چكيده:
در مباحث مربوط به خدمات الكترونيكي از جمله دولت الكترونيك به جرأت ميتوان گفت بدون وجود زيرساختهاي لازم امنيتي در فضاي ديجيتال امكان ارائه چنين خدماتي وجود ندارد. چراكه بدون حضور فنآوريهاي لازم جهت اعتبار بخشيدن به اسناد الكترونيكي و قانونمند نمودن تراكنشها و فعاليتهاي اينترنتي، نميتوان به فضاي ديجيتالي اعتماد كرد و مسلماً افراد جامعه مايل به استفاده از آن نخواهند بود.
بقيه در ادامه
در اين زمينه فنآوريهاي خاصي مانند امضاي ديجيتال، گواهينامه ديجيتالي، مركز صدور گواهينامه ديجيتال و امثالهم ايجاد شده است.
اين فنآوريها نيازمنديهاي فني لازم براي قابل اعتماد نمودن فضاي ديجيتال را فراهم ميآورند، اما در كنار اين امكانات فني نياز به قانونگذاري مناسب براي فضاي ديجيتال احساس ميشود. بايد روالهاي قانوني براي طرح دعوي، روال پيگيري فعاليتهاي اينترنتي و امكاناتي مانند استناد و جلوگيري از جعل و غيرقابل انكار كردن فعاليتهاي اينترنتي تدوين شود.
در اين مقاله در مورد مفاهيم ذكر شده صحبت خواهد شد و در ادامه به لزوم تدوين قانون مناسب و بررسي قوانين مشابه ساير كشورها پرداخته ميشود. در نهايت نيز مهمترين قانون امضاي ديجيتال داخل كشور يعني قانون تجارت الكترونيك مورد بررسي قرار ميگيرد.
كلمات كليدي: دولت الكترونيك، امضاي ديجيتال، گواهينامه ديجيتالي، قانون تجارت الكترونيك
1. مقدمه
امنيت سيستمهاي كامپيوتري، مسئلهاي است كه با ورود كامپيوتر به حوزههاي مختلف زندگي مانند نگهداري اطلاعات شخصي بصورت ديجيتال، دولت الكترونيكي و تجارت الكترونيكي اهميت شاياني يافته است. امنيت يكي از زيرساختهاي مهم فنآوري اطلاعات است، بگونهاي كه بدون آن، ساير خدمات و سيستمهاي ديگر اطلاعاتي قابل پيادهسازي نيستند. بطور مثال دولت الكترونيكي بدون توجه به زيرساختهاي امنيتي لازم مانند شناسايي افراد جامعه بصورت منحصر به فرد، صدور اسناد الكترونيكي غيرقابل انكار و جعل، شبكه انتقال امن اطلاعات، مراكز صدور گواهينامه ديجيتالي و مانند آن، قابل اجرا نيست. اين درحاليست كه مباحثي مانند دولت الكترونيكي از نيازهاي امروزه جامعه بوده و حركت به سوي آن اجتناب ناپذير است. توسط دولت الكترونيكي ميتوان خدمات دولتي را به سهولت، در اسرع وقت و با صرفه جويي در هزينه و زمان شهروندان، در اختيار عموم قرار داد. بدين وسيله گامي در جهت عدالت اجتماعي در زمينه دسترسي به خدمات دولتي برداشته ميشود.
در اين زمينه نياز به ايجاد زيرساختهاي لازم و استفاده از مفاهيمي مانند امضاي ديجيتال است. توسط امضاي ديجيتالي، اعتبار خاصي به اسناد الكترونيكي بخشيده ميشود. امضاي ديجيتال در واقع فراهم كننده خصوصيات امضاي دستي در فضاي مجازي است. براي همگاني نمودن دولت الكترونيكي و امضاي ديجيتالي نياز به ابزارهاي ديگري مانند گواهينامه ديجيتالي و مراكز صدور اين گواهينامههاست.
در اين مقاله به مفاهيم ذكر شده بصورت گذرا اشاره ميشود. در ادامه زيرساختهاي لازم فني و فرهنگي براي استفاده از امضاي ديجيتالي بررسي ميشود. سپس در مورد يكي از نيازمنديهاي ضروري دولت الكترونيكي و امضاي ديجيتالي، يعني قانون لازم جهت اجراي آن صحبت خواهد شد. بدون وجود قانون لازم، اسناد الكترونيكي، معاملات و خدمات اينترنتي فاقد اعتبار قانوني بوده و قابليت استناد و طرح دعوي هستند.
در اين زمينه بايد قانون لازم تدوين شده و قضات و وكلا با مفاهيم امضاي ديجيتال، امكانات، محدوديتها و چالشهاي آن آشنا شوند. در نهايت به قانون موجود امضاي ديجيتال در داخل كشور اشاره خواهد شد.
2. دولت الكترونيك
دولت الكترونيكي عبارتست از استفاده دولت از فناوري اطلاعات و امكانات آن جهت ارائه خدمات دولتي به شهروندان و افراد جامعه. از اين طريق دولت ميتواند از نزديك با شهروندان خود در رابطه باشد، اطلاعات لازم را جمعآوري كرده و خدمات مورد نياز آنها هرچه سريعتر و با دقت بيشتر در اختيارشان قرار دهد. توسط امكانات دولت الكترونيك، خدمات دولتي بصورت عادلانه و مساوي بدون در نظر گرفتن فاصله جغرافيايي در اختيار عموم قرار ميگيرد. بدينوسيله سهولت استفاده از اين خدمات بيشتر شده و صرفه جويي قابل توجهي از نظر هزينه و زمان انجام ميشود. مسئله ديگر ارائه اين خدمات بصورت شبانه روزي و تمام وقت ميباشد كه بدين ترتيب ميتوان برنامه ريزي صحيح كرده و نياز به حضور در ساعات خاصي در ادارهها و سازمانهاي دولتي كاهش مييابد. خدمات دولت الكترونيكي معمولا از طريق شبكههاي عمومي مانند اينترنت در اختيار عموم قرار ميگيرد. دولت الكترونيك داراي حيطه وسيعي است و معمولا به چهارمدل تقسيم ميشود. به عبارت ديگر دولت به چهار شكل زير خدمات خود را ارائه ميكند.
2. 1. دولت به شهروند (G2C)
در اين مدل، خدمات دولتي بصورت الكترونيكي در اختيار شهرونداني قرار ميگيرد كه براي فعاليتهاي پيش پا افتاده مجبور به مراجعه به ادارات دولتي هستند. خدماتي مانند پر كردن فرمهاي اطلاعاتي، تهيه درخواست براي خدمتي خاص، مشاهده نتيجه نامه يا درخواست و پيگيري آن و خدماتي از اين قبيل. همچنين خدماتي مانند رايگيري الكترونيكي در اين مدل داراي اهميت خاصي است.
2. 2. دولت به بنگاه اقتصادي (G2B)
در اين مدل، شركتها و موسسات خصوصي كه مشغول فعاليت در جامعه هستند، براي مراوده با دولت و دريافت خدمات دولتي، از فناوري اطلاعات و دولت الكترونيك استفاده ميكنند. فعاليتهايي مانند ثبت شركت، دريافت مجوزهاي صادراتي يا وارداتي، بيمه، گمرك، ارتباط با وزارتخانهها و از اين قبيل. بدينوسيله اطلاعات لازم و راهكارهاي موجود دولت بصورت عادلانه و با پرهيز از سوء استفادههاي احتمالي، به صورت شفاف و مستقيم در اختيار همگان قرار ميگيرد.
2. 3. دولت به كاركنانش (G2E)
يكي از چالشهاي دولت، برقراري ارتباط بيواسطه با كاركنانش و مديريت صحيح آنها جهت افزايش بهرهوري و در عين حال ارائه خدمات مختلف به آنهاست. در اين مدل، از امكانات دولت الكترونيكي براي مديريت كاركنان دولت، ارائه خدمات مالي و تسهيلات، دريافت نقطه نظرات، انتقادات و پيشنهادات و بصورت كلي ارتباط صحيح استفاده ميشود.
2. 4. دولت به دولت ديگر (G2G)
در شرايطي كه كشورها به درستي به سمت دولت الكترونيكي حركت كنند و مدلهاي پيشين آنرا به شكل صحيح و جامع پياده كنند، مدل ديگري از دولت الكترونيكي كه در برقراري ارتباط بين دولتها نقش دارد، داراي اهميت ويژه ميشود. سازمانهاي مختلف جهاني كه بين چند كشور، يك اتحاديه يا گروه همكاري ايجاد ميكنند، ميتوانند توسط دولت الكترونيكي قابليت مديريت بهتري داشته باشند و ارتباطات نزديكتري ايجاد كنند. بطور مثال پروژهاي با اين مفهوم در اتحاديه اروپا در حال پيگيري است كه خدمات اتحاديه اروپا را براي كل مردم اروپا بصورت الكترونيكي ارائه كند.
