کیا ۱۳۹۵-۱۲-۲۵ ۱۹:۱۶:۵۵ +۰۳:۳۰

توکن امنیت سخت‌افزاری

شاید تا به حال درباره امضای دیجیتال شنیده‌ باشید!
یا شاید درمورد ارائه‌ خدمات الکترونیکی دولت، همراه با امضای دیجیتال اطلاع دارید!
مطمئناً از انجام عملیات مالیاتی در سامانه الکترونیکی سازمان امور مالیاتی و دارایی، همراه با امضای دیجیتال خبر دارید؟
آیا  شما هم جزء آن دسته از افراد هستید که به امنیت سامانه‌های رایانه‌ای که امروزه  نیاز هر سازمانی است شک دارید؟
حتماً در مورد جعل اسناد الکترونیکی در دنیای مجازی شنیده‌اید؟
احتمالاً دشواری نگهداری نام‌کاربری و کلمه‌عبور نیز گریبان‌گیر شما نیز بوده است!
ترس لو رفتن نام‌کاربری و کلمه ‌عبور و سوء استفاده از آن توسط افراد خرابکار!
مطمئنا به حساسیت اطلاعات مالی و پولی خود یقین دارید! پس چگونه به سامانه‌های حسابداری ناامن اعتماد می‌کنید؟
نگرانی مدیریت سازمان از تغییر محتوای نامه‌ها و اسناد الکترونیکی در آرشیو و حتی دسترسی غیر مجاز به اسناد محرمانه، یک دغدغه جدی است.
آیا می‌دانستید که می‌توانید نامه‌های الکترونیکی خود را به سادگی از دسترسی و تجاوز دیگران مصون بدارید؟
شاید در سازمان شما اتفاق افتاده باشد که کاربری از وجود سندی در سامانه، با نام خویش به دروغ اظهار بی‌اطلاعی کند! ویا حتی آن را کتمان کند؟
آیا می‌دانستید دسترسی به اطلاعات محرمانه در سطح شبکه، بسیار آسان است؟
شاید جزء آن دسته از تولیدکنندگان نرم‌‌افزار باشیدکه مشتریان‌تان همواره به امنیت سامانه‌های نرم‌افزاری شما ایراد می‌گیرند و بدین ترتیب بخشی از مشتریان خود را از دست می‌دهید!
و شاید به دنبال یک راه‌حل آسان و بی‌دغدغه، جهت پیاده‌سازی عملیات رمزنگاری و امضای دیجیتال در نرم‌افزار و سامانه‌ خود هستید؟

 اکنون اعلام می‌داریم، توکن کیا۳ همه‌ این نیاز‌ها و نگرانی‌ها را برطرف خواهد کرد. توکن کیا۳ محصولی است که توسط متخصصان ایرانی طراحی و ساخته شده است. این محصول با استفاده از تکنولوژی‌های جدید و مدرن رمزنگاری و امضای دیجیتال و با بهره‌گیری از ابزارها و کتابخانه‌های برنامه‌نویسی متعدد خود، راهکارهایی آسان برای ایجاد اطمینان خاطر، در سامانه‌های رایانه‌ای ناامن و نفوذپذیر کنونی، ارائه کرده است.

