اجزای زیرساخت کلید عمومی ( PKI ) – از CA و RA تا CRL، گواهیها، رمزنگاری و استانداردهای PKCS
مقدمه پس از آشنایی با تعریف و اهمیت زیرساخت کلید عمومی PKI در مقاله قبلی، حالا زمان بررسی دقیق اجزای فنی این سیستم است. اجزای PKI شامل عناصر سختافزاری، نرمافزاری، سازمانی و رویهای است که امنیت، اعتماد و مدیریت گواهیهای دیجیتال را تضمین میکنند. این اجزا بر اساس استانداردهای جهانی مانند X.509 و PKCS طراحی شدهاند و در ایران نیز بر پایه قانون تجارت الکترونیکی ۱۳۸۲ و سیاستهای شورای سیاستگذاری گواهی الکترونیکی یعنی مرکز ریشه عمل میکنند. درک این اجزا برای سازمانها، بانکها و کسبوکارهای دیجیتال ضروری است، زیرا هر ضعف در یکی از آنها میتواند کل زنجیره اعتماد را به خطر بیندازد.
مقام صدور گواهی (Certificate Authority - CA)
CA قلب تپنده PKI است. این نهاد معتبر (اعم از عمومی یا خصوصی) مسئولیت صدور، تمدید، ابطال و مدیریت گواهیهای دیجیتال را بر عهده دارد. CA با امضای دیجیتال خود (با کلید خصوصیاش) گواهی را معتبر میکند و زنجیره اعتماد را ایجاد مینماید.
- Root CA (مرجع ریشه): بالاترین سطح اعتماد. خودامضا (self-signed) است و گواهیاش در فروشگاههای ریشه مرورگرها و سیستمعاملها (مانند Microsoft، Apple، Mozilla) پیشفرض قرار دارد. Root CAها معمولاً آفلاین نگهداری میشوند (در محیطهای امن با امنیت فیزیکی بالا مانند گاوصندوقهای NSA-grade) و عمر گواهیشان ۱۵–۲۰ سال است.
- Intermediate CA / Subordinate CA: از Root CA گواهی میگیرند و گواهیهای نهایی را صادر میکنند. این لایه ریسک را کاهش میدهد؛ اگر Intermediate هک شود، فقط بخشی از زنجیره آسیب میبیند.
- Issuing CA: لایه نهایی که مستقیماً گواهی به کاربران/دستگاهها میدهد.
در ایران، مرکز ریشه گواهی الکترونیکی (GICA) زیر نظر وزارت صنعت، معدن و تجارت عمل میکند. شرکتهای پیشرو مانند هویتا در طراحی و پیادهسازی زیرساخت PKI برای وزارت اقتصاد (۱۴۰۲) نقش کلیدی داشتهاند که منجر به بهرهبرداری بانکهای عامل شده است.
مقام ثبتنام (Registration Authority - RA)
گواهی امضای دیجیتال (Digital Certificate)
گواهی امضای دیجیتال سندی الکترونیکی است که هویت صاحب کلید عمومی و خصوصی را تأیید میکند. هویتا اولین شرکت ارائه دهنده گواهی امضای دیجیتال در ایران است که از سال ۱۳۹۲ تحت عنوان مرکز صدور گواهی امضای دیجیتال فعالیت خود رو آغاز کرده است. در حال حاضر هویتا این راهکار را کاملا غیرحضوری ارائه میدهد که جلوی صرف زمانهای اضافی و همچنین کاغذبازی های زیاد را میگیرد. اجزای اصلی گواهی امضای دیجیتال:
- نام متمایز (Distinguished Name – DN): شامل کشور، سازمان، نام فرد/سرور.
- کلید عمومی.
- تاریخ صدور و انقضا.
- کلید خصوصی
- مرکز صادر کننده گواهی امضا ( مثلا پارس ساین هویتا )
رمزنگاری زیرساخت کلید عمومی
PKI بر پایه رمزنگاری نامتقارن (Asymmetric) کار میکند:
- کلید عمومی: برای رمزگذاری و تأیید امضا (منتشر میشود).
- کلید خصوصی: برای رمزگشایی و ایجاد امضا (محرمانه).
الگوریتمهای رایج:
- RSA (کلید حداقل ۲۰۴۸–۴۰۹۶ بیت).
- ECC (Elliptic Curve Cryptography – کارآمدتر برای دستگاههای کوچک).
- الگوریتمهای هش: SHA-256 یا SHA-3 برای بررسی تمامیت.
برای آشنایی کامل به نحوه رمزنگاری امضای دیجیتال به مقاله مربوطه در همین سایت مراجعه کنید.
استانداردهای PKCS
PKCS (Public-Key Cryptography Standards) مجموعه استانداردهای RSA Security است. استفاده از این استانداردها برای رعایت قوانین و همچنین جلوگیری از نفوذهای مخرب و هک سامانهها ضروری است.
- PKCS#1: RSA.
- PKCS#7: پیامهای رمزنگاریشده.
- PKCS#10: درخواست گواهی (CSR).
- PKCS#11: واسط کریپتوگرافیک (برای توکنها و HSM).
- PKCS#12: فایلهای حاوی کلید خصوصی + گواهی (معمولاً .pfx).
که تمام این استانداردها در مرکز صدور گواهی پارس ساین هویتا رعایت شده و توانسته بالغ بر ۴ میلیون گواهی صادر کند.
سخن پایانی
اجزای PKI زنجیرهای محکم از اعتماد ایجاد میکنند که بدون آن اقتصاد دیجیتال ممکن نیست. در مقاله بعدی به کاربردهای عملی، چالشها و آینده PKI در ایران میپردازیم. برای تکمیل زنجیره ابزارهای دیجیتال مانند امضاگر ( سرویس امضای دیجیتال هویتا )و سفتهگر ( سرویس سفته دیجیتال هویتا )، این زیرساخت پایهای ضروری است.