امضاء دیجیتال و هویت مجازی

دوشنبه, 30 آذر 1388 ساعت 16:59
    نویسنده: فاطمه باقرزاده* این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید منصور سلیمانی* این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
این مورد را ارزیابی کنید
(1 رای)

1. مقدمه

تجارت الکترونیکی به معنای انعقاد قرارداد انتقال کالا، خدمات، پول و اسناد تجاری از طریق ابزارهای پیشرفته الکترونیکی می‌باشد. این پدیده به جهت نقش آن در بازار جهانی، اهمیت بسیاری دارد. عدم بهره‌گیری از تجارت الکترونیکی به معنای از دست رفتن فرصت‌های بی‌شمار در تجارت جهانی، تضعیف موقعیت رقابتی و منزوی گشتن در عرصه تجارت بین‌المللی است. آگاهی بر این امر، کشورهای مختلف را به توسعه تجارت الکترونیکی رهنمون کرده است. رشد این تجارت همواره با طرح مسائل حقوقی متعددی همراه بوده که یافتن پاسخی برای آن‌ها در نظام‌های حقوقی ضرورتی انکار‌ناپذیر می‌باشد. از این‌ رو، کشورهای مختلف و سازمان‌های بین‌المللی و منطقه‌ای درصدد وضع و پیش‌بینی قانون در این زمینه برآمده‌اند. سیستم حقوقی کشور ایران نیز از این گردونه خارج نیست و در این خصوص می‌تواند از تجارب دیگر ملت‌ها و الگوهای نهادهای بین‌المللی بهره‌ بگیرد.

 گسترش تجارت الکترونیک مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع تجارت است و این اطمینان باید از طریق تضمین امنیت و اعتبار تبادل الکترونیک داده‌ها صورت گیرد. یکی از عواملی که باعث اعتبار قرارداد یا هر سند دیگری می‌شود، صحت انتساب آن به صادرکننده است که تاکنون از طریق مهر یا امضا صورت می‌گرفته و دلیل معتبری برای تحقق صحت انتساب صادرکننده بوده است. در قراردادهای الکترونیک نیز اسناد و اطلاعات و داده پیام‌ها باید به امضاء شخص صادرکننده برسد تا بتوان صحت انتساب آن‌ها را به او احراز کرد.

بنابراین، برای اعتبار و صحت انتساب اسناد قراردادهای الکترونیک لازم است یک امضاء الکترونیک تعریف کرد و آن را جایگزین امضاهای دست‌نویس نمود. ارزش اثباتی اسناد قرارداد که به شیوه الکترونیک صادر شده‌اند، ایجاب می‌کند تا ابعاد علمی و ارکان لازم برای تأثیرگذاری یک امضاء الکترونیک به طور دقیق معین شود. همچنین باید به دقت محدوده اعتبار و اطمینان روش‌ها و نرم‌افزارهای امضاء الکترونیک مشخص شود. از آن‌جایی که امضا ‌یک عمل حقوقی است و به همین جهت، فناوری امضاء الکترونیک به عنوان یکی از مباحث حقوقی تجارت الکترونیک باید از منظر علم حقوق مورد توجه قرار گیرد. در این مقاله سعی می‌شود ضمن تعریف و آشنایی با امضاء الکترونیک، جنبه‌های فنی و حقوقی آن مورد بررسی قرار گیرد.

2. تعریف امضا و جایگاه حقوقی آن

امضا عبارت است از نوشتن نام یا نام‌ خانوادگی (یا هر دو) یا رسم علامت خاصی که نشانه هویت صاحب علامت است، در ذیل اوراق و اسناد عادی یا رسمی که متضمن وقوع معامله یا تعهد یا قرار یا شهادت و مانند آن‌ها است یا بعداً باید روی آن اوراق تعهد یا معامله‌ای ثبت شود (سفید مهر)[1]. بنابراین، اثر مهم امضا متعهد شدن به تمام آثار جنبه‌های سند یا قراردادی است که امضا شده باشد.

به طور کلی، نوشته منتسب به اشخاص در صورتی قابل استناد است که امضا شده باشد. امضا‌ نشان تأیید اعلام‌های مندرج و پذیرش تعهدهای ناشی از آن است و پیش از آن نوشته را باید طرحی به حساب آورد که موضوع مطالعه و تدبر است و هنوز تصمیم نهایی درباره آن گرفته نشده است.[2] بنابراین، هر سندی که امضا ‌می‌شود، در واقع اعتبار می‌یابد و می‌توان آن را به شخصی منتسب نمود و وی را به مندرجات آن ملتزم ساخت.

3. تفاوت امضاء مکتوب و امضاء دیجیتال

گرچه برای هر دو از واژه امضا استفاده می‌شود، ولی در واقع امضاء دیجیتالی و امضاء دستی مشخصات و خواص کاملاً متفاوتی دارند. اگر یک سند که به ‌وسیله امضاء دیجیتالی امضا شده، به هر طریقی دست‌کاری شود، امضاء دیجیتالی مورد تأیید قرار نمی‌گیرد؛ ولی یک امضاء دستی که به یک روش بیومتریک متعلق به یک شخص مرتبط است، نمی‌تواند از دست‌کاری به طوری که آثار آن روی سند مشخص نباشد، جلوگیری نماید. یک امضاء دستی گواهی است که شخص روی سند اعمال می‌کند؛ در حالی که یک امضاء دیجیتالی گواهی است که کلید خصوصی روی سند اعمال می‌کند. همچنین یک امضاء دیجیتالی مشخص می‌نماید که سند از زمان امضا تغییری نکرده است[3].

4. امضاء مکتوب و ویژگی‌های آن

با امضا در پای یک نوشته امضاکننده هویت خود را به ‌عنوان نویسنده مشخص می‌کند، جامعیت سند را تأیید نموده و بیان می‌‌دارد که به محتویات آن متعهد و پایبند است.

