پایان نامه : معیارها و ویژگیهای امضای الکترونیکی مطمئن |
در مقررات مربوطه جهانی، قانونگذاران برای اینکه امضای الکترونیکی مطمئن محسوب شود، با بیان معیارها، وجود شرایطی را الزامی دانستهاند:
ق.ن.ا.ا.آ در پارگراف یک از ماده شش اشعار داشته: «هرگاه قانون امضای شخصی را لازم بداند، آن الزام در ارتباط با داده پیام محقق است اگر با لحاظ همه اوضاع و احوال شامل هر قرارداد مربوطه، از یک امضای الکترونیکی مطمئن و متناسب با هدفی که داده پیام برای آن ایجاد یا تبادل شده است استفاده شود.» و در پاراگراف سه از همان ماده بیان شده «امضای الکترونیکی برای هدف ایفای الزام اشاره شده در پاراگراف یک معتبر شناخته میشود اگر:
(الف) دادههای ایجاد امضای الکترونیکی، در متنی که برای آن استفاده شده است، منتسب به امضا کننده باشند نه به شخص دیگری؛
(ب) دادههای ایجاد امضا، در زمان امضا، تحت کنترل امضا کننده باشند نه شخص دیگری؛
(ج) هرگونه تغییر ایجاد شده در امضای الکترونیکی بعد از زمان امضا، قابل تشخیص باشد؛ و
(د) هرگاه هدف از الزام قانونی برای امضا، تدارک دیدن اطمینان از تمامیت اطلاعاتی است که امضا حاکی از آن است، هرگونه تغییر ایجاد شده در آن اطلاعات بعد از زمان امضا، قابل تشخیص باشد.». این قانون در مواردی که تحصیل اطمینان از تمامیت اطلاعات ضروری باشد، شرط تأمین تمامیت اطلاعات را لازم دانسته نه در همه موارد، از اینرو امضای الکترونیکی در صورت تناسب ایمنی روشهای بهکار گرفته شده با هدفی که داده پیام برای آن ایجاد و تبادل شده است، مطمئن محسوب میشود و چنانچه ایمنی روشهای بهکار گرفته شده تناسبی با هدف نداشته باشد، در آن خصوص مطمئن نبوده و الزام قانونی یاد شده(وجود امضای شخص) را فراهم نمیکند.
طبق بند دو از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC پارلمان و شورای اروپا، امضای الکترونیکی پیشرفته(مطمئن) باید الزامات زیر را تأمین کند:
«(الف) به نحو منحصر به فردی منتسب به امضا کننده باشد؛
(ب) قابلیت شناسایی هویت امضا کننده را داشته باشد؛
(ج) با بهره گرفتن از وسایلی ایجاد شده باشد که امضا کننده بتواند آنرا تحت اراده انحصاری خویش نگاه دارد؛ و
(د) به نحوی به دادههایی که به آنها مرتبط است متصل شده باشد که هرگونه تغییر بعدی دادهها قابل تشخیص باشد».
مصوبه امضای الکترونیکی شورای دولتی فرانسه در بخش شرایط راجع به وسایل و روشهای ایجاد امضای الکترونیکی در ماده سه مقرر داشته: «بهمنظور اجرای ماده یک این مصوبه، وسایل و روشهای امضای الکترونیکی:
۱) تضمین میکند که امضای الکترونیکی منحصراً به امضا کننده منتسب است.
۲) امکان ایجاد امضای الکترونیکی را به وسایلی که تحت کنترل انحصاری امضا کننده باشد فراهم میکند.
۳) امضای الکترونیکی به نحوی ایجاد و به دادههای مرتبط به خود متصل میشود که هرگونه تغییر بعدی در آن قابل کشف باشد.
۴) از طریق ابزارهای فنی و روشهای مناسب تضمین میکند که:
الف) دادههای مورد استفاده برای امضای الکترونیکی نتوانند بیشتر از یکبار استفاده شده و اینکه جنبه محرمانه آنها تضمین شود.
ب) دادههای مورد استفاده برای امضای الکترونیکی از طریق استنتاج قابل دستیابی نباشد و اینکه امضا در مقابل هرگونه شبیهسازی از طریق ابزارهای فنی مطابق با پیشرفتهای فنی محافظت شود.
