گسترش تجارت الکترونیک مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع تجارت است و این اطمینان باید از طریق تضمین امنیت و اعتبار تبادل الکترونیک دادهها صورت گیرد. یکی از عواملی که باعث اعتبار قرارداد یا هر سند دیگری میشود، صحت انتساب آن به صادرکننده است که تاکنون از طریق مهر یا امضا صورت میگرفته و دلیل معتبری برای تحقق صحت انتساب صادرکننده بوده است. در قراردادهای الکترونیک نیز اسناد و اطلاعات و داده پیامها باید به امضاء شخص صادرکننده برسد تا بتوان صحت انتساب آنها را به او احراز کرد.
بنابراین، برای اعتبار و صحت انتساب اسناد قراردادهای الکترونیک لازم است یک امضاء الکترونیک تعریف کرد و آن را جایگزین امضاهای دستنویس نمود. ارزش اثباتی اسناد قرارداد که به شیوه الکترونیک صادر شدهاند، ایجاب میکند تا ابعاد علمی و ارکان لازم برای تأثیرگذاری یک امضاء الکترونیک به طور دقیق معین شود. همچنین باید به دقت محدوده اعتبار و اطمینان روشها و نرمافزارهای امضاء الکترونیک مشخص شود. از آنجایی که امضا یک عمل حقوقی است و به همین جهت، فناوری امضاء الکترونیک به عنوان یکی از مباحث حقوقی تجارت الکترونیک باید از منظر علم حقوق مورد توجه قرار گیرد. در این مقاله سعی میشود ضمن تعریف و آشنایی با امضاء الکترونیک، جنبههای فنی و حقوقی آن مورد بررسی قرار گیرد.
2. تعریف امضا و جایگاه حقوقی آن
امضا عبارت است از نوشتن نام یا نام خانوادگی (یا هر دو) یا رسم علامت خاصی که نشانه هویت صاحب علامت است، در ذیل اوراق و اسناد عادی یا رسمی که متضمن وقوع معامله یا تعهد یا قرار یا شهادت و مانند آنها است یا بعداً باید روی آن اوراق تعهد یا معاملهای ثبت شود (سفید مهر)[1]. بنابراین، اثر مهم امضا متعهد شدن به تمام آثار جنبههای سند یا قراردادی است که امضا شده باشد.
به طور کلی، نوشته منتسب به اشخاص در صورتی قابل استناد است که امضا شده باشد. امضا نشان تأیید اعلامهای مندرج و پذیرش تعهدهای ناشی از آن است و پیش از آن نوشته را باید طرحی به حساب آورد که موضوع مطالعه و تدبر است و هنوز تصمیم نهایی درباره آن گرفته نشده است.[2] بنابراین، هر سندی که امضا میشود، در واقع اعتبار مییابد و میتوان آن را به شخصی منتسب نمود و وی را به مندرجات آن ملتزم ساخت.
3. تفاوت امضاء مکتوب و امضاء دیجیتال
گرچه برای هر دو از واژه امضا استفاده میشود، ولی در واقع امضاء دیجیتالی و امضاء دستی مشخصات و خواص کاملاً متفاوتی دارند. اگر یک سند که به وسیله امضاء دیجیتالی امضا شده، به هر طریقی دستکاری شود، امضاء دیجیتالی مورد تأیید قرار نمیگیرد؛ ولی یک امضاء دستی که به یک روش بیومتریک متعلق به یک شخص مرتبط است، نمیتواند از دستکاری به طوری که آثار آن روی سند مشخص نباشد، جلوگیری نماید. یک امضاء دستی گواهی است که شخص روی سند اعمال میکند؛ در حالی که یک امضاء دیجیتالی گواهی است که کلید خصوصی روی سند اعمال میکند. همچنین یک امضاء دیجیتالی مشخص مینماید که سند از زمان امضا تغییری نکرده است[3].
4. امضاء مکتوب و ویژگیهای آن
با امضا در پای یک نوشته امضاکننده هویت خود را به عنوان نویسنده مشخص میکند، جامعیت سند را تأیید نموده و بیان میدارد که به محتویات آن متعهد و پایبند است.
برخی از خواص مهم امضاهای دستی عبارتاند از:
1. امضاء یک شخص برای تمام مدارک یکسان است؛ بهآسانی تولید میشوند؛ بهراحتی تمیز داده میشوند؛ باید به گونهای باشند که حتیالامکان بهسختی جعل شوند؛ به طور فیزیکی تولید میشوند.
در کل باید امضاء دستی منحصر به فرد بوده و تنها به وسیله شخصی که سند را امضا کرده، قابل تولید مجدد باشد. وقتی سندی امضا میشود، محتوای سند نباید بدون اطلاع شخص امضاکننده آن تغییر یابد. در نتیجه، امضاء دستی قفل محتوای سند کاغذی نیز به حساب میآید و در نهایت، امضاء دستی مشخص میکند که شخص امضاکننده به محتوای سند آگاه بوده و با محتوای سند کاغذی موافق است.
5. امضاء دیجیتال و ویژگیهای آن
امضاء دیجیتالی یک شناسه الکترونیکی برای دنیای دیجیتالی است که انتقال اطلاعات محرمانه و حساس را به صورت امن فراهم میکند.
امضاء دیجیتالی، اصلیتِ(1) یک پیغام یا سند و یا فایل اطلاعاتی را تضمین میکند و در واقع، ابزار سندیت بخشیدن الکترونیکی میباشد که از طریق رمزنگاری انجام میشود.
