نسخه فیزیکی

  • شهر کتاب مرکزی تهران – خیابان دکتر شریعتی – بالاتر از خیابان استاد مطهری – نبش کوچه کلاته – فروشگاه مرکزی شهر کتاب
  • شهر کتاب کاشانک نیاوران، کاشانک، نرسیده به سه راه آجودانیه
  • نشر ثالث خیابان کریم‌خان زند، بین خیابان ایرانشهر و ماهشهر، پلاک ۱۵۰
  • شهر کتاب سعادت آباد انتهای خیابان ایران‌زمین، جنب فرهنگسرای ابن‌سینا، شهر کتاب ابن‌سینا

خدمت و تجارت

9
شماره 9 خدمت و تجارت تجارت الکترونیکی صفحه 59

مجمع الجزایری که از پنجره رد نمی شود

مجمع الجزایری که از پنجره رد نمی شود

پاسخش به سوالم یک خنده کشدار و بامعنی است، مثل این می‌ماند که لطیفه خنده‌داری تعریف کرده‌ باشم. همین واکنش برایم کافی است تا بفهمم سوژه‌ مورد نظر، شبیه «مشترک مورد نظر» از دسترس خارج شده است. برایم محرز می‌شود، تحقق مصوبه‌ای که در زمان ریاست‌جمهوری محمود احمدی‌نژاد به تصویب کارگروه فاوا رسیده بود، بیشتر به یک شوخی شباهت دارد تا یک رویداد قابل وقوع.طبق مصوبه یاد شده تا پایان برنامه پنجم توسعه (سال ۱۳۹۴) باید ۲۰ درصد تجارت داخلی و ۳۰ درصد تجارت خارجی به‌ صورت الکترونیکی انجام شود؛ به بیان دیگر، روی‌هم‌رفته ۵۰ درصد مراودات داخلی و بین‌المللی، باید از طریق کانال‌های مبتنی بر فناوری اطلاعات صورت گیرد. رئیس مرکز توسعه تجارت الکترونیکی وزارت صنعت، معدن و تجارت، پس از مکث کوتاهی، این ‌بار اما جدی‌تر با مثال کنایه‌آمیزی جوابم را می‌دهد:«کسی که این مصوبه را صادر کرده مثل وزنه‌بردار ۶۰ کیلویی‌ای است که می‌خواهد وزنه‌ای ۲۰۰ کیلویی را بالای سر ببرد.» با وجود این، جعفر محمودی عینک بدبینی‌اش را کمی از صورتش دور کرده و می‌گوید:«اگر منظورت این است که چه‌ حجمی از ۲۰ درصد تجارت داخلی، الکترونیکی شده، شما بگویید یک درصد، اما اگر می‌خواهی بدانی برای رسیدن به ۲۰ درصد چه کارهایی باید انجام می‌دادیم،

شماره 9 خدمت و تجارت پرونده - خدمت و تجارت صفحه 61

نماد بانک مرکزی از نیمه بهمن می‌آید

امضایی که هویتش گم شد

استفاده از ابزارها و خدمات الکترونیکی از علایق پدرم است،اما همیشه به دلایل مختلف با آنان به مشکل برمی‌خورد و همیشه با سوالات بنیادین مواجه می‌شود و انتظار دارد من به عنوان خبرنگار این حوزه بتوانم به تمامی سوالاتش پاسخ دهم. یکی از درگیری‌های او تعدد کارت‌های بانکی‌اش است و طی این سال‌ها همیشه از من می‌خواهد به مدیران بانکی بگویم چرا باید برای انجام کارهای بانکی مختلف از چند کارت یا توکن استفاده کند. چرا هر بانک باید توکن متفاوتی برای استفاده از حساب‌های اینترنتی‌اش بدهد و نمی‌توان از یک توکن برای تمام حساب‌ها استفاده کرد؟او از من انتظار دارد جواب تمام این سوالات را بدانم و بگویم چه زمانی تمامی این مشکلات برطرف می‌شود، طی سال‌های گذشته همواره به او گفته‌ام اگر امضای الکترونیکی ارائه شود و کاربران در محیط مجازی شناسایی شوند، بخش بزرگی از این مشکلات رفع می‌شود اما زمانی‌ که سال گذشته امضای الکترونیکی‌اش را برای پرداخت مالیات گرفت من با مشکل دیگری مواجه شدم؛ چرا این امضا را نمی‌تواند همه جا استفاده کند؟ حال که این امضا را گرفته چرا باید برای انتقال وجه از توکن استفاده کند؟ توضیح دادم هنوز خدمات بانکی قابلیت استفاده از امضای الکترونیکی را ندارند. حال با اجرایی شدن

