البنية التحتية للمفتاح العام PKI

الملف الشخصي · 01-08-2011 08:30 PM

البنية التحتية للمفتاح العام PKI

السلام عليكم ورحمة الله وبركاته :

البنية التحتية للمفتاح العام PKI

المقدمة

أمن الأعمال التجارية عبر الإنترنت هي قضية تشهد تطورا متسارعا ، ليس فقط من حيث التقدم التكنولوجي ، بل في طرق تنفذ وتطبيق هذه التقنيات وتعدد استخداماتها وتنوعها ، فعلى سبيل المثال تقنيات الجدران النارية وأنظمة كشف التسلل و'الشبكات الخاصة الافتراضية' VPNجميعها كانت تخدم ولا زالت أهداف تعزيز أمن معلومات الشبكات وأنظمة المعلومات ومراكز المعلومات والتي من خلالها تم تدعيم مفاهيم مثل الشبكة الخاصة والشبكة العامة "Private network and Public Networks" ، أي تم التمييز بين ما هو خاص "Private" وما هو عام "Public" ، ولكن تم ربط هذه المفاهيم بالواقع الجغرافي الفيزيائي لمراكز المعلومات وشبكات المعلومات (حتى في الشبكات الخاصة الافتراضية VPN تقوم بربط جهتين ذات واقع فيزيائي وجغرافي) وذلك لخدمة توفير الحماية لكل ما هو داخل الشبكة الخاصة مثل الخوادم "Servers"، والمستخدمين ، وقواعد البيانات، والتطبيقات التجارية "Business Application"، ولكن ماذا عن البيانات والمعلومات التي يتم إرسالها خارج الشبكة الخاصة عندما تسافر عبر الشبكة العامة "The Internet"، كيف يتم التحقق من صحتها، كيف يتم حمايتها من السرقة وهي خارج حدود الشبكة الخاصة ، هنا يبرز دور البنية التحتية للمفتاح العام (مرفق المفاتيح العمومية) والشهادات المصدقة [1].

أمن نظم المعلومات (بالكمبيوتر أو غيره) عادة ما يقدم 5 مجالات أمنية :
السرية : حماية البيانات من العرض الغير مصرح به أثناء التخزين والنقل.
التحكم في الوصول : توفير سبل الوصول إلى أطراف معينة دون غيرها.
التوثيق : التحقق من هوية بيانات المنشئ.
سلامة والصحة: حماية البيانات من التعديل الغير مصرح به.
عدم التنصل : حيث أن المنشئ لا يستطيع أن ينكر مشاركتة في الصفقة.[2]

مُثل البنية التحتية للمفتاح العام تسعى لتوفير الأمن داخل مجال الاتصالات الالكترونية.
لكي نكون منصفين ، فإن مفهوم البنية التحتية للمفتاح العامPKI يمثل أداة جذابة لتنفيذ الامنية على الانترنت ضمن خطة أعمال. وهي رخيصة نسبيا ، و يمكن أن تكون سهلة الاستخدام ، ولديها القدرة على توفير درجة عالية من أمن البيانات , كل ذلك من الاعتبارات المهمة. ومع ذلك ، فإن فعالية أي أداة أمنية تتحدد بأضعف حلقاتها. لذلك تحديد وإدارة هذه الحلقات الضعيفة هي المفتاح لتحقيق الحد الأقصى من فعالية أي خطة أمنية – البنيات التحتية للمفاتيح العمومية أو غيرها[3].
الهدف من هذه الورقة هو تقديم لمحة عامة عن البنية التحتية للمفتاح العام PKI،مكوناتها ، وتحديد نقاط قوتها وضعفها.

نظرة عامة على البنية التحتية للمفتاح العام PKI :

