به گفته دکتر محمدعلی دوستاری، استاد برجسته دانشکده فنی و مهندسی دانشگاه شاهد، زیرساخت کلید عمومی و امضای دیجیتال مهمترین ابزار استنادپذیری و مبارزه با جعل هستند.
۰
مقاله دکتر محمدعلی دوستاری، استاد برجسته دانشکده فنی و مهندسی دانشگاه شاهد
زیرساخت کلید عمومی و امضای دیجیتال مهمترین ابزار استنادپذیری و مبارزه با جعل
اختصاصی افتانا
به گفته دکتر محمدعلی دوستاری، استاد برجسته دانشکده فنی و مهندسی دانشگاه شاهد، زیرساخت کلید عمومی و امضای دیجیتال مهمترین ابزار استنادپذیری و مبارزه با جعل هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، استنادپذیری یکی از فاکتورهای مهم در مراودات است. با الکترونیکی شدن تعاملات و استفاده از فضای مجازی، موضوعات امنیت فضای مجازی اهمیت روزافزون یافتهاست و در این راستا انواع تمهیدات امنیتی مانند استفاده از فایروال و غیره پا به عرصه فضای مجازی گذاشتهاند. لیکن، موضوع استنادپذیری و اهمیت آن آنچنان که بایسته است مورد توجه قرار نگرفتهاست. استنادپذیری که یکی از بروندادهای آن قابلیت عدم انکار است، نه فقط از نظر فنی و امنیت IT دارای اهمیت است، بلکه از نظر حقوقی و مدیریتی بسیار مهم و اساسی است. زیرساخت کلید عمومی (PKI) و امضای دیجیتال وسیله ای است که میتواند این مهم را تحقق بخشد.
رمزنگاری متقارن و نامتقارن
در رمزنگاری متفارن، دو طرف پیام از قبل کلید مشترکی را دراختیار دارند و پیامهایی که میخواهند برای هم بفرستند را با همان کلید رمز میکنند و میفرستند و گیرنده نیز با همان کلید میتواندپیام را رمزگشایی کند. این کلید باید محرمانه باقی بماند، لذا تولید کلید و رساندن آن بهدست دوطرف (و یا چند طرف) از جمله مشکلات در این حوزه است.
در رمز نگاری نامتقارن که یک پدیده شگفتانگیز ریاضیاتی است، کلیدی که پیام با آن رمز میشود با کلیدی که پیام با آن رمزگشایی میشود متفاوت است. این دو کلید، طی عملیات خاص ریاضی با هم تولید میشوند که آنها را زوج کلید میگویند. لذا، هر فرد (یا هر طرف) یک زوج کلید دارد که یکی را کلید خصوصی میگویند و دیگری را کلید عمومی. کلید خصوصی باید محرمانه بماند، اما کلید عمومی را میتوان به دیگران داد. عمل رمز کردن داده با کلید خصوصی را در این حالت «امضا» گویند. با کلید عمومی میتوان همان پیام رمزشده با کلید خصوصی را رمزگشایی کرد و به متن اولیه رسید که این عمل را «راستیآزمایی امضا» گویند.
