در مصاحبه راه پرداخت: نگاهی به مفهوم PKI و کاربردهایش به بهانه ارائه PKI همراه با HSM بومی‌سربن توسط شرکت رادین

در مصاحبه راه پرداخت: نگاهی به مفهوم PKI و کاربردهایش به بهانه ارائه PKI همراه با HSM بومی‌سربن توسط شرکت رادین

زیرساخت کلید عمومی‌که در بین فنی‌ها بیشتر با عنوان PKI از آن یاد می‌شود از مواردی است که برای بحث افزایش امنیت در صدور و نگهداری اسناد در سازمان‌ها و کسب‌وکارها استفاده می‌شود و PKI همیشه در همراهی با یک HSM این وظیفه امنیتی را بر دوش می‌کشد. حالا شرکت رادین مدعی است راهکاری یکپارچه از ترکیب PKI این شرکت با HSM بومی‌سربن خود ارائه داده است که به‌شدت در برابر سایر گزینه‌های موجود در کشور، برای سازمان‌ها جذاب‌تر است. به همین بهانه، گفت‌وگویی با مدیران شرکت رادین درباره مفهوم PKI و مفاهیم پیرامون آن و راهکاری که آنها ارائه کرده‌اند، داشتیم.

نگاهی به شرکت رادین

شرکت رادین که حاصل ادغام دو واحد کسب‌وکاری هلدینگ حصین یعنى «نوین تلکام» و «طرح و توسعه حصین ایمن» است، در پنج حوزه اصلى «سامانه‌های بانکى و پرداخت»، «سرویس‌های امنیت فناورى اطلاعات»، «سامانه‌های اپراتورى مخابرات»، «نرم‌افزارهای سفارشى» و «سخت‌افزارهای حوزه امنیت سایبرى و مخابرات» فعالیت می‌کند.

این شرکت که یکی از اهداف اصلی‌اش فعالیت در حوزه امنیت است، در سال ۹۰ به‌طور جدی، دست به تولید HSM بومی‌که ابزاری برای انجام امور رمزنگاری و کنترل مبادلات محرمانه است، زد و اکنون این شرکت علاوه بر HSM، PKI یا همان زیرساخت کلید عمومی‌را نیز با تکیه به این HSM بومی‌ارائه می‌دهد. ترکیبی که تاکنون در بین ارائه‌دهنده‌های راهکارهای امنیتی در کشور دیده نشده بود و رادین به ادعای مدیران این شرکت، اولین شرکتی است که این راهکار را به همراه یک HSM بومی‌در اختیار سازمان‌ها قرار می‌دهد.

با خلیل طاهری مدیر امنیت فناوری اطلاعات، زینب علی‌پناهلو کارشناس ارشد امنیت و رامین عبدالمحمدی کارشناس ارشد سخت‌افزار شرکت پیشرو فناوری اطلاعات رادین درباره راهکار زیرساخت کلید عمومی‌این شرکت گفت‌وگو کردیم تا علاوه بر آشنایی بیشتر با این مفاهیم امنیتی، درباره ارزش‌افزوده راهکار رادین در این حوزه بیشتر بشنویم.

ببینید: تمرکز حصین ایمن بر تولید HSM / درباره خلیل طاهری، مدیر بخش امنیت شرکت حصین ایمن بیشتر بدانید

PKI یا زیرساخت کلید عمومی‌چیست؟

PKI که مخفف عبارت Public Key Infrastructure است در زبان فارسی با ترجمه زیرساخت کلید عمومی‌از آن صحبت می‌شود. زمانی که یک شرکت، سازمان و یا نهاد بخواهد استناد پذیری را به مراحل فرآیند امور جاری خود اضافه کند، PKI به کمکشان می‌آید تا اسناد آن مجموعه را امن کنند.

