کالبدشکافی محصولات

كارت‌هاي هوشمند، توكن‌هاي USB و HSM به عنوان مهم‌ترين ركن اعمال امنيت و اعتمادسازي در تراكنش‌هاي الكترونيكي و انجام عمليات امضاي ديجيتال، محسوب می‌شوند. از اين سخت‌افزارها مي‌توان در طيف وسيعي از كاربردها نظير احراز هويت چندعامله، امضاي ديجيتالي و رمزگذاري اسناد، پست الكترونيكي امن و اعمال امنيت در حوزه‌هاي مختلف نظير بانكداري و تجارت الكترونيكي، خدمات بهداشت الكترونيكي، كاربردهاي نظامي و انواع سامانه‌هاي اتوماسيون مالي، اداري و بانكي بهره گرفت. متاسفانه ديده مي‌شود در برخي از نهادها و ارگان‌ها از ماژول‌هاي سخت‌افزاري غيرقابل اعتماد بدون در نظر داشتن آسيب‌پذيري‌هاي بسيار جدي و جبران‌ناپذير اين ماژول‌ها، استفاده مي‌شود. با توجه به مخاطرات امنيتي مشاهده‌شده در ماژول‌هاي سخت‌افزاري به‌كارگرفته‌شده در كشور، لازم و ضروري است كه كليه اين ماژول‌ها به طور دقيق ارزيابي و اعتبارسنجي شوند. پاره‌اي از مخاطرات و آسيب‌پذيري‌هايي كه در سخت‌افزارهاي PKI مشاهده شده شامل وجود رخنه‌هاي امنيتي تعمدي و غيرتعمدي، توليد كليدهاي ضعيف و آسيب‌پذير، امكان استخراج و جعل كليدهاي محرمانه، به‌كارگيري الگوريتم‌هاي رمزنگاري جعلي، عدم اجراي درست و مطمئن الگوريتم‌هاي رمزنگاري، امكان تغيير مشخصه‌هاي حساس و فقط خواندني كليد، عدم تعامل‌پذيري مناسب، مديريت كليد ضعيف و امكان اعمال انواع حملات سخت‌افزاري و نرم‌افزاري است كه در صورت عدم جلوگيري، وجود اين آسيب‌پذيري‌ها موجب وارد آمدن صدمات و خسارات جدي و جبران‌ناپذيري در بسترهاي اطلاعاتي كشور خواهد شد. متاسفانه شاهدیم برخي از محصولاتي كه در ظاهر داراي گواهي تاييديه امنيتي از مراجع خارج از كشور هستند نيز به دليل عدم وجود ساز و كار مشخص جهت كنترل ورود اين محصولات به كشور، از آسيب‌پذيري‌هاي مزبور مستثني نیستند. آزمايشگاه‌هاي ارزيابي سخت‌افزارهاي PKI و ارزيابي الگوريتم با هدف تست و ارزيابي انواع سخت‌افزارهاي رمزنگاري و الگوريتم‌هاي به‌كارگرفته‌شده در آنها، توسط مرکز دولتي صدور گواهي الکترونيکي ريشه وابسته به مركز توسعه تجارت الكترونيكي كه مرجع اعتماد، اعتبارسنجي و اعتباربخشي در زيرساخت كليد عمومي كشور است، مهرماه سال 90 تاسيس و...