لا تملك حساب؟
مقالات أمن المعلومات
All about certificates طباعة إرسال إلى صديق
تقييم المستخدمين: / 5
سيئجيد 
التوعية والتعليم والتدريب في أمن المعلومات

الكاتب: حسن علي التركي

المراجع: خالد الرويلي

ماجد الربيعان

النسخة الأولى

pdf

الشهادات الرقمية (certificate ) :

تعريف الشهادة الرقمية : هي وثيقة رقمية تحتوي على مجموعة من المعلومات التي تقود إلى التحقق من هوية الشخص أو المنظمة أو الموقع الإلكتروني و تشفر المعلومات التي يحويها جهاز الخادم ( server) عبر ما يسمى بتقنية (SSL Layer sockecS securS ).

يمكننا تشبيه الشهادة الرقمية بجواز سفر أو وثائق اعتماد رقمية تتم أثناء الاتصال بين الخادم( server) و العميل ( client) فحينما يريد العميل ارسال معلومات تتصف بالسرية أو الحساسية يقوم متصفح الانترنت و بشكل آلي بالدخول إلى جهاز خادم ( server) خاص للتأكد من هوية الجهة التي يرغب في إرسال المعلومات إليها و التالي يضمن الحصول على قناة اتصال آمنة .

ماهي محتويات الشهادة الرقمية ؟

تحتوي الشهادة الرقمية على العديد من المعلومات و لكن من أهم تلك المعلومات ما يلي :

  • اسم مالك الشهادةالرقمية ( سواء أكان شخص أم شركة ) (name sholder' certificate)
  • الرقم التسلسلي للشهادة الرقمية بالإضافة إلى تاريخ انتهاء صلاحيتها(expiration and number serial)
  • نسخة من المفتاح العام لمالك الشهادة الرقمية (key public )
  • التوقيع الإلكتروني للجهة التي أصدرت الشهادة الرقمية (CA of signature digital)

كيفية الحصول على شهادة رقمية :

لابد من عمل طلب توقيع الكتروني للشهادة الرقمية من إحدى الجهات الموثوقة و المتخصصة في إصدار الشهادات الرقمية و هو ما يسمى باللغة الانجليزية (CSR Request Signing Certificate).

المفتاح العام (key public) و المفتاح الخاص (key private) :

عند طلب توقيع للشهادة الالكترونية ( CSR) يقوم جهاز الخادم بإصدار مفتاحين و حيدين على مستوى العالم أحدهما عام و الآخر خاص .

وأما المفتاح العام فيدرج ضمن الشهادة الرقمية و يكون متاحا للجميع و يستخدم لتشفير الرسائل( messages) المرسلة إلى مالك الشهادة الرقمية.

أما المفتاح الخاص فيخزن في جهاز الكمبيوتر (computer local) و يستخدم لفك التشفير عن الرسائل المستقبلة و لعمل اتصال آمن بواسطة قناة اتصال مشفرة يقوم برنامج المتصفح (browser web) بارسال طلب إلى الجهاز الخادم (server web) للتأكد و الربط بين المفتاح الخاص و الشهادة الرقمية للمرسل.و من المهم أن نذكر أيضا بأن الجهاز الخادم هو الوحيد الذي يملك صلاحية الدخول للمفتاح الخاص و هو الوحيد القادر على فك تشفير المعلومات المرسلة عبر قناة الاتصال المشفرة .

عمل اتصال الكتروني آمن( كيفية عمل ( SSL) ) :

يتم الحصول على قناة اتصال آمنة و مشفرة عبر ما يسمى بعملية المصافحة (handshake) و هذه العملية تتم بالطريقة التالية :

