شهادات رقمية

من ويكيبيديا، الموسوعة الحرة

ملاحظة : قد يتوجب عليك مراجعة المواضيع التالية قبل قرائة هذا الموضوع, وهي: نظم التشفير (Encryption Systems) التشفير المتناسق (Symmetric Encryption) ما يسمى بتشفير المفتاح السري (Secret key encryption) تشفير المفتاح المشاع (Public Key Encryption).

محتويات

1 مقدمة
2 الهوية (Identity) آلية عمل الشهادات الرقمية
- 2.1 تشفير المفتاح المشاع
- 2.2 البنية التحتية للمفتاح المشاع
3 مثال توضيحي
4 خلاصة
5 قائمة المصطلحات و المفاهيم
6 اقرأ ايضا
7 المصادر

[عدل] مقدمة

يمكنك الذهاب إلى العقبة ، ومن ثم اظهار هويتك بالإضافة لورقة اخرى ، وتقود سيارة اخر موديل سعرها يفوق العشرة الاف دينار والضمانة الوحيدة لشركة تأجير السيارات هي " كلمة شرف" بأنك ستعيد السيارة و تدفع ما يترتب عليك من اجرة ، فبالتأكيد انت لن تكسر كلمتك ، لأن هذا سيحطم" سمعتك " !!.

في الحقيقة ، فان كلمتك لا تغير الكثير بالنسبة لتلك الشركة ، اما ما يعنيها بالواقع فهو تلك الهوية و تلك الورقة الاخرى كتعهد ،هما اللتان تعطيان الشركة القدرةعلى الوثوق بك ، على الأقل بأنك مواطن و بأن حقوقها مضمونة إلى حد ما.

الشهادات الرقمية (Digital Certificates) مهمة لتحقيق نفس الغاية ، و لكن داخل العالم الافتراضي (Cyber World) الانترنت على سبيل المثال ، و تتحقق الفاعلية الكبرى لهذه الشهادات عندما يتم الزواج بين النظام القانوني و (نظام تشفير المفتاح العام) (Public Key Cryptography).

يقصد بالمفتاح العام: اي ان مفتاح الشفرة يكون معلنا للجميع و ينشر على الملأ ، فلا يجب ان يكون سريا ، ببساطة لأنه يستخدم في عملية التشفير فقط ، و لا فائدة منه في عملية فك الشفرة ، اذ يستخدم مفتاح خاص و سري في عملية فك التشفير ، معنى ذلك اننا نستخدم مفتاحان في هذا النوع من التشفير على عكس أنواع التشفير السائدة و التي تستخدم مفتاحا سريا واحدا, الا انه يمكن استخدام المفتاحين بطريقة معكوسة تماما و بالتالي تحقيق و تطبيق ما يعرف بالتوقيع الرقمي (Digital Signature) انظر موضوع: تشفير المفتاح العام(Public-Key Cryptography) ، انظر موضوع: التوقيع الرقمي (Digital Signature)

