امنیت اطلاعات محرمانه چگونه حفظ می‌شوند؟

امنیت از بدو ورود اطلاعات برروی بسترهای رایانه‌یی دغدغه جدیدی را برای کاربران به وجود آورده زیرا برخی از اطلاعات جنبه محرمانه داشته و یا اشخاص به دسترسی دیگران به اطلاعاتشان تمایل ندارند؛ توکن (TOKEN) امنیتی (قفل اطلاعات محرمانه افراد) یک ماژول سخت‌افزاری است که برای احراز اصالت فرد، نگه‌داری اطلاعات حساس و عملیات رمزنگاری استفاده می‌شود و هر توکن امنیتی معمولا دارای یک شناسه شخصی یا اصطلاحا PIN است که برای فعال‌سازی توکن به‌کار می‌رود و از آن می‌توان برای احراز اصالت فرد در رایانه‌ها و یا شبکه‌های رایانه‌یی استفاده کرد.

پنهان‌سازی فایل‌ها و برخی پوشه‌ها از جمله اقداماتی محسوب می‌شود که در راستای همین موضوع شکل گرفتند اما هنگامی که دسترسی و کار با آن‌ها همگانی شد، دیگر نمی‌توانستند به‌عنوان شیوه‌ای امن مورد خطاب قرار بگیرند و حتی با بروز قفل‌شکن‌هایی در بازارهای رایانه‌یی دیگر افراد کم‌تر به قفل کردن پوشه‌ها و اطلاعات خود تمایل دارند.

نیاز به قفلی به روز و کارامد برای ایمن سازی اطلاعات روز به روز بیش‌تر احساس شده تا اینکه توکن‌ها سر از بازارهای کشورهای غربی درآوردند و با نقش مؤثری که از خود ایفا کردند، توانستند به‌راحتی سر از دیگر کشورها نیز درآورند و رفته رفته کار با آن‌ها رایج شد تا جایی که برخی کشورها درصدد ساخت آن‌ها برآمدند.

شاید این سیستم سخت‌افزاری خیلی جدید نباشد اما ارائه خدمات توسط آن در سطح کشور در حال گسترده شدن بوده و به اعتقاد کارشناسان قبل از این موضوع هم امضای دیجیتالی مطرح شد اما تاکنون به کارامدی مطلوب خودش نرسیده است و شاید تنها وزارت بازرگانی توانسته باشد استفاده از آن‌ها را به عنوان سامانه حفظ هویت افراد به کار بگیرد.

*ظاهر توکن*

توکن‌ها برخلاف آنچه افراد در وهله اول از قفل در ذهن‌شان ایجاد می‌شود، بسیار شبیه فلش مموری‌های معمول هستند به نحوی که اگر یک توکن و یک فلش را در کنار یکدیگر قرار دهیم تشخیص آن‌ها مشکل می‌شود.

در این باره مهندس مهدی فلاح‌چای - کارشناس فن‌آوری اطلاعات - می‌گوید: حافظه‌های فلش به‌طور معمول صرفاً به‌عنوان یک رسانه عادی جهت ذخیره‌سازی اطلاعات به کار می‌روند، در حالی که ملزومات امنیتی سخت‌افزاری و نرم‌افزاری در آ‌ن‌ها رعایت نشده است و امکان پردازش و انجام عملیات رمزنگاری در فلش وجود ندارد و از این رو قیاس بین توکن‌های USB و فلش به‌دلیل ماهیت کاملاً متفاوت آن‌ها منطقی به‌نظر نمی‌رسد.

*تفاوت توکن و کارت هوشمند*

معمولا کارت‌های هوشمند با توجه به نوع طراحی و تراشه‌ای که در آن‌ها موجود است، نیاز به دستگاه کارت خوان را الزامی می کند و در همین خصوص مهندس مهدی فلاح‌چای کارت‌های هوشمند و توکن‌های USB را به‌عنوان رایج‌ترین توکن‌های سخت‌افزاری امروزی مطرح کرد و ادامه داد: کارت‌های هوشمند از قدمت بیش‌تری نسبت به توکن‌های USB برخوردارند یا به عبارت دیگر توکن‌های USB عضو جدید و تکامل‌یافته کارت‌های هوشمند تلقی می‌شوند هرچند که از نظر قابلیت‌های فنی و خدماتی که ارائه می‌دهند مشابه یکدیگرند.

نیازمند نبودن پورت‌های USB به دستگاه کارت‌خوان برگ برنده آن‌ها در برابر کارت‌های هوشمند به حساب می‌آید.

درباره تفاوت توکن امنیتی با قفل‌های سخت‌افزاری (Dongle) هم میت‌وان گفت که کار قفل جلوگیری از کپی غیرمجاز نرم‌افزار است که توکن هم این قابلیت را داراست ولی به هیچ عنوان در تنوع خدماتی که ارائه می‌دهد قابل قیاس با قفل‌ها نیست.