توکن کیا۳ یک ماژول سخت‌افزاری است که جهت افزایش سطح امنیت کاربردهای متنوع رایانه‌ای طراحی شده است. این ماژول از طریق پورت USB به رایانه متصل می‌گردد و سرویس‌های مورد نیاز را به برنامه‌های کاربردی ارائه می‌نماید. توسعه‌دهندگان کاربردهای رایانه‌ای می‌توانند امنیت مطلوب در این کاربردها را با بهره گرفتن از توکن کیا۳ به عنوان یک منبع نفوذناپذیر امنیت، تأمین کنند. از جمله مهم‌ترین سرویس‌های امنیتی که ماژول کیا۳ ارائه می‌نماید می‌توان به انـواع سرویس‌های محرمــانگی، صحت، احـراز اصالت و دیگر خدمات استاندارد مطرح در زیرساخت PKIاشاره کرد. با استفاده از این خدمات، توسعه‌دهندگان نرم‌افزار می‌توانند امنیت کاربردهایی همچون انتقال، پردازش و ذخیره اطلاعات حساس، قفل‌گذاری نرم‌افزارهای ارزشمند، رمزنگاری متقارن و نامتقارن (با بکارگیری کلیدهای مخفی درون ماژول)، ‌احراز اصالت کاربران و … را با سهولت هرچه بیشتر فراهم نمایند. ماژول کیا۳ با بهره‌گیری از طراحی و پیاده‌سازی کاملاً بومی (به معنای طراحی بر اساس نیازمندی‌های کشور) یک محصول بومی به حساب می‌آید. وسعت زیاد و کیفیت بالای خدمات امنیتی این ماژول، حتی در مقایسه با محصولات خارجی نیز آن را به یک محصول منحصر به فرد تبدیل نموده است.

توکن کیا۳ از رابط‌های برنامه‌نویسی متعددی بهره برده است که عبارتند از: رابط اختصاصی کارت هوشمند، رابط اختصاصی توکن و رابطهای استاندارد PKI. هسته اصلی ماژول کیا۳ یک سیستم عامل استاندارد کارت هوشمند مبتنی بر استاندارد ISO 7816 است. با این وجود ماژول کیا۳ علاوه بر حالت کارت هوشمند، به صورت توکن نیز قابل استفاده است. رابط کارت هوشمند کیا۳ با پشتیبانی از این سیستم‌عامل، سرویس‌های کارت هوشمند اصیل (و نه شبیه‌سازی شده) را به برنامه‌های کاربردی توسعه‌دهندگان حرفه‌ای ارائه می‌دهد. توسعه‌دهنده برنامه کارت هوشمند علاوه بر بهره‌گیری از یک کارت هوشمند تمام‌عیار، از امکانات مخصوص کارت هوشمند از قبیل سیستم‌فایل و سیستم کنترل دسترسی فوق‌العاده منعطف و پیشرفته، پیکربندی امنیتی اختصاصی درون ماژول و تعریف نقش‌های امنیتی متنوع و دلخواه به همراه روش‌های پیشرفته احراز اصالت برای هر یک از نقش‌های امنیتی بهره‌مند می‌گردد.

در رابط توکن کیا۳ علاوه بر رعایت معیارها و استانداردهای ضمنی سازندگان معتبر توکن در دنیا، سادگی و سهولت توسعه برنامه در اولویت قرار گرفته است. بدین‌ترتیب توسعه‌دهنده برنامه به راحتی می‌تواند برنامه‌های خود را با استفاده از این رابط تولید کند و از سرویس‌های کیا۳ بهره‌مند گردد. رابط‌های PKI ماژول نیز با توجه به رویکرد روزافزون توسعه‌دهندگان راه‌کارهای امنیتی مبتنی بر زیرساخت PKI از اهمیت بیشتری برخوردار شده‌اند. دو رابط CSP و PKCS#11 ماژول کیا۳ قابلیت ارائه خدمات PKI در کلیه کاربردهای منطبق با زیرساخت PKI را دارند.

ویژگی‌های کلی

  • انتقال سریع داده‌ها با استفاده از استاندارد USB 1.1 نوع A
  • مصرف کم انرژی
  • حافظه امن داخلی تا حجم ۲۵۶ کیلو بایت
  • هسته منطبق با استاندارد کارت هوشمند (ISO 7816) و پشتیبانی از رده وسیعی از فرمان‌های کارت هوشمند
  • شناسایی خودکار توسط رایانه بدون نیاز به درایور (با استفاده از واسط HID)
  • شماره سریال ۶۴ بیتی یکتا
  • امکان استفاده در محیط‌های ویندوز و لینوکس
  • قابلیت استفاده در میان‌افزار PKE دستینه (Dastine-Enabled)