[عدل] الهوية (Identity) آلية عمل الشهادات الرقمية

الهوية (Identity) : من انت ؟ من انا ؟ مالاثبات بأنك فلان من الناس ؟ هل تعمل في هذه الشركة؟ هل من صلاحياتي الدخول إلى مختبرات الشركة السرية ؟؟ يبدو انه لا بد من معرفة من نكون و ما نمثل بالنسبة لنشاط ما ، و ما الصلاحيات التي نمتلكها ضمن ذلك النشاط ، فمثلا ، قد تحدد الهوية الشخصية من نكون من حيث مكان الولادة اسم الاب ، العائلة ..الخ ، كما تعطينا صلاحيات المواطن كأخذ القروض او الانتفاع من مؤسسة الاسكان ..الخ . فلا يعقل ان تذهب إلى الهند و تطالب بحق الانتفاع من مؤسسة الاسكان ؟؟ خاصة ان كان هذه الحق مخصصا للمواطن الهندي ، و هنا يبرز جزء من اهمية الربط بين الشهادات و النظام القانوني, وعلى كل حال ، انظر إلى الشركات ، والتي تعطي هوية خاصة بالشركة تؤكد لكل من يدقق عليها بأنك الموظف فلان و المسؤول عن ذلك القسم و المخول بأعمال محددة طبقا لمركزك الوظيفي ، فهي تحمل اسمك و صورتك و موقعك الوظيفي و الأهم من هذا كله أنها موقعة و صادرة عن الجهة المخولة باصدارها ( إدارة شؤوون الموظفين على سبيل المثال ) ، و هي نفس الهوية التي تمنحك ثقة موظف الأمن المتواجد على باب الشركة او على ابوب مختبرات الشركة ، و الذي سيسمح لك بالدخول بمجرد التحقق من الهوية الخاصة بك. و على نفس الخطى بالنسبة للحياة الرقمية, يتوافر العديد من الأنظمة التي تقوم بتحديد و تعريف هوية مستخدميها للتحكم بكيفية و كمية الوصول إلى المعلومات و الخدمات التي يوفرها نظام ما ، ابتداءا بحاسوبك الشخصي و اسم المستخدم و كلمة المرور ، مرورا بالصراف الالي ، نظام تسجيل الطالب ...الخ ، و انتهاءا بالحكومة الالكترونية والتجارة الالكترونية و التسوق عبر الانترنت.بل و حتى محطات الاقمار الصناعية.

[عدل] تشفير المفتاح المشاع

توفر الشهادات الرقمية و التي تستخدم تشفير المفتاح المشاع (Public-Key Cryptography) طريقة لتجاوز أحد أهم عقبات التجارة الالكترونية ، و هي تحقيق الثقة بين اولئك المتصفحين الذين قد تفصل بينهم محيطات و قارات, بالإضافة إلى تحقيق القدرة على تراسل البيانات بسرية أيضا ، فحققت بالتالي أهم الشروط المطلوبة في التجارة الالكترونية : الثقة و السرية . و لكن كيف ؟ لنفرض أن أحمد يرغب باستقبال رسالة سرية ،مثلا يرغب بالحصول على معلومات من أخيه في أحد الدول ، ولكنه لا يريد لأحد أن يطلع عليها ، فكل ما على أحمد فعله هو ان ينشر مفتاحه المشاع ، و كل من يرغب بارسال رسالة سرية إلى أحمد يستطيع استعمال المفتاح المشاع الخاص بأحمد لتشفير الرسالة ، و التي لا يمكن ان يتمكن احدهم من فك تشفيرها الا باستخدام المفتاح السري الخاص و الذي يملكه أحمد (بالطبع نفترض ان أحمد طبق الشروط الواجب توافرها في شفرة المفتاح المشاع)

لكن و لسوء الحظ ، قد ينشر إسماعيل المفتاح المشاع الخاص به و يدعي انه المفتاح المشاع الخاص بأحمد ، و بما انه يمتلك المفتاح الخاص المقابل لمفتاحه المشاع فانه سيتمكن بطريقة ما من الوصول لمحتويات الرسالة التي كانت من المفترض بأن تصل لأحمد و مشفرة بمفتاح أحمد, و حتى ان وصلته فهو لن يتمكن من فك شفرتها ، بسبب تزوير المفاتيح الذي حصل.

لكن ان تمكن أحمد من صنع مفتاحه المشاع على شكل شهادة ( رقمية طبعا ) و قام بالحصول على توقيع رسمي من طرف ثالث (زعيم الحي) بحيث يكون الزعيم جديرا بالثقة ، عندها سيتمكن اي شخص يثق بالزعيم ان يتحقق من الشهادة بسؤال الزعيم فيما اذا كانت هذه الشهادة (والتي تحتوي مفتاح أحمد المشاع) موقعة منه و تعود إلى أحمد ام لا, و بالتالي يستطيع التحقق من ان المفتاح المشاع يعود إلى أحمد ، و ليس إلى شخص ما يحاول تزوير المفاتيح.