راه‌حلی که تا به امروز غالبا در فضای دیجیتال برای امن کردن اطلاعات مورداستفاده قرار گرفته است، استفاده از امضای دیجیتال و راه‌کارهای مشابه آن است که اساس و پایه آنها بر رمزنگاری نامتقارن است. در حوزه رمزنگاری نامتقارن مفاهیمی‌به نام کلید خصوصی و کلید عمومی‌وجود دارد که با استفاده از این دو کلید می‌توان عملیات رمزنگاری و صحت سنجی اطلاعات را انجام داد.

چند کاربرد مهم PKI

با توجه به صحبت‌های طاهری، یکی از کاربردهای مهم زیرساخت کلید عمومی‌در مدیریت اسناد است. در گذشته زمانی که سندی صادر می‌شد، شخصی آن را به‌صورت سنتی و دستی امضا می‌کرد و آن سند در سیستم به‌صورت کاغذی وجود داشت؛ این شیوه انتقال پیام‌ها چند مشکل بزرگ داشت؛ اولی امکان جعل اسناد و تغییر محتویات آن و یا وارد شدن یک سند تقلبی به سازمانی بود که تشخیص اصلی بودن یا نبود آن در سیستم سنتی بسیار سخت یا زمان‌بر بود. همچنین گاهی پیش می‌آمد فردی که واقعا سندی را امضا کرده بود، در مواقع حساس منکر آن می‌شد و ادعا می‌کرد آن امضا جعل شده است. درنتیجه امضای دیجیتال و راهکار زیرساخت کلید عمومی‌برای حل این مسائل مطرح شد تا توکنی در اختیار افراد صاحب امضا در سازمان‌ها، قرار داده شود که حکم امضای دیجیتال و البته ابزار احراز هویت آن فرد محسوب شود.

یکی از مزایایی که استفاده از امضای دیجیتال دارد، این است که اگر محتویات آن پیام تغییر کند، مشخص می‌شود و اساسا چون کلید خصوصی دست فرد صاحب امضا است، می‌توان مطمئن شد که کسی غیر از او آن سند را امضا نکرده است. همچنین اگر فرد امضاکننده منکر امضای خود شود، تنها حالتی که می‌توان این ادعا را از او پذیرفت این است که دسترسی او را از سامانه گرفته باشند؛ مثلا پین و ارتباط او را دزدیده باشند.

مدیر امنیت فناوری اطلاعات شرکت رادین یکی دیگر از کاربردهای مهم استفاده از زیرساخت کلید عمومی‌را در آرشیو و مدیریت اسناد عنوان کرد. به طور کلی اگر سازمانی بخواهد به سمت استناد پذیری امن حرکت کند، بایستی یکی از الزامات آن سازمان PKI باشد.CA چیست؟

زیرساخت کلید عمومی‌اجزای اساسی دارد که بخشی از آن HSM و CA هستند. او در صحبت‌هایش به مفهوم گواهینامه امنیتی اشاره کرد و گفت: «توجه داشته باشید فرد امضاکننده در یک سازمان بر اساس گواهینامه امنیتی که از طرف آن سازمان دریافت می‌کند، نقش امضاکننده را دارا است. درواقع مراکز CA یا احراز هویتی در دنیا وجود دارند که مرجع صدور امضاهای دیجیتال هستند. در ایران نیز به‌طور مثال یکی از مراکز، مرکز «ریشه» است که این کار را انجام می‌دهد. مرکز دولتی صدور گواهی الکترونیکی ریشه به‌صورت سلسله مراتبی این امضاها را تایید می‌کند. افراد با توکنی که به آنها داده می‌شود، می‌توانند وارد سامانه شوند و همیشه از همان امضا استفاده کنند. درنتیجه اساسا اگر فردی امضای دیجیتالی را انجام دهد که از طریق گواهینامه امنیتی آن سازمان نبوده باشد، در دنیا جایگاهی ندارد. همچنین زنجیره‌ای که از گواهی ریشه تا گواهی کاربر نهایی وجود دارد، زنجیره اعتماد نام دارد.»

