امنیت اطلاعات محرمانه چگونه حفظ می‌شوند؟

امنيت از بدو ورود اطلاعات برروي بسترهاي رايانه‌يي دغدغه جديدي را براي كاربران به وجود آورده زيرا برخي از اطلاعات جنبه محرمانه داشته و يا اشخاص به دسترسي ديگران به اطلاعاتشان تمايل ندارند؛ توكن (TOKEN) امنيتي (قفل اطلاعات محرمانه افراد) يك ماژول سخت‌افزاري است كه براي احراز اصالت فرد، نگه‌داري اطلاعات حساس و عمليات رمزنگاري استفاده مي‌شود و هر توكن امنيتي معمولا داراي يك شناسه شخصي يا اصطلاحا PIN است كه براي فعال‌سازي توكن به‌كار مي‌رود و از آن مي‌توان براي احراز اصالت فرد در رايانه‌ها و يا شبكه‌هاي رايانه‌يي استفاده كرد.

پنهان‌سازي فايل‌ها و برخي پوشه‌ها از جمله اقداماتي محسوب مي‌شود كه در راستاي همين موضوع شكل گرفتند اما هنگامي كه دسترسي و كار با آن‌ها همگاني شد، ديگر نمي‌توانستند به‌عنوان شيوه‌اي امن مورد خطاب قرار بگيرند و حتي با بروز قفل‌شكن‌هايي در بازارهاي رايانه‌يي ديگر افراد كم‌تر به قفل كردن پوشه‌ها و اطلاعات خود تمايل دارند.

نياز به قفلي به روز و كارامد براي ايمن سازي اطلاعات روز به روز بيش‌تر احساس شده تا اينكه توكن‌ها سر از بازارهاي كشورهاي غربي درآوردند و با نقش مؤثري كه از خود ايفا كردند، توانستند به‌راحتي سر از ديگر كشورها نيز درآورند و رفته رفته كار با آن‌ها رايج شد تا جايي كه برخي كشورها درصدد ساخت آن‌ها برآمدند.

شايد اين سيستم سخت‌افزاري خيلي جديد نباشد اما ارائه خدمات توسط آن در سطح كشور در حال گسترده شدن بوده و به اعتقاد كارشناسان قبل از اين موضوع هم امضاي ديجيتالي مطرح شد اما تاكنون به كارامدي مطلوب خودش نرسيده است و شايد تنها وزارت بازرگاني توانسته باشد استفاده از آن‌ها را به عنوان سامانه حفظ هويت افراد به كار بگيرد.

*ظاهر توكن*

توكن‌ها برخلاف آنچه افراد در وهله اول از قفل در ذهن‌شان ايجاد مي‌شود، بسيار شبيه فلش مموري‌هاي معمول هستند به نحوي كه اگر يك توكن و يك فلش را در كنار يكديگر قرار دهيم تشخيص آن‌ها مشكل مي‌شود.

در اين باره مهندس مهدي فلاح‌چاي - كارشناس فن‌آوري اطلاعات - مي‌گويد: حافظه‌هاي فلش به‌طور معمول صرفاً به‌عنوان يک رسانه عادي جهت ذخيره‌سازي اطلاعات به کار مي‌روند، در حالي كه ملزومات امنيتي سخت‌افزاري و نرم‌افزاري در آ‌ن‌ها رعايت نشده است و امکان پردازش و انجام عمليات رمزنگاري در فلش وجود ندارد و از اين رو قياس بين توکن‌هاي USB و فلش به‌دليل ماهيت کاملاً متفاوت آن‌ها منطقي به‌نظر نمي‌رسد.

*تفاوت توكن و كارت هوشمند*

معمولا كارت‌هاي هوشمند با توجه به نوع طراحي و تراشه‌اي كه در آن‌ها موجود است، نياز به دستگاه كارت خوان را الزامي مي كند و در همين خصوص مهندس مهدي فلاح‌چاي کارت‌هاي هوشمند و توکن‌هاي USB را به‌عنوان رايج‌ترين توکن‌هاي سخت‌افزاري امروزي مطرح كرد و ادامه داد: کارت‌هاي هوشمند از قدمت بيش‌تري نسبت به توکن‌هاي USB برخوردارند يا به عبارت ديگر توکن‌هاي USB عضو جديد و تکامل‌يافته کارت‌هاي هوشمند تلقي مي‌شوند هرچند كه از نظر قابليت‌هاي فني و خدماتي که ارائه مي‌دهند مشابه يکديگرند.

نيازمند نبودن پورت‌هاي USB به دستگاه كارت‌خوان برگ برنده آن‌ها در برابر كارت‌هاي هوشمند به حساب مي‌آيد.

درباره تفاوت توكن امنيتي با قفل‌هاي سخت‌افزاري (Dongle) هم ميت‌وان گفت كه كار قفل جلوگيري از كپي غيرمجاز نرم‌افزار است كه توكن هم اين قابليت را داراست ولي به هيچ عنوان در تنوع خدماتي كه ارائه مي‌دهد قابل قياس با قفل‌ها نيست.