[عدل] البنية التحتية للمفتاح المشاع

عمليا في البنية التحتية للمفتاح المشاع (PKIs Public-Key Infrastructures) فان الزعيم يسمى بسلطة الشهادات (CA Certificate Authority) أي السلطة التي تصدر الشهادات(التوقيع عليها) التي يفترض الوثوق بها من جميع الاطراف ( يفترض ، لأني قد اثق بسلطة ما ، ينما تثق انت بسلطة أخرى) فعلى الانترنت يمكن لأي مستخدم التوقيع على شهادة رقمية ، فالامر يعود الآن للشخص الذي يرغب بارسال الرسالة إلى أحمد ، فاما انه يثق بالجهة التي وقعت على الشهادة او لا

[عدل] مثال توضيحي

ملاحظة : المثال ليس على سبيل الحصر, للشهادات الرقمية استخدامات اخرى عديدة.

حالة دراسية: لنأخذ حالة دراسية و نشاهد من خلالها المتطلبات الواجب توفرها لاستخدام الشهادات الرقمية(SSL Digital Certificates ) . لا بد من انك حاولت التسوق عبر الانترنت او على الاقل ترغب بالمعرفة عن هذا الموضوع و الدليل هو أنك تقرأ هذه السطور الآن ، و الآن انا و انت نرغب بشراء كتاب غير متوفر لدينا في الوطن ، فما رأيك لو بحثنا عنه في الانترنت ، لنقم بالبحث بواسطة إحدى محركات البحث ، و لنختر أحد النتائج ، ها هو ذا ، اسم الكتاب و جدول المحتويات ، رائع ، و السعر .. حسنا ، لا بأس 90 دولارا ، نستطيع دفع هذا المبلغ ، حسنا هل نرسل شيك ؟ ام نحول المبلغ إلى حسابهم بالبنك ؟ يبدوا ان تحويل المبلغ مناسب لهذا الموقع ، فلتبدأ بالتحويل .... ما رأيك ؟ انقوم بتحويل المبلغ؟ بالطبع لا حتى الآن وهذا أحد المتطلبات ، فعلينا في البداية التأكد من مصداقية هذا الموقع ، كيف لي أتأ كد من انه موقع موثوق ؟؟ قد يكون موقع احتيال ، واقوم بتحويل الاموال ، ولا يصلني شيء مثلا ، او تكون البضاعة تالفة او.. او .. !! حسنا لقد بحثنا عن طريقة للتأكد من هوية الموقع و لم نجد ما يثبت انه موثوق ، اذا لنلغي العملية و لنبحث عن موقع اخر ، جيد هذا الموقع يقبل بالبطاقة الائتمانية ، و يوجد هنا ما يؤكد على هوية الموقع . لقد ظهر لنا رمز للقفل في أحد خانات المتصفح لنقم بالضغط على القفل. لاحظ ان المتصفح المستخدم في المثال هو FireFox وقد تختلف الصور باستخدام متصفح اخر.

لاحظ تلك الجملة (Authenticated by VeriSign, Inc.) و لاحظ الصورة في الاسفل.

هذا يبدو جيدا ، لكن ماذا يعني كل ذلك ؟؟ حسنا ، في البداية لنعرف لماذا استطاع المتصفح ان يعطي مثل هذه المعلومات ؟؟ من أين حصل عليها ؟؟

[عدل] بروتوكول اس اس ال

هنا نأتي لمفهوم و متطلب جديد يسمى (SSL Secure Scocket Layer) والمعنى الحرفي هو بروتكول لتأمين نقل البيانات عن طريق الانترنت .. طور لاول مرة من قبل شركة نيتسكيب لاستخدامه في اتمام العمليات التجارية على الانترنت ..

و بمعنى آخر هو بروتوكول (قوانين و قواعد تراسل بيانات) يضمن سرية المعلومات المرسلة عبر بروتوكول HTTP ( اي المرسلة عبر متصفحات الانترنت وتستخدم عناوينها http:// او https:// تحديدا),

و يستخدم البروتوكول بشكل خاص على أنظمة اليونكس ..و مشتقاتها .. وله العديد من البرامج التس تسهل استخدامه مثل التل نت ..

و الهدف منه الحفاظ على الامان والسرية بين العميل (clients)و الخادم (Servers)..