3. سرويسهاي امنيتي لازم
براي راهاندازي دولت الكترونيكي، در ابتدا نياز به بررسي زيرساختهاي امنيتي لازم است. چراكه بدون تضمين امنيت در فضاي تبادل اطلاعات، خدمات دولت الكترونيكي قابل اعتماد نبوده و بدون در نظر گرفتن مواردي مانند حفظ محرمانگي يا صحت اطلاعات ردوبدل شده در شبكه، هيچ سرويس ديگري قابل ارائه نيست. در اين ميان نياز مبرم به سرويسهاي امنيتي احساس ميشود. منظور از سرويسهاي امنيتي، خدمات اوليهاي هستند كه در امنيت سيستمهاي كامپيوتري مطرح بوده و يك يا چند سرويس از آنها امنيت سيستم را با توجه به نوع كاربرد تضمين ميكند. در ادامه چهار سرويس امنيتي پايه ذكر ميشوند.
3. 1. محرمانگي
در واقع همان محرمانه نگه داشتن داده است، به اين معني كه كاربر نامعتبر يا هر موجوديت غيرمجاز ديگري نتواند از محتواي داده اطلاع پيدا كند. به طور مثال نگهداري اسناد الكترونيكي ادارات و سازمانهاي دولتي و خصوصي و همين طور اطلاعات خصوصي افراد جامعه، از كاربردهاي اين سرويس رمزنگاري است.
3. 2. يكپارچگي
در اين سرويس هدف، اطمينان از عدم تغيير دادههاست، به عبارت ديگر پس از بازخواني دادههايي كه از قبل ذخيره شده و يا از طريق شبكه يا هر وسيله ديگري منتقل شدهاند، مطمئن باشيم كه دادهها دچار تغيير غيرمجاز نشدهاند. در اين بين ممكن است دادههاي ارسالي تغيير كنند، اما بايد مكانيزم تعريف شده براي حفظ جامعيت و يكپارچگي بتواند اين تغيير را تشخيص داده و نشان دهد كه داده دچار تغيير شده است.
بايد توجه شود كه اين به معني توانايي بازسازي تغييرات نيست. از مثالهاي كاربردي اين سرويس ميتوان به چك يا حوالههاي مالي ديگر اشاره كرد. در اين موارد ديده ميشود كه محتواي چك قابل خواندن براي عموم است، اما با مكانيزم هاي امنيتي در نظر گرفته شده، نميتوان محتواي آن مانند تاريخ و مبلغ را تغيير داد.
3. 3. تشخيص هويت
منظور از تشخيص هويت اين است كه بتوان يك كاربر يا هر موجوديت ديگري مانند نرمافزار يا سختافزار را در فضاي مجازي شناسايي كرد. از اين سرويس در بسياري كاربردهاي امنيتي استفاده ميشود تا بتوانند كاربر مربوطه يا سرويس مجاز و يا ماشين مورد نظر را بصورت منحصر به فرد شناسايي كنند. در دنياي واقعي براي اين مورد ميتوان به كارت شناسايي اشاره نمود. در جامعه هر فرد توسط يك شناسنامه بصورت منحصر به فرد شناخته ميشود و يا براي هر خودرو يك كارت منحصر به فرد صادر ميشود.
3. 4. عدم انكار
سرويس امنيتي ديگري كه رمزنگاري ارائه ميدهد عدم انكار است. به اين معني كه اگر كاربر يا موجوديت ديگر عملي را در فضاي مجازي انجام داد، بتوان آن عمل را پيگيري كرد و ارزش قضايي داشته باشد.
به عبارت ديگر كاربر مربوطه نتواند عملي را كه انجام داده است انكار كند و بتوان ثابت كرد كه آن عمل خاص دقيقا توسط چه كسي انجام شده است. در دنياي واقعي اين سرويس گاهي به وسيله امضاي فرد يا اثر انگشت او تأمين ميشود. زيرا در صورتي كه اثر انگشت فردي در سندي ثبت شود، ارزش قضايي دارد و نميتواند بعداً عمل انجام شده خود را انكار كند.
4. امضاي ديجيتال
امضاي ديجيتال نوعي رمزنگاري نامتقارن است كه خصوصيات امضاي دستي را در فضاي الكترونيكي فراهم ميكند. هر موجوديت منحصر به فرد در فضاي مجازي داراي امضاي ديجيتالي خاص خود است و تنها اين موجوديت يا فرد قادر به توليد اين امضاست. در نتيجه ميتوان مستندات،
پيغامها و دادههاي الكترونيكي را توسط امضاي ديجيتال تأييد كرده و سنديت بخشيد، به شكلي كه مطمئن بود كه توليدكننده امضا چه كسي است و متن پيغام امضا شده، پس از امضا تغيير نكرده است. بدين وسيله متن سند يا پيغام امضا شده قابل استناد و پيگيري بوده و غير قابل انكار است.
امضاي ديجيتال براي هر مستند يا پيغام بوسيله كليد خصوصي فرد توليد ميشود و در واقع يك عدد با طول بلند است. كليد خصوصي فرد به صورت امن در وسيلهاي مانند كارت هوشمند نگهداري ميشود. بدين ترتيب جعل امضاي ديجيتالي بسيار مشكلتر از امضاي دستي است.
توسط امضاي ديجيتالي سنديت خاصي به اسناد الكترونيكي داده ميشود. بدين ترتيب ميتوان بصورت قابل اعتماد و مطمئن ارسال كننده پيغام يا تاييدكننده سند را شناسايي كرد. در نتيجه اسناد الكترونيكي قابل پيگيري بوده و به كمك آن فعاليت افراد در فضاي مجازي جنبه حقوقي پيدا ميكند و قوانين حقوقي اسناد كاغذي در مورد اسناد الكترونيكي قابل اجرا ميشود.
از طرف ديگر با توجه به عدم امكان جعل امضاي ديجيتال، اسناد يا پيامهاي امضاشده قابل انكار از طرف امضا كننده نيست. بدين وسيله مراجع قضايي ميتوانند از اين خصوصيت جهت استناد قانوني به سند الكترونيكي استفاده كنند.
اما امضاي ديجيتال داراي خصوصيت ديگري نيز هست كه امضاي دستي فاقد آن است. بوسيله امضاي ديجيتال ميتوان مطمئن بود كه محتواي سند يا پيام بعد از امضا تغيير نكرده و افراد غيرمجاز سند الكترونيكي مربوطه را مخدوش نكردهاند. اين بدان دليل است كه امضاي ديجيتالي به ازاي هر سند يا پيام وابسته به متن پيام توليد ميشود و امضاي توليد شده براي هر سند، منحصر به فرد ميباشد.
بدين ترتيب با در اختيار داشتن متن سند يا پيام در كنار امضاي ديجيتالي آن، ميتوان با اعتبارسنجي امضاي ديجيتال، در عين حال از عدم تغيير محتواي آن نيز مطمئن شد. درنتيجه به كمك امضاي ديجيتال در كنار قابليت شناسايي امضاكننده، امنيت خاصي نيز به اسناد الكترونيكي اضافه ميشود كه به آن حفظ يكپارچگي سند ميگويند. به اين معني كه سند، قابل رويت و خواندن ميباشد اما نميتوان آن را تغيير داده يا به عبارتي مخدوش كرد.
5. اجزاي امضاي ديجيتال
در ادامه به اجزاي امضاي ديجيتال يا به عبارتي مفاهيم رياضياتي استفاده شده در آن ميپردازيم. توضيح بيشتر قضاياي رياضياتي مربوطه در اين فناوري خارج از حوزه اين مستند است و بايد به مراجع موجود در مباحث رياضيات گسسته و رمزنگاري مراجعه كرد.
5. 1. توابع درهمسازي
توابع هش يا درهمسازي، توابعي هستند كه از نظر رياضياتي يك طرفه هستند. به اين معني كه نميتوان از روي خروجي تابع مذكور مقدار ورودي را بدست آورد. از اين توابع در رمزنگاري براي توليد نوعي اثرانگست استفاده ميشود. به عبارت ديگر هنگامي كه دادهاي به عنوان ورودي به اين تابع داده ميشود، چكيدهاي از آن مجموعه داده توليد ميشود كه منحصر به فرد است و قابل بازگشت نيز است. امر مهم در اين تابع اين ست كه با تغيير حتي يك بيت از داده ورودي بايد كل مقدار خروجي تابع هش تغيير كند، زيرا در غير اينصورت مقدار ورودي با بازهاي مشخص بدست خواهد آمد.