برخی از خواص مهم امضاهای دستی عبارت‌اند از:

1. امضاء یک شخص برای تمام مدارک یکسان است؛ به‌آسانی تولید می‌شوند؛ به‌راحتی تمیز داده می‌شوند؛ باید به گونه‌ای باشند که حتی‌الامکان به‌سختی جعل شوند؛ به طور فیزیکی تولید می‌شوند.

در کل باید امضاء دستی منحصر به فرد بوده و تنها به وسیله شخصی که سند را امضا کرده، قابل تولید مجدد باشد. وقتی سندی امضا می‌شود، محتوای سند نباید بدون اطلاع شخص امضاکننده آن تغییر یابد. در نتیجه، امضاء دستی قفل محتوای سند کاغذی نیز به حساب می‌آید و در نهایت، امضاء دستی مشخص می‌کند که شخص امضاکننده به محتوای سند آگاه بوده و با محتوای سند کاغذی موافق است.

5. امضاء دیجیتال و ویژگی‌های آن

امضاء دیجیتالی یک شناسه الکترونیکی برای دنیای دیجیتالی است که انتقال اطلاعات محرمانه و حساس را به صورت امن فراهم می‌کند.

امضاء دیجیتالی، اصلیتِ(1) یک پیغام یا سند و یا فایل اطلاعاتی را تضمین می‌کند و در واقع، ابزار سندیت بخشیدن الکترونیکی می‌باشد که از طریق رمزنگاری انجام می‌شود.

موارد ضروری برای یک امضاء دیجیتال که در واقع ویژگی‌های آن نیز محسوب می‌شوند، در زیر فهرست شده است:

  1. امضا باید تحت کنترل اختصاصی شخص باشد؛
  2. باید به‌راحتی قابل بررسی و تأیید(2) باشد تا از جعل و انکار احتمالی آن جلوگیری شود؛
  3. امضا باید برای هر شخص منحصر به فرد(3) باشد؛
  4. امضا باید رضایت شخص را برای انجام معامله نشان دهد (اعلام آگاهی و موافقت با محتوای سند)؛
  5. امضا باید باعث قفل شدن سند شده و هر تغییری در محتوا را نشان دهد؛
  6. امضاء هر سندی متفاوت با امضاء اسناد دیگر است.

مورد مهمی که باید به آن دقت شود، روشی است که امضا‌ به ‌وسیله آن انجام شده (چه کسی، چه چیزی، در چه زمانی، کجا و چرا) و اطلاعات باید برای اطمینان از نتیجه‌ای غیر قابل انکار(4) و صحیح حفاظت شود.

برای اثبات هویت یک کاربر، تکنیک تعیین به ‌کار می‌رود. وقتی هویت یک کاربر شناسایی شد، کاربر به هویت دیجیتالی خود دسترسی پیدا می‌کند. گواهی دیجیتالی مجموعه‌ای از اعتبارنامه‌های(5) مورد استفاده در فرآیند امضا است که از مراکز صدور گواهی داخلی یا خارجی بعد از تأیید کامل هویت شخص صادر می‌شود.

نرم‌افزارهای خاصی برای اجرای فرآیند امضا استفاده می‌شود. این نرم‌افزارها، اطلاعات منحصر به فردی از فایل مورد امضا و گواهی دیجیتالی را ترکیب می‌کنند تا یک امضاء دیجیتالی درون یک فایل قرار گیرد. این امضا می‌تواند به وسیله نرم‌افزارهای مخصوصی دیده و بررسی و تأیید شود که اغلب به صورت رایگان هستند.

6. تصوری رایج و غلط از امضاء دیجیتالی

افراد مختلف از امضاء دیجیتالی برداشت‌های متفاوتی دارند. یکی از بیشترین تصورات، تصور امضاء دیجیتالی به صورت رسم گرافیکی امضاء دستی است که در واقع تصویر امضاء روی سند به حساب می‌آید.

این تصور، امضاء متعلق به شخص را همانند امضاء دستی نگاه می‌کند؛ چرا که رسم گرافیکی یک امضا می‌تواند به وسیله هر شخصی مجدداً تولید شود که این کار به‌آسانی با اسکن امضا و قرار دادن آن روی سند امکان‌پذیر است. همچنین به‌راحتی می‌توان محتوا را تغیر داد و سپس امضا‌ را اضافه نمود. در نهایت، رسم گرافیکی هیچ ضمانتی نمی‌کند که امضاکننده با محتوای سند موافق است.

همچنین بعضی شیوه‌های جدید تنها برای تعیین سندیت به یک موجودیت جهت دسترسی استفاده می‌شوند؛ برای مثال، نباید یک سیستم تشخیص هویت انگشت‌نگاری رایانه‌ای، یک امضاء دستی اسکن شده یا وارد کردن اسم شخص در انت‌های یک پست الکترونیکی را به عنوان یک جایگزین معتبر برای امضاهای دستی پذیرفت؛ زیرا همه عملکردهای یک امضاء دستی را نخواهد داشت.

7. تفاوت امضاء دیجیتالی و امضاء الکترونیکی

در سال‌های اخیر، واژه‌های امضاء الکترونیک(6) و امضاء دیجیتالی(7) به طور گسترده‌ای مورد استفاده قرار گرفته‌اند و گاهی اوقات استفاده از این دو واژه به جای هم باعث اشتباه و گاهی سردرگمی شده است.

امضاء الکترونیک اغلب برای نسبت دادن یک امضا به یک متن از طریق یک یا چند وسیله الکترونیکی یا ابزار رمزنگاری جهت افزودن خواص عدم انکار و جامعیتِ(8) پیغام به یک سند استفاده می‌شود. در واقع، یک امضاء الکترونیکی هر نشانه یا سمبلی است که رضایت و قصد شخص را در یک فرم الکترونیکی نشان دهد که می‌تواند به طور ساده نوشتن نام شخص، کلیک روی دکمه تأیید، یا وارد کردن یک شماره شناسایی شخصی یا رمز عبور، امضاء بیومتریک و امضاء دیجیتال باشد[4].