*مزایای توکن*

شاهین خراسانی - کارشناس امنیت شبکه – می‌گوید: برخورداری از رابط استاندارد (PKCS#11) به منظور برقراری ارتباط با توکن و هم‌چنین پشتیبانی از زیرساخت کلید عمومی (PKI)، امکان استفاده از این محصول را در طیف وسیعی از نرم‌افزارهای PKI-enabled فراهم کرده است.

مسلما جلوگیری از دسترسی غیرمجاز به داده‌ها و اطلاعات حساس کاربران از مزایای اصلی توکن‌ها قلمداد می‌شود که دکتر رسول جلیلی - عضو هیات علمی دانشگاه صنعتی شریف - با بیان اینکه توانمندسازی نرم‌افزارهای کاربردی و حتی کاربردهای مبتنی بر وب به امکانات زیرساخت کلید عمومی، مستلزم به کارگیری همه ملزومات امضای دیجیتالی از جمله توکن هوشمند و گواهی دیجیتالی است، اظهار کرد: این ملزومات اثبات می‌کنند که کلید خصوصی امضا کننده یک سند و یا یک تعهد اداری، مالی یا تجاری متعلق به او است و امکان انکار برای حضور وی در فعالیت امضاء شده، وجود ندارد.

می‌توان از توکن برای ذخیره‌سازی امن اطلاعات حساس نظیر کلیدهای رمزنگاری، اطلاعات لاگین به رایانه و سرورها (شامل نام کاربری و گذرواژه) و کلیدهای خصوصی مربوط به گواهی‌های دیجیتال استفاده کرد.

رمزگذاری و امضای دیجیتال فایل‌ها و اطلاعات حساس کاربر، ایجاد یک پارتیشن امن و رمزگذاری شده در سیستم، دسترسی به برنامه‌های کاربردی، ورود امن به شبکه/سیستم عامل، امنیت در شبکه خصوصی مجازی، امنیت پست الکترونیک، هویت شناسی دو عامله در وب، دولت، تجارت و حفظ سلامت الکترونیکی برخی از این راه‌حل‌ها هستند.

*استفاده‌کنندگان توکن*

تمام مشاغلی که با جریان اطلاعات سر و کار داشته باشند و علاوه بر آن درصدد نقل و انتقال داده‌ها نیز باشند به تناسب عملکرد توکن‌ها، نیازمند آن برای برقراری ارتباطات امن خواهند بود.

اصلی‌ترین کاربرد این سیستم‌ها از دید جلیلی در مباحث تجارت الکترونیکی است و زمانی که می‌خواهیم یک تراکنش الکترونیکی را انجام دهیم و از جهتی هم می‌خواهیم آغازکننده این تراکنش از خودش سلب مسولیت نکند و به تعبیری انکار حضور در یک تراکنش الکترونیکی مالی را از این منظر از افراد سلب خواهیم کرد.

استفاده از توکن‌های هوشمند محدود به کاربران و مشاغل خاصی نیست و به‌طور عمده توکن هوشمند توسط مراکز تجارت الکترونیک، بانک‌ها، ارگان‌های نظامی، سیستم‌های اتوماسیون، وزارت‌خانه‌ها، بیمارستان‌ها و کلیه افراد و سازمان‌هایی که محرمانگی و اطمینان از حفظ تمامیت و دست‌نخوردگی اطلاعات شخصی برایشان حائز اهمیت است و احراز هویت اشخاص جهت دسترسی به منابع اطلاعاتی برایشان ضروری باشد، قابل استفاده است.

*چگونگی ذخیره اطلاعات در توکن*

تراشه موجود در توکن‌ها نقش حافظه را برای ذخیره‌سازی اطلاعات بازی می‌کند؛ توکن‌ها تعدادی الگوریتم رمز و یک حافظه امن را در خود جای می‌دهند که در این راستا از حافظه امن برای نگه‌داری اطلاعات حساس مثل کلیدهای رمزنگاری استفاده می‌شود.

بعضی از توکن‌ها از پردازنده‌هایی استفاده می‌کنند که امکان انجام رمزنگاری را به‌صورت سخت‌افزاری دارا هستند اما ورود آن‌ها به ایران ممنوع است؛ تراشه یا میکروکنترلر توکن به‌عنوان مهم‌ترین بخش این تجهیز مطرح است که در امنیت و کارایی آن نقش مهمی ایفا می‌کند.

*هدف توکن های بانکی*

منصور وفابخش - مدیر یک شرکت اینترنتی – معتقد است: توکن در راستای رواج بانکداری الکترونیک است و معمولا برای حواله‌های بانکی از آن استفاده می‌شود و در موارد کارت به کارت کردن اصولا نیازی به آن‌ها نیست و در کل بیش‌تر برای نقل و انتقالات این حساب‌ها مورد استفاده هستند.