البته در عمل نميتوان تمام خواستههاي مطرح شده در تعريف را به صورت كامل تامين نمود و به همين دليل است كه از تقريبها استفاده ميشود. بطور مثال تابعي براي هش طراحي ميشود كه به ازاي يك مقدار ورودي، يك مقدار خروجي منحصر به فرد ايجاد نميكند اما تعداد تصادمها و تكرارها بسيار پايين بوده و براي بدست آوردن دو مقدار ورودي با خروجي يكسان ميزان زمان زيادي لازم است كه عمل مربوطه را غير قابل انجام ميكند. در اين زمينه توابعي مانند MD5،SHA1، SHA256 و الگوريتمهاي ديگر مطرح هستند.
5. 2. رمزنگاري كليد نامتقارن
از روش رمزنگاري نامتقارن امروزه استفاده زيادي ميشود. مشخصه بارز اين روش اين است كه كليد رمزگذاري و رمزگشايي متفاوت هستند. بنابراين كافي است كه تنها يك طرف ارتباط كليد را مخفي نگه دارد و براي انتقال نياز به كانال امن نيست. اين روش در شكل زير نشان داده شده است. از الگوريتمهاي اين روش ميتوان به RSA و ECC اشاره كرد.
5. 3. روال اجرايي امضاي ديجيتال
روال اجرايي امضاي ديجيتال در شكل 2 مشاهده ميشود. در اين روال متن پيام كه ميتواند هر طولي داشته باشد، به عنوان ورودي به يك تابع درهم سازي مانند SHA1 داده ميشود. اين تابع يك مقدار منحصر به فرد و با طول ثابت (به طور مثال براي SHA1 به طول 20 كاراكتر) توليد ميكند كه به اين مقدار، اثر انگشت نيز گفته ميشود. همانطور كه گفته شد تابع درهمسازي يك طرفه است و نميتوان از مقدار توليد شده، متن پيام اصلي يا بخشي از آنرا استخراج كرد.
سپس مقدار توليد شده به وسيله يك الگوريتم Padding خاص مانند آنچه در استاندارد PKCS#1 آمده است دستكاري شده و به ابتدا و انتهاي آن كاركترهايي اضافه ميشود. از جمله اينكه يك مقدار تصادفي به آن اضافه شده و طولش به اندازه استاندارد (بطور مثال 128 بايت براي الگوريتم RSA با طول پيمانه 1024 بيت) رسانده ميشود. سپس اين مقدار بوسيله الگوريتم رمزنگاري نامتقارن مانند RSA توسط كليد خصوصي فرد، رمزگذاري ميشود. مقدار بدست آمده برابر طول استاندارد (128 بايت براي RSA با طول 1024 بيت) است، اين مقدار همان امضاي ديجيتال است.
سپس مقدار امضاي ديجيتالي به همراه متن اصلي پيام ارسال ميشود. در طرف گيرنده با همان الگوريتم درهمسازي، مقدار اثر انگشت از روي پيام اصلي استخراج ميشود. سپس مقدار امضاي ديجيتال نيز توسط كليد عمومي فرستنده پيام، كه در اختيار گيرنده است، رمزگذاري مجدد ميشود. رابطه كليد عمومي و كليد خصوصي به گونهاي است كه اگر پيامي را توسط كليد خصوصي رمزگذاري كنيم، ميتوان آن را توسط كليد عمومي رمزگشايي كرده و به مقدار اوليه پيام رسيد.
بنابراين با رمزگشايي مقدار امضاي ديجيتال توسط كليد عمومي در گيرنده، مقدار اوليه درهمسازي شده يا همان اثر انگشت پيش از رمزگذاري، دوباره بدست ميآيد. حال با مقايسه مقدار بدست آمده از امضا و مقدار بدست آمده از پيام اصلي، ميتوان به صحت و اعتبار امضا پي برد. اگر اين دو مقدار برابر بودند، امضاي ديجيتالي صحيح و در غير اين صورت نامعتبر است.
به عبارتي اگر فرستنده، فرد مورد نظر كه كليد عمومي خاص وي در طرف گيرنده است، نباشد، در نتيجه كليد خصوصي فرستنده اصلي را ندارد و نميتواند مقدار امضاي ديجيتالي صحيح را توليد كند. نكته قابل ذكر اين است كه معمولاً امضاي ديجيتالي منطبق بر استاندارد PKCS#1
است.
6. گواهينامه ديجيتالي و مركز گواهي امضاي ديجيتال
گواهينامه ديجيتالي، سندي الكترونيكي است كه هويت فرد را در فضاي مجازي نشان ميدهد و به نوعي معادل شناسنامه يا كارت شناسايي وي است. در گواهينامه ديجيتالي كه عموما از استاندارد X.509 پيروي ميكند، اطلاعاتي مانند مشخصات فرد، كليد عمومي وي و امضاي ديجيتالي صادركننده اين گواهينامه ثبت ميشود. البته بنا به نوع كاربرد، دادههاي ديگري نيز در گواهينامه ديجيتالي وجود دارند. بدين وسيله و با در اختيار داشتن گواهينامه ديجيتالي يك فرد، ميتوان كليد عمومي معتبر وي را در اختيار داشت تا بتوان امضاي ديجيتالي ارسالي از طرف او را اعتبارسنجي كرد.
و اما براي صدور گواهينامه ديجيتالي نياز به مركز صدور گواهينامه است كه مانند سازمان ثبت احوال بوده و آن را بصورت مخفف CA مينامند. اين مركز، يك سازمان معتبر و مورد قبول همگان است كه با دريافت مشخصات هويتي افراد و احراز اصالت آنها، كليد عمومي آنها را امضا كرده و به عبارتي گواهينامه ديجيتالي صادر ميكند. مراكز CA از نيازمنديهاي اوليه و زيرساختهاي لازم براي برقراري نظام امضاي ديجيتال در فضاي مجازي ميباشند. اين مراكز معمولاً وابسته و تحت نظارت يك سازمان دولتي و يا جهاني بوده و اعتبار خاصي دارند.
همچنين گواهينامه ديجيتالي آنها بصورت قابل اطمينان براي همه دردسترس است تا بتوان از آن براي بررسي صحت و اعتبار يك گواهينامه ديجيتالي صادرشده، استفاده كرد.
7. نيازمنديهاي امضاي ديجيتال
در اين بخش به نيازمنديهاي فني و زيرساختهاي فرهنگي مورد نياز امضاي ديجيتال اشاره ميشود. از اولين موارد مورد نياز براي امضاي ديجيتال، تعيين متولي و مسئول ايجاد CAهاي كشوري است. اين سازمان كه اصولاً بايد بخشي از دولت باشد، با به عهده گرفتن مسئوليت CA ريشه (اصلي) اقدام به صدور گواهينامه ديجيتالي براي CAهاي ديگر پايين دستي ميكند. اين مسئوليت ميتواند به عهده وزارت كشور باشد. سپس CAهاي ديگر كه گواهينامههاي آنها توسط CA اصلي امضا ميشود ايجاد خواهند شد. تهيه و طراحي معماري امنيتي و نوع ارتباط CAها نيز از نيازمنديهاي اوليه راهاندازي امضاي ديجيتال است. پس از اين بايد CAهاي پايين دستي مانند CAهاي بانكي، تجاري، اداري، دانشگاهي و سايرين ايجاد و فعال شوند. اين CAها اقدام به صدور گواهينامه ديجيتال براي افراد حقيقي و حقوقي ميكنند.
از مسائل ديگر، برقراري ارتباط بين CAهاي داخل كشور و خارج كشور است، به نوعي كه CAهاي جهاني، CAهاي داخل كشور را معتبر دانسته و طبق پروتكلي گواهينامههاي صادرشده در داخل كشور را اعتبارسنجي كنند. همچنين CAهاي داخل كشور نيز بايد قابليت تأييد گواهينامههاي صادره خارجي را داشته باشند. به اين طريق ميتوان در سطح اينترنت و به صورت جهاني ارتباطات مالي براي خريد و فروش كالا و نقل و انتقال وجه الكترونيكي فراهم كرد. همچنين اسناد الكترونيكي داخل كشور قابليت پيگيري بين المللي و استناد در دادگاههاي كشورهاي ديگر را پيدا ميكنند.
مسئله ديگر كه از زيرساختهاي فني مورد نياز امضاي ديجيتال است، قابل دسترسي نمودن آن بصورت امن براي افراد جامعه است. بطور مثال ميتوان از كارت هوشمند براي اين كار استفاده نمود. كارت هوشمند كه در واقع يك كارت الكترونيكي با امنيت بالا است، ميتواند كليد خصوصي فرد را به صورت كاملاً امن و وابسته به رمز عبور وي، نگهداري كند. بدين ترتيب دولت ميتواند با صدور كارت هوشمند براي شهروندان خود، راهكاري عملي براي استفاده از امضاي ديجيتال در اختيار آنها قرار دهد. بطور مثال ميتوان اين كاربر را به كارت هوشمند ملي كه سند هويتي افراد است، اضافه كرد.
