نقش اعتبارنامه در احراز هویت
نقش اعتبارنامه در احراز هویت چیست؟ آیا اعتبارنامههای دیجیتال و احراز هویت کنندهها میتوانند جایگزین اعتبارنامههای سنتی شوند؟ اعتبارنامهها و مکانیسمهای احراز هویت که توسط سیستم شناسایی هویت پذیرفته میشوند نحوه استفاده مردم از این سیستم در زندگی روزمره را تعیین میکنند. به این ترتیب، آنها نقطه مرکزی در تجربه تعامل کاربران نهایی و طرفهای متکی با سیستم و سطح اطمینان ارائهشده برای تعاملات و بسیاری از قابلیتها و کاربردهای آن هستند. علاوه بر این، انواع اعتبارنامهها و مکانیسمهای احراز هویت پذیرفتهشده، نقش زیادی در تعیین هزینه کلی سیستم دارند؛ بنابراین کشورها باید تلاش کنند تا اعتبارنامهها و مکانیسمهای احراز هویتی را ارائه دهند که بتواند در عین مناسب بودن برای بافتار آن کشور، اطمینان کافی را نیز ارائه دهد [1].
انواع اعتبارنامهها و احراز هویت کنندهها (Authenticators)
اعتبارنامه را میتوان هر سند، شیء یا ساختار دادهای دانست که هویت شخص را از طریق یک روش احراز هویت، تضمین میکند.به زبان ساده، اعتبارنامه چیزی است که شخص به صورت حضوری یا از راه دور برای بیان جمله «من، این شخص هستم» ارائه میدهد. انواع اعتبارنامههای صادرشده در یک سیستم شناسایی هویت در ابعاد مختلف متفاوت است. از جمله فیزیکی بودن یا نبودن آنها (برای استفاده از آنها باید توسط شخص حمل شود یا خیر)، دیجیتالی بودن یا نبودن (قابل خواندن توسط دستگاه هستند و بنابراین میتوانند در محیط دیجیتال استفاده شوند یا خیر).
فرآیند احراز هویت علاوه بر خود اعتبارنامهها ممکن است شامل ارائه اعتبارنامه به همراه فاکتورهای اضافی یعنی احراز هویت کنندهها باشد که شخص را به اعتبارنامه مرتبط میکند و این اطمینان را میدهد که شخص دارای اعتبارنامه، مالک حقیقی آن است. انواع متداول اعتبارنامهها و احراز هویت کنندهها در شکل زیر نشان داده شده است.
اعتبارنامهها از نظر فرمت و عملکرد – به عنوان مثال، رسانهای که اطلاعات هویتی در آن ذخیره میشود و توانایی آنها برای احراز هویت در محیطهای مختلف و همچنین سطوح امنیتی که آنها ارائه میدهند و هزینه آنها متفاوت هستند. از نظر تاریخی، اکثر کشورها از اسناد فیزیکی مانند کارت ملی و شناسنامه به عنوان مبنایی برای سیستمهای هویتی اصلی خود استفاده کردهاند. پیشرفت در فناوری دیجیتال منجر به دیجیتالی شدن اعتبارنامههای فیزیکی شده است که در حال حاضر شامل نوارهای مغناطیسی، بارکدها و/ یا تراشههایی است که به آنها اجازه میدهد در محیط دیجیتالی استفاده شوند.
گواهی دیجیتال یکی از مهمترین اعتبارنامههای دیجیتال
گواهی دیجیتال (digital certificate) یکی از انواع اعتبارنامههای دیجیتال است. این گواهی یک فایل یا گذرواژه الکترونیکی است که صحت یک دستگاه، سرور یا کاربر را با استفاده از رمزنگاری و زیرساخت کلید عمومی (PKI) ثابت میکند. احراز هویت گواهی دیجیتالی به سازمانها کمک میکند تا اطمینان حاصل کنند که تنها دستگاهها و کاربران قابل اعتماد میتوانند به شبکههای آنها متصل شوند. یکی دیگر از کاربردهای رایج گواهیهای دیجیتال، تأیید صحت وبسایت در مرورگر وب است که به عنوان لایه سوکتهای امن یا گواهی SSL نیز شناخته میشود.
