بحث امنیت در بانکداي الکترونیکی( بخش پایانی)

چهارشنبه ، 13 آبان 1394 ، 10:16

 

 

بانکی دات آی آر: بانکداری الکترونیک  رد روند خود با چالشهایی نیزمواجه است. ما در اینجا به بررسی دقیق تر امنیت به عنوان بزرگترین چالش بانکداري می پردازیم.


امضاء دیجیتال
مسئلهٔ ابداع یک روش جایگزین به جاي امضاهاي دست نویس یکی از موضوعات دشوار به حساب میآید در اصل به سیستمی نیاز است که براساس آن یک طرف بتواند پیامی امضاء شده را براي طرف دیگر بفرستد به گونهاي که شرایط زیر به درستی احراز شود:
1)گیرنده بتواند هویت شخص فرستندهٔ پیام را بررسی کند.
2)فرستنده بعداً نتواند محتواي پیام ارسالی خود را انکار کند.
3)گیرنده نیز نتواند پیامهاي جعلی براي خود بسازد.

به منظور بر طرف کردن نیاز هاي فوق الذکر،مفهومی به نام امضاء دیجیتال ابداع شد. مفهوم امضاي دیجیتال در سال 1976 توسط دیفی و مارتین هلمن وارد ادبیات دنیای مجازی شد؛ چندی بعد نیز رونالد ریوست، ادی شایمر و لن آدلمان الگوریتم موسوم به RSA را ابداع کردند که متاسفانه از امنیت بالایی برخوردار نبود.
امضاء دیجیتال در واقع داده الکترونیکی است که یا به سایر داده ها متصل است یا به لحاظ منطقی با آنها مرتبط است و روشی براي احراز هویت ، به شمار می رود. امضاء دیجیتال با دو روش رمزنگاری متقارن و رمز گذاری نا متقارن پیاده سازي شده است، اما به مرور زمان استفاده از رمز نگاری متقارن در امضاء دیجیتال منسوخ شد زیرا که قبل از ارسال پیام باید هر دو طرف مبادله به طریقی کلید مشترك خصوصی را به دست آورند. این مسئله کاربرد امضاء دیجیتالی که به این روش ایجاد شده است را در شبکه ارتباطات باز همانند اینترنت با مشکل جدي مواجه می کند، چرا که طرفهاي مبادله هیچ ارتباط قبلی با یکدیگر ندارند و ممکن است ارتباطات جعلی صورت گیرد.
به منظور حل این مشکل شیوه رمز نگاري نا متقارن یا همان کلید عمومی استفاده می شود.در این شیوه هر شخص یک جفت کلید به نامهاي کلید خصوصی و کلید عمومی در اختیار دارد. کلید عمومی به صورت عمومی منتشر شده و در اختیار افراد مختلف مبادله کننده قرار می گیرد، در حالی که کلید خصوصی هرگز نه ارسال می شود و نه به اشتراك
گذاشته می شود. براي مثال هنگامی که مشتري بانک تمایل دارد پیامی را به بانک ارسال کند، ابتداء کلید عمومی بانک عامل را از بین کلیدهاي عمومی استخراج نموده و با استفاده از آن ، پیام را به بانک عامل ارسال می نماید. بانک عامل با استفاده از کلید خصوصی خود پیام را از حالت رمزگذاري شده خارج می کند و به محتواي اصلی پیام دست می یابد. بنابراین در
چنین شیوه اي، هر فردي می تواند با استفاده از کلید عمومی بانک، پیام خود را ارسال نماید و تنها بانک عامل می تواند با استفاده از کلید خصوصی خود، به پیام ارسال شده دسترسی داشته باشد.
به منظور استفاده از امضاء دیجیتال ، هر فردي می تواند با مراجعه به موسساتی که خدمات گواهی امضاء دیجیتال را ارائه می دهند، یک امضاء دیجیتال دریافت نماید، این امضاء از دو بخش کلیدعمومی و کلید خصوصی تشکیل می شود:
کلید عمومی در بانک اطلاعاتی موسسه درج شده و در اختیار همه قرار می گیرد یعنی هر شخصی با مراجعه به بانک اطلاعاتی این موسسه می تواند آن را دریافت نماید.
کلید خصوصی در کارت هوشمند و یا حافظه جانبی نظیرتوکن (Token) ذخیره شده و

دراختیار صاحب امضاء قرار می گیرد. آن فرد موظف به حفاظت از این کلید می باشد
.

حال فرض کنیم این فرد می خواد سند دیجیتالی را با این امضاء دیجیتال، امضاء نماید.  فرآیند بدین شکل است که در ابتداء سند دیجیتالی از طریق الگوریتمی درهم سازی و فشرده شده و به رشته اي با طول ثابت تبدیل می شود _به این فرآیند هشینگ(Hashing) گفته می شود؛ سپس از طریق الگوریتم دیگری، با استفاده از کلید عمومی گیرنده، پیام را رمز نگاری کرده و به همراه سند اصلی براي گیرنده ارسال می کند. گیرنده پس از دریافت پیام، نخست آن قسمت از پیام که رمز شده است را بااستفاده از الگوریتم رمز گشایی و کلید عمومی فرستنده، رمز گشائی میکند  و با پیام درهم شده مقایسه مینماید، در صورت برابري این دو رشته، نتیجه می گیرد که پیام ارسالی اصیل بوده و خدمت درخواستی مشتري را ارائه میدهد. از این روش در امضای چکهای دیجیتال نیز استفاده می شود.  امروزه روشهای پیچیده تری نیز ارائه شده تا امنیت تبادل اطلاعات از طریق امضاء دیجیتال افزایش پیدا کند اگر چه پیچیده تر شدن آن باعث افزایش هزینه های مربوط به پیاده سازي الگوریتمهاي رمز نگاري شده است.

منبع: Cardiff Business School

مترجم: مهرداد دستورانی

► 30 نکته امنیت بانکداری الکترونیک از بانک حکمت ایرانیان
باز هم توهم توطئه ،ربا درلوگوی بانکهای کشور!/عکس ◄

مطالب مرتبط
بنر