در كنار زير ساختهاي فني، نيازمنديهاي فرهنگي نيز لازم است. براي استفاده درست از امضاي ديجيتال لازم است مديران ارشد و كاركنان دولت اعم از موسسات، سازمانها، بانكها و مانند آن، با كاربردها، فوايد و چالشهاي امضاي ديجيتال و بطور كلي امنيت در فضاي مجازي آشنايي لازم را پيدا كنند. مسائلي از قبيل سطح امنيت و نوع آن در اسناد الكترونيكي و ميزان قابليت اطمينان آن، بايد بصورت صحيحي تبيين گردد.
از طرف ديگر بايد عموم جامعه با مفاهيم مورد نياز خود، آشنا شده و آموزشهاي لازم به افراد، جهت استفاده از كارت هوشمند و اهميت و نوع استفاده از امضاي ديجيتال، داده شود. چراكه بخش مهمي از امنيت الكترونيكي، كاربر سيستم است و اگر نكات امنيتي اوليه را رعايت نكند، ميتواند در فضاي مجازي مورد سوء استفاده قرار گيرد. آموزش جامعه و ايجاد زيرساخت فرهنگي، از چالشهاي اصلي پيش روي امضاي ديجيتال است.
8. نيازمنديهاي قانوني
در اين بخش به يكي از مهمترين نيازمنديهاي امضاي ديجيتال يعني نيازمنديها در زيرساختهاي قانوني آن اشاره ميشود. همانگونه كه امضاي دستي، نامههاي كاغذي و اسناد هويتي در دنياي فيزيكي تابع قوانين خاصي هستند، در دنياي مجازي نيز اين خلأ قانوني احساس ميشود. اينكه چه سندي با چه نوع امضايي و تحت نظارت كدام مركز گواهي، سنديت و اعتبار قانوني دارد و ميتوان براساس آن اعلام دعوي كرد، از مواردي است كه نيازمند قانون است. بدون وجود قانون، امضاي ديجيتال و به تبع آن اسناد الكترونيكي و فعاليتهاي تحت اينترنت و دولت الكترونيكي فاقد اعتبار قانوني است و قابل پيگيري و اثبات نيست.
در اين زمينه نياز است كه قانونهاي مجزايي براي امضاي ديجيتال تهيه شده و منطبق بر خصوصيات، محدوديتها و نيازمنديهاي دنياي مجازي، تهيه و اجرا شوند. در ابتدا بايد استانداردي بومي منطبق بر استانداردهاي بين المللي امضاي ديجيتال تهيه گردد كه تمام جنبهها و كاربردهاي امضاي ديجيتال را لحاظ كرده باشد. اينكه ميتواند چه كاربردهايي داشته باشد و چگونه بايد در دسترس عموم قرار گيرد، نيازمنديهاي فني آن چگونه است و امنيت را چگونه و تا چه حدي تضمين ميكنند. بطور مثال چه طول كليدي لازم است و يا مدت اعتبار گواهينامهها برحسب نوع كاربرد چه مدت باشد. تهيه اين استاندارد و يا آيين نامه بومي ميتواند باعث ايجاد هماهنگي و صرفه جويي در هزينههاي بعدي شود.
مسئله ديگر تهيه و تصويب قوانين لازم براي اسناد الكترونيكي و امضاي ديجيتالي مشابه اسناد كاغذي در مجلس شوراي اسلامي است. اين قوانين بايد جامع باشند تا اجازه سوء استفاده و يا برداشتهاي اشتباه را بگيرند. با توجه به اينكه علم و فناوري در اين زمينه در حال پيشرفت مداوم است، قوانين نيز بايد سريعتر به روز شوند. در اين زمينه ميتوان از تجربيات كشورهاي ديگر استفاده كرد. بطور مثال كشور آلمان قانون خاصي براي امضاي ديجيتال تهيه كرده است و چند سال از اجراي آن ميگذرد. اتحاديه اروپا نيز از همين قانون در تهيه قانون امضاي ديجيتال براي كل كشورهاي اروپايي استفاده كرده است. همچنين قوانين مشابهي در كشورهاي كانادا، آمريكا و هند نيز اجرا ميشوند. درنتيجه ميتوان با بازخواني اين قوانين و بررسي چالشهايي كه اين كشورها با آن روبرو بودهاند، قانون مناسب كشور را تهيه كرد.
در كنار تصويب قانون، نياز است تا قضات و وكلا با مفاهيم امضاي ديجيتال و امنيت دنياي مجازي آشنا شوند. مواردي مانند اينكه چگونه يك سند الكترونيكي معتبر ميشود و ميزان اعتبار آن تا چه حد است، فعاليتهاي اينترنتي افراد چگونه قابل پيگيري و پيگرد قانوني است و مواردي مانند اين بايد مورد بحث و بررسي قرار گيرند.
از مسائل ديگر آيين دادرسي به پروندههاي مربوط به فعاليتهاي اينترنتي، اسناد الكترونيكي و امضاي ديجيتال است كه بايد به صورت دقيقي تهيه و تبيين گردد. بطور مثال شيوههاي طرح دعوي الكترونيكي چگونه است و در چه مواردي ميتوان يك فعاليت اينترنتي را مورد پيگيري قانوني قرار داد و بطور مثال، مراجع قانوني براي دريافت شكايات در اين زمينه كدامند و روال رسيدگي به پروندههايي از اين دست چگونه است.
در داخل كشور، تقريبا مهمترين قانون موجود در زمينه امضاي ديجيتال، قانون تجارت الكترونيك است. طبق ماده 10 اين قانون، شرايط صحت امضاي ديجيتال عبارتند از منحصر به فرد بودن، تعيين هويت امضاكننده، صدور بوسيله صاحب امضا و يا تحت اراده وي و البته قابل تشخيص بودن هر گونه تغيير نامه يا پيام بعد از امضا روي آن است. همچنين ماده 7 در مورد آثار و احكام صدور امضاي ديجيتال به اين موارد اشاره كرده است. اول اينكه امضاي ديجيتال مكفي است. دوم اينكه امضاي ديجيتال منطبق با شرايط قانونگذار، معتبر است و در نهايت اينكه ادعاي جعليت و يا فقدان اعتبار صرفا به جهات قانوني قابل طرح ميباشد. همانطور كه ملاحظه ميشود، اين قانون داراي كمبودهاي فراواني براي كاربردي كردن امضاي ديجيتال در دولت الكترونيك و در سطح عموم جامعه است.
9. نتيجهگيري
در اين مقاله به بررسي مسئله امنيت در دولت الكترونيك پرداخته شد و به مواردي مانند امضاي ديجيتال، گواهينامه ديجيتالي و مراكز صدور گواهينامه ديجيتالي اشاره گرديد. سپس زيرساختهاي فني و فرهنگي مورد بررسي قرار گرفت. در نهايت به نيازمنديهاي قانوني امضاي ديجيتال مورد بررسي قرار گرفت و به قانون تجارت الكترونيك مورد بررسي قرار گرفت. در نتيجه ميتوان اينگونه بيان كرد كه با توجه به خدمات و امكانات دولت الكترونيك، حركت به سوي آن اجباري خواهد بود اما ابتدا بايد زيرساختهاي قانوني لازم را ايجاد كرد كه در اين ميان امضاي ديجيتال و مفاهيم مربوطه نقش محوري دارند.
- مراجع و منابع
[1] قانون تجارت الكترونيك مصوب مجلس شوراي اسلامي مورخ 1382/10/22
[2] س X.509
[3] RSA Laboratories. PKCS #1: RSA Cryptography Standard. Version 2.1, June 14 2002
[4] سايت سازمان ملل متحد در مورد دولت الكترونيكي
http://www.unpan.org/Library/MajorPublications/UNEGovernmentSurvey/tabid/646/language/en-US/Default.aspx
[5] دولت الكترونيكي در ويكي پديا
http://en.wikipedia.org/wiki/eGovernment
[6] دولت الكترونيك در كانادا
http://en.wikipedia.org/wiki/Open_Government_in_Canada
[7] دولت الكترونيك در اروپا
http://en.wikipedia.org/wiki/EGovernment_in_Europe
[8] محصولات شركت Entrust
http://www.entrust.com/government/solutions.htm
[9] Smart Card Handbook, W. Rankl, Wolfgang Effing, John Wiley & Sons, 2003
[10] Handbook of Applied Cryptography, Alfred J. Menezes, Scott A. Vanstone, Paul C. Van Oorschot, CRC Press, 1996
نويسنده : سيدرضا محمدي موسوي بازپرس ويژه جرايم رايانه اي وفن آوري ارتباطات دادسراي ناحيه 31 تهران ادامه مطلب
در مباحث مربوط به خدمات الكترونيكي از جمله دولت الكترونيك به جرأت ميتوان گفت بدون وجود زيرساختهاي لازم امنيتي در فضاي ديجيتال امكان ارائه چنين خدماتي وجود ندارد. چراكه بدون حضور فنآوريهاي لازم جهت اعتبار بخشيدن به اسناد الكترونيكي و قانونمند نمودن تراكنشها و فعاليتهاي اينترنتي، نميتوان به فضاي ديجيتالي اعتماد كرد و مسلماً افراد جامعه مايل به استفاده از آن نخواهند بود.
