میکرو HSM تازه‌ترین محصول رادین در حوزه امنیت

نگاهی به میکرو HSM یک کیف پول سخت‌افزاری در حوزه‌ رمزارزها، ماژول احراز هویت و سیستم پیام‌دهی فردبه‌فرد در گفت‌وگو با کارشناسان ارشد امنیت شرکت رادین

نویسنده: مینا حاجی در تاریخ 17 شهریور سال 1399 ساعت 16:54 1

نهادها و کسب‌وکارهای حوزه فناوری، بخش امنیت گروه حصین را چند سالی است با محصول HSM بومی آن (سربن) می‌شناسند. این ماژول امنیتی سخت‌افزاری، ابزاری برای انجام امور رمزنگاری و کنترل مبادلات محرمانه است که بانک‌ها، نهادها و کسب‌وکارها می‌توانند در راستای امنیت بیشتر سازمان خود آن را به‌کار گیرند. با انتقال راهکارهای امنیتی گروه حصین به شرکت رادین، این شرکت محصول دیگری از HSM طراحی کرده که شبیه یک کیف پول سخت‌افزاری است. این محصول را که کارشناسان رادین آن را یک میکرو HSM می‌دانند، در بستر سیمکارت ارائه میشود و می‌تواند در غالب یواِس‌بی یا میکرو SD نیز ارائه شود؛ که میتواند در حوزه‌های رمزارزها، احراز هویت و پیام‌دهی فردبه‌فرد کاربرد داشته باشد. با زینب علی‌پناه‌لو، رامین عبدالمحمدی و محمد جلالی کارشناسان ارشد امنیت شرکت رادین درباره این محصول و اینکه چه مزیت‌هایی را فراهم می‌کند، گفت‌وگو کردیم که در ادامه می‌خوانید. همچنین از این محصول دمویی نیز ارائه شد که در ویدیو زیر می‌توانید مشاهده کنید.

یک عنصر سخت‌افزاری قابل حمل

طبق صحبت‌های علی پناه‌لو، میکرو HSM یک عنصر امنیتی (Secure Element) است که می‌توان کلیدهای رمزنگاری را در آن نگه داشت و نکته مهم آن نیز قابل حمل بودن و از لحاظ امنیتی سخت‌افزاری بودن آن است؛ به این معنی که اولا فرآیند تولید کلید تصادفی به‌صورت کاملا سختافزاری انجام میشود و در مرحله بعد نگه‌داری و انجام هرگونه عملیات با کلید، در درون سختافزار به‌صورت امن اتفاق میافتد. کیف پول‌های نرم‌افزاری مانند کیف پول‌های بیت‌کوینی وجود دارند که کلیدهای خصوصی را صرفاً در یک فایل در فضای وب نگه می‌دارند؛ اما مزیت سرویس رادین این است که کلید به‌صورت سخت‌افزاری داخل حافظه امن تولید می‌شود و هیچ‌وقت هم از آن حافظه بیرون نمی‌آید. به‌طور کلی می‌توان گفت که این محصول ویژگی‌های HSM را دارد و علاوه بر این قابل حمل است. رادین قرار است در قدم اول این محصول را روی سیم‌کارت‌ها، دانگل‌ها یا میکرو SDها پیاده کند. در حال حاضر قابلیت پیاده‌سازی این محصول روی سیم‌کارت‌های مجهز به NFC و عادی انجام شده و مراحل بعدی نیز در حال آزمایش هستند.

