Ehsan M
31st March 2012, 07:44 PM
كليدهاي رمزنگاري و الگوريتم هاي رمزنگاري با يكديگر همكاري مي كنند تا يك متن اوليه را به يك متن رمزي تبديل كنند؛ در اغلب موارد الگورتيم رمزنگاري ثابت و شناخته شده است.
تكنيك هاي رمزنگاري پيچيده به راحتي از روشهاي جابه جايي يا جايگزيني استفاده نمي كند، درعوض از يك كليد محرمانه براي كنترل يك توالي طولاني از جابه جايي و جايگزيني هاي پيچيده بهره مي برد.
كليدهاي رمزنگاري و الگوريتم هاي رمزنگاري با يكديگر همكاري مي كنند تا يك متن اوليه را به يك متن رمزي تبديل كنند در اغلب موارد الگورتيم رمزنگاري ثابت و شناخته شده است و اين كليد رمزنگاري است كه يك نسخه يكتا از اطلاعات رمزنگاري شده است توليد مي كنند. بخشي از انواع كليدهاي رمزنگاري طبق مجموعه مقالات و گزارشات افتا سازمان فن آوري اطلاعات ايران به شرح ذيل است:
كليدهاي محرمانه
سيستم هاي كليد محرمانه تنها از يك كليد براي رمزنگاري و رمزگشايي اطلاعات استفاده مي كنند؛ در اين شيوه رمزنگاري لازم است كه هر جفت فرستنده و گيرنده اطلاعات، كليد جداگانه اي براي رمزنگاري داشته باشند و در نتيجه حفظ محرمانگي كليد بسيار اهميت دارد.
امنيت اين روش در گروه حفظ امنيت كليد است الگوريتم data encryption standard يك نمونه از الگوريتم هاي كليد محرمانه است.
چون فرض بر اين است كه الگوريتم شناخته شده و معلوم است امن بودن انتقال و ذخيره كليد بسيار مهم است؛ كارت هاي هوشمند معمولا براي ذخيره كليدهاي محرمانه استفاده مي شوند، در اين حالت تضمين محدوديت قلمرو كليد بسيار مهم است و بايد هميشه فرض كنيم كه يك كارت ممكن است توسط افراد غيرمجاز با موفقيت تحليل گردد و به اين ترتيب كل سيستم در مخاطره قرار گيرد.
كليدهاي عمومي و خصوصي
سيستم هايي كه از اين نوع كليدهاي استفاده مي كنند، نامتقارن خوانده شده و درواقع داراي يك زوج كليد هستند؛ يك كليد عمومي و يك كليد خصوصي. در اين سيستم هر كاربر داراي دو كليد عمومي و خصوصي است كه لازم است كليد خصوصي محرمانه نگهداري شود ولي كليد عمومي در اختيار همگان قرار مي گيرد.
امتياز اصلي و مهم سيستم هاي كليد نامتقارن آن است كه اجازه مي دهند كه يك كليد (كليد خصوصي) با امنيت بسيار بالا توسط صاحب آن نگهداري شود در حالي كه كليد ديگر(كليد عمومي) مي*تواند منتشر شود. كليدهاي عمومي مي توانند همراه پيام ها فرستاده شوند يا در فهرست ها ليست شوند و از يك شخص به شخص ديگر داده شوند.
نكات منفي سيستم هاي رمزنگاري با كليد عمومي
فرض كنيد كاربر پيغام خود را با استفاده از كليد خصوصي رمزنگاري مي كند؛ دريافت كننده پيغام مي تواند از هويت فرستنده پيغام مطمئن باشد يعني تاييد هويت به خوبي انجام شود ولي مشكل اين است كه هر كسي دسترسي به كليد عمومي دارد، مي تواند اطلاعات مذكور را رمزگشايي كند لذا اين روش محرمانگي اطلاعات را حفظ نمي كند.
از طرف ديگر در صورتي كه اطلاعات توسط كليد عمومي رمزنگاري شوند، از آنجا كه تنها دارنده كليد خصوصي قادر به رمزگشايي آن است لذا محرمانگي آن حفظ مي شود ولي مشكل در اين است كه چون هر كسي مي تواند به كليد عمومي دسترسي داشته باشد تاييد هويت با مشكل روبرو مي شود.
