فن آوری و زیر ساخت امضای دیجیتال

همان طور که گفته شد امضای دیجیتال از طریق علم رمز نگاری ایجاد می‌شود و در واقع یک فرایند رمز نگاری است و از یک جفت کلید تحت عناوین کلید خصوصی و کلید عمومی تشکیل می‌شود، بنابراین لازم است با این اصطلاحات تا حدودی آشنا شویم.

رمز نگاری

رمز نگاری علم تغییر شکل دادن نوشته ها و اطلاعات است یعنی از طریق آن می‌توان یک متن خوانا را تبدیل به یک متن ناخوانا و غیر قابل فهم کرد. فرآیند رمز گذاری دارای دو مرحله است؛ مرحله اول رمز سازی[1] یعنی تبدیل یک متن ساده و عادی به یک متن رمزی است. این متن اگر در دسترس همگان هم قرار گیرد غیر قابل فهم است. مرحله دوم رمز گشایی است یعنی تبدیل متن رمز شده به یک متن عادی که قابل فهم باشد (زرکلام،  1382، ص4).

 

رمز نگاری کلید عمومی

رمز نگاری مبتنی بر کلید عمومی یا رمز نگاری «اسیمتریک» از دو الگوریتم تشکیل شده است که یکی از آنها برای ایجاد امضای دیجیتال و تبدیل آن به یک متن بی معنی استفاده می‌شود و دیگری برای تبدیل متن غیر قابل فهم به شکل اولیه آن به کار می‌رود. به این دو الگوریتم، اصطلاحاً کلید گفته می‌شود. الگوریتم دوم که برای صحت امضاء و تطبیق و سنجش کلید به کار می‌رود.  در واقع، این دو کلید از نظر ریاضی به هم مرتبط است. از بین این جفت کلید یکی برای ایجاد امضای دیجیتال و تبدیل داده‌ها به شکل نامرئی و غیر قابل فهم و کلید دیگر جهت شناسایی امضای دیجیتال و یا برگرداندن پیغام رمزنگاری شده به شکل اولیه آن به کار می‌رود. تجهیزات رایانه‌ای و نرم‌افزاری که از این دو کلید استفاده می‌کنند سیستم رمز نگاری اسیمتریک یا رمزنگاری نامتقارن نامیده می‌شود. (زرکلام 1382ص4)

بنابراین، کلید عمومی سری نیست و می‌تواند در اختیار عموم نیز قرار گیرد درحالی که کلید خصوصی کاملاً محرمانه است و تنها در اختیار مالک آن قرار دارد و ضروری است که این کلید پنهان باشد و کس دیگری به آن دسترسی نداشته باشد (زرکلام، 1382، ص4).

– نحوه ایجاد یک امضای دیجیتال

برای ایجاد یک امضای دیجیتال، ابتدا امضاء کننده باید از طریق کلید عمومی امضاء خود را رمز سازی کرده و سپس آن را ضمیمه پیام داده ای کند و برای مخاطب خویش ارسال کند. مخاطب که اکنون پیام داده ای را به همراه امضای دیجیتال منضم شده به آن دریافت کرده، باید امضاء رمز نگاری شده را که قابل فهم نیست از داده پیامها جدا ساخته و از طریق کلید عمومی ارسال کننده (که در فهرست عمومی مرجع گواهی امضاء موجود است) پیام را برای وی ارسال می‌کند تا خود ارسال کننده(اصل  ساز) با کلید خصوصی اش آن را رمز گشایی کند. چنانجه نتایج یکسانی حاصل شد، معلوم می‌شود که اولاً امضای مذکور به نحو صحیحی از سوی امضاء کننده ارسال شده است و ثانیاً وی نمی‌تواند ادعا کند که پیام را امضاء نکرده و یا اینکه پیام تغییر یافته است.

