شناسايي و تصديق در وب

     يكي از امن‌ترين و مطمئن‌ترين روش‌هاي شناسايي و تصديق كاربران و پيام‌هاي مهم مالي در وب و اينترنت، استفاده از امضاي رقمي است. امضاي رقمي و شناسايي متن امضا شده، با استفاده از دو عدد كليد (دو رشته مستقل از بيت‌هاي به هم پيوسته با طولي معمولا بيش از 1024 بيت )كه يكي از آن‌ها خصوصي و ديگري عمومي ناميده مي‌شود، انجام مي‌گردد. خاصيت اصلي و تعيين كننده كليدهاي عمومي-خصوصي اينست كه اگر متني را با يكي از آن‌ها (معمولا كليد خصوصي) امضا كرديد، فقط و فقط با كليد ديگر (معمولا كليد عمومي) باز و شناسايي مي‌شود. اين امر انقلابي در اينترنت ايجاد نمود و قابليت امضاي اسناد و پيام‌ها را باعث گرديد. امضاي رقمي در هيچ شرايطي قابل جعل نيست (ولي قابل سرقت و زورگيري هست) و در مواردي كه امضاي معمولي كم مي‌آورد و كپي يا جعل مي‌شود، از امنيت كامل برخوردار است.
 

     استفاده از اين زوج كليدها تا كنون مقداري خسته كننده و گران بوده، موسسات مالي و بانك‌ها را در توجيه و ترغيب مشتريان به استفاده از آنها دچار دردسر مي‌كرده است. اما با زياد شدن سرقت اطلاعات، رمزها و مانند آنها، راهي جز سخت‌تر و امن‌تر كردن محيط كار و تبادل پيام‌هاي مالي نمانده است. در امضاي رقمي از دو روش "چيزي كه داريد" و "چيزي كه مي‌دانيد" به صورت توام استفاده شده و درصد سوء استفاده را به صفر مي‌رسانيم. اما نكته مهمي را هرگز فراموش نكنيم: مسير كار و تراكنش بايد به صورتي باشد كه نفوذ كننده احتمالي به مسير بعد از امضاي رقمي دسترسي نيابد؛ كه در اين صورت تمام رشته‌هاي ‌شما پنبه مي‌شود و اصولا متني امضا شده توسط كاربر نداريد كه در دادگاه به آن استناد كنيد و اثبات نماييد كه توسط مشتري ارسال شده است. در اين حالت موسسه مالي بايد تمام خسارت را به همراه آبرو ريزي مربوطه بپردازد.
 

     شركت "فِرست ديتا" كه بزرگترين شركت بين‌المللي در نوع خود براي پرداخت‌هاي مالي است، معتقد است كه شرايط تغيير كرده، روش‌هاي سرقت و نفوذ آنقدر پيچيده، فني و دقيق شده كه بانك‌ها بايد از روش‌هاي متعالي‌تر براي شناسايي و تصديق مشتريان استفاده نمايند. اين شركت براي بهبود روش‌هاي كاري به امضاي رقمي رو آورده و محصولي به نام "ديتا ساين" را عرضه نموده است. فن‌آوري مربوط از سال 2003 در آمريكا و خارج از آن مورد استفاده است. اين در حالي است كه هنوز اكثر سايت‌هاي بانك‌هاي بزرگ كه اجازه انتقال پول را مي‌دهند از روش اسم رمز ساده استفاده مي‌كنند.

طرز كار محصول "ديتا‌‌ساين":

     كاربران "ديتا‌‌ساين" پيام‌‌ها و تراكنش‌هاي خود را با كليد خصوصي كه در اختيار آنها قرار داده شده امضا كرده و براي اجرا ارسال مي‌نمايند. كليد خصوصي در يك وسيله سخت‌افزاري مانند كارت هوشمند (بهترين نوع)، توكن (Token)، يا قفل‌هاي ديگر كه به رايانه وصل شده‌اند، يا در فايلي نرم‌افزاري در يك "سي دي" كوچك يا محل مورد نظر مشتري نگهداري شده و رمز گذاري توسط آن انجام گرديده و حاصل كار در اختيار رايانه قرار داده مي‌شود.

     كليد عمومي مربوط (كه در اين حالت خيلي هم عمومي نيست) فقط در اختيار صاحب حساب قرار مي‌گيرد و همراه اطلاعات حساب مشتري نگهداري مي‌گردد. هر دو كليد براي حفاظت اطلاعات تبادل شده بين مشتري و موسسه مالي لازم بوده و بدون هر يك از آنها انجام كار ممكن نيست. امضاي رقمي عمليات شناسايي، محرمانگي، جامع و مانع بودن پيام را حفظ كرده و پيام را انكار ناپذير‌ مي‌كند (براي دادگاه يا طرح دعوي).

