امضای دیجیتال از کجا آمد؟
بحث گواهی امضای دیجیتال که امروز باب تازهای را در معادلات انعقاد قرارداد، معاملات، ثبت نام و انواع روابط قانونی گشوده است، با وجود آنکه برای عده بسیاری، مفهومی نوین به شمار میآید ولی در اصل تاریخچهای نزدیک به نیم قرن دارد.
نخستین بار ویتفیلد دیفی و مارتین هلمن[1] ایده اولیه طرح امضای دیجیتال را در سال 1976 در قالب یک تئوری ارائه دادند. پس از آن، در سال 1977 رونالد ریوست، آدی شمیر و لن آدلمن[2] الگوریتم RSA [3] را ابداع کردند که میتوانست نوعی از یک امضای دیجیتال اولیه را تولید کند. در سال 1988، نرمافزار لوتوس نوت 1 [4] به عنوان اولین نرمافزار ارائه دهنده امضای دیجیتال بر پایه الگوریتم RSA وارد بازر شد. در سال 1999، قابلیت نشاندن امضای دیجیتال در فایل های PDF امکانپذیر شد. در سال 2000، ایساین اکت [5] امضای دیجیتال را حایز الزام قانونی نمود و در سال 2002 با پایه گذاری شرکت ساینیکس [6] امضای ابری توسعه یافت و مورد استفاده عموم قرار گرفت، داکیوساین [7] در سال 2003 توسط کورت لورنزینی، تام گونسر و اریک رانفت تاسیس شد؛ اکو ساین [8] که در سال 2006 توسعه خود را آغاز کرده بود، در سال 2011 توسط ادوبی خریداری شد و شرکت ادوبی ساین را تشکیل داد. در سال 2008 فرمت فایلی PDF، به عنوان یک استاندارد باز [9]در سازمان استاندارد سازی بین المللی (ISO) تحت عنوان iso32000 مورد بهرهبرداری قرار گرفت و امضای دیجیتال به صورت بخشی از فرمت یکپارچه با آن، مورد تایید واقع شد.
مفهوم ساختار کلید عمومی
مفهوم کلید عمومی[10] که اساس آن بر ایده “گواهینامه” استوار است به مفهوم ادعای مالکیت یک کلید است. اساساً، یک گواهی، شیئی است که شامل یک هویت (یک نام) و یک کلید عمومی است و آن شیء به صورت دیجیتالی با الگوریتمی (RSA ، EDSA و …) امضا شده است. اعتبار این امضا منوط به تاییدگواهی مورد ادعای آن است. بدین معنا که اگر من کلید عمومی هرکس را که گواهینامه را صادر کرده است بشناسم، میتوانم آن امضا را تأیید کنم و بدین ترتیب اطمینان مییابم که کلید عمومی مندرج در گواهینامه حقیقتا متعلق به نهادی است که توسط هویت موجود در گواهینامه تعیین شده است.
امضای دیجیتال نتیجه اجرای یک الگوریتم ریاضی کلید عمومی است که در آن، فرد از کلید خصوصی خود برای امضای سند استفاده میکند و هر کسی میتواند با استفاده از کلید عمومی مالک سند، صحت سند را تأیید کند. در عمل، امضای دیجیتال بخشی از زیرساختهای کلید عمومی (PKI) است.
امضای دیجیتال بر مبنای PKI که با اطلاعات تکمیلی همراه پیام امضا شده رمزنگاری میشود، همراه آن ارسال میگردد. الگوریتمهایی که برای تولید و تأیید پیام استفاده میشود به شرح زیر است:
- تولید اعداد تصادفی
- تولید کلیدهای رمزنگاری با استفاده از الگوریتم رمزگذاری نامتقارن
- عملکرد هش رمزنگاری
- الگوریتم امضای دیجیتال
- الگوریتم تأیید امضای دیجیتال
پشت پرده تولید امضای دیجیتال
در فرآیند تولید یک امضای دیجیتال، از کلید خصوصی و در طی فرآیند تأیید، از کلید عمومی صادر کننده استفاده میشود. برای تولید امضای دیجیتال، عملکرد هش پیام ارسال شده محاسبه میشود. یک تابع هش رمزنگاری اجازه میدهد ورودی های با طول دادههای مختلف به یک رشته با طول ثابت تبدیل شوند، که مقدار هش نامیده میشود. مهمترین ویژگی توابع هش این است که تغییرات بسیار کوچک در مقادیر ورودی، مقدار کاملاً متفاوتی در خروجی ایجاد میکند، بنابراین یافتن مقدار اولیه بسیار دشوار است.
به طور خلاصه، روش تولید امضا به شرح زیر است:
- یک عدد تصادفی تولید میشود.
- عنصر تصادفی امضا از آن عدد تصادفی محاسبه میشود.
- مقدار هش سندی که امضا می شود محاسبه میشود.