زینب علی‌پناهلو کارشناس ارشد امنیت این شرکت، در ادامه صحبت‌های طاهری، در پاسخ به اینکه CA چیست، این‌طور توضیح داد: «CA مخفف عبارت Certificate Authority است و مراکزی هستند که وظیفه آنها صدور گواهی برای اشخاصی است که ممکن است خودشان صادرکننده میانی باشند؛ در حقیقت یعنی یک CA دیگری در این بین باید باشد که برای یکسری سازمان و موجودیتی دیگر که صادر کننده میانی هستند، گواهی صادر می‌کند.»

مزیت‌های اصلی و کاربردهای بیشتر زیرساخت کلید عمومی

با توجه به صحبت‌های زینب علی‌پناهلو، زیرساخت کلید عمومی‌در کل سه مزیت اصلی دارد؛ اول اینکه مطمئن می‌شویم پیامی‌که دریافت کرده‌ایم از شخص موردنظر به ما رسیده است. دوم اینکه هیچ تغییری در پیام ایجاد نشده و سوم اینکه تنها آن شخصی که پیام را دریافت می‌کند می‌تواند پیام را مشاهده کند.

علی‌پناهلو با اشاره به اینکه روی این سه مزیت اپلیکیشن‌های مختلفی قرار می‌گیرند که یکی از آن‌ها احراز هویت یا به نوعی KYC است، گفت: «دقیقا مکانیسم بلاکچین نیز بر اساس مفاهیم PKI است؛ درواقع کیف پولی که داریم، یک زوج کلید عمومی‌و خصوصی است و زمانی که تراکنشی انجام دهیم، داریم آن تراکنش را به کمک کلید خصوصی امضا می‌کنیم. در این صورت مانند مفهوم PKI، دیگران مطمئن می‌شوند که این پیام از طرف ما بوده و می‌توانند با آدرس کیف پول که در واقع از روی کلید عمومی‌ما ساخته شده است؛ ما را شناسایی کنند و مالکیت بیت‌کوین را مشخص کنند. درنتیجه یکی دیگر از کاربردهای PKI که بلاکچین نیز از آن استفاده می‌کند، بحث احراز هویت مبتنی بر کلید عمومی‌و خصوصی است.»

کارشناس ارشد امنیت شرکت رادین یکی از کاربردهای قدیمی‌زیرساخت کلید عمومی‌را در وب‌سایت‌هایی که بر اساس اعتماد هستند (از پروتکل SSL استفاده می‌کنند)، عنوان کرد و به‌صورت ساده این‌طور توضیح داد: «برای مثال زمانی که شما به یک اینترنت بانک وارد می‌شوید، مرورگر چک می‌کند که گواهی آن اینترنت بانک از سوی یک صادرکننده گواهی معتبر صادر شده است یا خیر. اگر آن صادرکننده گواهی، جزو فهرست صادرکنندگان معتبرش نباشد، جست‌وجویش را ادامه می‌دهد تا مطمئن شود که خود صادر کننده گواهی، دارای یک گواهی معتبر هست؛ به این معنا که از سوی یک صادرکننده معتبر صادر شده است یا خیر. این زنجیره ادامه پیدا می‌کند تا درنهایت مرورگر به یک صادرکننده گواهی معتبر برسد و درصورتی‌که این اتفاق نیفتد ما با خطای امنیتی مواجه خواهیم شد. به گواهی‌های صادر شده از گواهی ریشه تا گواهی کاربر نهایی، زنجیره اعتماد یا Chain of Trust گفته می‌شود.»

با توجه به صحبت‌های علی‌پناهلو، کاربرد دیگری که PKI دارد، بحث Web of Trust است؛ درواقع یعنی دو کاربر در محیط وب بتوانند بین خود اعتماد ایجاد کنند که در این بخش، موضوع اعتماد نقطه‌به‌نقطه مطرح است و بیشترین کاربردش نیز در ارسال ایمیل بین دو کاربر از طریق تبادل کلیدهای عمومی‌یکدیگر است.