او درباره ایده شکل‌گیری میکرو HSM توضیح داد: «ایده ساختن میکرو HSM از خود HSM رادین (سربن) آمده است. چون HSM یک راهکار سازمانی و دستگاه گرانی است و کاربردهای خودش را دارد، می‌خواستیم یک ماژول قابل‌حمل امن ایجاد کنیم که بیشتر کاربرد B2C داشته باشد و برای راهکارهای سازمانی نیز بتوان از آن استفاده کرد. ایده اولیه ما این بود که از یک میکروچیپ استفاده کنیم ولی بعد به ذهنمان رسید که چرا از سیم‌کارت به‌عنوان یک ماژول امن استفاده نکنیم. درنهایت برای اینکه بتوانیم به مزیت قابل حمل بودن این محصول برسیم، مراحلی را طی کردیم. اولین مرحله این بود که روی سیم‌کارت، این قابلیت را ایجاد کنیم. به این دلیل که حصین (شرکت مادر رادین) خود تولیدکننده سیم‌کارت است، بر آن شدیم تا از حافظه امن، برای نگهداری کلیدهای کیف پول‌ها استفاده کنیم. پس از انجام بررسی‌ها و برنامه‌نویسی داخل سیم‌کارت که به اصطلاح به آن اپلت می‌گویند، به این موضوع رسیدیم که می‌توان از سیم‌کارت به‌عنوان حافظه امن استفاده کرد. مزیت سیم‌کارت این است که می‌تواند داخل گوشی قرار بگیرد و کیف پول شما با گوشی شما یکی ‌شود و با وجود اینکه روی سیم‌کارت است ولی با گوشی شما هم مطابقت پیدا کند که حتی بدون حضور سیم‌کارت یا گوشی امکان انجام تراکنش نباشد که خود این موضوع، امنیت را چندین برابر می‌کند.»

راهکار دیگر رادین این است که بتواند کیف پول را به‌صورت دانگل و میکرو ‌SD ارائه دهد. او درباره مزیت میکرو SDها گفت: «در داخل میکرو SD می‌تواند حافظه امنی قرار بگیرد تا از آن به‌عنوان ذخیره کلیدهای امن استفاده شود. این کار مزیت‌های مختلفی دارد. هم می‌توان این مورد را در گوشی‌های آیفون با یک واسط استفاده کرد و هم گوشی‌های اندروید را پشتیبانی کرد.»

استفاده از کیف پول سخت‌افزاری رادین روی سیم‌کارت‌های اپراتوری

علی‌پناه‌لو درباره استفاده از کیف پول سخت‌افزاری رادین روی سیم‌کارت‌های اپراتوری نیز صحبت کرد: «ما در اصل به‌دنبال این بودیم که سیم‌کارتی وجود داشته باشد که بتوانیم با آن امضای دیجیتال انجام دهیم چراکه سیم‌کارت‌ها یک چیپ سخت‌افزاری داخل خود دارند که هر سیم‌کارتی یکسری الگوریتم‌های سخت‌افزاری را پشتیبانی می‌کند. الگوریتم‌هایی که ما به آنها نیاز داریم، الگوریتم‌های نامتقارن هستند که متوجه شدیم یکسری از سیم‌کارت‌های حصین این قابلیت را دارند و اولین آزمایشی که روی آنها انجام دادیم و با آن دمویی را آماده کردیم، امضای دیجیتال یا احراز هویت مبتنی بر Public Private Key یا احراز هویت بدون پسورد است. درواقع یک اپ اندرویدی است که می‌تواند به سیم‌کارت متصل شود و عملیات احراز هویت را انجام ‌دهد و وظیفه سیم‌کارت نیز نگهداری امن کلید خصوصی و همینطور تولید سخت‌افزاری کلید خصوصی است؛ یعنی یک ماژول امن رندومی دارد که کلید (عبارت رندوم) ایجاد می‌شود و از سیم‌کارت نیز به‌هیچ عنوان خارج نمی‌شود؛ در اصل کاربری یک HSM را دارد ولی قابل حمل است.»

