راه کارهای استانداردسازی در ارزیابی محصولات رمزنگاری

Standard Evaluation of Cryptographic Module

کد شابک : : 978-600-94351-8 -0

ناشر : موسسه فرهنگی هنری سخن پردازان خواجه نصیر

پديدآورنده : محمدعلی ارومیه چی ها - سیده نرگس موسوی - حامد یوسفی

موضوعات : رمزنگاری

توضیحات تکمیلی کتاب :

پیش‌گفتار ناشر

توسعه و گسترش روزافزون محصولات حوزة فناوری اطلاعات از یک سو و از سویی دیگر بالابردن امنیت این محصولات توسط فعالان این حوزه، منجر به رمزنگاری بر روی محصولات این حوزه شد.

امنیت سامانه‌های اطلاعاتی و ارتباطی یکی از بزرگ‌ترین چالش‌های حوزه‌های مختلف فناوری اطلاعات در سرتاسر دنیا است. نهادهای مختلف دولتی، مدیران صنایع در بخش‌های عمومی و خصوصی برای ایمن‌سازی داده‌های مورداستفاده در تجارت الکترونیک، زیرساخت‌های حیاتی و دیگر حوزه‌های مرتبط با فناوری‌های اطلاعات و همچنین حفظ حریم خصوصی کاربران از رمزنگاری استفاده می‌کنند؛ هم‌چنین تاکنون علاوهبر تولید انواع الگوریتم‌های رمزنگاری، راه‌کارهایی نیز به‌منظور استانداردسازی این محصولات ارائه شده است.

پژوهش‌گران پژوهشگاه توسعة فناوری‌های پیشرفته خواجه‌نصیرالدین طوسی پس از چند دهه پژوهش و تولید محصولات مختلف رمزنگاری، به‌منظور انتقال دانش و تجربیات خود در موضوع امنیت محصولات رمزنگاری و استانداردسازی این محصولات، اقدام به تألیف اثری ارزشمند تحت عنوان «راه‌کارهای استانداردسازی در ارزیابی محصولات رمزنگاری» کردند.

مؤسسة فرهنگی و هنری سخن‌پردازان خواجه‌نصیر در راستای رسالت خود مبنی بر انتشار دستاوردهای پژوهش‌گران پژوهشگاه خواجه نصیر، چاپ و انتشار این کتاب را یکی از اولویت‌های انتشاراتی خود قرار داد. مدیران این مؤسسه، ضمن سپاس فراوان از زحمات ارزشمند مؤلفان این اثر، سپاس‌گزار حمایت‌های معنوی و مادی، ریاست محترم و مدیران توانمند پژوهشگاه توسعه فناوری‌های پیشرفته خواجه‌نصیرالدین طوسی که امکان چاپ و انتشار کتاب حاظر را فراهم ساخته‌اند، میباشد و همچنین از همة عزیزانی که در شکل‌گیری این کتاب از هیچ کوششی فروگذار نبودند، سپاس و قدردانی کرده و امیدواریم که مطالعة این اثر برای همه خوانندگان، به‌خصوص فعالان حوزة رمز و امنیت اطلاعات سودمند واقع شد.

انتشارات مؤسسة فرهنگی و هنری

سخن‌پردازان خواجه نصیر

پاییز 1398

پیش‌گفتار مؤلّفان

بی‏ تردید هر محصول در دنیای فناوری اطلاعات ادعاهایی را، در مورد امنیت، ویژگی‏های عملکردی، و حتی مزیت‏های اقتصادیِ خود مطرح می‏سازد. برخی از این ادعاها، در بازار کسب و کار و برخی دیگر در آزمایشگاه‏های اعتبارسنجی در بوتة آزمایش قرار می‏گیرند. برای نمونه، سازندة محصول در رابطه با ویژگیهایی از قبیل کارکرد در فرکانس‏های مشخص، طول عمر بالا، استفاده از الگوریتم‏ها و پروتکل‏های خاص اظهاراتی را ارایه می‏کند که ارزیابی آنها توسط خریداران، بهره‏برداران و حتی رقبای تجاری امکان‏پذیر نیست؛ چون به‌طوراصولی یا دانش کافی برای ارزیابی آن محصول در اختیار آنها وجود ندارد و یا با فرض دانش کافی، جزئیات فنّی موردنیاز محصول تجاری نمی‏تواند در دسترس آنها قرار گیرد. بدین ترتیب، ارزیابی محصول به مرجع شناخته شده و قابل اطمینانی به نام "آزمایشگاه ارزیابی" سپرده می‏شود. حوزة این ادعاها نیز می‏تواند در طیف وسیعی از ارزیابیهای کارکردی تا ارزیابی‌های امنیتی محصول گنجانده شود. بنابراین آزمایشگاه‏ها نیز به‌صورت تخصصی، ارزیابی یک یا چند ویژگی مشخص محصول را برعهده می‏گیرند. با در‌نظر‌گرفتن تخصص‏های مختلف، ارزیابی امنیتی یک محصول می‏تواند بخش مهمی از ارزیابیهای آن محصول را در بر گیرد.