امضاء دیجیتالی معمولاً به یک امضاء رمز شده برمی‌گردد که می‌تواند روی یک سند یا یک ساختار سطح پایین‌تر قرار گیرد و صریحاً به عنوان بخشی از استاندارد NIST(9) برای PKI(10) و DSS(11) تعریف شده است.

این اشتباه لغوی در بسیاری از حالات ناخوشایند است و تا زمانی که این مورد در قوانین و مقررات به‌درستی استاندارد‌سازی نشود، همین ‌طور باقی می‌ماند.

در صورتی که امضاء الکترونیک از روش‌های رمزنگاری برای اطمینان از جامعیت و سندیت پیام استفاده کند، یک امضاء دیجیتالی محسوب می‌شود. با استفاده از مکانیسم‌های جامعیت پیام، هر تغییری در سند حاوی امضاء دیجیتالی، به‌سهولت قابل کشف بوده و باعث عدم اعتبار امضاء ضمیمه شده می‌شود.

استانداردهای امضاء الکترونیک شامل استاندارد Opne PGP که به‌ وسیله PGP (12) و GnuPG (13) پشتیبانی شده و برخی از استانداردهای S/MIME می‌باشد.

متنی که امضاء دیجیتال دارد، ممکن است برای حفاظت بیشتر در طی انتقال رمزگذاری شود؛ در صورتی که اگر فرآیند امضا به طرز صحیح اعمال شده باشد، دیگر نیازی به این کار نیست.

8. تعریف امضاء دیجیتال

اولین بار کانون وکلای ایالات متحده(14)، در سال 1992 میلادی در خصوص مسائل حقوقی و قانونی امضا در قراردادهای الکترونیک شروع به کار کرد و در سال 1995 میلادی پیش‌نویس و رهنمودهای امضاء دیجیتال(15) را که در خصوص چگونگی امضا در قراردادهای الکترونیک و زیرساخت‌های آن بود، تهیه کرد. در همان سال اولین قانون در مورد امضاء دیجیتال تصویب شد که در مورد ایجاد قطعیت و اعتبار قراردادهای الکترونیک و نیز فناوری‌های مربوط به رمزنگاری(16) و احراز هویت و مراجع گواهی(17) امضاء الکترونیک بود. در سال 1996 میلادی آنسیترال قانون نمونه‌ای در باب تجارت الکترونیک(18) تدوین کرد که شامل مقرراتی در خصوص امضاء الکترونیک بود. در سال 1997 میلادی، اتاق بازرگانی بین‌المللی(19) مبادرت به صدور «راهنمای عمومی برای تجارت بین‌المللی دیجیتال مطمئن»(20) نمود. اتحادیه اروپا در سال 1999 میلادی، «دستورالعمل امضاء الکترونیک»(21) را به تصویب رسانید و در نهایت، گروه کاری آنسیترال در باب تجارت الکترونیک، «قانون نمونه آنسیترال در باب امضاء الکترونیک»(22) را تصویب کرد تا به عنوان یک معیار استاندارد و رهنمون برای قانونگذاری‌های ملی مورد استفاده کشورها قرار گیرد.

بسیاری از کشورها، بین سال‌های 1996 تا 2001 میلادی، با استفاده از مقررات بین‌المللی موجود و رهنمون‌های ارائه شده در خصوص امضاء الکترونیک مبادرت به قانونگذاری در این زمینه کرده‌اند و در حال حاضر می‌توان گفت امضاء الکترونیک در تمام نظام‌های حقوقی مورد پذیرش قرار گرفته است.[5]

هیچ سندی در علم حقوق اعتبار ندارد؛ مگر این‌که دارای علامتی باشد که بر صدور آن از جانب مرجع مسلم الصدور دلالت کند. از جمله اهدافی که امضا در ذیل نوشته‌ها دنبال می‌کند، می‌توان به اهدافی مانند: رسمیت یافتن، تأیید و قطعیت یافتن اسناد اشاره کرد. اما نباید غافل از آن بود که امضا فارغ از اهداف ذکر شده مبین قصد انشای فرد در انعقاد قرارداد است؛ به ‌طوری که اگر سندی امضا نگردد، در حقیقت فرد قصد به ‌وجود آوردن آن را نداشته و قرارداد کان لم یکن تلقی می‌گردد.

به منظور تنظیم روابط حقوقی و معاملاتی افراد در بستر مبادلات الکترونیک، تجارت از طریق اینترنت باید دارای یک چارچوب مشخص قانونی گردد و خلأهای قانونی آن مرتفع گردد تا هم عموم افراد به این شیوه از تجارت روی آورند و هم این‌که حقوق آن‌ها تضمین گردد. بنابراین، می‌توان گفت فقدان زیرساخت حقوقی و قانونی، از موانع اصلی رشد تجارت الکترونیک است.

خدمات ارائه شده توسط امضاء دیجیتال

تأیید هویت: گیرنده می‌تواند مطمئن باشد که فرستنده کیست.

جامعیت: گیرنده می‌تواند مطمئن باشد که اطلاعات حین انتقال تغییر پیدا نکرده است.

انکارناپذیری: فرستنده نمی‌تواند امضاء داده را انکار نماید.

9. امضاهای دیجیتال استاندارد

در زیر به معرفی مختصر و مقایسه اجمالی سه روش استاندارد امضاء دیجیتال پرداخته شده است.

