العديد من الشركات تقوم بشراء شهادات رقمية لتأمين الحماية الاضافية لزبائنها عبر الانترنت حيث اصبح مستخدم الانترنت ثروة في عين أغلب الشركات لانهم يسعون جاهدين لتحويلهم الى زبائن دائمين و بذلك لابد من التعرف عن آلية عمل الشهادات الرقمية وأهميتاه وأنوعها.
الشهادة الرقمية : هي وثيقة رقمية تحتوي على مجموعة من المعلومات التي تقوم بالتحقق من هوية الشخص أو المنظمة أو الموقع الإلكتروني عن طريق تشكيل رابط مشفر بين المخدم ومتصفح الزبون باستخدام بتقنية SSL Secure Sockets Layer.
تستخدم الشهادة الرقمية عبر الانترنت من اجل:
1- التحقق من الهوية الشخصية المرسل أو الحاسوب أو مستخدمين الحاسوب
2- تشفير الرسائل أو المعلومات الالكترونية
· يستطيع مالك الشهادة الرقمية الوصول الى معلومات وخدمات محددة عبر الانترنت
· بواسطة هذه الشهادة يمكن التأكد والتعرف على جميع أطراف المعاملات الالكترونية
· تقوم الشهادة بتزويد المالك بمفتاح عام للتشفير
· تضمن الشهادة سرية المعاملات الكترونية من خلال التوقيع الالكتروني
مثال:
شخص ما يريد التحقق من حسابه البنكي عبرة الانترنت مستخدما احدى المتصفحات ، عند دخول الزبون الى موقع البنك تظهر اشارة قفل في شريط العنوان ملحقة ببروتوكول HTTPS Hypertext Transfer Protocol Secure وهو بروتوكول النصوص التشعبية الأمن
وهذا يدل على ان الصفحة محمية ويستخدم شهادة رقمية لتأمين الصفحة. وبإمكان الزبون أن يرسل ويتعامل مع الموقع دون الخوف من أي عملية التنصت أو سرقة المعلومات
كيف يحدث ذلك؟
- – عند طلب العميل موقع المصرف عبر أحد المتصفحات يرسل مخدم المصرف الشهادة الرقمية الى المتصفح من اجل عملية المطابقة
- اذا تمت عملية المطابقة بنجاح يتم تحويل العميل الى حسابه المصرفي وبالتالي الحصول على معلومات او خدمات مصرفية.
- في حال كانت عملية الدخول تتم لأول مرة يرسل مخدم المصرف نسخة من الشهادة الى إعدادات المتصفح لتخزينها في الذاكرة الداخلية للمتصفح
- تتم عملية التحقق بإجابة المستخدم الاجابة على عدة تساؤلات يطرحها موقع المصرف مثل اسم المستخدم كلمة المرور البريد رقم الحساب . . . الخ
- في الخفاء يتم انشاء جلسة سرية ما بين المستخدم عبر المتصفح والحاسوب المركزي لدى المصرف حيث ان لكل جلسة عنوان خاص وفريد يتم تشفيرها لمرة واحدة عن طريق استخدام مفتاح عام للشهادة التي يصدرها المصرف وبالتالي عملية التشفير لا يستطيع اي طرف ثالث بالتنصت عليها
اذا نستنتج ان الشهادة الرقمية تٌستخدم لضمان طرفي المعاملات الالكترونية المصرف والعميل وهذه العملية تتم عند الاتصال بأي صفحة تحمل بروتوكول HTTPS
ما هي محتويات الشهادة :
1- مفتاح عام Public Key
2- معلومات عن مالك الشهادة أو المنظمة أو الشركة أو حواسيب الشركة
3- معلومات عن السلطة المصدرة للشهادة Certificate Authority
4- تاريخ الاصدار وتاريخ الانتهاء
5- الرقم التسلسلي للشهادة وهو الجزء الأهم
ماهي السلطة المصدرة للشهادات CA :
هي سلطة قانونية ذات طابع هرمي مؤلفة من برمجيات ومكونات فيزيائية وإجراءات ودساتير وإدارات تقوم بإصدار الشهادات الرقمية والتحقق من أطرافها.
أنواع الشهادات المعتمدة على تقنية SSL
-ــــ جميعها تؤدي الى قدح بروتوكول HTTPS
1- شهادة التحقق من المنظمة Organizationally Validated
تتأكد من أن الموقع الالكتروني تابع لشركة محددة قانونياً
و تستخدمها الشركات التي تقوم بأجراء معاملات التجارة الالكترونية أو تود نقل معلومات حساسة عبر الانترنت مثل معلومات البطاقات الائتمانية
2- شهادة التحقق من النطاق Domain Validated
عملية التحقق في هذه الشهادة أقل أهمية عن سابقتها وبالتالي أقل امناً تستخدما احياناً في الاحتيال على الزبائن الكترونياً
تقوم هذه الشهادة بمعرفة ملكية نطاق موقع محدد ومعلومات الاتصال بغض النظر عن عمله باختصار هذا النوع من الشهادة غير مجدي.
