امنیت سطح

28 ژانویه

امنیت در سطح پردازنده؛ Samsung Knox

امنیت در سطح پردازنده؛ Samsung Knox

امنیت در سطح پردازنده؛ Samsung Knox

امنیت تلویزیون های هوشمند، یکی از مهمترین مسائلی است که طی سالهای اخیر تا حدودی به حاشیه کشیده است. در این میان شرکت هایی همچون LG، Google و Samsung برای حفظ و افزایش کارایی امنیت سیستم عامل های ، تدابیری را اندیشیده اند. “سامسونگ” اینبار فناوری Samsung Knox را به طور جدی برای تامین امنیت تلویزیون های هوشمند 2018 معرفی کرده است. این فناوری تا پیش از این در گوشی های هوشمند این شرکت نیز دیده شده بود.

فناوری Samsung Knox دارای گواهینامه ی Common Criteria (CC) بوده و مورد تائید PCI DSS است. این شرکت اعلام کرده است که امنیت را به عنوان اولین اصل خود مد نظر قرار داده و متعهد به تولید تلویزیون های هوشمند، با امنیت بسیار بالاست. فناوری Samsung Knox ریشه در معماری پردازنده دارد؛ به عبارت ساده تر، پردازنده ها به گونه ای طراحی شده اند که بخش نرم افزاری Knox با آنها سازگار است. این فناوری محیط امنی را برای نرم افزارهای Smart TV فراهم می کند. در بخشی از این برنامه، سیستم شناسایی و حذف برنامه های مخرب را نیز تعبیه کرده است.

جلوگیری از سرقت داده های مهم از جمله رمز های عبور، رمزهای کارت های بانکی و اعتباری و مشخصات کاربران نیز در بخش دیگری از این فناوری جای گرفته است. با استفاده از تکنیک هایی از جمله T-Commerce، کاربران می توانند به طور مستقیم از طریق تلویزیون، به خرید اکانت، محصولات و یا حق اشتراک اقدام کرد که سامسونگ به وسیله یک سامانه رمزنگاری، امنیت آنها را تضمین کرده است. تراشه SOC به همراه Samsung Knox در دو بخش اطلاعات را رمز نگاری و رمز گشایی می کنند؛ فهم آنها تنها توسط تلویزیون و سرور مرکزی سامسونگ امکان پذیر است. افزون بر موارد ذکر شده، Samsung و McAfee همکاری جدیدی را برای توسعه امنیت نرم افزاری تلویزیون های سامسونگ آغاز کرده اند. McAfee یکی از شرکت های پیشرو در زمینه امنیت سایبری است که خدمات امنیتی خود را به 32 زبان ارائه می دهد.

امنیت در سطح پردازنده؛ Samsung Knox

(image)

امنیت تلویزیون های هوشمند، یکی از مهمترین مسائلی است که طی سالهای اخیر تا حدودی به حاشیه کشیده است. در این میان شرکت هایی همچون LG، Google و Samsung برای حفظ و افزایش کارایی امنیت سیستم عامل های ، تدابیری را اندیشیده اند. “سامسونگ” اینبار فناوری Samsung Knox را به طور جدی برای تامین امنیت تلویزیون های هوشمند 2018 معرفی کرده است. این فناوری تا پیش از این در گوشی های هوشمند این شرکت نیز دیده شده بود.

فناوری Samsung Knox دارای گواهینامه ی Common Criteria (CC) بوده و مورد تائید PCI DSS است. این شرکت اعلام کرده است که امنیت را به عنوان اولین اصل خود مد نظر قرار داده و متعهد به تولید تلویزیون های هوشمند، با امنیت بسیار بالاست. فناوری Samsung Knox ریشه در معماری پردازنده دارد؛ به عبارت ساده تر، پردازنده ها به گونه ای طراحی شده اند که بخش نرم افزاری Knox با آنها سازگار است. این فناوری محیط امنی را برای نرم افزارهای Smart TV فراهم می کند. در بخشی از این برنامه، سیستم شناسایی و حذف برنامه های مخرب را نیز تعبیه کرده است.

