گواهی احراز هویت

گواهی الكترونیكی چیست؟

گواهی الكترونیكی (digital certificate) شناسه دیجیتال یك موجودیت (مانند فرد، دستگاه شبكه، نرم‌افزار، سیستم، و غیره) در تعاملات الكترونیكی است. در واقع، همانطور كه در تعاملات غیر الكترونیكی، "كارت ملی" یا شناسنامه یك فرد شناسه وی می‌باشد، در تعاملات الكترونیكی "گواهی الكترونیكی" شناسه فرد (و بطور كلی هر موجودیت) می‌باشد. در تعاملات الكترونیكی (برخلاف تعاملات رو در رو)، طرفین ممكن است نتوانند هویت طرف مقابل را شناسایی كنند. این چالش می‌تواند منجر به برخی محدودیت‌ها و مشكلات در این نوع تعاملات شود. برای مثال، وقتی یك فرد به سیستم login می‌كند، نمی‌توان مطمئن بود كه آن فرد همان فردی است كه انتظار می‌رود باشد. برای روشن‌تر شدن مطلب، تصور كنید یك حمله‌كننده نام كاربری و كلمه عبور یك فرد را در اختیار دارد (مثلاً آن‌ها را به درستی حدس زده است). بدین‌سان، وقتی حمله‌كننده به سیستم login می‌كند، تصور می‌شود كه فرد اصلی login كرده است اما در واقع این حمله‌كننده است كه به سیستم login كرده است. این مشكل ناشی از عدم امكان شناسایی هویت افراد است.

گواهی الكترونیكی، رایج‌ترین راه‌حل مواجهه با چالش بالا است. یك موجودیت با استفاده از گواهی الكترونیكی خود می‌تواند به طرف مقابل خود اطمینان دهد كه با موجودیت موردنظر خود در تعامل است.


گواهی احراز هویت چیست؟

گواهی احراز هویت برای یك موجودیت (مثلاً كاربر انسانی)، شناسه هویتی وی است كه با استفاده از آن می‌تواند خود را به سایر موجودیت‌ها در یك محیط مانند وب‌سایت، سیستم‌عامل، شبكه، دامنه، و غیره معرفی كند. از آنجا كه شناسه هویتی یك موجودیت باید منحصر به فرد و از طرفی صحیح و دقیق باشد، گواهی احراز هویت نیز چنین ویژگی‌هایی را دارد؛ زیرا یك مركز صدور گواهی قبل از صدور گواهی برای موجودیت، ابتدا آن موجودیت را به طور دقیق و مطمئن احراز هویت می‌كند. بدین‌سان، وقتی یك فرد یا به طور كلی هر موجودیت گواهی خود را به عنوان شناسه هویتی خود ارائه می‌‌كند، می‌توان از درستی اطلاعات شناسه مطمئن بود. همچنین، به دلیل اینكه گواهی الكترونیكی به هیچ وجه قابل تغییر و دستكاری نیست، امكان جعل آن و استفاده توسط موجودیتی دیگر (حمله‌كننده) وجود ندارد.


در چه كاربرد‌هایی می‌توان از گواهی احراز هویت استفاده كرد؟

معمولاً در روش‌های احراز هویت از نام كاربری و گذارواژه استفاده می‌شود كه مشكلات امنیتی متعددی مثل حملات لغت‌نامه‌ای، حدس زدن كلمه عبور، دزدی پایگاه داده كلمات عبور، فریب‌كاری، و غیره دارد. احراز هویت مبتنی بر گواهی الكترونیكی (certificate-based authentication) جایگزین مطمئن و امنی برای روش‌های مذكور است؛ همچنین مكملی برای سایر روش‌ها مثل احراز هویت دو عامله است. با استفاده از این گواهی، به طور دقیق می‌توان موجودیت‌ها (مثل افراد و سیستم‌ها) را شناسایی كرد. حتی از این گواهی می‌توان در مكانیزم‌های كنترل دسترسی نیز استفاده كرد. نمونه‌هایی از كابرد‌های احراز هویت مبتنی بر گواهی الكترونیكی در زیر آمده است:

  • امنیت ارتباطات SSH: با احراز هویت مبتنی بر كلید عمومی به جای SSH معمولی مبتنی بر نام كاربری و گذرواژه، امنیت این نوع ارتباطات افزایش می‌یابد.
  • امنیت ارتباطات VPN: علاوه بر رمزگذاری در ارتباطات VPN، می‌توان با استفاده از گواهی الكترونیكی یك ارتباط تصدیق اصالت‌شده نیز داشت. برای نمونه، در ارتباطات SSL VPN و IPSec می‌توان از گواهی الكترونیكی برای تصدیق اصالت كلاینت و دروازه VPN استفاده كرد. برای چنین قابلیتی، می‌توان از گواهی احراز هویت (سمت كلاینت) و گواهی SSL (سمت سرور) استفاده كرد. همچنین این روش جایگزین امنی برای مكانیزم مبتنی بر نام كاربری و گذرواژه جهت دسترسی امن از راه دور از طریق VPN (برای مثال در SSL VPN) است.
  • امنیت ارتباطات بی‌سیم:با استفاده از استاندارد 802.1x و پروتكل‌هایی مانند EAP-TLS و EAP-TTLS و گواهی‌های احراز هویت و SSL می‌توان امنیت بهتری نسبت به ارتباطات بی‌سیم معمولی (مبتنی بر كلید مشترك ثابت [network key]) داشت به طوری كه:
    • فقط كاربران و سیستم‌هایی كه دارای گواهی معتبر و مورد اعتماد باشند می‌توانند به شبكه متصل شوند.
    • كاربران می‌توانند اطمینان حاصل كنند كه به شبكه مورد نظر خود (نه شبكه جعلی) متصل شده‌اند.
    • به جای استفاده از یك كلید مشترك ثابت در همه ارتباطات، در هر ارتباط یك كلید تولید می‌شود كه حمله تحلیل ترافیك روی ارتباط را بسیار دشوار می‌كند.
  • ورود امن: در حالت عادی جهت ورود به سیستم‌عامل (ویندوز، لینوكس، ...)، دامنه، شبكه، وب‌سایت‌ها و پرتال‌ها، و سایر محیط‌ها از راه‌حل نام كاربری و گذارواژه استفاده می‌شود كه در بالا به مشكلات امنیتی این روش اشاره شد. راه‌حل امن‌تر و قابل اطمینان‌تر، استفاده از گواهی احراز هویت در این محیط‌ها است. برای نمونه‌ می‌توان به قابلیت Smartcard logon در ویندوز و لینوكس اشاره نمود.



تمام حقوق سایت مركز میانی پارس‌ساین، متعلق به شركت امن‌افزار گستر شریف می‌باشد.