مهرک محمودیدبیر تحریریه
شماره 9 خدمت و تجارت پرونده - خدمت و تجارت صفحه 64

چالش‌هاي امنيتي در به‌کارگيري نادرست گواهي الكترونيكي در کشور

اعتبارسنجی امضاها نیمه‌کاره‌اند

متاسفانه اخیرا شاهد به‌کارگیری نادرست تکنولوژی امضای دیجیتال و گواهی الکترونیکی در بسترهای اطلاعاتی مهم کشور از جمله سیستم بانکداری الکترونیکی هستیم که نقش بسیار مهم گواهی‌های الکترونیکی در امنیت تراکنش‌های الکترونیکی را کمرنگ و حتی بستر سوءاستفاده از آن‌ را فراهم کرده است. امضای دیجیتال پیشرفته‌ترین، مطمئن‌ترین و پرکاربردترین روش جهت احراز اصالت و اطمینان از دست‌نخوردگی اطلاعات الکترونیکی است که در قانونگذاری بسیاری از کشورهای توسعه‌یافته و در حال توسعه پذیرفته شده و به واسطه بستر فنی و حقوقی فراهم‌شده در این کشورها، کلیه اسناد و تبادلات الکترونیکی که از تکنولوژی امضای دیجیتال بهره می‌گیرند، علاوه بر قابلیت احراز اصالت و اطمینان از دست نخوردگی، غیرقابل انکار نیز خواهند بود. اصلی‌ترین رکن امضای دیجیتال، گواهی الکترونیکی است. گواهی الکترونیکی همان‌طور که از نامگذاری آن برمی‌آید نوعی گواهی بوده که دارای ماهیت الکترونیکی و دیجیتالی است. این گواهی همانند گواهی‌های فیزیکی و مدارک هویتی باید حاوی اطلاعات هویتی مالک گواهی و تاییدیه یک مرجع قانونی ذی‌صلاح باشد و این مرجع ذی‌صلاح در واقع همان مراکز میانی صدور گواهی هستند که تحت سیاست‌ها و قوانین مصوب در حوزه امضای دیجیتال و گواهی الکترونیکی فعالیت می‌کنند. گواهی الکترونیکی می‌تواند در طیف وسیعی از کاربردها از جمله احراز هویت، امضای دیجیتالی اسناد،

