وقتی تو دنیای واقعی کسی بهتون سندی رو میده یا یه قراردادی میبندین، باید پای اون متنها امضا بزنین، کلاً امضا زدن شما نشونه اینه که با بندهای ذکر شده تو اون قرارداد یا هر چیز دیگهای موافق هستین یعنی در واقع این کار یه اعتباری به اون سند میبخشه. اما خب حالا اگه وارد دنیای دیجیتال بشیم چی؟ به نظرتون اسنادی که اینجا رد و بدل میشن چجوری تایید یا رد میشن؟ نمیدونیم آیا تا حالا اسم امضای دیجیتال به گوشتون خورده یا نه ولی این نوع امضا یکی از پرکاربردترین مواردیه که مخصوصاً تو تجارت الکترونیک مورد استفاده قرار میگیره و نوعی اعتبار برای اسناد اینترنتی است.
موضوع بحث امروز ما هم دقیقاً همین امضای الکترونیکی است، میخوایم شما رو با مفهوم و دسته بندیهای این امضا آشنا کنیم! پس با ما همراه باشین.
امضای دیجیتال چیست؟
امضای دیجیتال یکی از روشهای ریاضیه که برای سنجیدن اعتبار یه پیام، نرم افزار یا سندهای دیجیتال به کار میره. امضای دیجیتالی نسبت به امضای دستی یا مهر امنیت بیشتری داره چون نمیتونه دستکاری یا جعل بشه. امضاهای دیجیتالی میتونن اطمینان بیشتری راجع به شواهد اصلی، هویت و وضعیت یه مدرک الکترونیکی، معامله یا پیام بهمون بدن و میتونن رضایت آگاهانه فرد امضاکننده رو تایید کنن.
توی خیلی از کشورها مثل ایالات متحده، امضاهای دیجیتالی به اندازه روش سنتی امضا کردن (امضای دستی)، مرسوم و لازمه.
امضاهای دیجیتال چه جوری کار میکنن؟
امضاهای دیجیتالی بر اساس رمزنویسیهای عمومی کار میکنن و به رمز نویسی نامتقارن هم معروفن. با یه الگوریتم سادده عمومی، مثل RSA، میشه دوتا کلید ایجاد کرد که از نظر ریاضی به هم مرتبط باشن: یکی خصوصی و یکی عمومی.
امضاهای دیجیتالی از راه دو کلید، رمزنویسی معتبر متقابل و رمزنویسی کلید عمومی کار میکنن. کسی که امضای دیجیتالی ایجاد میکنه، از کلید خصوصی خودش برای رمزنویسی داده های مربوط به امضا استفاده میکنه و تنها راه باز کردن رمز این داده ها با کلید عمومی امضا کننده ست. در واقع، از این راهه که امضای دیجیتالی تایید میشه.
در فناوری امضای دیجیتال شما باید به این امر اعتماد داشته باشین که طرف مقابل خودتون کلید خصوصی که داره رو مخفی نگهداشته، چون اگه کس دیگهای به کلید خصوصی امضا کننده دسترسی داشته باشه، اون طرف میتونه امضاهای دیجیتالی جعلی رو به اسم دارنده کلید خصوصی ایجاد کنه.
چه جوری امضای دیجیتال بسازیم؟
برای ایجاد امضای دیجیتال، نرم افزار امضا کردن (مثل یه برنامه ایمیل) یه hash یک طرفه از داده های الکترونیکی رو امضا میکنه. بعد از کلید خصوصی واسه رمزنویسی هش استفاده میشه. hash رمزنویسی شده (با بقیه اطلاعات، مثل الگوریتم هشینگ) همون امضای دیجیتالی است.
دلیل رمزنویسی هش، به جای کل پیام یا سند اینه که یه عملکرد هش میتونه یه ورودی دلخواه رو به یه مقدار طول ثابت تبدیل کنه که معمولاً خیلی کوتاهتر از رمز نویسی کل پیام میشه. این کار صرفه جویی در وقته و با این اوصاف میگیم هش کردن خیلی سریعتر از امضا کردنه.