موارد ضروری برای یک امضاء دیجیتال که در واقع ویژگیهای آن نیز محسوب میشوند، در زیر فهرست شده است:
- امضا باید تحت کنترل اختصاصی شخص باشد؛
- باید بهراحتی قابل بررسی و تأیید(2) باشد تا از جعل و انکار احتمالی آن جلوگیری شود؛
- امضا باید برای هر شخص منحصر به فرد(3) باشد؛
- امضا باید رضایت شخص را برای انجام معامله نشان دهد (اعلام آگاهی و موافقت با محتوای سند)؛
- امضا باید باعث قفل شدن سند شده و هر تغییری در محتوا را نشان دهد؛
- امضاء هر سندی متفاوت با امضاء اسناد دیگر است.
مورد مهمی که باید به آن دقت شود، روشی است که امضا به وسیله آن انجام شده (چه کسی، چه چیزی، در چه زمانی، کجا و چرا) و اطلاعات باید برای اطمینان از نتیجهای غیر قابل انکار(4) و صحیح حفاظت شود.
برای اثبات هویت یک کاربر، تکنیک تعیین به کار میرود. وقتی هویت یک کاربر شناسایی شد، کاربر به هویت دیجیتالی خود دسترسی پیدا میکند. گواهی دیجیتالی مجموعهای از اعتبارنامههای(5) مورد استفاده در فرآیند امضا است که از مراکز صدور گواهی داخلی یا خارجی بعد از تأیید کامل هویت شخص صادر میشود.
نرمافزارهای خاصی برای اجرای فرآیند امضا استفاده میشود. این نرمافزارها، اطلاعات منحصر به فردی از فایل مورد امضا و گواهی دیجیتالی را ترکیب میکنند تا یک امضاء دیجیتالی درون یک فایل قرار گیرد. این امضا میتواند به وسیله نرمافزارهای مخصوصی دیده و بررسی و تأیید شود که اغلب به صورت رایگان هستند.
6. تصوری رایج و غلط از امضاء دیجیتالی
افراد مختلف از امضاء دیجیتالی برداشتهای متفاوتی دارند. یکی از بیشترین تصورات، تصور امضاء دیجیتالی به صورت رسم گرافیکی امضاء دستی است که در واقع تصویر امضاء روی سند به حساب میآید.
این تصور، امضاء متعلق به شخص را همانند امضاء دستی نگاه میکند؛ چرا که رسم گرافیکی یک امضا میتواند به وسیله هر شخصی مجدداً تولید شود که این کار بهآسانی با اسکن امضا و قرار دادن آن روی سند امکانپذیر است. همچنین بهراحتی میتوان محتوا را تغیر داد و سپس امضا را اضافه نمود. در نهایت، رسم گرافیکی هیچ ضمانتی نمیکند که امضاکننده با محتوای سند موافق است.
همچنین بعضی شیوههای جدید تنها برای تعیین سندیت به یک موجودیت جهت دسترسی استفاده میشوند؛ برای مثال، نباید یک سیستم تشخیص هویت انگشتنگاری رایانهای، یک امضاء دستی اسکن شده یا وارد کردن اسم شخص در انتهای یک پست الکترونیکی را به عنوان یک جایگزین معتبر برای امضاهای دستی پذیرفت؛ زیرا همه عملکردهای یک امضاء دستی را نخواهد داشت.
7. تفاوت امضاء دیجیتالی و امضاء الکترونیکی
در سالهای اخیر، واژههای امضاء الکترونیک(6) و امضاء دیجیتالی(7) به طور گستردهای مورد استفاده قرار گرفتهاند و گاهی اوقات استفاده از این دو واژه به جای هم باعث اشتباه و گاهی سردرگمی شده است.
امضاء الکترونیک اغلب برای نسبت دادن یک امضا به یک متن از طریق یک یا چند وسیله الکترونیکی یا ابزار رمزنگاری جهت افزودن خواص عدم انکار و جامعیتِ(8) پیغام به یک سند استفاده میشود. در واقع، یک امضاء الکترونیکی هر نشانه یا سمبلی است که رضایت و قصد شخص را در یک فرم الکترونیکی نشان دهد که میتواند به طور ساده نوشتن نام شخص، کلیک روی دکمه تأیید، یا وارد کردن یک شماره شناسایی شخصی یا رمز عبور، امضاء بیومتریک و امضاء دیجیتال باشد[4].
امضاء دیجیتالی معمولاً به یک امضاء رمز شده برمیگردد که میتواند روی یک سند یا یک ساختار سطح پایینتر قرار گیرد و صریحاً به عنوان بخشی از استاندارد NIST(9) برای PKI(10) و DSS(11) تعریف شده است.
این اشتباه لغوی در بسیاری از حالات ناخوشایند است و تا زمانی که این مورد در قوانین و مقررات بهدرستی استانداردسازی نشود، همین طور باقی میماند.
در صورتی که امضاء الکترونیک از روشهای رمزنگاری برای اطمینان از جامعیت و سندیت پیام استفاده کند، یک امضاء دیجیتالی محسوب میشود. با استفاده از مکانیسمهای جامعیت پیام، هر تغییری در سند حاوی امضاء دیجیتالی، بهسهولت قابل کشف بوده و باعث عدم اعتبار امضاء ضمیمه شده میشود.
استانداردهای امضاء الکترونیک شامل استاندارد Opne PGP که به وسیله PGP (12) و GnuPG (13) پشتیبانی شده و برخی از استانداردهای S/MIME میباشد.
متنی که امضاء دیجیتال دارد، ممکن است برای حفاظت بیشتر در طی انتقال رمزگذاری شود؛ در صورتی که اگر فرآیند امضا به طرز صحیح اعمال شده باشد، دیگر نیازی به این کار نیست.
