پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
میکرو HSM تازهترین محصول رادین در حوزه امنیت
نگاهی به میکرو HSM یک کیف پول سختافزاری در حوزه رمزارزها، ماژول احراز هویت و سیستم پیامدهی فردبهفرد در گفتوگو با کارشناسان ارشد امنیت شرکت رادین
نهادها و کسبوکارهای حوزه فناوری، بخش امنیت گروه حصین را چند سالی است با محصول HSM بومی آن (سربن) میشناسند. این ماژول امنیتی سختافزاری، ابزاری برای انجام امور رمزنگاری و کنترل مبادلات محرمانه است که بانکها، نهادها و کسبوکارها میتوانند در راستای امنیت بیشتر سازمان خود آن را بهکار گیرند. با انتقال راهکارهای امنیتی گروه حصین به شرکت رادین، این شرکت محصول دیگری از HSM طراحی کرده که شبیه یک کیف پول سختافزاری است. این محصول را که کارشناسان رادین آن را یک میکرو HSM میدانند، در بستر سیمکارت ارائه میشود و میتواند در غالب یواِسبی یا میکرو SD نیز ارائه شود؛ که میتواند در حوزههای رمزارزها، احراز هویت و پیامدهی فردبهفرد کاربرد داشته باشد. با زینب علیپناهلو، رامین عبدالمحمدی و محمد جلالی کارشناسان ارشد امنیت شرکت رادین درباره این محصول و اینکه چه مزیتهایی را فراهم میکند، گفتوگو کردیم که در ادامه میخوانید. همچنین از این محصول دمویی نیز ارائه شد که در ویدیو زیر میتوانید مشاهده کنید.
یک عنصر سختافزاری قابل حمل
طبق صحبتهای علی پناهلو، میکرو HSM یک عنصر امنیتی (Secure Element) است که میتوان کلیدهای رمزنگاری را در آن نگه داشت و نکته مهم آن نیز قابل حمل بودن و از لحاظ امنیتی سختافزاری بودن آن است؛ به این معنی که اولا فرآیند تولید کلید تصادفی بهصورت کاملا سختافزاری انجام میشود و در مرحله بعد نگهداری و انجام هرگونه عملیات با کلید، در درون سختافزار بهصورت امن اتفاق میافتد. کیف پولهای نرمافزاری مانند کیف پولهای بیتکوینی وجود دارند که کلیدهای خصوصی را صرفاً در یک فایل در فضای وب نگه میدارند؛ اما مزیت سرویس رادین این است که کلید بهصورت سختافزاری داخل حافظه امن تولید میشود و هیچوقت هم از آن حافظه بیرون نمیآید. بهطور کلی میتوان گفت که این محصول ویژگیهای HSM را دارد و علاوه بر این قابل حمل است. رادین قرار است در قدم اول این محصول را روی سیمکارتها، دانگلها یا میکرو SDها پیاده کند. در حال حاضر قابلیت پیادهسازی این محصول روی سیمکارتهای مجهز به NFC و عادی انجام شده و مراحل بعدی نیز در حال آزمایش هستند.
او درباره ایده شکلگیری میکرو HSM توضیح داد: «ایده ساختن میکرو HSM از خود HSM رادین (سربن) آمده است. چون HSM یک راهکار سازمانی و دستگاه گرانی است و کاربردهای خودش را دارد، میخواستیم یک ماژول قابلحمل امن ایجاد کنیم که بیشتر کاربرد B2C داشته باشد و برای راهکارهای سازمانی نیز بتوان از آن استفاده کرد. ایده اولیه ما این بود که از یک میکروچیپ استفاده کنیم ولی بعد به ذهنمان رسید که چرا از سیمکارت بهعنوان یک ماژول امن استفاده نکنیم. درنهایت برای اینکه بتوانیم به مزیت قابل حمل بودن این محصول برسیم، مراحلی را طی کردیم. اولین مرحله این بود که روی سیمکارت، این قابلیت را ایجاد کنیم. به این دلیل که حصین (شرکت مادر رادین) خود تولیدکننده سیمکارت است، بر آن شدیم تا از حافظه امن، برای نگهداری کلیدهای کیف پولها استفاده کنیم. پس از انجام بررسیها و برنامهنویسی داخل سیمکارت که به اصطلاح به آن اپلت میگویند، به این موضوع رسیدیم که میتوان از سیمکارت بهعنوان حافظه امن استفاده کرد. مزیت سیمکارت این است که میتواند داخل گوشی قرار بگیرد و کیف پول شما با گوشی شما یکی شود و با وجود اینکه روی سیمکارت است ولی با گوشی شما هم مطابقت پیدا کند که حتی بدون حضور سیمکارت یا گوشی امکان انجام تراکنش نباشد که خود این موضوع، امنیت را چندین برابر میکند.»
