معرفی با CA Server و کاربردهای آن
در رمزنگاری به مرجع صدور گواهی دیجیتال (certificate authority) یا (certification authority) که به صورت خلاصه به آن CA Server میگویند، یک شخص حقیقی یا حقوقی است که گواهیهای دیجیتال (گواهیهای کلید عمومی) را صادر میکند. گواهی دیجیتال تضمین میکند که موضوع گواهی مورد نظر ما به اسم همان صاحبی است که در آن گفته شدهاست.
این گواهی به دیگران (کسانی که بر اساس این گواهی کار خود را انجام میدهند) اجازه میدهد که به امضاءها و بیانیههایی که با کلید خصوصی گواهی یاد شده تولید شدهاند اطمینان کنند.
در مدل ارتباط با اعتماد، مرجع صدور گواهی دیجیتال یا همان CA Server شخص ثالث مورد اطمینانی است که از سوی هر دو سمت گواهی یعنی صاحب گواهی و شخص اعتماد کننده به گواهی معتمد به حساب میآید.
یک مرجع صدور گواهی دیجیتال، گواهیهای دیجیتالی صادر میکند که شامل یک کلید عمومی و هویت صاحب آن است. کلید خصوصی متناظر به این سادگی در اختیار همه گذاشته نمیشود، و توسط کاربرِ مقابل که کلید برای آن تولید شدهاست مخفی میماند.
گواهی نیز به نوبه خود، تأیید یا اعتباری است از سوی مرجع صدور گواهی دیجیتال، به طوری که بیان میدارد کلید عمومی ذکر شده در گواهی متعلق به شخص، ارگان، سرویسدهنده یا هویتی که در گواهی به آن اشاره شدهاست.
تعهد یک مرجع صدور گواهی دیجیتال برای طرح بیان شده در بالا، تضمین و مهر تأئیدی است برای استفاده کننده کنندگان از گواهی، به طوری که کاربران و شخصیتهایی که بر اساس گواهی کار میکنند بتوانند به اطلاعات منتقل شده بر اساس گواهی مذکور اعتماد کنند.
مراجع صدور گواهی دیجیتال از استانداردها و آزمونهای بسیاری برای منظور فوق استفاده میکنند. اصولاً مرجع صدور گواهی دیجیتال مسئول جمله زیر است: «بله، این شخص همان کسی است که ادعا میکند، و ما به عنوان مرجع صدور گواهی دیجیتال، آن را تائید میکنیم».
اگر کاربر به مرجع صدور گواهی دیجیتال اطمینان دارد و تشخیص میدهد که امضای دیجیتالی مرجع صدور گواهی دیجیتال درست است، میتواند مطمئن باشد که کلید عمومی حقیقتاً متعلق به هویتی است که گواهی برای آن صادر شده است. مثالا:
رمزگزاری با کلید عمومی را میتوان برای رمز کردن ارتباط بین دو قسمت مورد استفاده قرار داد. این رخداد معمولاً زمانی که مثلا یک کاربر به یک سایت وارد میشود و میخواهد که پروتکل http را به صورت امن اجرا کند.
در این مثال فرض میکنیم که کاربر در صفحه خانگی بانک خود با آدرس www.bank.example وارد میشود تا خدمات بانکی برخط انجام دهد. وقتی که کاربر صفحه خانگی www.bank.example را باز میکند، یک کلید عمومی را همراه با تمام اطلاعاتی که صفحه مرورگر تارنما نمایش میدهد دریافت میکند.
زمانی که کابر اطلاعاتی را صفحه بانک وارد و تائید میکند (یعنی اطلاعاتی را به بانک برمیگرداند)، اطلاعات پیش از فرستاده شدن بوسیله مرورگر تارنما و با استفاده از کلید عمومی که توسط www.bank.example ارائه شده رمزی میشوند.
کلیدی که بوسیله آن اطلاعات را میتوان از حالت رمزی خارج کرد کلید خصوصی میگویند و تنها برای بانک شناخته شده است. در نتیجه حتی اگر کسی بتواند به دادههایی که رد و بدل شدهاند دسترسی پیدا کند، تنها توسط بانک و با استفاده از کلید خصوصی قابل رمزگشایی هستند.
این مکانیزم تنها زمانی قابل اعتماد است که کاربر مطمئن باشد کسی که با او در ارتباط است بانک است. اگر کاربر آدرس www.bank.example را وارد کند ولی ارتباطش با بانک ربوده شده و یک تارنمای تقلبی (که سعی میکند خود را بانک نشان دهد) اطلاعات صفحه بانک را به مرورگر کاربر بفرستد، همزمان با صفحه تقلبی یک کلید عمومی تقلبی نیز به کاربر میفرستد.
کاربر فرم را با اطلاعات شخصیاش پر میکند و با تائید آن، دادهها با کلید عمومی تقلبی رمزی میشوند. صفحه تقلبی به اطلاعات کاربر دست پیدا میکند زیرا صفحه تقلبی دارای کلید خصوصی تقلبی متناظر با کلید عمومی است.
CA Server مرجع صدور گواهی دیجیتال یک سازمان است که کلیدهای عمومی، صاحب آنها و هر طرفی که در ارتباط با اعتماد بااین سازمان است را نگهداری میکند. زمانی که مرورگر تارنمای کاربر کلید عمومی را از تارنمای www.bank.example دریافت میکند، میتواند با مرجع صدور گواهی دیجیتال تماس بگیرد تا مطمئن شود که آیا حقیقتاً کلید عمومی متعلق به www.bank.example است یا خیر.
از آنجا که www.bank.example از یک کلید عمومی که مرجع صدور گواهی دیجیتال آنرا تائید کرده استفاده میکند، یک www.bank.example تقلبی تنها میتواند از همان کلید عمومی اصلی استفاده کند، و ارز آنجا که www.bank.example تقلبی کلید خصوصی متناظر را در اختیار ندارد، دادههای کاربر را نمیتواند رمزگشایی کند.
ابطال مرجع صدور گواهی دیجیتال
اگر یک CA Server یا همان مرجع صدور گواهی دیجیتال خراب شود، آنگاه امنیت کل سیستم برای هر کاربری که مرجع مذکور به سلامت ارتباطش توسط صاحب گواهی دیجیتال و کلید عمومی تضمین داده است زیر سؤال میرود.
یک مورد از این دست در سال 2001 اتفاق افتاد. زمانی که مرجع صادر کننده گواهی دیجیتال VeriSign دو گواهی برای کسی که ادعا می کرد microsoft است صادر کرد.
این گواهی ها دارای نام “Microsoft Corporation” بودند، لذا می توانست برای فریب یک فرد استفاده شود و او را ترغیب کند که از نرمافزار به روز کننده شرکت Microsoft استفاده کند در صورتی که واقعاً این طور نبوده است. این کلاه برداری در اوایل سال 2001 کشف شد. Microsoft و VeriSign اقداماتی را جهت محدود کردن مشکلات ناشی از این مسئله انجام دادند.
اگر برای سازمان خود نیاز به نصب و راه اندازی CA Server دارید میتوانید از خدمات نصب شبکه و سرور گروه استاد شبکه استفاده کنید.
بسیار عالی، مختصر و مفید تشکر