8. تعریف امضاء دیجیتال
اولین بار کانون وکلای ایالات متحده(14)، در سال 1992 میلادی در خصوص مسائل حقوقی و قانونی امضا در قراردادهای الکترونیک شروع به کار کرد و در سال 1995 میلادی پیشنویس و رهنمودهای امضاء دیجیتال(15) را که در خصوص چگونگی امضا در قراردادهای الکترونیک و زیرساختهای آن بود، تهیه کرد. در همان سال اولین قانون در مورد امضاء دیجیتال تصویب شد که در مورد ایجاد قطعیت و اعتبار قراردادهای الکترونیک و نیز فناوریهای مربوط به رمزنگاری(16) و احراز هویت و مراجع گواهی(17) امضاء الکترونیک بود. در سال 1996 میلادی آنسیترال قانون نمونهای در باب تجارت الکترونیک(18) تدوین کرد که شامل مقرراتی در خصوص امضاء الکترونیک بود. در سال 1997 میلادی، اتاق بازرگانی بینالمللی(19) مبادرت به صدور «راهنمای عمومی برای تجارت بینالمللی دیجیتال مطمئن»(20) نمود. اتحادیه اروپا در سال 1999 میلادی، «دستورالعمل امضاء الکترونیک»(21) را به تصویب رسانید و در نهایت، گروه کاری آنسیترال در باب تجارت الکترونیک، «قانون نمونه آنسیترال در باب امضاء الکترونیک»(22) را تصویب کرد تا به عنوان یک معیار استاندارد و رهنمون برای قانونگذاریهای ملی مورد استفاده کشورها قرار گیرد.
بسیاری از کشورها، بین سالهای 1996 تا 2001 میلادی، با استفاده از مقررات بینالمللی موجود و رهنمونهای ارائه شده در خصوص امضاء الکترونیک مبادرت به قانونگذاری در این زمینه کردهاند و در حال حاضر میتوان گفت امضاء الکترونیک در تمام نظامهای حقوقی مورد پذیرش قرار گرفته است.[5]
هیچ سندی در علم حقوق اعتبار ندارد؛ مگر اینکه دارای علامتی باشد که بر صدور آن از جانب مرجع مسلم الصدور دلالت کند. از جمله اهدافی که امضا در ذیل نوشتهها دنبال میکند، میتوان به اهدافی مانند: رسمیت یافتن، تأیید و قطعیت یافتن اسناد اشاره کرد. اما نباید غافل از آن بود که امضا فارغ از اهداف ذکر شده مبین قصد انشای فرد در انعقاد قرارداد است؛ به طوری که اگر سندی امضا نگردد، در حقیقت فرد قصد به وجود آوردن آن را نداشته و قرارداد کان لم یکن تلقی میگردد.
به منظور تنظیم روابط حقوقی و معاملاتی افراد در بستر مبادلات الکترونیک، تجارت از طریق اینترنت باید دارای یک چارچوب مشخص قانونی گردد و خلأهای قانونی آن مرتفع گردد تا هم عموم افراد به این شیوه از تجارت روی آورند و هم اینکه حقوق آنها تضمین گردد. بنابراین، میتوان گفت فقدان زیرساخت حقوقی و قانونی، از موانع اصلی رشد تجارت الکترونیک است.
خدمات ارائه شده توسط امضاء دیجیتال
تأیید هویت: گیرنده میتواند مطمئن باشد که فرستنده کیست.
جامعیت: گیرنده میتواند مطمئن باشد که اطلاعات حین انتقال تغییر پیدا نکرده است.
انکارناپذیری: فرستنده نمیتواند امضاء داده را انکار نماید.
9. امضاهای دیجیتال استاندارد
در زیر به معرفی مختصر و مقایسه اجمالی سه روش استاندارد امضاء دیجیتال پرداخته شده است.
الف- امضاء دیجیتال مبتنی بر RSA
این روش امضا مبتنی بر الگوریتم رمز کلید عمومی RSA بوده و در سال 1991 توسط ANSI به عنوان استاندارد پذیرفته شد.[6]
ب- استاندارد امضاء دیجیتال DSS
روش امضاء DSS بر اساس سیستم رمزنگاری کلید عمومیالجمال استوار است. DSS در آگوست سال 1991 توسط مؤسسۀ ملی استاندارد و تکنولوژی آمریکا پیشنهاد شد و در سال 1993 به عنوان یک استاندارد پردازش اطلاعات فدرال دولت آمریکا پذیرفته گردید. DSS اولین روش امضاء دیجیتالی بود که به صورت قانونی رسمیت یافت. در این روش به منظور کاهش اندازه امضاها از زیرگروههای کوچک در Zp استفاده میشود.
ج- امضاء دیجیتال مبتنی بر منحنیهای بیضوی
الگوریتم امضاء دیجیتال مبتنی بر منحنیهای بیضوی ECDSA(23) مشابه با DSS میباشد؛ بدین معنا که به جای کار در یک زیرگروه مرتبۀ q، در گروه نقاط روی منحنی بیضوی روی Zp کار میکنیم. [7]
مقایسۀ سه استاندارد امضاء دیجیتال RSA، DSS و ECDSA در جدول زیر مشخصات عمومی هر سه استاندارد امضاء دیجیتال آورده شده است.
نام استاندارد امضا سیستم رمزنگاری مبنا تابع درهمساز به کارگرفته شده نام استاندارد و مؤسسه استانداردکننده سال پذیرش استاندارد DSS الجمال 1- SHA FIPS 186-2 (ANSI X9.30) 1991میلادی RSA RSA MD2 MD5 ANSI X9.31 1991 میلادی ECDSA الجمال 2- SHA ANSI X9.62 IEEE PI363 ISO SC27 1998 میلادی
شکل 1: مشخصات عمومی سه استاندارد امضاء دیجیتال
در روش استاندارد مبتنی RSA برای به دست آوردن چکیدۀ پیام مجوز به کارگیری تابع درهمساز خاصی نیست؛ ولی توصیۀ ANSI این است که بهتر است از MD2 یا MD5 استفاده شود. در صورتیکه در دو استاندارد دیگر به کارگیری SHA-1 اجباری است.
