مرکز میانی آزما (CA)

مرکز صدور گواهی دیجیتال (Certification Authority) یا CA موجودیتی است که گواهی‌ دیجیتال صادر می‌کند.

گواهی دیجیتال که با نام گواهی الکترونیکی و یا گواهی کلید عمومی هم شناخته میشود یک سند الکترونیکی است که هویت مالک یا به کار گیرنده گواهی دیجیتال یا کلید عمومی را تایید میکند. این گواهی، اطلاعاتی درباره کلید عمومی، هویت مالک گواهی(سابجکت)، امضای دیجیتال نهاد صادر کنندهء گواهی که محتویات گواهینامه را اعتبار سنجی کرده است را در خود دارد.

با توجه به اینکه امکان احراز هویت موجودیت ها در فضای دیجیتال، یکی از کلیدی ترین آیتم های مورد نیاز برای قابل اعتماد کردن این بستر هست گواهی های دیجیتال داده های قابل اطمینانی دارند که به روند احراز هویت وبسایت ها، افراد، و تجهیزات سخت افزاری کمک می کنند.

به مجموعه سیستم ها و روش هایی که صدور و مدیریت گواهی دیجیتال را برعهده دارد زیر ساخت کلید عمومی گفته می شود. در زیرساخت کلید عمومی، صادر کننده گواهی دیجیتال، یک مرکز صدور گواهی دیجیتال میباشد.

 مراکز صدور گواهی دیجیتال، نقش خیلی مهم و حیاتی در شفافیت و قابل اعتماد بودن معاملات آنلاین انجام میدهند. این مراکز سالانه میلیون ها گواهی دیجیتال را صادر میکنند که برای محافظت از داده های حساس، رمزگذاری میلیاردها تراکنش مالی و امن کردن ارتباطات در بستر شبکه و اینترنت استفاده میشود.

مرکز صدور گواهی دیجیتال میانی

مراکز صدور گواهی الکترونیکی در زیرساخت کلید عمومی کشور از مرکز دولتی صدور گواهی الکترونیکی ریشه و مراکز صدور گواهی الکترونیکی میانی تشکیل شده است.
در معماری سلسله مراتبی زیرساخت کلید عمومی کشور، مرکز صدور گواهی میانی یک Subordinate CA است که گواهی خود را از مرکز دولتی صدور گواهی ریشه دریافت می‌نماید و می‌تواند برای درخواست کنندگان گواهی، بر اساس معماری سلسله مراتبی خود گواهی صادر نماید.

مرکز صدور گواهی دیجیتال میانی خصوصی

یکی از انواع مراکز صدور گواهی میانی، مرکز صدور گواهی الکترونیکی میانی خصوصی می باشد. این مراکز برای صدور گواهی الکترونیکی مورد استفاده در بخش خصوصی در حوزه کاربردهای تعریف شده که توسط مرکز ریشه تعیین شده است فعالیت می کنند. صلاحیت‌های کیفی، کمی و حقوقی این مراکز توسط مرکز دولتی ریشه  احراز می شود. آیین‌نامه شرایط احراز صلاحیت مراکز میانی خصوصی توسط مرکز دولتی ریشه تهیه و به تصویب شورای سیاست گذاری گواهی الکترونیکی کشور رسیده است.

گروه آزما با اخذ مجوز تاسیس مرکز صدور گواهی دیجیتال میانی خصوصی از شورای سیاست گذاری گواهی الکترونیکی کشور، در رده شرکت های پیشگام در زمینه تولید و صدور گواهی دیجیتال در کشور می باشد.

کاربردهای گواهی دیجیتال

با درنظر گرفتن اینکه مالک یا به کار گیرنده گواهی دیجیتال میتواند شخص، سازمان، نرم افزار و یا تجهیزات الکترونیکی باشد گواهی دیجیتال برای کاربردهای زیر مورد استفاده قرار می گیرد که همه این کاربردها با توجه به قانون تجارت الکترونیک قابل استناد در موارد حقوقی و مراجع قضایی هستند.

  •  امضای دیجیتال
  •  امضای ایمیل
  •  امضای سورس کد نرم افزاری
  •  مهر سازمانی
  •  احراز هویت
1.  امضای دیجیتال  

امضای دیجیتال یک روش ریاضی برای اعتبار بخشی به پیام ها و اسناد دیجیتال مبادله شده در بستر شبکه و اینترنت می باشد. امضای دیجیتال به گیرنده پیام و سند این اطمینان را می دهد که پیام دریافت شده توسط فرستنده تولید شده است و همچنین فرستنده نمیتواند انکار کند که پیام رسیده به گیرنده را ارسال نکرده است. زمانی که یک پیام و سند امضای دیجیتال و ارسال می شود این تضمین قانونی و فنی بوجود میاید که پیام در مسیر ارسال دستکاری نشده است.

بر خلاف امضای سنتی، زمانی که یک سند امضای دیجتال میشود کوچکترین تغییر بعد از امضا در سند، قابل تشخیص میباشد و باعث میشود که اعتبار سند خدشه دار شود.

از امضای دیجیتال برای کاربردهای مهر و امضای دیجیتال سازمانی و امضای دیجیتال اشخاص حقیقی استفاده می شود.

2. امضای ایمیل

در پست الکترونیکی معمول، فرستنده متن و یا محتوا میتواند ادعا کند آنچه که او  فرستاده است با آن چیزی که به گیرنده رسیده است متفاوت بوده، این ادعا از طرف گیرنده نیز قابل مطرح است. با توجه به اینکه این ادعا از نظر فنی قابل قبول میباشد نمیتوان از  پست الکترونیکی معمولی برای مکاتبات رسمی و حقوقی قابل استناد استفاده کرد. برای حل این مشکل از گواهی دیجیتال استفاده میشود. با استفاده از گواهی دیجیتال در پست الکترونیکی، پیام فرستنده با استفاده از کلید خصوصی فرستنده رمز میشود و این پیام اگر با کلید عمومی فرستنده باز شود فرستنده نمیتواند ادعا کند که محتوای ایمیلش تغییر کرده است، زیرا که با کوچکترین تغییر در محتوای ایمیل، آن ایمیل با کلید عمومی فرستنده باز نخواهد شد.