طبق گفته‌های علی‌پناه‌لو، سیم‌کارت‌هایی که در حال حاضر به‌عنوان سیم‌کارت‌های اپراتوری استفاده می‌شوند، قابلیت این موضوع را ندارند. برای استفاده از کیف پول سخت‌افزاری رادین روی سیم‌کارت‌ها دو گزینه وجود دارد؛ یکی اینکه از این سیم‌کارت تنها به‌عنوان یک المان امن استفاده شود و هر کس که می‌خواهد از آن استفاده کند، این سیم‌کارت را خریداری کند و داخل گوشی خود قرار دهد. راه دوم این است که با اپراتورها سیم‌کارت خود را ادغام کنند که این پروسه طولانی دارد. با این حال با برخی اپراتورها مذاکراتی را در این خصوص داشته‌اند. «یعنی اپراتورها سیم‌کارتی ارائه دهند که قابلیت این الگوریتم را داشته باشد و کاربران حاضر باشند که سیم‌کارت‌های خود را تغییر دهند. در این صورت اپلیکیشن‌های ما می‌توانند با سیم‌کارت‌های اپراتوری یکی شوند؛ یعنی درواقع سیم‌کارت GSM کاربردهای احراز هویت، امضای دیجیتال و کیف پول سخت‌افزاری که کیف پول رمزارزی هست را با هم پشتیبانی کند که یک حالت ایده‌آل است.»

کاربردهای این ماژول امنیتی چیست؟

این ماژول امنیتی در دنیا بیشتر با عنوان Secure Element شناخته می‌شود اما کارشناسان امنیت رادین معتقدند که پلتفرم سیم‌کارت در واقع یک HSM کوچک است که مکانیزم‌های امنیت سخت‌افزاری را در دل خود جای داده است.

عبدالمحمدی با اشاره به اینکه آنها جزو معدود شرکت‌های دنیا هستند که راهکار حافظه امن مبتنی بر سیم‌کارت را دارند، از کاربردهایی که این فناوری دارد، گفت: «میکرو HSM می‌تواند در حوزه‌های رمزارزها، احراز هویت، وام‌دهی فردبه‌فرد و پیام‌دهی فردبه‌فرد کاربرد داشته باشد. در حوزه رمزارزها از حافظه امن می‌توانیم به‌عنوان یک کیف پول استفاده کنیم. در واقع کاربران می‌توانند کلیدهای خصوصی مرتبط با کوین‌های خود را به‌صورت امن در سیم‌کارت یا میکروSD نگه دارند و به‌عنوان یک کیف پول سخت‌افزاری استفاده کنند. ما در حال حاضر استانداردهای مربوط به تولید و نگه‌داری کلید در حوزه رمزارز که شامل BIP32، BIP44 و BIP39 است را در سیم‌کارت پیاده‌سازی کرده‌ایم.

کاربرد دیگر آن امضای دیجیتالی اسناد است که گستره وسیعی دارد. اسناد مختلف شامل سند دارایی، سند قضایی، مدارک شناسایی و اسناد مهم کسب‌وکاری با استفاده از کلید خصوصی سیم‌کارت به‌صورت دیجیتالی می‌تواند امضا شوند تا از جعل آنها جلوگیری شود. در واقع ما می‌توانیم از بستر بلاکچین و سیمک‌ارت استفاده کنیم تا به‌جای اسناد کاغذی، اسناد دیجیتالی صادر کنیم. با این روش اعتبارسنجی مدارک به‌راحتی می‌تواند انجام شود. موضوع دیگری که اکنون در بحث رمزارزها در دنیا مطرح است، بحث وام‌دهی فردبه‌فرد است که کاربران بر بستر بلاکچین می‌توانند به همدیگر کوین قرض دهند. در حال حاضر وام‌دهی فردبه‌فرد در دنیا در حوزه رمزارزها، حدود ۵۰۰ میلیارد دلار حجم بازار دارد. ما هم با برخی شرکت‌ها در رابطه با این موضوع صحبت کردیم تا بتوانیم راهکار وام‌دهی فرد‌به‌فرد را مبتنی بر حافظه امن سیم‌کارتی ایجاد کنیم تا کاربران کوین خود را در آن ارائه دهند.»