پ) دادههای مورد استفاده برای امضای الکترونیکی توسط امضا کننده قانونی در مقابل استفاده آن توسط اشخاص ثالث به نحو اطمینان بخشی مورد محافظت قرار گیرد.
۵) وسایل و روشهای امضای الکترونیکی نباید دادههای لازم برای امضا را تغییر دهد یا موجب آن شود که این دادهها قبل از طی تشریفات امضا در اختیار امضا کننده قرار گیرد.»[۱]. این مصوبه با توجه به ماده ۱۳۱۶-۴ قانون مدنی فرانسه، معیارها و شرایطی را که برای انجام امضای یک معامله مقرر داشته، شرایط امضای الکترونیکی مطمئن است و فقط امضایی را که معیارهای مذکور را تأمین کند(امضای الکترونیکی مطمئن) برای انجام امضای معامله معتبر میداند و تفکیکی بین امضاهای الکترونیکی قائل نشده است.
در حقوق ایران ماده ۱۰ ق.ت.ا، معیارها و شرایط امضای الکترونیکی مطمئن را احصا کرده و مقرر داشته است: «امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد:
الف- نسبت به امضا کننده منحصر به فرد باشد.
ب- هویت امضا کننده داده پیام را معلوم نماید.
ج- بهوسیله امضا کننده و یا تحت اراده انحصاری وی صادر شده باشد.
د- بهنحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام قابل تشخیص و کشف باشد.»
ویژگی و کارکردهای امضای الکترونیکی مطمئن که در قوانین یاد شده به آنها اشاره شده است، عبارتند از:
۱- نسبت به امضا کننده منحصر به فرد بودن؛
۲- داشتن قابلیت شناسایی هویت امضاکننده؛
۳- منتسب نمودن داده پیام به امضا کننده؛ و
۴- قابلیت تشخیص و کشف هرگونه تغییر در داده پیام(تأمین تمامیت).
کارکرد اخیر ویژگی خاص امضای الکترونیکی است و امضای سنتی چنین کارکردی ندارد، چرا که در سیستم مبتنی بر کاغذ این مهم از قابلیتهای کاغذ است که هرگونه تغییر(اعم از پاکشدگی، تراشیدگی و الحاق) به کمک روشهای فنی و کارشناسی قابل کشف است.
با نگاهی به مقررات اخیرالذکر ملاحظه میشود که قانونگذاران درصدد تلفیق ویژگیها و کارکردهای امضای سنتی و الکترونیکی بودهاند و بر اساس این رویکردها استفاده میشود که امضای الکترونیکی در صورت دارا بودن شرایط مقرره، به عنوان جایگزینی برای امضای دستنوشته شناخته شده است.
در امضای الکترونیکی، تکنولوژی و روش خاصی برای امضا موضوعیت ندارد، بلکه هر تکنولوژی و روشی که الزامات و اهدافی را که قانونگذاران در نظر گرفتهاند تأمین کند، میتواند برای ایجاد امضای الکترونیکی بهکار گرفته شود. همچنانکه ق.ن.ا.ا.آ که ملهِم قانونهای ملی از جمله ق.ت.ا کشورمان میباشد، در ماده سه مقرر داشته: «هیچیک از مواد این قانون به جز ماده پنج نبایستی طوری اعمال شود که اثر حقوقی هریک از روشهای ایجاد یک امضای الکترونیکی را که واجد الزامات اشاره شده در پاراگراف یک ماده شش میباشد یا به نحوی الزامات قانون حاکمی را تأمین میکند، استثنا، محدود یا محروم کند.»؛ بر همین اساس ممکن است از روشهای مبتنی بر زیستسنجی[۲] که از خصیصههای فیزیولوژیکی و منحصر به فرد انسان، مانند اثرانگشت وی برای محقق ساختن اهداف مورد نظر بهره میبرد استفاده شود، و یا با پیشرفت تکنولوژی، روشهای جایگزین مطمئنتری شناخته شود.
امروزه در اکثر کشورها از جمله در کشور ما برای تأمین الزامات قانونی و ایجاد امضای الکترونیکی مطمئن، از امضای دیجیتالیِ مبتنی بر فناوری رمزنگاری[۳] با الگوریتم نامتقارن[۴] استفاده میشود. فناوری رمزنگاری حوزهای از دانش و تکنیک برای انتقال داده میان کاربران بر روی یک کانال عمومی(در معرض حمله مهاجم خارجی) است، به منظور:
۱- مخفی کردن محتوی آن؛
۲- جلوگیری از تغییرات ناخواسته؛ و
۳- جلوگیری از دسترسیهای غیرمجاز[۵].
