مرکز دولتی صدور گواهی الکرتونیکی ریشه

www rca gov ir

با توجه به گس��ترش روز افزون فناوری اطالعات و جایگاه آن در کش��ور و همچنین تبدیل عملیات و نمادهای فیزیک��ی به دیجیتال��ی، تبادل اطالعات به صورت محرمانه، به همراه احرازهوی��ت مبادله کنندگان و انکارناپذیری

اطالعات مبادله ش��ده، به امری ضروری و اجتناب ناپذیر تبدیل ش��ده اس��ت اعتماد ش��الوده اصلی هر نوع تعاملی اس��ت. به دنبال ارتقای س��طح تعامالت نیاز به اعتماد، بیش��تر و پیچیده تر می شود. اما ابزار اعتماد در فضای مجازی چیست؟ چگونه طرف های درگیر در یک تعامل، با توجه به ویژگی های فضای مجازی باید به یکدیگر اعتماد کنند؟ چگونه نس��بت به امن بودن تراکنش مطمئن ش��وند؟ چگونه از س��وء

اس��تفاده خرابکاران در فضای مجازی در امان باش��ند؟ ... )PKI( یکی از راه کارهای عملی برای رفع مشکالت تعامل در فضای مجازی، استفاده از زیر ساخت کلید عمومیمی باش��د. زیرس��اخت کلید عمومی کش��ور، با هدف ایجاد امنیت و اعتماد در فضای تبادل اطالعات، احراز هویت در فضای مجازی در س��طح ملی و بین المللی، و در نهایت جلب اعتماد در اس��تفاده از خدمات الکترونیکی شکل

گرفته اس��ت.زیرس��اخت کلید عمومی کش��ور به عنوان یکی از ابزاره��ای ایجاد اعتماد، درواقع چارچوبی ب��رای تولید، توزیع، کنترل، ممیزی و ابطال گواهی های الکترونیکی فراهم می کند. در این زیرساخت از گواهی های الکترونیکی صادره توسط مراکز صدور گواهی الکترونیکی میانی استفاده می کند تا اعتبار طرفین یک تراکنش الکترونیکی را ممیزی

و تصدی��ق نمای��د. زیرس��اخت کلید عمومی مطابق قانون تجارت الکترونیکی و آیین نامه ماده 32 آن، دارای س��اختار سلسله مراتبی

نهادهای متولی در زیرس��اخت کلید عمومی کش��ورمطابق ش��کل زیر می باش��د:

1

شهمرکز دولتی صدور گواهی الکترونیکی ری مقدمه

2

شهمرکز دولتی صدور گواهی الکترونیکی ری

گواهی ها جزء اساس��ی زیرس��اخت کلید عمومی هس��تند و راهکاری عملی جهت ایجاد امنیت و اعتماد در فضای مجازی در کاربردهای مختلف می باشند. وظیفه صدور گواهی الکترونیکی بر عهده مراکز صدور گواهی الکترونیکی می باشد. این گواهیها مطابق با سطح امنیتی تعریف شده، بر روی سخت افزارهایی نظیر: کارت هوشمند، توکن های

USB و ... صادر می ش��وند که به آنها س��خت افزارهای PKI می گویند. گواهی الکترونیکی، فایل الکترونیکي اس��ت که ح��اوي مجموعه ای از اطالعات در مورد مالک گواهی، مرکز صادر

کننده گواهي، تاریخ صدور و انقضاء گواهی، حوزه کاربرد، ... می باش��د. این گواهی :

گواهی الکترونیکی چیست؟

بر اساس تأیید هویتي که توسط یک دفترثبت نام )RA( انجام می گیرد، صادر می شود.

برای افراد حقیقی، حقوقی و وس��ایل کاربردی صادر می گردد.

حاوي کلید عمومي مالک گواهی اس��ت.

دربردارنده مورد اس��تفاده یا کاربرد گواهی اس��ت.