  1. عند محاولة الوصول إلى موقع إلكتروني يستخدم قناة الكترونية مشفرة باستخدام تقنية ( SSL) فإن برنامج المتصفح للجهاز الزائر يطلب من جهاز الخادم "جلسة" (session secure) آمنة.
  2. يستجيب الجهاز الخادم للطلب و يرسل شهادته الرقمية للجهاز الزائر.
  3. يقوم برنامج المتصفح للجهاز الزائر بالتأكد من الشهادة الرقمية عبر الاتصال بجهة متخصصة في اصدار و توثيق الشهادات الرقمية بشرط أن يثق بهذه الجهة.
  4. إذا تأكد برنامج المتصفح من هوية الجهاز الخادم و أن الشهادة الرقمية ترتبط به فعلا و أن الشهادة الرقمية لاتزال سارية المفعول يقوم برنامج المتصفح بإنتاج مفتاح لهذه "الجلسة" و يقوم بتشفيره بالمفتاح العام للجهاز الخادم و يرسله إليه.
  5. يقوم الجهاز الخادم بفك التشفير عن " مفتاح الجلسة " باستخدام مفتاحه الخاص.
  6. بهذا تكون عملية المصافحة قد انتهت و حصل اتصال آمن بين المرسل و المستقبل
  7. يظهر رمز على شكل قفل في برنامج المتصفح (bar status) يبين أن هناك اتصال آمن و مشفر بين الطرفين.

عمليات الاصطياد (phishing) و كيف يمكن الوقاية منها باستخدام الشهادة الرقمية :

يلجأ مجرمو الانترنت عادة إلى سرقة أو نشر معلومات شخصية أو تتصف بالسرية من خلال ايهام الناس بأن الموقع الالكتروني الذي يستخدمونه هو موقع رسمي و موثوق كمواقع البنوك و غيرها و هذا ما يعرف بعملية الاصطياد حيث يظن المستخم العادي بأن هذه المواقع هي مواقع مضمونة فيستجيب لطلب إدخال رقم بطاقته الائتمانية أو الرقم السري له .

و لكن يمكن الحماية من مثل تلك عمليات من خلال استخدام الشهادة الرقمية و يمكن للمستخدم العادي التنبه لعمليات الاحتيال هذه بالطرق التالية :

  • لايوجد رمز القفل في برنامج المتصفح مما يدل على أن الاتصال غير آمن و أن عملية المصافحة لم تتم
  • عدم تطابق الأسماء : إذا حاول المهاجم استخدام شهادة رقمية تعود إلى جهة أخرى فإن المتصفح سينذر المستخدم بعدم تطابق الشهادة الرقمية مع الموقع الالكتروني أو الجهة التي يحاول زيارتها.
  • عدم موثوقية الجهة التي أصدرت الشهادة الرقمية : عند محاولة المهاجم استخدام شهادة رقمية تم اصدارها من جهة مجهولة فإن برنامج المتصفح سينذر المستخدم بأن الشركة أو الجهة التي أصدرت الشهادة الرقمية غير موثوقة.

مثال على عمليات الاصطياد :

الشكل التالي يبين رسالة من المهاجم يوهم المستخدمين بأنه يمثل قسم أمن المعلومات في موقع بيع الكتب العالمي "(com.amazon.www )" .تقول الرسالة بأن حساب المستخدم قد تم ايقافه مؤقتا لحين عمل تحديث للبيانات الشخصية و في حالة عدم تحديث البيانات فإنه سوف يتم إلغاء الحساب نهائيا.

all2

مقارنة بسيطة بين حماية المعلومات بالتشفير و بين حماية المعلومات بالشهادة الرقمية :

Ø أولا :التشفير ( encryption)

all3

عيوبه :

انتشار المعلومة السرية.

كثرة المفاتيح الواجب حمايتها.

صعوبة تبادل المفاتيح.

لاتصلح لعملية التوقيع الإلكتروني.

ميزة :

غالبا يستخدم خوارزمية سريعة.

Ø ثانيا : الشهادة الرقمية :

مميزاته :

صنع مفاتيح خاصة بكل شخص.

لكل شخص مفتاحين.

أحد المفاتيح متاح للجميع.

تصلح لعملية التوقيع الإلكتروني

عيب :

خوارزمية بطيئة.

all


References :

· www.scteachers.org

· www.ibiblio.org

· www.cfp2000.org

· www.usenix.org

· www.rotary.org

أمن المعلومات Information System Security< السابق   التالي >أمن قواعد المعلومات ( Database Security )