استانداردها را جدی بگیریم

نظر به رشد روزافزون به‌کارگیری و استفاده از فناوری امضای دیجیتال و گواهی الکترونیکی در پیاده‌سازی و توسعه سامانه‌هاي نرم‌افزاري و سخت‌افزاري مختلف در كشور، تعداد توسعه‌دهندگان و سازمان‏هایی که اعلام می‌دارند سیستم‌های سخت‌افزاری و نرم‌افزاری آنان دارای توانمندی به‌کارگیری گواهی‌های الکترونیکی، انجام عملیات احراز هویت، پشتيباني از امضای دیجیتال، صدور و مدیریت گواهی الکترونیکی، مدیریت کلید و... است، افزایش می‌یابد؛ متاسفانه در بسیاری از این سیستم‏ها به‌رغم اینکه در ظاهر امکان استفاده از گواهی‏های الکترونیکی و انجام عملیات امضای دیجیتال وجود دارد، به دلیل عدم رعایت استانداردهای مرتبط، شاهد آسیب‏پذیری‏های امنیتی بسیار جدی و عدم تعامل‏پذیری مناسب هستیم. در بسیاری از سازمان‏ها این تصور نادرست وجود دارد که پشتیبانی سامانه‏های نرم‏افزاری نظیر اتوماسیون‏های مالی، اداری و بانکی از فناوری امضای دیجیتال صرفا به معنای امکان استفاده از گواهی‏های الکترونیکی X509 و قابلیت استفاده از یک ماژول سخت‏افزاری رمزنگاری نظیر کارت هوشمند یا توکن USB است. توجه داشته باشید که پشتیبانی درست و مطمئن از فناوری امضای دیجیتال دارای ابعاد گسترده فنی، فرآیندی و حقوقی است و این قابلیت تنها در بستر قانونی فراهم‌شده در کشورها و با اعمال درست استانداردهای تعیین‌شده در این بستر مهیا می‏‌شود. عدم اعمال استانداردهای مصوب در این حوزه می‏تواند بسترساز مخاطرات بسیار جدی و جبران‏ناپذیری نظیر انکارپذیری تراکنش‏ها، عدم اعتماد به اطلاعات امضاشده و تناظر آن با داده اصلی، عدم اعتماد به انجام درست و مطمئن عملیات صدور و مدیریت گواهی الکترونیکی، احراز هویت نامطمئن، عدم اعمال کنترل دسترسی مطمئن به منابع اطلاعاتی و عملیات اجرایی، خطر افشای اطلاعات محرمانه نظیر کلیدهای رمزنگاری و حساب‌های کاربری، امکان جعل گواهی الکترونیکی و عدم اعتبارسنجی درست زنجیره گواهی، جعل امضای دیجیتال، به‌کارگیری الگوریتم‏های رمزنگاری ناامن، به‌کارگیری الگوها و ساختارهای نادرست و نامطمئن در گواهی‏های الکترونیکی و... باشد. بنابراين لازم است تجهیز سامانه‏های نرم‏افزاری و سخت‏افزاری به زیرساخت کلید عمومی یا PKI که در واقع همان زیرساخت...