او ادامه داد: «حوزه دیگری که پتانسیل بالایی دارد بحث پیام‌دهی فردبه‌فرد است که از طریق آن ارسال پیام‌ها بر اساس کلید موجود در حافظه امن انجام می‌شود. به این ترتیب، پیامی که یک فرد ارسال می‌کند با استفاده از کلید عمومی فرد گیرنده رمزگذاری می‌شود و فرد گیرنده فقط با استفاده از سیم‌کارت خود می‌تواند پیام را باز کند. البته پیام‌رسان‌هایی که اکنون در این زمینه در دنیا استفاده می‌شوند، ویژگی رمزگذاری فردبه‌فرد را دارند، اما به‌صورت نرم‌افزاری هستند، درحالی‌که میکرو HSM یک حافظه امن سخت‌افزاری است که می‌تواند برای این موضوع استفاده شود. بحث رمزگذاری فردبه‌فرد با استفاده از حافظه امن سخت‌افزاری می‌تواند کاربرد زیادی داشته باشد. در واقع این حافظه یک نوع زیرساخت امنیتی است که می‌توان برای آن اپلیکیشن‌هایی که نیازمند این زیرساخت هستند را سوار کرد.»

میکرو‌ HSM می‌تواند فرایند احراز هویت را یکپارچه کند

این فناوری سخت‌افزاری علاوه ‌بر این کاربردها، می‌تواند در یکپارچه‌سازی احراز هویت کمک‌کننده باشد. جلالی در این باره توضیح داد: «در دنیای دیجیتال، تأمین امنیت اطلاعات هر فرد منوط به تصدیق هویت او است. تصدیق هویت انواع مختلف دارد. برای مثال شما برای برداشت وجه از یک عابربانک نیاز به داشتن کارت آن بانک که به شما اختصاص داده شده است، نیاز دارید. علاوه بر این نیاز دارید تا رمز کارت بانکی خود را هم بدانید. در این مثال هویت شما در «داشتن» کارت بانکی و «دانستن» رمز کارت خلاصه شده است. در مورد پیشنهاد ما، تصدیق هویت فرد از طریق داشتن یک سیم‌کارت داخل تلفن همراه و دانستن پین کد سیم انجام میشود.»

به‌ گفته او، برای تحقق دولت الکترونیک ما نیاز داریم که بسیاری از مدارک مانند کارت ملی، شناسنامه، کارت پایان خدمت، کارت بانکی، گواهینامه رانندگی و غیره را که همگی نماینده هویت یک فرد هستند، یکپارچه کنیم. همه این موارد می‌تواند به‌عنوان یک عنصر واحد، یکپارچه شوند و میکرو HSM میتواند راهکار خوبی برای انجام این کار باشد.

این کارشناس امنیت رادین با ذکر مثالی کاربرد یکپارچه‌سازی احراز هویت را اینگونه توضیح داد: «در حال حاضر کپی همه مدارک ما اعم از کارت ملی، شناسنامه و غیره در سازمانی موجود است و ما پس از مراجعه بعدی با کارت ملی و یک کد ملی احراز هویت می‌شویم. اما اگر فردی با یک گوشی هوشمند و با استفاده از یک پین‌کد بتواند خودش را معرفی کند، دیگر نیازی به مدرک دیگری ندارد و با ابزارهای ارتباطی دیگر مانند NFC یا بارکد اسکن، احراز هویت انجام می‌شود. این مورد از طریق عنصر امنیتی HSM امکان‌پذیر است.»

عبدالمحمدی در تکمیل گفته‌های جلالی به نمونه مشابه این محصول که در استونی راه‌اندازی شده، اشاره کرد و توضیح داد: «دولت استونی راهکاری به نام Mobile ID را به مردم ارائه می‌کند. بدین صورت که مدارک شناسایی احراز هویت یک فرد یک ‌بار در یک سازمان ذخیره می‌شود. این مدارک می‌تواند به سیم‌کارت یا آیدی مخصوص به فرد متصل ‌شود. پس از آن، فرد از طریق آیدی که در این سیم‌کارت تعریف شده، در سازمانی دیگر احراز هویت می‌شود.»

