راه کارهای استاندارد سازی در ارزیابی محصولات رمزنگاری

راه کارهای استاندارد سازی در ارزیابی محصولات رمزنگاری
راه کارهای استاندارد سازی در ارزیابی محصولات رمزنگاری
تولید کننده: انتشارات موسسه فرهنگی هنری سخن پردازان خواجه نصیر
مدل کالا: راه کارهای استاندارد سازی در ارزیابی محصولات رمزنگاری
موجودی: در انبار
قیمت: 30,000 تومان
قیمت بدون مالیات: 30,000 تومان

پیش‌گفتار ناشر

توسعه و گسترش روزافزون محصولات حوزة فناوری اطلاعات از یک سو و از سویی دیگر بالابردن امنیت این محصولات توسط فعالان این حوزه، منجر به رمزنگاری بر روی محصولات این حوزه شد.

امنیت سامانه‌های اطلاعاتی و ارتباطی یکی از بزرگ‌ترین چالش‌های حوزه‌های مختلف فناوری اطلاعات در سرتاسر دنیا است. نهادهای مختلف دولتی، مدیران صنایع در بخش‌های عمومی و خصوصی برای ایمن‌سازی داده‌های مورداستفاده در تجارت الکترونیک، زیرساخت‌های حیاتی و دیگر حوزه‌های مرتبط با فناوری‌های اطلاعات و هم­چنین حفظ حریم خصوصی کاربران از رمزنگاری استفاده می‌کنند؛ هم‌چنین تاکنون علاوه­بر تولید انواع الگوریتم‌های رمزنگاری، راه‌کارهایی نیز به‌منظور استانداردسازی این محصولات ارائه شده است.

پژوهش‌گران پژوهشگاه توسعة فناوری‌های پیشرفته خواجه‌نصیرالدین طوسی پس از چند دهه پژوهش و تولید محصولات مختلف رمزنگاری، به‌منظور انتقال دانش و تجربیات خود در موضوع امنیت محصولات رمزنگاری و استانداردسازی این محصولات، اقدام به تألیف اثری ارزشمند تحت عنوان «راه‌کارهای استانداردسازی در ارزیابی محصولات رمزنگاری» کردند.

مؤسسة فرهنگی و هنری سخن‌پردازان خواجه‌نصیر در راستای رسالت خود مبنی بر انتشار دستاوردهای پژوهش‌گران پژوهشگاه خواجه نصیر، چاپ و انتشار این کتاب را یکی از اولویت‌های انتشاراتی خود قرار داد. مدیران این مؤسسه، ضمن سپاس فراوان از زحمات ارزشمند مؤلفان این اثر، سپاس‌گزار حمایت‌های معنوی و مادی، ریاست محترم و مدیران توانمند پژوهشگاه توسعه فناوری‌های پیشرفته خواجه‌نصیرالدین طوسی که امکان چاپ و انتشار کتاب حاظر را فراهم ساخته‌اند، می­باشد و همچنین از همة عزیزانی که در شکل‌گیری این کتاب از هیچ کوششی فروگذار نبودند، سپاس و قدردانی کرده و امیدواریم که مطالعة این اثر برای همه خوانندگان، به‌خصوص فعالان حوزة رمز و امنیت اطلاعات سودمند واقع شد.

 

انتشارات مؤسسة فرهنگی و هنری

سخن‌پردازان خواجه نصیر

پاییز 1398

 

 