*مزاياي توكن*

شاهين خراساني - كارشناس امنيت شبكه – مي‌گويد: برخورداري از رابط استاندارد (PKCS#11) به منظور برقراري ارتباط با توكن و هم‌چنين پشتيباني از زيرساخت كليد عمومي (PKI)، امكان استفاده از اين محصول را در طيف وسيعي از نرم‌افزارهاي PKI-enabled فراهم كرده است.

مسلما جلوگيري از دسترسي غيرمجاز به داده‌ها و اطلاعات حساس کاربران از مزاياي اصلي توكن‌ها قلمداد مي‌شود كه دكتر رسول جليلي - عضو هيات علمي دانشگاه صنعتي شريف - با بيان اينكه توانمندسازي نرم‌افزارهاي کاربردي و حتي کاربردهاي مبتني بر وب به امکانات زيرساخت کليد عمومي، مستلزم به کارگيري همه ملزومات امضاي ديجيتالي از جمله توکن هوشمند و گواهي ديجيتالي است، اظهار كرد: اين ملزومات اثبات مي‌کنند که کليد خصوصي امضا کننده يک سند و يا يک تعهد اداري، مالي يا تجاري متعلق به او است و امکان انکار براي حضور وي در فعاليت امضاء شده، وجود ندارد.

مي‌توان از توكن براي ذخيره‌سازي امن اطلاعات حساس نظير كليدهاي رمزنگاري، اطلاعات لاگين به رايانه و سرورها (شامل نام كاربري و گذرواژه) و كليدهاي خصوصي مربوط به گواهي‌هاي ديجيتال استفاده كرد.

رمزگذاري و امضاي ديجيتال فايل‌ها و اطلاعات حساس کاربر، ايجاد يک پارتيشن امن و رمزگذاري شده در سيستم، دسترسي به برنامه‌هاي کاربردي، ورود امن به شبکه/سيستم عامل، امنيت در شبکه خصوصي مجازي، امنيت پست الکترونيک، هويت شناسي دو عامله در وب، دولت، تجارت و حفظ سلامت الکترونيکي برخي از اين راه‌حل‌ها هستند.

*استفاده‌كنندگان توكن*

تمام مشاغلي كه با جريان اطلاعات سر و كار داشته باشند و علاوه بر آن درصدد نقل و انتقال داده‌ها نيز باشند به تناسب عملكرد توكن‌ها، نيازمند آن براي برقراري ارتباطات امن خواهند بود.

اصلي‌ترين كاربرد اين سيستم‌ها از ديد جليلي در مباحث تجارت الكترونيكي است و زماني كه مي‌خواهيم يك تراكنش الكترونيكي را انجام دهيم و از جهتي هم مي‌خواهيم آغازكننده اين تراكنش از خودش سلب مسوليت نكند و به تعبيري انكار حضور در يك تراكنش الكترونيكي مالي را از اين منظر از افراد سلب خواهيم كرد.

استفاده از توکن‌هاي هوشمند محدود به کاربران و مشاغل خاصي نيست و به‌طور عمده توکن هوشمند توسط مراکز تجارت الکترونيک، بانک‌ها، ارگان‌هاي نظامي، سيستم‌هاي اتوماسيون، وزارت‌خانه‌ها، بيمارستان‌ها و کليه افراد و سازمان‌هايي که محرمانگي و اطمينان از حفظ تماميت و دست‌نخوردگي اطلاعات شخصي برايشان حائز اهميت است و احراز هويت اشخاص جهت دسترسي به منابع اطلاعاتي برايشان ضروري باشد، قابل استفاده است.

*چگونگي ذخيره اطلاعات در توكن*

تراشه موجود در توكن‌ها نقش حافظه را براي ذخيره‌سازي اطلاعات بازي مي‌كند؛ توكن‌ها تعدادي الگوريتم رمز و يك حافظه امن را در خود جاي مي‌دهند كه در اين راستا از حافظه امن براي نگه‌داري اطلاعات حساس مثل كليدهاي رمزنگاري استفاده مي‌شود.

بعضي از توکن‌ها از پردازنده‌هايي استفاده مي‌کنند که امکان انجام رمزنگاري را به‌صورت سخت‌افزاري دارا هستند اما ورود آن‌ها به ايران ممنوع است؛ تراشه يا ميکروکنترلر توکن به‌عنوان مهم‌ترين بخش اين تجهيز مطرح است كه در امنيت و کارايي آن نقش مهمي ايفا مي‌كند.

*هدف توكن هاي بانكي*

منصور وفابخش - مدير يك شركت اينترنتي – معتقد است: توكن در راستاي رواج بانكداري الكترونيك است و معمولا براي حواله‌هاي بانكي از آن استفاده مي‌شود و در موارد كارت به كارت كردن اصولا نيازي به آن‌ها نيست و در كل بيش‌تر براي نقل و انتقالات اين حساب‌ها مورد استفاده هستند.

