اطلاع‌رسانی

آشنایی با امضای دیجیتال

همه‌ی چیزهایی که درباره امضای دیجیتال باید بدانید.

امضای دیجیتال چیست و چطور می‌توانید یک امضای دیجیتال ایجاد کنید؟

امضای دیجیتال مثل “اثر انگشت” الکترونیک است. امضای دیجیتال در قالب یک پیام کدگذاری شده و به صورت کاملاً امن، فرد امضاکننده را به یک سند در یک تراکنش ثبت شده مرتبط می‌کند. امضای دیجیتال از یک قالب استاندارد و پذیرفته شده به نام زیرساخت کلید عمومی ‌(Public Key Infrastructure (PKI استفاده می‌کند تا بالاترین سطح امنیت و پذیرش عمومی ‌در سطح جهانی را داشته باشد و در واقع یک پیاده‌سازی خاص از یک تکنولوژی امضا، امضای الکترونیک (eSignature) است.

تفاوت بین امضای دیجیتال و امضای الکترونیک چیست؟

امضای الکترونیک (eSignature) طیف‌های گسترده و انواع مختلفی دارد که یکی از آن‌ها امضای دیجیتال است که یک نوع پیاده‌سازی خاص از امضای الکترونیک با تکنولوژی خاصی است. امضای دیجیتال و سایر راهکارهای امضای الکترونیک، امکان امضا کردن اسناد و بررسی و تصدیق هویت امضاکننده را فراهم می‌کنند. اما بین اهداف، پیاده‌سازی‌های فنی، استفاده‌های جغرافیایی و پذیرش فرهنگی و قانونی امضاهای دیجیتال در مقایسه با سایر انواع امضاهای الکترونیک تفاوت‌هایی وجود دارد.

بویژه تفاوت‌های زیادی در استفاده از تکنولوژی امضای دیجیتال برای امضای الکترونیک بین کشورهای مختلفی که از قوانین امضای الکترونیکِ مستقل از تکنولوژی پیروی می‌کنند وجود دارد که این کشورها شامل امریکا، انگلیس، کانادا، استرالیا و همچنین سایر کشورهایی هستند که مدل‌های امضای الکترونیک چند ردیفی (سلسله مراتبی) را قبول دارند و استفاده از استانداردهای داخلی را برای تکنولوژی امضای دیجیتال ترجیح می‌دهند، مثل خیلی از کشورهای اتحادیه اروپا، امریکای جنوبی و آسیا. بعلاوه بعضی از صنایع هم از استانداردهای خاصی پشتیبانی می‌کنند که مبتنی بر تکنولوژی امضای دیجیتال هستند.

امضای دیجیتال چطور کار می‌کند؟

امضای دیجیتال مثل امضای معمولی برای هر فردی منحصر است. شرکت‌های ارائه‌دهنده راهکارهای امضای دیجیتال مثل DocuSign از پروتکل خاصی به نام PKI پیروی می‌کنند. در PKI لازم است که ارائه‌دهنده از یک الگوریتم ریاضی خاص جهت تولید دو عدد طولانی به نام کلید استفاده کند. یک کلید عمومی‌ و دیگری کلید خصوصی است.

وقتی امضاکننده سندی را به صورت الکترونیک امضا می‌کند، این امضا با استفاده از کلید خصوصی امضاکننده ایجاد می‌شود. فرد امضاکننده همیشه این کلید خصوصی را به صورت امن نزد خودش نگه می‌دارد. این الگوریتم ریاضی مثل یک رمزنگار عمل می‌کند و سند امضا شده را به فرم رمزگذاری شده که به آن هش (hash) گفته می‌شود در می‌آورد. داده رمزنگاری شده‌ حاصل، همان امضای دیجیتال است. زمان امضای سند هم به امضا اضافه می‌شود. در صورتی که سند، بعد از امضا تغییر پیدا کند، اعتبار امضای دیجیتال از بین می‌رود.

