اطلاعات محرمانه چگونه حفظ میشوند؟
یک کارشناس فنآوری اطلاعات نبود فضای امن برای نگهداری اطلاعات را یکی از مشکلات رایانههای امروزی دانست و گفت: توکنهای امنیتی وظیفه نگهداری اطلاعات حساس، رمزنگاری و احراز اصالت را برعهده دارند و کلید رمز توکن های بومی بههیچ عنوان قابل شکستن نیست و از امنیت پایداری برخوردار است.
مسعود رجایی در گفتوگو با ایسنا، با بیان این که توکن (TOKEN) امنیتی (قفل اطلاعات محرمانه افراد) یک ماژول سختافزاری است که برای احراز اصالت فرد، نگهداری اطلاعات حساس و عملیات رمزنگاری استفاده میشود، اظهار کرد: هر توکن امنیتی معمولا دارای یک شناسه شخصی یا اصطلاحا PIN است که برای فعالسازی توکن بهکار میرود و از آن میتوان برای احراز اصالت فرد در رایانهها و یا شبکههای رایانهیی استفاده کرد.
او گفت: همچنین میتوان از توکن برای ذخیرهسازی امن اطلاعات حساس نظیر کلیدهای رمزنگاری، اطلاعات لاگین به رایانه و سرورها (شامل نام کاربری و گذرواژه) و کلیدهای خصوصی مربوط به گواهیهای دیجیتال استفاده کرد.
وی یادآور شد: مشکلی که در حال حاضر در تمام رایانهها موجود است، نبود فضای امن برای نگهداری اطلاعات مهم و حساس است که توسط فرد نفوذگر به رایانه شما قابل دسترسی نباشد که منظور از این فرد نفوذگر یک سرویس اطلاعاتی و یا شرکتی مثل مایکروسافت است نه یک هکر معمولی.
یک کارشناس فنآوری اطلاعات نبود فضای امن برای نگهداری اطلاعات را یکی از مشکلات رایانههای امروزی دانست و گفت: توکنهای امنیتی وظیفه نگهداری اطلاعات حساس، رمزنگاری و احراز اصالت را برعهده دارند و کلید رمز توکن های بومی بههیچ عنوان قابل شکستن نیست و از امنیت پایداری برخوردار است.
مسعود رجایی در گفتوگو با ایسنا، با بیان این که توکن (TOKEN) امنیتی (قفل اطلاعات محرمانه افراد) یک ماژول سختافزاری است که برای احراز اصالت فرد، نگهداری اطلاعات حساس و عملیات رمزنگاری استفاده میشود، اظهار کرد: هر توکن امنیتی معمولا دارای یک شناسه شخصی یا اصطلاحا PIN است که برای فعالسازی توکن بهکار میرود و از آن میتوان برای احراز اصالت فرد در رایانهها و یا شبکههای رایانهیی استفاده کرد.
او گفت: همچنین میتوان از توکن برای ذخیرهسازی امن اطلاعات حساس نظیر کلیدهای رمزنگاری، اطلاعات لاگین به رایانه و سرورها (شامل نام کاربری و گذرواژه) و کلیدهای خصوصی مربوط به گواهیهای دیجیتال استفاده کرد.
وی یادآور شد: مشکلی که در حال حاضر در تمام رایانهها موجود است، نبود فضای امن برای نگهداری اطلاعات مهم و حساس است که توسط فرد نفوذگر به رایانه شما قابل دسترسی نباشد که منظور از این فرد نفوذگر یک سرویس اطلاعاتی و یا شرکتی مثل مایکروسافت است نه یک هکر معمولی.
این کارشناس درباره نحوه عملکرد توکن عنوان کرد: توکنها تعدادی الگوریتم رمز و یک حافظه امن را در خود جای میدهند که در این راستا از حافظه امن برای نگهداری اطلاعات حساس مثل کلیدهای رمزنگاری استفاده میشود.
رجایی گفت: به عنوان نمونه کلید رمز مورد استفاده در الگوریتم رمز به هیچ وجه حتی توسط خود شخصی که کلید را در آن قرار داده است، قابل خواندن نیست و از امنیت بسیار بالایی برخوردار است.