البنية التحتية للمفاتيح العموميةPKI (المعروف أيضا باسم 'التشفير غير المتناظر') هي العملية التي يتم تشفير البيانات باستخدام مفتاح واحد ، وفك مع مفتاح آخر منفصل. وهذا يختلف عن 'التشفير المتناظر' والذي يمكن استخدام نفس المفتاح لكلا تشفير وفك تشفير البيانات .[3]
إن الصعوبة في ايجاد وإنشاء خوارزمية تشفير المفاتيح العمومية تضمن عدم إمكانية تحديد وإيجاد المفتاح الخاص (أو السري) بواسطة المفتاح العام, والتي عادة ما تكون إتاحتها عبر الشبكة [4].
وحالما يتم ذلك ، يكون تأمين البيانات والاتصالات ليس سوى مسألة تبادل 'مفاتيح العامة' مع شخص آخر ، ومن ثم استخدامها لتشفير الرسائل بحيث لا أحد غير المتلقي المقصود يستطيع قراءتها (أو العبث بها) .[5]
ومع ذلك ، هناك قضية أخرى - كيف يمكنك أن تكون على يقين من أن الشخص الذي أرسل إليك مفتاحه العمومي هو حقا الشخص المقصود؟ هل مازال المفتاح صالحا؟ في حالة الاتصالات الشخصية ، وتكاد تكون هذه قضية حقيقية -- ولكن ليس في عالم الأعمال .[5]
المشاكل المتعلقة بالاقتناء والاستحواذ ، الاعتراف ، الإلغاء والإبطال، التوزيع والتحقق من المفاتيح العمومية يمكن تخفيفها من خلال استخدام شهادات السلطة Certification Authorities (CA),إذ أنها تصدر 'الشهادات الرقمية' تحت معيار الإنترنت الـ 'X.509' ، كما وتستخدم لإثبات صحة المفتاح العام الموزع سواء المشفر أو المفكوك تشفيره .[6]
باختصار ، بنية التحتية للمفتاح العام ينطوي على ثلاثة أطراف منفصلة :
شهادة السلطةcertificate authority CA الذي تصدر الشهادات الرقمية
المشترك الذي يملك ويسيطر على شهادة / المفتاح الخاص
المستخدم الذي يعتمد على الشهادة للتحقق من هوية المشترك.[5]

تعريف الPKI (البنية التحتية للمفتاح العام) ومكوناته:
البنية التحتية للمفتاح العام هي عبارة عن إطار عمل- أي مجموعة من الخدمات المشتركة سواء كانت برمجيات , أجهزة , سياسات وإجراءات أو أشخاص- لإنشاء وسيلة آمنة لتبادل المعلومات بالاعتماد على تشفير المفتاح العام. أساس الPKI هو شهادة السلطة certificate authority (CA) والتي تصدر الشهادات الرقمية التي توثق هوية المنظمات و الأفراد عبر نظام عام مثل شبكة الانترنت. وتشتخدم الشهادات أيضا في توقيع الرسائل , مما يضمن صحة و مصداقية الرسائل وعدم العبث بها [7].

والبنية التحتية للمفتاح العام تتألف من :

* شهادة السلطة (CA) certificate authorityالتي تصدر وتحقق الشهادة الرقمية. وتتضمن المفتاح العمومي أو معلومات حول المفتاح العمومي.
* وسلطة التسجيل registration authority (RA) الذي تقوم بدور المدقق لشهادة السلطة قبل الشهادة الرقمية التي تصدر إلى الطالب.
* دليل واحد أو أكثر يتضمن الشهادات (مع مفاتيحها العمومية).
* شهادة نظم الإدارة.

إيجابيات وسلبيات:

في حين تقديم هذه الأداة الأمنية التجارية الرائعة، البنية التحتية للمفاتيح العموميةPKI ليست بأي حال من الأحوال حلاً سحريا عالميا يسمح لعالم الأعمال الدخول في التجارة الإلكترونية بثقة [8]. ولكن ، مع زيادة الوعي للقضايا ذات الصلة في تنفيذ نموذج أمن الPKI البنية التحتية لمفاتيح العمومية ، يمكن لمنظمة الاستفادة من المزايا الكامنة في الPKI ، مع تجنب العديد من المشاكل المحتملة.