امضای دیجیتال چیست و تفاوت آن با امضای دستی چیست؟
با مثالی ساده شاید بتوان کمی موضوع را روشنتر کرد. فرض کنید شخص «الف» یک متنی را به برادر خود می¬نویسد به این عبارت که «لطفا ۳ بسته از بستههایی که هفته پیش در خانهتان گذاشتم را به حامل نامه تحویل بده» و در ذیل آن با دست امضا میکند. برادر با رویت دستخط و امضای برادرش «الف» به آورنده نامه اعتماد کرده و ۳ بسته را به او میدهد. در اینجا چه اتفاقی افتادهاست؟ «الف» و برادرش از قبل دستخط و امضای هم را میشناسند. لذا، گیرنده به نامه فرستنده، اعتماد میکند. همین عمل در فضای مجازی نیز رخ میدهد. دو نفر از قبل کلیدهای عمومی خود را ردوبدل میکنند و سپس، مکاتبات خود را هر کدام با کلید خصوصی خود امضا کرده و برای گیرنده میفرستند. گیرنده با استفاده از کلید عمومی فرستنده، امضا را وارسی و راستیآزمایی (Verify) میکند. در اینجا، عمل امضای یک متن، علاوهبر آنکه اعتماد گیرنده را بههمراه دارد، یکپارچگی متن نیز تضمین میشود، زیرا امضای دیجیتال با متن اصلی، عجین شده و مرتبط است. اما در فضای سنتی، اگر حامل نامه، عدد ۳ را دستکاری و به ۴ تبدیل کند، گیرنده نامه ممکن است متوجه نشده و به جای ۳ بسته، ۴ بسته محموله را به حامل نامه تحویل دهد، اما امضای دیجیتال، امکان دستکاری را از شخص ثالث میگیرد.
در مثال فوق، از آنجا که گیرنده از قبل کلید عمومی فرستنده (وسیله راستیآزمایی امضای فرستنده) را دریافت کردهاست میتواند امضا را شناسایی کند، همچنانکه در روش دستی نیز گیرنده از قبل دستخط فرستنده را میداند و با رویت دستخط و امضای فرستنده از تعلق نامه به فرستنده موردنظر مطمئن میشود.
اما اگر اختلافی پیش آمد، چه؟ اگر دو نفر یک توفقنامهای را با هم منعقد کرده و امضا کنند از نظر حقوقی چگونه است؟ اگر یکی از آنها امضای خود را انکار کند چه پیش میآید؟ همه میدانیم که در این حالت به حکم دادگاه صالحه، دستخط جهت کارشناسی به متخصصان مربوطه ارجاع داده میشود تا تعلق یا عدم تعلق امضا به شخص امضاکننده بررسی و نتیجه اعلام شود. حال در فضای مجازی چگونه است. چه مرجعی تایید میکند که یک کلید عمومی متعلق به یک شخص خاص است؟ اینجاست که مرجعی به نام «مرجع تاییدیه» یا " Certification Authority" که بهطور خلاصه "CA" گفته میشود، مطرح میشود. این مرجع، به نوعی مانند «طرف سوم مورد اعتماد» در فضای مجازی عمل میکند، لیکن، از نظر حقوقی، صلاحیت این مرجع پشتوانه حقوقی امضای دارنده زوج کلید است.
زیرساخت کلید عمومی (PKI) چیست؟
در ساده ترین شکل، فرض کنید یک CA وجود دارد که خودش یک زوج کلید خصوصی و عمومی دارد و کلید عمومیاش را اعلام کرده و همه میدانند. حال اگر افراد مختلف زوج کلیدهای مختلف داشتهباشند و این CA قرار باشد که کلیدهای عمومی آن افراد را تایید کند، اینگونه عمل میکند که این CA با کلید خصوصی خود کلید عمومی هر فرد را امضا میکند و به عنوان «تاییدیه» که "certificate" نامیده میشود به آن فرد میدهد. البته همراه با کلید عمومی فرد، CA بقیه اطلاعات فرد مانند نام فرد، کاربرد تاییدیه، زمان اعتبار و غیره را نیز امضا میکند و مجموع اینها را "certificate" گویند.
حال اگر فرد «الف» بخواهد با فرد «ب»، در حالی که همدیگر را نمیشناسند، ارتباط برقرار کند، ابتدا "certificate" خود را برای طرف مقابل میفرستد. گیرنده با استفاده از کلید عمومی CA که در اختیار همگان است، ابتدا امضای CA را چک می کند (راستیآزمایی certificate)، با این کار تعلق کلید عمومی فرد فرستنده به شخصی که فرستنده خود را به آن نام معرفی کرد راستی آزمایی میکند. سپس با کلید عمومی فرستنده، متنی را که فرستنده با کلید خصوصی خودش امضا کرد راستیآزمایی میکند.