3

شهمرکز دولتی صدور گواهی الکترونیکی ری

گواهي امضاي الکترونیکي - عملیات امضاء با اس��تفاده از این گواهی انج��ام می گی��رد.

گواهي مهرسازماني - در نقش یک مهر برای سازمان مورد استفاده قرار می گی��رد.

گواهي احراز هویت - جهت شناسایی و احراز هویت استفاده می گردد.

گواهي س��رور - در کاربردهایی نظیر SSL، گواهی تجهیزات ش��بکه اس��تفاده می گردد.

گواهي پس��ت الکترونیکي امن - جهت کاربرد ایمیل استفاده می گردد.

گواهي امضاي کد - برنامه نویسان جهت جلوگیری از تغییر کد توسط افراد غیرمجاز اس��تفاده می کنند.

گواهي مراکزمهرزماني - جهت ثبت زمان دقیق بر روی اس��ناد الکترونیکی اس��تفاده می ش��ود.

کاربرده�ای ان�واع گواهی الکترونیکی

برخی نمونه های کاربردی گواهی الکترونیکی

امضا و محرمانگی اس��ناد

احراز اصالت اس��ناد و داده های الکترونیکی

مب��ادالت تج��اری الکترونیک��ی ام��ن

تراکن��ش ه��ای بانک��ی ام��ن )بانک��داری الکترونیک��ی(

ص��دور مج��وز جه��ت انج��ام عملی��ات

ارتباط با س��رویس دهنده ها در کانال ارتباطي امن

رای گی��ری الکترونیک��ی

بیم��ه ا لکترونیک��ی

س��المت الکترونیکی

آم��وزش الکترونیک��ی

دول��ت الکترونیک��ی

4

شهمرکز دولتی صدور گواهی الکترونیکی ری

مرکز دولتی صدور گواهی الکترونیکی مرکز دولتي صدور گواهي الکترونیکي ریشه بر طبق آیین نامه ماده 32 قانون تجارت الکترونیک، مسئول مجوز ایجاد، امضا، صدور و ابطال گواهي الکترونیکي، مراکز صدور گواهي الکترونیکي میاني می باشد. برخی از وظایف این مرکز به

شرح ذیل می باشد مسئولیت تمام ابعاد صدور و مدیریت مراکز صدور گواهي الکترونیکي میاني، شامل نظارت بر فرایندهاي ثبت

نام، احراز هویت، صدور گواهي هاي میاني، انتشار و ابطال گواهي ها و تجدید کلید

تضمین تطابق تمام ابعاد خدمات و عملیات این مرکز با زیرساخت مربوط به صدور گواهی الکترونیکی، تحت سیاست هاي گواهی الکترونیکی و مطابق با خواسته ها و ضمانت هاي آن سیاست ها.

الزم به ذکر است وظیفه صدور گواهی موجودیتهای نهایی برعهده مراکز صدور گواهی الکترونیکی میانی اعم از دولتی و یا خصوصی می باشد.

تدوین و بکارگیري ملزومات و خط و مش��ی ها، جهت اعمال یکپارچگي و انس��جام بس��ترهاي زیرس��اخت کلید عمومي؛

ارائه پیش��نهاد تدوین مقررات و آیین نامه های مربوطه

هماهنگي و مدیریت راه اندازي مراکز صدور گواهي الکترونیکي در کش��ور

هماهنگي، مدیریت منس��جم و نظارت برفعالیت هاي مراکز ص��دور گواهي الکترونیکي میانی در کش��ور به منظور حصول اطمینان از عملکرد صحیح مراکز میانی

واحد تدوین ،سیاست ها

دستورالعمل ها ورویه ها

واحد مراکز صدور گواهیالکترونیکی

میانی

5

شهمرکز دولتی صدور گواهی الکترونیکی ری

• آزمایش��گاه تس��ت و ارزیاب��ی محص��والت ص��دور و مدیری��ت گواه��ی الکترونیک��ی )PKE( آزمایشگاه تست و ارزیابی برنامه های کاربردی مجهز به زیرساخت کلید عمومی