الگوریتمهای نامتقارن، الگوریتمهایی هستند که دو کلید را مورد استفاده قرار میدهند. یک کلید برای رمزگذاری پیام و کلید دیگری که متفاوت از اولی است، برای رمزگشایی پیام وجود دارد[۶].
در امضای دیجیتالی مبتنی بر فناوری رمزنگاری نامتقارن، از یک زوج کلید[۷] مرتبط ریاضیاتی، یعنی کلید خصوصی[۸] و کلید عمومی[۹]، به عبارت دیگر دادههای ایجاد و وارسی امضای الکترونیکی، برای امضای الکترونیکی استفاده میشود؛ کلید خصوصی آشکار نبوده و در اختیار امضا کننده است و فاش نمیشود، اما کلید عمومی قابلیت بازبینی را دارد و در اختیار طرف اعتماد کننده[۱۰] برای اعتبار سنجی و تصدیق قرار میگیرد.
کلید خصوصی دادهای انحصاری(منحصر به فرد) نظیر رمز است که امضا کننده برای ایجاد امضای الکترونیکی از آن استفاده میکند و کلید عمومی دادهای نظیر رمز میباشد که برای بررسی صحت امضای الکترونیکی و شناسایی کردن مالک کلید خصوصی، مورد استفاده قرار میگیرد و در مخزن[۱۱] گواهی، ذخیره شده و در دسترس طرف اعتماد کننده قرار میگیرد.
امضای الکترونیکی مبتنی بر فناوری رمزنگاری، یک رشته عددی است که به روش پیچیدهای از متن یک سند استخراج و پس از رمزنگاری با کلید خصوصی صاحب سند، به اصل سند ضمیمه و ارسال میشود، بهگونهای که هر گیرنده اطلاعات بتواند منبع و تمامیت اطلاعـات را تشخیص دهد[۱۲].
بدینترتیب امضای دیجیتالی با خصوصیاتی که برایش برشمردیم، الزامات و اهدافی نظیر شناسایی(تعیین هویت)[۱۳]، تمامیت[۱۴] و منحصربهفرد[۱۵] بودن را تأمین میکند. برای فهم هرچه بهتر کارکردهای این فناوری، شناخت «گواهی الکترونیکی»[۱۶] و «دفاتر خدمات صدور گواهی الکترونیکی»[۱۷] ضروری است که در ادامه به آنها میپردازیم.
۲- گواهی الکترونیکی
طبق بند (ب) از ماده دو ق.ن.ا.ا.آ: «گواهی عبارت است از یک داده پیام یا مستندی دیگر که پیوند میان امضا کننده و امضا را در ایجاد داده تأیید میکند.»
بند چهار از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC، مصوب داشته: «دادههای ایجاد امضا[۱۸] عبارت است از دادههای منحصر بهفردی نظیر کدها یا کلیدهای خصوصی رمزنگاری، که توسط امضاکننده برای ایجاد یک امضای الکترونیکی استفاده میشوند.» مصوبه شورای دولتی فرانسه نیز دقیقاً همین تعریف را در ماده دو تحت عنوان «دادههای امضای الکترونیکی» بهعمل آورده است.
طبق تعریفی که بند «ج» ماده یک آییننامه اجرایی ماده (۳۲) ق.ت.ا به دست میدهد: «گواهی الکترونیکی داده الکترونیکی است حاوی اطلاعاتی در مورد مرکز صادرکننده گواهی، مالک گواهی، تاریخ صدور و انقضا، کلید عمومی مالک و یک شماره سریال که توسط مرکز میانی تولید شده به گونهای که هر شخصی میتواند به صحت ارتباط بین کلید عمومی و مالک آن اعتماد کند.».