یک گواهی دیجیتال شامل اطلاعات قابل شناسایی، مانند نام کاربر، شرکت یا بخش و آدرس پروتکل اینترنت (IP) دستگاه یا شماره سریال آن است. گواهیهای دیجیتال حاوی یک کپی از کلید عمومی دارنده گواهی هستند که برای تأیید صحت آن باید با کلید خصوصی مربوطه مطابقت داشته باشد. یک گواهی کلید عمومی توسط مقامات صدور گواهی (CAها) صادر میشود که گواهیهایی را برای تأیید هویت دستگاه یا کاربر درخواستکننده، امضا میکنند [2].
بنابراین یک گواهی دیجیتال، نمایشی دیجیتالی از اطلاعات است که حداقل 1. مرجع صدور گواهی آن را صادر میکند 2. کاربر درخواستکننده خود را شناسایی میکند 3. حاوی کلید عمومی درخواستکننده است 4. دوره عملیاتی آن را مشخص میکند و 5. توسط مقام صدور گواهی به صورت دیجیتالی امضا میشود [3].
بیشتر بخوانید: سیستم ملی هویت دیجیتال
اعتبارنامههای دیجیتالی
با دیجیتالی شدن جوامع ما شاهد حرکت به سمت سیستمهای شناسایی منحصراً دیجیتالی هستیم که متکی به مالکیت اعتبارنامه فیزیکی نیستند و نقش اعتبارنامه در احراز هویت را متحول میکنند. چنین رویکردهایی از اعتبارنامههایی استفاده میکنند که فقط در رایانهها، دستگاههای تلفن همراه و سرورها ذخیره میشوند یا در فرمت نام کاربری و شماره شناسایی هستند و برای احراز هویت به بیومتریک و سایر فاکتورها متکی هستند.
به عنوان مثال، در انگلستان – جایی که افراد قبلاً انواع اسناد فیزیکی را به منظور اثبات هویت خود برای معاملات حضوری در اختیار داشتند – سیستم GOV.UK اعتبارنامههای منحصراً دیجیتالی را ارائه میدهد که به کاربران نهایی اجازه میدهد خود را از راه دور از طریق چندین فاکتور (به عنوان مثال، نام کاربری و گذرواژه + احراز هویت تلفن همراه) برای خدمات آنلاین، احراز هویت کنند… سیستمهای BankID در سوئد و نروژ لایههای مشابهی از احراز هویت دیجیتال برای خدمات الکترونیکی ارائه میدهند که به اعتبارنامههای فیزیکی متکی نیستند.
بیشتر بخوانید: چرخه عمر هویت دیجیتال
محدودیتهای اعتبارنامههای دیجیتالی
با این حال، محدودیتهای خاصی برای استفاده از روش منحصراً دیجیتالی برای اعتبارنامهها و احراز هویت وجود دارد. برای مثال، در هندوستان، سیستم Aadhaar به افراد اجازه میدهد تا خود را برای معاملات حضوری و از راه دور تنها با شماره شناسایی منحصربهفرد خود (به نام “UID”) و اثرانگشت یا رمز عبور یکبار مصرف (OTP) احراز هویت کنند. با این وجود، احراز هویت از طریق این روش -یعنی بدون اعتبارنامه فیزیکی- مستلزم اتصال به پایگاه داده است که ممکن است در کشورهایی با پوشش اینترنتی یا موبایلی غیرقابل اعتماد یا نامناسب امکانپذیر نباشد، اگرچه این شکافها در طول زمان کاهش مییابند.
علاوه بر نگرانی مرتبط با اتصال، تجربه نشان میدهد که در بسیاری از زمینهها، افراد ممکن است اعتبارنامههای فیزیکی را ترجیح دهند، زیرا استفاده از آنها آسانتر است و/یا دارای ارزش نمادین هستند. به عنوان مثال، در هندوستان، هنوز بسیاری از مردم برای جلوگیری از به خاطر سپردن شماره 12 رقمی شناسایی خود، کارت Aadhaar (رسید کاغذی که UID روی آن چاپ شده است) را حمل میکنند؛ بنابراین قابلیت استفاده از شماره شناسایی به عنوان اعتبارنامه، مستلزم توجه دقیق به بافتار کشور و مشاورههای عمومی برای درک بهتر ترجیحات مردم است.