بقيه در ادامه
در اين زمينه فنآوريهاي خاصي مانند امضاي ديجيتال، گواهينامه ديجيتالي، مركز صدور گواهينامه ديجيتال و امثالهم ايجاد شده است.
اين فنآوريها نيازمنديهاي فني لازم براي قابل اعتماد نمودن فضاي ديجيتال را فراهم ميآورند، اما در كنار اين امكانات فني نياز به قانونگذاري مناسب براي فضاي ديجيتال احساس ميشود. بايد روالهاي قانوني براي طرح دعوي، روال پيگيري فعاليتهاي اينترنتي و امكاناتي مانند استناد و جلوگيري از جعل و غيرقابل انكار كردن فعاليتهاي اينترنتي تدوين شود.
در اين مقاله در مورد مفاهيم ذكر شده صحبت خواهد شد و در ادامه به لزوم تدوين قانون مناسب و بررسي قوانين مشابه ساير كشورها پرداخته ميشود. در نهايت نيز مهمترين قانون امضاي ديجيتال داخل كشور يعني قانون تجارت الكترونيك مورد بررسي قرار ميگيرد.
كلمات كليدي: دولت الكترونيك، امضاي ديجيتال، گواهينامه ديجيتالي، قانون تجارت الكترونيك
1. مقدمه
امنيت سيستمهاي كامپيوتري، مسئلهاي است كه با ورود كامپيوتر به حوزههاي مختلف زندگي مانند نگهداري اطلاعات شخصي بصورت ديجيتال، دولت الكترونيكي و تجارت الكترونيكي اهميت شاياني يافته است. امنيت يكي از زيرساختهاي مهم فنآوري اطلاعات است، بگونهاي كه بدون آن، ساير خدمات و سيستمهاي ديگر اطلاعاتي قابل پيادهسازي نيستند. بطور مثال دولت الكترونيكي بدون توجه به زيرساختهاي امنيتي لازم مانند شناسايي افراد جامعه بصورت منحصر به فرد، صدور اسناد الكترونيكي غيرقابل انكار و جعل، شبكه انتقال امن اطلاعات، مراكز صدور گواهينامه ديجيتالي و مانند آن، قابل اجرا نيست. اين درحاليست كه مباحثي مانند دولت الكترونيكي از نيازهاي امروزه جامعه بوده و حركت به سوي آن اجتناب ناپذير است. توسط دولت الكترونيكي ميتوان خدمات دولتي را به سهولت، در اسرع وقت و با صرفه جويي در هزينه و زمان شهروندان، در اختيار عموم قرار داد. بدين وسيله گامي در جهت عدالت اجتماعي در زمينه دسترسي به خدمات دولتي برداشته ميشود.
در اين زمينه نياز به ايجاد زيرساختهاي لازم و استفاده از مفاهيمي مانند امضاي ديجيتال است. توسط امضاي ديجيتالي، اعتبار خاصي به اسناد الكترونيكي بخشيده ميشود. امضاي ديجيتال در واقع فراهم كننده خصوصيات امضاي دستي در فضاي مجازي است. براي همگاني نمودن دولت الكترونيكي و امضاي ديجيتالي نياز به ابزارهاي ديگري مانند گواهينامه ديجيتالي و مراكز صدور اين گواهينامههاست.
در اين مقاله به مفاهيم ذكر شده بصورت گذرا اشاره ميشود. در ادامه زيرساختهاي لازم فني و فرهنگي براي استفاده از امضاي ديجيتالي بررسي ميشود. سپس در مورد يكي از نيازمنديهاي ضروري دولت الكترونيكي و امضاي ديجيتالي، يعني قانون لازم جهت اجراي آن صحبت خواهد شد. بدون وجود قانون لازم، اسناد الكترونيكي، معاملات و خدمات اينترنتي فاقد اعتبار قانوني بوده و قابليت استناد و طرح دعوي هستند.
در اين زمينه بايد قانون لازم تدوين شده و قضات و وكلا با مفاهيم امضاي ديجيتال، امكانات، محدوديتها و چالشهاي آن آشنا شوند. در نهايت به قانون موجود امضاي ديجيتال در داخل كشور اشاره خواهد شد.
2. دولت الكترونيك
دولت الكترونيكي عبارتست از استفاده دولت از فناوري اطلاعات و امكانات آن جهت ارائه خدمات دولتي به شهروندان و افراد جامعه. از اين طريق دولت ميتواند از نزديك با شهروندان خود در رابطه باشد، اطلاعات لازم را جمعآوري كرده و خدمات مورد نياز آنها هرچه سريعتر و با دقت بيشتر در اختيارشان قرار دهد. توسط امكانات دولت الكترونيك، خدمات دولتي بصورت عادلانه و مساوي بدون در نظر گرفتن فاصله جغرافيايي در اختيار عموم قرار ميگيرد. بدينوسيله سهولت استفاده از اين خدمات بيشتر شده و صرفه جويي قابل توجهي از نظر هزينه و زمان انجام ميشود. مسئله ديگر ارائه اين خدمات بصورت شبانه روزي و تمام وقت ميباشد كه بدين ترتيب ميتوان برنامه ريزي صحيح كرده و نياز به حضور در ساعات خاصي در ادارهها و سازمانهاي دولتي كاهش مييابد. خدمات دولت الكترونيكي معمولا از طريق شبكههاي عمومي مانند اينترنت در اختيار عموم قرار ميگيرد. دولت الكترونيك داراي حيطه وسيعي است و معمولا به چهارمدل تقسيم ميشود. به عبارت ديگر دولت به چهار شكل زير خدمات خود را ارائه ميكند.
2. 1. دولت به شهروند (G2C)
در اين مدل، خدمات دولتي بصورت الكترونيكي در اختيار شهرونداني قرار ميگيرد كه براي فعاليتهاي پيش پا افتاده مجبور به مراجعه به ادارات دولتي هستند. خدماتي مانند پر كردن فرمهاي اطلاعاتي، تهيه درخواست براي خدمتي خاص، مشاهده نتيجه نامه يا درخواست و پيگيري آن و خدماتي از اين قبيل. همچنين خدماتي مانند رايگيري الكترونيكي در اين مدل داراي اهميت خاصي است.
2. 2. دولت به بنگاه اقتصادي (G2B)
در اين مدل، شركتها و موسسات خصوصي كه مشغول فعاليت در جامعه هستند، براي مراوده با دولت و دريافت خدمات دولتي، از فناوري اطلاعات و دولت الكترونيك استفاده ميكنند. فعاليتهايي مانند ثبت شركت، دريافت مجوزهاي صادراتي يا وارداتي، بيمه، گمرك، ارتباط با وزارتخانهها و از اين قبيل. بدينوسيله اطلاعات لازم و راهكارهاي موجود دولت بصورت عادلانه و با پرهيز از سوء استفادههاي احتمالي، به صورت شفاف و مستقيم در اختيار همگان قرار ميگيرد.
2. 3. دولت به كاركنانش (G2E)
يكي از چالشهاي دولت، برقراري ارتباط بيواسطه با كاركنانش و مديريت صحيح آنها جهت افزايش بهرهوري و در عين حال ارائه خدمات مختلف به آنهاست. در اين مدل، از امكانات دولت الكترونيكي براي مديريت كاركنان دولت، ارائه خدمات مالي و تسهيلات، دريافت نقطه نظرات، انتقادات و پيشنهادات و بصورت كلي ارتباط صحيح استفاده ميشود.
2. 4. دولت به دولت ديگر (G2G)
در شرايطي كه كشورها به درستي به سمت دولت الكترونيكي حركت كنند و مدلهاي پيشين آنرا به شكل صحيح و جامع پياده كنند، مدل ديگري از دولت الكترونيكي كه در برقراري ارتباط بين دولتها نقش دارد، داراي اهميت ويژه ميشود. سازمانهاي مختلف جهاني كه بين چند كشور، يك اتحاديه يا گروه همكاري ايجاد ميكنند، ميتوانند توسط دولت الكترونيكي قابليت مديريت بهتري داشته باشند و ارتباطات نزديكتري ايجاد كنند. بطور مثال پروژهاي با اين مفهوم در اتحاديه اروپا در حال پيگيري است كه خدمات اتحاديه اروپا را براي كل مردم اروپا بصورت الكترونيكي ارائه كند.