آزمایش��گاه تس��ت و ارزیابی ماژولهای امنیتی PKI آزمایش��گاه الگوریتمهای

واحدآزمایشگاه ها

واحد تحقیق وتوسعه

تحقیق و پژوهش به منظور برنامه ریزی جهت تسهیل در ایجاد و توسعه زیرس��اخت های امنیتیتحقیق و پژوهش در حوزه کاربردهای مختلف امضای دیجیتال و توس��عه کاربردهای آن

تحقیق و پژوهش در زمینه الگوریتم ها و پروتکل های امنیتی موثر در زمینه زیر س��اخت کلید عموم��ی

خدمات و سرویس ها

مش��اوره راه اندازی و تاس��یس مراکز صدور گواهی الکترونیکی میانی مش��اوره در امور تدوین اس��ناد

مش��اوره در امور تجهیز مراکز داده صدور گواهی مش��اوره تجهیز برنامه کاربردی به زیرس��اخت کلید عمومی

PKE برگزاری کارگاه های آش��نایی با مفاهیم مش��اوره پیاده س��ازی فنی

مش��اوره جهت ارزیابی تجهیزات س��خت افزاری و نرم افزاری در PKI آزمایش��گاه های

مش��اوره در امور چگونگی ارزیابی مش��اوره جهت رفع مش��کالت محصوالت و بهبود آنها

6

شهمرکز دولتی صدور گواهی الکترونیکی ری

1382

1386

1387

1389

1390

1391 1388

• تصویب قانون تجارت الکترونیکی

• تصویب آیین نامه اجرایی ماده 32 در هیئت دولت• تشکیل شورای سیاس��ت گذاری گواهی الکترونیکی

کشور • راه اندازی مرکز دولتی صدور گواهی الکترونیکی ریشه

کشور• راه اندازی مرکز صدور گواهی الکترونیکی میانی دولتی

• تدوین سند نقشه راه زیرساخت کلید عمومی کشور

• تصویب ویرایش س��وم سند سیاس��تهای گواهی الکترونیکی زیرساخت کلید 3647 RFC عمومی کشور منطبق با

•تصویب سند جامع پروفایلهای زیرساخت کلیدعمومی کشور•راه اندازی مرکزصدورگواهی الکترونیکی میانی خصوصی پارس ساین

PKE ارزیابی سخت افزارهای• PKE ارزیابی و آزمون نرم افزارهای •

•تصویب سند دستورالعمل اجرایی مرکز میانی وزارت نفت• تصویب س��ند دستورالعمل اجرایی مرکز میانی س��ازمان ثبت اسناد و امالک

کشور•تصویب سند دستورالعمل اجرایی مرکز میانی سازمان امور مالیاتی

• تصویب سند دستورالعمل اجرایی مرکز میانی خصوصی فناوران اعتماد راهبر• برگزاری کارگاه های آموزشی آشنایی با زیرساخت کلید عمومی کشور

