CA Server

در رمزنگاری به مرجع صدور گواهی دیجیتال (certificate authority) یا (certification authority) که به صورت خلاصه به آن CA Server میگویند، یک شخص حقیقی یا حقوقی است که گواهی‌های دیجیتال (گواهی‌های کلید عمومی) را صادر می‌کند. گواهی دیجیتال تضمین می‌کند که موضوع گواهی مورد نظر ما به اسم همان صاحبی است که در آن گفته شده‌است. این گواهی به دیگران (کسانی که بر اساس این گواهی کار خود را انجام می‌دهند) اجازه می‌دهد که به امضاءها و بیانیه‌هایی که با کلید خصوصی گواهی یاد شده تولید شده‌اند اطمینان کنند.

در مدل ارتباط  با اعتماد، مرجع صدور گواهی دیجیتال یا همان CA Server شخص ثالث مورد اطمینانی است که از سوی هر دو سمت گواهی یعنی صاحب گواهی و شخص اعتماد کننده به گواهی معتمد به حساب می‌آید.

یک مرجع صدور گواهی دیجیتال، گواهی‌های دیجیتالی صادر می‌کند که شامل یک کلید عمومی و هویت صاحب آن است. کلید خصوصی متناظر به این سادگی در اختیار همه گذاشته نمی‌شود، و توسط کاربرِ مقابل که کلید برای آن تولید شده‌است مخفی می‌ماند. گواهی نیز به نوبه خود، تأیید یا اعتباری است از سوی مرجع صدور گواهی دیجیتال، به طوری که بیان می‌دارد کلید عمومی ذکر شده در گواهی متعلق به شخص، ارگان، سرویس‌دهنده یا هویتی که در گواهی به آن اشاره شده‌است.

تعهد یک مرجع صدور گواهی دیجیتال برای طرح بیان شده در بالا، تضمین و مهر تأئیدی است برای استفاده کننده‌ کنندگان از گواهی، به طوری که کاربران و شخصیت‌هایی که بر اساس گواهی کار می‌کنند بتوانند به اطلاعات منتقل شده بر اساس گواهی مذکور اعتماد کنند. مراجع صدور گواهی دیجیتال از استانداردها و آزمون‌های بسیاری برای منظور فوق استفاده می‌کنند. اصولاً مرجع صدور گواهی دیجیتال مسئول جمله زیر است: «بله، این شخص همان کسی است که ادعا می‌کند، و ما به عنوان مرجع صدور گواهی دیجیتال، آن را تائید می‌کنیم».

اگر کاربر به مرجع صدور گواهی دیجیتال اطمینان دارد و تشخیص می‌دهد که امضای دیجیتالی مرجع صدور گواهی دیجیتال درست است، می‌تواند مطمئن باشد که کلید عمومی حقیقتاً متعلق به هویتی است که گواهی برای آن صادر شده‌ است. مثالا:

رمزگزاری با کلید عمومی را می‌توان برای رمز کردن ارتباط بین دو قسمت مورد استفاده قرار داد. این رخداد معمولاً زمانی که مثلا یک کاربر به یک سایت وارد می‌شود و میخواهد که پروتکل http را به صورت امن اجرا کند. در این مثال فرض می‌کنیم که کاربر در صفحه خانگی بانک خود با آدرس www.bank.example وارد می‌شود تا خدمات بانکی برخط انجام دهد. وقتی که کاربر صفحه خانگی www.bank.example را باز می‌کند، یک کلید عمومی را همراه با تمام اطلاعاتی که صفحه مرورگر تارنما نمایش می‌دهد دریافت می‌کند.

زمانی که کابر اطلاعاتی را صفحه بانک وارد و تائید می‌کند (یعنی اطلاعاتی را به بانک برمی‌گرداند)، اطلاعات پیش از فرستاده شدن بوسیله مرورگر تارنما و با استفاده از کلید عمومی که توسط www.bank.example ارائه شده رمزی می‌شوند. کلیدی که بوسیله آن اطلاعات را می‌توان از حالت رمزی خارج کرد کلید خصوصی می‌گویند و تنها برای بانک شناخته شده است. در نتیجه حتی اگر کسی بتواند به داده‌هایی که رد و بدل شده‌اند دسترسی پیدا کند، تنها توسط بانک و با استفاده از کلید خصوصی قابل رمزگشایی هستند.

این مکانیزم تنها زمانی قابل اعتماد است که کاربر مطمئن باشد کسی که با او در ارتباط است بانک است. اگر کاربر آدرس www.bank.example را وارد کند ولی ارتباطش با بانک ربوده شده  و یک تارنمای تقلبی  (که سعی می‌کند خود را بانک نشان دهد) اطلاعات صفحه بانک را به مرورگر کاربر بفرستد، همزمان با صفحه تقلبی یک کلید عمومی تقلبی نیز به کاربر می‌فرستد. کاربر فرم را با اطلاعات شخصی‌اش پر می‌کند و با تائید آن، داده‌ها با کلید عمومی تقلبی رمزی می‌شوند. صفحه تقلبی به اطلاعات کاربر دست پیدا می‌کند زیرا صفحه تقلبی دارای کلید خصوصی تقلبی متناظر با کلید عمومی است.

CA Server مرجع صدور گواهی دیجیتال یک سازمان است که کلیدهای عمومی، صاحب آن‌ها و هر طرفی که در ارتباط با اعتماد بااین سازمان است را نگهداری می‌کند. زمانی که مرورگر تارنمای کاربر کلید عمومی را از تارنمای www.bank.example دریافت می‌کند، می‌تواند با مرجع صدور گواهی دیجیتال تماس بگیرد تا مطمئن شود که آیا حقیقتاً کلید عمومی متعلق به www.bank.example است یا خیر. از آن‌جا که www.bank.example از یک کلید عمومی که مرجع صدور گواهی دیجیتال آنرا تائید کرده استفاده می‌کند، یک www.bank.example تقلبی تنها می‌تواند از همان کلید عمومی اصلی استفاده کند، و ارز آنجا که www.bank.example تقلبی کلید خصوصی متناظر را در اختیار ندارد، داده‌های کاربر را نمی‌تواند رمزگشایی کند.

ابطال مرجع صدور گواهی دیجیتال

اگر یک CA Server یا همان مرجع صدور گواهی دیجیتال خراب شود، آنگاه امنیت کل سیستم برای هر کاربری که مرجع مذکور به سلامت ارتباطش توسط صاحب گواهی دیجیتال و کلید عمومی تضمین داده است زیر سؤال می‌رود.

یک مورد از این دست در سال 2001 اتفاق افتاد. زمانی که مرجع صادر کننده گواهی دیجیتال VeriSign دو گواهی برای کسی که ادعا می کرد microsoft است صادر کرد. این گواهی ها دارای نام “Microsoft Corporation” بودند، لذا می توانست برای فریب یک فرد استفاده شود و او را ترغیب کند که از نرم‌افزار به روز کننده شرکت Microsoft استفاده کند در صورتی که واقعاً این طور نبوده. این کلاه برداری در اوایل سال 2001 کشف شد. Microsoft و VeriSign اقداماتی را جهت محدود کردن مشکلات ناشی از این مسئله انجام دادند.

اگر برای سازمان خود نیاز به نصب و راه اندازی CA Server دارید میتوانید از خدمات شبکه و کامپیوتر گروه استاد شبکه استفاده کنید

1 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

محدودیت زمانی مجاز به پایان رسید. لطفا کد امنیتی را دوباره تکمیل کنید.