مثلاً فرض کنیم کاربری به اسم احسان یک توافقنامه برای فروش یک اشتراک زمانی (timeshare) را با استفاده از کلید خصوصی خودش امضا می‌کند. خریدار سند را دریافت می‌کند. خریداری که این سند را دریافت کرده یک کپی از کلید عمومی ‌احسان را هم دریافت می‌کند. اگر این کلید عمومی ‌نتواند امضا را رمزگشایی کند (از طریق رمزی که کلیدها از روی آن ساخته شده) یعنی یا این امضا، امضای احسان نیست یا امضای او به هر نحوی تغییر کرده است. به این ترتیب امضا نامعتبر تلقی می‌شود.

برای تضمین صحت و درستی امضا، در پروتکل PKI این الزام ایجاد شده که کلیدها به روشی امن ایجاد، منتقل و ذخیره سازی شوند و اغلب اوقات برای این کار نیاز به خدمات یک مرجع صدور گواهینامه دیجیتال (Certificate Authority (CA است. ‌بعضی از ارائه دهندگان سرویس امضای دیجیتال مثل DocuSign، با الزامات PKI برای امضای دیجیتال امن، همخوانی دارند.

امضای دیجیتال چگونه کار می‌کند.

پرسش‌های متداول درباره امضای دیجیتال

چطور می‌توان یک امضای دیجیتال ایجاد کرد؟

شرکت‌های ارائه‌دهنده امضای الکترونیک که راهکارهایی را بر اساس تکنولوژی امضای دیجیتال ارائه می‌دهند، امضا کردن اسناد به صورت دیجیتال را ساده کرده‌اند. این شرکت‌ها اینترفیس‌هایی برای ارسال و امضای اسناد در فضای آنلاین و کار با مراجع معتبر صدور گواهینامه دیجیتال که گواهینامه‌های دیجیتال معتبری ارائه می‌دهند، فراهم کرده‌اند.

هر مرجع صدور گواهینامه دیجیتال کاربران را ملزم به ارائه اطلاعات خاصی می‌کند. همچنین ممکن است محدودیت‌ها و قوانین خاصی برای افرادی که اسناد را جهت امضا برایشان ارسال می‌کنید و ترتیب ارسال اسناد وجود داشته باشد. وقتی سندی را از طریق ایمیل برای امضا دریافت می‌کنید، باید هویت شما طبق الزامات مرجع صدور گواهینامه دیجیتال تایید شده و سپس آن سند را با پر کردن یک فرم آنلاین، امضا کنید.

زیرساخت کلید عمومی ‌(PKI) چیست؟

زیرساخت کلید عمومی ‌(PKI) مجموعه‌ای از الزامات و مقررات است که امکان ایجاد امضای دیجیتال را فراهم می‌کند (البته این مورد فقط یکی از کاربردهای آن است). هر تراکنش مربوط به امضای دیجیتال در PKI دارای یک جفت کلید است: کلید خصوصی و کلید عمومی.

کلید خصوصی همان‌طور که از نامش پیداست به اشتراک گذاشته نمی‌شود و فقط توسط امضاکننده برای امضای اسناد به صورت الکترونیک بکار می‌رود. کلید عمومی ‌در دسترس همه قرار دارد و هر کسی که نیاز به اعتبار سنجی امضای الکترونیکِ فرد امضاکننده داشته باشد، از آن استفاده می‌کند.

PKI یکسری الزامات دیگر هم دارد از جمله مرجع صدور گواهینامه دیجیتال، یک گواهینامه دیجیتال، نرم‌افزار ثبت‌نام کاربران نهایی و ابزارهایی برای مدیریت، نوسازی و فسخ کلیدها و گواهینامه‌ها.

گواهینامه دیجیتال چیست؟

گواهینامه دیجیتال یک سند دیجیتال است که توسط یک مرجع صدور گواهینامه دیجیتال صادر می‌شود و حاوی یک کلید عمومی‌ برای امضای دیجیتال است و هویت صاحب آن کلید را مشخص می‌کند مثل نام سازمان مربوطه.

