فهرست مطالببستن

وقتی تو دنیای واقعی کسی بهتون سندی رو میده یا یه قراردادی میبندین، باید پای اون متن‌ها امضا بزنین، کلاً امضا زدن شما نشونه اینه که با بندهای ذکر شده تو اون قرارداد یا هر چیز دیگه‌ای موافق هستین یعنی در واقع این کار یه اعتباری به اون سند میبخشه. اما خب حالا اگه وارد دنیای دیجیتال بشیم چی؟ به نظرتون اسنادی که اینجا رد و بدل میشن چجوری تایید یا رد میشن؟ نمیدونیم آیا تا حالا اسم امضای دیجیتال به گوشتون خورده یا نه ولی این نوع امضا یکی از پرکاربردترین مواردیه که مخصوصاً تو تجارت الکترونیک مورد استفاده قرار میگیره و نوعی اعتبار برای اسناد اینترنتی است.

موضوع بحث امروز ما هم دقیقاً همین امضای الکترونیکی است، میخوایم شما رو با مفهوم و دسته بندی‌های این امضا آشنا کنیم! پس با ما همراه باشین.

امضای دیجیتال چیست؟

امضای دیجیتال یکی از روش‌های ریاضیه که برای سنجیدن اعتبار یه پیام، نرم افزار یا سندهای دیجیتال به کار میره. امضای دیجیتالی نسبت به امضای دستی یا مهر امنیت بیشتری داره چون نمیتونه دستکاری یا جعل بشه. امضاهای دیجیتالی میتونن اطمینان بیشتری راجع به شواهد اصلی، هویت و وضعیت یه مدرک الکترونیکی، معامله یا پیام بهمون بدن و میتونن رضایت آگاهانه فرد امضاکننده رو تایید کنن.

توی خیلی از کشورها مثل ایالات متحده، امضاهای دیجیتالی به اندازه روش سنتی امضا کردن (امضای دستی)، مرسوم و لازمه.

امضای دیجیتال

امضاهای دیجیتال چه جوری کار میکنن؟

امضاهای دیجیتالی بر اساس رمزنویسی‌های عمومی کار میکنن و به رمز نویسی نامتقارن هم معروفن. با یه الگوریتم سادده عمومی، مثل RSA، میشه دوتا کلید ایجاد کرد که از نظر ریاضی به هم مرتبط باشن: یکی خصوصی و یکی عمومی.

امضاهای دیجیتالی از راه دو کلید، رمزنویسی معتبر متقابل و رمزنویسی کلید عمومی کار میکنن. کسی که امضای دیجیتالی ایجاد میکنه، از کلید خصوصی خودش برای رمزنویسی داده های مربوط به امضا استفاده میکنه و تنها راه باز کردن رمز این داده ها با کلید عمومی امضا کننده ست. در واقع، از این راهه که امضای دیجیتالی تایید میشه.

در فناوری امضای دیجیتال شما باید به این امر اعتماد داشته باشین که طرف مقابل خودتون کلید خصوصی که داره رو مخفی نگهداشته، چون اگه کس دیگه‌ای به کلید خصوصی امضا کننده دسترسی داشته باشه، اون طرف میتونه امضاهای دیجیتالی جعلی رو به اسم دارنده کلید خصوصی ایجاد کنه.

نحوه ساخت

چه جوری امضای دیجیتال بسازیم؟

برای ایجاد امضای دیجیتال، نرم افزار امضا کردن (مثل یه برنامه ایمیل) یه hash یک طرفه از داده های الکترونیکی رو امضا میکنه. بعد از کلید خصوصی واسه رمزنویسی هش استفاده میشه. hash رمزنویسی شده (با بقیه اطلاعات، مثل الگوریتم هشینگ) همون امضای دیجیتالی است.

دلیل رمزنویسی هش، به جای کل پیام یا سند اینه که یه عملکرد هش میتونه یه ورودی دلخواه رو به یه مقدار طول ثابت تبدیل کنه که معمولاً خیلی کوتاه‌تر از رمز نویسی کل پیام میشه. این کار صرفه جویی در وقته و با این اوصاف میگیم هش کردن خیلی سریعتر از امضا کردنه.