مقدار hash به دادهای که به هش داده شده بستگی داره. هر تغییری توی دادهها، مقدار هش رو هم تغییر میده. این ویژگی باعث میشه که طرفین با استفاده از کلید عمومی امضا کننده برای رمزگشایی هش، درستی دادهها رو تایید کنن.
اگه hash رمزگشایی شده با هش محاسبه شده دوم از همون داده مطابقت داشته باشه، ثابت میکنه که دادهها از زمان امضا تغییر نکردن. اگه این دوتا هش با هم مظابقت نداشته باشن، یعنی یا دادهها یه جورایی دستکاری شدن (سازش با تمامیت) یا امضا با یه کلید خصوصی دیگهای ایجاد شده که با کلید عمومی معتبر مطابق نیست.
امضای دیجیتال به راحتی میتونه توی هر نوع پیامی استفاده بشه، چه رمزنویسی شده باشه چه نشده باشه، که اینجوری گیرنده میتونه هم از هویت فرستنده مطمئن بشه و هم از دست نخورده بودن پیام.
امضاهای دیجیتالی انکار کردن امضا رو برای امضاکننده غیرممکن میکنه (با فرض به این که کلید خصوصی به خطر نیوفتاده) چون امضای دیجیتالی هم برای مدارک، هم امضاکننده منحصر به فرده و در واقع عین رابطیه که این دوتا رو بهم وصل میکنه. یعنی تا وقتی که کلید خصوصی شخص امضا کننده مخفی باشه نمیتونه ادعا کنه که من این سند رو امضا نکردم، به این ویژگی عدم انکار پذیری میگن.
امضاهای دیجیتالی با گواهینامههای دیجیتالی اشتباه گرفته نمیشن. یه گواهینامه دیجیتالی، یه مدرک الکترونیکیه که اون امضای دیجیتال مرجع صدور گواهی رو داره، یه کلید عمومی رو به یه هویت متصل میکنه و برای تایید این که اون کلید عمومی به شخص یا نهاد خاصی تعلق داره، استفاده میشه.
اکثر برنامههای ایمیل مدرن از امضاها و گواهینامههای دیجیتالی پشتیبانی میکنن و امکان امضای ایمیلهای خروجی و تایید پیامهای دریافتی امضا شده دیجیتالی رو آسونتر میکنن. از امضاهای دیجیتالی همچنین برای تایید اعتبار، اعتبار اطلاعات و ارتباطات انکار ناپذیر از طریق اینترنت، به صورت گسترده استفاده میشه.
دسته بندی امضاهای دیجیتال
دسته 1
این دسته قابل استفاده برای اسناد تجاری نیستن چون این اسناد فقط براساس شناسه ایمیل و نام کاربری معتبرن. امضاهای دسته 1 امنیت پایه و اولیه ارائه میدن و برای محیطهایی با سازش داده های کم خطر استفاده میشن.
دسته 2
اکثر اوقات برای تشکیل اسناد مالیاتی، مثل اظهارنامه مالیات بر درآمد و اظهارنامه مالیاتی کالا و خدمات (GST) استفاده میشه. امضاهای دیجیتالی دسته 2 هویت امضاکننده رو در برابر پایگاه اطلاعات از پیش تایید شده، تایید میکنن. امضاهای دسته 2 برای محیطهایی با خطرات و سازش داده های متوسط استفاده میشن.
دسته 3
پیشرفتهترین سطح امضاهای دیجیتال. امضاهای دیجیتالی دسته 3 است که به حضور فرد یا سازمان مقابل مرجع صدور مجوز نیاز داره تا قبل از امضا هویت خودشون رو اثبات کنن. امضاهای دسته 3 برای حراجهای الکترونیکی، مناقصههای الکترونیکی، بلیت الکترونیکی، پروندههای دادگاه و محیطهای با خطرات زیاد و تهدیدات و سازش داده های بالا استفاده میشن.
