برای حل مشکلات مختلفی که در زمینه های گوناگون فناوری اطلاعات رخ می دهد، راه حل های متفاوتی ارائه گردیده است. یکی از راه حل های ارائه شده که میزان استفاده از آن به طور چشمگیری در حال رشد می باشد، استفاده از وسایل امنیتی ( Secure Module) است.
توکن های هوشمند USB(USB Smart Token) به عنوان نسل جدیدی از وسایل امنیتی، مشکل هزینه و قیمت بالای سخت افزارهای امنیتی HSM Hardware Secure Module را حل نموده و به وسایلی فراگیر تبدیل شده اند.
توکن های هوشمند USB مزایای فراوانی در ارائه امنیت به کاربران فراهم می آورند که از آن جمله می توان به هویت شناسی افراد، نگهداری امن و جلوگیری از دسترسی غیر مجاز به داده های حساس کاربر و همچنین برنامه های کاربردی مختلف، امکان انجام اعمال رمزنگاری( Cryptography) مانند رمزگذاری (Encryption) و یا امضای دیجیتال (Digital Sign) به صورت سخت افزاری اشاره کرد.
در این نوشتار سعی بر آن است که کاربردهای توکن های هوشمند USB در حوزه های مختلف امنیتی و به خصوص در چهارچوب رمزنگاری با کلید عمومی PKI(Public Key Infrastructure) به اجمال بیان شوند. ذکر این نکته نیز لازم است که در این نوشتار توکن های هوشمند USB در نظر گرفته شده به طور پیش فرض دارای قابلیت های PKI می باشند، و توکن های با طراحی و کاربردهای خاص، مورد توجه نبوده اند.
1-1 توکن های هوشمند USB یا کارت های هوشمند
کارت های هوشمند و توکن های هوشمند USB به عنوان رایج ترین وسایل سخت افزاری امنیتی شناخته می شوند. کارت های هوشمند که پیدایش اولین نمونه های آن به اواخر دهه 70 میلادی در اروپا( فرانسه) باز می گردد، در مقایسه با توکن های هوشمند USB که اولین نمونه های آن در اواخر دهه 90 میلادی تولید شدند، از قدمت بسیار بیشتری برخوردارند.
هر چند در این مسیر هم کارت های هوشمند و هم توکن های هوشمند USB نسبت به نمونه های اولیه خود تکامل بسیاری یافته اند، توکن های هوشمند USB به نوعی تکامل یافته خانواده کارت های هوشمند محسوب می گردند. در حقیقت این دو محصول از نظر قابلیت های فنی و خدماتی که ارائه می دهند کاملاً همانند در نظر گرفته می شوند، تنها تفاوت و به نوعی مزیت عمده توکن های هوشمند USB، در نحوه دسترسی و استفاده از این محصولات می باشد:
در توکن های هوشمند USB بر خلاف کارت های هوشمند، نیازی به دستگاه کارت خوان مجزا وجود ندارد و ارتباط کامپیوتر با توکن از طریق پورت USB برقرار می شود، این سهولت دسترسی در توکن های هوشمند USB در حقیقت برگ برنده و مزیت اصلی آنها نسبت به کارت های هوشمند می باشد.( شکل 1)
توکن های هوشمند USB به دلیل سهولت استفاده در چند سال اخیر در نقاط مختلف دنیا مخصوصاً کشورهای توسعه یافته با سرعت چشمگیری جای کارت های هوشمند را گرفته اند. بررسی های آماری انجام شده توسط مؤسسات معتبر بین المللی نیز این مطلب را تأیید می کند.
در حدود 30 سال قبل رمزنگاری نامتقارن ( Asymmetric Cryptography) پایه گذاری شد. بر خلاف شیوه های رایج مرسوم، تا پیش از آنکه امروزه رمزنگاری متقارن ( Symmetric Cryptography) نامیده می شوند، رمزنگاری نامتقارن تنها از یک کلید مخفی جهت عملیات رمزنگاری استفاده نمی کند، بلکه در حقیقت از دو کلید جهت عملیات رمزگذاری و رمزگشایی( Decryption) استفاده می کند که یکی از آنها مخفی و صرفاً در اختیار صاحب کلید( کلید خصوصی) و دیگری عمومی و در اختیار عموم( کلید عمومی) می باشد. در واقع کلیه افراد با در اختیار داشتن کلید عمومی فرد مورد نظر می توانند پیام های ارسالی خود را برای وی به رمز درآورده و در این صورت تنها و تنها شخص دارنده کلید خصوصی متناظر می تواند نسبت به رمزگشایی پیام ارسال شده، اقدام نماید.
هرگاه پیامی نیز توسط کلید خصوصی فرد مذکور رمزگذاری شود توسط کلیه دارندگان کلید عمومی قابل رمزگشایی و چک کردن خواهد بود. این امکان دوم در حقیقت مفهومی جدید را به دانش رمزنگاری معرفی نمود که به امضای دیجیتال معروف است.
