امنيت از بدو ورود اطلاعات برروي بسترهاي رايانهيي دغدغه جديدي را براي كاربران به وجود آورده زيرا برخي از اطلاعات جنبه محرمانه داشته و يا اشخاص به دسترسي ديگران به اطلاعاتشان تمايل ندارند؛ توكن (TOKEN) امنيتي (قفل اطلاعات محرمانه افراد) يك ماژول سختافزاري است كه براي احراز اصالت فرد، نگهداري اطلاعات حساس و عمليات رمزنگاري استفاده ميشود و هر توكن امنيتي معمولا داراي يك شناسه شخصي يا اصطلاحا PIN است كه براي فعالسازي توكن بهكار ميرود و از آن ميتوان براي احراز اصالت فرد در رايانهها و يا شبكههاي رايانهيي استفاده كرد.
پنهانسازي فايلها و برخي پوشهها از جمله اقداماتي محسوب ميشود كه در راستاي همين موضوع شكل گرفتند اما هنگامي كه دسترسي و كار با آنها همگاني شد، ديگر نميتوانستند بهعنوان شيوهاي امن مورد خطاب قرار بگيرند و حتي با بروز قفلشكنهايي در بازارهاي رايانهيي ديگر افراد كمتر به قفل كردن پوشهها و اطلاعات خود تمايل دارند.
نياز به قفلي به روز و كارامد براي ايمن سازي اطلاعات روز به روز بيشتر احساس شده تا اينكه توكنها سر از بازارهاي كشورهاي غربي درآوردند و با نقش مؤثري كه از خود ايفا كردند، توانستند بهراحتي سر از ديگر كشورها نيز درآورند و رفته رفته كار با آنها رايج شد تا جايي كه برخي كشورها درصدد ساخت آنها برآمدند.
شايد اين سيستم سختافزاري خيلي جديد نباشد اما ارائه خدمات توسط آن در سطح كشور در حال گسترده شدن بوده و به اعتقاد كارشناسان قبل از اين موضوع هم امضاي ديجيتالي مطرح شد اما تاكنون به كارامدي مطلوب خودش نرسيده است و شايد تنها وزارت بازرگاني توانسته باشد استفاده از آنها را به عنوان سامانه حفظ هويت افراد به كار بگيرد.
*ظاهر توكن*
توكنها برخلاف آنچه افراد در وهله اول از قفل در ذهنشان ايجاد ميشود، بسيار شبيه فلش مموريهاي معمول هستند به نحوي كه اگر يك توكن و يك فلش را در كنار يكديگر قرار دهيم تشخيص آنها مشكل ميشود.
در اين باره مهندس مهدي فلاحچاي - كارشناس فنآوري اطلاعات - ميگويد: حافظههاي فلش بهطور معمول صرفاً بهعنوان يک رسانه عادي جهت ذخيرهسازي اطلاعات به کار ميروند، در حالي كه ملزومات امنيتي سختافزاري و نرمافزاري در آنها رعايت نشده است و امکان پردازش و انجام عمليات رمزنگاري در فلش وجود ندارد و از اين رو قياس بين توکنهاي USB و فلش بهدليل ماهيت کاملاً متفاوت آنها منطقي بهنظر نميرسد.
*تفاوت توكن و كارت هوشمند*
معمولا كارتهاي هوشمند با توجه به نوع طراحي و تراشهاي كه در آنها موجود است، نياز به دستگاه كارت خوان را الزامي مي كند و در همين خصوص مهندس مهدي فلاحچاي کارتهاي هوشمند و توکنهاي USB را بهعنوان رايجترين توکنهاي سختافزاري امروزي مطرح كرد و ادامه داد: کارتهاي هوشمند از قدمت بيشتري نسبت به توکنهاي USB برخوردارند يا به عبارت ديگر توکنهاي USB عضو جديد و تکامليافته کارتهاي هوشمند تلقي ميشوند هرچند كه از نظر قابليتهاي فني و خدماتي که ارائه ميدهند مشابه يکديگرند.
نيازمند نبودن پورتهاي USB به دستگاه كارتخوان برگ برنده آنها در برابر كارتهاي هوشمند به حساب ميآيد.
درباره تفاوت توكن امنيتي با قفلهاي سختافزاري (Dongle) هم ميتوان گفت كه كار قفل جلوگيري از كپي غيرمجاز نرمافزار است كه توكن هم اين قابليت را داراست ولي به هيچ عنوان در تنوع خدماتي كه ارائه ميدهد قابل قياس با قفلها نيست.
