کد QR مطلبدریافت صفحه با کد QR

چشم اندازی بر 20 سال امنیت (قسمت دوم)

کتاب سال امنیت (دوره دوم- سال 90) , 19 فروردين 1391 ساعت 9:50

انسان همواره در طول حیات خویش به دنبال راهکارهایی در جهت آسان کردن زندگی خویش بوده است و همین مسئله موجب شده که در عصر فناوری های بیومتریک نیز به دنبال راهکارهایی ارزانتر و قابل اطمینانتر باشد.


بیـو متـریـک
بـه دنبـال فنـاوریهـای بـرتـر. . . 

انسان همواره در طول حیات خویش به دنبال راهکارهایی در جهت آسان کردن زندگی خویش بوده است و همین مسئله موجب شده که در عصر فناوری های بیومتریک نیز به دنبال راهکارهایی ارزانتر و قابل اطمینانتر باشد. 

جالب است بدانید که نخستین جرقههای استفاده از ویژگیهای بیومتریک، استفاده از اثر انگشت بوده است و این مسئله در میانههای دهه ۸۰ به صورت کاملا دستی صورت می گرفت. بعدها و در طول سالیان متمادی تحقیقات فراوانی در جهت خودکار سازی این فرایند طی شد تا عملیات تطبیق دادن آثار انگشت در محل صحنه جرم، با کارتهایی که در بانک اطلاعات پلیس موجود بود هم سرعت بیشتری یابد و هم قابل اطمینانتر از قبل باشد. 

امروزه اما به لطف انجام تحقیقات و آزمایش های فراوان اسکن اثر انگشت و تطبیق آن با نمونه های موجود کاملا دیجیتالی شده است و فرآیند تطبیق به صورت خودکار صورت می پذیرد. اما هنوز با آن چه که در سریال های تلویزیونی و یا فیلم های سینمـایی دیده می شود تفاوت زیادی دارد. 

متاسفانه از بسیاری از ویژگی های بیومتریک تنها برای تعیین هویت استفاده می شود و حتی همچنان بسیاری از اسکنرهای انگشت تنها با مرطوب بودن یا کرم زدن انگشت دچـار خطا در تشخیـص مـی شوند. اسکنـرهای چهـره و صورت نیز همچنـان دارای خطای بالایی هستند،چرا که به محض ایجاد کمی تغییر در صورت، از تشخیص صورت باز می مانند. 

تحقیقـات جدیدی در ژاپـن و ایالات متـحده در حـال انجـام است که افراد را بر اسـاس بوی بدن تعیین هویت می کننـد. ویژگی کـه به تـازگی در خصـوص یکتـا بـودن آن برای هر فـرد اتفاق نظـر حـاصل شده است. همـان طور که گفتیم، تحقیقات در خصوص تعیین هویت افراد بر اساس ویژگی های بیومتریک افراد به شدت در حـال ادامه است که در ادامه به برخی از آنها اشاره میکنیـم. 

تکـامل تـدریـجـی اسکـن انگـشت
استفاده از اثر انگشت برای تشخیص هویت برای سالیان متمادی رایج بوده است. در جهان بیرونی آی تی، اثر انگشت وسیلهای است که به واسطه آن میتوان اعمال خرابکارانه که به سبب جعل هویت روی می دهند، را خنثی کرد. 

به سبب ماهیت طبیعی اثر انگشت، این ویژگی بیومتریک همچنان به عنوان نقطه اتکا اصلی شناسایی هویت برای ورود به بسیاری از رایانه ها و شبکه های رایانهای تلقی می شود. با این حال استفاده از اثر انگشت برای تعیین هویت افراد چالشها و نگرانیهای خاص خود را نیز دارد. 

نخستین مسئله های که در این خصوص بروز کرد بحث جعل اثر انگشت بود، مسئلهای که گرچه بسیار دور از انتظار به نظر میرسید ولی به سرعت به واقعیت انجامید. ابزارهای اولیه اسکن اثر انگشت دارای نقایص فراوانی بودند که با استفاده از این نقصها زمینههای سو استفادههای فراوانی پدید آمد.
 
همزمان با پیشرفت این اسکنرها البته روشهای فریب دادن آنها نیز پیشرفتهتر شد اما به هر صورت مسلما فریب دادن اسکنرهای جدید به آسانی فریب دادن ابزارهای قدیمی نبود.
 
