نظرة عامة (ملخص):
يحتوي هذا المقال على معلومات عامه عن ماهية الشهادات الرقمية، أنواعها، ما مدى الأمان الذي وفرته في التعاملات الإلكترونية وأخيرا كيفية الحصول عليها واستخدامها.
تشبه الشهادة الرقمية جواز السفر الذي يحدد هوية صاحبه إلا أنها تختلف عنه في ناحيتين الناحية الأولى أن الشهادة الرقمية ممكن أن تكون لشخص أو لجهاز أو لبرنامج في حين أن جواز السفر يصدر للأشخاص فقط. الناحية الثانية أن الشهادة الرقمية يمكن أن تجزأ أو تنسخ بدون قيود وذلك لعدم احتوائها على معلومات سرية. وتستخدم الشهادات الرقمية على شبكة الإنترنت كإثبات للهوية حيث تحتوي على اسم مالك الشهادة ومفتاحه العام وغيرها من المعلومات وتوقع هذه الشهادة من جهة موثوق فيها. وتكون الثقة في مصداقية الشهادة معتمدة على مستوى الثقة في الجهة التي وقعت الشهادة. كذلك يمكن استخدام الشهادة الرقمية للحفاظ على سرية البيانات.
عند استخدام الشهادة الرقمية لابد من وجود مفتاحين إحداهما عام (متاح للجميع) والآخر خاص(سري). يستخدم المفتاح العام لتشفير الرسائل والتحقق من التوقيع أما المفتاح الخاص فيستخدم لفك التشفير والتوقيع. بالنسبة للجهة التي تقوم بتوقيع الشهادات وإصداراها تسمى هيئة التوثيق. أما هيئة التسجيل فهي الهيئة التي تقوم بمساعدة هيئة التوثيق وتخفيف الضغط عنها. بعد إصدار الشهادة الرقمية تقوم هيئة التوثيق بتخزينها على دليل عام متاح للكل يسمى مخزن الشهادات الرقمية، حتى يتسنى للجميع معرفة المفتاح العام لشخص ما واستخدامه سواء للتأكد من هويته أو لضمان سرية الاتصال معه. ولكل شهادة رقمية دورة حياة تبدأ منذ إصدارها وحتى انتهائها ويستطيع مالك الشهادة خلال هذه المدة أن يلغيها أو يعطلها لفترة مؤقتة.
كلمات رئيسة) مفتاحيه(:
شهادة المفتاح العام (public key certificate)، شهادة الهوية(identity certificate) ، التحقق من الهوية.
مقدمة:
قبل فترة من الزمن كانت التجارة مقتصرة على اللقاء بين البائع والمشتري أما حاليا ومع التطور التقني السريع أصبحت التعاملات الإلكترونية أسهل بكثير وذلك عن طريق الإنترنت الذي تخطى حاجز البعد المكاني بين البائع والمشتري مثل التجارة الإلكترونية والتسوق عبر الانترنت وغيرها. على الرغم من الفائدة العظيمة التي وفرها الانترنت للتعاملات المالية إلا انه يعاني من مشاكل في الناحية الأمنية لذلك دعت الحاجة إلى وجود وسائل تساعد في توفير الأمان اللازم لمثل هذه التعاملات. من هذه الوسائل التوقيع الرقمي والشهادات الرقمية. قد تستخدم الشهادات الرقمية في مجالات أخرى غير التجارة الالكترونية مثل حماية البريد الإلكتروني. في هذا المقال سأتحدث وبشكل عام عن ماهية الشهادات الرقمية، وبعض المفاهيم الأساسية في هذا المجال، و محتويات الشهادة الرقمية، وأنواع الشهادات الرقمية، والفرق بينها وبين التوقيع الرقمي، وكيفية إصدارها واستخدامها.
تعريف الشهادة الرقمية:
“هي وثيقة رقمية تحتوي على مجموعة من المعلومات التي تقود إلى التحقق من هوية الشخص أو المنظمة أو الموقع الإلكتروني و تشفر المعلومات التي يحويها جهاز الخادم ( server) عبر ما يسمى بتقنية
“(Secure Sockets Layer SSL) [1].
مفاهيم أساسية:
المفتاح الخاص:
مفتاح سري يستخدمه صاحبه لفك تشفير الرسائل المرسلة له. وكذلك يستخدمه للتوقيع الالكتروني. ومن مسؤولية صاحبه المحافظة على سريته.
المفتاح العام:
مفتاح ليس سري يستخدم لتشفير الرسائل المرسلة لصاحب هذا المفتاح. وكذلك للتحقق من توقيعه.