راه حل مشكل مذكور استفاده تركيبي از دو روش است؛ به طوري كه هم امكان تاييد هويت وجود داشته باشد و هم محرمانگي اطلاعات حفظ شود، فرستنده پيغام را با استفاده از كليد خصوصي خود رمز مي كند و سپس با استفاده از كليد عمومي كه مربوط به گيرنده است آن را مجددا رمزنگاري مي كند.
در اين حالت لازم است گيرنده پيغام ابتدا با استفاده از كليد خصوصي خود پيغام را رمزگشايي كند و سپس نتيجه را با استفاده از كليد عمومي فرستنده مجددا رمزگشايي كند تا به اصل پيغام دسترسي پيدا كند؛ در اين صورت پيغام رمزنگاري شده تنها با كليد خصوصي دريافت كننده قابل رمزگشايي است و در نتيجه هر دو مشكل تاييد هويت و حفظ محرمانگي اطلاعات برطرف شده است.
كليدهاي اصلي و كليدهاي مشتق شده
يكي از ايراداتي كه به روش هاي پيشين وارد است، تعداد زياد كليدهاست كه طبيعتا منجر به سخت تر شدن مديريت كليد مي شود يك روش براي كاستن از تعداد كليدهايي كه بايد منتقل و ذخيره شوند، مشتق گرفتن از آن ها در زمان مورد نياز است؛ در يك برنامه اشتقاق كليد، يك كليد اصلي همراه با چند پارامتر مجزا براي محاسبه كليد مشتق شده استفاده مي شود كه بعدا براي رمزنگاري استفاده مي گردد.
كليدهاي رمزكننده كليد
از آنجا كه ارسال كليد، از نظر امنيتي، يك نقطه ضعف در سيستم ها به شمار مي رود، رمز كردن كليدها هنگام ارسال و ذخيره آن ها به شكل رمز شده منطقي به نظر مي*رسد. كليدهاي رمزكننده كليد هرگز به خارج از يك سيستم كامپيوتري يا كارت هوشمند ارسال نمي*شوند و بنابراين مي توانند آسان تر محافظت شوند. اغلب الگوريتم مورد استفاده براي تبادل كليدها از آنچه كه براي رمز كردن پيام ها استفاده مي شود، متفاوت است.
از مفهوم دامنه كليد (key domain) براي محدود كردن ميدان كليدها و محافظت كردن از كليدها در دامنه شان استفاده مي كنيم؛ معمولا يك دامنه يك سيستم رايانه يي خواهد بود كه مي*تواند به صورت فيزيكي و منطقي محافظت گردد؛ كليدهاي استفاده شده در يك دامنه توسط يك كليد رمز كننده كليد محلي ذخيره مي شوند.
هنگامي كه كليدها مي خواهند به يك سيستم كامپيوتري ديگر فرستاده شوند، رمزگشايي و تحت يك كليد جديد رمز مي شوند كه اغلب به عنوان كليد كنترل ناحيه (zone contorol key) شناخته مي*شوند؛ اين كليدها پس از دريافت در طرف ديگر، تحت كليد محلي سيستم جديد رمز مي شوند بنابراين كليدهايي كه در دامنه هاي يك ناحيه قرار دارند، مي توانند به صورتي كه بيان گرديد از دامنه اي به دامنه ديگر منتقل شوند.
نقاط مثبت روش مبدا به مقصد
۱. قابليت انعطاف بيش تري دارد؛ كاربر مي تواند تنها اطلاعات مورد نظر خوي را رمزنگاري كند و هر كاربر نيز مي تواند كليد جداگانه اي داشته باشد.
۲. در اين روش انتشار كليد و مديريت آن ساده تر است.
۳. با استفاده از اين روش، اطلاعات از ابتدا تا انتها و در كل شبكه محافظت شده باقي مي مانند.
۴. روشي كارآمدتر است زيرا لازم نيست شبكه هيچ گونه تسهيلات خاص رمزنگاري را دارا باشد.
نقاط منفي روش مبدا به مقصد
۱. ممكن است نياز به بررسي برخي از اطلاعات مانند اطلاعات سرآيند و يا مسيريابي به صورت رمزنگاري نشده باشد.
۲. هر سيستمي نيازمند اجراي نوع يكساني از رمزنگاري است.