[عدل] خطوات انشاء الاتصال الامن باستخدام اس اس ال

في البداية يقوم الموقع الموثوق بالتوجهة إلى السلطة, سلطة الشهادات (CA Certificate Authority) و إعطاءه شهادة رقمية يتم انشاءها على خادم الموقع ، و لكن هذه الشهادة الرقمية غير موقعة ، فيقوم بارسالها إلى سلطة الشهادات وطلب توقيع هذه الشهادة (CSR Certificate Signing Request) و تقوم السلطة بالتأكد من المعلومات الواردة في الشهادة و أهمها نطاق الموقع (Domain), والتأكد من ان الموقع موثوق به وتصادق على المعلومات الواردة في الشهادة و التي سنذكرها بعد قليل ، و من ثم تقوم السلطة بالتوقيع الرقمي (Digital Signature) على الشهادة ، و تعيدها موقعة رقميا (Digitally Signed) ليتم وضعها على الخادم ، و يقوم مدير الموقع بتحديد الصفحات التي ستستخدم هذه الشهادة للقيام باستخدام بروتوكول تراسل البيانات بسرية (SSL) ، وعادة ما توضع الصفحات التي تستوجب سرية في تراسل البيانات في حافظة (Folder) واحدة و تسمى SSL و من ثم يقوم مدير الموقع بربط الشهادة الموقعة مع تلك الحافظة. و معنى ذلك ان جميع الصفحات في الحافظة ستستخدم بروتوكول اس اس ال.

والان ما الذي يحصل ، عندما رأينا القفل قد ظهر في المتصفح فان التالي هو الذي حصل:

قمنا بطلب صفحة من تلك الصفحات في الحافظة ، وجد المتصفح بأن هذه الصفحات تستخدم بروتوكول اس اس ال ، فيقوم الخادم (مالك الشهادة) بارسال الشهادة الموقعة من سلطة الشهادات إلى المتصفح و الذي بدوره يقوم بالتحقق من الجهة (السلطة)(CA) التي اصدرت الشهادة, بالتأكيد فان الشركة المنتجة للمتصفح تكون قد سلحت المتصفح بقائمة السلطات الموثوقة و هي في مثالنا (VeriSign) لتتأكد هذه المتصفحات من هوية السلطات. لكن لماذا لا يتأكد المتصفح من هوية كل موقع على حدة دون الرجوع اى السلطة؟ لعدة اسباب منها عدد المواقع الضخم على شبكة الانترنت.و لاسباب اخر نذكرها في موضوع أكثر تخصيصا.

[عدل] آلية انشاء الاتصال الامن بين العميل و الخادم

في الأسفل ، صورة توضيحية لالية انشاء الاتصال الامن بين العميل و الخادم

جيد وصلت الشهادة إلى المتصفح ، والان تم التحقق من الجهة (السلطة) التي اصدرت الشهادة ، بالإضافة إلى المعلومات المهمة الاخرى في هذه الشهادة و هي: في الصورة رقم اثنان باعلى الموضوع, تجد ان الاتصال يتم تشقيره باستخدام RC4 يرجى مراجعة موضوع RC4 .

عادة ما تحمل الشهادة المعلومات الموضحة بالصورة مثل معلومات عن الشهادة ، حامل الشهادة ، الجهة التي صدرت عنها ، تاريخ الاصدار و تاريخ الانتهاء...الخ ، و الأهم انهو تحتوي على المفتاح المشاع الخاص بحامل الشهادة, كما يظهر بالصورة التي بالاسفل

و هذه هي الخوارزمية الشهيرة RSA إحدى أنواع تشفير المفتاح المشاع و التي من خلالها يمكن التأكد من ان من متصفحك و الخادم هما فقط من يستطيعان معرفة المعلومات المتبادلة بينكما. كيف ؟؟ للمزيد من التوضيح عن RSA يرجى مراجعة موضوع RSA أيضا.