3. سرويسهاي امنيتي لازم
براي راهاندازي دولت الكترونيكي، در ابتدا نياز به بررسي زيرساختهاي امنيتي لازم است. چراكه بدون تضمين امنيت در فضاي تبادل اطلاعات، خدمات دولت الكترونيكي قابل اعتماد نبوده و بدون در نظر گرفتن مواردي مانند حفظ محرمانگي يا صحت اطلاعات ردوبدل شده در شبكه، هيچ سرويس ديگري قابل ارائه نيست. در اين ميان نياز مبرم به سرويسهاي امنيتي احساس ميشود. منظور از سرويسهاي امنيتي، خدمات اوليهاي هستند كه در امنيت سيستمهاي كامپيوتري مطرح بوده و يك يا چند سرويس از آنها امنيت سيستم را با توجه به نوع كاربرد تضمين ميكند. در ادامه چهار سرويس امنيتي پايه ذكر ميشوند.
3. 1. محرمانگي
در واقع همان محرمانه نگه داشتن داده است، به اين معني كه كاربر نامعتبر يا هر موجوديت غيرمجاز ديگري نتواند از محتواي داده اطلاع پيدا كند. به طور مثال نگهداري اسناد الكترونيكي ادارات و سازمانهاي دولتي و خصوصي و همين طور اطلاعات خصوصي افراد جامعه، از كاربردهاي اين سرويس رمزنگاري است.
3. 2. يكپارچگي
در اين سرويس هدف، اطمينان از عدم تغيير دادههاست، به عبارت ديگر پس از بازخواني دادههايي كه از قبل ذخيره شده و يا از طريق شبكه يا هر وسيله ديگري منتقل شدهاند، مطمئن باشيم كه دادهها دچار تغيير غيرمجاز نشدهاند. در اين بين ممكن است دادههاي ارسالي تغيير كنند، اما بايد مكانيزم تعريف شده براي حفظ جامعيت و يكپارچگي بتواند اين تغيير را تشخيص داده و نشان دهد كه داده دچار تغيير شده است.
بايد توجه شود كه اين به معني توانايي بازسازي تغييرات نيست. از مثالهاي كاربردي اين سرويس ميتوان به چك يا حوالههاي مالي ديگر اشاره كرد. در اين موارد ديده ميشود كه محتواي چك قابل خواندن براي عموم است، اما با مكانيزم هاي امنيتي در نظر گرفته شده، نميتوان محتواي آن مانند تاريخ و مبلغ را تغيير داد.
3. 3. تشخيص هويت
منظور از تشخيص هويت اين است كه بتوان يك كاربر يا هر موجوديت ديگري مانند نرمافزار يا سختافزار را در فضاي مجازي شناسايي كرد. از اين سرويس در بسياري كاربردهاي امنيتي استفاده ميشود تا بتوانند كاربر مربوطه يا سرويس مجاز و يا ماشين مورد نظر را بصورت منحصر به فرد شناسايي كنند. در دنياي واقعي براي اين مورد ميتوان به كارت شناسايي اشاره نمود. در جامعه هر فرد توسط يك شناسنامه بصورت منحصر به فرد شناخته ميشود و يا براي هر خودرو يك كارت منحصر به فرد صادر ميشود.
3. 4. عدم انكار
سرويس امنيتي ديگري كه رمزنگاري ارائه ميدهد عدم انكار است. به اين معني كه اگر كاربر يا موجوديت ديگر عملي را در فضاي مجازي انجام داد، بتوان آن عمل را پيگيري كرد و ارزش قضايي داشته باشد.
به عبارت ديگر كاربر مربوطه نتواند عملي را كه انجام داده است انكار كند و بتوان ثابت كرد كه آن عمل خاص دقيقا توسط چه كسي انجام شده است. در دنياي واقعي اين سرويس گاهي به وسيله امضاي فرد يا اثر انگشت او تأمين ميشود. زيرا در صورتي كه اثر انگشت فردي در سندي ثبت شود، ارزش قضايي دارد و نميتواند بعداً عمل انجام شده خود را انكار كند.
4. امضاي ديجيتال
امضاي ديجيتال نوعي رمزنگاري نامتقارن است كه خصوصيات امضاي دستي را در فضاي الكترونيكي فراهم ميكند. هر موجوديت منحصر به فرد در فضاي مجازي داراي امضاي ديجيتالي خاص خود است و تنها اين موجوديت يا فرد قادر به توليد اين امضاست. در نتيجه ميتوان مستندات،
پيغامها و دادههاي الكترونيكي را توسط امضاي ديجيتال تأييد كرده و سنديت بخشيد، به شكلي كه مطمئن بود كه توليدكننده امضا چه كسي است و متن پيغام امضا شده، پس از امضا تغيير نكرده است. بدين وسيله متن سند يا پيغام امضا شده قابل استناد و پيگيري بوده و غير قابل انكار است.
امضاي ديجيتال براي هر مستند يا پيغام بوسيله كليد خصوصي فرد توليد ميشود و در واقع يك عدد با طول بلند است. كليد خصوصي فرد به صورت امن در وسيلهاي مانند كارت هوشمند نگهداري ميشود. بدين ترتيب جعل امضاي ديجيتالي بسيار مشكلتر از امضاي دستي است.
توسط امضاي ديجيتالي سنديت خاصي به اسناد الكترونيكي داده ميشود. بدين ترتيب ميتوان بصورت قابل اعتماد و مطمئن ارسال كننده پيغام يا تاييدكننده سند را شناسايي كرد. در نتيجه اسناد الكترونيكي قابل پيگيري بوده و به كمك آن فعاليت افراد در فضاي مجازي جنبه حقوقي پيدا ميكند و قوانين حقوقي اسناد كاغذي در مورد اسناد الكترونيكي قابل اجرا ميشود.
از طرف ديگر با توجه به عدم امكان جعل امضاي ديجيتال، اسناد يا پيامهاي امضاشده قابل انكار از طرف امضا كننده نيست. بدين وسيله مراجع قضايي ميتوانند از اين خصوصيت جهت استناد قانوني به سند الكترونيكي استفاده كنند.
اما امضاي ديجيتال داراي خصوصيت ديگري نيز هست كه امضاي دستي فاقد آن است. بوسيله امضاي ديجيتال ميتوان مطمئن بود كه محتواي سند يا پيام بعد از امضا تغيير نكرده و افراد غيرمجاز سند الكترونيكي مربوطه را مخدوش نكردهاند. اين بدان دليل است كه امضاي ديجيتالي به ازاي هر سند يا پيام وابسته به متن پيام توليد ميشود و امضاي توليد شده براي هر سند، منحصر به فرد ميباشد.
بدين ترتيب با در اختيار داشتن متن سند يا پيام در كنار امضاي ديجيتالي آن، ميتوان با اعتبارسنجي امضاي ديجيتال، در عين حال از عدم تغيير محتواي آن نيز مطمئن شد. درنتيجه به كمك امضاي ديجيتال در كنار قابليت شناسايي امضاكننده، امنيت خاصي نيز به اسناد الكترونيكي اضافه ميشود كه به آن حفظ يكپارچگي سند ميگويند. به اين معني كه سند، قابل رويت و خواندن ميباشد اما نميتوان آن را تغيير داده يا به عبارتي مخدوش كرد.
5. اجزاي امضاي ديجيتال
در ادامه به اجزاي امضاي ديجيتال يا به عبارتي مفاهيم رياضياتي استفاده شده در آن ميپردازيم. توضيح بيشتر قضاياي رياضياتي مربوطه در اين فناوري خارج از حوزه اين مستند است و بايد به مراجع موجود در مباحث رياضيات گسسته و رمزنگاري مراجعه كرد.
5. 1. توابع درهمسازي
توابع هش يا درهمسازي، توابعي هستند كه از نظر رياضياتي يك طرفه هستند. به اين معني كه نميتوان از روي خروجي تابع مذكور مقدار ورودي را بدست آورد. از اين توابع در رمزنگاري براي توليد نوعي اثرانگست استفاده ميشود. به عبارت ديگر هنگامي كه دادهاي به عنوان ورودي به اين تابع داده ميشود، چكيدهاي از آن مجموعه داده توليد ميشود كه منحصر به فرد است و قابل بازگشت نيز است. امر مهم در اين تابع اين ست كه با تغيير حتي يك بيت از داده ورودي بايد كل مقدار خروجي تابع هش تغيير كند، زيرا در غير اينصورت مقدار ورودي با بازهاي مشخص بدست خواهد آمد.