راهکار دیگر رادین این است که بتواند کیف پول را بهصورت دانگل و میکرو SD ارائه دهد. او درباره مزیت میکرو SDها گفت: «در داخل میکرو SD میتواند حافظه امنی قرار بگیرد تا از آن بهعنوان ذخیره کلیدهای امن استفاده شود. این کار مزیتهای مختلفی دارد. هم میتوان این مورد را در گوشیهای آیفون با یک واسط استفاده کرد و هم گوشیهای اندروید را پشتیبانی کرد.»
استفاده از کیف پول سختافزاری رادین روی سیمکارتهای اپراتوری
علیپناهلو درباره استفاده از کیف پول سختافزاری رادین روی سیمکارتهای اپراتوری نیز صحبت کرد: «ما در اصل بهدنبال این بودیم که سیمکارتی وجود داشته باشد که بتوانیم با آن امضای دیجیتال انجام دهیم چراکه سیمکارتها یک چیپ سختافزاری داخل خود دارند که هر سیمکارتی یکسری الگوریتمهای سختافزاری را پشتیبانی میکند. الگوریتمهایی که ما به آنها نیاز داریم، الگوریتمهای نامتقارن هستند که متوجه شدیم یکسری از سیمکارتهای حصین این قابلیت را دارند و اولین آزمایشی که روی آنها انجام دادیم و با آن دمویی را آماده کردیم، امضای دیجیتال یا احراز هویت مبتنی بر Public Private Key یا احراز هویت بدون پسورد است. درواقع یک اپ اندرویدی است که میتواند به سیمکارت متصل شود و عملیات احراز هویت را انجام دهد و وظیفه سیمکارت نیز نگهداری امن کلید خصوصی و همینطور تولید سختافزاری کلید خصوصی است؛ یعنی یک ماژول امن رندومی دارد که کلید (عبارت رندوم) ایجاد میشود و از سیمکارت نیز بههیچ عنوان خارج نمیشود؛ در اصل کاربری یک HSM را دارد ولی قابل حمل است.»
طبق گفتههای علیپناهلو، سیمکارتهایی که در حال حاضر بهعنوان سیمکارتهای اپراتوری استفاده میشوند، قابلیت این موضوع را ندارند. برای استفاده از کیف پول سختافزاری رادین روی سیمکارتها دو گزینه وجود دارد؛ یکی اینکه از این سیمکارت تنها بهعنوان یک المان امن استفاده شود و هر کس که میخواهد از آن استفاده کند، این سیمکارت را خریداری کند و داخل گوشی خود قرار دهد. راه دوم این است که با اپراتورها سیمکارت خود را ادغام کنند که این پروسه طولانی دارد. با این حال با برخی اپراتورها مذاکراتی را در این خصوص داشتهاند. «یعنی اپراتورها سیمکارتی ارائه دهند که قابلیت این الگوریتم را داشته باشد و کاربران حاضر باشند که سیمکارتهای خود را تغییر دهند. در این صورت اپلیکیشنهای ما میتوانند با سیمکارتهای اپراتوری یکی شوند؛ یعنی درواقع سیمکارت GSM کاربردهای احراز هویت، امضای دیجیتال و کیف پول سختافزاری که کیف پول رمزارزی هست را با هم پشتیبانی کند که یک حالت ایدهآل است.»
کاربردهای این ماژول امنیتی چیست؟
این ماژول امنیتی در دنیا بیشتر با عنوان Secure Element شناخته میشود اما کارشناسان امنیت رادین معتقدند که پلتفرم سیمکارت در واقع یک HSM کوچک است که مکانیزمهای امنیت سختافزاری را در دل خود جای داده است.
عبدالمحمدی با اشاره به اینکه آنها جزو معدود شرکتهای دنیا هستند که راهکار حافظه امن مبتنی بر سیمکارت را دارند، از کاربردهایی که این فناوری دارد، گفت: «میکرو HSM میتواند در حوزههای رمزارزها، احراز هویت، وامدهی فردبهفرد و پیامدهی فردبهفرد کاربرد داشته باشد. در حوزه رمزارزها از حافظه امن میتوانیم بهعنوان یک کیف پول استفاده کنیم. در واقع کاربران میتوانند کلیدهای خصوصی مرتبط با کوینهای خود را بهصورت امن در سیمکارت یا میکروSD نگه دارند و بهعنوان یک کیف پول سختافزاری استفاده کنند. ما در حال حاضر استانداردهای مربوط به تولید و نگهداری کلید در حوزه رمزارز که شامل BIP32، BIP44 و BIP39 است را در سیمکارت پیادهسازی کردهایم.
