين المتعلقة بالشهادات. هذه المشاكل قد تعتبر مهمة في البداية لكن مع تقدم الوقت و حدوث الاتصال (و استخدام قنوات اتصال مختلفة) تميل لتصبح قليلة الأهمية، و يكون لدى الأطراف الفرصة لتنمية الثقة في ما يختص بهوياتهم و مفاتيحهم.(3)

مكونات الـمفاتيح العمومية(PKI) الرئيسية:

* الشهادات الرقمية Digital Certificates.
* مانح الشهادات (CA) Certificates Authority.
* قائمة الشهادات الملغاة (CRL) Certificates Revocation List.
* نظام إدارة ومتابعة المفاتيح KMS) Key Management System).
* ممكن أن يكون هناك جذر لمانحي الشهادات Root CA.
* قائمة الصلاحيات الملغاة ARL) Authority Revocation List) والصادرة من Root CA.

طريقة التشفير بالمفاتيح العمومية(Public Key Cryptography):

في علم التشفير بالمفاتيح العمومية هناك نوعان من المفاتيح:

1. المفتاح العام Public Key وهو مفتاح لفك تشفير الرسالة الصادرة من المرسل ويكون هذا المفتاح عادة لدى المستقبل، وممكن أن يكون لدى عامة الناس .

1. المفتاح الخاص Private Key وهو المفتاح الذي يستطيع من خلاله المرسل تشفير الرسالة المرسلة، ويشترط أن يكون هذا المفتاح لدى المرسل فقط .(6)

[صورة مرفقة: Public-Key-Encryption.jpg]

شكل 1: التشفير بالمفتاح العمومي Public Key Encryption.(5)

بشكل عام، فلإرسال رسالة سرية مشفّرة باستخدام المفتاح العام للمستقبل، ويقوم مستقبل الرسالة بفك الشفرة بمفتاحه الخاص المتناظر، ولإرسال بيانات يمكن التأكد من صحتها لشخص ما، يقوم المرسل بتشفير البيانات بمفتاحه الخاص، ويقوم المستقبل بالتأكد من البيانات بالمفتاح العمومي المتناظر الذي استخدمه المرسل. ومع ذلك، يعاني التشفير اللاتناظري المستخدم هذه الطريقة من بعض المساوئ، أهمها أن تشفير المفتاح العمومي يكلف وقتاً و جهداً، وهذا يؤدي إلى صعوبة تشفير رسائل كاملة باستخدام التشفير اللاتناظري. ولهذا لا يستخدم التشفير اللاتناظري إلا في تشفير أجزاء صغيرة من الرسائل. وعندما تكون السرية مطلوبة، يتم تشفير الرسالة باستخدام التشفير التناظري التقليديSymmetric Key Cryptography، ويتم تشفير المفتاح التناظري Shared Secret Key بالطريقة اللاتناظرية باستخدام المفتاح العمومي للمستقبلPublic Key Cryptography. وعندما يكون التيقن مطلوبًا، و يستخدم ما يعرف بال توقيع الرقمي(Digital Signature) - وهو من الخواص المهمة للتجارة الإلكترونية. (2)

الشهادات الرقمية Digital Certificates:

توفر الشهادات الرقمية و التي تستخدم تشفير المفتاح العام (Public Key Cryptography) طريقة لتجاوز أحد أهم عقبات التجارة الالكترونية ، و هي تحقيق الثقة بين العملاء الذين قد تفصل بينهم محيطات و قارات, بالإضافة إلى تحقيق القدرة على تراسل البيانات بسرية أيضا ، فحققت بالتالي أهم الشروط المطلوبة في التجارة الالكترونية : الثقة و السرية . لنفرض أن محمد يرغب باستقبال رسالة سرية ، ولكنه لا يريد لأحد أن يطلع عليها ، فكل ما على محمد فعله هو أن ينشر مفتاحه العام ، و كل من يرغب بإرسال رسالة سرية إلى محمد يستطيع استعمال المفتاح العام الخاص بمحمد لتشفير الرسالة ، و التي لا يمكن أن يتمكن احدهم من فك تشفيرها إلا باستخدام المفتاح السري الخاص و الذي يملكه محمد فقط، لكن و لسوء الحظ ، قد ينشر خالد المفتاح العام الخاص به و يدعي انه المفتاح العام الخاص بمحمد ، و بما انه يمتلك المفتاح الخاص المقابل لمفتاحه العام فانه سيتمكن بطريقة ما من الوصول لمحتويات الرسالة التي كانت من المفترض بأن تصل لمحمد و مشفرة بمفتاح محمد, و حتى إن وصلته فهو لن يتمكن من فك شفرتها ، بسبب تزوير المفاتيح الذي حصل!