مکانیزم‌های امنیتی

  • احراز اصالت یک‌عاملی و دو‌عاملی با کلید رمز قرار گرفته در کد نرم‌افزار یا شماره شناسایی شخصی (PIN)
  • استفاده از PIN با طول حداکثر ۳۲ کاراکتر جهت امنیت بیشتر
  • قابلیت استفاده از الگوریتم‌های رمز با طول کلید حداکثر ۶۴ بایت جهت انجام احراز اصالت
  • پیاده‌سازی کلیه الگوریتم‌های رمزنگاری متقارن و نامتقارن به صورت سخت‌افزاری (On-board)
  • الگوریتم‌های رمز متقارن استاندارد AES(128-256)، DES، ۳DES و الگوریتم اختصاصی پیام‌پرداز (PAYA2)
  • قابلیت استفاده از الگوریتم‌های رمزنگاری به سفارش مشتری
  • الگوریتم رمز نامتقارن (RSA(512-4096 جهت امور رمزنگاری یا امضای دیجیتال
  • تولید زوج کلید (RSA(512-4096 در داخل ماژول به صورت سخت‌افزاری
  • الگوریتم‌های چکیده‌ساز SHA1، SHA256، MD5، CRC32 و صحت HMAC
  • امکان رمزنگاری با کلیدهای تزریق شده غیرقابل خواندن
  • امکان تعریف کلید با سطوح دسترسی مختلف (از قبیل کلیدهای آزاد، اشتراکی یا خصوصی)
  • قابلیت استفاده به عنوان مولد اعداد تصادفی سخت‌افزاری

ویژگی‌های حفاظتی

  • استفاده از کلید رمز یکتا برای رمز حافظه داخلی هر ماژول
  • استفاده از پروتکل‌های امنیتی استاندارد و اختصاصی جهت حفاظت اطلاعات مبادله شده (Secure Messaging) و ذخیره شده در ماژول
  • مکانیزم‌های پیشگیری از حملات قابل تصور توسط سازنده میکرو یا سازنده توکن (شرکت پیام‌پرداز) به اطلاعات ماژول مبتنی بر روش‌های رمزنگاری جهت حداکثر‌سازی امنیت داده‌ها
  • استفاده از مولد اعداد تصادفی سخت‌افزاری جهت نیازمندی‌های داخلی
  • سیستم چرخه حیات برگرفته از چرخه حیات استاندارد کارت‌های هوشمند شامل فازهای مختلف (سازنده، توسعه‌دهنده، مدیرسازمان و کاربر) و کنترل کامل اطلاعات هر فاز توسط صاحبان فاز
  • فاز خاتمه استفاده جهت از رده خارج کردن ماژول و انهدام کلیه اطلاعات آن در مواقع اضطراری

استانداردها

  • استانداردهای کارت هوشمند ISO 7816-4,8,9
  • (Microsoft CAPI (CSP
  • PKCS#1,11,12
  • مدیریت گواهی‌های X.509
  • درایور کارتخوان PC/SC

کاربردها

  • ذخیره‌سازی امن داده‌های حساس
  • قفل سخت‌افزاری در برنامه‌های رایانه‌ای جهت جلوگیری از تکثیر غیرمجاز
  • رمزکننده سخت‌افزاری جهت پیاده‌سازی سرویس محرمانگی در کاربردهای رایانه‌ای
  • پیاده‌سازی سرویس احراز اصالت کاربر در کاربردهای رایانه‌ای
  • قابلیت به‌کارگیری به عنوان توکن امنیتی در کاربردهای مبتنی بر PKI سازگار با استانداردهای CSP و PKCS#11:
  • مبادله امن Email در محیط‌های Microsoft Outlook، Mozilla Thunderbird و Netscape
  • برقراری SSL در محیط‌های IE و Firefox
  • توسعه برنامه‌های کاربردی مبتنی بر PKI
  • توسعه برنامه‌های کاربردی مبتنی بر استاندارد کارت هوشمند
  • قابلیت‌های  کارت هوشمند در محیط ویندوز:
    • ورود (Login) دوعاملی در Domain
    • برقراری VPN مبتنی بر گواهی دیجیتال