هيئة التوثيق (Certification Authority):
هي الجهة التي تقوم بإصدار الشهادة الرقمية والتوقيع عليها. قبل أن تقوم الهيئة بالتوقيع على الشهادة تتأكد من هوية الشخص (صاحب الشهادة) وتتم عملية التأكد من الهوية على حسب استخدامات الشهادة الرقمية فإذا كانت ستستخدم لحماية البريد الإلكتروني فيتم التأكد من هويته بعنوان البريد الإلكتروني فقط أما إذا كانت لاستخدامات حساسة مثل: إرسال مبالغ كبيرة من المال عن طريق الانترنت فهذه تتطلب حضور الشخص (صاحب الشهادة) إلى هيئة التوثيق للتأكد من هويته وتوقيع الشهادة. وكذلك من خلال هيئة التوثيق يستطيع الشخص أن يجدد شهادته المنتهية. ومن الهيئات comodo و verysign و thwat وهي مواقع موجودة على الانترنت [3] .
هيئة التسجيل (Registration Authority):
هي هيئات تساعد هيئة التوثيق وتخفف الضغط عنها في عمل بعض الوظائف مثل التحقق من الهوية وإصدار التوقيع الإلكتروني [3].
مخزن الشهادات الرقمية (Certificate Repository):
هو دليل عام متاح للكل تخزن فيه الشهادات الملغاة والفعالة بحيث يستفيد الأشخاص من هذا الدليل للبحث عن المفتاح العام للشخص المراد التعامل معه سواء لتشفير الرسائل المرسلة له بمفتاحه العام لضمان السرية أو لفك التوقيع للتأكد من هوية المرسل [3].
أهم المعلومات الموجودة في الشهادة الرقمية:
• الرقم التسلسلي: وهو الذي يميز الشهادة عن غيرها من الشهادات.
• خوارزمية التوقيع: الخوارزمية المستخدمة لإنشاء التوقيع الالكتروني.
• صالحة – من: تاريخ بداية صلاحية الشهادة.
• صالحة – إلى: تاريخ نهاية صلاحية الشهادة.
• المفتاح العام: المفتاح العام المستخدم لتشفير الرسائل المرسلة إلى صاحب الشهادة.
• مصدر الشهادة: الجهة التي أصدرت الشهادة.
• أسم مالك الشهادة: سواء كان شخص أو منظمة أو موقع الكتروني [2].
أنواع الشهادات الرقمية:
• شهادات هيئة التوثيق:
هذا النوع من الشهادات يصدر من هيئة التوثيق مباشرة وعادة ما يكون لحماية البريد الإلكتروني.
• شهادات الخادم:
هذا النوع من الشهادات يصدر من خادم الشبكة (web server) أو خادم البريد (mail server) للتأكد من أمان إرسال واستقبال البيانات.
• شهادات ناشر البرامج:
تستخدم للتأكد من أن البرامج الخاصة بناشر معين برامج آمنه [3].
معيار الشهادة الرقمية (X.509):
هو معيار عالمي أصدره اتحاد الاتصالات الدولي (ITU) لتوحيد شكل وبنية (format) الشهادة الرقمية. أكثر الشهادات الرقمية حاليا تتبع هذا المعيار .[3]
الفرق بين التوقيع الرقمي والشهادة الرقمية:
في التوقيع الرقمي لا يوجد ضمان أن المفتاح العام هو لهذا الشخص بالفعل مثلا يستطيع خالد أن ينشئ له مفتاحين عام وخاص ثم ينشر مفتاحه العام على أساس أنه أحمد فلو أراد شخص أن يرسل رسالة سريه لأحمد سوف يشفرها باستخدام المفتاح العام الذي نشره خالد وبالتالي سوف يستطيع خالد فك تشفير الرسالة والاطلاع عليها . أي أنه في التوقيع الرقمي لا يوجد ربط بين الشخص بالفعل ومفتاحه العام لذلك ظهرت الشهادة الرقمية والتي تربط بين الشخص ومفتاحه العام حيث تحتوي الشهادة على صاحب الشهادة ومفتاحه العام وموقعه من طرف موثوق فيه يثبت ذلك[3] .
الشهادة الرقمية للتحقق من الهوية Authentication)):
لنفرض أن أحمد يريد أن يرسل رسالة لخالد لكي يثبت أحمد لخالد بأن المرسل هو بالفعل أحمد فانه سوف يوقع المختصر الحسابي (hash) بالمفتاح الخاص فيه ويرسل الرسالة الأصلية والمختصر الحسابي المشفر لخالد في الطرف الآخر يقوم خالد بفك تشفير المختصر الحسابي باستخدام المفتاح العام لأحمد الموجود في شهادته الرقمية والمتاحة كما ذكرت مسبقا على دليل عام (مخزن الشهادات الرقمية) ثم يقوم بإجراء نفس المختصر الحسابي الذي أجراه احمد على الرسالة بعد ذلك يقارن المختصرين الحسابيين إذا تطابقا فهذا يعني انه بالفعل المرسل هو أحمد. وبهذا ضمنت الشهادة الرقمية التحقق من الهوية. وتسمى العملية السابقة بالتوقيع الإلكتروني.