درنتیجه می‌توان گفت که کاربرد اصلی PKI در صدور گواهی و احراز هویت است اما کاربرد دیگر آن رمزگذاری است؛ مثلا در بانک یا در هر سازمانی می‌تواند یک PKI محلی وجود داشته باشد که ارتباطات داخل سازمانی را رمزنگاری ‌کند؛ درواقع پیام‌های مبدل شده به‌صورت رمز شده باشند.

بلاکچین یک PKI کامل نیست

به گفته کارشناس ارشد امنیت شرکت رادین، Network of Trust مفهومی‌است که به‌تازگی بیان شده و به معنی اعتماد به یک شبکه است و نه یک فرد یا سازمان. PKI غیرمتمرکز یا Decentralized PKI نیز بر اساس همین مفهوم شکل گرفته است. درست است که بلاکچین از مفاهیم PKI مانند کلید عمومی‌و خصوصی و امضای دیجیتال استفاده می‌کند ولی بلاکچین یک PKI کامل نیست؛ اما می‌توان PKI غیرمتمرکز را با استفاده از ساختار بلاکچین پیاده‌سازی کرد که هم امنیت Web of Trust را داشته باشد (به دلیل عدم اعتماد به یک نهاد مرکزی صدور گواهی و ویژگی اعتماد نقطه‌به‌نقطه بودن) و هم مشکل مقیاس‌پذیری پایین آن را به دلیل ویژگی غیرمتمرکز بودن حل کرده باشد.

وظایف HSM

یکی از المان‌های اصلی PKI، HSM است. HSM مخفف Hardware Security Module است که یک ماژول امنیت سخت‌افزاری است و دارای دو عملکرد اصلی است. اولین و مهم‌ترین وظیفه‌ آن نگهداری کلید به‌صورت امن است و در اینجا امنیت هم مفهوم منطقی و هم مفهوم فیزیکی دارد. دومین عملکرد آن، ارائه خدمات رمزنگاری پایه است.

به گفته علی‌پناهلو، عملیات امضای دیجیتال از طریق ارتباط با HSM انجام می‌شود. در بحث مدیریت و نگهداری کلید نیز کلید خصوصی صادر کننده گواهی PKI که سایر گواهی‌های معتبر با آن صادر می‌شود؛ داخل HSM به‌صورت امن نگه ‌داشته می‌شود و کسی به آن دسترسی ندارد و هر زمان قرار باشد سند و یا اطلاعات مهمی‌امضای دیجیتال شود، به HSM ارسال و از طریق کلید خصوصی امضا می‌شود؛ بنابراین می‌توان گفت دستگاه HSM نقش اساسی را در پیاده‌سازی این بستر اعتماد داراست.

او سپس به HSM بومی‌شرکت رادین به نام سربن اشاره می‌کند و می‌گوید که HSM بومی‌این شرکت ازلحاظ TPS با HSMهای خارجی مشابه، برابری می‌کند. مزیت آن نیز این است که می‌تواند بر اساس نیاز مشتری شخصی‌سازی و پشتیبانی شود.

کلید در HSM آخرین نقطه اعتماد

سپس طاهری درباره مخفی نگه‌داشتن کلید در HSM صحبت کرد و گفت: «در حال حاضر مشخص است که الگوریتم‌های رمزنگاری چه چیزی هستند، چگونه کار می‌کنند و چه مکانیسمی‌دارند ولی تنها موردی که از همگان مخفی است، کلید است و اساسا HSM، کلید را مخفی نگه می‌دارد. درواقع کلید آخرین نقطه اعتماد است و در استانداردها گفته‌شده که کلید نباید به‌صورت شفاف (Plain) تحت هیچ شرایطی از HSM خارج شود مگر در موارد خاصی که تشخیص داده می‌شود؛ بنابراین زمانی که می‌خواهیم اطلاعاتی را رمزنگاری کنیم، باید برای این کار اطلاعات را به خود HSM بدهیم.»

