امنیت از بدو ورود اطلاعات برروی بسترهای رایانه*یی دغدغه جدیدی را برای کاربران به وجود آورده زیرا برخی از اطلاعات جنبه محرمانه داشته و یا اشخاص به دسترسی دیگران به اطلاعاتشان تمایل ندارند؛ توکن (TOKEN) امنیتی (قفل اطلاعات محرمانه افراد) یک ماژول سخت*افزاری است که برای احراز اصالت فرد، نگه*داری اطلاعات حساس و عملیات رمزنگاری استفاده می*شود و هر توکن امنیتی معمولا دارای یک شناسه شخصی یا اصطلاحا PIN است که برای فعال*سازی توکن به*کار می*رود و از آن می*توان برای احراز اصالت فرد در رایانه*ها و یا شبکه*های رایانه*یی استفاده کرد.
پنهان*سازی فایل*ها و برخی پوشه*ها از جمله اقداماتی محسوب می*شود که در راستای همین موضوع شکل گرفتند اما هنگامی که دسترسی و کار با آن*ها همگانی شد، دیگر نمی*توانستند به*عنوان شیوه*ای امن مورد خطاب قرار بگیرند و حتی با بروز قفل*شکن*هایی در بازارهای رایانه*یی دیگر افراد کم*تر به قفل کردن پوشه*ها و اطلاعات خود تمایل دارند.
نیاز به قفلی به روز و کارامد برای ایمن سازی اطلاعات روز به روز بیش*تر احساس شده تا اینکه توکن*ها سر از بازارهای کشورهای غربی درآوردند و با نقش مؤثری که از خود ایفا کردند، توانستند به*راحتی سر از دیگر کشورها نیز درآورند و رفته رفته کار با آن*ها رایج شد تا جایی که برخی کشورها درصدد ساخت آن*ها برآمدند.
شاید این سیستم سخت*افزاری خیلی جدید نباشد اما ارائه خدمات توسط آن در سطح کشور در حال گسترده شدن بوده و به اعتقاد کارشناسان قبل از این موضوع هم امضای دیجیتالی مطرح شد اما تاکنون به کارامدی مطلوب خودش نرسیده است و شاید تنها وزارت بازرگانی توانسته باشد استفاده از آن*ها را به عنوان سامانه حفظ هویت افراد به کار بگیرد.
*ظاهر توکن*
توکن*ها برخلاف آنچه افراد در وهله اول از قفل در ذهن*شان ایجاد می*شود، بسیار شبیه فلش مموری*های معمول هستند به نحوی که اگر یک توکن و یک فلش را در کنار یکدیگر قرار دهیم تشخیص آن*ها مشکل می*شود.
در این باره مهندس مهدی فلاح*چای - کارشناس فن*آوری اطلاعات - می*گوید: حافظه*های فلش به*طور معمول صرفاً به*عنوان یک رسانه عادی جهت ذخیره*سازی اطلاعات به کار می*روند، در حالی که ملزومات امنیتی سخت*افزاری و نرم*افزاری در آ*ن*ها رعایت نشده است و امکان پردازش و انجام عملیات رمزنگاری در فلش وجود ندارد و از این رو قیاس بین توکن*های USB و فلش به*دلیل ماهیت کاملاً متفاوت آن*ها منطقی به*نظر نمی*رسد.
*تفاوت توکن و کارت هوشمند*
معمولا کارت*های هوشمند با توجه به نوع طراحی و تراشه*ای که در آن*ها موجود است، نیاز به دستگاه کارت خوان را الزامی می کند و در همین خصوص مهندس مهدی فلاح*چای کارت*های هوشمند و توکن*های USB را به*عنوان رایج*ترین توکن*های سخت*افزاری امروزی مطرح کرد و ادامه داد: کارت*های هوشمند از قدمت بیش*تری نسبت به توکن*های USB برخوردارند یا به عبارت دیگر توکن*های USB عضو جدید و تکامل*یافته کارت*های هوشمند تلقی می*شوند هرچند که از نظر قابلیت*های فنی و خدماتی که ارائه می*دهند مشابه یکدیگرند.
نیازمند نبودن پورت*های USB به دستگاه کارت*خوان برگ برنده آن*ها در برابر کارت*های هوشمند به حساب می*آید.
درباره تفاوت توکن امنیتی با قفل*های سخت*افزاری (Dongle) هم میت*وان گفت که کار قفل جلوگیری از کپی غیرمجاز نرم*افزار است که توکن هم این قابلیت را داراست ولی به هیچ عنوان در تنوع خدماتی که ارائه می*دهد قابل قیاس با قفل*ها نیست.