امنیت سامانه‏های اطلاعاتی و ارتباطی یکی از بزرگترین چالش‏های حوزة فناوری اطلاعات در سراسر دنیا محسوب می‏شود. نهادهای حکومتی، صنعت و بخش خصوصی برای امنسازی داده‏های مورد استفاده در تجارت الکترونیک، زیرساختهای حیاتی و دیگر حوزههای کاربردی، از رمزنگاری استفاده میکنند. جهت امن‏سازی هر محصول امنیتی در دنیای فناوری اطلاعات، یک ماژول رمزنگاری مشخص با ویژگی‏های مرتبط با آن محصول طراحی و تأمین می‌شود. ماژول رمزنگاری تمامی فعالیت‏های مربوط به الگوریتم‏ها و پروتکل‏های رمزنگاری از قبیل تولید کلید، تبادل کلید، ذخیره‏سازی کلید و داده‏های حساس، تولید اعداد تصادفی موردنیاز، رمزنگاری و رمزگشایی پیام، احراز اصالت پیام، احراز اصالت کاربر، تعیین یک‌پارچگی پیام و غیره را انجام میدهد. این ماژول‏ ممکن است به‌صورت سخت‏افزاری[1]، ثابت‏افزاری[2] و نرم‏افزاری[3] پیاده‏سازی شود و در سامانه امنیتی مورد بهرهبرداری قرار گیرد. از آنجا که هستة اصلی امنیت هر محصول در ماژول رمزنگاری آن شکل می‏گیرد، تهدید امنیتی علیه این بخش، می‏تواند منجر به شکست امنیت محصول شود. با وجود استفاده از رمزنگاری، نقصها و ضعفهای طراحی و پیادهسازی این ماژول نیز باعث ناامنی محصول میشوند و داده‏های حساس را در معرض خطر قرار میدهند. بنابراین کشف این نقاط ضعف در مرحله طراحی، پیاده‏سازی و به‌کارگیری ماژول‏های رمزنگاری گام مؤثری درجهت افزایش اطمینان از امنیت محصول قلمداد می‌شود.

سؤال قابل طرح این است که چه رویکرد و چارچوبی برای ارزیابی یک ماژول رمزنگاری استفاده گردد. آیا هر آزمایشگاه میتواند روال و فرآیند ارزیابی خود را بر مبنای دانش تخصصی و احصای نیازهای امنیتی یک ماژول رمزنگاری به‌کار گیرد. از آنجا که نتیجه ارزیابی امنیتی یک ماژول رمزنگاری در دو آزمایشگاه ارزیابی مستقل نباید متفاوت باشد، استفاده از چارچوبی استاندارد به‌عنوان یک راه‌کار مؤثر مورد توجه قرار میگیرد.