۳. اين روش تنها محتويات پيغام را امن نگاه مي دارد ولي نمي تواند اين واقعيت را مخفي كند كه چنين پيغامي فرستاده شده است.
تكنيك هاي رمزنگاري پيچيده به راحتي از روشهاي جابه جايي يا جايگزيني استفاده نمي كند، درعوض از يك كليد محرمانه براي كنترل يك توالي طولاني از جابه جايي و جايگزيني هاي پيچيده بهره مي برد.
كليدهاي رمزنگاري و الگوريتم هاي رمزنگاري با يكديگر همكاري مي كنند تا يك متن اوليه را به يك متن رمزي تبديل كنند در اغلب موارد الگورتيم رمزنگاري ثابت و شناخته شده است و اين كليد رمزنگاري است كه يك نسخه يكتا از اطلاعات رمزنگاري شده است توليد مي كنند. بخشي از انواع كليدهاي رمزنگاري طبق مجموعه مقالات و گزارشات افتا سازمان فن آوري اطلاعات ايران به شرح ذيل است:
كليدهاي محرمانه
سيستم هاي كليد محرمانه تنها از يك كليد براي رمزنگاري و رمزگشايي اطلاعات استفاده مي كنند؛ در اين شيوه رمزنگاري لازم است كه هر جفت فرستنده و گيرنده اطلاعات، كليد جداگانه اي براي رمزنگاري داشته باشند و در نتيجه حفظ محرمانگي كليد بسيار اهميت دارد.
امنيت اين روش در گروه حفظ امنيت كليد است الگوريتم data encryption standard يك نمونه از الگوريتم هاي كليد محرمانه است.
چون فرض بر اين است كه الگوريتم شناخته شده و معلوم است امن بودن انتقال و ذخيره كليد بسيار مهم است؛ كارت هاي هوشمند معمولا براي ذخيره كليدهاي محرمانه استفاده مي شوند، در اين حالت تضمين محدوديت قلمرو كليد بسيار مهم است و بايد هميشه فرض كنيم كه يك كارت ممكن است توسط افراد غيرمجاز با موفقيت تحليل گردد و به اين ترتيب كل سيستم در مخاطره قرار گيرد.
كليدهاي عمومي و خصوصي
سيستم هايي كه از اين نوع كليدهاي استفاده مي كنند، نامتقارن خوانده شده و درواقع داراي يك زوج كليد هستند؛ يك كليد عمومي و يك كليد خصوصي. در اين سيستم هر كاربر داراي دو كليد عمومي و خصوصي است كه لازم است كليد خصوصي محرمانه نگهداري شود ولي كليد عمومي در اختيار همگان قرار مي گيرد.
امتياز اصلي و مهم سيستم هاي كليد نامتقارن آن است كه اجازه مي دهند كه يك كليد (كليد خصوصي) با امنيت بسيار بالا توسط صاحب آن نگهداري شود در حالي كه كليد ديگر(كليد عمومي) مي*تواند منتشر شود. كليدهاي عمومي مي توانند همراه پيام ها فرستاده شوند يا در فهرست ها ليست شوند و از يك شخص به شخص ديگر داده شوند.
نكات منفي سيستم هاي رمزنگاري با كليد عمومي
فرض كنيد كاربر پيغام خود را با استفاده از كليد خصوصي رمزنگاري مي كند؛ دريافت كننده پيغام مي تواند از هويت فرستنده پيغام مطمئن باشد يعني تاييد هويت به خوبي انجام شود ولي مشكل اين است كه هر كسي دسترسي به كليد عمومي دارد، مي تواند اطلاعات مذكور را رمزگشايي كند لذا اين روش محرمانگي اطلاعات را حفظ نمي كند.
از طرف ديگر در صورتي كه اطلاعات توسط كليد عمومي رمزنگاري شوند، از آنجا كه تنها دارنده كليد خصوصي قادر به رمزگشايي آن است لذا محرمانگي آن حفظ مي شود ولي مشكل در اين است كه چون هر كسي مي تواند به كليد عمومي دسترسي داشته باشد تاييد هويت با مشكل روبرو مي شود.
