امضای دیجتالی زیربنای امنیت تبادلات الکترونیکی

با توجه به توسعه روزافزون فناوری اطلاعات و در پی آن تجارت الکترونیکی و تغییر نمادهای فیزیکی به نمادهای الکترونیکی، ارسال و تبادل اطلاعات محرمانه الکترونیکی به ضرورتی اجتناب‌ناپذیر تبدیل شده است.

بنابراین مسایل حقوقی ناشی از تبادل الکترونیکی اطلاعات بایستی با قراردادهای مشخصی تنظیم شود. حوزه این مسایل، استانداردهای تبادل و ایمنی اطلاعات، نحوه اعتبارسنجی و رسمیت بخشیدن به پیام‌ها، نحوه دریافت و ارسال پیام، قوانین حاکم و سرانجام مسیله دلایل اثبات پیام را در بر می‌گیرند. به هر حال در روش ارسال پیام الکترونیکی دریافت‌کننده بایستی مطمین شود که فرستنده همان فرد مورد نظر او بوده و از طرفی اطلاعات دریافتی پس از ارسال در بین راه تغییر نکرده باشد. برای حل این مشکل از امضای دیجیتالی در شبکه‌های الکترونیکی استفاده می‌شود. امروزه در اکثر کشورها امضای دیجیتالی به یک ضرورت تبدیل شده و حتی در کارت هوشمند شهروندان خود این رمز را درج می‌کنند از سوی دیگر جامعه بین‌المللی و همچنین انجمن قانونی بلژیک مجموعه قوانینی را ارایه کرده‌اند که باعث می‌شود امضاهای دیجیتال به صورت قانونی صورت پذیرد و عموما به صورت امضاهای مکتوب پذیرفته شود.
برای روشن شدن زوایای مختلف امضای دیجیتال خبرنگار گروه دانش و فناوری خراسان در گزارش پیش‌رو با دو تن از کارشناسان این حوزه، دکتر سیدعلی اکرمی‌فر، دبیر کمیته IT دفتر مطالعات فناوری ریاست جمهوری و دکتر محمود سلماسی‌زاده عضو هییت علمی دانشگاه صنعتی شریف و مسیول کمیته علمی انجمن رمز ایران گفتگویی انجمن داده است که در ذیل می‌آید.

گفتگو با دبیر کمیته IT دفتر مطالعات فناوری ریاست جمهوری
منظور از امضای دیجیتالی چیست؟
-امضای الکترونیکی یا دیجیتال مانند امضای سنتی نیست بلکه عددی بزرگ است که به صورت رمز و کد در آمده است. این عدد در حقیقت یک عدد انحصاری است و به فرد متقاضی، کد خاصی به عنوان امضای الکترونیک داده می‌شود.
آیا امضای الکترونیکی، فقط در تجارت الکترونیکی کاربرد دارد؟
-بخشی از آن مربوط به پرداخت و دریافت پول از طریق اینترنت می‌شود و در بخش دیگر به قراردادها، مرسولات الکترونیکی محرمانه و یا حتی شناخت طرف مقابل در شبکه مربوط می‌شود. یعنی تشخیص هویت فرد که برای شما چیزی ارسال کرده و یا شما خواهان دادن اطلاعاتی از سوی وی در شبکه اینترنت بوده‌اید. شناسایی هویت چیزی فراتر از تجارت است.
به طور کلی می‌توان گفت: امضای دیجیتال شماره یا عدد انحصاری محرمانه‌ای است که توسط مرکزی به هر فرد متقاضی تعلق می‌گیرد و آن عدد یا رمز مبنای تعاملات آن فرد در شبکه یا محیط سایبر می‌شود.
گفتگو با مسیول کمیته علمی انجمن رمز ایران
-چه مراکزی گواهی یا صدور امضای دیجیتال را بر عهده دارند و اصولا چرا صدور امضای دیجیتال نیاز به این مراکز دارد؟ و چگونه این مراکز ایجاد می‌شوند؟
-هم وزارت بازرگانی از طرف هییت دولت موظف است امکان راه‌اندازی مراکز ایجاد و صدور گواهی دیجیتال که استفاده از امضای دیجیتال را عملی می‌کند فراهم کند که هم اکنون این کار را می‌کند و هم بانک‌ها مشغول ایجاد یک مرکز صدور گواهی هستند. برای این که یک امضای الکترونیکی از نظر قانونی به رسمیت شناخته شود تا هیچ یک از طرفین نسبت به اصالت و صحت اسناد مبادله شده از طریق اینترنت تردید نکنند و کسی منکر امضای دیجیتالی که ارایه کرده، نشود باید امضای دیجیتال گواهی شود. مراکز گواهی امضای دیجیتال مشابه مراجع ثبت اسناد رسمی هستند و چون در محیط سایبر نیز احتمال تردید، انکار یا ادعای جعل نسبت به اسناد الکترونیکی وجود دارد پس باید در این فضا هم نهادها و مراجعی برای تضمین معاملات الکترونیکی باشند. این گواهی در واقع هویت امضاءکننده و صحت انتساب سند به وی را تایید می‌کند. مرجع گواهی می‌تواند هم یک نهاد دولتی یا زیرنظر دولت باشد و هم یک نهاد ملی و یا بین‌المللی. به هر حال الان مراکزی در اروپا هست که امیدواریم نکاتی برقرار شود تا آنها صحت گواهی ما را تایید کنند تا بتوانیم از سوی گواهی‌های صادره خود برای کاربردهای بین‌المللی هم استفاده کنیم.