*مزاياي توكن*
شاهين خراساني - كارشناس امنيت شبكه – ميگويد: برخورداري از رابط استاندارد (PKCS#11) به منظور برقراري ارتباط با توكن و همچنين پشتيباني از زيرساخت كليد عمومي (PKI)، امكان استفاده از اين محصول را در طيف وسيعي از نرمافزارهاي PKI-enabled فراهم كرده است.
مسلما جلوگيري از دسترسي غيرمجاز به دادهها و اطلاعات حساس کاربران از مزاياي اصلي توكنها قلمداد ميشود كه دكتر رسول جليلي - عضو هيات علمي دانشگاه صنعتي شريف - با بيان اينكه توانمندسازي نرمافزارهاي کاربردي و حتي کاربردهاي مبتني بر وب به امکانات زيرساخت کليد عمومي، مستلزم به کارگيري همه ملزومات امضاي ديجيتالي از جمله توکن هوشمند و گواهي ديجيتالي است، اظهار كرد: اين ملزومات اثبات ميکنند که کليد خصوصي امضا کننده يک سند و يا يک تعهد اداري، مالي يا تجاري متعلق به او است و امکان انکار براي حضور وي در فعاليت امضاء شده، وجود ندارد.
ميتوان از توكن براي ذخيرهسازي امن اطلاعات حساس نظير كليدهاي رمزنگاري، اطلاعات لاگين به رايانه و سرورها (شامل نام كاربري و گذرواژه) و كليدهاي خصوصي مربوط به گواهيهاي ديجيتال استفاده كرد.
رمزگذاري و امضاي ديجيتال فايلها و اطلاعات حساس کاربر، ايجاد يک پارتيشن امن و رمزگذاري شده در سيستم، دسترسي به برنامههاي کاربردي، ورود امن به شبکه/سيستم عامل، امنيت در شبکه خصوصي مجازي، امنيت پست الکترونيک، هويت شناسي دو عامله در وب، دولت، تجارت و حفظ سلامت الکترونيکي برخي از اين راهحلها هستند.
*استفادهكنندگان توكن*
تمام مشاغلي كه با جريان اطلاعات سر و كار داشته باشند و علاوه بر آن درصدد نقل و انتقال دادهها نيز باشند به تناسب عملكرد توكنها، نيازمند آن براي برقراري ارتباطات امن خواهند بود.
اصليترين كاربرد اين سيستمها از ديد جليلي در مباحث تجارت الكترونيكي است و زماني كه ميخواهيم يك تراكنش الكترونيكي را انجام دهيم و از جهتي هم ميخواهيم آغازكننده اين تراكنش از خودش سلب مسوليت نكند و به تعبيري انكار حضور در يك تراكنش الكترونيكي مالي را از اين منظر از افراد سلب خواهيم كرد.
استفاده از توکنهاي هوشمند محدود به کاربران و مشاغل خاصي نيست و بهطور عمده توکن هوشمند توسط مراکز تجارت الکترونيک، بانکها، ارگانهاي نظامي، سيستمهاي اتوماسيون، وزارتخانهها، بيمارستانها و کليه افراد و سازمانهايي که محرمانگي و اطمينان از حفظ تماميت و دستنخوردگي اطلاعات شخصي برايشان حائز اهميت است و احراز هويت اشخاص جهت دسترسي به منابع اطلاعاتي برايشان ضروري باشد، قابل استفاده است.
*چگونگي ذخيره اطلاعات در توكن*
تراشه موجود در توكنها نقش حافظه را براي ذخيرهسازي اطلاعات بازي ميكند؛ توكنها تعدادي الگوريتم رمز و يك حافظه امن را در خود جاي ميدهند كه در اين راستا از حافظه امن براي نگهداري اطلاعات حساس مثل كليدهاي رمزنگاري استفاده ميشود.
بعضي از توکنها از پردازندههايي استفاده ميکنند که امکان انجام رمزنگاري را بهصورت سختافزاري دارا هستند اما ورود آنها به ايران ممنوع است؛ تراشه يا ميکروکنترلر توکن بهعنوان مهمترين بخش اين تجهيز مطرح است كه در امنيت و کارايي آن نقش مهمي ايفا ميكند.
*هدف توكن هاي بانكي*
منصور وفابخش - مدير يك شركت اينترنتي – معتقد است: توكن در راستاي رواج بانكداري الكترونيك است و معمولا براي حوالههاي بانكي از آن استفاده ميشود و در موارد كارت به كارت كردن اصولا نيازي به آنها نيست و در كل بيشتر براي نقل و انتقالات اين حسابها مورد استفاده هستند.
تمامي دسترسيهاي مهم افراد به حسابهاي بانكي از طريق اينترنت با وجود اين توكنها ميسر است و اين توكنها قادرند كه در هر دقيقه يك رمز توليد كنند تا سوءاستفادهاي از حسابهاي بانكي افراد به وجود نيايد.