متعلقات ماژول 

  • کتابخانه ماژول در محیط ویندوز حاوی دو رابط برنامه‌نویسی کارت هوشمند و توکن پشتیبانی شده به صورت مستقیم در زبان‌های C و ++C و از طریق واسط COM در زبان‌هایC#،Delphi و …
  • واسط‌های PKCS#11 و CSP‌ جهت معرفی کیا۳ به عنوان توکن امن در کاربردهای استاندارد
  • نرم‌افزار ذخیره‌سازی گواهی مبتنی بر استاندارد PKCS#12
  • درایورها و ماژول‌های مورد نیاز جهت شناسایی به عنوان کارت هوشمند در محیط ویندوز
  • نرم‌افزارهای مدیریت و راه‌اندازی ماژول کیا۳
  • برنامه کاربردی کوچک جهت مشاهده اجمالی کلیه قابلیت‌های ماژول(با نام Demo)
  • دفترچه‌های راهنما و برنامه‌های نمونه جهت آشنایی برنامه‌نویسان

مرور کلی

کیا۲ یک ماژول سخت‌افزاری است که جهت افزایش سطح امنیت در کاربردهای متنوع رایانه‌ای طراحی شده است. این ماژول از طریق پورت USB به رایانه متصل می‌گردد و سرویس‌های امنیتی مورد نیاز در برنامه‌های کاربردی را به صورت راه‌حلی کاملا “Plug & Play” ارائه می‌نماید. کیا۲ به دو صورت کلی Dongle (مدل‌های H و N) و Token (مدل‌های W و T) ارایه می‌شود. کیا در حالت Dongle اکثرا برای رمزنگاری داده‌های کم حجم و حفاظت از نرم‌افزارها در برابر تکثیر غیرمجاز به کار می‌رود. کیا در حالت Token با برخورداری از امکان دریافت PIN می‌تواند به عنوان ماژول احراز اصالت مورد استفاده قرار گیرد.
از جمله مهم‌ترین سرویس‌های امنیتی که توکن کیا۳ ارائه می‌نماید عبارتند از:

  • سرویس‌های محرمــانگی
  • صحت یا تمامیت
  • احـراز اصالت

ویژگی‌های کلی

  • استاندارد USB 1.0
  • توان مصرفی پایین
  • شناسایی خودکار توسط کامپیوتر به صورت Plug & Play
  • بکارگیری الگوریتم رمز قالبی AES سازگار با استاندارد FIPS-197
  • امکان رمزنگاری با کلیدهای تزریق شده غیرقابل خواندن (KV)
  • امکان رمزنگاری با کلیدهای دلخواه
  • قابلیت تعریف توابع یک‌طرفه برای قفل‌گذاری (Query)
  • استفاده از پروتکلهای امنیتی جهت حفاظت اطلاعات مبادله و ذخیره شده در ماژول
  • قابلیت تعیین اجازه دسترسی خواندنی و نوشتی بطور مجزا به وسیله برنامه‌نویس
  • ارتباط امن بین برنامه کاربردی و ماژول جهت مقابله با حملات (Cracking)
  • شناسه (Module ID) و کلید رمز یکتا برای هر ماژول
  • امکان استفاده در محیط‌های ویندوز و لینوکس

تقسیم‌بندی حافظه به سه بخش و سطح‌بندی دسترسی به هر بخش:

  • حافظه ‌امن مخصوص برنامه‌نویس (Developer Memory)
  • حافظه امن کاربر (User Memory)
  • حافظه آزاد (Free Memory)

 ویژگی‌های اختصاصی

  • قابلیت استفاده از ماژول در شبکه (مدل N)
  • فعال‌سازی کیا با دریافت PIN از کاربر (مدل‌های W، T و NW)
  • مجهز به Master PIN با قابلیت تعریف PIN (مدل‌های W، T و NW)

 کاربردها

  • ذخیره‌سازی امن داده‌های حساس با حجم حداکثر ۶۴ کیلو بایت
  • قفل سخت‌افزاری در برنامه‌های رایانه‌ای جهت جلوگیری از تکثیر غیرمجاز
  • رمزکننده سخت‌افزاری جهت پیاده‌سازی سرویس محرمانگی در کاربردهای رایانه‌ای
  • احراز اصالت کاربر در کاربردهای رایانه‌ای (مدل‌های توکن)