مجموعة پیش رو، به‌صورت تخصصی به راه‌کارهای استانداردِ ارزیابیِ امنیتیِ محصولاتی که در آنها از ماژول‏های رمزنگاری استفاده شده است، میپردازد و دانش موجود در آن به ارزیاب در بررسی امنیت ماژول‏های رمزنگاری کمک می‏کند. طیف وسیعی از مخاطبان می‏توانند از این اثر بهره‏مند شوند. به‌لحاظ تخصص‏های شغلی، طراحان و تحلیل‏گران سامانه‏های امنیتی، توسعه‌دهندگان و برنامه‏نویسان و همچنین آزمایشگاه‏های تخصصی ارزیابی امنیت می‏توانند از موضوعات مطرح‌شده در این کتاب استفاده کنند. تولیدکنندگان و بهره‏برداران در عرصه‏های کاری، نظیر صنایع الکترونیک، رایانه، مخابرات، اپراتورهای تلفن همراه، صنایع نفت و گاز، تولید و انتقال نیرو نیز می‏توانند از جنبه‏های استانداردسازی و توجه به استانداردهای بین‌المللی این کتاب بهره ببرند. همچنین برای بخش‏های حاکمیتی نیز در راستای تنظیم مقررات و نظارت بر پیاده‏سازی استانداردهای امنیتی، این اثر قابل استفاده است.

مؤلّفان این مجموعه ضمن بررسی راه‌کارهای مختلف و مطالعة تطبیقی آنها، به انتخاب برخی استانداردهای مؤثر جهت ارزیابی امنیتی ماژول‌های رمزنگاری خواهند پرداخت. توجه عمدة نگارندگان کتاب معطوف به استانداردهای پیشنهاد‌شده توسط سازمان استانداردهای بین‌المللی ([4]ISO) بوده که چه در سطح بین‌الملل و چه در سطح ملی مورد استفاده و ارجاع علمی و فنی قرار گرفته است. در فصل نخست، رویکردهای استانداردسازی ارزیابی امنیتی محصولات رمزنگاری در کشورهای مختلف و سازمان‏های بین‌المللی فعال به‌اجمال بررسی میشوند. فصل دوم کتاب، استاندارد ISO 15408 را، که با عنوان استاندارد معیارهای مشترک ([5]CC) نیز از آن یاد میشود، به‌عنوان چارچوب کلی جهت ارزیابی امنیت محصولات حوزة فناوری اطلاعات، در سه بخش مجزا معرفی می‏کند. برای ارزیابی امنیتی آن دسته از محصولات فناوری اطلاعات که از ماژول رمزنگاری استفاده می‏کنند، استاندارد ISO 19790 پیشنهاد شده است. فصل سوم بر مبنای این استاندارد به بیان الزامات ارزیابی امنیتی یک ماژول رمزنگاری از یازده منظر مختلف می‏پردازد. در ارزیابی ماژول‏های رمزنگاری، علاوه‌بر‌این استاندارد، از دستهای از استانداردهای مرتبط دیگر نیز کمک گرفته می‏شود. به‌طور‌خاص، استاندارد ISO 17825 معیارهای ارزیابی و تعیین میزان مقاومت محصول در برابر حملات کانال جانبی و استاندارد ISO 30104 روش‏های تأمین و ارزیابی امنیت فیزیکی محصولات را بیان می‏کنند. در فصل‏های چهارم و پنجم، به‌ترتیب این دو استاندارد توصیف و تشریح شده‏اند. لازم به ذکر است، این مجموعه با توجه به حساسیت و دقت متون استاندارد، بخش‏های اصلی آنها را بدون دخل و تصرف به فارسی برگردان کرده و این مهم طبق واژگان مصوب انجمن رمز ایران و فرهنگستان زبان و ادب فارسی صورت گرفته است.

امید است این مجموعه گام مثبتی در راستای اعتلای کشور در حوزة امنیت باشد و مورد توجه و استفاده متخصّصان قرار گیرد. با ارائة پیشنهادها و انتقادات، ما را در هرچه بهتر‌کردن این اثر و پیمودن این مسیر یاری فرمایید.

نویسندگان این مجموعه

پاییز 1398

[1] Hardware

[2] Firmware

[3] Software

[4] International Standards Organization

[5] Common Criteria

معرفی مختصر کتاب :

راه کارهای استانداردسازی در ارزیابی محصولات رمزنگاری

چکیده ای از کتاب :