*مزایای توکن*
شاهین خراسانی - کارشناس امنیت شبکه – می*گوید: برخورداری از رابط استاندارد (PKCS#11) به منظور برقراری ارتباط با توکن و هم*چنین پشتیبانی از زیرساخت کلید عمومی (PKI)، امکان استفاده از این محصول را در طیف وسیعی از نرم*افزارهای PKI-enabled فراهم کرده است.
مسلما جلوگیری از دسترسی غیرمجاز به داده*ها و اطلاعات حساس کاربران از مزایای اصلی توکن*ها قلمداد می*شود که دکتر رسول جلیلی - عضو هیات علمی دانشگاه صنعتی شریف - با بیان اینکه توانمندسازی نرم*افزارهای کاربردی و حتی کاربردهای مبتنی بر وب به امکانات زیرساخت کلید عمومی، مستلزم به کارگیری همه ملزومات امضای دیجیتالی از جمله توکن هوشمند و گواهی دیجیتالی است، اظهار کرد: این ملزومات اثبات می*کنند که کلید خصوصی امضا کننده یک سند و یا یک تعهد اداری، مالی یا تجاری متعلق به او است و امکان انکار برای حضور وی در فعالیت امضاء شده، وجود ندارد.
می*توان از توکن برای ذخیره*سازی امن اطلاعات حساس نظیر کلیدهای رمزنگاری، اطلاعات لاگین به رایانه و سرورها (شامل نام کاربری و گذرواژه) و کلیدهای خصوصی مربوط به گواهی*های دیجیتال استفاده کرد.
رمزگذاری و امضای دیجیتال فایل*ها و اطلاعات حساس کاربر، ایجاد یک پارتیشن امن و رمزگذاری شده در سیستم، دسترسی به برنامه*های کاربردی، ورود امن به شبکه/سیستم عامل، امنیت در شبکه خصوصی مجازی، امنیت پست الکترونیک، هویت شناسی دو عامله در وب، دولت، تجارت و حفظ سلامت الکترونیکی برخی از این راه*حل*ها هستند.
*استفاده*کنندگان توکن*
تمام مشاغلی که با جریان اطلاعات سر و کار داشته باشند و علاوه بر آن درصدد نقل و انتقال داده*ها نیز باشند به تناسب عملکرد توکن*ها، نیازمند آن برای برقراری ارتباطات امن خواهند بود.
اصلی*ترین کاربرد این سیستم*ها از دید جلیلی در مباحث تجارت الکترونیکی است و زمانی که می*خواهیم یک تراکنش الکترونیکی را انجام دهیم و از جهتی هم می*خواهیم آغازکننده این تراکنش از خودش سلب مسولیت نکند و به تعبیری انکار حضور در یک تراکنش الکترونیکی مالی را از این منظر از افراد سلب خواهیم کرد.
استفاده از توکن*های هوشمند محدود به کاربران و مشاغل خاصی نیست و به*طور عمده توکن هوشمند توسط مراکز تجارت الکترونیک، بانک*ها، ارگان*های نظامی، سیستم*های اتوماسیون، وزارت*خانه*ها، بیمارستان*ها و کلیه افراد و سازمان*هایی که محرمانگی و اطمینان از حفظ تمامیت و دست*نخوردگی اطلاعات شخصی برایشان حائز اهمیت است و احراز هویت اشخاص جهت دسترسی به منابع اطلاعاتی برایشان ضروری باشد، قابل استفاده است.
*چگونگی ذخیره اطلاعات در توکن*
تراشه موجود در توکن*ها نقش حافظه را برای ذخیره*سازی اطلاعات بازی می*کند؛ توکن*ها تعدادی الگوریتم رمز و یک حافظه امن را در خود جای می*دهند که در این راستا از حافظه امن برای نگه*داری اطلاعات حساس مثل کلیدهای رمزنگاری استفاده می*شود.
بعضی از توکن*ها از پردازنده*هایی استفاده می*کنند که امکان انجام رمزنگاری را به*صورت سخت*افزاری دارا هستند اما ورود آن*ها به ایران ممنوع است؛ تراشه یا میکروکنترلر توکن به*عنوان مهم*ترین بخش این تجهیز مطرح است که در امنیت و کارایی آن نقش مهمی ایفا می*کند.
*هدف توکن های بانکی*
منصور وفابخش - مدیر یک شرکت اینترنتی – معتقد است: توکن در راستای رواج بانکداری الکترونیک است و معمولا برای حواله*های بانکی از آن استفاده می*شود و در موارد کارت به کارت کردن اصولا نیازی به آن*ها نیست و در کل بیش*تر برای نقل و انتقالات این حساب*ها مورد استفاده هستند.