مشکلات اجرایی، حقوقی، و مدیریتی در کشور برای فراگیر شدن امضای دیجیتال
نزدیک به دو دهه است که امضای دیجیتال، یعنی زیرساخت کلید عمومی و بهکارگیری الگوریتمهای رمزنگاری نامتقارن در دنیا آغاز شدهاست که باعث تسهیل قابلتوجه کارها و افزایش امنیت در فضای دولت الکترونیک شده و میشود. در کشور ما، قانون بهکارگیری امضای دیجیتال و اطلاق همانندی آن با امضای دستی، طی تصویب قانون تجارت الکترونیک در سال ۱۳۸۲در مجلس شورای اسلامی، مسیر قانونی کاربرد امضای دیجیتال را هموارکردهاست. در حال حاضر، امضای دیجیتال (با پیادهسازی زیرساخت کلید عمومی) در تعدادی از دستگاهها و وزارتخانهها ایجاد شده و در حال کار است. لیکن، این زیرساخت، هنوز در سطح وسیع و فراگیر و مخصوصآ توسط آحاد مردم و شهروندان بهکار گرفته نشدهاست.
علاوهبر ارتقای امنیت در فضای مجازی و دولت الکترونیک، یکی از مشخصات مهم امضای دیجیتال، تامین استنادپذیری و نیز خاصیت «عدم انکار» آن است. بدین معنی که همچنانکه شخصی که بهصورت دستخطی ذیل یک سند را امضا میکند و خاصیت مهم چنین امضایی این است که شخص امضاکننده و یا هر شخص دیگری، نمیتواند تعلق این امضا را به شخص امضا کننده انکار کند (خاصیت عدم انکار)، همین خاصیت برای امضای دیجیتال نیز صادق خواهدبود. این در حالی است که عمل امضای دیجیتال ممکن است با یک کلیک ساده یک تجهیز دیجیتال (کامپیوتر، موبایل یا هر وسیله دیگر امروزی) انجام شود.
با توجه به عدم اشراف علمی و تکنیکی عموم مردم و کاربران تجهیزات به مسائل فنی، تکنیکی، تخصصی و امنیتی تجهیزات دیجیتال با فراگیر شدن امضای دیجیتال در سطح کل کشور و ایجاد دولت الکترونیک در همه شئونات اجرایی کشور، باید منتظر ظهور مشکلات عدیده حقوقی و ضوابط اجرایی این پدیده نوظهور در کشور در آینده باشیم. این درحالی است که مدیران بخشهای مختلف کشور، بازپرسان و قضات دادگستری، وکلا و سایر مسئولان ذینفع، ممکن است بهطور قطع و یقین ندانند یا مطمئن نباشند که موضوع چیست و در اختلافات و یا تخلفاتی که پیش خواهدآمد، چگونه باید قضاوت کرد. از آن مهمتر، هنوز هیچ ضابطه اجرایی (آییننامه های اجرایی) برای نحوه تشخیص وقوع جرم و سنگینی جرم و راستیآزمایی ادعاهای طرفین منازعات وجود ندارد. البته فعالیتها و قانونمندیهای مفیدی در مسائل کلی فضای مجازی توسط نهادهای زیربط در کشور انجام شدهاست، اما در حوزه امضای دیجیتال، مقررات و آییننامههایی که بهطور خاص به موضوع استنادپذیری و امر بسیار مهم و حیاتی «امضا با خاصیت عدم انکار» بپردازد وجود ندارد.