بنابراین، به کارگیری امضای دیجیتال شامل دو فرآیند است: مرحله اول ایجاد امضاء توسط ارسال کننده پیام توسط کلید خصوصی اوست و مرحله بعد نیز شامل فرآیند چک کردن امضای دیجیتال از طریق مراجعه به پیام اصلی و استفاده از کلید عمومی ارسال کننده است (زرکلام، 1382، ص4).

مرجع گواهی امضاء

اگر چه بااستفاده از روش امضای دیجیتال تمامیت سند، محرمانه بودن اطلاعات( در صورت لزوم) و امنیت داده‌ها تضمین می‌شود، اما یک مساله مهم هنوز باقی است و آن هم تضمین هویت امضاء کننده است. از نظر حقوقی، مهم ترین اثر امضاء اثبات رابطه سند با کسی است که امضاء به او نسبت داده شده است. امضای الکترونیکی هر چند که از امنیت بالایی هم برخوردار باشد، ولی قادر به تضمین هویت امضاء کننده نیست و این همان مشکل تعیین هویت در سیستمهای باز است که طرفین یک مباله در خصوص حقوق وتکالیف خود توافقی نکرده و همدیگر را نمی شناسند (زرکلام، 1382، ص5)

ساز و کار احراز و تضمین هویت در فضای سنتی از طریق ثبت اسناد در مرجع ثالثی تحت عنوان دفاتر اسناد رسمی صورت می گیرد که با احراز هویت امضاء کنندگان سند و رعایت برخی تشریفات قانونی به اسناد، اعتبار و رسمیت می بخشد. در بستر مبادلات الکترونیک نیز وجود چنین مرجع ثالثی برای تعیین هویت امضاء کننده ضروری است. این مرجع تحت عنوان مرجع گواهی شناخته می‌شود، زیرا از طریق صدور یک گواهی نامه دیجیتال هویت امضاء کننده را تضمین می‌کند. گواهی نامه دیجیتال یک کلید عمومی را برای اشخاص (حقیقی یا حقوقی) تعریف و تصدیق می‌کند. صدور این گواهی نامه توسط یک مرجع معتبر و موثق که به آن مرجع گواهی گویند، تأیید می‌شود. لذا از این طریق اثبات می‌شود که کلید عمومی مذکور فقط مختص یک شخص خاص است (زرکلام، 1382، ص5).

شبکه مراجع گواهی و پایگاههای داده ای و ساختار عملکرد آنها تحت عنوان ساختار کلید عمومی[1] شناخته به شرح ذیل است:

1- تقاضای صدرو گواهی امضاء از مرجع گواهی توسط ارسال کننده پیام داده ای

2- صدور گواهی امضاء پس از احراز هویت و معرفی ارسال کننده به کلید های عمومی و خصوصی از سوی مرجع گواهی

3- ارسال پیام داده‌های همراه با امضای دیجیتال برای مخاطب از طرف ارسال کننده

4- ارسال امضاء به مرجع گواهی برای تصدیق هویت امضاء کننده و اطمینان از صحت آن توسط مخاطب

5- بررسی صحت و سقم پیام داده ای و انتساب آن به ارسال کننده توسط مرجع گواهی

6- ارسال گواهی صحت امضاء از سوی مرجع گواهی برای مخاطب

7- پاسخ مخاطب به ارسال کننده با یک امضای دیجیتال

بنابراین، مرجع گواهی تضمین می‌کند که کلید عمومی موجود در فهرست مرجع (که دراختیار عموم است) به درستی ایجاد و اعلام شده است، زیرا هویت دارنده کلید خصوصی که منطبق و مرتبط با کلید عمومی است نزد مرجع وجود دارد. در واقع مرجع گواهی یک کلید  خصوصی را به اشخاص تخصیص و آن را ثبت و نگهداری می‌کند و کلید مکمل آن یعنی کلید عمومی را در فهرست دارندگان کلید عمومی ثبت و نگهداری کرده و در دسترس عموم قرار می‌دهد (زرکلام، 1382، ص6)