این کارشناس فنآوری اطلاعات ادامه داد: در رمزشکنی سیستمهای رمزنگاری امروزی، فرض میشود دشمن از ساختار الگوریتم رمز مطلع و هدف وی بهدست آوردن کلید رمز باشد.
وی افزود: لازم به ذکر است که توانایی تولید داخل به حدی رسیده است که با تکنولوژیهای برتر امروزی امکان استخراج کلید رمز از داخل توکن وجود نخواهد داشت.
او درباره تفاوت توکن امنیتی با قفلهای سختافزاری (Dongle) بیان کرد: کار قفل جلوگیری از کپی غیرمجاز نرمافزار است که توکن هم این قابلیت را داراست ولی به هیچ عنوان در تنوع خدماتی که ارائه میدهد قابل قیاس با قفلها نیست.
رجایی با اشاره به جامعه هدف برای استفاده از توکنها گفت: کارمندان سازمان ها، ادارات و کلیه سرویسگیرندگان از سرورها استفادهکنندگان عمده از توکنهای امنیتی است و بهعنوان مثال توکن میتواند در خبرگزاریها مورد استفاده قرار گیرد تا یکسری از اخبار در اختیار سازمانها یا افراد خاصی قرار بگیرد.
وی درباره امکان استفاده سایر اقشار مردم از توکن با بیان اینکه امروزه امکانات استاندارد رمزنگاری در سیستمهای عامل و برنامههای کاربردی معروف پیش بینی شده است اظهار کرد: به عنوان مثال سرویس امنسازی ایمیل و یا سرویس امنسازی وب؛ این امکانات عمدتا مبتنی بر زیرساخت رمزنگاری کلید عمومی (PKI) است که در آن از گواهیهای دیجیتال کاربران استفاده میشود و معمولا هم کاربران کلیدهای خصوصی مربوط به گواهی دیجیتال خود را برروی هارد کامپیوتر نگهداری میکنند که از لحاظ امنیتی میتواند مشکلاتی را به همراه داشته باشد که در این موارد راهحل امن استفاده از توکنهای امنیتی است.
این کارشناس با بیان این که برای استفاده از توکنهای امنیتی در معماری PKI استانداردهای خاصی وجود دارد اذعان کرد: در حال حاضر استاندارد PKCS#11 به عنوان یک استاندارد فراگیر مطرح است و سازندگان
نرمافزار با پشتیبانی از این استاندارد امکان استفاده از ماژولهای امنیتی را برای نگهداری کلید خصوصی فراهم میکنند که علاوه بر این استاندارد، شرکت مایکروسافت نیز استاندارد خاص خود با نام CSP را ارائه کرده است.
وی یادآور شد: توکنها در کشورهای مختلفی همچون آمریکا، چین و تایوان ساخته میشوند ولی نمیشود از منظر امنیتی به تمام آنها اعتماد کرد زیرا مطمئن نیستیم که اطلاعات در آنها کپی و جعل نشود.
او ادامه داد: به عنوان مثال ممکن است بتوان اطلاعات داخل یک توکن را سرقت کرده و از آن سوء استفاده کرد و یا یک توکن کاملا مشابه ساخته و در فرایند ورود به یک سامانه به جای یک کاربر مجاز ایفای نقش کرد.
رجایی درباره آثار تحریم بر توکنهای امنیتی اظهار کرد: کشورهای دیگر از توکنها استفاده امنیتی میکنند و حتی در شرایط بحرانی میتوانند با استفاده از دریچهها و درهای پشتی (BACKDOOR) وارد مسائل امنیتی کشور و سازمانهای ما شوند که در همین راستا بیشترین انگیزه شرکت ما هم از ساخت توکنها، جلوگیری از ورود چنین سیستمهای غیرایمنی به کشور بوده است و خوشبختانه اولین سازنده توکن در کشور بودیم که گونه کاملا بومی این سیستم را طراحی و پیادهسازی کردیم.
این کارشناس امنیت شبکه قوانین گمرکی را برای ورود توکن به کشور باز دانست و در پایان گفت: این موضوع با وجود تولیدات بومی داخل کشور است و شاهدیم که هنوز توکنهای امنیتی از خارج وارد میشود.