 

 

به گفته مدیر امنیت فناوری اطلاعات رادین، اگر کلید فاش شود اساسا تمام سناریوها به خطر می‌افتد. درنتیجه HSM با ملاحظات امنیتی که بخشی از آن نرم‌افزاری و سخت‌افزاری است، کلید را مخفی نگه می‌دارد. در قسمت سخت‌افزاری استانداردی به نام FIPS توسط سازمانی به نام NIST در آمریکا طراحی شده است. استانداردی که برای HSMها تعریف شده است، FIPS 140-2 است که چهار سطح دارد و متعارف است که HSMهای خارجی و البته بومی، این استاندارد را کسب کنند. سطح سوم FIPS 140-2 امنیت فیزیکی را شامل می‌شود که معمولا HSMها سطح سه را دارا هستند.

همچنین PKCS#11 به‌عنوان یک استاندارد نرم‌افزاری مطرح شده است تا نقطه اعتماد را امن کند. واسط ارتباطی HSMها در دنیا نیز از استاندارد PKCS#11 پشتیبانی می‌کنند. درنتیجه در PKI، HSM یک جز اصلی است چراکه اگر اطلاعات HSM فاش شود، همه‌چیز به خطر می‌افتد.

امنیت خود کلید در HSM چگونه است؟

عبدالمحمدی کارشناس ارشد سخت‌افزار شرکت رادین نیز در ادامه درباره امنیت HSM در نگهداری از کلید صحبت کرد: «HSM مکانیسم‌های امنیتی برای افزایش اعتماد دارد. اول اینکه چند سطح کلید وجود دارد؛ یعنی کلیدهای خصوصی که استفاده می‌شوند با کلید دیگری رمزگذاری شده‌اند که کلید اصلی تنها در HSM است و کسی به آن دسترسی ندارد.»

 

با توجه به گفته‌های عبدالمحمدی، مکانیسم‌های نرم‌افزاری و سخت‌افزاری امنیتی نیز در HSM وجود دارد تا سطح امنیتی را بالا ببرد. در حوزه سخت‌افزاری نیز چند مکانیسم وجود دارد؛ یکی نفوذ فیزیکی است یعنی ماژول داخل HSM به‌صورت فیزیکی امن شده و به‌گونه‌ای طراحی شده که کسی نتواند به‌صورت فیزیکی به آن نفوذ کند و اگر در هر شرایطی به HSM نفوذ پیدا کرد، آن کلید اصلی به‌صورت خودکار از بین می‌رود تا کسی نتواند محتوای کلید را داشته باشد.

ریسک استفاده از SSM به جای HSM

با توجه به صحبت‌های طاهری، سازمان‌هایی که PKI ندارند از همان سیستم سنتی برای مستندسازی اسناد خود استفاده می‌کنند. در حوزه رمزنگاری نیز متاسفانه از HSM استفاده نمی‌کنند و در بهترین حالت از SSM (Software Security Module) استفاده می‌کنند؛ یعنی برای مثال کدی را می‌نویسند که کلیدها را داخل یک فایل ذخیره می‌کند؛ درواقع کاربری HSM را دارد ولی امنیت آن را ندارد. نکته‌ی خیلی مهم این است که کلید اصلا نباید از HSM بیرون آید چراکه HSM ذاتا ایجاد شده تا از کلید نگهداری کند. درنتیجه وقتی می‌گوییم که SSM خطر دارد به این خاطر است که کلید بیرون نگه داشته می‌شود و امنیتی ندارد.

چرا PKI با HSM بومی؟

طاهری می‌گوید که اصولا PKI یک استاندارد مشخص و قابل‌استفاده دارد؛ درنتیجه پیاده‌سازی PKI کار بسیار سختی نیست و سختی کار جایی است که بخواهیم نقطه آخر یعنی HSM را بسازیم چراکه ترکیبی از نرم‌افزار و سخت‌افزار است. توجه داشته باشید که دانش نرم‌افزاری کشور به‌روز و دسترسی به آن نیز نسبتا آسان است ولی دانش سخت‌افزاری در کشور همگام با دانش دنیا نیست و عملا دسترسی به آن سخت‌تر است.