الف- امضاء دیجیتال مبتنی بر RSA

این روش امضا‌ مبتنی بر الگوریتم رمز کلید عمومی RSA بوده و در سال 1991 توسط ANSI به عنوان استاندارد پذیرفته شد.[6]

ب- استاندارد امضاء دیجیتال DSS

روش امضاء DSS بر اساس سیستم رمزنگاری کلید عمومی‌الجمال استوار است. DSS در آگوست سال 1991 توسط مؤسسۀ ملی استاندارد و تکنولوژی آمریکا پیشنهاد شد و در سال 1993 به عنوان یک استاندارد پردازش اطلاعات فدرال دولت آمریکا پذیرفته گردید. DSS اولین روش امضاء دیجیتالی بود که به صورت قانونی رسمیت یافت. در این روش به منظور کاهش اندازه امضاها از زیرگروه‌های کوچک در Zp استفاده می‌شود.

ج- امضاء دیجیتال مبتنی بر منحنی‌های بیضوی

الگوریتم امضاء دیجیتال مبتنی بر منحنی‌های بیضوی ECDSA(23) مشابه با DSS می‌باشد؛ بدین معنا که به جای کار در یک زیرگروه مرتبۀ q، در گروه نقاط روی منحنی بیضوی روی Zp کار می‌کنیم. [7]

مقایسۀ سه استاندارد امضاء دیجیتال RSA، DSS و ECDSA در جدول زیر مشخصات عمومی هر سه استاندارد امضاء دیجیتال آورده شده است.

نام استاندارد امضا سیستم رمزنگاری مبنا تابع درهم‌ساز به کارگرفته شده نام استاندارد و مؤسسه استانداردکننده سال پذیرش استاندارد DSS الجمال 1- SHA FIPS 186-2 (ANSI X9.30) 1991میلادی RSA RSA MD2 MD5 ANSI X9.31 1991 میلادی ECDSA الجمال 2- SHA ANSI X9.62 IEEE PI363 ISO SC27 1998 میلادی

مشخصات عمومی سه استاندارد امضاء دیجیتالشکل 1: مشخصات عمومی سه استاندارد امضاء دیجیتال

در روش استاندارد مبتنی RSA برای به‌ دست آوردن چکیدۀ پیام مجوز به کارگیری تابع درهم‌ساز خاصی نیست؛ ولی توصیۀ ANSI این است که بهتر است از MD2 یا MD5 استفاده شود. در صورتی‌که در دو استاندارد دیگر به کارگیری SHA-1 اجباری است.

نکتۀ دیگر این‌که امضاء دیجیتال مبتنی بر منحنی‌های بیضوی توسط سه مؤسسه ANSI و IEEE و ISO انجام گرفته است که اصول هر سه یکی است.

الگوریتم‌های تعیین اعتبار برای تولید امضاء دیجیتالی بر اساس رمز کردن داده به وسیله کلید خصوصی و رمزگشایی آن با استفاده از کلید عمومی نیاز دارند]9 و 8[. این فرآیند دقیقاً معکوس فرآیند محرمانه نگه داشتن داده می‌باشد. در نتیجه، سیستم‌های رمزنگاری کلید عمومی بیشتر برای تولید امضا پیشنهاد داده می‌شود[10] و امتیاز اصلی رمزنگاری کلید عمومی این است که نه تنها جامیت داده را فراهم می‌کند، بلکه برای تعیین اعتبار نیز استفاده می‌شود.[9] تعیین اعتبار به وسیله امضاء دیجیتالی، خاصیت عدم انکار را فراهم می‌کند؛ بدین معنا که از انکار فرستنده مبنی بر فرستادن اطلاعات جلوگیری می‌نماید. این خواص برای رمزنگاری اساسی می‌باشند و برای حفاظت از هر الگوریتم رمزنگاری مورد نیاز هستند. فرآیند رمزنگاری بر اساس چند جمله‌ای‌های کوتاه شده(24)، شبیه NTRU هستند ]12 و 11[ که برخی از مسائل تولید اعداد اول بزرگ و توابع ریاضی در برگیرنده را که در برخی الگوریتم‌ها نیاز است، حل کرده است.[6]

10. ساخت امضاء دیجیتالی

در ابتدا اطلاعاتی که قرار است امضا شود، مشخص می‌شود، مانند ارائه یک شیء‌ اطلاعاتی به ‌صورت دیجیتالی که می‌تواند متن، شکل و یا هر نوع دیگری از اطلاعات دیجیتالی باشد. امضاء دیجیتال برای یک پیغام در دو گام زیر ساخته می‌شود: [13]

1. تولید چکیده پیام(25): چکیده پیام، خلاصه پیغامی است که قرار است انتقال داده شود؛ به عبارت دیگر، عددی منحصر به فرد برای هر پیغام است که تغییر کوچکی در پیغام باعث تولید یک چکیده متفاوت می‌شود. چکیده پیام با استفاده از یک سری الگوریتم‌های در هم‌سازی(26) ساخته می‌شود. در واقع، ایجاد یک مقدارِ در هم(27) از اطلاعات معمولاً چکیده پیام نامیده می‌شود. در صورتی‌که حتی یک بیت از واحد داده تغییر کند، مقدارِ در هم مرتبط با آن دستخوش تغییرات وسیع می‌گردد.

2. رمزنگاری(28): چکیده پیام به وسیله کلید خصوصی فرستنده رمز می‌شود. در واقع، چکیده پیام رمز شده یک امضاء دیجیتال تولید شده به روش بالا که مقداری منحصر به فرد هست، به پیغام ضمیمه می‌شود و به گیرنده فرستاده می‌شود.