• تصویب طرح ساماندهی مراکز صدور گواهی الکترونیکی میانی

• تصوی��ب س��طوح اطمین��ان چهارگانه در زیرساخت کلید عمومی کشور

خالصه وضعیت عملکرد مرکز دولتی صدور گواهی الکترونیکی ریشه

• تهیه و تدوین نظام ارزشگذاری گواهی الکترونیکی• تصویب نرخ ریالی تعرفه گواهی

• تصویب س��ند دس��تورالعمل اجرای��ی گواهی الکترونیکی مرکز میانی خصوصی

• تدوی��ن اس��تانداردهای ملی زیرس��اخت کلید عمومی کشور

راه اندازی آزمایشگاه های زیرساخت کلید عمومی

• تصویب استانداردهای ملی زیرساخت کلید عمومی کشور

• توسعه آزمایشگاه ارزیابی سامانه های صدور و مدیریت گواهی الکترونیکی

• توسعه آزمایشگاه ارزیابی برنامه های کاربردی مجهز به زیرساخت کلید عمومی کشور

• توسعه آزمایشگاه ارزیابی ماژولهای امنیتی سخت افزاری

• توس��عه آزمایش��گاه ارزیاب��ی الگوریتمهای رمزنگاری

• توس��عه کاربرد گواهی الکترونیکی در بستر )Mobile PKI( موبایل

• اطالع رسانی، آموزش و فرهنگ سازی

1392

توسعهرشدراه اندازیبسترسازی

7

شهمرکز دولتی صدور گواهی الکترونیکی ری

PKE چیست؟ جهت اس��تفاده از گواهی الکترونیکی در یک س��امانه، الزم اس��ت قابلیت اس��تفاده از گواهی الکترونیکی به آن سامانه افزوده شود. قابلیت بهره گیری از گواهی الکترونیکی و فراتر از آن زیرساخت کلید عمومی در سیستم ها را Public Key Enabling یا به اختصار PKE گوییم. عملیات PKE کردن می باید توس��ط کارشناسان نرم افزار

ارائه ش��ود و به س��امانه مورد نظر اضافه گردد.آنچه اهمیت دارد این اس��ت که س��امانه ها باید بتوانند بمنظور

محرمانگ��ی شناس��ایی

ز هوی��ت اح��را جامع بودن و دس��ت نخوردگی اطالعات

و همچنین امضای آنها مورد اس��تفاده قرار گیرند. با این امر می توان مطمئن بود اطالعات خوانده نش��ده، تغییر نکرده، جعل نش��ده و کامال امن منتقل می ش��وند.

تجهیز س��امانه ها به زیرس��اخت کلید عمومی و اضافه کردن قابلیت اس��تفاده از گواهی الکترونیکی در سامانه ها می باید بر اس��اس مجموعه ای از اس��تانداردها و الزامات صورت پذیرد.

اس�تانداردهای زیرس�اخت کلید عمومی مصوب ش�ورای سیاس�تگذاری گواهی

الکترونیکی کشور • پروفایل های گواهی الکترونیکی

• الگوریتم های زیرساخت کلید عمومی• پروتکل های مدیریتی• پروتکل های عملیاتی

• پروتکل های زنجیره گواهی• ماژول های امنیتی سخت افزاری

• ملزومات برنامه هاي کاربردي مجهز به زیرساخت کلید عمومي کشور

8

شهمرکز دولتی صدور گواهی الکترونیکی ری

PKI آزمایشگاه ارزیابي سخت افزارهاي

گواهی های الکترونیکی به صورت نرم افزاری و یا بر روی سخت افزارهاي PKI از قبیل کارت هاي هوشمند ، توکنهاي USB و HSM صادر می ش��وند. انتخاب یکی از این موارد مذکور، بس��تگی به سطح امنیت گواهی الکترونیکی فرد متقاضی گواهی دارد. صدور گواهی الکترونیکی به صورت نرم افزاری کمترین و HSM دارای باالترین سطح امنیتی اس��ت. از آن جایی که س��خت افزارها بعنوان یکی از مهمترین ارکان اعمال امنیت و اعتمادسازي در تراکنش هاي

الکترونیکي و انجام عملیات امضاي دیجیتال، محسوب مي گردند، مهم است که بدانیم؛ آیا کارت هاي هوشمند، توکن هاي USB و HSM های ارائه شده در بازار، داراي امنیت الزم هستند؟

سخت افزارهاي PKI بصورت بالقوه و بالفعل ممکن است داراي آسیب پذیري هاي امنیتي بسیار جدي و بحراني باشند. پاره اي از این آسیب پذیري ها شامل موارد ذیل مي باشند:

••وجود رخنه هاي امنیتي تعمدي و غیر تعمدي؛امکان استخراج و جعل کلیدهاي محرمانه و مدیریت کلید ضعیف؛ •

عدم اجراي درست و مطمئن الگوریتم هاي رمزنگاري؛ • امکان تغییر مشخصه هاي حساس و فقط خواندني کلید؛ •