در حقیقت به بیان ساده، از آنجایی که دارنده کلید خصوصی تنها یک فرد مشخص است، هر پیامی که با این کلید خصوصی رمز شده باشد، پیامی ارسال شده منتسب به فرد صاحب کلید محسوب می گردد؛ بدین ترتیب نوعی امضا و اثر منحصر به فرد از صاحب کلید تولید می شود که صحت و درستی آن نیز توسط سایرین( دارندگان کلید عمومی) قابل بررسی می باشد.
امروزه رمزنگاری نامتقارن و سایر راه حل های وابسته به آن، بستر امنی را مهیا نموده است که با استفاده از آنها بخش عمده ای از دغدغه های امنیتی در سیستم های اطلاعاتی قابل رفع بوده و یا حداقل کاهش جدی می یابند. این بستر که امروزه PKI یا بستر رمزنگاری مبتنی بر کلید عمومی( Public Key Infrastructure) نامیده می شود، به طور بالقوه می تواند بستر امنیتی مناسبی را در اختیار کاربران سیستم های اطلاعاتی قرار دهد.
یکی از مهم ترین دغدغه ها و مشکلات مطرح در رمزنگاری نامتقارن می توان به مسئله توزیع مناسب کلید عمومی و جلوگیری از خطاها و سوء استفاده های احتمالی افراد خرابکار و همچنین محافظت از کلید خصوصی توسط فرد صاحب کلید اشاره نمود. زیر ساخت PKI با استفاده از مفهوم گواهی دیجیتال( Digital Certificate) و مراکز صادر کننده گواهی دیجیتال CA(Certificate Authority)، مشکل اول که همان توزیع مناسب کلید عمومی افراد می باشد را حل نموده است. هر چند تا مدت ها مشکل دوم و چگونگی نگهداری از کلید خصوصی محل بحث های فراوان بود، ولی امروزه توکن های هوشمند USB مشکل نگهداری امن کلید خصوصی افراد را نیز مرتفع نموده است.( شکل 3)
همان طور که اشاره شد یکی از قابلیت های مهم توکن های هوشمند USB امکان نگهداری امن اطلاعات حساس کاربر می باشد، در نتیجه امکان نگهداری کلید خصوصی به عنوان مهم ترین و حساس ترین داده کاربر نیز در توکن های هوشمند USB میسر خواهد بود و بدین ترتیب استفاده از توکن های هوشمند USB در کنار PKI، بستری را فراهم می نماید که سطح بسیار قابل قبولی از امنیت را در اختیار کاربران سیستم های اطلاعاتی قرار می دهد. در حقیقت دغدغه چگونگی محافظت از کلید خصوصی که از چالش های اساسی PKI بوده است، به شکل مناسبی رفع می شود.
توکن های هوشمند USB علاوه بر امکان نگهداری امن کلید خصوصی و سایر اطلاعات حساس کاربر، امکان انجام سخت افزاری الگوریتم های رمزنگاری نامتقارن را نیز دارا می باشند. تا مدت ها الگوریتم های مهم مورد استفاده در رمز نگاری نامتقارن مانند الگوریتم های رمزگذاری، رمزگشایی و همچنین تولید و بررسی امضای دیجیتال، مشکل کارایی و استفاده در موارد کاربرد عملی را دارا بودند. در واقع اجرای این الگوریتم ها به صورت نرم افزاری زمانبر و همچنین تا حدودی ناامن بودند، ولی امروزه توکن های هوشمند USB امکان انجام سخت افزاری این اعمال را به شکل کاملاً کارا و امن فراهم نموده اند.
امن سازی هر برنامه کاربردی یا نرم افزارها و سخت افزارهای مورد استفاده در سیستم های اطلاعاتی، مقوله ای کاملاً متفاوت از صرف ایجاد و توسعه آنها می باشد. در واقع اگر در طراحی و ساخت نرم افزارها و سخت افزارها موارد امنیتی ملاحظه و اجرا نشده باشد، هیچ نرم افزار و سخت افزاری به خودی خود امن نخواهد بود. بسیاری از سیستم هایی که امروزه مورد استفاده قرار می گیرند امن نیستند و به منظور افزودن موارد امنیتی به آنها باید پروسه تحلیل، طراحی و ساخت، راه حل امنیتی مربوطه را با صرف و تخصیص منابع مورد نیاز به اجرا در آورد. جهت استفاده از راهکار امنیتی PKI نیز باید برنامه های کاربردی را به خدمات امنیتی PKI مجهز نمود و به عبارتی آنها را PKI-Enabled نمود. جهت استفاده از قابلیت های توکن های هوشمند USB در کنار برنامه های کاربردی نیز باید آنها را بدین منظور مجهز نمود و به عبارتی آنها را Smart Token -Enabled نمود. هیچ محصولی به خودی خود امکان استفاده از قابلیت های توکن های هوشمند را ندارد و به عبارتی هر محصولی حتی اگر PKI-Enabled باشد، لزوماً Smart Token-Enabled نیست.