یش‌گفتار مؤلّفان

بی‏تردید هر محصول در دنیای فناوری اطلاعات ادعاهایی را، در مورد امنیت، ویژگی­‏های عملکردی، و حتی مزیت‏های اقتصادیِ خود مطرح می‏سازد. برخی از این ادعاها، در بازار کسب و کار و برخی دیگر در آزمایشگاه‏های اعتبارسنجی در بوتة آزمایش قرار می‏گیرند. برای نمونه، سازندة محصول در رابطه با ویژگی­هایی از قبیل کارکرد در فرکانس‏های مشخص، طول عمر بالا، استفاده از الگوریتم‏ها و پروتکل‏های خاص اظهاراتی را ارایه می‏کند که ارزیابی آنها توسط خریداران، بهره‏برداران و حتی رقبای تجاری امکان‏پذیر نیست؛ چون به‌طوراصولی یا دانش کافی برای ارزیابی آن محصول در اختیار آنها وجود ندارد و یا با فرض دانش کافی، جزئیات فنّی موردنیاز محصول تجاری نمی‏تواند در دسترس آنها قرار گیرد. بدین ترتیب، ارزیابی محصول به مرجع شناخته شده و قابل اطمینانی به نام "آزمایشگاه ارزیابی" سپرده می‏شود. حوزة این ادعاها نیز می‏تواند در طیف وسیعی از ارزیابی­های کارکردی تا ارزیابی‌های امنیتی محصول گنجانده شود. بنابراین آزمایشگاه‏ها نیز به‌صورت تخصصی، ارزیابی یک یا چند ویژگی مشخص محصول را برعهده می‏گیرند. با در‌نظر‌گرفتن تخصص‏های مختلف، ارزیابی امنیتی یک محصول می‏تواند بخش مهمی از ارزیابی­های آن محصول را در بر گیرد.  

امنیت سامانه‏های اطلاعاتی و ارتباطی یکی از بزرگترین چالش‏های حوزة فناوری اطلاعات در سراسر دنیا محسوب می‏شود. نهادهای حکومتی، صنعت و بخش خصوصی برای امن­سازی داده‏های مورد استفاده در تجارت الکترونیک، زیرساخت­های حیاتی و دیگر حوزه­های کاربردی، از رمزنگاری استفاده می­کنند. جهت امن‏سازی هر محصول امنیتی در دنیای فناوری اطلاعات، یک ماژول رمزنگاری مشخص با ویژگی‏های مرتبط با آن محصول طراحی و تأمین می‌شود. ماژول رمزنگاری تمامی فعالیت‏های مربوط به الگوریتم‏ها و پروتکل‏های رمزنگاری از قبیل تولید کلید، تبادل کلید، ذخیره‏سازی کلید و داده‏های حساس، تولید اعداد تصادفی موردنیاز، رمزنگاری و رمزگشایی پیام، احراز اصالت پیام، احراز اصالت کاربر، تعیین یک‌پارچگی پیام و غیره را انجام می­دهد. این ماژول‏ ممکن است به‌صورت سخت‏افزاری[1]، ثابت‏افزاری[2] و نرم‏افزاری[3] پیاده‏سازی شود و در سامانه امنیتی مورد بهره­برداری قرار گیرد. از آنجا که هستة اصلی امنیت هر محصول در ماژول رمزنگاری آن شکل می‏گیرد، تهدید امنیتی علیه این بخش، می‏تواند منجر به شکست امنیت محصول شود. با وجود استفاده از رمزنگاری، نقص­ها و ضعف­های طراحی و پیاده­سازی این ماژول نیز باعث ناامنی محصول می­شوند و داده‏های حساس را در معرض خطر قرار می­دهند. بنابراین کشف این نقاط ضعف در مرحله طراحی، پیاده‏سازی و به‌کارگیری ماژول‏های رمزنگاری گام مؤثری درجهت افزایش اطمینان از امنیت محصول قلمداد می‌شود.         

سؤال قابل طرح این است که چه رویکرد و چارچوبی برای ارزیابی یک ماژول رمزنگاری استفاده گردد. آیا هر آزمایشگاه می­تواند روال و فرآیند ارزیابی خود را بر مبنای دانش تخصصی و احصای نیازهای امنیتی یک ماژول رمزنگاری به‌کار گیرد. از آنجا که نتیجه ارزیابی امنیتی یک ماژول رمزنگاری در دو آزمایشگاه ارزیابی مستقل نباید متفاوت باشد، استفاده از چارچوبی استاندارد به‌عنوان یک راه‌کار مؤثر مورد توجه قرار می­گیرد.