نکتۀ دیگر اینکه امضاء دیجیتال مبتنی بر منحنیهای بیضوی توسط سه مؤسسه ANSI و IEEE و ISO انجام گرفته است که اصول هر سه یکی است.
الگوریتمهای تعیین اعتبار برای تولید امضاء دیجیتالی بر اساس رمز کردن داده به وسیله کلید خصوصی و رمزگشایی آن با استفاده از کلید عمومی نیاز دارند]9 و 8[. این فرآیند دقیقاً معکوس فرآیند محرمانه نگه داشتن داده میباشد. در نتیجه، سیستمهای رمزنگاری کلید عمومی بیشتر برای تولید امضا پیشنهاد داده میشود[10] و امتیاز اصلی رمزنگاری کلید عمومی این است که نه تنها جامیت داده را فراهم میکند، بلکه برای تعیین اعتبار نیز استفاده میشود.[9] تعیین اعتبار به وسیله امضاء دیجیتالی، خاصیت عدم انکار را فراهم میکند؛ بدین معنا که از انکار فرستنده مبنی بر فرستادن اطلاعات جلوگیری مینماید. این خواص برای رمزنگاری اساسی میباشند و برای حفاظت از هر الگوریتم رمزنگاری مورد نیاز هستند. فرآیند رمزنگاری بر اساس چند جملهایهای کوتاه شده(24)، شبیه NTRU هستند ]12 و 11[ که برخی از مسائل تولید اعداد اول بزرگ و توابع ریاضی در برگیرنده را که در برخی الگوریتمها نیاز است، حل کرده است.[6]
10. ساخت امضاء دیجیتالی
در ابتدا اطلاعاتی که قرار است امضا شود، مشخص میشود، مانند ارائه یک شیء اطلاعاتی به صورت دیجیتالی که میتواند متن، شکل و یا هر نوع دیگری از اطلاعات دیجیتالی باشد. امضاء دیجیتال برای یک پیغام در دو گام زیر ساخته میشود: [13]
1. تولید چکیده پیام(25): چکیده پیام، خلاصه پیغامی است که قرار است انتقال داده شود؛ به عبارت دیگر، عددی منحصر به فرد برای هر پیغام است که تغییر کوچکی در پیغام باعث تولید یک چکیده متفاوت میشود. چکیده پیام با استفاده از یک سری الگوریتمهای در همسازی(26) ساخته میشود. در واقع، ایجاد یک مقدارِ در هم(27) از اطلاعات معمولاً چکیده پیام نامیده میشود. در صورتیکه حتی یک بیت از واحد داده تغییر کند، مقدارِ در هم مرتبط با آن دستخوش تغییرات وسیع میگردد.
2. رمزنگاری(28): چکیده پیام به وسیله کلید خصوصی فرستنده رمز میشود. در واقع، چکیده پیام رمز شده یک امضاء دیجیتال تولید شده به روش بالا که مقداری منحصر به فرد هست، به پیغام ضمیمه میشود و به گیرنده فرستاده میشود.
پس از اینکه گیرنده پیغام را دریافت کرد، به روش زیر عمل میکند:
- امضاء دیجیتالی ضمیمه سند توسط کلید عمومی امضاکننده رمزگشایی میشود.
- الگوریتم چکیده پیام که در سمت فرستنده استفاده شده، در سمت گیرنده نیز استفاده میشود.
- دو چکیده پیام به دست آمده مقایسه میشود و در صورت معادل بودن، پیغام معتبر و دارای اعتبار شناخته میشود. چنانچه نتیجه یکسان بود، امضا پذیرفته و در غیر این صورت، رد میشود.
با این روش میتوان مطمئن بود که امضاء دیجیتالی به وسیله فرستناده اصلی فرستاده شده است؛ زیرا فقط کلید عمومی فرستنده قادر به باز کردن امضاء دیجیتالی است. اگر در وقت رمزگشایی با استفاده از کلید عمومی، چکیده پیامی که دارای اشکال است، برگردانده شود، بدین معنی است که این پیغام اصلی نیست.
هدف از به کارگیری روشهای رمزنگاری در اینجا، اطمینان از یکپارچگی دادهها و معتبر بودن و اصالت امضاکننده، جدا از کاربرد آن برای اطمینان از محرمانگی دادهها میباشد.
در عمل برای بالا بردن سرعت، به جای کل پیغام، چکیدههای آن امضا میشود. این چکیده از نظر اعتبار مانند کل متن است.تمام فرآیند در شکل زیر توضیح داده شده است.
شکل 2: فرآیند امضاء دیجیتالی
11. مراجع صدور گواهی(29)
رویه تصدیق امضا در کلیه روشها با فرض اینکه کلید عمومی واقعاً متعلق به امضاکننده است، صورت میگیرد. اگرچه این استنباط بدیهی نمیباشد و خطر آن وجود دارد که فردی جفت کلیدی درست کرده، کلید عمومی را در دایرکتوری عمومی در زیر نام فرد دیگری قرار داده و بنابراین، پیامهای الکترونیکی را تحت نام دیگری امضا کند. به علاوه، هر جفت کلید (خصوصی و عمومی) هیچگونه وابستگی ذاتی با یک هویت معین ندارد؛ بلکه تنها یک جفت از ارقام میباشند. پس این اطمینان باید وجود داشته باشد که کلید عمومی واقعاً به هویت مدعی تعلق دارد.