استفاد از امضای دیجیتال تا چه حد امنیت تبادل اسناد مالی و محرمانه را تضمین می‌کند؟
امنیت هیچ وقت صددرصد نمی‌شود، این مقوله هم یک مسیله نسبی است و بستگی دارد چقدر برای آن می‌خواهید هزینه کنید و سندی را که می‌خواهید حفاظت کنید چه ارزشی دارد، با توجه به ارزشی که یک سند دارد برای مصونیت آن سرمایه‌گذاری می‌کنند. به هر حال امضای الکترونیکی بر خلاف امضای دست‌نویس از امنیت بیشتری برای مصون ماندن از جعل، دستکاری و تقلید توسط دیگران برخوردار است چون آگاهی یافتن از یک امضای الکترونیکی محرمانه کار بسیار دشواری است. باید توجه داشت که گسترش تجارت الکترونیکی مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع از تجارت است و این اطمینان باید از طریق تضمین امنیت تبادل داده‌های الکترونیکی صورت گیرد. هر چند با توسعه فناوری‌های نوین امنیت افزایش می‌یابد ولی همانطور که گفته شد هیچ‌گاه صد‌درصد نمی‌شود.
-آیا در کشور امکانات و فناوری‌های لازم برای صدور امضای دیجیتال وجود دارد؟ آیا از لحاظ حقوقی در این زمینه با مشکلی مواجه نیستیم؟
- از لحاظ امکانات نرم‌افزاری و سخت‌افزاری برای عملی کردن استفاده از امضای دیجیتال در کشور سرمایه‌گذاری شده وسازمان‌هایی مشغول پیاده‌سازی این سیستم‌ها هستند. در قانون تجارت الکترونیکی امضای دیجیتال برای کاربردهای مشخصی به رسمیت شناخته شده است.
البته نیاز به آیین‌نامه‌هایی دارد که به تصویب نرسیده ولی در دست تهیه و تدوین برای تصویب است.
-
معنی و مفهوم کلید عمومی و خصوصی در امضای الکترونیکی چیست؟
- منظور از کلید بخشی از سیستم یا الگوریتمی است که یک متن را رمزگذاری یا رمزگشایی می‌کند. کلید عمومی پیام را به صورت رمز در می‌آورد که شما می‌تواند کلید عمومی را در اختیار همگان و در معرض استفاده و دید عمومی قرار دهید.
مرکز گواهی برای آنها گواهی‌نامه‌ای صادر می‌کند که صحت انتساب کلید عمومی را به هر شخص دارنده گواهی تایید می‌کند. کلید خصوصی هم کلید شخصی و منحصر به فردی است که محرمانه و در اختیار شخص است و فرد دیگری نمی‌تواند به آن دسترسی یابد.
امضای دیجیتال مبتنی بر روش‌های رمزنگاری از طریق کلیدهای عمومی و خصوصی است. یک متن یا پیام رمزنگاری شده بی‌مفهوم است و فقط کسی می‌تواند به معنی و مفهوم آن پی ببرد که دارای کلید خصوصی باشد.
- در حال حاضر از امضای دیجیتال در کشورهای دیگر چه استفاده‌هایی می‌شود.
- در حال حاضر در دنیا در کشورهای متعددی از امضای دیجیتال در کاربردهای گوناگون استفاده می‌شود از صدور یک ایمیل گرفته تا نقل و انتقالات مالی و امضای اسناد تعهدآور. بنابراین حوزه کاربرد آن گسترده است. تاکنون مقتضیات قانونی آن در بیشتر نظام‌های حقوقی فراهم آمده است. این موضوع تا حدی است که در برخی از
کشورها مثل آلمان قانون مستقلی تحت عنوان قانون امضای الکترونیکی به تصویب رسیده است.
دکتر اکرمی‌فرد:
امضای دیجیتال شماره یا عدد انحصاری محرمانه‌ای است که مبنای تعاملات فرد در شبکه است
دکتر سلماسی‌زاده:
برای این که یک امضای الکترونیکی از نظر قانونی به رسمیت شناخته شود باید توسط مراکزی گواهی شود.