شرح وظایف و مسؤولیتهای مراجع گواهی به تفصیل در قوانین و مقررات بیان شده است. قوانین بین المللی موجود در خصوص امضای الکترونیک در مورد مقررات مراجع گواهی ساکت است و آن را به قوانین ملی واگذار کرده است. قانون تجارت الکترونیک ایران نیز از مراجع گواهی تحت عنوان « دفاتر خدمات صدور امضای الکترونیکی در کشور تأسیس می شوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهیهای اصالت (امضای) الکترونیکی می باشد» ماده 32 نیز بیان می‌کند: «آیین نامه ها و ضوابط تأسیس و شرح وظایف این دفاتر توسط سازمان مدیریت و برنامه ریزی کشور و وزارت خانه های بازرگانی، ارتباطات و فن آوری اطلاعات، امور اقتصادی و دارایی و دادگستری تهیه و به تصویب هیأت وزیران خواهد رسید» مراجع گواهی امضاء به دلیل نیاز به زیر ساختهای فنی، تجهیزات و تأسیسات شبکه‌ای پیشرفته و استانداردهای ایمنی بالا، هنوز در ایران راه اندازی نشده است (زرکلام، 1382،  ص6).

بنابراین بسیاری از حقوقدانان  معتقدند که قانونگذار صدور چک را فقط از طریق امضاء صادر کننده پذیرفته است و با توجه به صراحت ماده 311 قانون تجارت که از مهر نامی برده نشده است لذا نمی‌توان در صدور چک از مهر استفاده کرد. زیرا اولاً قانونگذار نمی خواسته است افراد بی سواد چک صادر کنند و ثانیاً ماده 223 قانون تجارت در مورد برات، علاوه بر امضاء، مهر را نیز معتبر دانسته، ولی در ماده 311 قانون مذکور سخنی از مهر به میان نیامده است. بنابراین، صدور چک فقط با امضاء امکان پذیر است و این امضاء هم لزوماً باید دست نویس باشد یعنی امضاء شخصی که به صورت مهر در آمده نیز برای صدور چک معتبر نیست (فخاری، 1381). بنابراین، طرح این بحث که امضای الکترونیک در ردیف مهر قرار می گیرد یا امضاء دست نویس در خصوص صدرو چکهای الکترونیک به عنوان یکی از روشهای پرداخت در قراردادهای الکترونیک اهمیت پیدا می‌کند (زرکلام، 1382، ص7).

برخی حقوقدانها امضای الکترونیکی را در ردیف مهر آورده اند، زیرا از نظر ماهیتی با امضاء دست نویس تفاوت دارد و در مقام مقایسه بیشتر به مهر شباهت دارد. امضای الکترونیکی چیزی جز یک سری فرمولهای ریاضی نیست که از سوی مراجع گواهی امضاء تأیید و در اختیار افراد قرار می گیرد و اگر چه تحت عنوان امضاء نام گرفته اند، ولی چون توسط شخص ثالثی تولید و به اشخاص اختصاص داده می شوند و اشخاص فقط آنها را به شکلی که هستند مورد استفاده قرار می‌دهند، در تحلیل حقوقی در ردیف مهر قرار می -گیرند (زرکلام، 1382، ص7).

طبق ماده 7 قانون تجارت الکترونیکی ایران، « هر گاه قانون، وجود امضاء را لازم بداند، امضای الکترونیکی مکفی است» یعنی امضای الکترونیکی هر ماهیتی که داشته باشد (مهر، امضاء یا ماهیت دیگر) از نظر قانونی جایگزین امضاء دست نویس با آثار حقوقی مشابه شده است.

کشور ایران نیز در قانون تجارت الکترونیکی خویش صریحاً امضای الکترونیکی را به رسمیت شناخته است. (زرکلام، 1382، ص7).

[1] PKI

                                                    .