البته در عمل نميتوان تمام خواستههاي مطرح شده در تعريف را به صورت كامل تامين نمود و به همين دليل است كه از تقريبها استفاده ميشود. بطور مثال تابعي براي هش طراحي ميشود كه به ازاي يك مقدار ورودي، يك مقدار خروجي منحصر به فرد ايجاد نميكند اما تعداد تصادمها و تكرارها بسيار پايين بوده و براي بدست آوردن دو مقدار ورودي با خروجي يكسان ميزان زمان زيادي لازم است كه عمل مربوطه را غير قابل انجام ميكند. در اين زمينه توابعي مانند MD5،SHA1، SHA256 و الگوريتمهاي ديگر مطرح هستند.
5. 2. رمزنگاري كليد نامتقارن
از روش رمزنگاري نامتقارن امروزه استفاده زيادي ميشود. مشخصه بارز اين روش اين است كه كليد رمزگذاري و رمزگشايي متفاوت هستند. بنابراين كافي است كه تنها يك طرف ارتباط كليد را مخفي نگه دارد و براي انتقال نياز به كانال امن نيست. اين روش در شكل زير نشان داده شده است. از الگوريتمهاي اين روش ميتوان به RSA و ECC اشاره كرد.
5. 3. روال اجرايي امضاي ديجيتال
روال اجرايي امضاي ديجيتال در شكل 2 مشاهده ميشود. در اين روال متن پيام كه ميتواند هر طولي داشته باشد، به عنوان ورودي به يك تابع درهم سازي مانند SHA1 داده ميشود. اين تابع يك مقدار منحصر به فرد و با طول ثابت (به طور مثال براي SHA1 به طول 20 كاراكتر) توليد ميكند كه به اين مقدار، اثر انگشت نيز گفته ميشود. همانطور كه گفته شد تابع درهمسازي يك طرفه است و نميتوان از مقدار توليد شده، متن پيام اصلي يا بخشي از آنرا استخراج كرد.
سپس مقدار توليد شده به وسيله يك الگوريتم Padding خاص مانند آنچه در استاندارد PKCS#1 آمده است دستكاري شده و به ابتدا و انتهاي آن كاركترهايي اضافه ميشود. از جمله اينكه يك مقدار تصادفي به آن اضافه شده و طولش به اندازه استاندارد (بطور مثال 128 بايت براي الگوريتم RSA با طول پيمانه 1024 بيت) رسانده ميشود. سپس اين مقدار بوسيله الگوريتم رمزنگاري نامتقارن مانند RSA توسط كليد خصوصي فرد، رمزگذاري ميشود. مقدار بدست آمده برابر طول استاندارد (128 بايت براي RSA با طول 1024 بيت) است، اين مقدار همان امضاي ديجيتال است.
سپس مقدار امضاي ديجيتالي به همراه متن اصلي پيام ارسال ميشود. در طرف گيرنده با همان الگوريتم درهمسازي، مقدار اثر انگشت از روي پيام اصلي استخراج ميشود. سپس مقدار امضاي ديجيتال نيز توسط كليد عمومي فرستنده پيام، كه در اختيار گيرنده است، رمزگذاري مجدد ميشود. رابطه كليد عمومي و كليد خصوصي به گونهاي است كه اگر پيامي را توسط كليد خصوصي رمزگذاري كنيم، ميتوان آن را توسط كليد عمومي رمزگشايي كرده و به مقدار اوليه پيام رسيد.
بنابراين با رمزگشايي مقدار امضاي ديجيتال توسط كليد عمومي در گيرنده، مقدار اوليه درهمسازي شده يا همان اثر انگشت پيش از رمزگذاري، دوباره بدست ميآيد. حال با مقايسه مقدار بدست آمده از امضا و مقدار بدست آمده از پيام اصلي، ميتوان به صحت و اعتبار امضا پي برد. اگر اين دو مقدار برابر بودند، امضاي ديجيتالي صحيح و در غير اين صورت نامعتبر است.
به عبارتي اگر فرستنده، فرد مورد نظر كه كليد عمومي خاص وي در طرف گيرنده است، نباشد، در نتيجه كليد خصوصي فرستنده اصلي را ندارد و نميتواند مقدار امضاي ديجيتالي صحيح را توليد كند. نكته قابل ذكر اين است كه معمولاً امضاي ديجيتالي منطبق بر استاندارد PKCS#1
است.
6. گواهينامه ديجيتالي و مركز گواهي امضاي ديجيتال
گواهينامه ديجيتالي، سندي الكترونيكي است كه هويت فرد را در فضاي مجازي نشان ميدهد و به نوعي معادل شناسنامه يا كارت شناسايي وي است. در گواهينامه ديجيتالي كه عموما از استاندارد X.509 پيروي ميكند، اطلاعاتي مانند مشخصات فرد، كليد عمومي وي و امضاي ديجيتالي صادركننده اين گواهينامه ثبت ميشود. البته بنا به نوع كاربرد، دادههاي ديگري نيز در گواهينامه ديجيتالي وجود دارند. بدين وسيله و با در اختيار داشتن گواهينامه ديجيتالي يك فرد، ميتوان كليد عمومي معتبر وي را در اختيار داشت تا بتوان امضاي ديجيتالي ارسالي از طرف او را اعتبارسنجي كرد.
و اما براي صدور گواهينامه ديجيتالي نياز به مركز صدور گواهينامه است كه مانند سازمان ثبت احوال بوده و آن را بصورت مخفف CA مينامند. اين مركز، يك سازمان معتبر و مورد قبول همگان است كه با دريافت مشخصات هويتي افراد و احراز اصالت آنها، كليد عمومي آنها را امضا كرده و به عبارتي گواهينامه ديجيتالي صادر ميكند. مراكز CA از نيازمنديهاي اوليه و زيرساختهاي لازم براي برقراري نظام امضاي ديجيتال در فضاي مجازي ميباشند. اين مراكز معمولاً وابسته و تحت نظارت يك سازمان دولتي و يا جهاني بوده و اعتبار خاصي دارند.
همچنين گواهينامه ديجيتالي آنها بصورت قابل اطمينان براي همه دردسترس است تا بتوان از آن براي بررسي صحت و اعتبار يك گواهينامه ديجيتالي صادرشده، استفاده كرد.
7. نيازمنديهاي امضاي ديجيتال
در اين بخش به نيازمنديهاي فني و زيرساختهاي فرهنگي مورد نياز امضاي ديجيتال اشاره ميشود. از اولين موارد مورد نياز براي امضاي ديجيتال، تعيين متولي و مسئول ايجاد CAهاي كشوري است. اين سازمان كه اصولاً بايد بخشي از دولت باشد، با به عهده گرفتن مسئوليت CA ريشه (اصلي) اقدام به صدور گواهينامه ديجيتالي براي CAهاي ديگر پايين دستي ميكند. اين مسئوليت ميتواند به عهده وزارت كشور باشد. سپس CAهاي ديگر كه گواهينامههاي آنها توسط CA اصلي امضا ميشود ايجاد خواهند شد. تهيه و طراحي معماري امنيتي و نوع ارتباط CAها نيز از نيازمنديهاي اوليه راهاندازي امضاي ديجيتال است. پس از اين بايد CAهاي پايين دستي مانند CAهاي بانكي، تجاري، اداري، دانشگاهي و سايرين ايجاد و فعال شوند. اين CAها اقدام به صدور گواهينامه ديجيتال براي افراد حقيقي و حقوقي ميكنند.
از مسائل ديگر، برقراري ارتباط بين CAهاي داخل كشور و خارج كشور است، به نوعي كه CAهاي جهاني، CAهاي داخل كشور را معتبر دانسته و طبق پروتكلي گواهينامههاي صادرشده در داخل كشور را اعتبارسنجي كنند. همچنين CAهاي داخل كشور نيز بايد قابليت تأييد گواهينامههاي صادره خارجي را داشته باشند. به اين طريق ميتوان در سطح اينترنت و به صورت جهاني ارتباطات مالي براي خريد و فروش كالا و نقل و انتقال وجه الكترونيكي فراهم كرد. همچنين اسناد الكترونيكي داخل كشور قابليت پيگيري بين المللي و استناد در دادگاههاي كشورهاي ديگر را پيدا ميكنند.
مسئله ديگر كه از زيرساختهاي فني مورد نياز امضاي ديجيتال است، قابل دسترسي نمودن آن بصورت امن براي افراد جامعه است. بطور مثال ميتوان از كارت هوشمند براي اين كار استفاده نمود. كارت هوشمند كه در واقع يك كارت الكترونيكي با امنيت بالا است، ميتواند كليد خصوصي فرد را به صورت كاملاً امن و وابسته به رمز عبور وي، نگهداري كند. بدين ترتيب دولت ميتواند با صدور كارت هوشمند براي شهروندان خود، راهكاري عملي براي استفاده از امضاي ديجيتال در اختيار آنها قرار دهد. بطور مثال ميتوان اين كاربر را به كارت هوشمند ملي كه سند هويتي افراد است، اضافه كرد.