الشهادة الرقمية لضمان السرية: (Confidentiality)
لنفرض أن أحمد يريد أن يرسل لخالد رسالة سريه فلكي يضمن سريتها سوف يقوم بتشفير الرسالة بالمفتاح العام لأحمد ولن يفك التشفير إلا بالمفتاح الخاص لأحمد (حيث أن المفتاح العام والخاص مربوطة يبعضها أي انه إذا شفرت رسالة بالمفتاح العام لشخص فانه لا يفك تشفير هذه الرسالة إلا بالمفتاح الخاص لنفس الشخص) وبهذا ضمنت السرية.
إدارة الشهادات الرقمية:
يستطيع الشخص أن يختار هيئة التوثيق (CA) التي يريد إصدار شهادته منها وبعد إصدار الشهادة يمكنه تنزيل و تخزين الشهادة والمفتاح العام (public key)على كمبيوتره. بالنسبة لهيئات التوثيق يوجد بعضها تأتي مع متصفح الانترنت في وقت تنزيله ويكون موثوق فيها( انظر صورة 1).
صورة 1: هيئات التوثيق في متصفح الانترنت (internet explorer ).
سياسة الشهادة الرقمية (Certificate Policy):
هي مجموعة من القواعد والسياسات الإدارية والتي تطبق عند إدارة الشهادة الرقمية في جميع مراحل حياتها[3].
دورة حياة الشهادات الرقمية:
هناك بعض الأحداث التي تؤثر على فعالية الشهادة الرقمية مثل إضافة جهاز (hardware) جديد على الكمبيوتر أو تحديث برنامج وغيره لذلك أصيح للشهادة الرقمية حالات تمر فيها منذ إصدارها.
• الإصدار:
وهي أول مرحلة وتشمل التأكد من هوية الشخص قبل الإصدار. ويعتمد التأكد على نوع الشهادة المصدرة ففي الشهادات الرقمية التي تصدر للبريد الالكتروني يتم التأكد من هوية الشخص بطلب إرسال رسالة من بريده الالكتروني فقط أما الشهادات الرقمية المستخدمة للعمليات المالية فتتطلب إجرآت اخرى للتأكد من الهوية . بعد التأكد من الهوية يتم إرسال الطلب لهيئة التوثيق وتوافق على إصدار الشهادة.
• الإلغاء:
يستطيع الشخص أن يلغي شهادته قبل تاريخ انتهائها عندما يفقد المفتاح الخاص بالشهادة أو ينتشر لأنه بعد انتشار المفتاح الخاص تبطل فعالية الشهادة وهي الثقة بالطرف الآخر.(Authentication) ويتم إضافة الشهادة الملغاة إلى قائمة الشهادات الملغاة.
• الانتهاء:
لكل شهادة تاريخ انتهاء بعد هذا التاريخ تصبح الشهادة غير صالحه للاستخدام ولابد من إصدار شهادة جديدة ويمكن أن تكون الشهادة الجديدة لها نفس المفتاح العام والخاص للشهادة المنتهية.
• التعطيل المؤقت:
يمكن للشخص أن يوقف أو يعطل استخدام الشهادة لفترة زمنية لا يحتاج فيها لاستخدام الشهادة حتى لا تستغل من قبل أشخاص آخرين [3].
كيفية الحصول على الشهادة الرقمية المستخدمة لغرض حماية البريد المثالي:
1. اذهب إلى احد المواقع الإلكترونية التي تمنح الشهادات على سبيل المثال .comodo
2. قم بتعبئة البيانات المطلوبة ( الاسم الأول، الاسم الأخير، عنوان البريد الإلكتروني، البلد، الرقم السري لإلغاء الشهادة (انظر صورة 2).
صورة 2: البيانات المطلوبة لإنشاء الشهادة الرقمية.
3. سيأتيك رسالة على البريد الإلكتروني الذي أدخلته في البيانات قم بالضغط على
Click and install comdo e-mail certificate (انظر صورة 3).
صورة 3: الرسالة التي ستصلك على بريدك الإلكتروني.
طريقة استخدام الشهادة في Microsoft Outlook E-mail Clint:
1. في البداية يجب أن تقوم باستيراد الشهادة من جهازك إلى حسابك.
2. بعد كتابة الرسالة قم باختيار خيارات الرسالة ثم إعدادات الأمان.
3. قم باختيار إضافة توقيع رقمي إلى هذه الرسالة إذا كنت تريد إثبات هويتك للشخص المرسل إليه بالإضافة إلى ذلك تستطيع ضمان سرية الرسالة وذلك باختيار تشفير محتويات الرسالة ومرفقاتها (انظر صورة 4).
صورة 4 : الخيارات التي يوفرها برنامج outlook.
4. الآن أصبحت الرسالة موقعة ومشفره.
الخلاصة:
إذا تعتبر الشهادة الرقمية من الوسائل الأمنية التي ساعدت على استخدام الانترنت سواء في التعاملات التجارية أو استخدام البريد الإلكتروني وغيرها بكل أمن وثقة وسرية.