نظام مدیریت امنیت داده ها با زیرساخت كلید عمومی (PKI)
زیرساخت كلید عمومی (PKI) معمولا به مجموعه ای از استانداردها، سیستم ها و روش هایی گفته می شود كه هدف از به كار گیری آنها، شناسایی و تعیین هویت و اعتبار اشخاصی است كه از طریق یك یا چند شبكه ارتباطی، اقدام به ارسال پیام و یا انجام تراكنش های مالی و غیر مالی می کنند.
در معماری یا زیرساختار PKI كه به رمزنگاری كلید عمومی و یا رمز نگاری نامتقارن نیز مشهور است بر خلاف رمزنگاری متقارن كه از یك كلید استفاده می شود، دو كلید یعنی کلید عمومی و كلید خصوصی استفاده می شود و در نتیجه، در تراكنش های روزانه طرفین از اعتماد كامل به یكدیگر برخوردار خواهند شد. در این سیستم، كاربران دارای یك كلید عمومی هستند كه می توانند در اختیار همگان قرار دهند و كلید دیگر یعنی كلید خصوصی را محرمانه نگه دارند.
داده ها در این سیستم با كلید عمومی طرف مقابل رمز نگاری شده و گیرنده پیام با كلید خصوصی خود پیام را رمزگشایی می کند. این سیستم دارای پیچیدگی های خاص است. بنابراین به كار گیری یك مثال می تواند درك آن را آسانتر کند.
اساس این سیستم بر استفاده از كلیدها استوار شده است. فرض کنید فردی چندین صندوق دارد كه همگی با یك كلید باز می شوند و فرد از روی آن چندین كلید مشابه ساخته و در اختیار افراد مختلف قرار داده است. افردا دیگر می توانند پیام خود را در یكی از صندوق ها بگذارند و كلیدی كه در اختیار وی قرار داده شده است، صندوق را قفل کند؛ اکنون هیچ شخص دیگری بجز صاحب صندوق كه دارای كلید خصوصی است، قادر به گشودن صندوق نخواهد بود؛ زیرا تنها وی صاحب و دارنده كلید خصوصی است كه همراه با كلید عمومی از مركز صدور گواهی دریافت کرده است و در این مرحله صاحب صندوق مطمئن می شود كه پیام برای وی و نه شخص دیگر ارسال شده است و چنانچه وی قادر به بازكردن صندوق نباشد، اطمینان خواهد داشت كه پیام از آن او نیست. افشای این پیام صرفا زمانی میسر است كه شخص به كلید خصوصی صاحب صندوق دسترسی پیدا كند.
پس هر شخصی كه كلید عمومی صاحب صندوق را داشته باشد می تواند با امنیت كامل پیام خود را ارسال و هیچ كس به جز صاحب صندوق كه دارای كلید خصوصی (زوج كلید عمومی) است، نمی تواند صندوق را باز و به مفاد پیام دسترسی پیدا كند.
حالا سؤال این است كه صاحب صندوق با باز كردن آن می تواند یقین کند كه پیام برای او ارسال شده است… اما چطور بفهمد این پیام از طرف چه كسی ارسال شده؟ حتی اگر یادداشتی همراه پیام گذاشته باشید عملا این موضوع ثابت نمی شود كه پیام از طرف چه شخصی ارسال شده، چون هر كسی كه كلید عمومی صاحب صندوق را داشته باشد می تواند پیام بفرستد.
حالا فرض کنید كه در داخل هر صندوق، صندوق كوچكتری قرار دارد و اگر ارسال كننده پیام بخواهد هویت خود را آشكار و پس از ارسال قادر به پوشاندن هویت خود نباشد، می تواند نام و هویت خود را بنویسد و با كلید خصوصی خود در صندوق كوچك را قفل کند. در این صورت صاحب صندوق پس از بازكردن صندوق بزرگ با كلید خصوصی خود و خواندن پیام می تواند با كلید عمومی ارسال كننده كه در اختیار وی قرار دارد صندوق كوچك را باز کند و از هویت ارسال كننده باخبر شود.
در مثال بالا همه چیز به شکل فیزیكی در نظر گرفته شده است؛ اما در دنیای فناوری اطلاعات و در دنیای رایانه باید معادل صندوق ها و كلیدها را به كار گرفت. در این حیطه با سیستم و فناوری بنام رمز نگاری سر و كار خواهیم داشت؛ یعنی پیام ها توسط الگوریتم های پنهان سازی داده ها نظیر R5A به شکل رمزی در می آیند و دریافت كننده با كلید خصوصی خود یعنی رشته ای از كاراكتر ها، از حالت رمزی خارج و با كلید عمومی ارسال كننده پیام، هویت وی را تشخیص خواهد داد. به عبارت دیگر در این سیستم متن های آشكار (Clear text) بصورت متن های سری (cipher text) در می آیند.
برای مثال در برنامه های كاربردی بانكی پیام های درون بانكی و بین بانك ها از چند شبكه مختلف عبور می کنند و حامل داده های حساس هستند. این پیام ها به شدت محرمانه تلقی می شوند و در هر گروه از شبكه ارتباطی باید درستی اعتبار آن ها تایید شود. این اسناد از سوی فرستنده و با استفاده از الگوریتم های ویژه فشرده می شوند، با یک كلید عمومی از سوی گیرنده رمزگشایی می شوند و سپس، به وسیله كلید خصوصی فرستنده امضای دیجیتال و ارسال می شوند، که در نتیجه، برای پیام ها این تغییر وضعیت اتفاق می افتد:
محرمانگی: اطلاعات محرمانه و خصوصی می شوند.
یكپارچگی: اطلاعات در بین مسیر تغییر نمی کنند.
اصالت: فرستنده و گیرنده همدیگر را شناسایی می کنند.
انكارناپذیری: فرستنده یا گیرنده نمی توانند ارسال یا دریافت پیام ها را انكار کنند.