‌تمامی دسترسی‌های مهم افراد به حساب‌های بانکی از طریق اینترنت با وجود این توکن‌ها میسر است و این توکن‌ها قادرند که در هر دقیقه یک رمز تولید کنند تا سوءاستفاده‌ای از حساب‌های بانکی افراد به وجود نیاید.

*امنیت توکن‌ها*

توکن‌هایی که خود در راستای حفظ امنیت اطلاعات شکل گرفته‌اند اگر نتوانند امنیت را برقرار کنند مسلما کاربران نگران خواهند شد و به همین منظور باید دید چه راهکارهایی وجود دارد تا امنیت این قطعه سخت‌افزاری را به حداکثر برساند.

حملات کانال جانبی مهم‌ترین نوع حملات فیزیکی به تراشه‌های توکن هوشمند است؛ معمولا این نوع از حملات از رفتار تراشه در زمان انجام محاسبات، بهره‌برداری می‌کنند و تحلیل توان مصرفی، تابش الکترومغناطیس، زمان انجام محاسبات، عکس‌العمل در مقابل ایجاد خطا و اختلال، می‌تواند اطلاعاتی را درباره کلید سری ذخیره شده در حافظه توکن هوشمند، آشکار کند.

در توکن‌های هوشمند استفاده از حافظه‌های خارجی می‌تواند امنیت آن‌ها را در مقابل حملات مختلف به خطر اندازد و استفاده از حافظه داخلی میکروکنترلر در توکن‌های هوشمند ضروری است.

اکثر کارشناسان حوزه امنیت اطلاعات معتقدند که استفاده از این قطعه سخت‌افزاری باید محدود به محصولات داخل کشور شود زیرا قطعات دیگر کشورها امکان وجود حفره امنیتی را دارد.

توکن‌ها در کشورهای مختلفی هم‌چون آمریکا، چین و تایوان ساخته می‌شوند ولی نمی‌شود از منظر امنیتی به تمام آن‌ها اعتماد کرد زیرا مطمئن نیستیم که اطلاعات در آن‌ها کپی و جعل نشود.

به عنوان مثال ممکن است بتوان اطلاعات داخل یک توکن را سرقت کرده و از آن سوء استفاده کرد و یا یک توکن کاملا مشابه ساخته و در فرایند ورود به یک سامانه به جای یک کاربر مجاز ایفای نقش کرد.

*ساخت داخلی توکن*

تمام مشکلات و نگرانی‌ها از استفاده توکن‌های خارجی امکان وجود حفره امنیتی در آ‌ن‌هاست.

راه‌حل بسیار ساده‌ای جز تولید داخل و گسترش آن وجود نخواهد داشت در حالی که اوضاع تولید داخلی کشور ما همیشه با معضلاتی اساسی روبه‌رو بوده است تا جایی که در بازه‌های زمانی خاصی با سخت‌گیری‌های به وجود آمده، مبادی قاچاق رونق گرفته است.

تولید قطعات سخت‌افزاری توکن هوشمند نیازمند تجهیزات تولید قطعات نیمه هادی است، در حال حاضر امکان ساخت تراشه‌های کارت هوشمند و درنتیجه نوعی از توکن‌ها که از این فن‌آوری استفاده می‌کنند در ایران وجود ندارد اما انواع دیگر که پردازنده (تراشه) همه منظوره و نرم‌افزار (firmware توکن) خاص خود را دارند، می‌توانند تولید شوند.

به‌دلیل وابسته نبودن صنعت نرم‌افزار به دیگر صنایع، امکان استفاده از علوم رایانه و رمزنگاری در جهت توسعه توکن‌ها و بهبود وضعیت موجود به طور کامل در داخل کشور وجود دارد.

طبق اطلاعات موجود حداقل دو شرکت فن‌آور بخش خصوصی دارای این فن‌آوری در کشور هستند که این شرکت‌ها ویژگی‌های لازم برای توانمندسازی نرم‌افزارها و پورتال‌های سازمانی را به زیرساخت‌ کلید عمومی که در بحث امنیت بسیار مهم است دارند و ساخت آن‌ها صد درصد داخلی است؛ این شرکت‌ها آزمایشات لازم را انجام داده‌اند و چشم به توجه مسوولان به این توانمندی‌ دارند.

تمام مسوولان عالی کشور، تولید بومی در حوزه امنیت را ارزش می‌دانند، با وجود این تاکید، به تاکید فعالان بازار، متاسفانه هنوز انگیزه کافی برای خرید محصول داخلی وجود ندارد و از آنجا که بازار افتا عمدتا در اختیار دولت است، عدم توجه مدیران دولتی به شکل‌دهی بازار برای چنین محصولاتی، بخش خصوصی را مایوس خواهد کرد.

تا زمانیکه توکن‌های ( قفل‌های سخت‌افزاری ایمن فردی، مشابه امضای دیجیتال) ساخت داخل عرضه می‌شوند، جایز است که به سراغ توکن‌های وارداتی که امکان حفره‌ی امنیتی نیز دارند، برویم؟!