گواهی الکترونیکی ساختار دادهای الکترونیکی است که به آن یک امضای الکترونیکی بر اساس آن ساختار دادهای اضافه میشود و جهت ارتباط دادن نام و مشخصات امضا کننده با کلید عمومی او مورد استفاده قرار میگیرد، به بیانی روشنتر گواهی الکترونیکی همان شناسنامهای است که هویت واقعی شما را به صورت مجازی تعیین میکند. کاربرد گواهی الکترونیکی در حقیقت، استفاده در امضای الکترونیکی و رمزنگاری اطلاعات است. در مجموع، گواهی الکترونیکی سندی است که:
۱- توسط یک موجودیت قابل اعتماد صادر و امضا شده است.
۲- بر اساس تأیید هویتی است که توسط یک مرکز صورت گرفته است.
۳- حاوی یک سری اطلاعات و کلید عمومی شخص یا سازمان است.
۴- مورد استفاده آن در گواهی قید شده است.
۵- مدت اعتبار مشخص و محدودی دارد.[۱۹]
گواهی الکترونیکی را میتوان ترکیبی از مدرک شناسایی و وسیلهای برای امضا در فضای مجازی دانست، با این تفاوت که اولاً برای دسترسی به اطلاعات گواهی الکترونیکی و استفاده از آن روش خاصی(معمولاً وارد کردن رمز عبور) در نظر گرفته میشود و ثانیاً صاحبان گواهی در قبال آن وظایفی نظیر استفاده از گواهی تنها برای مقاصد قانونی و مجاز مطابق مقررات و اطلاعرسانی به دفاتر ثبت نام در صورت در خطر افشا قرار گرفتن کلید خصوصی خود، بر عهده دارند و ثالثاً باید گواهی را تحت اراده انحصاری خود نگهداری کنند.
البته لازم بهذکر بهنظر میرسد که اطلاق گواهی الکترونیکی به گواهی دیجیتالی به دلیل عدم تأکید بر فناوری خاصی نظیر فناوری دیجیتال بوده و مبنی بر مسامحه است و هرچند عرفاً با ایرادی مواجه نیست، اما از نظر علمی میان آنها تفاوت است و گواهی الکترونیکی اعم از گواهی دیجیتالی(رقمی) است.
گواهیهای دیجیتالی بر روی سختافزارهایی که مطابق مشخصات فنی اعلام شده از طرف مراکز صدور گواهی میباشند، تولید و به متقاضی تحویل میشوند.
استفاده گسترده از امضای دیجیتالی، مستلزم وجود زیر ساخت کلید عمومی[۲۰] که عبارت است از «مجموعهای از نرمافزارها، سختافزارها، سیاستها، فرآیندها و روالهای مورد نیاز برای مدیریت گواهیها و زوج کلیدها»(بند «ش» ماده یک آییننامه اجرایی ماده ۳۲ ق.ت.ا)، و وجود مرجع ثالث قابل اعتمادی[۲۱](دفاتر خدمات صدور گواهی الکترونیکی) برای ارائه خدمات گواهی میباشد.
۳- دفاتر خدمات صدور گواهی الکترونیکی
مطابق ماده ۳۱ ق.ت.ا «دفاتر خدمات صدور گواهی الکترونیکی واحدهائی هستند که برای ارائه خدمات صدور گواهی الکترونیکی در کشور تأسیس میشوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و بهروز نگهداری گواهیهای اصالت (امضای) الکترونیکی میباشد.»
ماده چهار آییننامه اجرایی ماده ۳۲ ق.ت.ا سطوح دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده (۳۱) قانون را به عنوان ارائه دهندگان خدمات گواهی الکترونیکی به شرح زیر تعیین نموده است:
الف- مرکز دولتی صدور گواهی الکترونیکی ریشه که با کسب مجوز از شورای سیاستگذاری گواهی الکترونیکی فعالیت می کند.
ب- مرکز صدور گواهی الکترونیکی میانی که با کسب مجوز از یک مرکز ریشه، مبادرت به صدور گواهی الکترونیکی نموده و سایر خدمات مربوط به امضای الکترونیکی را انجام میدهد.
ج- دفتر ثبتنام گواهی الکترونیکی که با کسب مجوز از حداقل یک مرکز میانی نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهیها و سایر امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوی مراکز میانی که تعهد همکاری با آنها را امضا نموده است، اقدام می کند.