معیارهای انتخاب اعتبارنامه
بنابراین، انتخاب اعتبارنامهها باید بر اساس مشاوره با ذینفعان مختلف و ملاحظات طراحی کاربر محور باشد تا دیدگاه کلی و موارد استفاده از سیستم شناسایی و هزینهها و سایر محدودیتهای مبتنی بر بافتار را منعکس کند. به عنوان مثال، مناطق با قابلیت اتصال کم و سطوح بالای تقلب ممکن است به اعتبارنامههای فیزیکی نیاز داشته باشند که میتوانند به طور ایمن در محیط آفلاین احراز هویت شوند. در جایی که اتصال به اینترنت و/یا تلفنهای همراه گسترده است، اعتبارنامههای مجازی ممکن است به عنوان یک ابزار اولیه برای احراز هویت، امکانپذیرتر باشند.
در حالت ایده آل، سیستم شناسایی باید امکان پذیرش آسان فناوریهای متعدد اعتبارنامه، از جمله فناوریهای جدیدی که ممکن است در آینده ظهور کنند را فراهم کند.با استفاده از استانداردهای باز و شیوههای خرید که از انحصار فروشندگان و فناوری جلوگیری میکند، مشاغل میتوانند اطمینان حاصل کنند که سیستم قادر به پذیرش و استفاده از راهحلهای جدید است. علاوه بر این، تعدادی از سیستمهای شناسایی، چندین نوع اعتبارنامه (اختیاری) صادر میکنند (همانطور که در ادامه مورد بحث قرار گرفته است). قدرت انتخاب افراد روی اعتبارنامههایشان، راحتی و نوآوری را در ارتباط با خدمات شناسایی افزایش میدهد.
بیشتر بخوانید: احراز هویت مبتنی بر توکن
نمونههایی از انواع مختلف اعتبارنامه در یک کشور
اعتبارنامهها ممکن است در یک کشور دارای چندین شکل باشند. به عنوان مثال، در اتریش، شناسه ملی میتواند به عنوان کارت شهروندی فیزیکی یا شناسه مجازی تلفن همراه صادر شود. هر دو را میتوانند نقش اعتبارنامه در احراز هویت را داشته باشند و برای احراز هویت دیجیتال و امضای الکترونیکی مورد استفاده قرار گیرند.
در استونی افرادی که دارای کارت هوشمند ملی استاندارد (کارت شناسایی) هستند نیز میتوانند برای کارت هوشمند مکمل به نام Digi-ID درخواست کنند که عملکرد یکسانی (احراز هویت دیجیتالی و امضای الکترونیکی) را ارائه میدهد؛ اما شامل تصویر شخص نیست و در نتیجه فقط برای معاملات غیرحضوری در نظر گرفته شده است. استونی همچنین دو نوع شناسه تلفن همراه برای احراز هویت دیجیتال، امضای الکترونیکی و دسترسی به خدمات آنلاین ارائه میدهد؛ یکی با نام Mobiil-ID که از فناوری سیمکارت مبتنی بر PKI استفاده میکند و توسط شرکتهای تلفن همراه استونی ارائه میشود؛ دیگری که Smart-ID نام دارد برنامهای است که میتوان آن را در هر تلفن هوشمند دانلود کرد [4].
نویسندگان: دکتر شیوا جلالی، زهرا میرزاحسین
[1] “Credentials & Authentication,”. Available: https://id4d.worldbank.org/guide/credentials-authentication.
[2] “What Is a Digital Certificate?”. Available: https://www.fortinet.com/resources/cyberglossary/digital-certificates.
[3] “certificate,”. Available: https://csrc.nist.gov/glossary/term/certificate.
[4] “Types of credentials and authenticators,”. Available: https://id4d.worldbank.org/guide/types-credentials-and-authenticators.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.