مشکل تأیید هویت به دست شرکتهای طرف ثالث حل میشود. یک نهاد طرف ثالث وجود ارتباط بین هویت و کلید عمومی را تضمین میکند. این ارتباط در تأییدیه الکترونیکی که کلید عمومی را به یک شخص مرتبط میکند، حاصل میشود. این نهادهای طرف ثالث به عنوان مراجع صدور گواهی شناخته شده و باید توسط تمام کاربران به عنوان نهاد طرف ثالث مطمئن(30) پذیرفته شوند. رویه تأیید کلید باید عاری از هر گونه خطا و اشتباه بوده و بالاترین سطح امنیت را احراز نماید. با انتشار یک تأییدیه دیجیتالی، یک مقام تأیید کننده، هویت کاربر را تأیید و تضمین میکند که کلید عمومی واقعاً به کاربر مزبور تعلق دارد.
این نهادها با استفاده از ابزارهای متداول تشخیص هویت (به طور معمول با تهیه اسناد فیزیکی از مشخصات افراد)، هویت امضاکننده را مشخص نموده و سپس تأییدیههای الکترونیکی را که باعث ارتباط کلیدهای امضاء دیجیتالی به اسامی اشخاص یا مؤسسات میشوند، صادر میکنند. هر تأییدیهای منحصربهفرد بوده و امکان کپیبرداری را ندارد.
12. تأییدیه امضاء دیجیتالی
تأییدیههای دیجیتالی شامل: کلید عمومی مالک، نام مالک، تاریخ انقضای تأییدیه، نام نهاد رسمی تأیید کنندههایی که تأییدیه دیجیتالی را صادر کرده، یک شماره سریال و سایر اطلاعات میباشد.
یک تأییدیه از چهار بخش تشکیل شده است:
- موضوع و خصوصیات آن: این اطلاعات در مورد با موضوعی است که قرار است تأیید شود؛ مثلاً برای یک شخص، این اطلاعات میتواند شامل: نام، ملیّت و نشانی، سازمان مربوطه و دپارتمان وی در آن سازمان باشد. همچنین میتواند شامل تصویری از شخص، یک اثر انگشت تبدیل به رمز شده و شماره پاسپورت باشد.
- اطلاعات کلید عمومی: اطلاعاتی در باره کلید عمومی است، که تأیید شدهاند. این تأییدیه باعث الحاق کلید عمومی به مندرجات مدرک مورد نظر میگردد.
- مقام تأیید کننده امضا: نهاد رسمی تأیید کننده (CA) دو مورد بالا را در هر سند امضاکرده و آن را به تأییدیه مربوطه الحاق کنند. افرادی که تأییدیه را دریافت میکند، امضا را کنترل نموده و چنانچه به این CA اطمینان داشته باشند، صحت اطلاعاتی را که کلید عمومی به آن الحاق شده نیز قبول خواهند داشت.
- تاریخ انقضای تأییدیه: هر تأییدیه دارای تاریخ انقضای میباشد. پس از انقضاء تاریخ تأییدیه، محتویات آن از طرف CA مربوطه تضمین نمیشود.
13. منابع حقوقی تجارت الکترونیکی
فناوری اطلاعات این امکان را فراهم آورده است که بسیاری از مبادلات تجاری، داد و ستدها و ارائه خدمات از طریق اینترنت انجام شوند. گسترش این نوع از روابط معاملاتی و تجاری بین افراد با طرح برخی مسائل حقوقی در زمینه قواعد حاکم بر روابط قراردادی افراد همراه بوده است. به رسمیت شناختن فناوریهای نوین ارتباطی در تشکیل قراردادها، چگونگی تشکیل و اعتبار آنها، قابلیت انتساب اسناد الکترونیک، مسائل مربوط به امضاء الکترونیک و روند پرداختهای الکترونیک از جمله مسائل مهم مطرح در این زمینه بوده است.
با رسمیت یافتن تجارت الکترونیک در جهان، بیش از هر چیز توجه به جنبههای حقوقی این نوع تجارت و قانونمند کردن آن احساس نیاز میشود. از همین رو، بیشتر کشورها در این زمینه اقدام به وضع قوانین جدید یا اصلاح قوانین موجود کردهاند. مجامع بینالمللی از قبیل آنستیرال(31)، اتحادیه اروپا(32)، سازمان توسعه و همکاری اقتصادی(33) و اتاق بازرگانی بینالمللی(34) از جمله سازمانهای فعال در این عرصه بودهاند که تاکنون برای ایجاد چارچوب قانونی تجارت الکترونیک قوانین و مقررات، دستورالعملها و رهنمودهایی را پیشبینی کردهاند.
گروه کاری تجارت الکترونیک آنسیترال در سال 1996م مبادرت به تدوین یک قانون نمونه در خصوص تجارت الکترونیک کرده و در سال 2001م نیز قانون نمونهای در باب امضاء الکترونیک به تصویب رسانده است. اتحادیه اروپا تاکنون دستورالعملهای متعددی در زمینه الکترونیک وضع کرده و در قالب آنها علاوه بر به رسمیت شناختن تجارت الکترونیک، مهمترین مسائل حقوقی آن را از قبیل شرایط انعقاد قراردادهای الکترونیک، امضاء الکترونیک و حقوق مصرف کننده مورد بررسی قرار داده است.
دستورالعملهای مذکور در واقع رهنمودهایی برای کشورهای عضو اتحادیه هستند تا در وضع قوانین جدید با مقررات دستورالعملها هماهنگ باشند. سازمان توسعه و همکاری اقتصادی در زمینه تجارت الکترونیک طرحهای مختلفی را به کشورهای عضو پیشنهاد کرده که مهمترین آنها در خصوص حمایت از مبادله فرامرزی دادههای شخصی (راهنمای سال 1980م)، امنیت سیستمهای اطلاعاتی (راهنمای 1992م) و راهنمای رمزنگاری (راهنمای 1997م) بوده است. اتاق بازرگانی بینالمللی نیز مبادرت به ارائه سندی تحت عنوان «راهنمای عمومی برای تجارت بینالمللی دیجیتال مطمئن(35) کرده است تا از طریق آن چارچوبی کلی برای استفاده از امضاء دیجیتال و مبادلات تجاری الکترونیک بینالمللی ایجاد نماید.