کاربردهای امضای دیجیتال
در صنایع مختلفی از فناوری امضای دیجیتال برای آسونتر شدن و بهبود بخشیدن به فرآیندها استفاده میشه. صنایعی که از امضای دیجیتالی استفاده میکنن:
دولت
دفتر انتشارات دولت ایالت متحده نسخههای الکترونیکی بودجه، قوانین عمومی و خصوصی و لایحههای کنگره رو با امضاهای دیجیتال منتشر میکنه. دولتهای سراسر دنیا از امضاهای دیجیتالی برای موارد مختلفی مثل پردازش اظهارنامه مالیاتی، تایید معاملات به دولت (B2G)، تصویب قوانین و مدیریت قراردادها استفاده میکنن. بیشتر نهادهای دولتی موقع استفاده از امضاهای دیجیتال باید قوانین، مقررات و استانداردهای سختی رو رعایت کنن.
بهداشت و درمان
از امضاهای دیجیتالی در صنعت مراقبتهای بهداشتی برای بهتر شدن کارآیی روند درمان و روند اداری، تقویت امنیت داده ها، نسخههای الکترونیکی و پذیرش بیمار استفاده میشه. استفاده از امضاهای دیجیتال در مراقبتهای بهداشتی باید طبق قانون حمل و نقل و پاسخگویی بیمه سلامت سال 1996 (HIPAA) باشه.
ساخت و تولید
کمپانیهای ساخت و تولید از امضاهای دیجیتالی برای سریع شدن فرآیندها، مثل طراحی محصول، تضمین کیفیت (QA)، پیشرفتهای ساخت، بازاریابی و فروش استفاده میکنن. مدیریت استفاده از امضاهای دیجیتالی در ساخت و تولید، به عهده سازمان بین المللی استاندار سازی (ISO) و گواهینامه تولید دیجیتال موسسه ملی استاندارد و فناوری (DMC) (NIST) هست.
خدمات مالی
بخش مالی ایالات متحده از امضاهای دیجیتالی برای قراردادها، بانکداری بدون کاغذ، وام، مدارک بیمه، رهن و موارد دیگهای استفاده میکنه. این بخش که قوانین خیلی سختگیرانهای هم داره از امضاهای دیجیتال برای تجارت جهانی و ملی (قانون E-Sign)، آیین نامه UETA ایالتی، دفتر حمایت ملی مصرف کننده (CFPB) و فدرال مالی شورای آزمون موسسات (FFIEC) استفاده میکنه.
تفاوت امضا دیجیتال و امضای الکترونیکی
با وجود این که این دوتا اصطلاح به نظر مشابه هستن، اما امضاهای دیجیتالی با امضاهای الکترونیکی یه سری تفاوتهایی دارن. امضای دیجیتال با وجود این که یه اصطلاح فنی به حساب میاد، اما در واقع یه فرآیند رمزنویسی شده است که میتونه برای تایید صحت یه رشته از داده ها استفاده بشه. درحالی که اصطلاح امضای الکترونیکی (e-signature) یه اصطلاح حقوقی هست و تعریف قانونی داره.
مثلاً در ایالات متحده، اصطلاح امضاهای الکترونیکی در قانون تجارت ملی و جهانی که سال 2000 تصویب شده، همچین معنی داره:
یه صدا، نماد یا فرآیند الکترونیکیه که متصل یا منطبق با یه قرارداده که با سوابق دیگهای همراهه و توسط یه شخصی با هدف امضا ضبط، اجرا یا تصویب میشه.
این جمله میخواد بگه امضای دیجیتال در واقع یه فرایند رمزنگاری نامتقارن است و نوعی مکانیزم امنیتیه و به دو کلید خصوصی و عمومی وابسته است، از این کلیدها برای رمزگذاری پیام در زمان انتقال پیغام و رمزگشایی هنگام دریافت پیام استفاده میکنن. امضای دیجیتالی امنیت تصدیق هویت، محرمانه بودن، امانت داری و غیرقابل انکاربودن رو تامین میکنه و از اطلاعات محرمانه در مقابل هرگونه تغییر غیرمجازی محافظت میکنه؛ بنابراین این امضا از دستکاری و آسیب زدن به اطلاعات جلوگیری میکنه. این امضا برای هر شخصی منحصر به فرده.