مقدار hash به داده‌ای که به هش داده شده بستگی داره. هر تغییری توی داده‌ها، مقدار هش رو هم تغییر میده. این ویژگی باعث میشه که طرفین با استفاده از کلید عمومی امضا کننده برای رمزگشایی هش، درستی داده‌ها رو تایید کنن.

اگه hash رمزگشایی شده با هش محاسبه شده دوم از همون داده مطابقت داشته باشه، ثابت میکنه که داده‌ها از زمان امضا تغییر نکردن. اگه این دوتا هش با هم مظابقت نداشته باشن، یعنی یا داده‌ها یه جورایی دستکاری شدن (سازش با تمامیت) یا امضا با یه کلید خصوصی دیگه‌ای ایجاد شده که با کلید عمومی معتبر مطابق نیست.

امضای دیجیتال به راحتی میتونه توی هر نوع پیامی استفاده بشه، چه رمزنویسی شده باشه چه نشده باشه، که اینجوری گیرنده میتونه هم از هویت فرستنده مطمئن بشه و هم از دست نخورده بودن پیام.

امضاهای دیجیتالی انکار کردن امضا رو برای امضاکننده غیرممکن میکنه (با فرض به این که کلید خصوصی به خطر نیوفتاده) چون امضای دیجیتالی هم برای مدارک، هم امضاکننده منحصر به فرده و در واقع عین رابطیه که این دوتا رو بهم وصل میکنه. یعنی تا وقتی که کلید خصوصی شخص امضا کننده مخفی باشه نمیتونه ادعا کنه که من این سند رو امضا نکردم، به این ویژگی عدم انکار پذیری میگن.

امضاهای دیجیتالی با گواهینامه‌های دیجیتالی اشتباه گرفته نمیشن. یه گواهینامه دیجیتالی، یه مدرک الکترونیکیه که اون امضای دیجیتال مرجع صدور گواهی رو داره، یه کلید عمومی رو به یه هویت متصل میکنه و برای تایید این که اون کلید عمومی به شخص یا نهاد خاصی تعلق داره، استفاده میشه.

اکثر برنامه‌های ایمیل مدرن از امضاها و گواهینامه‌های دیجیتالی پشتیبانی میکنن و امکان امضای ایمیل‌های خروجی و تایید پیام‌های دریافتی امضا شده دیجیتالی رو آسون‌تر میکنن. از امضاهای دیجیتالی همچنین برای تایید اعتبار، اعتبار اطلاعات و ارتباطات انکار ناپذیر از طریق اینترنت، به صورت گسترده استفاده میشه.

دسته بندی

دسته بندی امضاهای دیجیتال

دسته ۱

این دسته قابل استفاده برای اسناد تجاری نیستن چون این اسناد فقط براساس شناسه ایمیل و نام کاربری معتبرن. امضاهای دسته ۱ امنیت پایه و اولیه ارائه میدن و برای محیط‌هایی با سازش داده های کم خطر استفاده میشن.

دسته ۲

اکثر اوقات برای تشکیل اسناد مالیاتی، مثل اظهارنامه مالیات بر درآمد و اظهارنامه مالیاتی کالا و خدمات (GST) استفاده میشه. امضاهای دیجیتالی دسته ۲ هویت امضاکننده رو در برابر پایگاه اطلاعات از پیش تایید شده، تایید میکنن. امضاهای دسته ۲ برای محیط‌هایی با خطرات و سازش داده های متوسط استفاده میشن.

دسته ۳

پیشرفته‌ترین سطح امضاهای دیجیتال. امضاهای دیجیتالی دسته ۳ است که به حضور فرد یا سازمان مقابل مرجع صدور مجوز نیاز داره تا قبل از امضا هویت خودشون رو اثبات کنن. امضاهای دسته ۳ برای حراج‌های الکترونیکی، مناقصه‌های الکترونیکی، بلیت الکترونیکی، پرونده‌های دادگاه و محیط‌های با خطرات زیاد و تهدیدات و سازش داده های بالا استفاده میشن.