کاربرد دیگر آن امضای دیجیتالی اسناد است که گستره وسیعی دارد. اسناد مختلف شامل سند دارایی، سند قضایی، مدارک شناسایی و اسناد مهم کسبوکاری با استفاده از کلید خصوصی سیمکارت بهصورت دیجیتالی میتواند امضا شوند تا از جعل آنها جلوگیری شود. در واقع ما میتوانیم از بستر بلاکچین و سیمکارت استفاده کنیم تا بهجای اسناد کاغذی، اسناد دیجیتالی صادر کنیم. با این روش اعتبارسنجی مدارک بهراحتی میتواند انجام شود. موضوع دیگری که اکنون در بحث رمزارزها در دنیا مطرح است، بحث وامدهی فردبهفرد است که کاربران بر بستر بلاکچین میتوانند به همدیگر کوین قرض دهند. در حال حاضر وامدهی فردبهفرد در دنیا در حوزه رمزارزها، حدود ۵۰۰ میلیارد دلار حجم بازار دارد. ما هم با برخی شرکتها در رابطه با این موضوع صحبت کردیم تا بتوانیم راهکار وامدهی فردبهفرد را مبتنی بر حافظه امن سیمکارتی ایجاد کنیم تا کاربران کوین خود را در آن ارائه دهند.»
او ادامه داد: «حوزه دیگری که پتانسیل بالایی دارد بحث پیامدهی فردبهفرد است که از طریق آن ارسال پیامها بر اساس کلید موجود در حافظه امن انجام میشود. به این ترتیب، پیامی که یک فرد ارسال میکند با استفاده از کلید عمومی فرد گیرنده رمزگذاری میشود و فرد گیرنده فقط با استفاده از سیمکارت خود میتواند پیام را باز کند. البته پیامرسانهایی که اکنون در این زمینه در دنیا استفاده میشوند، ویژگی رمزگذاری فردبهفرد را دارند، اما بهصورت نرمافزاری هستند، درحالیکه میکرو HSM یک حافظه امن سختافزاری است که میتواند برای این موضوع استفاده شود. بحث رمزگذاری فردبهفرد با استفاده از حافظه امن سختافزاری میتواند کاربرد زیادی داشته باشد. در واقع این حافظه یک نوع زیرساخت امنیتی است که میتوان برای آن اپلیکیشنهایی که نیازمند این زیرساخت هستند را سوار کرد.»
میکرو HSM میتواند فرایند احراز هویت را یکپارچه کند
این فناوری سختافزاری علاوه بر این کاربردها، میتواند در یکپارچهسازی احراز هویت کمککننده باشد. جلالی در این باره توضیح داد: «در دنیای دیجیتال، تأمین امنیت اطلاعات هر فرد منوط به تصدیق هویت او است. تصدیق هویت انواع مختلف دارد. برای مثال شما برای برداشت وجه از یک عابربانک نیاز به داشتن کارت آن بانک که به شما اختصاص داده شده است، نیاز دارید. علاوه بر این نیاز دارید تا رمز کارت بانکی خود را هم بدانید. در این مثال هویت شما در «داشتن» کارت بانکی و «دانستن» رمز کارت خلاصه شده است. در مورد پیشنهاد ما، تصدیق هویت فرد از طریق داشتن یک سیمکارت داخل تلفن همراه و دانستن پین کد سیم انجام میشود.»
به گفته او، برای تحقق دولت الکترونیک ما نیاز داریم که بسیاری از مدارک مانند کارت ملی، شناسنامه، کارت پایان خدمت، کارت بانکی، گواهینامه رانندگی و غیره را که همگی نماینده هویت یک فرد هستند، یکپارچه کنیم. همه این موارد میتواند بهعنوان یک عنصر واحد، یکپارچه شوند و میکرو HSM میتواند راهکار خوبی برای انجام این کار باشد.
