یک کارشناس فن آوری اطلاعات (مسعود رجایی) نبود فضای امن برای نگه داری اطلاعات را یکی از مشکلات رایانه های امروزی دانست و گفت: توکن های امنیتی وظیفه نگه داری اطلاعات حساس، رمزنگاری و احراز اصالت را برعهده دارند و کلید رمز توکن های بومی به هیچ عنوان قابل شکستن نیست و از امنیت پایداری برخوردار است.
توکن (TOKEN) امنیتی (قفل اطلاعات محرمانه افراد) یک ماژول سخت افزاری است که برای احراز اصالت فرد، نگه داری اطلاعات حساس و عملیات رمزنگاری استفاده می شود، هر توکن امنیتی معمولا دارای یک شناسه شخصی یا اصطلاحا PIN است که برای فعال سازی توکن به کار می رود و از آن می توان برای احراز اصالت فرد در رایانه ها و یا شبکه های رایانه یی استفاده کرد.
هم چنین می توان از توکن برای ذخیره سازی امن اطلاعات حساس نظیر کلیدهای رمزنگاری، اطلاعات لاگین به رایانه و سرورها (شامل نام کاربری و گذرواژه) و کلیدهای خصوصی مربوط به گواهی های دیجیتال استفاده کرد.
مشکلی که در حال حاضر در تمام رایانه ها موجود است، نبود فضای امن برای نگه داری اطلاعات مهم و حساس است که توسط فرد نفوذگر به رایانه شما قابل دسترسی نباشد که منظور از این فرد نفوذگر یک سرویس اطلاعاتی و یا شرکتی مثل مایکروسافت است نه یک هکر معمولی.
نحوه عملکرد توکن: توکن ها تعدادی الگوریتم رمز و یک حافظه امن را در خود جای می دهند که در این راستا از حافظه امن برای نگه داری اطلاعات حساس مثل کلیدهای رمزنگاری استفاده می شود.
به عنوان نمونه کلید رمز مورد استفاده در الگوریتم رمز به هیچ وجه حتی توسط خود شخصی که کلید را در آن قرار داده است، قابل خواندن نیست و از امنیت بسیار بالایی برخوردار است.
در رمزشکنی سیستم های رمزنگاری امروزی، فرض می شود دشمن از ساختار الگوریتم رمز مطلع و هدف وی به دست آوردن کلید رمز باشد.
لازم به ذکر است که توانایی تولید داخل به حدی رسیده است که با تکنولوژی های برتر امروزی امکان استخراج کلید رمز از داخل توکن وجود نخواهد داشت.
تفاوت توکن امنیتی با قفل های سخت افزاری (Dongle): کار قفل جلوگیری از کپی غیرمجاز نرم افزار است که توکن هم این قابلیت را داراست ولی به هیچ عنوان در تنوع خدماتی که ارائه می دهد قابل قیاس با قفل ها نیست.
کارمندان سازمان ها، ادارات و کلیه سرویس گیرندگان از سرورها استفاده کنندگان عمده از توکن های امنیتی است و به عنوان مثال توکن می تواند در خبرگزاری ها مورد استفاده قرار گیرد تا یکسری از اخبار در اختیار سازمان ها یا افراد خاصی قرار بگیرد.
امکان استفاده سایر اقشار مردم از توکن: امروزه امکانات استاندارد رمزنگاری در سیستم های عامل و برنامه های کاربردی معروف پیش بینی شده است، به عنوان مثال سرویس امن سازی ایمیل و یا سرویس امن سازی وب؛ این امکانات عمدتا مبتنی بر زیرساخت رمزنگاری کلید عمومی (PKI) است که در آن از گواهی های دیجیتال کاربران استفاده می شود و معمولا هم کاربران کلیدهای خصوصی مربوط به گواهی دیجیتال خود را برروی هارد کامپیوتر نگه داری می کنند که از لحاظ امنیتی می تواند مشکلاتی را به همراه داشته باشد که در این موارد راه حل امن استفاده از توکن های امنیتی است.
برای استفاده از توکن های امنیتی در معماری PKI استانداردهای خاصی وجود دارد. در حال حاضر استاندارد PKCS#11 به عنوان یک استاندارد فراگیر مطرح است و سازندگان نرم افزار با پشتیبانی از این استاندارد امکان استفاده از ماژول های امنیتی را برای نگه داری کلید خصوصی فراهم می کنند که علاوه بر این استاندارد، شرکت مایکروسافت نیز استاندارد خاص خود با نام CSP را ارائه کرده است.
توکن ها در کشورهای مختلفی هم چون آمریکا، چین و تایوان ساخته می شوند ولی نمی شود از منظر امنیتی به تمام آن ها اعتماد کرد زیرا مطمئن نیستیم که اطلاعات در آن ها کپی و جعل نشود.
به عنوان مثال ممکن است بتوان اطلاعات داخل یک توکن را سرقت کرده و از آن سوء استفاده کرد و یا یک توکن کاملا مشابه ساخته و در فرایند ورود به یک سامانه به جای یک کاربر مجاز ایفای نقش کرد.
آثار تحریم بر توکن های امنیتی: کشورهای دیگر از توکن ها استفاده امنیتی می کنند و حتی در شرایط بحرانی می توانند با استفاده از دریچه ها و درهای پشتی (BACKDOOR) وارد مسائل امنیتی کشور و سازمان های ما شوند که در همین راستا بیش ترین انگیزه شرکت ما هم از ساخت توکن ها، جلوگیری از ورود چنین سیستم های غیرایمنی به کشور بوده است و خوشبختانه اولین سازنده توکن در کشور بودیم که گونه کاملا بومی این سیستم را طراحی و پیاده سازی کردیم.
این کارشناس امنیت شبکه قوانین گمرکی را برای ورود توکن به کشور باز دانست و این موضوع با وجود تولیدات بومی داخل کشور است و شاهدیم که هنوز توکن های امنیتی از خارج وارد می شود.
منع: پلاس دانلود
حذف خودکار نرم افزارها از روی تلفن همراه بصورت ریموت، توسط کی؟