کاربردهای امضای دیجیتال

کاربردهای امضای دیجیتال

در صنایع مختلفی از فناوری امضای دیجیتال برای آسون‌تر شدن و بهبود بخشیدن به فرآیندها استفاده میشه. صنایعی که از امضای دیجیتالی استفاده میکنن:

دولت

دفتر انتشارات دولت ایالت متحده نسخه‎های الکترونیکی بودجه، قوانین عمومی و خصوصی و لایحه‎های کنگره رو با امضاهای دیجیتال منتشر میکنه. دولت‎های سراسر دنیا از امضاهای دیجیتالی برای موارد مختلفی مثل پردازش اظهارنامه مالیاتی، تایید معاملات به دولت (B2G)، تصویب قوانین و مدیریت قراردادها استفاده میکنن. بیشتر نهادهای دولتی موقع استفاده از امضاهای دیجیتال باید قوانین، مقررات و استانداردهای سختی رو رعایت کنن.

بهداشت و درمان

از امضاهای دیجیتالی در صنعت مراقبت‌های بهداشتی برای بهتر شدن کارآیی روند درمان و روند اداری، تقویت امنیت داده ها، نسخه‌های الکترونیکی و پذیرش بیمار استفاده میشه. استفاده از امضاهای دیجیتال در مراقبت‌های بهداشتی باید طبق قانون حمل و نقل و پاسخگویی بیمه سلامت سال ۱۹۹۶ (HIPAA) باشه.

ساخت و تولید

کمپانی‌های ساخت و تولید از امضاهای دیجیتالی برای سریع شدن فرآیندها، مثل طراحی محصول، تضمین کیفیت (QA)، پیشرفت‌های ساخت، بازاریابی و فروش استفاده میکنن. مدیریت استفاده از امضاهای دیجیتالی در ساخت و تولید، به عهده سازمان بین المللی استاندار سازی (ISO) و گواهینامه تولید دیجیتال موسسه ملی استاندارد و فناوری (DMC) (NIST) هست.

خدمات مالی

بخش مالی ایالات متحده از امضاهای دیجیتالی برای قراردادها، بانکداری بدون کاغذ، وام، مدارک بیمه، رهن و موارد دیگه‌ای استفاده میکنه. این بخش که قوانین خیلی سختگیرانه‌ای هم داره از امضاهای دیجیتال برای تجارت جهانی و ملی (قانون E-Sign)، آیین نامه UETA ایالتی، دفتر حمایت ملی مصرف کننده (CFPB) و فدرال مالی شورای آزمون موسسات (FFIEC) استفاده میکنه.

امضای الکترونیکی

تفاوت امضا دیجیتال و امضای الکترونیکی

با وجود این که این دوتا اصطلاح به نظر مشابه هستن، اما امضاهای دیجیتالی با امضاهای الکترونیکی یه سری تفاوت‌هایی دارن. امضای دیجیتال با وجود این که یه اصطلاح فنی به حساب میاد، اما در واقع یه فرآیند رمزنویسی شده است که میتونه برای تایید صحت یه رشته از داده ها استفاده بشه. درحالی که اصطلاح امضای الکترونیکی (e-signature) یه اصطلاح حقوقی هست و تعریف قانونی داره.

مثلاً در ایالات متحده، اصطلاح امضاهای الکترونیکی در قانون تجارت ملی و جهانی که سال ۲۰۰۰ تصویب شده، همچین معنی داره:

یه صدا، نماد یا فرآیند الکترونیکیه که متصل یا منطبق با یه قرارداده که با سوابق دیگه‌ای همراهه و توسط یه شخصی با هدف امضا ضبط، اجرا یا تصویب میشه.

این جمله میخواد بگه امضای دیجیتال در واقع یه فرایند رمزنگاری نامتقارن است و نوعی مکانیزم امنیتیه و به دو کلید خصوصی و عمومی وابسته است، از این کلید‌ها برای رمزگذاری پیام در زمان انتقال پیغام و رمزگشایی هنگام دریافت پیام استفاده می‌کنن. امضای دیجیتالی امنیت تصدیق هویت، محرمانه بودن، امانت داری و غیرقابل انکاربودن رو تامین می‌کنه و از اطلاعات محرمانه در مقابل هرگونه تغییر غیرمجازی محافظت می‌کنه؛ بنابراین این امضا از دستکاری و آسیب زدن به اطلاعات جلوگیری می‌کنه. این امضا برای هر شخصی منحصر به فرده.