امـا از جملـه پیشرفت های خوبـی که در این حـوزه می توان به آنها اشاره کرد، پیچیده تر شدن فناوریهای به کار گرفته شده در این ابزارها میباشد که به کاهش بروز خطا در اسکن انگشت کمک شایانی کردهاند. 

در حال حاضر در یک اسکنر خوب ویژگی مثبت کاذب ) به معنی ارائه دسترسی به فرد دیگر( را کاهش دادهاند و در عوض ویژگی پاسخدهی منفی کاذب )به معنی ندادن دسترسی به فرد دیگر( را تقویت کردهاند. 

در این بین اما چالشهای دیگری در خصوص خود فردی که دارای اثر انگشت اصلی بود پیش آمد. چرا که با وجود این که اثر انگشت فرد به طور طبیعی تغییر نمی کند اما سوانح و به خصوص تصادف می تواند آسیب جـدی به آن بزند. و در واقع سوالـی که مطرح می شود این است که اگر کارمندی تمام انگشتان خود را از دست بدهد باید چه کرد؟
مسئله دیگری که در این خصوص دردسر ساز شد، مناسبتهای فرهنگی برخی از افراد بود.
 
چـرا که بسیاری از افـراد اصـولا تمایلـی به ثبت شـدن و ذخیـره شدن اثر انگشتشـان ندارند، چـرا که آنهـا این عمل را توهینی به خود تلقی می کنند و آن را با ثبت اثر انگشت تبهکاران وجنایتکاران مقایسه میکنند. 

حتی بسیاری از افراد از لمس کردن ابزاری که روزانه هزاران نفر دیگر نیزبه آن دست میزنند اجتناب میکنند. که البته با توجه به همهگیری اخیر بیماریها این مسئله به صورت کاملا جدی باید بررسی و حل شود. 

اما با این حال زمانی که مسئله ارتقا امنیت از طریق ویژگیهای بیومتریک افراد مطرح میشود، همچنان گزینه نخست استفاده از اثر انگشت است و دلیل آن هم فراگیرتر شدن ابزارهای اسکن اثر انگشت است که امروزه در بسیاری از ابزارهای دیگر جاسازی شده اند

در واقع زمانی این ابزارها تنها در سیستم هایی که دارای امنیت بسیار بالایی بودند به کار گرفته می شد اما امروز در بسیاری از لپتاپها، قفلهای ورودی منازل و . . . در ابعاد وسیع به کار می روند.

ویژگـیهای بیـومتریک صـورت و چشـم
دقـت، هـزینـه، سـرعـت
در تمام این سالها مقالات و تحلیل های فراوانی در خصوص به کارگیری ویژگیهای بیومتریک منتشر شدهاند. در حالی که استفاده از اثر انگشت و ابزارهای اسکن اثر انگشت در حال حاضر بازار این بخش را اشباع کردهاند، اما ابزارهای اسکن صورت و چشم نیز به سرعت در حال رشد هستند

نخستین ابزار نیمه خودکار اسکن صورت در سال ۱۹۹۳ معرفی شد و این مسئله در سال ۱۹۹۸ توانست پیشرفت فراوانی صورت دهد و به عبارتی مسئله (FERET)اFace Recognition Technology در طول این سالها پیشرفت چشمگیری داشته است و از آن به بعد نهادهای دولتی در ایالات متحده مثل آژانس تحقیقات پیشرفته دفاعی: DARPA HID: The Defense Advanced Research Projects Agency که بخش اصلی تحقیق و توسعه در وزارت دفاع را تشکیل میدهد و همچنین Eu BITE: Biometric Identification Technology Ethic برنامههای جامع و مفصلی را برای پیش برد این پـروژههـا انجـام دادند، که تمام این ها نوید دهنـده پیشرفت چشمگیری در این عرصه خواهد بود. 

در این خصوص افزایش قابلیتها و همچنین کاهش هزینههای به کارگیری ابزاری مربوط به این بخش باعث رشد به کارگیـری این نـوع از ابزارهای بیومتریک خواهـد شد. دقت اسکـن ویژگیهـای بیومتـریک صورت بر اساس آزمایش هایی که توسط FERET و FRVT: National Institute of Standards and Technology Face Recognition Vendor Tests وهمچنین FRGC: Face Recognition Grand Challenge ارائه شدهاند به صورت کاملا اعجاب آوری افزایش یافته است . 