پس از این‌که گیرنده پیغام را دریافت کرد، به روش زیر عمل می‌کند:

  1. امضاء دیجیتالی ضمیمه سند توسط کلید عمومی امضاکننده رمزگشایی می‌شود.
  2. الگوریتم چکیده پیام که در سمت فرستنده استفاده شده، در سمت گیرنده نیز استفاده می‌شود.
  3. دو چکیده پیام به دست آمده مقایسه می‌شود و در صورت معادل بودن، پیغام معتبر و دارای اعتبار شناخته می‌شود. چنانچه نتیجه یکسان بود، امضا پذیرفته و در غیر این‌ صورت، رد می‌شود.

با این روش می‌توان مطمئن بود که امضاء دیجیتالی به وسیله فرستناده اصلی فرستاده شده است؛ زیرا فقط کلید عمومی فرستنده قادر به باز کردن امضاء دیجیتالی است. اگر در وقت رمزگشایی با استفاده از کلید عمومی، چکیده پیامی که دارای اشکال است، برگردانده شود، بدین معنی است که این پیغام اصلی نیست.

هدف از به کارگیری روش‌های رمزنگاری در این‌جا، اطمینان از یکپارچگی داده‌ها و معتبر بودن و اصالت امضاکننده، جدا از کاربرد آن برای اطمینان از محرمانگی داده‌ها می‌باشد.

در عمل برای بالا بردن سرعت، به جای کل پیغام، چکیده‌های آن امضا ‌می‌شود. این چکیده از نظر اعتبار مانند کل متن است.تمام فرآیند در شکل زیر توضیح داده شده است.

فرآیند امضاء دیجیتالیشکل 2: فرآیند امضاء دیجیتالی

11. مراجع صدور گواهی(29)

رویه تصدیق امضا در کلیه روش‌ها با فرض این‌که کلید عمومی واقعاً متعلق به امضاکننده است، صورت می‌گیرد. اگرچه این استنباط بدیهی نمی‌باشد و خطر آن وجود دارد که فردی جفت کلیدی درست کرده، کلید عمومی را در دایرکتوری عمومی در زیر نام فرد دیگری قرار داده و بنابراین، پیام‌های الکترونیکی را تحت نام دیگری امضا کند. به ‌علاوه، هر جفت کلید (خصوصی و عمومی) هیچ‌گونه وابستگی ذاتی با یک هویت معین ندارد؛ بلکه تنها یک جفت از ارقام می‌باشند. پس این اطمینان باید وجود داشته باشد که کلید عمومی واقعاً به هویت مدعی تعلق دارد.

مشکل تأیید هویت به‌ دست شرکت‌های طرف ثالث حل می‌شود. یک نهاد طرف ثالث وجود ارتباط بین هویت و کلید عمومی را تضمین می‌کند. این ارتباط در تأییدیه الکترونیکی که کلید عمومی را به یک شخص مرتبط می‌کند، حاصل می‌شود. این نهادهای طرف ثالث به ‌عنوان مراجع صدور گواهی شناخته شده و باید توسط تمام کاربران به‌ عنوان نهاد طرف ثالث مطمئن(30) پذیرفته شوند. رویه تأیید کلید باید عاری از هر گونه خطا و اشتباه بوده و بالاترین سطح امنیت را احراز نماید. با انتشار یک تأییدیه دیجیتالی، یک مقام تأیید کننده، هویت کاربر را تأیید و تضمین می‌کند که کلید عمومی واقعاً به کاربر مزبور تعلق دارد.

این نهادها با استفاده از ابزارهای متداول تشخیص هویت (به‌ طور معمول با تهیه اسناد فیزیکی از مشخصات افراد)، هویت امضاکننده را مشخص نموده و سپس تأییدیه‌های الکترونیکی را که باعث ارتباط کلیدهای امضاء دیجیتالی به اسامی اشخاص یا مؤسسات می‌شوند، صادر می‌کنند. هر تأییدیه‌ای منحصربه‌فرد بوده و امکان کپی‌برداری را ندارد.

12. تأییدیه امضاء دیجیتالی

تأییدیه‌های دیجیتالی شامل: کلید عمومی مالک، نام مالک، تاریخ انقضای تأییدیه، نام نهاد رسمی تأیید کننده‌هایی که تأییدیه دیجیتالی را صادر کرده، یک شماره سریال و سایر اطلاعات می‌باشد.

یک تأییدیه از چهار بخش تشکیل شده است:

  1. موضوع و خصوصیات آن: این اطلاعات در مورد با موضوعی است که قرار است تأیید شود؛ مثلاً برای یک شخص، این اطلاعات می‌تواند شامل: نام، ملیّت و نشانی، سازمان مربوطه و دپارتمان وی در آن سازمان باشد. همچنین می‌تواند شامل تصویری از شخص، یک اثر انگشت تبدیل به رمز شده و شماره پاسپورت باشد.
  2. اطلاعات کلید عمومی: اطلاعاتی در باره کلید عمومی است، که تأیید شده‌اند. این تأییدیه باعث الحاق کلید عمومی به مندرجات مدرک مورد نظر می‌گردد.
  3. مقام تأیید کننده امضا: نهاد رسمی تأیید کننده (CA) دو مورد بالا را در هر سند امضا‌کرده و آن را به تأییدیه مربوطه الحاق کنند. افرادی که تأییدیه را دریافت می‌کند، امضا را کنترل نموده و چنانچه به این CA اطمینان داشته باشند، صحت اطلاعاتی را که کلید عمومی به آن الحاق شده نیز قبول خواهند داشت.
  4. تاریخ انقضای تأییدیه: هر تأییدیه دارای تاریخ انقضای می‌باشد. پس از انقضاء تاریخ تأییدیه، محتویات آن از طرف CA مربوطه تضمین نمی‌شود.