- با استفاده از کلید خصوصی ناشر، مقادیر عنصر تصادفی، مقدار هش سند و امضای دیجیتال تولید میشود.
امضاهای دیجیتالی نیز مانند امضاهای دست نویس، برای هر امضاکننده منحصر به فرد است. همانطور که پیشتر ذکر شد، ارائه دهندگان راهحل امضای دیجیتال، پروتکل خاصی به نام زیرساخت کلید عمومی (PKI) را دنبال میکنند. PKI، ارائه دهنده خدمات را ملزم میکند تا از الگوریتم ریاضی برای تولید دو عدد طولانی به نام کلید (یک کلید عمومی است و یک کلید خصوصی) استفاده کند.
برای محافظت از یکپارچگی امضا، PKI نیاز به ایجاد، هدایت و ذخیره کلیدها به روشی ایمن دارد و غالباً به خدمات صادر کننده معتبرگواهینامه (CA) نیاز دارد. ارائهدهندگان امضای دیجیتالی، مانند شاکیلید ( و آنچه در اپلیکیشن امضامی انجام میشود)، الزامات PKI را برای امضای دیجیتال ایمن برآورده میکنند.
دریافت گواهی امضای دیجیتال
در مناطق جغرافیای مختلف، استانداردهای امضای دیجیتال کم و بیش متفاوت است. پیروی از این استانداردهای محلی مبتنی بر فناوری PKI و کار با یک مرجع معتبر صدورگواهی (CA) از عملباتی بودن و معتبر بودن امضای دیجیتال در آن مناطق اطمینان حاصل میکند. با استفاده از روش PKI، امضاهای دیجیتال از یک فناوری مبتنی بر استاندارد بین المللی، کاملاً شناخته شده استفاده میکنند که همچنین به جلوگیری از جعل یا تغییر در سند پس از امضا کمک میکند.
روشهای مختلفی برای دریافت گواهی امضای دیجیتال در ایران وجود دارد که از آن جمله میتوان به
- مراجعه به دفاتر اسناد رسمی و درخواست گواهی امضای دیجیتال
- مراجعه به دفاتر دولت الکترونیک و درخواست گواهی امضای دیجیتال
- مراجعه به دفاتر ثبت نام گواهی امضا (RA) و درخواست گواهی امضای دیجیتال
- درخواست امضای دیجیتال از طریق اپلیکیشن موبایل امضامی
اشاره کرد. در هر یک از این روشها، فرد پس از درخواست گواهی امضای قانونی، فرآیند احراز هویت را طی میکند و پس از تایید هویت، گواهی امضای دیجیتال معتبر برای او صادر میشود و از آن پس امکان امضای اسناد با این گواهی برای او فراهم است.
موارد استفاده امضای دیجیتال
از امضای دیجیتال برای دستیابی به سه هدف مهم امنیت اطلاعات استفاده میشود: یکپارچگی، صحت و انکارناپذیری.
ارائه دهندگان امضای دیجیتال مانند امضامی که راهحلهای مبتنی بر فناوری امضای دیجیتال را ارائه میدهند، امضای دیجیتالی اسناد را آسان میکنند. آنها رابطی برای ارسال و امضای اسناد بصورت آنلاین فراهم میکنند و برای تهیه گواهینامههای دیجیتال معتمد با مقامات صدور گواهینامه مناسب در تعاملند.
بسته به سازمان صادرکننده گواهینامه امضا، ممکن است لازم باشد اطلاعات خاصی را ارائه دهید. همچنین ممکن است محدودیتها و ممنوعیتهایی برای نوع اسناد مورد امضا، افراد امضا کننده و حتی تقدم و ترتیب ارسال آن وجود داشته باشد. این مقررات توسط مراجع صادر کننده گواهی امضا اعلام شده و بر حسب اینکه شما از کدام مرجع گواهی را دریافت نمودهاید باید طبق آن مقررات عمل نمایید.
امضاهای دیجیتالی میتوانند مبدا، زمان، هویت و وضعیت یک سند دیجیتالی را اثبات کنند. یک امضا تأیید میکند که دادهها از امضا کننده صادر شده و در حین انتقال دستکاری نشدهاند.
امضامی – امضای دیجیتال همراه شرکت شاهراه اعتماد کلید – یکی از روشهای استفاده از امضای دیجیتال است، در حالت کلی برای امضای دیجیتال، نیاز به توکن وجود دارد ولی امضامی توکن و موبایل را در هم آمیخته است. این امر ویژگیهای سهولت و سرعت و همراه بودن را به ارمغان میآورد.