و ها هو المفتاح المشاع يظهر بالصورة التي بالاسفل, و يظهر برموز Base 64 . انظر موضوع الأساس 64

[عدل] ما الذي حصلنا عليه

انت تأكدت من السلطة التي اصدرت الشهادة ، و الآن انت واثق بان المصدر الذي سيطلع على بيانات بطاقة الائتمان الخاصة بك ، هو موقع موثوق بدلالة ان سلطة الشهادات قامت بمنحه شهادة تثبت صحة هذا الكلام و بالتالي فأنت تعلم مع من تتعامل ، وهذا يشبه وضع الهوية و التعهد لدى شركة تأجير السيارات و التي ستتمكن من ملاحقتك في حال خالفت الشروط المتفق عليها ، فأنت بمثابة شركة التأجير(صاحب بطاقة الائتمان) التي ستأمن على سيارتها(بطاقة ائتمانك) لأنك تعرف هوية المستأجر(موقع بيع الكتاب)و التعهد الذي كتبه, و أما الذي سيأخذ السيارة فهو موقع الكتب بالتأكيد والذي سيعيد السيارة (معلومات بطاقة الائتمان) بأمان دون الاضرار بها ، و سيتكفل بالاضرار في حال وقوعها. و حيث ان هذه السلطة (ألسلطات الحكومية – دائرة الاحوال المدنية على سبيل المثال) ( وهي هنا شركة ( VeriSign لا يمكن ان تعطي مثل هذه الشهادة لاي كان و حيث انك تثق بهذه السلطة و التي بالتأكيد لا تنفرد بسلطة منح الشهادات ( اي ان هناك عدة جهات مخولة باصدار مثل هذه الشهادات ) فانك ستقوم بوضع بيانات بطاقتك الائتمانية و انت مطمئن ، من ان الجهة المقابلة لن تحتال عليك وهنا تم تحقيق مطلب التحقق من هوية الطرف المقابل, ولكن لحظة !! ألا يمكن لاحد ما ان يقوم بمشاهدة او سرقة هذه البيانات المرسلة عبر الانترنت ؟؟, و لم لا ، فهي تنتشر عبر العديد من الخوادم إلى ان تصل الخادم المقصود ، و نقول لك بأن إرسال بياناتك لن يتم بهذه البساطة, فالشهادة تحتوي على مفتاح مشاع (Public Key) و مفتاح اخر خاص (Private Key) بالإضافة إلى مفتاح سري خاص بفترة عملية الاتصال السري SSL و المسمى (مفتاح الجلسة) (Session Key) و المستخدم في عملية تشفير البيانات ينما يتم تشفيرمفتاح الجلسة بحد ذاته باستخدام RSA ار اس اي.

فعندما وصلت الشهادة من الخادم اوضح الخادم للمتصفح بانه عليه تشفير البيانات باستخدام خوارزمية التشفير التالية و التي تم الاتفاق عليها بين المتصفح والخادم الذي اعطاه مفتاح الجلسة الذي تم توليده على الخادم و ارساله مشفرا بواسطة مفتاح المتصفح (المستخدم) المشاع(Public Key),

والذي يعتبر (مفتاحك المشاع ( و بالتالي فانك الوحيد الآن الذي تستطيع ان تفك تشفير مفتاح الجلسة بواسطة مفتاح المتصفح (مفتاحك الخاص) (Private Key) و اسخدام مفتاح الجلسة للقيام بتشفير البيانات بواسطة (طريقة تشفير ) RC4(Symmetric Encryption Method) التي اعتمدها الخادم في المثال (انظر الصورة الأولى) و هي ليست الوحيدة ، راجع طرق التشفير.

[عدل] خلاصة

اذا فتشفير البيانات سيبدأ من عند المتصفح (المرسل) والذي تحقق من هوية جهة اصدار الشهادة (و يثق بها) و صلاحيتها و الجهة صاحبة الشهادة و سيستخدم مفتاحا سريا خاص بهذا الاتصال (الجلسة) تم ارساله إلى متصفحك مشفرا باستخدام طريقة RSA و هو ما سيضمن عدم اطلاع اي كان على بيانات بطاقة اعتمادك ، فقد تم تشفير البيانات و تشفير مفتاح هذه البيانات, اذا تأكد تماما انك انت و الخادم (موقع الكتب) المقصود, الطرفان الوحيدان في هذه العملية. كما تحقيق السرية و الخصوصية و الثقة معا.