عدم تعامل پذیري مناسب؛ • امکان اعمال انواع حمالت سخت افزاري و نرم افزاري •

PKI ویژه سخت افزارهاي : PKI راه حل: بکارگیري محصوالت داراي گواهي تاییدیه

آزمایش��گاه ارزیابي سخت افزارهاي PKI با هدف تس��ت و ارزیابي انواع سخت افزارهاي PKI توسط مرکز دولتي صدور گواهي الکترونیکي ریشه راه اندازي شده است. این آزمایشگاه ارزیابي هاي خود را با بکارگیري انواع تجهیزات س��خت-افزاري و نرم افزاري در حوزه هاي عملیاتي و انطباق با اس��تانداردهاي ملي و بین المللي، امنیت، کارایي و پایداري انجام مي دهد. عبور موفقیت آمیز یک محصول از آزمون هاي آزمایشگاه، منجر به اعطاي گواهي تاییدیه

PKI براي آن محصول خواهد شد. محصوالت تحت آزمون

9

شهمرکز دولتی صدور گواهی الکترونیکی ری

9 9

PKE آزمایشگاه ارزیابي نرم افزارهاي

نرم افزارهاي PKE به نرم افزارهایي گفته مي ش��ود که از قابلیت های گواهي الکترونیکي اس��تفاده می کنند، این نرم افزارها قابلیت انجام عملیات امضاي دیجیتال را دارا مي باشند.

امضاي دیجیتال، اعتماد یا عدم اعتماد؟نرم افزارهاي PKE بدون استانداردس��ازي و اعمال الزامات الزم داراي آسیب پذیري هاي امنیتي و اشکاالت بسیار

جدي و بحراني باشند. پاره اي از این آسیب پذیري ها و اشکاالت شامل موارد ذیل مي باشد:عدم اطمینان از امضاي اطالعات درست و مورد نظر؛ •

عدم انجام فرآیند احرازهویت بصورت درست و مطمئن؛ • دسترسي غیر مجاز؛ •

خطر جعل امضا؛ • عدم انجام درست و مطمئن عملیات اعتبارسنجي زنجیره گواهي؛ •

مدیریت کلید ضعیف؛ • PKE ویژه نرم افزارهاي : PKI راه حل: بکارگیري نرم افزارهاي داراي گواهي تاییدیه

آزمایشگاه ارزیابي نرم افزارهاي PKE با هدف تست و ارزیابي انواع نرم افزارهاي PKE توسط مرکز دولتي صدور گواهي الکترونیکي ریش��ه راه اندازي ش��ده است. این آزمایش��گاه ارزیابي هاي خود را با بکارگیري انواع تجهیزات سخت-افزاري و نرم افزاري در حوزه هاي مختلف شامل امنیت، انطباق پذیري با استانداردهاي ملي و بین المللي، استفاده-پذیري و پایداري انجام مي دهد. عبور موفقیت آمیز یک نرم افزار از آزمون هاي آزمایشگاه، منجر به اعطاي

گواهي تاییدیه PKI براي آن نرم افزار خواهد شد. محصوالت تحت آزمون

10

شهمرکز دولتی صدور گواهی الکترونیکی ری

آزمایشگاه ارزیابي الگوریتم

زیرساخت کلید عمومي یا PKI از الگوریتم هاي مختلف رمزنگاري جهت ارائه خدمات اعتمادسازي در فضاي مجازي استفاده می کنند. بنابراین یکي ارکان بسیار مهم امنیت در این زیرساخت وابسته به امنیت الگوریتم هاي رمزنگاري

مي-باشد.