از این گواهینامه برای تایید این که آیا کلید عمومی ‌به آن سازمان خاص تعلق دارد یا خیر استفاده می‌شود. مرجع صدور گواهینامه دیجیتال مثل یک ژنراتور یا مولد عمل می‌کند. امضای دیجیتال باید توسط یک مرجع دارای صلاحیت صادر شود و فقط برای یک مدت زمان خاص اعتبار دارد. وجود این گواهینامه برای ایجاد امضای دیجیتال، ضروری است.

مرجع صدور گواهینامه دیجیتال (CA) چیست؟

امضای دیجیتال به کلیدهای عمومی ‌و خصوصی نیاز دارد. باید از این کلیدها به‌خوبی محافظت شود تا امنیت آن‌ها تضمین شده و از جعل یا سوءاستفاده از آن‌ها پیشگیری شود. وقتی یک سند را ارسال یا امضا می‌کنید باید اطمینان داشته باشید که این سندها و امضاها به صورت امن ایجاد می‌شوند و از کلیدهای معتبری برای این کار استفاده می‌شود.

مراجع صدور گواهینامه دیجیتال یا به اختصار CA یک نوع ارائه‌دهنده سرویس‌های خدمات اعتبار (Trust Service Provider) هستند و سازمان‌های شخص ثالثی هستند که عده زیادی آن‌ها را برای تضمین امنیت کلیدها قبول دارند و می‌توانند گواهینامه‌های دیجیتال مورد نیاز را عرضه کنند. برای استفاده از یک CA‌‌ خاص هم طرف ارسال کننده سند و هم گیرنده‌ای که آن را امضا می‌کند باید در این زمینه به توافق برسند.

چرا باید از امضای دیجیتال استفاده کنیم؟

خیلی از صنایع و مناطق جغرافیایی استانداردهای خاصی برای امضای الکترونیک دارند که مبتنی بر تکنولوژی امضای دیجیتال و CA‌های تصدیق شده خاصی برای اسناد کاری هستند. پیروی کردن از این استانداردها و کار با یک مرکز صدور مجوز معتبر می‌تواند قابلیت اجرا و پذیرش یک راهکار امضای الکترونیک را در هر بازار محلی تضمین کند.

با استفاده از روش PKI، در امضاهای دیجیتال از یک تکنولوژی استاندارد بین‌المللی و پذیرفته شده استفاده می‌شود که از جعل و کلاهبرداری یا تغییر اسناد بعد از امضا پیشگیری می‌کند.

 

آیا امضاهای الکترونیکی که مبتنی بر فناوری امضای دیجیتال هستند، از نظر قانونی ضمانت اجرایی دارند؟

بله. اتحادیه اروپا در سال 1999 بخشنامه مربوط به امضاهای دیجیتال را تصویب و ایالات‌متحده در سال 2000 قانون امضاهای الکترونیک در تجارت جهانی و ملی (ESIGN) را تصویب کرد. هر دو قانون قراردادها و اسنادی را که به صورت الکترونیک امضا می‌شوند مثل قراردادهای کاغذی از نظر قانونی، معتبر و الزام‌آور کردند. از آن زمان بارها از قانونی بودن امضاهای الکترونیک حمایت شده است.

تا به امروز بیشتر کشورها مقررات و قوانینی که توسط اتحادیه اروپا و ایالات‌متحده ایجادشده‌اند را تصویب و بکار بسته‌اند و در خیلی از کشورهای اتحادیه اروپا مدل امضاهای الکترونیک مبتنی بر تکنولوژی امضای دیجیتال که تحت مدیریت محلی قرار دارند، اتخاذ شده است.

بعلاوه خیلی از کشورها الزامات مربوط به این مقررات را بهبود داده‌اند و مقرراتی تحت نظارت صنایع خودشان تصویب کرده‌اند (مثل ماده 11 قانون CFR FDA 21 در صنعت علوم زیستی) که با استفاده از تکنولوژی امضای دیجیتال به این امر نائل شده‌اند. این قوانین و مقررات که خاص کشور و صنعت مربوطه هستند، مدام در حال رشد و تکامل هستند که یکی از نمونه‌های بارز آن مقررات سرویس‌های اعتماد و شناسایی الکترونیک (eIDAS) است که اخیراً در اتحادیه اروپا مورد تصویب قرار گرفته است.

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *