گواهی الکترونیکی احراز هویت

گواهی الکترونیکی (digital certificate) شناسه دیجیتال یک موجودیت (مانند فرد، دستگاه شبکه، نرم‌ افزار، سیستم، و غیره) در تعاملات الکترونیکی است. در واقع، همانطور که در تعاملات غیر الکترونیکی، "کارت ملی" یا شناسنامه یک فرد شناسه وی می ‌باشد، در تعاملات الکترونیکی "گواهی الکترونیکی" شناسه فرد (و بطور کلی هر موجودیت) می ‌باشد. در تعاملات الکترونیکی (برخلاف تعاملات رو در رو)، طرفین ممکن است نتوانند هویت طرف مقابل را شناسایی کنند. این چالش می ‌تواند منجر به برخی محدودیت ها و مشکلات در این نوع تعاملات شود. برای مثال، وقتی یک فرد به سیستم login می ‌کند، نمی‌ توان مطمئن بود که آن فرد همان فردی است که انتظار می ‌رود باشد. برای روشن ‌تر شدن مطلب، تصور کنید یک حمله کننده نام کاربری و کلمه عبور یک فرد را در اختیار دارد (مثلاً آن‌ ها را به درستی حدس زده است). بدین ‌سان، وقتی حمله‌ کننده به سیستم login می ‌کند، تصور می ‌شود که فرد اصلی login کرده است اما در واقع این حمله ‌کننده است که به سیستم login کرده است. این مشکل ناشی از عدم امکان شناسایی هویت افراد است.

گواهی الکترونیکی، رایج‌ترین راه‌حل مواجهه با چالش بالا است. یک موجودیت با استفاده از گواهی الکترونیکی خود می ‌تواند به طرف مقابل خود اطمینان دهد که با موجودیت موردنظر خود در تعامل است.

گواهی احراز هویت برای یک موجودیت (مثلاً کاربر انسانی)، شناسه هویتی وی است که با استفاده از آن می‌ تواند خود را به سایر موجودیت‌ ها در یک محیط مانند وب ‌سایت، سیستم ‌عامل، شبکه، دامنه، و غیره معرفی کند. از آنجا که شناسه هویتی یک موجودیت باید منحصر به فرد و از طرفی صحیح و دقیق باشد، گواهی احراز هویت نیز چنین ویژگی ‌هایی را دارد؛ زیرا یک مرکز صدور گواهی قبل از صدور گواهی برای موجودیت، ابتدا آن موجودیت را به طور دقیق و مطمئن احراز هویت می‌ کند. بدین‌ سان، وقتی یک فرد یا به طور کلی هر موجودیت گواهی خود را به عنوان شناسه هویتی خود ارائه می ‌‌کند، می‌ توان از درستی اطلاعات شناسه مطمئن بود. همچنین، به دلیل اینکه گواهی الکترونیکی به هیچ وجه قابل تغییر و دستکاری نیست، امکان جعل آن و استفاده توسط موجودیتی دیگر (حمله کننده) وجود ندارد.

معمولاً در روش‌ های احراز هویت از نام کاربری و گذارواژه استفاده می ‌شود که مشکلات امنیتی متعددی مثل حملات لغت ‌نامه‌ای، حدس زدن کلمه عبور، دزدی پایگاه داده کلمات عبور، فریب ‌کاری، و غیره دارد. احراز هویت مبتنی بر گواهی الکترونیکی (certificate-based authentication) جایگزین مطمئن و امنی برای روش ‌های مذکور است؛ همچنین مکملی برای سایر روش‌ ها مثل احراز هویت دو عامله است. با استفاده از این گواهی الکترونیکی، به طور دقیق می ‌توان موجودیت ‌ها (مثل افراد و سیستم ‌ها) را شناسایی کرد. حتی از این گواهی الکترونیکی می ‌توان در مکانیزم‌ های کنترل دسترسی نیز استفاده کرد. نمونه ‌هایی از کابرد‌های احراز هویت مبتنی بر گواهی الکترونیکی در زیر آمده است:

• امنیت ارتباطات SSH: با احراز هویت مبتنی بر کلید عمومی به جای SSH معمولی مبتنی بر نام کاربری و گذرواژه، امنیت این نوع ارتباطات افزایش می ‌یابد.
• امنیت ارتباطات VPN: علاوه بر رمزگذاری در ارتباطات VPN، می ‌توان با استفاده از گواهی الکترونیکی یک ارتباط تصدیق اصالت‌ شده نیز داشت. برای نمونه، در ارتباطات SSL VPN و IPSec می‌ توان از گواهی الکترونیکی برای تصدیق اصالت کلاینت و دروازه VPN استفاده کرد. برای چنین قابلیتی، می ‌توان از گواهی الکترونیکی احراز هویت (سمت کلاینت) و گواهی الکترونیکی SSL (سمت سرور) استفاده کرد. همچنین این روش جایگزین امنی برای مکانیزم مبتنی بر نام کاربری و گذرواژه جهت دسترسی امن از راه دور از طریق VPN (برای مثال در SSL VPN) است.
• امنیت ارتباطات بی ‌سیم: با استفاده از استاندارد 802.1x و پروتکل ‌هایی مانند EAP-TLS و EAP-TTLS و گواهی ‌های الکترونیکی احراز هویت و SSL می‌ توان امنیت بهتری نسبت به ارتباطات بی‌ سیم معمولی (مبتنی بر کلید مشترک ثابت [network key]) داشت به طوری که:
  • فقط کاربران و سیستم‌ هایی که دارای گواهی الکترونیکی معتبر و مورد اعتماد باشند می توانند به شبکه متصل شوند.
  • کاربران می ‌توانند اطمینان حاصل کنند که به شبکه مورد نظر خود (نه شبکه جعلی) متصل شده اند.
  • به جای استفاده از یک کلید مشترک ثابت در همه ارتباطات، در هر ارتباط یک کلید تولید می‌ شود که حمله تحلیل ترافیک روی ارتباط را بسیار دشوار می ‌کند.
• ورود امن: در حالت عادی جهت ورود به سیستم ‌عامل (ویندوز، لینوکس، ...)، دامنه، شبکه، وب ‌سایت‌ ها و پرتال‌ ها، و سایر محیط‌ ها از راه‌ حل نام کاربری و گذارواژه استفاده می‌ شود که در بالا به مشکلات امنیتی این روش اشاره شد. راه‌حل امن‌ تر و قابل اطمینان ‌تر، استفاده از گواهی الکترونیکی احراز هویت در این محیط‌ ها است. برای نمونه‌ می‌ توان به قابلیت Smartcard logon در ویندوز و لینوکس اشاره نمود.