این کارشناس امنیت رادین با ذکر مثالی کاربرد یکپارچهسازی احراز هویت را اینگونه توضیح داد: «در حال حاضر کپی همه مدارک ما اعم از کارت ملی، شناسنامه و غیره در سازمانی موجود است و ما پس از مراجعه بعدی با کارت ملی و یک کد ملی احراز هویت میشویم. اما اگر فردی با یک گوشی هوشمند و با استفاده از یک پینکد بتواند خودش را معرفی کند، دیگر نیازی به مدرک دیگری ندارد و با ابزارهای ارتباطی دیگر مانند NFC یا بارکد اسکن، احراز هویت انجام میشود. این مورد از طریق عنصر امنیتی HSM امکانپذیر است.»
عبدالمحمدی در تکمیل گفتههای جلالی به نمونه مشابه این محصول که در استونی راهاندازی شده، اشاره کرد و توضیح داد: «دولت استونی راهکاری به نام Mobile ID را به مردم ارائه میکند. بدین صورت که مدارک شناسایی احراز هویت یک فرد یک بار در یک سازمان ذخیره میشود. این مدارک میتواند به سیمکارت یا آیدی مخصوص به فرد متصل شود. پس از آن، فرد از طریق آیدی که در این سیمکارت تعریف شده، در سازمانی دیگر احراز هویت میشود.»
طراحی راهی دشوار برای کلاهبرداران
سؤال ما از عبدالمحمدی این بود که اگر سیمکارت گم یا به هر دلیلی جابهجا شود، چه اتفاقی میافتد. او در پاسخ گفت که در این مورد بحث مکانیزم بکآپ سیمکارت وجود دارد که از طریق یک HSM مرکزی پشتیبانی میشود. اگر بخواهیم با حالت قبل مقایسه کنیم، احراز هویت شما صرفاً با کارت ملی و شناسنامه صورت میگرفت که اگر این موارد از شما دزدیده میشد، امکان جعل وجود داشت. اما در این راهکار، چند سطح امنیتی مقابل جعل کردن وجود دارد ازجمله رمز گوشی، اثر انگشت، پین سیمکارت و کد تایید اعتبار. پس اگر بخواهد کلاهبرداری صورت گیرد باید این چندین مرحله دور زده شود.»
طبق توضیح او، پیش از این در سرویسهای غیرحضوری و آنلاین صرفاً رمزی را که میدانستیم وارد میکردیم اما با این روش اگر فردی رمز عبور کاربری را برای ورود به سایتی بداند، علاوه بر آن باید به سیمکارت و موبایل او هم دسترسی داشته باشد تا بتواند وارد شود. حتی اگر سیمکارت روی گوشی دیگری باشد، نمیتوان از آن استفاده کرد. در بحث موبایلآیدی، اپ گوشی و سیمکارت با هم متصل شدهاند و نمیتوان سیمکارت را در موبایل دیگری استفاده کرد.
او با بیان اینکه برای احراز هویت از طریق این سرویس باید اعتبارسنجی فرد یکبار بهصورت حضوری انجام شود، توضیح داد: «پس از مراجعه فرد برای تایید حضوری، این یکپارچه بودن احراز هویت اتفاق میافتد و دیگر لازم نیست که برای هر ارگانی مدرکی ارائه شود. میتوان از طریق تلفن همراه نسبت به احراز هویت خود اقدام کرد.»
علیپناهلو اضافه کرد که در راهکارهای دولتی میتوان این مورد را اضافه کرد که سیمکارت همان سیمکارت ثبت شدهای باشد که در دست کاربران است. یعنی با ارائه مدارک شناسایی، خود، سیمکارت را تحویل میگیریم و متصل شدن هویت فرد به سیمکارت او صورت میگیرد.
او این کیف پول را با کیف پولی مانند «لجر» مقایسه کرد و گفت: «در اصل این محصول مانند کیف پول سختافزاری لجر عمل میکند، اما مزیت آن نسبت به لجر قیمت آن است که تقریباً یکسوم آن است. برای مثال قیمت یک کیف پول سختافزاری لجر ۱۰۰ یورو است ولی ما میتوانیم با ۴۰ یورو آن را به افرادی که رمزارز ترید میکنند، ارائه دهیم. اما در بحث امنیت تقریباً با لجر برابری میکند. قابل حمل بودن و قابلیت یکپارچهسازی با سیمکارت اپراتوری نیز از دیگر مزیتهای این محصول است و دیگر نیازی به یک ابزار سختافزاری ثانویه نیست.» به گفته عبدالمحمدی در ایران حدود ۵۰۰ هزار کاربر رمزارز وجود دارد.