شماره 9 خدمت و تجارت پرونده - خدمت و تجارت صفحه 66

لزوم استانداردسازی در فناوری امضای دیجیتال و گواهی الکترونیکی

استانداردها را جدی بگیریم

نظر به رشد روزافزون به‌کارگیری و استفاده از فناوری امضای دیجیتال و گواهی الکترونیکی در پیاده‌سازی و توسعه سامانه‌های نرم‌افزاری و سخت‌افزاری مختلف در کشور، تعداد توسعه‌دهندگان و سازمان‏هایی که اعلام می‌دارند سیستم‌های سخت‌افزاری و نرم‌افزاری آنان دارای توانمندی به‌کارگیری گواهی‌های الکترونیکی، انجام عملیات احراز هویت، پشتیبانی از امضای دیجیتال، صدور و مدیریت گواهی الکترونیکی، مدیریت کلید و… است، افزایش می‌یابد؛ متاسفانه در بسیاری از این سیستم‏ها به‌رغم اینکه در ظاهر امکان استفاده از گواهی‏های الکترونیکی و انجام عملیات امضای دیجیتال وجود دارد، به دلیل عدم رعایت استانداردهای مرتبط، شاهد آسیب‏پذیری‏های امنیتی بسیار جدی و عدم تعامل‏پذیری مناسب هستیم. در بسیاری از سازمان‏ها این تصور نادرست وجود دارد که پشتیبانی سامانه‏های نرم‏افزاری نظیر اتوماسیون‏های مالی، اداری و بانکی از فناوری امضای دیجیتال صرفا به معنای امکان استفاده از گواهی‏های الکترونیکی X509 و قابلیت استفاده از یک ماژول سخت‏افزاری رمزنگاری نظیر کارت هوشمند یا توکن USB است. توجه داشته باشید که پشتیبانی درست و مطمئن از فناوری امضای دیجیتال دارای ابعاد گسترده فنی، فرآیندی و حقوقی است و این قابلیت تنها در بستر قانونی فراهم‌شده در کشورها و با اعمال درست استانداردهای تعیین‌شده در این بستر مهیا می‏‌شود. عدم اعمال استانداردهای مصوب در این حوزه می‏تواند بسترساز مخاطرات بسیار جدی و

شماره 9 خدمت و تجارت پرونده - خدمت و تجارت صفحه 68

آيا كارت‌هاي هوشمند و توكن‌هاي USB داراي امنيت لازم هستند؟

کالبدشکافی محصولات

کارت‌های هوشمند، توکن‌های USB و HSM به عنوان مهم‌ترین رکن اعمال امنیت و اعتمادسازی در تراکنش‌های الکترونیکی و انجام عملیات امضای دیجیتال، محسوب می‌شوند. از این سخت‌افزارها می‌توان در طیف وسیعی از کاربردها نظیر احراز هویت چندعامله، امضای دیجیتالی و رمزگذاری اسناد، پست الکترونیکی امن و اعمال امنیت در حوزه‌های مختلف نظیر بانکداری و تجارت الکترونیکی، خدمات بهداشت الکترونیکی، کاربردهای نظامی و انواع سامانه‌های اتوماسیون مالی، اداری و بانکی بهره گرفت. متاسفانه دیده می‌شود در برخی از نهادها و ارگان‌ها از ماژول‌های سخت‌افزاری غیرقابل اعتماد بدون در نظر داشتن آسیب‌پذیری‌های بسیار جدی و جبران‌ناپذیر این ماژول‌ها، استفاده می‌شود. با توجه به مخاطرات امنیتی مشاهده‌شده در ماژول‌های سخت‌افزاری به‌کارگرفته‌شده در کشور، لازم و ضروری است که کلیه این ماژول‌ها به طور دقیق ارزیابی و اعتبارسنجی شوند. پاره‌ای از مخاطرات و آسیب‌پذیری‌هایی که در سخت‌افزارهای PKI مشاهده شده شامل وجود رخنه‌های امنیتی تعمدی و غیرتعمدی، تولید کلیدهای ضعیف و آسیب‌پذیر، امکان استخراج و جعل کلیدهای محرمانه، به‌کارگیری الگوریتم‌های رمزنگاری جعلی، عدم اجرای درست و مطمئن الگوریتم‌های رمزنگاری، امکان تغییر مشخصه‌های حساس و فقط خواندنی کلید، عدم تعامل‌پذیری مناسب، مدیریت کلید ضعیف و امکان اعمال انواع حملات سخت‌افزاری و نرم‌افزاری است که در صورت عدم جلوگیری، وجود این آسیب‌پذیری‌ها موجب وارد آمدن صدمات