متعلقات ماژول

  • کیتهای نرم‌افزاری به منظور استفاده از قابلیتهای ماژول در محیطهای برنامه‌نویسی تحت ویندوز از قبیل زبان‌های C++، C#، Delphi، Visual basic، VB.NET و Java
  • ابزارها و کیتهای نرم‌افزاری برای استفاده از ماژول در شبکه (مدل N و NW)
  • کتابخانه استفاده از کیا به زبان ++C در مدهای User و Kernel در محیط لینوکس
  • واسط‌های نرم‌افزاری PKCS#11 و CSP‌ جهت معرفی کیا بعنوان توکن امن (مدل‌های توکن)
  • نرم‌افزار ذخیره‌سازی گواهی مبتنی بر استاندارد PKCS#12 (مدل‌های توکن)
  • برنامه نرم‌افزاری جهت شناسایی به عنوان Smart Card در محیط ویندوز (مدل‌های توکن)
  • نرم‌افزار مدیریت و پروگرام ماژول کیا
  • ارایه نرم‌افزارهای کاربردی امنیتی رایگان از قبیل نرم‌افزار کیان برایورود امن به ویندوز و نرم‌افزار پاس به عنوان رمزکننده فایل (مدل W)
  • دفترچه راهنما و برنامه‌های نمونه جهت آشنایی برنامه‌نویسان

 در دنیای ما، هیچ نامه‌ای بدون امضا معتبر نیست، اما هر امضایی هم قابل اعتماد نیست. در دنیای سنتی هر شخصی برای تأیید یک سری نوشته روی کاغذ آن را با نشانه‌ای مانند امضا، مهر یا اثر انگشت علامت‌گذاری می‌کند که گویای تأیید آن نوشته‌هاست، در غیر این صورت نوشته‌ها مورد تأیید نخواهد بود. در سال­‌های اخیر با پیشرفت‌­هایی که در فناوری اطلاعات صورت گرفته است، شاهد تغییر در گردش نامه‌­ها و اسناد کاغذی به سمت اسناد الکترونیک و فایل‌­هایی که توسط سازمان‌­ها و نرم‌­افزارهای مختلف ایجاد و پردازش می‌­شوند هستیم. برای اینکه بتوانیم این نوع اسناد را اعتبارسنجی نماییم، به مکانیزمی مشابه امضای سنتی در فضای سایبری نیازمندیم. از آنجایی که کامپیوترها و ماشین‌آلات هوشمند، در دنیای الکترونیکی هیچ چیز غیر از اعداد و ارقام را نمی‌شناسند، این نوع امضا نیز باید به شکل عدد و رقم باشد، آن هم به گونه‌ای که برای کسی غیر از خود فرد قابل دسترسی نباشد.

امضای دیجیتال یک تکنیک رمزنگاری بر پایه رمزنگاری نامتقارن و با استفاده از کلیدهای نامتقارن است که ارتباطات، اسناد و به طور کلی داده ها را بنابر خواسته صاحب امضا به صورت رمز درمی آورد. این نوع امضا بر خلاف امضاهای سنتی نه دارای شکل ظاهری و نه قابل مشاهده است، بلکه رشته بیت‌­هایی از صفر و یک می‌­باشد که توسط نرم‌­افزارها و سامانه قابلیت اعتبارسنجی شدن را دارد. امضای دیجیتال امکان انجام اموری مانند احراز هویت، احراز سندیت و عدم انکار را فراهم می‌آورد. امضای دیجیتال گویای این است که شخص فرستنده ظاهری، همان فرستنده اصلی است؛ هرچند در دنیای الکترونیکی نیز مانند جهان واقعی امکان تقلب وجود دارد. فرض کنید ایمیلی از طرف یک فروشنده برای یک تولیدکننده ارسال می‌شود که گویای درخواست تعداد زیادی از محصولات آن تولیدکننده است. حال بدون امضای قابل اعتماد تولیدکننده، خریدار نمی‌تواند به صحت نامه اطمینان داشته باشد و از طرفی می‌­تواند پس از مدتی ارسال نامه را نیز کتمان یا انکار کند.