2- کاربردهای امنیتی توکن های هوشمند USB
 

کاربردهای امنیتی عرضه شده مبتنی بر توکن های هوشمندUSB که اکثراً بر PKI نیز مبتنی می باشند را معمولاً در سه قالب کلی راهکارهای امنیتی در کامپیوترهای شخصی و راهکارهای امنیتی در شبکه های کامپیوتری و راهکارهای امنیتی در وب تقسیم می کنند.
1-2

هویت شناسی(Authentication)
 

از آنجایی که هویت شناسی در هر سه تقسیم بندی ارائه شده برای کاربردهای امنیتی توکن های هوشمند USB قابل طرح می باشد، ابتدا به طور مجزا به بیان آن می پردازیم.
هویت شناسی از جمله حوزه هایی است که در امنیت سیستم های اطلاعاتی بسیار حیاتی تلقی می گردد. در واقع این مسئله که کاربر سیستم چه کسی است و از چه میزان قدرت عمل در سیستم برخوردار است و یا اینکه چه کسی طرف تعامل یک تراکنش اطلاعاتی می باشد، از اهمیت فوق العاده ای برخوردار است. به عنوان مثال در استفاده از کامپیوترهای شخصی یا شبکه های محلی موجود در شرکت ها، هویت افراد و اجازه یا عدم اجازه آنها در دسترسی های مختلف به اجزای سیستم بسیار اهمیت دارند.
از روش های رایج در هویت شناسی، استفاده از شناسه کاربر و کلمه عبور می باشد که ضعف امنیتی و نامناسب بودن این روش بر همگان اثبات گردیده است. به عنوان روش جایگزین، امروزه هویت شناسی و احراز هویت در سیستم های اطلاعاتی را نیز مانند سیستم های معمول احراز هویت در زندگی عادی، به مواردی به غیر از صرفاً چیزی که کاربر می داند منتسب می نمایند. می توان مانند سیستم های احراز هویت انسانی احراز هویت را به چیزی که کاربر دارد نیز منتسب نمود، در واقع همان طور که داشتن یک گذرنامه می تواند عامل احراز هویت باشد، در سیستم های اطلاعاتی نیز می توان متناظری برای آن یافت و این ابزار متناظر در واقع همان توکن های هوشمند هستند که در کنار عامل دیگر، یعنی کلمه عبور توکن، هویت شناسی مؤثری را فراهم می نمایند که امروزه به عنوان هویت شناسی دو عاملی شناخته می شوند. در حقیقت در هویت شناسی دو عاملی تنها به آنچه کاربر می داند( کلمه عبور) اکتفا نمی گردد و برای انجام موفقیت آمیز عمل هویت شناسی، کاربر باید حتماً توکن هوشمند اختصاصی خود را نیز در اختیار داشته باشد.
2-2

امنیت در کامپیوترهای شخصی
 

امنیت در کامپیوترهای شخصی موارد متعددی مانند حفاظت از داده های حساس کاربر، جلوگیری از دسترسی افراد غیر مجاز به سیستم و جلوگیری از دسترسی افراد غیر مجاز به انواع برنامه های کاربردی و ... را شامل می گردد. توکن های هوشمند کاربردهای امنیتی مختلفی در این زمینه دارا بوده و یک راهکار امنیتی کاملاً مؤثر و قابل پذیرش از سوی کاربران عادی را فراهم می نمایند. در این بخش استفاده از توکن های هوشمند در حفاظت از دسترسی غیر مجاز به سیستم( Boot Protection)، رمزگذاری و حفاظت از اطلاعات حساس کاربر(Data Encryption) و همچنین جلوگیری از دسترسی افراد غیر مجاز به برنامه های کاربردی و تعریف سطح دسترسی هر کاربر(Program Access) مورد بررسی قرار می گیرد.