لكن إن تمكن محمد من صنع مفتاحه العام على شكل شهادة رقمية و قام بالحصول على توقيع رسمي(Digital Signature) من طرف ثالث (Trusted Third Party) بحيث يكون جديراً بالثقة كمصدر الشهادات ، عندها سيتمكن أي شخص يثق بالطرف الثالث أن يتحقق من الشهادة بسؤال مصدر الشهادات (CA Certificate Authority) فيما إذا كانت هذه الشهادة (والتي تحتوي على مفتاح محمد العام) موقعة منه و تعود إلى محمد أم لا, و بالتالي يستطيع التحقق من أن المفتاح العام يعود إلى محمد ، و ليس إلى أي شخص ما يحاول تزوير المفاتيح.(3)

تتألف الشهادة الرقمية مما يلي: المفتاح العام و معرف للخوارزمية اللاتناظرية التي يستخدم معها المفتاح، واسم مالك المفتاحين (العام و الخاص) واسم سلطة إصدار الشهادة التي تشهد بهذه الملكية والرقم المسلسل ومدة صلاحية الشهادة الدال على أن الشهادة مطابقة لسياسة إصدار الشهادات التي تطبقها سلطة إصدار الشهادات، ومجموعة اختيارية لمجالات حفظ المعلومات الدالة على السياسة التي تطبقها سلطة إصدار الشهادات. ثم يتم توقيع الشهادة بأكملها رقميًا باستخدام مفتاح خاص تملكه سلطة إصدار الشهادات، ويمكن الآن نشر الشهادة على نطاق واسع، ويضمن توقيع سلطة إصدار الشهادات أن محتوياتها لا يمكن العبث دون معرفة ذلك.(2)

[صورة مرفقة: digetal-cert.jpg]

شكل 2: تسلسل الشهادات الرقمية.(1)

أنواع الشهادات الرقمية:

* شهادة بريد إلكتروني: تستخدم للتشفير و التحقق من الهوية و التوقيع من خلال البريد الإلكتروني.
* شهادة اسم شخص: تستخدم للتشفير و التحقق من الهوية و التوقيع من خلال اسم المستخدم.
* شهادة موقع إنترنت: تستخدم للتحقق من هوية موقع إنترنت.
* شهادة رقم السجل المدني: تستخدم للتحقق من الهوية و التوقيع من خلال رقم السجل المدني.
* شهادة رقم هاتف نقال: تستخدم للتحقق من الهوية و التشفير و التوقيع حسب رقم الهاتف النقال.
* شهادات أخرى: تستخدم لأغراض معينة حسب صفة معينة للشخص أو غير البشر.(1)

[صورة مرفقة: pki-infta.jpg]

شكل 3: رسم توضيحي لآلية عمل البنية التحتية للمفتاح العمومي.(3)

الخلاصة

من أكثر استخدامات البنية التحتية للمفاتيح العامة انتشاراً في مواقع التجارة الإلكترونية و مواقع إجراء العمليات المصرفية من خلال الإنترنت، ليثق العميل بموقع البنك على الإنترنت، فإنه يحتاج إلى طرف ثالث موثوق (مصدر الشهادة) يصادق على أن الموقع هو بالفعل الموقع الخاص بالبنك، و يتم ذلك بمطابقة التوقيع الظاهر للشهادة الرقمية الخاصة بالموقع بتوقيع مركز التصديق المعروف لدى العميل.

و لقد أصدر مجلس الوزراء السعودي قرار رقم 90 في 15-4-1426هـ بشأن اعتماد بطاقة الهوية الوطنية المحتوية على شريحة ذكية لتكون أحد المرتكزات الأساسية لتطبيقات الحكومة الإلكترونية. بحيث تكون بطاقة الهوية الوطنية الجديدة تدعم تقنية المفاتيح العمومية (انظر الملحقات).

ختاما، تتلخص فوائد استخدام البنية التحتية للمفتاح العمومي بأنه يوفر اتصال آمن خلال الإنترنت، بحيث يضمن استحالة كسر الرسالة المشفرة، يثبت هوية المستخدم بحيث لا يستطيع إنكار ما أرسله، ويستطيع المستقبل للرسالة معرفة و تمييز صاحب الرسالة المرسل، يؤكد للمستقبل أن ما تم إرساله من قبل المرسل لم يحدث عليه أي تغيير أثناء عملية إرسال الرسالة من خلال التوقيع الرقمي.

منقول

ادارة سكيورتي العرب