طراحی راهی دشوار برای کلاهبرداران

سؤال ما از عبدالمحمدی این بود که اگر سیم‌کارت گم یا به هر دلیلی جابه‌جا شود، چه اتفاقی می‌افتد. او در پاسخ گفت که در این مورد بحث مکانیزم بک‌آپ سیم‌کارت وجود دارد که از طریق یک HSM مرکزی پشتیبانی می‌شود. اگر بخواهیم با حالت قبل مقایسه کنیم، احراز هویت شما صرفاً با کارت ملی و شناسنامه صورت می‌گرفت که اگر این موارد از شما دزدیده می‌شد، امکان جعل وجود داشت. اما در این راهکار، چند سطح امنیتی مقابل جعل کردن وجود دارد ازجمله رمز گوشی، اثر انگشت، پین سیم‌کارت و کد تایید اعتبار. پس اگر بخواهد کلاهبرداری صورت گیرد باید این چندین مرحله دور زده شود.»

طبق توضیح او، پیش از این در سرویس‌های غیرحضوری و آنلاین صرفاً رمزی را که می‌دانستیم وارد می‌کردیم اما با این روش اگر فردی رمز عبور کاربری را برای ورود به سایتی بداند، علاوه بر آن باید به سیم‌کارت و موبایل او هم دسترسی داشته باشد تا بتواند وارد شود. حتی اگر سیم‌کارت روی گوشی دیگری باشد، نمی‌توان از آن استفاده کرد. در بحث موبایل‌آی‌دی، اپ گوشی و سیم‌کارت با هم متصل شده‌اند و نمی‌توان سیم‌کارت را در موبایل دیگری استفاده کرد.

او با بیان اینکه برای احراز هویت از طریق این سرویس باید اعتبارسنجی فرد یک‌بار به‌صورت حضوری انجام شود، توضیح داد: «پس از مراجعه فرد برای تایید حضوری، این یکپارچه بودن احراز هویت اتفاق می‌افتد و دیگر لازم نیست که برای هر ارگانی مدرکی ارائه شود. می‌توان از طریق تلفن همراه نسبت به احراز هویت خود اقدام کرد.»

علی‌پناه‌لو اضافه کرد که در راهکارهای دولتی می‌توان این مورد را اضافه کرد که سیم‌کارت همان سیم‌کارت ثبت شده‌ای باشد که در دست کاربران است. یعنی با ارائه مدارک شناسایی، خود، سیم‌کارت را تحویل می‌گیریم و متصل شدن هویت فرد به سیم‌کارت او صورت می‌گیرد.

او این کیف پول را با کیف پولی مانند «لجر» مقایسه کرد و گفت: «در اصل این محصول مانند کیف پول سخت‌افزاری لجر عمل می‌کند، اما مزیت آن نسبت به لجر قیمت آن است که تقریباً یک‌سوم آن است. برای مثال قیمت یک کیف پول سخت‌افزاری لجر ۱۰۰ یورو است ولی ما می‌توانیم با ۴۰ یورو آن را به افرادی که رمزارز ترید می‌کنند، ارائه دهیم. اما در بحث امنیت تقریباً با لجر برابری می‌کند. قابل حمل بودن و قابلیت یکپارچه‌سازی با سیم‌کارت اپراتوری نیز از دیگر مزیت‌های این محصول است و دیگر نیازی به یک ابزار سخت‌افزاری ثانویه نیست.» به گفته عبدالمحمدی در ایران حدود ۵۰۰ هزار کاربر رمزارز وجود دارد.

راهکار میکرو HSM برای کاهش فیشینگ

از دیگر کاربردهای این محصول می‌توان به استفاده از رمزهای یک‌بار مصرف اشاره کرد. جلالی این پیشنهاد را داد که می‌توان اپلیکیشنی مرکزی برای بانک‌ها فراهم کرد تا دیگر منتظر ارسال رمز یک‌بار مصرف از طریق پیامک نباشیم و به‌وسیله این ابزار هر وقت بخواهیم رمز برای ما تولید شود، مانند توکنی که پیش از این بانک‌ها برای دریافت رمز یک‌بار مصرف به مشتریان خود ارائه داده بودند.