14. پذیرش قانونی ادله الکترونیک
تجارت الکترونیک، تجارت بدون کاغذ و مبتنی بر دادههای الکترونیک است. بنابراین، اسناد و اطلاعات مورد تبادل بین تجار نیز باید لزوماً به صورت الکترونیک باشد. در فضای مجازی، تمام مبادلات از طریق انتقال دادهها صورت میگیرد و افراد، روابط معاملاتی را از طریق سیستمهای اطلاعرسانی(36) خویش انجام میدهند. پس آنچه که بین معاملان به عنوان وسیلهای برای بیان اظهار اراده انشایی آنها مورد استفاده قرار میگیرد، در دادههای الکترونیک که درون سیستم اطلاعرسانی آنها قرار داد، نگهداری میشود.
بروز اختلاف بین افراد در بستر تجارت الکترونیک نیز همانند فضای سنتی و مرسوم، اجتنابناپذیر است. بنابراین، مباحث مربوط به ادله اثبات دعوی در محیط الکترونیک نیز مطرح بوده و یکی از جنبههای حقوق تجارت الکترونیک محسوب میشود. اسناد و ادله الکترونیک به عنوان دلیل محکمه پسند و قابل ارائه در دادگاه محسوب میشوند؛ به عبارت دیگر، دادههای الکترونیک نیز میتوانند ارزش و اعتبار حقوقی اسناد کاغذی مرسوم را داشته باشند؛ زیرا تنها راه حل و فصل اختلافات احتمالی در مبادلات الکترونیک استناد به همین داده پیامها(37) میباشد. بنابراین، در پذیرش و شناسایی ادله و اسناد الکترونیک نباید تردید کرد؛ چرا که پذیرش مبادلات و قراردادهای الکترونیک مستلزم پذیرش قانونی اسناد و اطلاعات مبتنی بر دادههای الکترونیک مورد تبادل بین دو طرف معامله است.
در قوانین وضع شده در باب تجارت الکترونیک، ارزش اثباتی داده پیامها و اعتبار قانونی آنها مورد پیشبینی قانونگذاران قرار گرفته است. در قانون نمونه تجارت الکترونیک آنسیترال مصوب 1996م که با هدف سازگار کردن قواعد عمومی قراردادها با فناوریهای نوین تدوین شده است، ارزش اثباتی داده پیامها مورد پذیرش قرار گرفته و به این موضوع تصریح شده که در رسیدگیهای قضایی نباید ادله الکترونیک را به این علت که به صورت داده پیام هستند و دارای اصالت نمیباشند، رد کرد و نپذیرفت.
اطلاعات ارائه شده به شکل داده پیام از اعتبار و ارزش اثباتی برخوردار است. بنابراین، اثر قانونی یا قابلیت اجرای سند را نمیتوان صرفاً به دلیل شکل الکترونیک آن رد کرد.
قانون تجارت الکترونیک ایران نیز که از قانون نمونه آنسیترال الهام گرفته است، مقررات مشابهی را در بردارد. ماده 12 قانون مذکور مقرر میدارد: «اسناد و ادله اثبات دعوی ممکن است به صورت داده پیام بوده و در هیچ محکمه یا اداره دولتی نمیتوان بر اساس قواعد ادله موجود، ارزش اثباتی داده پیام را صرفاً به دلیل شکل و قالب آن رد کرد». همان طور که پیدا است، قوانین مربوط با اعتباربخشی به داده پیامها، اسناد الکترونیک را در شمار دلایل قانونی آوردهاند. اینکه تمام دادههای الکترونیک دارای ارزش اثباتی هستند یا خیر، قانون نمونه آنسیترال در باب تجارت الکترونیک، مصوب 1996م در این خصوص اینگونه اظهار نظر میکند: «در انعقاد قرارداد، ایجاب و قبول میتواند از طریق داده پیامها اعلام شود؛ مگر اینکه طرفین به نحو دیگری توافق کرده باشند. هنگامی که برای انعقاد قرارداد، داده پیامها مورد استفاده قرار میگیرند، اعتبار یا قابلیت اجرای قرارداد مذکور صرفاً به این دلیل که از داده پیامها استفاده شده، نباید رد شود.» همان طور که پیدا است، ماده مذکور صریحاً قرارداد الکترونیک را مورد پذیرش قرار داده و برای آنها اعتبار و قابلیت اجرای لازم را قائل است.
15. قوانین تجارت الکترونیک ایران
قانون تجارت الکترونیک ایران با الهام از قانون نمونه آنسیترال به تصویب نهایی مجلس و شورای نگهبان رسیده است که در آن، موارد زیر در باره امضاء دیجیتالی به چشم میخورد:
ماده 7) هرگاه قانون وجود امضا را لازم بداند، امضاء الکترونیکی مکفی است.
ماده 10) امضاء الکترونیکی مطمئن(38) باید دارای شرایط زیر باشد:
- - نسبت به امضاکننده منحصر به فرد باشد.
- - هویت امضاکننده «داده پیام» را معلوم نماید.
- - به وسیله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.
- - به نحوی به یک «داده پیام» متصل شود که هر تغییری در آن «داده پیام» قابل تشخیص و کشف باشد.
ماده 11) سابقه الکترونیکی مطمئن عبارت از «داده پیام»ی است که با رعایت شرایط یک سیستم اطلاعاتی مطمئن ذخیره شده و به هنگام لزوم در دسترس و قابل درک است.
ماده 14) کلیه «داده پیام»هایی که به طریق مطمئن ایجاد و نگهداری شدهاند، از حیث محتویات و امضاء مندرج در آن، تعهدات طرفین یا طرفی که تعهد کرده و کلیه اشخاصی که قائم مقام قانونی آنان محسوب میشوند، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.