13. منابع حقوقی تجارت الکترونیکی

فناوری اطلاعات این امکان را فراهم آورده است که بسیاری از مبادلات تجاری، داد و ستدها و ارائه خدمات از طریق اینترنت انجام شوند. گسترش این نوع از روابط معاملاتی و تجاری بین افراد با طرح برخی مسائل حقوقی در زمینه قواعد حاکم بر روابط قراردادی افراد همراه بوده است. به رسمیت شناختن فناوری‌های نوین ارتباطی در تشکیل قراردادها، چگونگی تشکیل و اعتبار آن‌ها، قابلیت انتساب اسناد الکترونیک، مسائل مربوط به امضاء الکترونیک و روند پرداخت‌های الکترونیک از جمله مسائل مهم مطرح در این زمینه بوده است.

با رسمیت یافتن تجارت الکترونیک در جهان، بیش از هر چیز توجه به جنبه‌های حقوقی این نوع تجارت و قانونمند کردن آن احساس نیاز می‌شود. از همین ‌رو، بیشتر کشورها در این زمینه اقدام به وضع قوانین جدید یا اصلاح قوانین موجود کرده‌اند. مجامع بین‌المللی از قبیل آنستیرال(31)، اتحادیه اروپا(32)، سازمان توسعه و همکاری اقتصادی(33) و اتاق بازرگانی بین‌المللی(34) از جمله سازمان‌های فعال در این عرصه بوده‌اند که تاکنون برای ایجاد چارچوب قانونی تجارت الکترونیک قوانین و مقررات، دستورالعمل‌ها و رهنمود‌هایی را پیش‌بینی کرده‌اند.

گروه کاری تجارت الکترونیک آنسیترال در سال 1996م مبادرت به تدوین یک قانون نمونه در خصوص تجارت الکترونیک کرده و در سال 2001م نیز قانون نمونه‌ای در باب امضاء الکترونیک به تصویب رسانده است. اتحادیه اروپا تاکنون دستورالعمل‌های متعددی در زمینه الکترونیک وضع کرده و در قالب آن‌ها علاوه بر به رسمیت شناختن تجارت الکترونیک، مهم‌ترین مسائل حقوقی آن ‌را از قبیل شرایط انعقاد قراردادهای الکترونیک، امضاء الکترونیک و حقوق مصرف کننده مورد بررسی قرار داده است.

دستورالعمل‌های مذکور در واقع رهنمود‌هایی برای کشورهای عضو اتحادیه هستند تا در وضع قوانین جدید با مقررات دستورالعمل‌ها هماهنگ باشند. سازمان توسعه و همکاری اقتصادی در زمینه تجارت الکترونیک طرح‌های مختلفی را به کشورهای عضو پیشنهاد کرده که مهم‌ترین آن‌ها در خصوص حمایت از مبادله فرامرزی داده‌های شخصی (راهنمای سال 1980م)، امنیت سیستم‌های اطلاعاتی (راهنمای 1992م) و راهنمای رمزنگاری (راهنمای 1997م) بوده است. اتاق بازرگانی بین‌المللی نیز مبادرت به ارائه سندی تحت عنوان «راهنمای عمومی برای تجارت بین‌المللی دیجیتال مطمئن(35) کرده است تا از طریق آن چارچوبی کلی برای استفاده از امضاء دیجیتال و مبادلات تجاری الکترونیک بین‌المللی ایجاد نماید.

14. پذیرش قانونی ادله الکترونیک

تجارت الکترونیک، تجارت بدون کاغذ و مبتنی بر داده‌های الکترونیک است. بنابراین، اسناد و اطلاعات مورد تبادل بین تجار نیز باید لزوماً به‌ صورت الکترونیک باشد. در فضای مجازی، تمام مبادلات از طریق انتقال داده‌ها صورت می‌گیرد و افراد، روابط معاملاتی را از طریق سیستم‌های اطلاع‌رسانی(36) خویش انجام می‌دهند. پس آنچه که بین معاملان به عنوان وسیله‌ای برای بیان اظهار اراده انشایی آن‌ها مورد استفاده قرار می‌گیرد، در داده‌های الکترونیک که درون سیستم اطلاع‌رسانی آن‌ها قرار داد، نگهداری می‌شود.

بروز اختلاف بین افراد در بستر تجارت الکترونیک نیز همانند فضای سنتی و مرسوم، اجتناب‌ناپذیر است. بنابراین، مباحث مربوط به ادله اثبات دعوی در محیط الکترونیک نیز مطرح بوده و یکی از جنبه‌های حقوق تجارت الکترونیک محسوب می‌شود. اسناد و ادله الکترونیک به عنوان دلیل محکمه پسند و قابل ارائه در دادگاه محسوب می‌شوند؛ به عبارت دیگر، داده‌های الکترونیک نیز می‌توانند ارزش و اعتبار حقوقی اسناد کاغذی مرسوم را داشته باشند؛ زیرا تنها راه حل و فصل اختلافات احتمالی در مبادلات الکترونیک استناد به همین داده پیام‌ها(37) می‌باشد. بنابراین، در پذیرش و شناسایی ادله و اسناد الکترونیک نباید تردید کرد؛ چرا که پذیرش مبادلات و قراردادهای الکترونیک مستلزم پذیرش قانونی اسناد و اطلاعات مبتنی بر داده‌های الکترونیک مورد تبادل بین دو طرف معامله است.

در قوانین وضع شده در باب تجارت الکترونیک، ارزش اثباتی داده‌ پیام‌ها و اعتبار قانونی آن‌ها مورد پیش‌بینی قانونگذاران قرار گرفته است. در قانون نمونه تجارت الکترونیک آنسیترال مصوب 1996م که با هدف سازگار کردن قواعد عمومی قراردادها با فناوری‌های نوین تدوین شده است، ارزش اثباتی داده پیام‌ها مورد پذیرش قرار گرفته و به این موضوع تصریح شده که در رسیدگی‌های قضایی نباید ادله الکترونیک را به این علت که به‌ صورت داده پیام هستند و دارای اصالت نمی‌باشند، رد کرد و نپذیرفت.