مجموعة پیش رو، به‌صورت تخصصی به راه‌کارهای استانداردِ ارزیابیِ امنیتیِ محصولاتی که در آنها از ماژول‏های رمزنگاری استفاده شده است، می­پردازد و دانش موجود در آن به ارزیاب در بررسی امنیت ماژول‏های رمزنگاری کمک می‏کند. طیف وسیعی از مخاطبان می‏توانند از این اثر بهره‏مند شوند. به‌لحاظ تخصص‏های شغلی، طراحان و تحلیل‏گران سامانه‏های امنیتی، توسعه‌دهندگان و برنامه‏نویسان و همچنین آزمایشگاه‏های تخصصی ارزیابی امنیت می‏توانند از موضوعات مطرح‌شده در این کتاب استفاده کنند. تولیدکنندگان و بهره‏برداران در عرصه‏های کاری، نظیر صنایع الکترونیک، رایانه، مخابرات، اپراتورهای تلفن همراه، صنایع نفت و گاز، تولید و انتقال نیرو نیز می‏توانند از جنبه‏های استانداردسازی و توجه به استانداردهای بین‌المللی این کتاب بهره ببرند. همچنین برای بخش‏های حاکمیتی نیز در راستای تنظیم مقررات و نظارت بر پیاده‏سازی استانداردهای امنیتی، این اثر قابل استفاده است.    

مؤلّفان این مجموعه ضمن بررسی راه‌کارهای مختلف و مطالعة تطبیقی آنها، به انتخاب برخی استانداردهای مؤثر جهت ارزیابی امنیتی ماژول‌های رمزنگاری خواهند پرداخت. توجه عمدة نگارندگان کتاب معطوف به استانداردهای پیشنهاد‌شده توسط سازمان استانداردهای بین‌المللی ([4]ISO) بوده که چه در سطح بین‌الملل و چه در سطح ملی مورد استفاده و ارجاع علمی و فنی قرار گرفته است. در فصل نخست، رویکردهای استانداردسازی ارزیابی امنیتی محصولات رمزنگاری در کشورهای مختلف و سازمان‏های بین‌المللی فعال به‌اجمال بررسی می­شوند.  فصل دوم کتاب، استاندارد ISO 15408 را، که با عنوان استاندارد معیارهای مشترک ([5]CC) نیز از آن یاد می­شود، به‌عنوان چارچوب کلی جهت ارزیابی امنیت محصولات حوزة فناوری اطلاعات، در سه بخش مجزا معرفی می‏کند. برای ارزیابی امنیتی آن دسته از محصولات فناوری اطلاعات که از ماژول رمزنگاری استفاده می‏کنند، استاندارد ISO 19790 پیشنهاد شده است. فصل سوم بر مبنای این استاندارد به بیان الزامات ارزیابی امنیتی یک ماژول رمزنگاری از یازده منظر مختلف می‏پردازد. در ارزیابی ماژول‏های رمزنگاری، علاوه‌بر‌این استاندارد، از دسته­ای از استانداردهای مرتبط دیگر نیز کمک گرفته می‏شود. به‌طور‌خاص، استاندارد ISO 17825 معیارهای ارزیابی و تعیین میزان مقاومت محصول در برابر حملات کانال جانبی و استاندارد ISO 30104 روش‏های تأمین و ارزیابی امنیت فیزیکی محصولات را بیان می‏کنند. در فصل‏های چهارم و پنجم، به‌ترتیب این دو استاندارد توصیف و تشریح شده‏اند. لازم به ذکر است، این مجموعه با توجه به حساسیت و دقت متون استاندارد، بخش‏های اصلی آنها را بدون دخل و تصرف به فارسی برگردان کرده و این مهم طبق واژگان مصوب انجمن رمز ایران و فرهنگستان زبان و ادب فارسی صورت گرفته است.

امید است این مجموعه گام مثبتی در راستای اعتلای کشور در حوزة امنیت باشد و مورد توجه و استفاده متخصّصان قرار گیرد. با ارائة پیشنهادها و انتقادات، ما را در هرچه بهتر‌کردن این اثر و پیمودن این مسیر یاری فرمایید.

 

                                                                                        نویسندگان این مجموعه

                                                                    پاییز 1398



[1] Hardware

[2] Firmware

[3] Software

[4] International Standards Organization

[5] Common Criteria

 

مشخصات کتاب
پديدآورنده دکتر محمدعلی ارومیه چی ها مهندس سیده نرگس موسوی مهندس حامد یوسفی
کد شابک 978-600-94351-8-0
مترجم
ویراستار محمد اسماعیل قاصدی
وضعیت اثر تألیف

نوشتن نظر

نام شما:


نظر شما: توجه : HTML ترجمه نمی شود!

رتبه: بد           خوب

کد امنیتی را در کادر زیر وارد نمایید:



کلیه حقوق نزد موسسه فرهنگی هنری سخن پردازان خواجه نصیر محفوظ است. @ 2021