3- شهادة التحقق الممتدة Extended Validation
مستوى جديد من الحماية قام بإصدارها Network Solutions® عام 2007 وهو الأكثر حماية يعتمد تقنية التشفير الأني حيث يظهر على شكل شريط أخضر بالإضافة الى توفير الحماية من الاحتيال أو الاصطياد
اشكرك على هذا العرض المفصل ,, ولكن عندى سؤال عندما تتم اى عملية سرقة معلومات هل يكون هنا التقصير من المستخدم ام من الجهه مثلا البنك ,,
وهل يحتاج المستخدم ((عميل البنك )) ان يكون على علم باستخدام مثل هذه التقنيات ؟
وشكرا
اهلا اخي اكرم
لا نستطيع ان نحكم هل التقصير من طرف البنك او العميل، تختلف حسب الحالة
بعض الاحيان، تخترق خوادم البنك بسبب ثغرة في برمجياتها وتسرق حسابات العملاء. “التقصير من البنك”
احيانا يكون العميل متصل بالانترنت عبر شبكة ما “مثلا في مقهى” بالتالي يستطيع المخترق التنصت على التراسل الذي يجري بين العميل وبين المواقع الاخرى “خاصة التي ليس لديها ssl”
احيانا يتم سرقة المعلومات من جهاز العميل بسبب وجود فيروس معين في جهازه او ثغرة ما في برنامج ما “مثلا adobe reader او ie” وهكذا يستطيع المخترق الولوج لملفات الكوكيز وسرقة معلومات تسجيل الدخول للبنك “التقصير من العميل”
هناك الكثير من الطرق والحالات…… من الصعب علي ذكرها جميعا في تعليق
“فضلاً انني لست ملم بجميع الطرق 100% علينا ان نسال اهل الاختصاص، اخوتنا المخترقين :] ”
“وهل يحتاج المستخدم ((عميل البنك )) ان يكون على علم باستخدام مثل هذه التقنيات ؟”
هل تقصد استخدام ssl؟ لا، العميل ليس مضطرا ان يتعلم عن هذه التقنية اي شيئ لكي يستطيع استخدامها، كل ما يحتاجه هو متصفح خطير وقوي مثل: فايرفوكس او كروم
واعتقد ان العميل عليه ان يكون بعلم تام باساليب الوقاية
على الاقل ان ينصب برنامج مكافح فيروسات محترم “مثل MSE”
وان ينصب آخر تحديثات البرامج لسد الثغرات
ايضا هنالك الكثير من النصائح لوقاية المعلومات السرية والحواسيب
اعتقد ان مواقع البيع والشراء عبر الانترنت لابد ان تكون لها شهادات رقمية وتستخدم برتكول https حتى يضمن الشخص ان حقه لن يضيع
عندي سؤال صغير , لماذا يستخدم مفتاح عام Public Key بدل من استخدام مفتاح خاص في التشفير Private Key
بما ان الموضوع متعلق بالحماية والامان فلش ال Public بدل ال Private
المفتاح العام غرضه التشفير فقط, فلا يستخدم لعكس التشفير. أما المفتاح الخاص فغرضه فك التشفير فقط وﻻيستخدم للتشفير.
الـssl , فعلياً ﻻيستخدم هذه الطريقة , التشفير بالمفتاح العمومي, الا عند تأسيس الإتصال, لأنها بطيئة. بل يستخدمها لنقل مفاتيح تماثلية , المفتاح هو من يشفر ويفك.
إنظر لهذه المقالة : http://www.linuxac.org/forum/showthread.php/50359-%D8%B3%D9%84%D8%B3%D9%84%D8%A9-%D9%85%D9%82%D8%A7%D9%84%D8%A7%D8%AA-%D9%81%D9%8A-%D9%86%D8%B8%D8%A7%D9%85-%D8%A7%D9%84%D8%AA%D8%B4%D8%BA%D9%8A%D9%84-OpenBSD?p=401505&viewfull=1#post401505
فيها تفاصيل تقنية عن هذا الموضوع.
الله عليك معلومات مختصره مفيده وفى الصميم . جزاك الله خيرا .
هل من الممكن تزويدنا بمعرفة طرق الشراء لهذه الشهادات .
الله عليك معلومات مختصره مفيده وفى الصميم . جزاك الله خيرا .