اطلاعات ارائه شده به شکل داده پیام از اعتبار و ارزش اثباتی برخوردار است. بنابراین، اثر قانونی یا قابلیت اجرای سند را نمی‌توان صرفاً به دلیل شکل الکترونیک آن رد کرد.

قانون تجارت الکترونیک ایران نیز که از قانون نمونه آنسیترال الهام گرفته است، مقررات مشابهی را در بردارد. ماده 12 قانون مذکور مقرر می‌دارد: «اسناد و ادله اثبات دعوی ممکن است به صورت داده پیام بوده و در هیچ محکمه یا اداره دولتی نمی‌توان بر اساس قواعد ادله موجود، ارزش اثباتی داده پیام را صرفاً به دلیل شکل و قالب آن رد کرد». همان‌ طور که پیدا است، قوانین مربوط با اعتباربخشی به داده پیام‌ها، اسناد الکترونیک را در شمار دلایل قانونی آورده‌اند. این‌که تمام داده‌های الکترونیک دارای ارزش اثباتی هستند یا خیر، قانون نمونه آنسیترال در باب تجارت الکترونیک، مصوب 1996م در این خصوص این‌گونه اظهار نظر می‌کند: «در انعقاد قرارداد، ایجاب و قبول می‌تواند از طریق داده‌ پیام‌ها اعلام شود؛ مگر این‌که طرفین به نحو دیگری توافق کرده باشند. هنگامی که برای انعقاد قرارداد، داده پیام‌ها مورد استفاده قرار می‌گیرند، اعتبار یا قابلیت اجرای قرارداد مذکور صرفاً به این دلیل که از داده پیام‌ها استفاده شده، نباید رد شود.» همان ‌طور که پیدا است، ماده مذکور صریحاً قرارداد الکترونیک را مورد پذیرش قرار داده و برای آن‌ها اعتبار و قابلیت اجرای لازم را قائل است.

15. قوانین تجارت الکترونیک ایران

قانون تجارت الکترونیک ایران با الهام از قانون نمونه آنسیترال به تصویب نهایی مجلس و شورای نگهبان رسیده است که در آن، موارد زیر در باره امضاء دیجیتالی به چشم می‌خورد:

ماده 7) هرگاه قانون وجود امضا را لازم بداند، امضاء الکترونیکی مکفی است.

ماده 10) امضاء الکترونیکی مطمئن(38) باید دارای شرایط زیر باشد:

  • - نسبت به امضاکننده منحصر به فرد باشد.
  • - هویت امضا‌کننده «داده پیام» را معلوم نماید.
  • - به وسیله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.
  • - به نحوی به یک «داده پیام» متصل شود که هر تغییری در آن «داده پیام» قابل تشخیص و کشف باشد.

ماده 11) سابقه الکترونیکی مطمئن عبارت از «داده پیام»ی است که با رعایت شرایط یک سیستم اطلاعاتی مطمئن ذخیره شده و به هنگام لزوم در دسترس و قابل درک است.

ماده 14) کلیه «داده پیام»هایی که به طریق مطمئن ایجاد و نگهداری شده‌اند، از حیث محتویات و امضاء مندرج در آن، تعهدات طرفین یا طرفی که تعهد کرده و کلیه اشخاصی که قائم مقام قانونی آنان محسوب می‌شوند، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.

ماده 15) نسبت به «داده پیام» مطمئن، سوابق الکترونیکی مطمئن و امضاء الکترونیکی مطمئن، انکار و تردید مسموع نیست و تنها می‌توان ادعای جعلیت به «داده پیام» مزبور وارد و یا ثابت نمود که «داده پیام» مزبور به جهتی از جهات قانونی از اعتبار افتاده است.

ماده 31) دفاتر خدمات صدور گواهی الکترونیکی واحدهایی هستند که برای ارائه خدمات صدور امضاء الکترونیکی در کشور تأسیس می‌شوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهی‌های اصالات (امضای) الکترونیکی می‌باشد.

16. امنیت مبادلات الکترونیکی

در روش سنتی، مکتوب بودن، اصل بودن سند،‌لاک و مهر بودن پاکت حاوی اسناد و ممهور بودن یک سند،‌ دلیل اعتبار آن است. در مبادلۀ الکترونیکی اطلاعات، حفظ محرمانگی با رمزنگاری و تضمین جعلی نبودن با امضاء الکترونیکی فرستنده فراهم می‌شود. با استفاده از الگوریتم‌های نامتقارن رمزنگاری و خدمات یک مرکز گواهی دیجیتالی، می‌توان امنیت را در انواع مبادلات الکترونیکی به ‌کار برد.

در یک سیستم واقعی، در هر لحظه امکان دارد ارتباط بین مبدأ و مقصد مورد چهار نوع حملۀ‌: قطع ارتباط، استراق سمع، تغییر و جعل هویت واقع شود. علاوه بر این حملات، ممکن است بعد از ارسال اطلاعات، فرستنده کار خود را تکذیب کند و منکر ارسال اطلاعات شود.

منظور از مسائل امنیتی، حمایت از داده‌ها و امنیت اطلاعات در مقابل دسترسی‌های غیر مجاز در فرآیند تجارت الکترونیک است.