به زبان فنی تر، گواهی دیحیتال از نوع گواهی پست الکترونیک امن با استفاده پروتکل S/MIME  ایمیل را رمزنگاری و امضا میکند، که از طریق امضای دیجیتال  گیرنده میتواند مطمئن شود ایمیلی که دریافت کرده است قطعا از طرف همان شخصی است که مالک گواهی دیجیتال می باشد و همچنین گیرنده مطمئن میشود آن چیزی که در محتوای ایمیل است همانیست که توسط فرستنده ارسال شده است. یعنی محتوای ایمیل در مسیر ارتباطی دستکاری نشده است. در واقع پروتکل S/MIME نوعی از سرویس امنیتی رمزنگاری را ارائه میدهد که اعتبار هویت، یکپارچگی پیام و عدم انکار توسط فرستنده (با استفاده از امضای دیجیتال) را تضمین میکند.

3. امضای کد نرم افزاری

در حوزه توسعه نرم افزار، شرکت های توسعه دهنده نرم افزار و یا سازمان هایی که نرم افزار اختصاصی برای خودشان توسعه میدهند با یک چالش امنیتی مواجه هستند که آیا نرم افزاری که به دست مشتری میرسد همان نرم افزاریست که در سازمان توسعه داده شده است، یا این نرم افزار در مسیر انتقال سازمان تا مشتری و یا از روش های دیگر دستکاری شده است. در حال حاضر روش مرسومی که برای تشخیص دستکاری شدن نرم افزار وجود دارد تولید کد دایجست از نرم افزار اصلی است که این کد دایجست باید در سمت مشتری برای ارزیابی دستکاری نرم افزار استفاده شود. این روش از این نظر میتواند آسیب پذیر باشد که بطور قطع نمیتوان گفت این نرم افزار همانی هست که شرکت مبدا تولید کرده است.

برای حل این مشکل گواهی امضاء کد مورد استفاده قرار میگیرد. گواهی امضای کد به توسعه دهندگان نرم افزار این امکان را میدهد که نرم افزارهای خود را امضا کنند تا مشتری و کاربر نهایی اطمینان حاصل کند که محصولی که استفاده می کند در مسیر دریافت دستکاری نشده است. در این روش، نرم افزار و کد تولید شده با استفاده از گواهی توسعه دهنده نرم افزار آن، امضا و رمزگذاری میشود. مشتری میتواند با استفاده از کلید عمومی، گواهی دیجیتال مالک نرم افزار بررسی کند که آیا این نرم افزار دستکاری شده است یا نه و نیز با استفاده امضای دیجیتال توسعه دهنده نرم افزار میتوان مشخص کرد که نرم افزار قطعا مربوط به مالکی که آن را تولید کرده میباشد یا خیر. همچنین از طریق امضای دیجیتال، اطلاعات توسعه دهنده نرم افزار به کاربر نهایی نمایش داده میشود.

به زبان فنی تر، در فرایند امضای کد نرم افزاری، با استفاده از توابع hash دایجست کد و یا نرم افزار توسعه داده شده بدست میاید. این دایجست توسط کلید خصوصی مشتری رمزگذاری شده و اصطلاحا نرم افزار امضا میشود. سپس کلید عمومی گواهی دیجیتال توسعه دهنده نرم افزار با دایجست رمزگذاری شده و  همراه نرم افزار در اختیار مشتری قرار می گیرد. در سمت مشتری با استفاده از کلید عمومی گواهی دیجیتال توسعه دهنده نرم افزار، دایجست رمز شده رمزگشایی میشود و همزمان با استفاده تابع hash رشته دایجست نرم افزار تولید می شود. حالا مشتری با مقایسه دو دایجست میتواند به طور قطع مطمئن شود که نرم افزار تولید شده مربوط به توسعه دهنده اصلی میباشد و یا اینکه دستکاری شده است.

4. احراز هویت

احراز هویت فرایندی است که در آن هویت یک موجودیت تایید میشود. احراز هویت توسط سامانه ها، بر روی بستر شبکه و اینترنت میتواند در شکل های گوناگونی صورت گیرد که احراز هویت با استفاده از گواهی دیجیتال امن ترین نوع احراز هویت می باشد.

گواهی دیجیتال میتواند در احراز هویت بین شخص و سامانه و یا اجزا سخت افزاری سامانه ها با یکدیگر مورد استفاده قرار گیرد.

5. ارتباط امن در بستر شبکه و اینترنت

از گواهی دیجیتال می توان برای ایجاد ارتباط امن بین دو نقطه در شبکه استفاده کرد. در این نوع ارتباط امن، نقطه مبدا مطمئن است که با مقصد مورد اطمینان ارتباط دارد و هیچ کدام از دو طرف نمیتوانند ادعا کنند که در این ارتباط حضور نداشتند.
پروتکل
HTTPS برای ایجاد ارتباط امن بین کاربر و یک وبسایت از گواهی دیجیتال استفاده می کند.
در سازمان ها و شبکه های برای ایجاد ارتباط تونلی امن بین کاربران و سامانه ها و یا بین اجزا سخت افزاری سامانه ها از پروتکل هایی مانند
IPSec  و یا HTTPS استفاده می شود که این پروتکل ها از گواهی دیجیتال استفاده می کنند.

مرکز میانی آزما CA