ماده 15) نسبت به «داده پیام» مطمئن، سوابق الکترونیکی مطمئن و امضاء الکترونیکی مطمئن، انکار و تردید مسموع نیست و تنها میتوان ادعای جعلیت به «داده پیام» مزبور وارد و یا ثابت نمود که «داده پیام» مزبور به جهتی از جهات قانونی از اعتبار افتاده است.
ماده 31) دفاتر خدمات صدور گواهی الکترونیکی واحدهایی هستند که برای ارائه خدمات صدور امضاء الکترونیکی در کشور تأسیس میشوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهیهای اصالات (امضای) الکترونیکی میباشد.
16. امنیت مبادلات الکترونیکی
در روش سنتی، مکتوب بودن، اصل بودن سند،لاک و مهر بودن پاکت حاوی اسناد و ممهور بودن یک سند، دلیل اعتبار آن است. در مبادلۀ الکترونیکی اطلاعات، حفظ محرمانگی با رمزنگاری و تضمین جعلی نبودن با امضاء الکترونیکی فرستنده فراهم میشود. با استفاده از الگوریتمهای نامتقارن رمزنگاری و خدمات یک مرکز گواهی دیجیتالی، میتوان امنیت را در انواع مبادلات الکترونیکی به کار برد.
در یک سیستم واقعی، در هر لحظه امکان دارد ارتباط بین مبدأ و مقصد مورد چهار نوع حملۀ: قطع ارتباط، استراق سمع، تغییر و جعل هویت واقع شود. علاوه بر این حملات، ممکن است بعد از ارسال اطلاعات، فرستنده کار خود را تکذیب کند و منکر ارسال اطلاعات شود.
منظور از مسائل امنیتی، حمایت از دادهها و امنیت اطلاعات در مقابل دسترسیهای غیر مجاز در فرآیند تجارت الکترونیک است.
اقدامات، سلایق و فعالیتهای کاربران بهآسانی زیر نظر گرفته و ردیابی میشوند. دادهها و اطلاعات آنها بهراحتی کپی شده و مورد نقل و انتقال قرار میگیرد. اینترنت یک شبکه کاملاً باز است و امکان دسترسی افراد غیر مجاز به اطلاعات محرمانه و استفاده از آنها وجود دارد؛ به عنوان مثال، چنانچه شماره کارت اعتباری افراد در اختیار افراد غیر مجاز قرار گیرد، آنها میتوانند از کارت مذکور سوء استفاده کنند. بنابراین، حفاظت از اطلاعات مالی، اعتباری و شخصی افراد، یکی از چالشهای مهم تجارت الکترونیک است؛ زیرا مسیر گردش اطلاعات و منابع روی شبکه بسیار است. از این رو، معلوم نیست که اطلاعات مذکور کجا میروند و چه کسانی از آنها بهرهبرداری مینمایند.[14]
17. امضای دیجیتال و امنیت آن
امنیت امضاء دیجیتال شامل امنیت الگوریتم رمزنگاری کلید عمومی، امنیت توابع درهمسازی و امنیت کلید خصوصی میباشد. برای اعتبارسنجی امضاء هر کس، از کلید عمومی او استفاده میشود. امضاء دیجیتالی به گونهای طراحی شده است که نه تنها استنتاج پیام از امضا تقریباً غیرممکن است، بلکه امکان یافتن دو پیغام با امضاهای مشابه نیز بسیار کم است. فرستنده، پیام و کلید خصوصی خود را به یک رویۀ رمزنگاری میدهد. خروجی این فرایند یک متن رمز شدۀ فشرده شده از متن اصلی است که امضاء دیجیتالی نامیده میشود. سپس این امضا همراه با متن پیام به هم متصل و ارسال میشوند. گیرنده، متن پیام و امضا را دریافت کرده و برای کنترل هویت فرستنده و جامعیت پیام، با کلید عمومی فرستنده امضا را رمزگشایی میکند تا متن پیام اولیه را به دست آورد. اگر این متن با متن اصلی دریافت شده یکی باشد، میتوان نتیجه گرفت که متن پیام و امضا نه جعلی هستند و نه در بین راه تغییر کردهاند.
18. رمزنگاری
اصلیترین راه حلی که امروزه در جهان برای برقراری امنیت مبادلات الکترونیکی و مقابله با این مشکلات استفاده میشود، رمزنگاری است. با استفاده از رمزنگاری میتوان به جز حملات قطع ارتباط، جلوی سایر حملات و تهدیدات را نیز گرفت. در میان روشهای مختلف رمزنگاری، رمزنگاری مبتنی بر کلید (در مقابل رمزنگاری مبتنی بر الگوریتم) مناسبترین روشها است و عموماً منظور از رمزنگاری، همین نوع رمزنگاری است. منظور از کلید، یک مقدار دادهای است که در الگوریتم رمزنگاری به کار میرود. الگوریتمهای رمزنگاری مبتنی بر کلید به دو دستۀ عمده تقسیم میشوند: رمزنگاری متقارن و رمزنگاری نامتقارن. در ادامه مباحث ضمن ارائه توضیحات در باره مفاهیم رمزنگاری، به تشریح انواع رمزنگاری خواهیم پرداخت.
رمزنگاری، علمی است که به وسیله آن میتوان اطلاعات را به صورتی امن منتقل کرد؛ حتی اگر مسیر انتقال اطلاعات (کانالهای ارتباطی) ناامن باشد. دریافتکننده اطلاعات آنها را از حالت رمز خارج میکند. به این عمل در واقع، رمزگشایی گفته میشود. از رمزنگاری میتوان برای تأمین امنیت و تأمین اعتبار پیام به صورت جداگانه یا همزمان استفاده کرد.
تأمین امنیت پیام: اینکه به غیر از گیرنده مجاز، شخص دیگر قادر به فهمیدن متن پیام نباشد.