راهکار میکرو HSM برای کاهش فیشینگ
از دیگر کاربردهای این محصول میتوان به استفاده از رمزهای یکبار مصرف اشاره کرد. جلالی این پیشنهاد را داد که میتوان اپلیکیشنی مرکزی برای بانکها فراهم کرد تا دیگر منتظر ارسال رمز یکبار مصرف از طریق پیامک نباشیم و بهوسیله این ابزار هر وقت بخواهیم رمز برای ما تولید شود، مانند توکنی که پیش از این بانکها برای دریافت رمز یکبار مصرف به مشتریان خود ارائه داده بودند.
به عقیده او، مزیت راهکار رادین در بحث دریافت رمز یکبار مصرف این است که وقتی سیمکارت برای کاربر صادر میشود، یک کلید خصوصی بهصورت سختافزاری تولید میشود که کسی به آن دسترسی ندارد. حالا هر بار که فردی بخواهد وارد اینترنت بانک خود شود، دیگر نیازی به وارد کردن رمز عبور ندارد، بلکه با وارد کردن پینکد سیمکارت و امضایی که از طریق کلید خصوصی صورت میگیرد، فرد وارد اینترنت بانک خود میشود.
کارشناسان این شرکت معتقد هستند که با این راهکار مشکل فیشینگ نیز حل میشود. به این دلیل که کلاهبردار دسترسی فیزیکی به کلید خصوصی ندارد. جلالی در این خصوص توضیح داد: «در بحث فیشینگ میتوانیم احراز هویت را دو طرفه کنیم. هم درگاه پرداخت از طریق کلید عمومی کاربر را احراز هویت میکند و هم سیمکارت میتواند ازطریق ذخیره کلیدهای عمومی درگاههای معتبر، درگاه مربوطه را احراز هویت کند؛ بنابراین اگر درگاهی جعلی باز شود، سیمکارت به آن درگاه جواب نمیدهد.»
پشتیبانی از پرداخت خرد فردبهفرد آفلاین مبتنی بر NFC
به عقیده کارشناسان امنیت این شرکت، میکرو HSM در حوزه پرداخت خرد فردبهفرد آفلاین مبتنی بر NFC نیز کاربرد دارد که در حال حاضر هیچ کسبوکاری این روش را پیادهسازی نکرده است. عبدالمحمدی توضیح داد که روند دنیا این است که ۳۰ درصد پرداخت موبایلی ازطریق NFC انجام میشود و این روش رو به رشد است. سیمکارت رادین پرداخت آفلاین NFC را پشتیبانی میکند. اکنون در بحث پرداخت وقتی تراکنش انجام میشود، پرداخت فردبهفرد آفلاین وجود ندارد و اپلیکیشنها بهصورت آنلاین که به سیستم مرکزی شاپرک متصل هستند، تراکنش را انجام میدهند.
او در ادامه با اشاره به اینکه در رابطه با کیف پول آفلاین هنوز مجوزی صادر نشده، گفت: «اگر بانک مرکزی مجوز پرداختبان را بدهد، ما جزو معدود شرکتهایی محسوب میشویم که راهکار NFC مبتنی بر سیمکارت را داریم، چراکه در پرداخت فردبهفرد بهصورت آفلاین باید از قابلیت NFC گوشی استفاده کرد و یک حافظه امن وجود داشته باشد. با توجه به اینکه ماژول NFC گوشیها به حافظه امن وصل هستند، سیمکارت ما این قابلیت را دارد تا با ماژول NFC گوشی ارتباط برقرار کند. البته علاوهبر سیمکارت، گوشی نیز باید دارای NFC باشد که اکنون ۶۰ درصد تلفنهای همراه دارای NFC هستند.»
علیپناهلو در این باره اضافه کرد: «در راهکار جدیدی که قرار است از طریق میکرو SD ارائه شود، آنتن NFC را در آن پیاده میکنیم تا دیگر نیازی نباشد گوشی هم NFC را حمایت کند.»
عبدالمحمدی در ادامه با توضیح اینکه سیمکارتهایی را که گروه حصین برای اپراتورها تهیه میکند، خود نیز آنها را تولید انبوه میکند، گفت: «ما با استفاده از همان ماژول امنیتی که حصین استفاده میکند، میتوانیم میکرو SD را هم تولید انبوه کنیم. در حال حاضر راهکار میکرو SD ما در این خصوص در مرحله تحقیق و توسعه است و اگر از این مرحله عبور کنیم به فاز تولید انبوه نیز وارد میشویم.»