ولی امضای الکترونیکی خیلی ساده است و همون اسکن امضای واقعیه!

برای تایید اعتبار، طرح‌های امضای الکترونیکی باید شامل سه تا مورد باشن:

  • دارای قابلیت تایید هویت موسسه امضا کننده؛
  • دارای قابلیت تایید این که امضاکننده قصد تایید مدرک امضا شده رو داشته؛
  • و دارای قابلیت تایید این که در واقع امضای الکترونیکی با مدارک امضا شده همراه بوده.

امضای دیجیتالی به تنهایی میتونه این شرایط رو برای ارائه امضای الکترونیکی فراهم کنه:

  • کلید عمومی امضای دیجیتال با شناسایی نهاد امضا کننده مرتبطه؛
  • امضای دیجیتالی فقط میتونه توسط کسی که کلید خصوصی مرتبط با کلید عمومی رو داره اضافه بشه؛
  • و امضای دیجیتال فقط در صورتی تایید میشه که داده های امضا شده (سند یا پیش نویس سند) تغییر نکرده باشن. اگه سند بعد از امضا تغییر کرده باشه، امضای دیجیتالی تایید نمیشه.

امضاهای دیجیتالی تایید شده میتونن رمزنویسی رو بر مبنای امضای یه مدرک توسط نهاد امضا کننده تایید کنن و ادعا کنن که مدرک تغییری نکرده، در حالی که امضاهای الکترونیکی نمیتونن این شرایط رو تضمین کنن.

امضای دیجیتال

ویژگی‌ها و مزایای امنیتی امضای دیجیتال

ویژگی‌های امنیتی تعبیه شده در امضاهای دیجیتالی میتونن تایید کنن که یه سند تغییر نکرده و امضاها قانونی هستن. ویژگی‌های امنیتی و روش‌های مورد استفاده در امضاهای دیجیتالی شامل این موارد هستن:

  • پین‌ها، گذرواژه‌ها و کدها: روشیه که برای تایید هویت امضا کننده و تایید امضای اونها استفاده میشه. ایمیل، نام کاربری و رمز عبور در این روش رایج هستن.
  • مُهر زمان: تاریخ و زمان امضا رو ارائه میده. مهر زمان (Time Stamping) زمانی به درد بخوره که تایم امضای دیجیتال خیلی مهم باشه، مثل معاملات سهام، صدور بلیت لاتاری و مراحل قانونی.
  • رمزنگاری نامتقارن: از یه الگوریتم کلید عمومی استفاده میکنه که شامل رمزگذاری/تایید اعتبار کلید خصوصی و عمومی میشه.
  • بررسی مجموعه‌ها (Checksum): رشته‌ای طولانی از اعداد و حروف که جمع رقم‌های صحیح رو در یه قطعه از داده های دیجیتالی نشون میده، در مقابل هم میشه مقایسه‌هایی رو برای تشخیص خطاها یا تغییرات انجام داد. Checksum به عنوان اثر انگشت داده عمل میکنه.
  • بررسی افزایش دوره‌ای (CRC): یه کد شناسایی خطا و ویژگی تایید مزایای استفاده شده در شبکه‌های دیجیتال و دستگاه‌های ذخیره سازی برای تشخیص تغییرات به وجود اومده در داده های خام.
  • تایید اعتبار گواهینامه (CA: (CA ها امضای دیجیتال رو صادر میکنن و با پذیرش، تایید اعتبار، صدور و نگهداری گواهی‌های دیجیتال به عنوان شخص ثالت قابل اعتماد عمل میکنن. استفاده از CA باعث میشه گواهی‌های دیجیتالی جعلی صادر نشن.
  • تایید ارائه دهنده خدمات اعتبار (TSP : (TSP یه شخص حقیقی یا حقوقیه که اعتبار امضای دیجیتالی رو از طرف یه شرکت انجام میده و گزارش‌های تایید امضا رو ارائه میده.

ما سعی کردیم که در این مقاله هر چیزی که باید درمورد امضای دیجیتال و تفاوت اون با امضای الکترونیکی بدونین رو در اختیارتون بذاریم. امیدواریم که با این مقاله جواب سوالات خودتون رو گرفته باشین.