(image)

جلوگیری از سرقت داده های مهم از جمله رمز های عبور، رمزهای کارت های بانکی و اعتباری و مشخصات کاربران نیز در بخش دیگری از این فناوری جای گرفته است. با استفاده از تکنیک هایی از جمله T-Commerce، کاربران می توانند به طور مستقیم از طریق تلویزیون، به خرید اکانت، محصولات و یا حق اشتراک اقدام کرد که سامسونگ به وسیله یک سامانه رمزنگاری، امنیت آنها را تضمین کرده است. تراشه SOC به همراه Samsung Knox در دو بخش اطلاعات را رمز نگاری و رمز گشایی می کنند؛ فهم آنها تنها توسط تلویزیون و سرور مرکزی سامسونگ امکان پذیر است. افزون بر موارد ذکر شده، Samsung و McAfee همکاری جدیدی را برای توسعه امنیت نرم افزاری تلویزیون های سامسونگ آغاز کرده اند. McAfee یکی از شرکت های پیشرو در زمینه امنیت سایبری است که خدمات امنیتی خود را به 32 زبان ارائه می دهد.

(image)

امنیت در سطح پردازنده؛ Samsung Knox

2 آگوست

امنیت در سطح سخت افزار

امنیت در سطح سخت افزار

امنیت در سطح سخت افزار

جالب است بدانید که امنیت در سطح سخت افزار،بسیار قابل اعتماد تر از امنیت نرم افزاری است.تراشه های رمز گذاری شده،سامانه های تشخیص بیومتریک و…بسیار دقیق تر Fire Wall ها، سیستم های ضد ویروس و سیستم های احراز هویت عمل می کنند.

ماژول امنیتی سخت‌افزاری (Hardware Security Module) نوعی از پردازنده رمزی امنی است که مدیریت کلیدهای دیجیتال و شتاب پردازنده‌های رمزنگاری را از لحاظ خریدهای دیجیتال / ثانویه به منظور تأمین قوی اعتبار برای دسترسی به کلیدهای حیاتی برای برنامه‌های کاربردی سرور را هدف قرار داده‌است. آن‌ها دستگاه‌های فیزیکی هستند که به طور مرسوم در قالب یک کارت پلاگین یا دستگاه‌های امنیتی تی‌سی‌پی/آی‌پی خارجی آمده‌است که می‌تواند مستقیماً به سرور یا کامپیوتر هدف کلی متصل شده باشد.  اهداف HSM (الف) نسل امن پردازنده، (ب) ذخیره سازی امن پردازنده، (ج) استفاده از مواد حساس و داده‌های رمز نگاری، (د) تخلیه سرور نرم‌افزار کامل برای رمزنگاری نامتقارن و متقارن هستند. HSMها حمایت منطقی و فیزیکی این موارد را برای جلو گیری از استفاده غیر مجاز و دشمنان بالقوه فراهم می‌کنند. به طور خلاصه، آنها با ارزش بالایی از کلیدهای رمز نگاری حفاظت می‌کنند.  مواد رمزنگاری به کار گرفته شده توسط اکثر HSMs نامتقارن هستند جفت کلید (و گواهینامه‌های) در رمزنگاری کلید عمومی مورد استفاده قرار می‌گیرد. برخی از HSM هاهمچنین می‌توانند کلیدهای متقارن و دیگر اطلاعات را به صورت خودکار اداره کند. بسیاری از سیستمهای HSM وسیله‌ای برای پشتیبان گیری مطمئن از کلیدهایی استفاده می‌کنند که در شکل پیچیده توسط سیستم عامل کامپیوتر و یا در شکل خارجی با استفاده از کارت هوشمند و یا برخی از مشخصه امنیتی به کار برده می‌شود. HSMها هرگز نباید اجازه صادرات اسرار در فرم پروندههای متنی ساده، حتی هنگام انتقال بین HSMها یا انجام عملیات پشتیبان گیری دهند.