‌تمامي دسترسي‌هاي مهم افراد به حساب‌هاي بانكي از طريق اينترنت با وجود اين توكن‌ها ميسر است و اين توكن‌ها قادرند كه در هر دقيقه يك رمز توليد كنند تا سوءاستفاده‌اي از حساب‌هاي بانكي افراد به وجود نيايد.

*امنيت توكن‌ها*

توكن‌هايي كه خود در راستاي حفظ امنيت اطلاعات شكل گرفته‌اند اگر نتوانند امنيت را برقرار كنند مسلما كاربران نگران خواهند شد و به همين منظور بايد ديد چه راهكارهايي وجود دارد تا امنيت اين قطعه سخت‌افزاري را به حداكثر برساند.

حملات کانال جانبي مهم‌ترين نوع حملات فيزيکي به تراشه‌هاي توکن هوشمند است؛ معمولا اين نوع از حملات از رفتار تراشه در زمان انجام محاسبات، بهره‌برداري مي‌کنند و تحليل توان مصرفي، تابش الکترومغناطيس، زمان انجام محاسبات، عکس‌العمل در مقابل ايجاد خطا و اختلال، مي‌تواند اطلاعاتي را درباره کليد سري ذخيره شده در حافظه توکن هوشمند، آشکار کند.

در توکن‌هاي هوشمند استفاده از حافظه‌هاي خارجي مي‌تواند امنيت آن‌ها را در مقابل حملات مختلف به خطر اندازد و استفاده از حافظه داخلي ميکروکنترلر در توکن‌هاي هوشمند ضروري است.

اكثر كارشناسان حوزه امنيت اطلاعات معتقدند كه استفاده از اين قطعه سخت‌افزاري بايد محدود به محصولات داخل كشور شود زيرا قطعات ديگر كشورها امكان وجود حفره امنيتي را دارد.

توكن‌ها در كشورهاي مختلفي هم‌چون آمريكا، چين و تايوان ساخته مي‌شوند ولي نمي‌شود از منظر امنيتي به تمام آن‌ها اعتماد كرد زيرا مطمئن نيستيم كه اطلاعات در آن‌ها كپي و جعل نشود.

به عنوان مثال ممكن است بتوان اطلاعات داخل يك توكن را سرقت كرده و از آن سوء استفاده كرد و يا يك توكن كاملا مشابه ساخته و در فرايند ورود به يك سامانه به جاي يك كاربر مجاز ايفاي نقش كرد.

*ساخت داخلي توكن*

تمام مشكلات و نگراني‌ها از استفاده توكن‌هاي خارجي امكان وجود حفره امنيتي در آ‌ن‌هاست.

راه‌حل بسيار ساده‌اي جز توليد داخل و گسترش آن وجود نخواهد داشت در حالي كه اوضاع توليد داخلي كشور ما هميشه با معضلاتي اساسي روبه‌رو بوده است تا جايي كه در بازه‌هاي زماني خاصي با سخت‌گيري‌هاي به وجود آمده، مبادي قاچاق رونق گرفته است.

توليد قطعات سخت‌افزاري توکن هوشمند نيازمند تجهيزات توليد قطعات نيمه هادي است، در حال حاضر امکان ساخت تراشه‌هاي کارت هوشمند و درنتيجه نوعي از توکن‌ها که از اين فن‌آوري استفاده مي‌کنند در ايران وجود ندارد اما انواع ديگر که پردازنده (تراشه) همه منظوره و نرم‌افزار (firmware توکن) خاص خود را دارند، مي‌توانند توليد شوند.

به‌دليل وابسته نبودن صنعت نرم‌افزار به ديگر صنايع، امکان استفاده از علوم رايانه و رمزنگاري در جهت توسعه توکن‌ها و بهبود وضعيت موجود به طور کامل در داخل کشور وجود دارد.

طبق اطلاعات موجود حداقل دو شركت فن‌آور بخش خصوصي داراي اين فن‌آوري در كشور هستند كه اين شركت‌ها ويژگي‌هاي لازم براي توانمندسازي نرم‌افزارها و پورتال‌هاي سازماني را به زيرساخت‌ كليد عمومي كه در بحث امنيت بسيار مهم است دارند و ساخت آن‌ها صد درصد داخلي است؛ اين شرکت‌ها آزمايشات لازم را انجام داده‌اند و چشم به توجه مسوولان به اين توانمندي‌ دارند.

تمام مسوولان عالي كشور، توليد بومي در حوزه امنيت را ارزش مي‌دانند، با وجود اين تاکيد، به تاكيد فعالان بازار، متاسفانه هنوز انگيزه کافي براي خريد محصول داخلي وجود ندارد و از آنجا که بازار افتا عمدتا در اختيار دولت است، عدم توجه مديران دولتي به شکل‌دهي بازار براي چنين محصولاتي، بخش خصوصي را مايوس خواهد كرد.

تا زمانيكه توكن‌هاي ( قفل‌هاي سخت‌افزاري ايمن فردي، مشابه امضاي ديجيتال) ساخت داخل عرضه مي‌شوند، جايز است كه به سراغ توكن‌هاي وارداتي كه امكان حفره‌ي امنيتي نيز دارند، برويم؟!