مزايا

البنية التحتية للمفتاح العام تقدم عددا من الحجج المقنعة لدعم صحتها وسلامتها. من بين النقاط الصالحة لاعتمادالـ PKI في الأعمال التجارية هي مسائل استخدام وتوزيع المفاتيح العامة ، وكذلك مجيء'التواقيع الرقمية ،' التي تضمن سلامة وصحة البيانات ، أيضا توفير المصداقية وعدم التنصل [3].
حقيقة إستخدام الـPKI لمفتاح مختلف في تشفير وفك التشفير تعني أن المفتاح 'العام' يجب أن يكون متاحا للطرف المستقبل أثناء تبادل البيانات "المستخدم" . والاستفادة من هذا هو أنه في حين أي شخص له صلاحية الوصول الى المفتاح العام يمكنه أن يفك تشفير رسالة مشفرة مسبقا باستخدام المفتاح الخاص ،أي رسالة مشفرة باستخدام المفتاح العام يجب أن يكون فك تشفيرها باستخدام المفتاح الخاص.لا يمكن لصاحب المفتاح العام أن يكون قادرا على استخدامه لانتحال صاحب المفتاح الخاص "المشترك"[9].
لذلك ، إذا كان أي شخص لديه المفتاح العام يمكن أن يفك تشفير رسالة ," لقد أرسلتها مع مفتاحي الخاص "، ما هو الهدف من ذلك؟ ففي مجال التوثيق, إذا كان لا يمكن لأحد أن يستخدم المفتاح العام الخاص بأحدهم لانتحال شخصيته ،إذن مفتاحه الخاص هو من الناحية النظرية جيد كختمه الشخصي [10].
مع هذا المفهوم ، أصبح من الواضح أن السبيل الوحيد بأن تكون الاتصالات آمنة ولا تقرأ إلا من قبل أي شخص الا المتلقي المقصود ، هو أن يتم فقط في اتجاه المفتاح العام => المفتاح الخاص ، أو المشترك => مستخدم.كيف يمكن إرسال رسالة آمنة لشخص ما إذا كان أي شخص معه المفتاح العام الخاص بي يستطيع قراءتها؟ إذ يجب أن يستخدم مفتاح المستلم العام لترميز البيانات [11] .
أحد قدرات الـ PKI المثيرة للاهتمام هي حقيقة ان كلاً من مفتاح المرسل الخاص ومفتاح المستلم العام يمكن استخدامهما في آن واحد.ولهذا عدة مؤثرات في:
(أ) تشفير الرسالة لضمان الخصوصية.
(ب) التوقيع على الرسالة حتى يتسنى لمتلقيها معرفة أنها لم ترسل من قبل طرف ثالث محتال.
(ج) إزالة أي قدرة قد يمتلكها المرسل لإخلاء المسؤولية عن الرسالة (عدم التنصل) [11] .
بينما أسس الـPKI تدور حول مفهوم مجموعة من المفاتيح الخاصة الآمنة والمفاتيح العامة المتاحة بحرية, مفهوم إدارة المفتاح العام أصبح واضحا. ظهور شهادات X.509 هي الطريقة التي يمكن للمجتمع على الانترنت أن يحل المشاكل المتعلقة بالصحة والتوثيق للمفاتيح العامة [12].
شهادة السلطة CA)certificate authority) تقدم خدمات مثل تحديد هوية المشترك ، وإصدار الشهادات الرقمية ، و صحة أي مفتاح عام ذو صلة مع المشترك. هذا يتيح للمشتركين استخدام عدة مفاتيح عامة ، والتي قد تكون مهمة في الحالات التي يكون فيها المفتاح الأصلي تم إنشاؤه مع محدودية لفترة صلاحيته ،هذا في حال إذا كان المفتاح الخاص قد تم تسوية أمره بالتنازل، أو إذا كانت مجموعة جديدة رئيسية تم إنشاؤها لأي سبب من الأسباب [5].