بسیاری از سیستم HSM نیز شتاب دهنده رمزنگاری سخت افزاری دارند. آنها معمولا نمی‌توانند از راه حل‌هایی که فقط به صورت نرم‌افزاری برای انجام عملیات با کلید متقارن هستند تداخل عملکرد داشته باشند. با این حال، با اجرای محدوده از شماره ۱ تا ۷،۰۰۰ RSA ۱،۰۲۴ بیتی، HSM می‌تواندبه صورت offload پردازنده قابل توجهی برای انجام عملیات نامتقارن کلید ارائه کنند. از آنجا که استفاده از کلید آراسای ۲،۰۴۸ بیتی از سال ۲۰۱۰ [نیازمند منبع] توصیه شده‌است، کارایی در اندازه کلیدی‌های بزرگتر روز به روز مهمتر می‌شود.  از آنجا که HSMs اغلب بخشی از یک ماموریت زیر ساخت‌های حیاتی مانند زیرساخت کلید عمومی یا برنامه بانکداری آنلاین هستند، HSMها به طور معمول می‌تواند برای دسترسی به بالا به صورت خوشه‌ای باشد. برخی از HSMs ویژگی منابع تغذیه دوگانه با قابلیت تداوم کار به صورت پیوسته را دارند تعداد کمی از HSMهای موجود در بازار دارای قابلیت و توانایی اجرای ماژول‌های اجرایی توسعه یافته ویژه در بین [ویرایش] محوطه امن HSMهارا دارند. چنین توانایی مفید است، برای مثال، در مواردی که الگوریتم‌های خاص و یا منطق کسب و کار است که باید در یک محیط امن و کنترل شده اجرا شود. ماژول‌های اجرا می‌توان در زبان بومی سی، در دات نت، جاوا و یا زبان‌های برنامه نویسی دیگر توسعه یافت. در حالی که سود کد برنامه خاص ارائه تضمین امنیت را فراهم می‌کند، این موتورهای اجرا وضعیت FIPS HSM یا ضوابط مشترک وضعیت اعتبار را دچار می‌کنند.

حفاظت از مداخله

تشخیص، مقاومت و پاسخ – حفاظت از مداخله – کلید و عمده تفاوت HSMها هستندکه از رایانه‌های سرور معمولی به عنوان شتاب دهنده‌های رمزنگاری فعالیت می‌کنند. در حالی که برخی از استانداردهای پوشش نیازمندی‌های امنیتی برای ماژول‌های رمز نگاری وجود دارد، به طور گسترده (هر دو به عنوان انتخاب مشتریان و درخواست دولت) ازجانب FIPS ۱۴۰-۲ پذیرفته شده‌است.

برخی از مهمترین رابط های برنامه کاربردی نرم افزار HSM

در زیر لیستی از رابط‌های برنامه کاربردی رمزنگاری مشهور است که می‌تواند از ماژول‌های سخت افزاری فروشندگان مختلف استفاده شود.

OpenSSL: رابط موتورOpenSSL

JCE/JCA:رابط رمزنگاری جاوا

API: Microsoft CAPIمایکروسافت که توسط IIS, CA و دیگران استفاده می‌شود، همچنین در دات نت مورد استفاده قرار می‌گیرد.

Microsoft CNG API:رابط رمزنگاری نسل بعدی مایکروسافت که برای ویندوز ویستا به بعد در دسترس است، توسط IIS, ADCS و دیگران استفاده شده است.

استفاده اصلی از HSM ها

HSMها می‌توانند در هر برنامه‌ای که از کلیدهای دیجیتال استفاده می‌شود به کار رود. به طور معمول کلید باید با ارزش باشد به معنی اینکه، اگر به خطر بیفتدتأثیر منفی قابل توجه به صاحب کلید نخواهد داشت. لیستی از کاربردهای بی پایان وجود دارد، اما برخی از استفاده‌های اصلی عبارتند از:

محیط (PKI (CA HSMs: در مورد محیط PKI، HSMs معمولاً توسط همه مراکز صدور گواهینامه (CA) و مراکز ثبت نام (RAs) جهت تولید، ذخیره، و رسیدگی به جفت کلید استفاده می‌شود.

HSMهای سیستم پرداخت کارت (HSMهای بانکی):محدودیت از ویژگی‌های HSMها در سیستم پردازش کارت استفاده می‌شود. این سیستم‌ها معمولا پیچیدگی کمتری از HSMهای CA رادارندو معمولاً ویژگی‌های استاندارد API را انجام نمی‌دهند. این دستگاه را می‌توان در دو طبقه اصلی دسته بندی نمود: OEM یا ماژول‌های یکپارچه برای دستگاه‌های گوینده خودکار و پایانه‌های اعتباری.

تصال به SSL: برنامه‌های کاربردی که در آن عملکرد تنگنا ولی امنیت نباید فراموش کرد وجود دارد. این برنامه‌ها معمولاً به عنوان خدمات سرویس امنیتی از طریق HTTPS (SSL / TLS) ارائه شده‌است. در این محیط، HSMهای تسریع SSL به کار گرفته می‌شوند. تعداد نمونه برای عملکرد این برنامه‌ها دارای دامنه‌ای از ۵۰ تا ۱،۰۰۰برای RSA ۱،۰۲۴ بیتی است هر چند برخی از دستگاه ها می‌توانند اعداد را تا ارتفاع ۷،۰۰۰ عملیات در ثانیه برسانند.