*تمامی دسترسی*های مهم افراد به حساب*های بانکی از طریق اینترنت با وجود این توکن*ها میسر است و این توکن*ها قادرند که در هر دقیقه یک رمز تولید کنند تا سوءاستفاده*ای از حساب*های بانکی افراد به وجود نیاید.
*امنیت توکن*ها*
توکن*هایی که خود در راستای حفظ امنیت اطلاعات شکل گرفته*اند اگر نتوانند امنیت را برقرار کنند مسلما کاربران نگران خواهند شد و به همین منظور باید دید چه راهکارهایی وجود دارد تا امنیت این قطعه سخت*افزاری را به حداکثر برساند.
حملات کانال جانبی مهم*ترین نوع حملات فیزیکی به تراشه*های توکن هوشمند است؛ معمولا این نوع از حملات از رفتار تراشه در زمان انجام محاسبات، بهره*برداری می*کنند و تحلیل توان مصرفی، تابش الکترومغناطیس، زمان انجام محاسبات، عکس*العمل در مقابل ایجاد خطا و اختلال، می*تواند اطلاعاتی را درباره کلید سری ذخیره شده در حافظه توکن هوشمند، آشکار کند.
در توکن*های هوشمند استفاده از حافظه*های خارجی می*تواند امنیت آن*ها را در مقابل حملات مختلف به خطر اندازد و استفاده از حافظه داخلی میکروکنترلر در توکن*های هوشمند ضروری است.
اکثر کارشناسان حوزه امنیت اطلاعات معتقدند که استفاده از این قطعه سخت*افزاری باید محدود به محصولات داخل کشور شود زیرا قطعات دیگر کشورها امکان وجود حفره امنیتی را دارد.
توکن*ها در کشورهای مختلفی هم*چون آمریکا، چین و تایوان ساخته می*شوند ولی نمی*شود از منظر امنیتی به تمام آن*ها اعتماد کرد زیرا مطمئن نیستیم که اطلاعات در آن*ها کپی و جعل نشود.
به عنوان مثال ممکن است بتوان اطلاعات داخل یک توکن را سرقت کرده و از آن سوء استفاده کرد و یا یک توکن کاملا مشابه ساخته و در فرایند ورود به یک سامانه به جای یک کاربر مجاز ایفای نقش کرد.
*ساخت داخلی توکن*
تمام مشکلات و نگرانی*ها از استفاده توکن*های خارجی امکان وجود حفره امنیتی در آ*ن*هاست.
راه*حل بسیار ساده*ای جز تولید داخل و گسترش آن وجود نخواهد داشت در حالی که اوضاع تولید داخلی کشور ما همیشه با معضلاتی اساسی روبه*رو بوده است تا جایی که در بازه*های زمانی خاصی با سخت*گیری*های به وجود آمده، مبادی قاچاق رونق گرفته است.
تولید قطعات سخت*افزاری توکن هوشمند نیازمند تجهیزات تولید قطعات نیمه هادی است، در حال حاضر امکان ساخت تراشه*های کارت هوشمند و درنتیجه نوعی از توکن*ها که از این فن*آوری استفاده می*کنند در ایران وجود ندارد اما انواع دیگر که پردازنده (تراشه) همه منظوره و نرم*افزار (firmware توکن) خاص خود را دارند، می*توانند تولید شوند.
به*دلیل وابسته نبودن صنعت نرم*افزار به دیگر صنایع، امکان استفاده از علوم رایانه و رمزنگاری در جهت توسعه توکن*ها و بهبود وضعیت موجود به طور کامل در داخل کشور وجود دارد.
طبق اطلاعات موجود حداقل دو شرکت فن*آور بخش خصوصی دارای این فن*آوری در کشور هستند که این شرکت*ها ویژگی*های لازم برای توانمندسازی نرم*افزارها و پورتال*های سازمانی را به زیرساخت* کلید عمومی که در بحث امنیت بسیار مهم است دارند و ساخت آن*ها صد درصد داخلی است؛ این شرکت*ها آزمایشات لازم را انجام داده*اند و چشم به توجه مسوولان به این توانمندی* دارند.
تمام مسوولان عالی کشور، تولید بومی در حوزه امنیت را ارزش می*دانند، با وجود این تاکید، به تاکید فعالان بازار، متاسفانه هنوز انگیزه کافی برای خرید محصول داخلی وجود ندارد و از آنجا که بازار افتا عمدتا در اختیار دولت است، عدم توجه مدیران دولتی به شکل*دهی بازار برای چنین محصولاتی، بخش خصوصی را مایوس خواهد کرد.
تا زمانیکه توکن*های ( قفل*های سخت*افزاری ایمن فردی، مشابه امضای دیجیتال) ساخت داخل عرضه می*شوند، جایز است که به سراغ توکن*های وارداتی که امکان حفره*ی امنیتی نیز دارند، برویم؟!