آیا الگوریتم هاي رمزنگاري در PKI قابل اعتماد هستند؟ الگوریتم هاي رمزنگاري بکارگرفته ش��ده در سخت افزارها و نرم افزارهاي PKI بعنوان هسته اصلي امنیت در این محصوالت ممکن است داراي آسیب پذیري هاي و روزنه هاي امنیتي بسیار جدي و بحراني باشند. پاره اي از این

آسیب-پذیري ها شامل موارد ذیل مي باشند:

وجود رخنه هاي امنیتي؛ • تولید کلیدهاي ضعیف و آسیب پذیر؛ •

عدم اجراي درست و مطمئن الگوریتم هاي رمزنگاري؛ • بکارگیري الگوریتم هاي رمزنگاري جعلي؛ •

عدم پیاده سازي درست و مطمئن الگوریتم هاي رمزنگاري؛ • عدم انطباق با استانداردها و عدم تعامل پذیري مناسب؛ •

راه حل: استفاده از محصوالت داراي گواهي تاییدیه PKI : ویژه الگوریتم هاي رمزنگاري

آزمایشگاه ارزیابي الگوریتم با هدف تست و ارزیابي انواع الگوریتم هاي رمزنگاري پذیرفته شده در زیرساخت کلید عمومي کشور راه اندازي شده است. این آزمایشگاه ارزیابي هاي خود را بر اساس مکانیزم هاي استاندارد و پذیرفته شده بین المللي، روال هاي طراحي شده داخلي و از طریق تجهیزات نرم افزاري و سخت افزاري مختلف و نزدیک به

ده هزار بردار آزمون انجام مي دهد.

الگوریتم هاي تحت آزمون

11

شهمرکز دولتی صدور گواهی الکترونیکی ری

آزمایشگاه ارزیابي سامانه هاي صدور و مدیریت گواهي الکترونیکي

در یک زیرساخت کلید عمومي، الزم است مراکز صدور گواهي الکترونیکي )مراکز CA( از طریق سامانه هاي نرم-افزاري و س��خت افزاري امن و مورد اطمینان عملیات صدور و مدیریت گواهي الکترونیکي را انجام دهند تا بتوانند

بعنوان مراجع اعتماد، خدمات مرتبط با امضاي دیجیتال و گواهي الکترونیکي را ارائه نمایند.

مراکز صدور گواهي الکترونیکي )CA( داراي امنیت الزم و کافي هستند؟ س��امانه هاي صدور و مدیریت گواهي الکترونیکي در مراکز CA بدلیل حساس��یت بسیار باال الزم است بطور دقیق ارزیابي شده و مورد بازرسي دوره اي قرار گیرند. پاره اي از این آسیب پذیري هایي که ممکن است در این سامانه ها

وجود داشته باشد، شامل موارد ذیل مي باشند:

عدم ارتباط درست و مطمئن اجزاي مختلف سامانه؛ • عدم تعامل پذیري درست و مطمئن، ناپایداري و عدم کارایي سامانه؛ •

عدم رعایت سیاست ها، استانداردها و الزامات تعیین شده در زیرساخت کلید عمومي کشور؛ • عدم برآورده سازي سطح اطمینان الزم و کافي جهت ارائه خدمات صدور و مدیریت گواهي الکترونیکي؛ •

عدم اعمال کنترل دسترسي مناسب؛ • مدیریت کلید ضعیف •

CA ویژه سامانه¬هاي مرتبط با : PKI راه حل: بکارگیري محصوالت داراي گواهي تاییدیهآزمایشگاه ارزیابي سامانه هاي صدور و مدیریت گواهي الکترونیکي با هدف تست و ارزیابي انواع مولفه هاي سخت-

افزاري و نرم افزاري مورد استفاده در مراکز صدور گواهي الکترونیکي، توسط مرکز دولتي صدور گواهي الکترونیکي ریشه راه اندازي شده است. این آزمایشگاه ارزیابي هاي خود را با بکارگیري انواع تجهیزات سخت افزاري و نرم افزاري در حوزه هاي مختلف انجام مي دهد. عبور موفقیت آمیز یک محصول از آزمون هاي آزمایش��گاه، منجر به اعطاي

گواهي تاییدیه PKI براي آن محصول خواهد شد.

مولفه هاي قابل ارزیابي در آزمایشگاه

www rca gov ir