DNSSEC: تعداد رو به افزایشی از ثبت استفاده HSMها برای ذخیره مواد کلیدی است که برای ثبت نام zonefiles بزرگ استفاده می‌شود. ابزار متن باز برای مدیریت امضای فایل‌های منطقه‌ای DNS با استفاده از HSM OpenDNSSEC است.

امنیت در سطح سخت افزار

(image)

جالب است بدانید که امنیت در سطح سخت افزار،بسیار قابل اعتماد تر از امنیت نرم افزاری است.تراشه های رمز گذاری شده،سامانه های تشخیص بیومتریک و…بسیار دقیق تر Fire Wall ها، سیستم های ضد ویروس و سیستم های احراز هویت عمل می کنند.

ماژول امنیتی سخت‌افزاری (Hardware Security Module) نوعی از پردازنده رمزی امنی است که مدیریت کلیدهای دیجیتال و شتاب پردازنده‌های رمزنگاری را از لحاظ خریدهای دیجیتال / ثانویه به منظور تأمین قوی اعتبار برای دسترسی به کلیدهای حیاتی برای برنامه‌های کاربردی سرور را هدف قرار داده‌است. آن‌ها دستگاه‌های فیزیکی هستند که به طور مرسوم در قالب یک کارت پلاگین یا دستگاه‌های امنیتی تی‌سی‌پی/آی‌پی خارجی آمده‌است که می‌تواند مستقیماً به سرور یا کامپیوتر هدف کلی متصل شده باشد.  اهداف HSM (الف) نسل امن پردازنده، (ب) ذخیره سازی امن پردازنده، (ج) استفاده از مواد حساس و داده‌های رمز نگاری، (د) تخلیه سرور نرم‌افزار کامل برای رمزنگاری نامتقارن و متقارن هستند. HSMها حمایت منطقی و فیزیکی این موارد را برای جلو گیری از استفاده غیر مجاز و دشمنان بالقوه فراهم می‌کنند. به طور خلاصه، آنها با ارزش بالایی از کلیدهای رمز نگاری حفاظت می‌کنند.  مواد رمزنگاری به کار گرفته شده توسط اکثر HSMs نامتقارن هستند جفت کلید (و گواهینامه‌های) در رمزنگاری کلید عمومی مورد استفاده قرار می‌گیرد. برخی از HSM هاهمچنین می‌توانند کلیدهای متقارن و دیگر اطلاعات را به صورت خودکار اداره کند. بسیاری از سیستمهای HSM وسیله‌ای برای پشتیبان گیری مطمئن از کلیدهایی استفاده می‌کنند که در شکل پیچیده توسط سیستم عامل کامپیوتر و یا در شکل خارجی با استفاده از کارت هوشمند و یا برخی از مشخصه امنیتی به کار برده می‌شود. HSMها هرگز نباید اجازه صادرات اسرار در فرم پروندههای متنی ساده، حتی هنگام انتقال بین HSMها یا انجام عملیات پشتیبان گیری دهند.

(image)

بسیاری از سیستم HSM نیز شتاب دهنده رمزنگاری سخت افزاری دارند. آنها معمولا نمی‌توانند از راه حل‌هایی که فقط به صورت نرم‌افزاری برای انجام عملیات با کلید متقارن هستند تداخل عملکرد داشته باشند. با این حال، با اجرای محدوده از شماره ۱ تا ۷،۰۰۰ RSA ۱،۰۲۴ بیتی، HSM می‌تواندبه صورت offload پردازنده قابل توجهی برای انجام عملیات نامتقارن کلید ارائه کنند. از آنجا که استفاده از کلید آراسای ۲،۰۴۸ بیتی از سال ۲۰۱۰ [نیازمند منبع] توصیه شده‌است، کارایی در اندازه کلیدی‌های بزرگتر روز به روز مهمتر می‌شود.  از آنجا که HSMs اغلب بخشی از یک ماموریت زیر ساخت‌های حیاتی مانند زیرساخت کلید عمومی یا برنامه بانکداری آنلاین هستند، HSMها به طور معمول می‌تواند برای دسترسی به بالا به صورت خوشه‌ای باشد. برخی از HSMs ویژگی منابع تغذیه دوگانه با قابلیت تداوم کار به صورت پیوسته را دارند تعداد کمی از HSMهای موجود در بازار دارای قابلیت و توانایی اجرای ماژول‌های اجرایی توسعه یافته ویژه در بین [ویرایش] محوطه امن HSMهارا دارند. چنین توانایی مفید است، برای مثال، در مواردی که الگوریتم‌های خاص و یا منطق کسب و کار است که باید در یک محیط امن و کنترل شده اجرا شود. ماژول‌های اجرا می‌توان در زبان بومی سی، در دات نت، جاوا و یا زبان‌های برنامه نویسی دیگر توسعه یافت. در حالی که سود کد برنامه خاص ارائه تضمین امنیت را فراهم می‌کند، این موتورهای اجرا وضعیت FIPS HSM یا ضوابط مشترک وضعیت اعتبار را دچار می‌کنند.