حفاظت سیستم در برابر دسترسی غیر مجاز( Boot Protection )
 

یکی از موارد امنیتی مهم، امکان حفاظت مؤثر در برابر دسترسی افراد غیر مجاز به کامپیوترهای شخصی می باشد. در واقع افراد بسیاری تمایل دارند که از PC یا Notebook شخصی خود محافظت نموده و امکان استفاده و دسترسی سایر افراد را مسدود نمایند. ناکارآمدی و مشکلات امنیتی روش سنتی رایج که همان استفاده از کلمه عبور به منظور جلوگیری از روشن کردن و راه اندازی سیستم می باشد، امروز کاملاً شناخته شده است. در واقع این روش سنتی علاوه بر دارا بودن همه ضعف های کلمه عبور به عنوان یک ابزار هویت شناسی، مشکل مهم دیگری را نیز دارا می باشد، افراد غیر مجاز می توانند با از کار انداختن باتری و منبع تغذیه داخلی سیستم و یا دستکاری در BIOS آن کلمه عبور را تغییر داده و یا از بین ببرند.( شکل 6) اما با استفاده از توکن های هوشمند می توان راه حل مؤثری برای این مسئله یافت. در واقع با استفاده از توکن های هوشمند می توان روشن شدن یا راه اندازی سیستم را منوط به اتصال توکن مناسب به سیستم نمود و بدین ترتیب سایر افرادی که به توکن هوشمند دسترسی ندارند و یا صاحب توکن نباشند، امکان روشن کردن سیستم را نخواهند داشت.

رمزگذاری و حفاظت از اطلاعات حساس کاربر( Data Encryption)
 

یکی از روش های مؤثر جهت حفاظت از اطلاعات حساس کاربر و جلوگیر از دسترسی افراد غیر مجاز به این اطلاعات، رمزگذاری آنها می باشد. در واقع با انجام یک رمزگذاری مناسب، داده ها به صورتی تبدیل می شوند که هیچ اطلاعی در مورد حالت و وضعیت خود قبل از رمزگذاری در اختیار مشاهده کننده قرار نمی دهند. به عبارت دیگر پوششی حفاظتی بر روی داده ها گسترده می شود که برداشتن این پوشش حفاظتی نیز تنها توسط دارنده کلید خصوصی میسر می باشد.
در یک راه حل امنیتی مؤثر در این رابطه، کاربر می تواند با متصل نمودن توکن به سیستم نسبت به رمزگذاری اطلاعات مورد نظر خود اقدام نماید و رمزگشایی از اطلاعات رمزگذاری شده نیز تنها در صورتی میسر خواهد بود که کاربر دارنده توکن، توکن مذکور را مجدداً به سیستم متصل نماید. در حقیقت بدین ترتیب بدون دسترسی و مالکیت توکن یاد شده، هیچ فردی نمی تواند نسبت به رمزگشایی داده های محفاظت شده اقدام نماید.
از سوی دیگر همان طور که در مورد کلید خصوصی بیان شد، صاحب توکن می تواند هر داده ای را به صورت کاملاً امن و محرمانه درون توکن نگهداری کند و در مواقع لزوم از آن استفاده نماید.

دسترسی به برنامه های کاربردی( Application Program Access)
 

یکی از موارد مهم در امنیت سیستم های اطلاعاتی، تعریف سطح دسترسی های افراد مختلف در هنگام استفاده از یک برنامه کاربردی خاص می باشد. در واقع در موارد بسیاری این نیازمندی وجود دارد که کاربر یا کاربرانی اجازه دسترسی و اجرای یک برنامه کاربردی خاص را نداشته و یا در یک سطح مشخص امکان تعامل با آن را داشته باشند. استفاده از روش شناسه کاربر و کلمه عبور، مشکلات بسیاری داشته و امنیت آن از درجه بسیار پایینی برخوردار می باشد. در حقیقت در موارد کاربرد حساس و استفاده هایی که از اهمیت نسبی برخوردار هستند، به هیچ عنوان استفاده از کلمه عبور بدین منظور توصیه نمی گردد. توکن های هوشمند می توانند این امکان را برای کاربر فراهم کنند که سطح دسترسی افراد مختلف به یک برنامه کاربردی را با درجه اطمینان و امنیت بسیار مناسب تعیین نموده و از دسترسی افراد غیر مجاز به برنامه کاربردی مورد نظر نیز جلوگیری نمایند. در حقیقت تنها کاربرانی که توکن هوشمند مناسب را در اختیار دارند، امکان دسترسی به برنامه کاربردی مورد نظر را دارا می باشند. در واقع همان طور که در فصل قبل نیز اشاره شد، هر برنامه کاربردی بدین منظور باید Smart Token-Enabled شود.
در شماره بعد به کاربردهای امنیتی توکن های هوشمند USB در زمینه امنیت شبکه و اینترنت خواهیم پرداخت.
منبع:دنیای کامپیوتر و ارتباطات، شماره 86