شماره 9 خدمت و تجارت پرونده - خدمت و تجارت صفحه 69

مروری بر مخاطرات امنیتی زیرساخت کلید عمومی

چه‌کسی امنیت را به‌خطر می‌اندازد

احراز هویت و اطمینان در مورد مالکیت هویت، عوامل بسیار مهمی در حصول اعتماد برای انجام تراکنش‏های الکترونیکی و توسعه سرویس‏های بانکداری الکترونیکی هستند. «زیرساخت کلید عمومی»، زیرساختی برای کمک به ذی‌نفعان به ‌منظور مدیریت هویت و هدف آن برقراری امنیت، اعتماد دوطرفه و آرامش خاطر کاربران فضای مجازی است.این زیرساخت را می‌توان به مجموعه سخت‌افزار، نرم‌افزار، کاربران، سیاست‌ها و رویه‌هایی که برای ایجاد مدیریت، ذخیره، توزیع و ابطال گواهی مبتنی بر رمزنگاری با کلید عمومی مورد نیازند تعریف کرد که سرویس‌های امنیتی پایه (تضمین‌کننده صحت هویت کاربر، محرمانگی، جامعیت اطلاعات و عدم انکار) را برای کاربران در شبکه‌های ناامن فراهم می‌کند.گواهی‏های صادرشده دیجیتال برای اشخاص به همراه زوج‌کلیدهای رمزنگاری در کارت‌های هوشمند ذخیره شده وبا رمز مربوطه امکان احراز هویت دوعاملی همراه با رمزنگاری اطلاعات و امضای دیجیتال را فراهم می‌کند تا تصدیق هویت دیجیتال انجام شود.با این وجود پیچیدگی و مشکلات فعلی در مدیریت و درک این گواهی‌های دیجیتال ممکن است از نقطه‌نظر عموم مردم نادیده گرفته شده و باعث بروز تهدیدات فاجعه‌بار مانند «سرقت هویت(Identity Theft) » و «رمزگیری(Phishing)» شود؛ در این شرایط راه‏حلی مناسب جز «آگاهی‌رسانی مستمر» یا طراحی و ارائه سیستم‏های مدیریت هویت سازمانی در سمت کاربر به‌ منظور حصول بهبود در تشخیص کاربران برای

شماره 9 خدمت و تجارت دولت الکترونیکی صفحه 73

گفت‌وگو با سرپرست دفتر توسعه فناوری و اطلاعات و مشاور رئیس سازمان ثبت اسناد و املاک کشور

سامانه ثبت آنی بن‌بست نیست

هر بار که از مقابل پارک شهر عبور می‌کنم، حادثه غرق شدن دختران دانش‌آموز کامم را تلخ می‌کند. با تلخ‌کامی به ساختمانی که مقابل ضلع شمالی پارک قرار دارد وارد می‌شوم. آسانسورها در حال تعمیرند. از راه‌پله به طبقه سوم می‌روم و وارد اتاق پیانیستی می‌شوم که مدیر آی‌تی است. راستش را بخواهید، دوست داشتم به جای این گپ و گفت مفصل به بداهه‌نوازی‌های پیانویش گوش دهم؛ حتی اگر صدای دریل و چکش کارگران، هراز گاهی نویز بیندازد. پیش از آغاز رسمی گفت‌وگو، بردیا صدر نوری، سرپرست دفتر توسعه فناوری و اطلاعات سازمان ثبت اسناد و املاک کشور از پیمان‌شکنی گروهی از سردفتران برای اجرای آرام سامانه ثبت الکترونیکی اسناد گله‌گذاری‌هایی می‌کند و در ادامه من را از جزییات ناگفته این طرح آگاه می‌سازد. در متن قانون برنامه پنجم توسعه آمده که سامانه ثبت الکترونیکی اسناد باید تا پایان سال دوم برنامه عملیاتی شود ولی ما اکنون در سال سوم برنامه هستیم. دلیل این تاخیر چیست؟ می‌دانید که در راه‌اندازی یک طرح ملی نرم‌افزاری مانند سامانه ثبت الکترونیکی اسناد (ثبت آنی)، عوامل متعددی دخیل است. از طرفی همه عوامل و منابع مورد نیاز هم در اختیار سازمان ثبت اسناد و املاک کشور که متولی اجرای این طرح بود و در

شماره 8
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
شماره 10