او در پاسخ به اینکه چرا سازمان‌ها و نهادهای کشور باید از HSM بومی‌استفاده کنند، این‌طور توضیح داد: «اولین نکته‌ی استفاده از HSM بومی، سخت‌افزار آن است؛ زمانی که سخت‌افزار خارجی را خریداری می‌کنیم اولین مشکل و دغدغه، پشتیبانی آن است. اصولا دستگاه HSM همیشه برای ایران تحریم بوده درنتیجه هیچ زمان به ما پشتیبانی داده نمی‌شود. دومین دلیل این است که HSM آخرین نقطه اعتماد است و اگر از HSM خارجی استفاده کنیم امنیتمان نیز وابسته است، درنتیجه HSM داخلی این مزیت را دارد که اطلاعات کشور بیرون نمی‌رود. سومین نکته اینکه سازمان‌ها بعضا الگوریتم‌های بومی‌دارند که می‌توان آنها را در HSM بومی‌پیاده‌سازی کرد؛ در حقیقت می‌توان بر اساس نیاز مشتری آن را شخصی‌سازی کرد و نکته‌ی آخر اینکه هزینه تهیه HSM بومی‌نیز به نسبت HSMهای خارجی خیلی کمتر است.»

 

 

به گفته طاهری شرکت‌هایی که در دنیا PKI همراه با HSM ارائه می‌دهند تعدادشان خیلی کمتر از شرکت‌هایی است که فقط راه‌حل PKI ارائه می‌دهند و شرکت‌هایی که در ایران راه‌حل PKI ارائه می‌دهند از دو حالت خارج نیستند؛ یا از HSM خارجی استفاده می‌کنند یا شبیه‌ساز ارائه می‌دهند ولی نقطه قوت آنها در شرکت رادین این است که PKI را با HSM داخلی ارائه می‌دهند و به نوعی تنها شرکتی در ایران هستند که این ترکیب را ارائه می‌کنند.

جای خالی رویداد تخصصی در حوزه امنیت

در پایان این گفت‌وگو خلیل طاهری مدیر امنیت فناوری اطلاعات شرکت رادین در خصوص دغدغه‌هایش درباره امنیت در سازمان‌ها و نهادهای کشور صحبت کرد و گفت: «تاکنون ازلحاظ امنیت در کشور رشد خوبی داشتیم ولی هنوز هم امنیت اولویت آخر سازمان‌ها و شرکت‌ها است، غافل از اینکه بسیار مسئله مهمی‌است.»

به عقیده او، باید توجه جدی به بخش امنیت در کشور شود که بخشی از آن نیز وظیفه رگولاتورها است و باید آن را الزام کنند. او گفت: «برای مثال امروز HSM بومی‌در کشور تولید شده است و مجموعه‌هایی هستند که HSM بومی‌و PKI بومی‌ابداع کرده‌اند، رگولاتور باید الزامی‌را برای سازمان‌ها قرار دهد که اگر می‌خواهند از PKI استفاده کنند، اول از هر چیز به سراغ PKI بومی‌روند و از آنها استفاده کنند. چنین الزامی‌در حال حاضر وجود ندارد.»

طاهری به نبود یک رویداد تخصصی در حوزه امنیت در کشور نیز اشاره کرد و گفت: «همچنین فرهنگ این موضوع باید بین شرکت‌ها و سازمان‌ها اصلاح شود و رگولاتورها سعی کنند دوره‌های تخصصی برگزار کنند تا دانش سازمان‌های کشور در این خصوص بالا رود؛ اما متاسفانه هنوز در کشور رویدادهایی که به‌صورت تخصصی در حوزه امنیت برگزار شوند، وجود ندارد و جای آنها خالی است یعنی ما یک رویداد سالانه امنیت نداریم تا شرکت‌هایی که دستاوردی در این حوزه دارند، در آن حضور داشته باشند و محصولاتشان را ارائه دهند.»