اقدامات، سلایق و فعالیت‌های کاربران به‌آسانی زیر نظر گرفته و ردیابی می‌شوند. داده‌ها و اطلاعات آن‌ها به‌راحتی کپی شده و مورد نقل و انتقال قرار می‌گیرد. اینترنت یک شبکه کاملاً باز است و امکان دسترسی افراد غیر مجاز به اطلاعات محرمانه و استفاده از آن‌ها وجود دارد؛ به عنوان مثال، چنانچه شماره کارت اعتباری افراد در اختیار افراد غیر مجاز قرار گیرد، آن‌ها می‌توانند از کارت مذکور سوء استفاده کنند. بنابراین، حفاظت از اطلاعات مالی، اعتباری و شخصی افراد، یکی از چالش‌های مهم تجارت الکترونیک است؛ زیرا مسیر گردش اطلاعات و منابع روی شبکه بسیار است. از این رو، معلوم نیست که اطلاعات مذکور کجا می‌روند و چه کسانی از آن‌ها بهره‌برداری می‌نمایند.[14]

17. امضای‌ دیجیتال و امنیت آن

امنیت امضاء دیجیتال شامل امنیت الگوریتم رمزنگاری کلید عمومی، امنیت توابع درهم‌سازی و امنیت کلید خصوصی می‌باشد. برای اعتبارسنجی امضاء هر کس، از کلید عمومی او استفاده می‌شود. امضاء دیجیتالی به گونه‌ای طراحی شده است که نه تنها استنتاج پیام از امضا‌ تقریباً غیرممکن است، بلکه امکان یافتن دو پیغام با امضاهای مشابه نیز بسیار کم است. فرستنده، پیام و کلید خصوصی خود را به یک رویۀ رمزنگاری می‌دهد. خروجی این فرایند یک متن رمز شدۀ فشرده شده از متن اصلی است که امضاء دیجیتالی نامیده می‌شود. سپس این امضا‌ همراه با متن پیام به هم متصل و ارسال می‌شوند. گیرنده، متن پیام و امضا را دریافت کرده و برای کنترل هویت فرستنده و جامعیت پیام، با کلید عمومی فرستنده امضا ‌را رمزگشایی می‌کند تا متن پیام اولیه را به دست آورد. اگر این متن با متن اصلی دریافت شده یکی باشد، می‌توان نتیجه گرفت که متن پیام و امضا نه جعلی هستند و نه در بین راه تغییر کرده‌اند.

18. رمزنگاری

اصلی‌ترین راه حلی که امروزه در جهان برای برقراری امنیت مبادلات الکترونیکی و مقابله با این مشکلات استفاده می‌شود، رمزنگاری است. با استفاده از رمزنگاری می‌توان به جز حملات قطع ارتباط، جلوی سایر حملات و تهدیدات را نیز گرفت. در میان روش‌های مختلف رمزنگاری،‌ رمزنگاری مبتنی بر کلید (در مقابل رمزنگاری مبتنی بر الگوریتم) مناسب‌ترین روش‌ها است و عموماً منظور از رمزنگاری، همین نوع رمزنگاری است. منظور از کلید، یک مقدار داده‌ای است که در الگوریتم رمزنگاری به کار می‌رود. الگوریتم‌های رمزنگاری مبتنی بر کلید به دو دستۀ عمده تقسیم می‌شوند: رمزنگاری متقارن و رمزنگاری نامتقارن. در ادامه مباحث ضمن ارائه توضیحات در باره مفاهیم رمزنگاری، به تشریح انواع رمزنگاری خواهیم پرداخت.

رمزنگاری، علمی است که به وسیله آن می‌توان اطلاعات را به‌ صورتی امن منتقل کرد؛ حتی اگر مسیر انتقال اطلاعات (کانال‌های ارتباطی) ناامن باشد. دریافت‌کننده اطلاعات آن‌ها را از حالت رمز خارج می‌کند. به این عمل در واقع، رمزگشایی گفته می‌شود. از رمزنگاری می‌توان برای تأمین امنیت و تأمین اعتبار پیام به صورت جداگانه یا همزمان استفاده کرد.

تأمین امنیت پیام: این‌که به غیر از گیرنده مجاز، شخص دیگر قادر به فهمیدن متن پیام نباشد.

اعتبار پیام: این‌که فرستنده واقعی پیام، مشخص باشد.

19. نتیجه

همزمانی گسترش تجارت الکترونیک و طرح جهانی‌سازی اقتصاد و پیوستن جوامع مختلف به این طرح و نیز گسترش روزافزون کاربران شبکه جهانی اینترنت، این تجارت نوین را به تجارتی فراگیر مبدل ساخته است؛ به ‌طوری که امروزه خود را به ‌عنوان امری اجتناب‌ناپذیر در متن زندگی انسان امروز جای داده است. قرار گرفتن در دهکده جهانی ما را ناگزیر به مهیا نمودن زیرساخت‌های لازم تجارت الکترونیکی می‌سازد و عدم توجه به این قانونمندی‌های نوین، در آینده‌ای نه‌ چندان دور فاجعه‌آمیز خواهد بود.

اکثر سازمان‌ها ترجیح می‌دهند به سوی حذف کاغذ با استفاده از فرم‌های دریافت و ارسال داده الکترونیکی حرکت کنند. در این‌ صورت ضروری است که نه تنها فرستنده، گیرنده را تعیین اعتبار کند، بلکه گیرنده نیز فرستنده را تعیین اعتبار نماید. یک امضاء دیجیتالی اهداف مورد نظر یک امضاء دستی را دنبال می‌کند و ویژگی ممتاز آن این است که به‌سختی جعل می‌شود[13]. در نتیجه، برای تسهیل بهره‌گیری از امضاء الکترونیکی می‌توان از خدمات تصدیق گواهی، قواعد و دستورالعمل‌هایی استفاده نمود که در آن، امضاء الکترونیکی مانند یک ابزار فنی رضایت‌بخش و یک توشیح حقوقی محسوب می‌شود.

پی نوشت ها:

منابع:

اطلاعات تکميلي

  • تاریخ انتشار نسخه چاپی: چهارشنبه, 25 آذر 1388
  • صفحه در فصلنامه: صفحه 11
  • شماره فصلنامه: فصلنامه شماره 28
بازدید 19379 بار
شما اينجا هستيد:خانه سایر مقالات فصلنامه شماره 28 (پائیز 1388) امضاء دیجیتال و هویت مجازی