در كنار زير ساختهاي فني، نيازمنديهاي فرهنگي نيز لازم است. براي استفاده درست از امضاي ديجيتال لازم است مديران ارشد و كاركنان دولت اعم از موسسات، سازمانها، بانكها و مانند آن، با كاربردها، فوايد و چالشهاي امضاي ديجيتال و بطور كلي امنيت در فضاي مجازي آشنايي لازم را پيدا كنند. مسائلي از قبيل سطح امنيت و نوع آن در اسناد الكترونيكي و ميزان قابليت اطمينان آن، بايد بصورت صحيحي تبيين گردد.
از طرف ديگر بايد عموم جامعه با مفاهيم مورد نياز خود، آشنا شده و آموزشهاي لازم به افراد، جهت استفاده از كارت هوشمند و اهميت و نوع استفاده از امضاي ديجيتال، داده شود. چراكه بخش مهمي از امنيت الكترونيكي، كاربر سيستم است و اگر نكات امنيتي اوليه را رعايت نكند، ميتواند در فضاي مجازي مورد سوء استفاده قرار گيرد. آموزش جامعه و ايجاد زيرساخت فرهنگي، از چالشهاي اصلي پيش روي امضاي ديجيتال است.
8. نيازمنديهاي قانوني
در اين بخش به يكي از مهمترين نيازمنديهاي امضاي ديجيتال يعني نيازمنديها در زيرساختهاي قانوني آن اشاره ميشود. همانگونه كه امضاي دستي، نامههاي كاغذي و اسناد هويتي در دنياي فيزيكي تابع قوانين خاصي هستند، در دنياي مجازي نيز اين خلأ قانوني احساس ميشود. اينكه چه سندي با چه نوع امضايي و تحت نظارت كدام مركز گواهي، سنديت و اعتبار قانوني دارد و ميتوان براساس آن اعلام دعوي كرد، از مواردي است كه نيازمند قانون است. بدون وجود قانون، امضاي ديجيتال و به تبع آن اسناد الكترونيكي و فعاليتهاي تحت اينترنت و دولت الكترونيكي فاقد اعتبار قانوني است و قابل پيگيري و اثبات نيست.
در اين زمينه نياز است كه قانونهاي مجزايي براي امضاي ديجيتال تهيه شده و منطبق بر خصوصيات، محدوديتها و نيازمنديهاي دنياي مجازي، تهيه و اجرا شوند. در ابتدا بايد استانداردي بومي منطبق بر استانداردهاي بين المللي امضاي ديجيتال تهيه گردد كه تمام جنبهها و كاربردهاي امضاي ديجيتال را لحاظ كرده باشد. اينكه ميتواند چه كاربردهايي داشته باشد و چگونه بايد در دسترس عموم قرار گيرد، نيازمنديهاي فني آن چگونه است و امنيت را چگونه و تا چه حدي تضمين ميكنند. بطور مثال چه طول كليدي لازم است و يا مدت اعتبار گواهينامهها برحسب نوع كاربرد چه مدت باشد. تهيه اين استاندارد و يا آيين نامه بومي ميتواند باعث ايجاد هماهنگي و صرفه جويي در هزينههاي بعدي شود.
مسئله ديگر تهيه و تصويب قوانين لازم براي اسناد الكترونيكي و امضاي ديجيتالي مشابه اسناد كاغذي در مجلس شوراي اسلامي است. اين قوانين بايد جامع باشند تا اجازه سوء استفاده و يا برداشتهاي اشتباه را بگيرند. با توجه به اينكه علم و فناوري در اين زمينه در حال پيشرفت مداوم است، قوانين نيز بايد سريعتر به روز شوند. در اين زمينه ميتوان از تجربيات كشورهاي ديگر استفاده كرد. بطور مثال كشور آلمان قانون خاصي براي امضاي ديجيتال تهيه كرده است و چند سال از اجراي آن ميگذرد. اتحاديه اروپا نيز از همين قانون در تهيه قانون امضاي ديجيتال براي كل كشورهاي اروپايي استفاده كرده است. همچنين قوانين مشابهي در كشورهاي كانادا، آمريكا و هند نيز اجرا ميشوند. درنتيجه ميتوان با بازخواني اين قوانين و بررسي چالشهايي كه اين كشورها با آن روبرو بودهاند، قانون مناسب كشور را تهيه كرد.
در كنار تصويب قانون، نياز است تا قضات و وكلا با مفاهيم امضاي ديجيتال و امنيت دنياي مجازي آشنا شوند. مواردي مانند اينكه چگونه يك سند الكترونيكي معتبر ميشود و ميزان اعتبار آن تا چه حد است، فعاليتهاي اينترنتي افراد چگونه قابل پيگيري و پيگرد قانوني است و مواردي مانند اين بايد مورد بحث و بررسي قرار گيرند.
از مسائل ديگر آيين دادرسي به پروندههاي مربوط به فعاليتهاي اينترنتي، اسناد الكترونيكي و امضاي ديجيتال است كه بايد به صورت دقيقي تهيه و تبيين گردد. بطور مثال شيوههاي طرح دعوي الكترونيكي چگونه است و در چه مواردي ميتوان يك فعاليت اينترنتي را مورد پيگيري قانوني قرار داد و بطور مثال، مراجع قانوني براي دريافت شكايات در اين زمينه كدامند و روال رسيدگي به پروندههايي از اين دست چگونه است.
در داخل كشور، تقريبا مهمترين قانون موجود در زمينه امضاي ديجيتال، قانون تجارت الكترونيك است. طبق ماده 10 اين قانون، شرايط صحت امضاي ديجيتال عبارتند از منحصر به فرد بودن، تعيين هويت امضاكننده، صدور بوسيله صاحب امضا و يا تحت اراده وي و البته قابل تشخيص بودن هر گونه تغيير نامه يا پيام بعد از امضا روي آن است. همچنين ماده 7 در مورد آثار و احكام صدور امضاي ديجيتال به اين موارد اشاره كرده است. اول اينكه امضاي ديجيتال مكفي است. دوم اينكه امضاي ديجيتال منطبق با شرايط قانونگذار، معتبر است و در نهايت اينكه ادعاي جعليت و يا فقدان اعتبار صرفا به جهات قانوني قابل طرح ميباشد. همانطور كه ملاحظه ميشود، اين قانون داراي كمبودهاي فراواني براي كاربردي كردن امضاي ديجيتال در دولت الكترونيك و در سطح عموم جامعه است.
9. نتيجهگيري
در اين مقاله به بررسي مسئله امنيت در دولت الكترونيك پرداخته شد و به مواردي مانند امضاي ديجيتال، گواهينامه ديجيتالي و مراكز صدور گواهينامه ديجيتالي اشاره گرديد. سپس زيرساختهاي فني و فرهنگي مورد بررسي قرار گرفت. در نهايت به نيازمنديهاي قانوني امضاي ديجيتال مورد بررسي قرار گرفت و به قانون تجارت الكترونيك مورد بررسي قرار گرفت. در نتيجه ميتوان اينگونه بيان كرد كه با توجه به خدمات و امكانات دولت الكترونيك، حركت به سوي آن اجباري خواهد بود اما ابتدا بايد زيرساختهاي قانوني لازم را ايجاد كرد كه در اين ميان امضاي ديجيتال و مفاهيم مربوطه نقش محوري دارند.
- مراجع و منابع
[1] قانون تجارت الكترونيك مصوب مجلس شوراي اسلامي مورخ 1382/10/22
[2] س X.509
[3] RSA Laboratories. PKCS #1: RSA Cryptography Standard. Version 2.1, June 14 2002
[4] سايت سازمان ملل متحد در مورد دولت الكترونيكي
http://www.unpan.org/Library/MajorPublications/UNEGovernmentSurvey/tabid/646/language/en-US/Default.aspx
[5] دولت الكترونيكي در ويكي پديا
http://en.wikipedia.org/wiki/eGovernment
[6] دولت الكترونيك در كانادا
http://en.wikipedia.org/wiki/Open_Government_in_Canada
[7] دولت الكترونيك در اروپا
http://en.wikipedia.org/wiki/EGovernment_in_Europe
[8] محصولات شركت Entrust
http://www.entrust.com/government/solutions.htm
[9] Smart Card Handbook, W. Rankl, Wolfgang Effing, John Wiley & Sons, 2003
[10] Handbook of Applied Cryptography, Alfred J. Menezes, Scott A. Vanstone, Paul C. Van Oorschot, CRC Press, 1996
نويسنده : سيدرضا محمدي موسوي بازپرس ويژه جرايم رايانه اي وفن آوري ارتباطات دادسراي ناحيه 31 تهران