[عدل] قائمة المصطلحات و المفاهيم

بروتوكول تراسل البيانات بشكل سري و امن (SSL Secured Socket Layer ): بروتوكول شائع الاستخدام لادارة سرية إرسال البيانات عبر الانترنت ، ويستخدم نظام تشفير المفتاح المشاع والمستخدم أيضا في الشهادات الرقمية.

الشهادة الرقمية (Digital Certificate - SSL Certificate): شهادة رقمية يتم تنصيبها على خادم مضمون ، وتستخدم لتحديد هوية التاجر( الشخص ) الذي يستخدمها ، وللمساعدة في تشفير بيانات بطاقة الائتمان و بيانات مهمة و حساسة اخرى.

طلب توقيع شهادة (CSR Certificate Signing Request): عبارة عن نص يتم توليده بواسطة برمجية موجودة على الخادم ، والذي يتم ارساله لسلطة الشهادات.

سلطة الشهادات(CA Certificates Authority): الشركة التي تصدر الشهادات الرقمية و تقوم بالتوقيع عليها رقميا ، حيث يحتوي متصفح الانترنت على قائمة بالسلطات الموثوقة لاصدار الشهادات.

التوقيع الرقمي (Digital Signature): قسم من البيانات يضاف إلى رسالة او وثيقة رقمية فيثبت صاحب الوثيقة. تشفر التواقيع بواسطة المفتاح الخاص للمرسل ، وعندها يستطيع الاخرون التأكد من صاحب الوثيقة من خلال مفتاحه العام.

النطاق (Domain): جزء من (محدد المصدر الموحد)(URL Uniform Resource Locater) و الذي يحدد منظمة ما او شركة او كينونة ما على الانترنت. مثال (ju.edu.jo).

نظام التشفير السري (المتماثل) Symmetric Cryptography)) او (Secret Key Cryptography) : شكل من اشكال التشفير و فيها يتم استخدام نفس المفتاح في كل من عملية التشفير و أيضا عملية فك التشفير.

نظام تشفير المفتاح المشاع Public Key Cryptography))(Asymmetric Cryptography): شكل من اشكال التشفير يستخدم زوجا من المفاتيح (مفتاح مشاع) و ( مفتاح خاص) و هما مرتبطان بعلاقة رياضية ، لكن من الصعب عمليا اشتقاق المفتاح الخاص عن طريق المفتاح المشاع ، و بالتالي فان رسالة مشفرة باستخدام المفتاح المشاع لا يمكن فك تشفيرها الا باستخدام المفتاح الخاص المتطابق مع ذلك المفتاح المشاع.

تشفير RSA:إحدى طرق تشفير مفتاح المشاع ، وكانت الخوارزمية الوحيدة التي عرفت بأنها مناسبة لكل من التشفير و التوقيع معا, و هي مستخدمة بشكل واسع في التجارة الالكنرونية.

تشفير RC4: إحدى طرق تشفير المفتاح السري ، و هي مفضلة عند بروتوكول SSL لحماية البيانات التي تنتشر عبر الانترنت ، الا انها لا تصل إلى المعايير العالية التي يطالب بها خبراء التشفير.

مفتاح المشاع (Public Key):المفتاح الذي يتم نشره بشكل واسع ، ليتمكن ااخرون من تشفير رسائل لا يمكن الا لصاحب المفتاح المشاع ان يفك تشفيرها بواسطة مفتاحه الخاص.

المفتاح الخاص (Private Key):المفتاح الذي يحتفظ به في مكان امن وسري للغاية ، والذي بدونه لا يمكن فك تشفير اي رسالة شفرت باستخدام المفتاح المشاع.

مفتاح الجلسة (Session Key –Secret-Key):مفتاح خاص بفترة معينة من الزمن يتم توليده لتبادل البيانات بشكل سري خلال تلك الفترة فقط ، و يستخدم مفتاح الجلسة عادة فترة محددة لكي يقطع اي محاولة لفك تشفير مثل هذا المفتاح.