مستند مرجع آسيب‌پذيری‌ها و مشكلات زيرساخت كليد عمومی

مقدمه

امنيت اينترنت مبحثي است كه روز به روز اهميت بيشتري پيدا مي كند، چرا كه اينترنت تغييرات بزرگي را در جهان و نحوه‌ي زندگي افراد ايجاد كرده و تجارت الكترونيك بخشي از زندگي تجاري و شخصي ما شده است.
در اواخر دهه‌ي 90 ميلادي، زيرساخت كليد عمومي (PKI) به صورت گسترده به عنوان عامل اصلي براي فراهم كردن ارتباطات و تراكنش‌هاي الكترونيك امن شناخته شده و از آن زمان مورد استفاده قرار گرفته است. هدف اصلي PKI امن كردن ارتباطات بين موجوديت‌ها در يك شبكه‌ي عمومي غير امن، مانند اينترنت، و فراهم كردن اين اطمينان خاطر است كه موجوديت‌ها فقط با موجوديت‌هاي مورد نظر خود ارتباط داشته باشند. با اين وجود در سال‌هاي اخير مشاهده شده كه PKI آنقدرها هم در برآورده كردن نيازهاي ياد شده (آن‌چنان كه انتظار مي‌رفته است) موفق نبوده است.
PKI يك ضعف طراحي دارد كه به تمامي CAها اجازه مي‌دهد بتوانند براي هر دامنه‌اي گواهي صادر كنند و اين گواهي توسط كاربراني كه به اين CAها اعتماد دارند پذيرفته شود. درنتيجه يك CA تسخير شده اما مجاز، مي‌تواند براي هر دامنه‌اي گواهي صادر كرده و از اين گواهي‌ها براي فريب دادن كاربران استفاده كند. بديهي است كه كاربران متوجه اين مساله نشده و گواهي ياد شده را معتبر تلقي مي‌كنند. اين بدان معني است كه اگر CA مورد تاييد مرورگرها تسخير شود، كاربران بسيار زيادي به گواهي‌اين ضعف در عمل در حادثه‌ي مربوط به مركز صدور گواهيDigiNotar مشاهده شد.
در حمله‌اي كه در سال 2011 رخ داد، اين CA تسخير شد و از آن براي صدور گواهي جعلي براي دامنه‌هايي از جمله Google و Yahoo مورد استفاده قرار گرفت. مهاجمين با استفاده از اين گواهي‌ها مي‌توانستند وانمود كنند كه وب‌سايت‌هايي قانوني هستند و كاربران نيز بالطبع اطلاعات اعتباري خود از جمله نام كاربري و گذرواژه‌ي خود را در اختيار اين وب‌سايت‌ها قرار مي‌دادند.
با وجود اين كه احتمال تسخير يك CA بسيار كم تصور مي‌شد، با تسخير CAهاي متعدد در سال 2011 (كه مهم‌ترين آن DigiNotar بود) مشخص شد كه اين تصور صحيح نبوده است. اين حوادث مشكلات مهم و مورد توجهي در PKI را نشان دادند. از جمله مشكلات مربوط به مديريت اعتماد، وابستگي كل اينترنت به ضعيف‌ترين CA، عدم آمادگي كمپاني‌ها در هنگام تسخير CAها و بسياري مشكلات ديگر.