کشورهای مختلف دنیا بر اساس ساختارهای حاکمیتی و حقوقی خود، ضوابط و مقررات و آییننامههای اجرایی خاص خودرا تدوین کردهاند. لذا لازم است که بر اساس ساختار حاکمیتی کشورمان، یعنی نقش نهادهای اهداکننده هویت و نهادهای تاییدکننده هویت، چنین ضوابطی تدوین شود. اینگونه ضوابط و آییننامههای اجرایی باید بر اساس اشراف کامل و دقیقی نه فقط بر موضوعات فنی و تخصصی این حوزه، بلکه با اشراف کامل بر فرایندهای مدیریتی و نیز مبانی حقوقی این حوزه، تدوین شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، استنادپذیری یکی از فاکتورهای مهم در مراودات است. با الکترونیکی شدن تعاملات و استفاده از فضای مجازی، موضوعات امنیت فضای مجازی اهمیت روزافزون یافتهاست و در این راستا انواع تمهیدات امنیتی مانند استفاده از فایروال و غیره پا به عرصه فضای مجازی گذاشتهاند. لیکن، موضوع استنادپذیری و اهمیت آن آنچنان که بایسته است مورد توجه قرار نگرفتهاست. استنادپذیری که یکی از بروندادهای آن قابلیت عدم انکار است، نه فقط از نظر فنی و امنیت IT دارای اهمیت است، بلکه از نظر حقوقی و مدیریتی بسیار مهم و اساسی است. زیرساخت کلید عمومی (PKI) و امضای دیجیتال وسیله ای است که میتواند این مهم را تحقق بخشد.
رمزنگاری متقارن و نامتقارن
در رمزنگاری متفارن، دو طرف پیام از قبل کلید مشترکی را دراختیار دارند و پیامهایی که میخواهند برای هم بفرستند را با همان کلید رمز میکنند و میفرستند و گیرنده نیز با همان کلید میتواندپیام را رمزگشایی کند. این کلید باید محرمانه باقی بماند، لذا تولید کلید و رساندن آن بهدست دوطرف (و یا چند طرف) از جمله مشکلات در این حوزه است.
در رمز نگاری نامتقارن که یک پدیده شگفتانگیز ریاضیاتی است، کلیدی که پیام با آن رمز میشود با کلیدی که پیام با آن رمزگشایی میشود متفاوت است. این دو کلید، طی عملیات خاص ریاضی با هم تولید میشوند که آنها را زوج کلید میگویند. لذا، هر فرد (یا هر طرف) یک زوج کلید دارد که یکی را کلید خصوصی میگویند و دیگری را کلید عمومی. کلید خصوصی باید محرمانه بماند، اما کلید عمومی را میتوان به دیگران داد. عمل رمز کردن داده با کلید خصوصی را در این حالت «امضا» گویند. با کلید عمومی میتوان همان پیام رمزشده با کلید خصوصی را رمزگشایی کرد و به متن اولیه رسید که این عمل را «راستیآزمایی امضا» گویند.
امضای دیجیتال چیست و تفاوت آن با امضای دستی چیست؟
با مثالی ساده شاید بتوان کمی موضوع را روشنتر کرد. فرض کنید شخص «الف» یک متنی را به برادر خود می¬نویسد به این عبارت که «لطفا ۳ بسته از بستههایی که هفته پیش در خانهتان گذاشتم را به حامل نامه تحویل بده» و در ذیل آن با دست امضا میکند. برادر با رویت دستخط و امضای برادرش «الف» به آورنده نامه اعتماد کرده و ۳ بسته را به او میدهد. در اینجا چه اتفاقی افتادهاست؟ «الف» و برادرش از قبل دستخط و امضای هم را میشناسند. لذا، گیرنده به نامه فرستنده، اعتماد میکند. همین عمل در فضای مجازی نیز رخ میدهد. دو نفر از قبل کلیدهای عمومی خود را ردوبدل میکنند و سپس، مکاتبات خود را هر کدام با کلید خصوصی خود امضا کرده و برای گیرنده میفرستند. گیرنده با استفاده از کلید عمومی فرستنده، امضا را وارسی و راستیآزمایی (Verify) میکند. در اینجا، عمل امضای یک متن، علاوهبر آنکه اعتماد گیرنده را بههمراه دارد، یکپارچگی متن نیز تضمین میشود، زیرا امضای دیجیتال با متن اصلی، عجین شده و مرتبط است. اما در فضای سنتی، اگر حامل نامه، عدد ۳ را دستکاری و به ۴ تبدیل کند، گیرنده نامه ممکن است متوجه نشده و به جای ۳ بسته، ۴ بسته محموله را به حامل نامه تحویل دهد، اما امضای دیجیتال، امکان دستکاری را از شخص ثالث میگیرد.