راه حل مشكل مذكور استفاده تركيبي از دو روش است؛ به طوري كه هم امكان تاييد هويت وجود داشته باشد و هم محرمانگي اطلاعات حفظ شود، فرستنده پيغام را با استفاده از كليد خصوصي خود رمز مي كند و سپس با استفاده از كليد عمومي كه مربوط به گيرنده است آن را مجددا رمزنگاري مي كند.
در اين حالت لازم است گيرنده پيغام ابتدا با استفاده از كليد خصوصي خود پيغام را رمزگشايي كند و سپس نتيجه را با استفاده از كليد عمومي فرستنده مجددا رمزگشايي كند تا به اصل پيغام دسترسي پيدا كند؛ در اين صورت پيغام رمزنگاري شده تنها با كليد خصوصي دريافت كننده قابل رمزگشايي است و در نتيجه هر دو مشكل تاييد هويت و حفظ محرمانگي اطلاعات برطرف شده است.
كليدهاي اصلي و كليدهاي مشتق شده
يكي از ايراداتي كه به روش هاي پيشين وارد است، تعداد زياد كليدهاست كه طبيعتا منجر به سخت تر شدن مديريت كليد مي شود يك روش براي كاستن از تعداد كليدهايي كه بايد منتقل و ذخيره شوند، مشتق گرفتن از آن ها در زمان مورد نياز است؛ در يك برنامه اشتقاق كليد، يك كليد اصلي همراه با چند پارامتر مجزا براي محاسبه كليد مشتق شده استفاده مي شود كه بعدا براي رمزنگاري استفاده مي گردد.
كليدهاي رمزكننده كليد
از آنجا كه ارسال كليد، از نظر امنيتي، يك نقطه ضعف در سيستم ها به شمار مي رود، رمز كردن كليدها هنگام ارسال و ذخيره آن ها به شكل رمز شده منطقي به نظر مي*رسد. كليدهاي رمزكننده كليد هرگز به خارج از يك سيستم كامپيوتري يا كارت هوشمند ارسال نمي*شوند و بنابراين مي توانند آسان تر محافظت شوند. اغلب الگوريتم مورد استفاده براي تبادل كليدها از آنچه كه براي رمز كردن پيام ها استفاده مي شود، متفاوت است.
از مفهوم دامنه كليد (key domain) براي محدود كردن ميدان كليدها و محافظت كردن از كليدها در دامنه شان استفاده مي كنيم؛ معمولا يك دامنه يك سيستم رايانه يي خواهد بود كه مي*تواند به صورت فيزيكي و منطقي محافظت گردد؛ كليدهاي استفاده شده در يك دامنه توسط يك كليد رمز كننده كليد محلي ذخيره مي شوند.
هنگامي كه كليدها مي خواهند به يك سيستم كامپيوتري ديگر فرستاده شوند، رمزگشايي و تحت يك كليد جديد رمز مي شوند كه اغلب به عنوان كليد كنترل ناحيه (zone contorol key) شناخته مي*شوند؛ اين كليدها پس از دريافت در طرف ديگر، تحت كليد محلي سيستم جديد رمز مي شوند بنابراين كليدهايي كه در دامنه هاي يك ناحيه قرار دارند، مي توانند به صورتي كه بيان گرديد از دامنه اي به دامنه ديگر منتقل شوند.
نقاط مثبت روش مبدا به مقصد
۱. قابليت انعطاف بيش تري دارد؛ كاربر مي تواند تنها اطلاعات مورد نظر خوي را رمزنگاري كند و هر كاربر نيز مي تواند كليد جداگانه اي داشته باشد.
۲. در اين روش انتشار كليد و مديريت آن ساده تر است.
۳. با استفاده از اين روش، اطلاعات از ابتدا تا انتها و در كل شبكه محافظت شده باقي مي مانند.
۴. روشي كارآمدتر است زيرا لازم نيست شبكه هيچ گونه تسهيلات خاص رمزنگاري را دارا باشد.
نقاط منفي روش مبدا به مقصد
۱. ممكن است نياز به بررسي برخي از اطلاعات مانند اطلاعات سرآيند و يا مسيريابي به صورت رمزنگاري نشده باشد.
۲. هر سيستمي نيازمند اجراي نوع يكساني از رمزنگاري است.
۳. اين روش تنها محتويات پيغام را امن نگاه مي دارد ولي نمي تواند اين واقعيت را مخفي كند كه چنين پيغامي فرستاده شده است.