اسکنهای چشمی که معمولا بر پایه اسکن عنبیه و شبکیه چشم صورت میپذیرد نیز در حال حاضر در کانون توجهات قرار دارند و به صورت منظم بر اساس گزارش های منتشر شده بر دقت و کارایی آن ها افزوده میشود. 

به طور کلی با در نظر گرفتن عوامل خارجی دیگر میتوان اینگونه برداشت کرد که مسئله هزینه، دقت وسرعت در به کارگیری ویژگیهای بیومتریک چشم و صورت در حال حاضر دارای پیشرفتهای قابل توجهی است اما همچنان تا به کارگیری عمومی آنها در ابعاد وسیع راه زیادی باقی است. 

سیستم های شناسایی بر اساس ساختار رگـی
سیستمهای شناسایی ساختار رگ را میتوان برای شناسایی افراد و بر اساس ساختار رگ ها در انگشت یا دست به کار بست. سیستم شناسایی ساختار رگ برای اولین بار در دهه ۹۰ در ژاپن معرفی شد و در نهایت از سال ۲۰۰۰ به بعد در مقیاس وسیع مورد استفاده قرار گرفت. 

این فناوری در شرق آسیا به سرعت در حال گسترش است. در سال ۲۰۰۴ بانک توکیو- میتسوبیشی یکی از بزرگتـرین بانکهـای بزرگ ژاپـن در ۲۵۰ عـدد از ATM های خود از این سیستم استفاده کرد. که در حال حاضر این مقدار از ۵۰۰۰ عدد تجاوز کرده است. 

در سال ۲۰۰۶ International Biometric Group آزمایش های مستقلی را در خصوص این فناوری در کشورهای کل نیمکره غربی کره زمین صورت داد و در نهایت بر اساس نتایج به دست آمده از ۶ دوره آزمایش، IBG اعلام کرد که این فناوری با دقت بسیار بالا توانسته است عمل کند و در واقع خطاهایی که به دست آمده آنقدر ناچیز بودهاند که به راحتی قابل اغماض هستند.
 
و در واقع از آن به بعد تحقیقات و آزمایش های وسیع و گستردهای در خصوص چگونگی به کارگیری این فناوری در بخشهای مختلف انجام شده و در حال حاضر مراکز متعدد علمی در ایالات متحده و کانادا مشغول انجام تحقیقات در این خصوص هستند. مثلا Carolinas Health Care System در کارولینای شمالی برای پذیرش بیماران خود از همین سـامـانه استفـاده میکنـد و همچنیـن Bates Country Memorial Hospital در ایالت میسوری برای حضور و غیاب کارمندان خود از این سامانه بهره میبرد. حتی در حال حاضر در کانادا برای ورود به جلسات آزمونهای مثل GMAT به جای استفاده از کارت ورود به جلسه از این فناوری استفاده میشود.
 
در حال حاضر هیتاچی و فوجیستو بخش اصلی بازار در این خصوص را در دست دارند. البته با اینکه استفاده از این سامانه به نسبت سامانه اسکن اثر انگشت بسیار گران تر تمام میشود اما داشتن ویژگیهایی چون دقت بسیار بالا، خطای بسیار پایین، پایین بودن امکان فریب سامانه و... موجب شده است که این سیستم از محبوبیت درخوری برخوردار باشد. 

بر همین اساس IBG پیش بینی میکنـد که فروش و به کارگیری این سامانهها در طول ۵ سال آینده بیش از دو برابر رشد خواهد کرد.

ا یـمیـل
امنیـت ایمیـل
ایمیل در زندگی امروز آنچنان تنیده شده است که قطعا بدون آن بسیاری از کارهای روزمره ما پیش نخواهد رفت. در مورد جابه جاییهای مربوط به ایمیل باید گفت که از لحاظ امنیتی دو نگرانی عمده در این خصوص وجود دارد: حریم شخصی و تعیین هویت. به عبارتی باید کاربر مطمئن باشد پیامی که به فرد دیگری ارسال میکند تنها توسط وی خوانده میشود)مسئله حریم شخصی(و دریافت کننده پیام نیز باید اطمینان پیدا کند که پیامی که وی دریافت کـرده از سوی فردی ارسال شده که وی به نحوی او را میشناسد و اینکه پیام دریافتی همان چیزی است که او فرستاده و در طول مسیر ارسال تغییری نکرده است)تعیین هویت.