چندین سطح برای امضای دیجیتال بر حسب درجه اعتبار و موارد کاربرد متصور است که در مناطق جغرافیایی گوناگون و نیز بسته به مرجع صادر کننده گواهی امضا این سطوح و کاربردهای آنها متفاوت میباشد. بعضا این سطوح تا 4 سطح در نظر گرفته میشود که پایینترین سطح آن یعنی سطح یک حداقل میزان مسئولیت و نقل و انتقالات مالی را شامل میشود و بالاترین سطح نیز بالاترین میزان را در بر دارد. بنابراین موراد استفاده و کاربرد امضای دیجیتال را میتوان نامحدود دانست ولی این مسئله تحت تاثیر منطقه جغرافیایی و مراجع صادر کننده گواهی میباشد.
مزایای استفاده از امضای دیجیتال
-
صرفهجویی در وقت
با امضای دیجیتال، صرفهجویی زیادی در هزینه و زمان وجود دارد، به ویژه هنگامی که فرد مورد نظر برای امضا، در منطقهای متفاوت از نظر جغرافیایی باشد. با در دست داشتن یک تبلت، رایانه یا تلفن هوشمند، اسناد را میتوان تقریباً فوری، از هر کجا با یک کلیک امضا کرد.
-
صرفهجویی در هزینه
صرفهجویی در هزینه میتواند شامل کاهش هزینه جوهر، کاغذ، چاپ، اسکن، حمل و نقل / تحویل یا هزینههای سفر و همچنین در هزینههای غیرمستقیم مانند پروندهسازی، بازیابی مجدد دادهها، بایگانی یا پیگیری باشد.
-
بازدهی بالاتر
با تأخیر کمتر، امضاهای دیجیتالی کارایی بهتر در گردش کار را تضمین میکنند. مدیریت و ردیابی اسناد با تلاش و زمان کمتری ممکن میشود و بسیاری از ویژگیهای امضاهای دیجیتال به سرعت بخشیدن به روند کار کمک میکند.
-
تجربه بهتر مشتری
مشتری میتواند در هر جایی باشد و با یک شرکت ارتباط برقرار کند و خدمات و مشاغل را بسیار راحت تر، سریع تر و کاربرپسندتر دریافت کند، زیرا مضای دیجیتالی، امضای اسناد مهم را در هر مکانی که مشتری یا شخصی که امضا میکند مستقر است فراهم میآورد. فروشندگان نیز نیازی به انتظار برای آمدن مشتری به بانک یا دفتر ندارند. این امر به ویژه در مناطق دور افتاده و شهرهای کوچکتر ایدهآل است زیرا میتواند به ارائه خدمات بهبود یافته و شخصیسازی شده بیشتری منجر شود.
-
امنیت
وقتی صحبت از امضا میشود، اصالت و امنیت در اولویت قرار دارد. امضای دیجیتای خطر تکثیر یا تغییر سند را کاهش میدهد و اعتبار و قانونی بودن امضا را تضمین میکنند. ثبتنام کنندگان با کدی ارائه میشوند که میتوان هویت و امضاهای آنها را تأیید کرد. مهر زمان[11] ، تاریخ و زمان امضا را مستند میکند، و خطر دستکاری یا تقلب را به حداقل میرساند. ویژگیهای امنیتی جاسازی شده در امضاهای دیجیتالی این اطمینان را میدهد که اسناد بدون مجوز تغییر نکردهاند.
-
اعتبار قانونی
امضای دیجیتال صحت امضا را تأمین و تضمین میکند و در دادگاه حکم سند کاغذی امضا شده را دارد. قابلیت مهر زنی در زمان برای ردیابی و بایگانی اسناد، ممیزی و انطباق را بهبود و ساده میکند.
-
مزایای زیست محیطی
با رشد آگاهی شرکتها و مشاغل از نقش خود در پایداری زیست محیطی، امضای دیجیتال گامی فراتر در تلاش آنها در زمینه کاهش ضایعات و سازگار بودن با محیط زیست خواهد بود.
-
کارایی تجاری
هزینههای مربوط به ادغام امضای دیجیتال در فرایندهای کار، در مقایسه با مزایای آن، نسبتاً ناچیز است. با کاهش زمان چرخش قرارداد و نیز گردش کار، امضای دیجیتال برای سازمانهای کوچک و بزرگ شرایط ایدهآلی را فراهم میآورد.
ترجمه و تالیف: فروغ مروّج صالحی
منابع : Emily Maxie, 2014, Signix Jake Ludin, SecureW2 DocuSign, Hoe it Works, Digital Signature create digital signature Eliza Paul, September 2017
[1] Whitfield Diffie and Martin Hellman
[2] Ronald Rivest, Adi Shamir and Len Adleman
[3] Encryption — RSA (Rivest–Shamir–Adleman) is a public-key cryptosystem that is widely used for secure data transmission. It is also one of the oldest.
[4] Lotus Notes 1.0
[6] Signix
[7] Docusign
[8] Echo Sign
[9] Open Standard
[10] PKI (Public Key infrastructure)
[11] TimeStamp