طبق بند دو ماده ۱۳ آییننامه یاد شده، احراز هویت متقاضیِ دریافت خدمات گواهی، از وظایف دفاتر ثبت نام گواهی الکترونیکی و به نظر مهمترین وظیفه این دفاتر میباشد که به امضای الکترونیکی و به تبع آن، مدارک و اطلاعات الکترونیکی امکان انتساب میبخشد.
اعتبار سنجی امضای الکترونیکی از طریق اعتبار سنجی گواهی الکترونیکی صورت میپذیرد، در این فرآیند پیوند بین مشخصات مالک گواهی و کلید عمومی او بررسی میگردد. در یک زنجیره گواهی، هر گواهی توسط صادر کننده آن امضا شده است و این زنجیره از گواهیای که برای امضای الکترونیکی از آن استفاده شده تا گواهی متعلق به مرکز دولتی ریشه امتداد دارد؛ فرآیند اعتبار سنجی زنجیره گواهی، توسط نرمافزارهای مخصوصی به عمل میآید.
ب- امضای الکترونیکی غیرمطمئن
هرچند در متن ق.ت.ا کشورمان صراحتاً از امضای الکترونیکی غیرمطمئن یادی نشده است، اما میتوان از مقررات، از جمله تعریف امضای الکترونیکی(بند «ی» ماده دو) و تفکیک آن از تعریف امضای الکترونیکی مطمئن(بند «ک» همان ماده) و نتیجتاً تعیین ارزش اثباتی متفاوت برای امضای الکترونیکی مطمئن، این موضوع را استفاده کرد.
تعریفی که بند «ی» ماده دو قانون تجارت الکترونیکی کشورمان ارائه میدهد و قبلاً بیان شد، تعریف امضای الکترونیکی غیرمطمئن است که قانونگذار برای آن صرفاً ویژگی قابلیت شناسایی امضا کننده را پیشبینی و تصریح کرده است و میتواند شامل اسکن امضای دستی، درج نام و نامخانوادگی یا متصل نمودن هر نوع علامتی به سند الکترونیکی شود که موجبات شناسایی امضاکننده را فراهم میکند. استفاده مکرر، توافق قبلی یا ارسال از صندوق پستی الکترونیکی شخص، میتواند قرینه بر هویت وی باشد.
امضای الکترونیکی که نسبت به امضا کننده منحصر به فرد نباشد، تضمینی از هویت امضا کننده بهدست ندهد و اطمینانی از موجودیت کامل و بدون تغییر داده پیام(تمامیت) فراهم نیاورد، امضای الکترونیکی غیرمطمئن محسوب است.
[۱] – ترجمه ستار زرکلام، طرح توجیهی قانون تجارت الکترونیکی، ص۱۲۴ و ۱۲۵٫
[۲]- Biometric.
[۳]- Cryptography.
[۴]- Asymmetrical algorithm.
[۵] – سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور، مرکز دولتی صدور گواهی الکترونیکی ریشه،۱۳۹۱، ص۳۱، http://www.rca.gov.ir.
[۶] – امیر سپاهی، حقوق اسناد(کاغذی-الکترونیکی)، تهران، انتشارات دادگستر، ۱۳۹۳، ص۳۰٫
[۷]- Key Pair.
[۸]- Private key.
[۹]- Public key.
[۱۰]- Relying Party.
[۱۱] – Repository: پایگاه داده ذخیره و انتشار گواهیهای الکترونیکی و اطلاعات مربوط به آنها جهت بهرهبرداری طرفهای اعتماد کننده است(دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی میانی بازرگانی، مرکز صدور گواهی الکترونیکی بازرگانی، ۱۳۸۶، ص۱۷، http://www.mocca.ir).
[۱۲] – سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور، ص۲۹٫
[۱۳]- Identification.
[۱۴]- Integrity.
[۱۵]- Unique.
[۱۶]- Digital Certificate.
[۱۷]- Certification Service Provider.
[۱۸]- Signature creation data.
[۱۹] – مرجان مظفری، آشنایی با امضای الکترونیکی، تهران، شرکت چاپ و نشر بازرگانی، ۱۳۹۰، ص ۴۹ و ۵۰٫
[۲۰]- Public Key Infrastructure (PKI).
[۲۱]- Reliable Third Party.
فرم در حال بارگذاری ...
[یکشنبه 1399-06-09] [ 12:51:00 ق.ظ ]
|