در مثال فوق، از آنجا که گیرنده از قبل کلید عمومی فرستنده (وسیله راستیآزمایی امضای فرستنده) را دریافت کردهاست میتواند امضا را شناسایی کند، همچنانکه در روش دستی نیز گیرنده از قبل دستخط فرستنده را میداند و با رویت دستخط و امضای فرستنده از تعلق نامه به فرستنده موردنظر مطمئن میشود.
اما اگر اختلافی پیش آمد، چه؟ اگر دو نفر یک توفقنامهای را با هم منعقد کرده و امضا کنند از نظر حقوقی چگونه است؟ اگر یکی از آنها امضای خود را انکار کند چه پیش میآید؟ همه میدانیم که در این حالت به حکم دادگاه صالحه، دستخط جهت کارشناسی به متخصصان مربوطه ارجاع داده میشود تا تعلق یا عدم تعلق امضا به شخص امضاکننده بررسی و نتیجه اعلام شود. حال در فضای مجازی چگونه است. چه مرجعی تایید میکند که یک کلید عمومی متعلق به یک شخص خاص است؟ اینجاست که مرجعی به نام «مرجع تاییدیه» یا " Certification Authority" که بهطور خلاصه "CA" گفته میشود، مطرح میشود. این مرجع، به نوعی مانند «طرف سوم مورد اعتماد» در فضای مجازی عمل میکند، لیکن، از نظر حقوقی، صلاحیت این مرجع پشتوانه حقوقی امضای دارنده زوج کلید است.
زیرساخت کلید عمومی (PKI) چیست؟
در ساده ترین شکل، فرض کنید یک CA وجود دارد که خودش یک زوج کلید خصوصی و عمومی دارد و کلید عمومیاش را اعلام کرده و همه میدانند. حال اگر افراد مختلف زوج کلیدهای مختلف داشتهباشند و این CA قرار باشد که کلیدهای عمومی آن افراد را تایید کند، اینگونه عمل میکند که این CA با کلید خصوصی خود کلید عمومی هر فرد را امضا میکند و به عنوان «تاییدیه» که "certificate" نامیده میشود به آن فرد میدهد. البته همراه با کلید عمومی فرد، CA بقیه اطلاعات فرد مانند نام فرد، کاربرد تاییدیه، زمان اعتبار و غیره را نیز امضا میکند و مجموع اینها را "certificate" گویند.
حال اگر فرد «الف» بخواهد با فرد «ب»، در حالی که همدیگر را نمیشناسند، ارتباط برقرار کند، ابتدا "certificate" خود را برای طرف مقابل میفرستد. گیرنده با استفاده از کلید عمومی CA که در اختیار همگان است، ابتدا امضای CA را چک می کند (راستیآزمایی certificate)، با این کار تعلق کلید عمومی فرد فرستنده به شخصی که فرستنده خود را به آن نام معرفی کرد راستی آزمایی میکند. سپس با کلید عمومی فرستنده، متنی را که فرستنده با کلید خصوصی خودش امضا کرد راستیآزمایی میکند.