به عقیده او، مزیت راهکار رادین در بحث دریافت رمز یک‌بار مصرف این است که وقتی سیم‌کارت برای کاربر صادر می‌شود، یک کلید خصوصی به‌صورت سخت‌افزاری تولید می‌شود که کسی به آن دسترسی ندارد. حالا هر بار که فردی بخواهد وارد اینترنت بانک خود شود، دیگر نیازی به وارد کردن رمز عبور ندارد، بلکه با وارد کردن پین‌کد سیم‌کارت و امضایی که از طریق کلید خصوصی صورت می‌گیرد، فرد وارد اینترنت بانک خود می‌شود.

کارشناسان این شرکت معتقد هستند که با این راهکار مشکل فیشینگ نیز حل می‌شود. به این دلیل که کلاهبردار دسترسی فیزیکی به کلید خصوصی ندارد. جلالی در این خصوص توضیح داد: «در بحث فیشینگ می‌توانیم احراز هویت را دو طرفه کنیم. هم درگاه پرداخت از طریق کلید عمومی کاربر را احراز هویت می‌کند و هم سیم‌کارت می‌تواند ازطریق ذخیره کلیدهای عمومی درگاه‌های معتبر، درگاه مربوطه را احراز هویت کند؛ بنابراین اگر درگاهی جعلی باز شود، سیم‌کارت به آن درگاه جواب نمی‌دهد.»

پشتیبانی از پرداخت خرد فردبه‌فرد آفلاین مبتنی بر NFC

به‌ عقیده کارشناسان امنیت این شرکت، میکرو HSM در حوزه پرداخت خرد فردبه‌فرد آفلاین مبتنی بر NFC نیز کاربرد دارد که در حال حاضر هیچ کسب‌وکاری این روش را پیاده‌سازی نکرده است. عبدالمحمدی توضیح داد که روند دنیا این است که ۳۰ درصد پرداخت موبایلی ازطریق NFC انجام می‌شود و این روش رو به رشد است. سیم‌کارت رادین پرداخت آفلاین NFC را پشتیبانی می‌کند. اکنون در بحث پرداخت وقتی تراکنش انجام می‌شود، پرداخت فردبه‌فرد آفلاین وجود ندارد و اپلیکیشن‌ها به‌صورت آنلاین که به سیستم مرکزی شاپرک متصل هستند، تراکنش را انجام می‌دهند.

او در ادامه با اشاره به اینکه در رابطه با کیف پول آفلاین هنوز مجوزی صادر نشده، گفت: «اگر بانک مرکزی مجوز پرداخت‌بان را بدهد، ما جزو معدود شرکت‌هایی محسوب می‌شویم که راهکار NFC مبتنی بر سیم‌کارت را داریم، چراکه در پرداخت فردبه‌فرد به‌صورت آفلاین باید از قابلیت NFC گوشی استفاده کرد و یک حافظه امن وجود داشته باشد. با توجه به اینکه ماژول NFC گوشی‌ها به حافظه امن وصل هستند، سیم‌کارت ما این قابلیت را دارد تا با ماژول NFC گوشی ارتباط برقرار کند. البته علاوه‌بر سیم‌کارت، گوشی نیز باید دارای NFC باشد که اکنون ۶۰ درصد تلفن‌های همراه دارای NFC هستند.»

علی‌پناه‌لو در این باره اضافه کرد: «در راهکار جدیدی که قرار است از طریق میکرو SD ارائه شود، آنتن NFC را در آن پیاده می‌کنیم تا دیگر نیازی نباشد گوشی هم NFC را حمایت کند.»

عبدالمحمدی در ادامه با توضیح اینکه سیم‌کارت‌هایی را که گروه حصین برای اپراتورها تهیه می‌کند، خود نیز آنها را تولید انبوه می‌کند، گفت: «ما با استفاده از همان ماژول امنیتی که حصین استفاده می‌کند، می‌توانیم میکرو SD را هم تولید انبوه کنیم. در حال حاضر راهکار میکرو SD ما در این خصوص در مرحله تحقیق و توسعه است و اگر از این مرحله عبور کنیم به فاز تولید انبوه نیز وارد می‌شویم.»