ولی امضای الکترونیکی خیلی ساده است و همون اسکن امضای واقعیه!
برای تایید اعتبار، طرحهای امضای الکترونیکی باید شامل سه تا مورد باشن:
- دارای قابلیت تایید هویت موسسه امضا کننده؛
- دارای قابلیت تایید این که امضاکننده قصد تایید مدرک امضا شده رو داشته؛
- و دارای قابلیت تایید این که در واقع امضای الکترونیکی با مدارک امضا شده همراه بوده.
امضای دیجیتالی به تنهایی میتونه این شرایط رو برای ارائه امضای الکترونیکی فراهم کنه:
- کلید عمومی امضای دیجیتال با شناسایی نهاد امضا کننده مرتبطه؛
- امضای دیجیتالی فقط میتونه توسط کسی که کلید خصوصی مرتبط با کلید عمومی رو داره اضافه بشه؛
- و امضای دیجیتال فقط در صورتی تایید میشه که داده های امضا شده (سند یا پیش نویس سند) تغییر نکرده باشن. اگه سند بعد از امضا تغییر کرده باشه، امضای دیجیتالی تایید نمیشه.
امضاهای دیجیتالی تایید شده میتونن رمزنویسی رو بر مبنای امضای یه مدرک توسط نهاد امضا کننده تایید کنن و ادعا کنن که مدرک تغییری نکرده، در حالی که امضاهای الکترونیکی نمیتونن این شرایط رو تضمین کنن.
ویژگیها و مزایای امنیتی امضای دیجیتال
ویژگیهای امنیتی تعبیه شده در امضاهای دیجیتالی میتونن تایید کنن که یه سند تغییر نکرده و امضاها قانونی هستن. ویژگیهای امنیتی و روشهای مورد استفاده در امضاهای دیجیتالی شامل این موارد هستن:
- پینها، گذرواژهها و کدها: روشیه که برای تایید هویت امضا کننده و تایید امضای اونها استفاده میشه. ایمیل، نام کاربری و رمز عبور در این روش رایج هستن.
- مُهر زمان: تاریخ و زمان امضا رو ارائه میده. مهر زمان (Time Stamping) زمانی به درد بخوره که تایم امضای دیجیتال خیلی مهم باشه، مثل معاملات سهام، صدور بلیت لاتاری و مراحل قانونی.
- رمزنگاری نامتقارن: از یه الگوریتم کلید عمومی استفاده میکنه که شامل رمزگذاری/تایید اعتبار کلید خصوصی و عمومی میشه.
- بررسی مجموعهها (Checksum): رشتهای طولانی از اعداد و حروف که جمع رقمهای صحیح رو در یه قطعه از داده های دیجیتالی نشون میده، در مقابل هم میشه مقایسههایی رو برای تشخیص خطاها یا تغییرات انجام داد. Checksum به عنوان اثر انگشت داده عمل میکنه.
- بررسی افزایش دورهای (CRC): یه کد شناسایی خطا و ویژگی تایید مزایای استفاده شده در شبکههای دیجیتال و دستگاههای ذخیره سازی برای تشخیص تغییرات به وجود اومده در داده های خام.
- تایید اعتبار گواهینامه (CA: (CA ها امضای دیجیتال رو صادر میکنن و با پذیرش، تایید اعتبار، صدور و نگهداری گواهیهای دیجیتال به عنوان شخص ثالت قابل اعتماد عمل میکنن. استفاده از CA باعث میشه گواهیهای دیجیتالی جعلی صادر نشن.
- تایید ارائه دهنده خدمات اعتبار (TSP : (TSP یه شخص حقیقی یا حقوقیه که اعتبار امضای دیجیتالی رو از طرف یه شرکت انجام میده و گزارشهای تایید امضا رو ارائه میده.
ما سعی کردیم که در این مقاله هر چیزی که باید درمورد امضای دیجیتال و تفاوت اون با امضای الکترونیکی بدونین رو در اختیارتون بذاریم. امیدواریم که با این مقاله جواب سوالات خودتون رو گرفته باشین.