اعتبار پیام: اینکه فرستنده واقعی پیام، مشخص باشد.
19. نتیجه
همزمانی گسترش تجارت الکترونیک و طرح جهانیسازی اقتصاد و پیوستن جوامع مختلف به این طرح و نیز گسترش روزافزون کاربران شبکه جهانی اینترنت، این تجارت نوین را به تجارتی فراگیر مبدل ساخته است؛ به طوری که امروزه خود را به عنوان امری اجتنابناپذیر در متن زندگی انسان امروز جای داده است. قرار گرفتن در دهکده جهانی ما را ناگزیر به مهیا نمودن زیرساختهای لازم تجارت الکترونیکی میسازد و عدم توجه به این قانونمندیهای نوین، در آیندهای نه چندان دور فاجعهآمیز خواهد بود.
اکثر سازمانها ترجیح میدهند به سوی حذف کاغذ با استفاده از فرمهای دریافت و ارسال داده الکترونیکی حرکت کنند. در این صورت ضروری است که نه تنها فرستنده، گیرنده را تعیین اعتبار کند، بلکه گیرنده نیز فرستنده را تعیین اعتبار نماید. یک امضاء دیجیتالی اهداف مورد نظر یک امضاء دستی را دنبال میکند و ویژگی ممتاز آن این است که بهسختی جعل میشود[13]. در نتیجه، برای تسهیل بهرهگیری از امضاء الکترونیکی میتوان از خدمات تصدیق گواهی، قواعد و دستورالعملهایی استفاده نمود که در آن، امضاء الکترونیکی مانند یک ابزار فنی رضایتبخش و یک توشیح حقوقی محسوب میشود.
پی نوشت ها:
* دانشجوی کارشناسی ارشد مهندسی فناوری اطلاعات دانشکده آموزش های الکترونیکی دانشگاه شیراز.1.A uthentication.
2. Verifiable.
3. Unique.
4. Non repudiation.
5. Credential.
6. Electronic Signature.
7. Digital Signature.
8. Integrity.
9. National Institute Of Standards and Technology.
10. Public Key Infrastructure.
11. Digital Signature Standard.
12. Pretty Good Privacy.
13. GNU Privacy Guard.
14. American Bar Association.
15. Digital Signature Guidelines.
16. Cryptography.
17. Certification Authorities (CA).
18. Uncitral Model Law on Electronic Commerce.
19. Intermational chamber of commerece (ICC).
20. General Usage for Intemational Digitally Ensured commerce.
21. Electroic Signatures Directive.
22. Uncitral Model Law on Electronic Signatures.
23. Elliptic Curue Digital Signature Algorithm.
24. Truncate.
25. Message Digest.
26. Hashing.
27. Hash Value.
28. Encryption.
29. Certificate Auturiry.
30. Trusted Third Party.
31. United Nation Commission of Intermational Trade Law (Uncitral).
32. European Union (EU).
33. Organization for Economic Cooperation and Development (OeCD).
34. International Chamber of Commerce.
35. General Usage International Digitally Ensured Commerce (GUIDEC)
36. Information System.
37. Data Message.
38. Secure/Enhanced/Advanced Electronic Signature.
منابع:
1. محمد جعفر جعفری لنگرودی، ترمینولوژی حقوق، ص 18، چاپ پنجم، انتشارات گنج دانش، تهران 1370.2. ناصر کاتوزیان، اثبات و دلیل اثبات، ج 1، ص 278، نشر میزان، تهران 1380.3. Brian Gladman, Carl Ellison and Nicholas Bohm, "Digital Signatures, Certificates and Electronic Commerce", Version l. l, revised 8th june 1999.
4. Lorna Brazel, Electronic Signatures Law and Regulation, P38 to 39.
5. Loran Brazel, Electronic Signatures Law and Regulation. P4, Sweet & Maxwell, London, 2004.
6. Avadhani. P. S, Chalamaih. N and Prapoorna Roja. P. "Secure Transit Of Confidential Documents Over Intermet Using High Speed RSA Algorithm", Proceedings OF CCCT – O4, International Conference held in Texas Austin, USA, in Aug-224.
7. Hung-Zih Liao, Yuan-Yuan Shen, "On the Elliptic Curve Digital Signature Algorithm", Tunghai Science Vol. 8: 109-126, July, 2206.
8. R.L. Rivest. RFC 1321: The MD5 Message-Digest Algorithm. Internet Activities Board, April 1992.
9. R.L. Rivest, A. Shamir, and L.M. Adleman. A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2): 120-126, February, 1978.
10. J. Hoffstein, D. Lieman, J. Silverman"Polynomial Rings and Efficient Public Key Authentication", Proceeding Of the International Workshop on Cryptographic Teehniques and E-Commerce (CrypTEC 99), M. Blum and C.H. Lee, eds., City University of Hong Kong Press, 1999.
11. Jeffry Hoffstein, Jill Pipher and Joseph H. Silverman "NTRU: A High Speed Public Key Cryptosystem", Pre Print Presented At He Hump Session Of Euro Crypt 96, 1996.
12. J. Hoffstein, J. Pipher, J. Silverman "NTRU: A Ring Based Public Key Cryptosystem", Algorithmic Number Theory (ANTS III), J.P. Buhler (ed.), Lecture Notes in Computer Science, Springer-Verlag, Berlin, Vol 1423, pp 267-288, Portland, OR, June 1998.
13. P. Prapoorna roga, and P. S. Avadhani "Digital Signature Development Using Truncated Polynomials" , IJCSNS International Journal of Computer Science and Network Security, VOL. 7 No. 7, July 2007.
14. Bidgoli, Hossein, Electronic Commerce: Principle and Practice, P57-Stephen Chen. Strategic Management of e-Business. P83.