حفاظت از مداخله

تشخیص، مقاومت و پاسخ – حفاظت از مداخله – کلید و عمده تفاوت HSMها هستندکه از رایانه‌های سرور معمولی به عنوان شتاب دهنده‌های رمزنگاری فعالیت می‌کنند. در حالی که برخی از استانداردهای پوشش نیازمندی‌های امنیتی برای ماژول‌های رمز نگاری وجود دارد، به طور گسترده (هر دو به عنوان انتخاب مشتریان و درخواست دولت) ازجانب FIPS ۱۴۰-۲ پذیرفته شده‌است.

برخی از مهمترین رابط های برنامه کاربردی نرم افزار HSM

در زیر لیستی از رابط‌های برنامه کاربردی رمزنگاری مشهور است که می‌تواند از ماژول‌های سخت افزاری فروشندگان مختلف استفاده شود.

OpenSSL: رابط موتورOpenSSL

JCE/JCA:رابط رمزنگاری جاوا

API: Microsoft CAPIمایکروسافت که توسط IIS, CA و دیگران استفاده می‌شود، همچنین در دات نت مورد استفاده قرار می‌گیرد.

Microsoft CNG API:رابط رمزنگاری نسل بعدی مایکروسافت که برای ویندوز ویستا به بعد در دسترس است، توسط IIS, ADCS و دیگران استفاده شده است.

(image)

استفاده اصلی از HSM ها

HSMها می‌توانند در هر برنامه‌ای که از کلیدهای دیجیتال استفاده می‌شود به کار رود. به طور معمول کلید باید با ارزش باشد به معنی اینکه، اگر به خطر بیفتدتأثیر منفی قابل توجه به صاحب کلید نخواهد داشت. لیستی از کاربردهای بی پایان وجود دارد، اما برخی از استفاده‌های اصلی عبارتند از:

محیط (PKI (CA HSMs: در مورد محیط PKI، HSMs معمولاً توسط همه مراکز صدور گواهینامه (CA) و مراکز ثبت نام (RAs) جهت تولید، ذخیره، و رسیدگی به جفت کلید استفاده می‌شود.

HSMهای سیستم پرداخت کارت (HSMهای بانکی):محدودیت از ویژگی‌های HSMها در سیستم پردازش کارت استفاده می‌شود. این سیستم‌ها معمولا پیچیدگی کمتری از HSMهای CA رادارندو معمولاً ویژگی‌های استاندارد API را انجام نمی‌دهند. این دستگاه را می‌توان در دو طبقه اصلی دسته بندی نمود: OEM یا ماژول‌های یکپارچه برای دستگاه‌های گوینده خودکار و پایانه‌های اعتباری.

(image)

تصال به SSL: برنامه‌های کاربردی که در آن عملکرد تنگنا ولی امنیت نباید فراموش کرد وجود دارد. این برنامه‌ها معمولاً به عنوان خدمات سرویس امنیتی از طریق HTTPS (SSL / TLS) ارائه شده‌است. در این محیط، HSMهای تسریع SSL به کار گرفته می‌شوند. تعداد نمونه برای عملکرد این برنامه‌ها دارای دامنه‌ای از ۵۰ تا ۱،۰۰۰برای RSA ۱،۰۲۴ بیتی است هر چند برخی از دستگاه ها می‌توانند اعداد را تا ارتفاع ۷،۰۰۰ عملیات در ثانیه برسانند.

DNSSEC: تعداد رو به افزایشی از ثبت استفاده HSMها برای ذخیره مواد کلیدی است که برای ثبت نام zonefiles بزرگ استفاده می‌شود. ابزار متن باز برای مدیریت امضای فایل‌های منطقه‌ای DNS با استفاده از HSM OpenDNSSEC است.

امنیت در سطح سخت افزار

خبر دانشجویی