برای استفاده از امضاهای دیجیتال، نیاز داریم تا یک مرکز خارجی به نام مرکز صدور گواهی(Certificate Authority) اقدام به تأیید فرد، نرم‌افزار یا سایت کرده و پس از احراز صلاحیت آن، برای متقاضی یک گواهی امضای دیجیتال صادر کند. دارنده این گواهی با قرار دادن نشانه‌ای از این مدرک به مخاطبان اعلام می‌کند که از سوی این مرکز مورد تأیید است. به عنوان مثال سایت‌های مبادلات الکترونیکی، مانند فروشگاه‌های مجازی، با داشتن این گواهی اعتبار و صحت مبادلات را برای مشتریان تضمین می‌کنند. این گواهی که دارای مشخصات کامل گواهی‌کننده، تاریخ صدور و تاریخ انقضای آن است، بر سلامت تبادلات مهر تأیید می زند؛ هرچند در این میان خریداران نیز باید موارد امنیتی را رعایت کنند؛ مواردی نظیر شناخت از مؤسسه گواهی‌کننده و در صورت نیاز تماس با آن شرکت و کسب اطلاع از صحت گواهی صادر شده.

شیوه کار این امضا چیست؟

شیوه کار امضاهای دیجیتال بر اساس رمزنگاری مبتنی بر کلید نامتقارن و hash است. در رمزنگاری نامتقارن از کلیدهای عمومی و خصوصی استفاده می‌شود. لازم به ذکر است هر کلید مجموعه‌­­ای از اعداد و کاراکترها می‌­باشد. کلید عمومی کلیدی است که همراه اطلاعات برای طرف مقابل فرستاده می‌شود و او می‌تواند این کلید را در اختیار داشته باشد، اما کلید خصوصی به هیچ وجه نباید به کسی داده شود و به نوعی گذرواژه شماست و از آن برای رمزگذاری اطلاعات هنگام ارتباط با یک شخص خاص استفاده می‌شود.

زمانی که یک کلید مورد تأیید قرار می‌گیرد، در حقیقت منحصربه‌فرد بودن مجموعه‌ای از اعداد و حروف تأیید شده و این تأیید در ضمیمه گواهی قرار داده می‌شود. هنگام انتخاب یک کلید از روی یک حلقه کلید، امکان مشاهده گواهینامه (مجوز) کلید وجود دارد و همان طور که ذکر شد زمان اعتبار این گواهی و دیگر پارامترها مثل نام شخصی که برای آن صادر شده است نیز در آن قید می شود. الگوریتم‌هایی که امروزه برای این کار استفاده می‌شوند دارای تنوع زیادی است، اما الگوریتم‌های رمزنگار RSA ،elgamal و الگوریتم‌های hashing ،MD5 و SHA از جمله عمومی‌ترین و پرکاربردترین آنها هستند.

امنیت الکترونیکی از نوع ایرانی

در کشور ما نیز در راستای تحقق دولت الکترونیکی و نیاز مبرم این بخش به امنیت چه در بخش دولتی و امور اداری مانند اتوماسیون، چه در بخش تجارت الکترونیکی، اقدامات بسیاری از سوی دانشگاه‌ها، ادارات دولتی و خصوصی انجام شده است. مرکز صدور گواهی ریشه کشور در سال­‌های اخیر برای متقاضیان گواهی الکترونیک و مکانیزم­‌های امضای دیجیتال اقدام به صدور گواهی نموده است. در همین راستا شرکت مهندسی پیام پرداز در سال‌­های اخیر اقدام به طراحی و ساخت توکن کیا۳ نموده است که مکانیزم‌­های امضای دیجیتال و نگهداری امن کلید خصوصی افراد را بطور کامل پشتیبانی می‌­کند و در سامانه‌­های مختلف قابلیت استفاده را دارد.

فایل‌های نصب

فایل‌های راهنما