( یکی از رویکردهای جامع که برای اولین بار در خصوص امنیت ایمیل مطرح شد PEM: Privacy Enhanced Mail نام گرفت. در واقع می توان از PEM به عنوان یکی از استانداردهای جامع و مدرنی یاد کرد که به بحثهایی چون رمزنگاری، خدمات تعیین هویت، گواهینامههای امنیت دیجیتالی و رمز نگاریهای متقارن محتوای ایمیلها اشاره می کند. 

اما نخستین سند فراگیری که به طور جامع در جهت ارتقا امنیت ایمیل مطرح و مورد استفاده قرار گرفت PGP: Pretty Good Privacy نام گرفت که در سال ۱۹۹۱ مطرح شد. گرچه این استاندارد توانست فراگیری زیادی در بین کاربران فردی داشته باشد و کاربران سازمانی و دولتی به دنبال نوع دیگری از استانداردها بودند که بتوانند تطبیق پذیری بیشتری با آن ها داشته باشند، که اتفاقا PEM یکی از کاندیداها در این بخش بود.
 
اما اجرا کردن این استانداردها نیز به سبب ساختار سلسله مراتبی بخش های امنیتی، چندان ساده به نظر نمی رسید. 

بعدها IETF: Internet Engineering Task Force توانست PEM را با استانداردهای جدیدی که بر اهداف متعددی تمرکز داشتند ترکیب کند که در نهایت منجر به ارائه S/MIME شد. در حال حاضر هر دو سند PGP و S/MIME به سطح قابل قبولی از قابلیتهای پیاده سازی رسیدهاند وبه طور گستردهای از آنها استفاده می شود.
 
اما در حال حاضر و به خصوص در سالهای اخیر مسئله امنیت ایمیل بیشتر روی هرزنامهها و گواهینامههای امنیتی و تصدیق نامههای سرورهای میزبان سایتهای خدمات دهنده سرویس ایمیل متمرکز شده است که در نهایت تمام تلاشهایی که برای ارائه استاندارد مناسبی که بتوانند به طور جامعی امنیت کاربران را فراهم کند به DKIM: Domain Keys Identification ختم گردید. 

که حتی امروزه بسیاری ازاستانداردهـای اینترنتی نیز بر اساس آن تدوین شده اند و سرویس دهندههای بزرگی مثل Gmail وYahoo نیز از آن استفاده میکنند. 

نگـاهی بـه گذشتـه رمزنگـاری ایمیـل
Phil Dunkelberger یکی از افرادی که در بازنگری PGP در سال ۲۰۰۲ نقش فعالی داشته است در خصوص وضعیت امنیت در سازمان ها به سه نکته اشاره دارد. اول: نمیتوان از یک سیاست امنیتی خاص در تمام سازمانها استفاده کرد. بلکه متناسب با نوع سازمان و ساختار عملکردی آن باید از استراتژیهای مختلفی استفاده کرد.
 
دوم اینکه نمیتوان فرستنده یا گیرنده را با پیچیدگیهای بحث رمزنگاری درگیر کرد. به عبارتی نمیتوان این فناوری را به صورت مستقیم در دسکتاپها به کار برد چرا که اصولا قرار نیست که کاربر)فرستنده و گیرنده( را با این مسائل درگیر کرد. 

اما جدای بحث تامین امنیت نقل و انتقال ایمیل از سروری به سرور دیگر، مسئله دیگر حفظ امنیت فضای ذخیره سازی این ایمیلها بود و بحث تامین امنیت مراکز داده به بحث اصلی شرکتها و سازمانها در موضوع فناوری اطلاعات تبدیل شد.


کد مطلب: 543

آدرس مطلب :
https://www.aftana.ir/article/543/چشم-اندازی-20-سال-امنیت-قسمت-دوم

افتانا
  https://www.aftana.ir