امروزه محصولات حوزة فناوری اطلاعات بیش‌‌از‌‌پیش در دسترس کاربران قرار دارند و به‌صورت بالقوه در معرض خطر هکرها می‏توانند قرار داشته باشند. از‌این‌رو با پیشرفت فناوری، استفاده از فناوری اطلاعات و مخابرات نوین به‌طور ذاتی با چالش‏های جدید امنیتی همراه خواهد بود. محصولات و سامانه‏های IT مورد استفاده در تجارت، صنعت و خدمات، به‌طور‌ عمومی توسط شرکت‏های دیگر تولید شده و یا از طریق بازار خریداری می‏شوند. بسیاری از این محصولات توابع امنیتی مورد نیاز را برای حفاظت از دارایی‏ها تأمین می‏کنند؛ با این حال شرکت‏هایی که از این محصولات استفاده می‏کنند، باید از اجرای بدون نقص و کامل معیارهای امنیتی اطمینان حاصل کنند. تبیین الزامات امنیتی و به‌کارگیری صحیح آنها بسیاری از آسیب‏پذیری‏های بالقوه را می‏تواند پوشش دهد. در‌نظر‌گرفتن الزامات امنیتی، هم در مقام طراحی محصول و هم در پیاده‏سازی، بسیار حائز اهمیت است. اشتباهات سهوی و به‌ظاهر کوچک نیز ممکن است، امنیت سامانه را به مخاطره انداخته و منجر به صدمات جدی و جبران ناپذیری شود؛ از‌این‌رو به یک برنامه منسجم و همه‏جانبه‏نگر برای ارزیابی امنیتی محصولات حوزه فناوری اطلاعات توسط عامل بی‏طرف-آزمایشگاه ارزیابی- نیاز است. ارزیابی، روشی مناسب جهت کاهش خطر ناشی از به‌کارگیری محصولات و سامانه‏های حوزة فناوری اطلاعات است.

رویکردهای مختلفی در ارزیابی امنیتی می‏توان در پیش گرفت. یکی از این رویکردها، ارزیابی جعبة سیاه، مبتنی بر تحلیل در جایگاه مهاجم است. این رویکرد ارزیابی، بسیار زمان‏بر و پرهزینه است؛ از طرفی در‌صورت عدم کشف آسیب‏پذیری در محصول،‌ اظهار‌نظری در مورد امنیت محصول نمی‏توان داشت. رویکرد بهینه و منطقی، ارزیابیِ برمبنای استاندارد است. این روش شامل به‏کارگیری فرآیند استانداردسازی و صدور گواهی است. در این فرآیند، پس از تبیین الزامات امنیتی و تدوین استاندارد توسط مراجع ذی‏صلاح، تولیدکننده به طراحی و ساخت محصول خود برمبنای آن می‏پردازد؛ سپس محصول به آزمایشگاه ارزیابی ارجاع و درصورت تأیید، برای آن گواهی صادر خواهد شد. امروزه در بازارهای جهانی، ارزیابی امنیتی پیش‏نیاز اصلی ارائة محصولات است؛ که این مهم با ارائة سند گواهی ارزیابی محصول برمبنای استاندارد از طرف سازمان‏های صدور گواهی شناخته‌شده‌ انجام می‏شود.

استانداردسازی در زمینه‏های مختلف کاربرد دارد و از فواید آن به اعتمادسازی، هماهنگی و سازگاری می‏توان اشاره داشت. اهمیت آن به‌اندازه‏ای است که سازمان‏ها و نهادهای مختلفی با موضوع آن شکل گرفته‏اند. علاوه‌بر تدوین روال‏ها و استانداردهای طراحی و پیاده‏سازیِ ماژول‏های امنیتی و ارزیابی آنها، نظارت بر عملکرد آزمایشگاه‏های ارزیابی نیز از وظایف این سازمان‏ها است. در ادامة این فصل، سازمان‏های مرتبط در کشورهای مختلف و اقدامات صورت‌گرفته توسط آنها در زمینه ارزیابی امنیتی محصولات، به‌ویژه ماژول‏های رمزنگاری، معرّفی می‏شوند.

وضعیت اثر : منتشر شده

راه کارهای استانداردسازی در ارزیابی محصولات رمزنگاری

موسسه فرهنگی هنری سخن پردازان خواجه نصیر

راه کارهای استانداردسازی در ارزیابی محصولات رمزنگاری

تمام حقوق مادی و معنوی این سایت متعلق به موسسه فرهنگی هنری سخن پردازان خواجه نصیر است و استفاده از مطالب با ذکر منبع بلامانع است.