مشکلات اجرایی، حقوقی، و مدیریتی در کشور برای فراگیر شدن امضای دیجیتال
نزدیک به دو دهه است که امضای دیجیتال، یعنی زیرساخت کلید عمومی و بهکارگیری الگوریتمهای رمزنگاری نامتقارن در دنیا آغاز شدهاست که باعث تسهیل قابلتوجه کارها و افزایش امنیت در فضای دولت الکترونیک شده و میشود. در کشور ما، قانون بهکارگیری امضای دیجیتال و اطلاق همانندی آن با امضای دستی، طی تصویب قانون تجارت الکترونیک در سال ۱۳۸۲در مجلس شورای اسلامی، مسیر قانونی کاربرد امضای دیجیتال را هموارکردهاست. در حال حاضر، امضای دیجیتال (با پیادهسازی زیرساخت کلید عمومی) در تعدادی از دستگاهها و وزارتخانهها ایجاد شده و در حال کار است. لیکن، این زیرساخت، هنوز در سطح وسیع و فراگیر و مخصوصآ توسط آحاد مردم و شهروندان بهکار گرفته نشدهاست.
علاوهبر ارتقای امنیت در فضای مجازی و دولت الکترونیک، یکی از مشخصات مهم امضای دیجیتال، تامین استنادپذیری و نیز خاصیت «عدم انکار» آن است. بدین معنی که همچنانکه شخصی که بهصورت دستخطی ذیل یک سند را امضا میکند و خاصیت مهم چنین امضایی این است که شخص امضاکننده و یا هر شخص دیگری، نمیتواند تعلق این امضا را به شخص امضا کننده انکار کند (خاصیت عدم انکار)، همین خاصیت برای امضای دیجیتال نیز صادق خواهدبود. این در حالی است که عمل امضای دیجیتال ممکن است با یک کلیک ساده یک تجهیز دیجیتال (کامپیوتر، موبایل یا هر وسیله دیگر امروزی) انجام شود.
با توجه به عدم اشراف علمی و تکنیکی عموم مردم و کاربران تجهیزات به مسائل فنی، تکنیکی، تخصصی و امنیتی تجهیزات دیجیتال با فراگیر شدن امضای دیجیتال در سطح کل کشور و ایجاد دولت الکترونیک در همه شئونات اجرایی کشور، باید منتظر ظهور مشکلات عدیده حقوقی و ضوابط اجرایی این پدیده نوظهور در کشور در آینده باشیم. این درحالی است که مدیران بخشهای مختلف کشور، بازپرسان و قضات دادگستری، وکلا و سایر مسئولان ذینفع، ممکن است بهطور قطع و یقین ندانند یا مطمئن نباشند که موضوع چیست و در اختلافات و یا تخلفاتی که پیش خواهدآمد، چگونه باید قضاوت کرد. از آن مهمتر، هنوز هیچ ضابطه اجرایی (آییننامه های اجرایی) برای نحوه تشخیص وقوع جرم و سنگینی جرم و راستیآزمایی ادعاهای طرفین منازعات وجود ندارد. البته فعالیتها و قانونمندیهای مفیدی در مسائل کلی فضای مجازی توسط نهادهای زیربط در کشور انجام شدهاست، اما در حوزه امضای دیجیتال، مقررات و آییننامههایی که بهطور خاص به موضوع استنادپذیری و امر بسیار مهم و حیاتی «امضا با خاصیت عدم انکار» بپردازد وجود ندارد.
کشورهای مختلف دنیا بر اساس ساختارهای حاکمیتی و حقوقی خود، ضوابط و مقررات و آییننامههای اجرایی خاص خودرا تدوین کردهاند. لذا لازم است که بر اساس ساختار حاکمیتی کشورمان، یعنی نقش نهادهای اهداکننده هویت و نهادهای تاییدکننده هویت، چنین ضوابطی تدوین شود. اینگونه ضوابط و آییننامههای اجرایی باید بر اساس اشراف کامل و دقیقی نه فقط بر موضوعات فنی و تخصصی این حوزه، بلکه با اشراف کامل بر فرایندهای مدیریتی و نیز مبانی حقوقی این حوزه، تدوین شود.
کد مطلب : 15825
https://aftana.ir/vdcaman6.49nmu15kk4.htmlaftana.ir/vdcaman6.49nmu15kk4.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