السلبيات

على الرغم من أن الـ PKI له حوالي 20 عاما ، واستخدامه في العالم التجارة على الانترنت أخذ يتزايد في الآونة الأخيرة [8] , إلا أن هناك عدد من المشاكل المحتملة التي تحيط بالـ PKI والتي هي في بعض الحالات تقلل الى حد ما من فعاليتها كأحد الحلول الأمنية.
النفقات المحسوبة في تشفير الPKI للبيانات عالية. ليس فقط لأنها تحتاج إلى تعقيد ضخم لخوارزميات التشفير بغرض الحفاظ على درجة مماثلة من التشفير لرسالة آمنة بشكل متناظر ، بل أيضاالنتيجة النهائية هي حزمة بيانات أكبر بكثير من حجمها.و قد يتحول الى قضية في نقل وتخزين البيانات [3].
في حين أن توصية X.509 الآن ينظر إليها على أنها معيار لشهادة السلطة داخل المجتمع على الانترنت [5] ، والحقيقة البسيطة هي أن الشهادات المختلفة ليست دائما تتعامل. استخدام 'ملحقات'شهادة السلطة CA ضمن تطبيقات مثل البريد الإلكتروني للعملاء ومتصفحات الويب عادة ما تضمن شهادات معينة يمكن تعاملها ضمن تطبيقات معينة ، ولكن عدم وجود معيار محدد سمح بقدر كبير من المفارقات المُلكية [8].
مشكلة أخرى تتعلق بالنقطة المذكوره أعلاه, هو انعدام الشفافية في معظم تطبيقات الPKI. إذ أن الطبيعة البشرية هي من هذا القبيل ، ما لم يكن لنتائج عمل معين حصيلة فورية وإيجابية ، فإننا سوف نميل إلى تجنب القيام بذلك [13]. وكثير من السياسات الأمنية (وليس فقط الPKI) تتطلب جهدا واعيا من جانب المستخدم ، إذ أنه ليس من الغريب أن يمثل الرضا عن الذات واحدا من أكبر المخاطر الأمنية. إفتقار الـPKI لشفافية في كثير من التطبيقات (مثل البريد الإلكتروني للعملاء) كثيرا ما يمكن أن يعني استخدام التشفير يتم تجاوزه تماما [14]. حقيقة أن العديد من متصفحات الويب التي تدعم خدمة تصميم المواقعSSL تستخدم الشهادات الرقمية [15]تظهر بشكل فعال في الشفافية التي يمكن القيام بها.
التخزين الآمن وإدارة المفتاح الخاص هو اعتبار هام في نظام المفاتيح العامة. يمكن للمستخدمين المتطفلين انتحال شخصية صاحب المشروع بواسطة الوصول الى المفتاح العام. الآثار المترتبة على مثل هذا الاحتمال واضحة. العديد من منتجات الـPKI تقدم فقط حد أدنى من حماية المفتاح الخاص كجزء من حزمتها. بينما في معظم حالات الاستخدام الخاصة يكون توفير الحماية لكلمة السر على مستوى كاف من الأمن ، الاحتياجات التجارية هي الآن أكثر تطلبا [8].
الحجم النموذجي للمفتاح الخاص هو كبير جدا بالنسبة للمشترك العادي ليتمكن من حفظها. هذا له تأثير نهائي في حد استخدام المفتاح الخاص لجهاز كمبيوتر واحد. هذا النقص في قابلية التنقل يعني عموما أن المشترك يحتاج الى الحفاظ على عدد من المفاتيح الخاصة المختلفة إذا كانوا يستخدمون أكثر من جهاز كمبيوتر واحد[8].
في ما يخص البنية التحتية للمفاتيح العامة PKI ، مسألة رئيسية واحدة تخصها ألا و هي 'من الذي يصحح المدقق؟ط قبول الشهادة الرقمية يعني أنك تثق في قدرة شهادة السلطة CA على التحقق من هوية صاحب الشهادة [16]. كيف تكتسب هذه الثقة؟
إدارة المفتاح والشهادة مهام لا يمكن الاستخفاف بها كما أنها ليست للضعاف الاجراءات الامنية المشددة للغاية هي أمر حتمي للحفاظ على الثقة التي تحتاج إلى الـPKI "(Merkow ، 1998). والخلاصة هي أن قرار قبول شهادة صلاحية يجب أن يكون واعيا من قبل المستخدم ، وتعتمد على حالة البيانات المراد استخدمها (مثل الشخصية,العمل, والقانون.. الخ) [5].
إنه شيء حسن وطيب أن يكون النظام الخاص بك آمنا تماما, لكن كيف هو أمن البقية؟ الأعضاء الآخرين من البنية التحتية للPKI مثل شهادة السلطة CA والمستخدم, جميعهم يمثلون إحتمالات الضعف في الاستحدام الآمن للPKI. فعلى سبيل المثال شهادة السلطة CA, قد تعرض سلامة الشهادات للخطر من خلال إصدارهامن دون التحقق كفاية من هوية المشترك. وبالمثل , المستخدم قد لا يمتلك مثل هذه الخطة الأمنية الأكيدة, لذلك يتنازل عن مفتاحه الخاص.

منقول

ادارة سكيورتي العرب

المواضيع المحتمل أن تكون متشابهة .
برنامج#إدارة البنية التحتية للشبكات_دبي-الاردن_تونس_المغرب