*امنيت توكنها*
توكنهايي كه خود در راستاي حفظ امنيت اطلاعات شكل گرفتهاند اگر نتوانند امنيت را برقرار كنند مسلما كاربران نگران خواهند شد و به همين منظور بايد ديد چه راهكارهايي وجود دارد تا امنيت اين قطعه سختافزاري را به حداكثر برساند.
حملات کانال جانبي مهمترين نوع حملات فيزيکي به تراشههاي توکن هوشمند است؛ معمولا اين نوع از حملات از رفتار تراشه در زمان انجام محاسبات، بهرهبرداري ميکنند و تحليل توان مصرفي، تابش الکترومغناطيس، زمان انجام محاسبات، عکسالعمل در مقابل ايجاد خطا و اختلال، ميتواند اطلاعاتي را درباره کليد سري ذخيره شده در حافظه توکن هوشمند، آشکار کند.
در توکنهاي هوشمند استفاده از حافظههاي خارجي ميتواند امنيت آنها را در مقابل حملات مختلف به خطر اندازد و استفاده از حافظه داخلي ميکروکنترلر در توکنهاي هوشمند ضروري است.
اكثر كارشناسان حوزه امنيت اطلاعات معتقدند كه استفاده از اين قطعه سختافزاري بايد محدود به محصولات داخل كشور شود زيرا قطعات ديگر كشورها امكان وجود حفره امنيتي را دارد.
توكنها در كشورهاي مختلفي همچون آمريكا، چين و تايوان ساخته ميشوند ولي نميشود از منظر امنيتي به تمام آنها اعتماد كرد زيرا مطمئن نيستيم كه اطلاعات در آنها كپي و جعل نشود.
به عنوان مثال ممكن است بتوان اطلاعات داخل يك توكن را سرقت كرده و از آن سوء استفاده كرد و يا يك توكن كاملا مشابه ساخته و در فرايند ورود به يك سامانه به جاي يك كاربر مجاز ايفاي نقش كرد.
*ساخت داخلي توكن*
تمام مشكلات و نگرانيها از استفاده توكنهاي خارجي امكان وجود حفره امنيتي در آنهاست.
راهحل بسيار سادهاي جز توليد داخل و گسترش آن وجود نخواهد داشت در حالي كه اوضاع توليد داخلي كشور ما هميشه با معضلاتي اساسي روبهرو بوده است تا جايي كه در بازههاي زماني خاصي با سختگيريهاي به وجود آمده، مبادي قاچاق رونق گرفته است.
توليد قطعات سختافزاري توکن هوشمند نيازمند تجهيزات توليد قطعات نيمه هادي است، در حال حاضر امکان ساخت تراشههاي کارت هوشمند و درنتيجه نوعي از توکنها که از اين فنآوري استفاده ميکنند در ايران وجود ندارد اما انواع ديگر که پردازنده (تراشه) همه منظوره و نرمافزار (firmware توکن) خاص خود را دارند، ميتوانند توليد شوند.
بهدليل وابسته نبودن صنعت نرمافزار به ديگر صنايع، امکان استفاده از علوم رايانه و رمزنگاري در جهت توسعه توکنها و بهبود وضعيت موجود به طور کامل در داخل کشور وجود دارد.
طبق اطلاعات موجود حداقل دو شركت فنآور بخش خصوصي داراي اين فنآوري در كشور هستند كه اين شركتها ويژگيهاي لازم براي توانمندسازي نرمافزارها و پورتالهاي سازماني را به زيرساخت كليد عمومي كه در بحث امنيت بسيار مهم است دارند و ساخت آنها صد درصد داخلي است؛ اين شرکتها آزمايشات لازم را انجام دادهاند و چشم به توجه مسوولان به اين توانمندي دارند.
تمام مسوولان عالي كشور، توليد بومي در حوزه امنيت را ارزش ميدانند، با وجود اين تاکيد، به تاكيد فعالان بازار، متاسفانه هنوز انگيزه کافي براي خريد محصول داخلي وجود ندارد و از آنجا که بازار افتا عمدتا در اختيار دولت است، عدم توجه مديران دولتي به شکلدهي بازار براي چنين محصولاتي، بخش خصوصي را مايوس خواهد كرد.
تا زمانيكه توكنهاي ( قفلهاي سختافزاري ايمن فردي، مشابه امضاي ديجيتال) ساخت داخل عرضه ميشوند، جايز است كه به سراغ توكنهاي وارداتي كه امكان حفرهي امنيتي نيز دارند، برويم؟!