     در صورت استفاده از كارت هوشمند، كليدهاي مربوط، توسط كارت توليد شده، كليد خصوصي فقط درون كارت نگهداري شده و به هيچ وجه قابل كپي يا تكثير نيست. كليد عمومي توسط كارت در اختيار اپراتور قرار مي‌گيرد تا به همراه اطلاعات مشتري نگهداري شده و در مواقع لازم براي شناسايي و رمزگشايي پيام‌ها استفاده شود. صدور كارت يا زوج كليد مجدد كه در وسيله‌اي سخت افزاري نگهداري شود يا در فايل‌هاي نرم افزاري، كاري ساده بوده و تهيه نسخه پشتيبان در حالت نرم افزاري توصيه نمي‌شود. در حالتي كه از كارت هوشمند استفاده مي‌شود، امكان تهيه نسخه دوم وجود ندارد و با معدوم يا مفقود شدن كارت، بايد كارت ديگري صادر شود.

     از زمان معرفي كليدهاي عمومي/خصوصي در دهه 1350، سه عنصر درگير رمز گذاري و شناسايي شدند:
1- شخصي كه پيام را مي‌فرستد؛ آنرا توسط كليد عمومي (كه براي همه آشكار است) رمز مي‌كند.
2- شخصي كه پيام را دريافت مي‌كند؛ آنرا توسط كليد خصوصي ( كه فقط در اختيار او است) باز مي‌كند.
3- مرجعي كه هر دو شخص را مي‌شناسد؛ و به هرطرف جواب و اطلاعات لازم را براي تصديق طرف مقابل مي‌دهد.

در اين حالت وظايف و تسلسل فوق شكسته شده و از خواص ذاتي كليدها استفاده مي‌شود. به عنوان مثال كليد عمومي در اختيار همگان قرار نمي‌گيرد و فقط در اختيار موسسه مالي است. براي امضا نيز از كليد خصوصي استفاده مي‌شود.

     اما هر كار و خدمتي كه ارايه شود داراي هزينه است. شركت "فرست‌ديتا" بابت استفاده از راه‌هاي نرم افزاري هزينه‌اي بابت هر تراكنش يا مقداري ثابت در ماه دريافت مي‌كند. در صورت استفاده از توكن سخت افزاري هزينه سخت افزار مربوط نيز دريافت ميشود. توصيه ما استفاده از كارت هوشمند مي‌باشد. توجه فرماييد كه در هر دو حالت سخت افزاري و نرم افزاري، شما از خواص "آنچه مي‌دانيد" و "آنچه داريد" بهره مي‌بريد.

اما در ايران:

     راه حل فوق با مقداري تفاوت‌هاي فني، توسط بانك ملت و براي حواله نامحدود يا سقف بالا ( انتقال از يك حساب به حسابي ديگر) در محصول جام بكار رفته است. براي شروع كار سقف 100 ميليون ريال در روز در نظر گرفته شده است. وسيله استفاده شده براي نگهداري كليد خصوصي، كارت هوشمند است كه به همراه يك كارت خوان كه به رايانه وصل مي‌گردد در اختيار مشتري قرار مي‌گيرد.

     در نگاه اول، راه حل ارايه شده كمي پيچيده به نظر مي‌رسد. اما توجه نماييم كه اين محصول مخاطبان خود را دارد و براي تمام مشتريان بانك مطلوب نيست. مخاطبان اصلي آن افراد درس خوانده، شركت‌هاي تجاري كوچك و بزرگ، تاجراني كه بطور گسترده و پراكنده كار مي‌كنند، مشاغلي كه دفاتر مجازي دارند و در مجموع و با ديد تجربي مي‌توان گفت كه حدود 20 درصد از دارندگان حساب جاري متمركز واجد شرايط لازم مي‌باشند. اين محصول از ارزش افزوده بالايي برخوردار است و مي‌تواند مراجعه به بانك و سفرهاي شهري را كم كند و در عين حال عمليات بانكي لازم و جابجايي پول انجام گردد. يكي ديگر از مزاياي آن 24در7 بودن آن است كه نسبت به ساعات اداري كه هزينه بالاتري نيز دارد، ارجح است.

راه راست: براي اطلاعات بيشتر با شركت بهسازان ملت www.behsazan.com   با شماره (22009193)، آقايان يوسف‌بيك يا اونيك‌زه تماس حاصل فرماييد.