مقامات دولت محلی ایالت ورمانت (ایالات متحده آمریکا) اذعان داشتند با روی آوردن سازمانهای مختلف این ایالت به استفاده از امضای دیجیتال، توانستهاند تا ۷۵ درصد در زمان خود صرفهجویی کنند! یک تغییر کوچک، مانند یک امضای الکترونیکی میتواند ۷۵ درصد قدرت سازمان شما را افزایش دهد. آیا سازمان شما آماده کاهش ناکارآمدیها به میزان سه چهارم و یا بیشتر میباشد؟
برای آشنایی بیشتر با مفهوم امضای دیجیتال و تفاوت آن با امضای الکترونیک با مجله اینترنتی دانش همآرا همراه باشید.
برخی از کارشناسان پیشبینی میکنند که بازار امضای دیجیتال (Electronic Signature) تا سال ۲۰۲۲ به میزان ۲٫۰۲ میلیارد دلار رشد خواهد کرد. از همین روی در آیندهای نهچندان دور سازمانها به امضا الکترونیک و دیجیتال نیاز پیدا خواهند کرد و هر سازمانی میخواهد آن را بهینه کند.
در اسناد مکتوب، امضا، نشان تایید تعهدات قبول شده در آن سند به شمار میآید. با توجه به اینکه در تجارت الکترونیک، مدارک الکترونیکى داراى جایگاهى همانند اسناد مکتوب هستند، بنابراین امضا در این مدارک نیز علیالاصول داراى همان ارزش اثباتى مىباشد. در جهان امروز مدیریت اسناد و مدارک الکترونیکی و ارسال و دریافت اطلاعات الکترونیکی بخش بزرگی از مکاتبات و فعالیتهای اجرایی و خصوصاً سازمانها را شامل میشود. پیشبینی میشود که استفاده از اطلاعات مبتنی بر رایانه در سطح جهان به طرز قابل توجهی گسترش پیدا نموده و بخش اعظمی از فعالیتها را به خود متمرکز نماید. از همین روی یکی از تکنولوژیهایی که موجب افزایش اعتماد میشود، امضای دیجیتالی است.
این تکنیک مبتنی بر رمزنگاری باعث به رسمیت شناخته شدن اطلاعات الکترونیکی میشود، به طوری که هویت پدیدآورنده سند و جامعیت اطلاعات آن، قابل بازبینی و کنترل میباشد. در اسناد مکتوب، امضاء، نشان تایید تعهدات قبول شده در آن سند به شمار میآید؛ چون در تجارت الکترونیک «مدارک الکترونیکى» داراى جایگاهى مانند اسناد مکتوب هستند، بنابراین امضا در این مدارک نیز داراى همان ارزش اثباتى میباشد. امضای دیجیتالی تضمین کننده اصالت، کامل بودن و عدم وجود خدشه در داده است.
امضای الکترونیک چیست؟
امضا الکترونیک جایگزینی برای امضاهای نوشتاری بر روی کاغذ است که داری مزیتهای بسیار زیادی نسبت به امضا نوشتاری میباشد. آنها نه تنها در وقت و هزینه صرفهجویی میکنند، بلکه ضایعات کمتری نیز ایجاد میکنند و قابل ردیابی، مهر زمان و امنیت بیشتری نیز هستند. مهمتر از همه، آنها از نظر قانونی با امضاهای نوشته شده برابر هستند. امضاهای سنتی برای هزاران سال با ما بودهاند. آنها به اشکال مختلفی از جمله تمبر، علائم، نشانهها و مهرها ارائه میشدند. با این حال، امضاهای سنتی به سرعت در حال کهنه شدن هستند زیرا فناوریهای جدید دنیای ما را تغییر داده است. امضای الکترونیکی آیندهای است که شهروندان و مصرفکنندگان میخواهند؛ پس باید نحوه کار آنها را فهمید!
مسائل قانونی در مورد امضای الکترونیکی
آیا امضای الکترونیکی از نظر قانونی الزام آور است؟ پاسخ کوتاه بله. پاسخ طولانی این است: کشورهای مختلف قوانین مختلفی دارند. در ایالات متحده، قانون ESIGN بیان میدارد که امضاهای الکترونیکی تا زمانی که همه طرفها برای استفاده از آنها توافق کنند کاملاً قانونی است. علاوه بر قانون ESIGN، قانون معاملات الکترونیکی یکنواخت استفاده از امضای دیجیتال را بیان میکند. قانون مشابهی در اتحادیه اروپا نیز وجود دارد.
قانون تجارت الکترونیک در ایران
قانون تجارت الکترونیک در تاریخ ۱۷/۰۲/۱۳۸۲ توسط مجلس شورای اسلامی جمهوری اسلامی ایران به صورت قانون تصویب شده است. در همین قانون در فصل دوم بند “ی” آمده است که امضا الکترونیک عبارت است از:
هر نوع علامت منضم شده یا به نحو منطقی متصل شده به «داده پیام» است که برای شناسائی امضاءکننده «داده پیام» مورد استفاده قرار میگیرد.
این تعریف تا حد زیادی برگرفته از تعریف قانون Federal E-SIGN Act ایالات متحده امریکا در سال ۲۰۰۰ است که امضای الکترونیکی را صدا، علامت یا فرآیندی الکترونیکی میداند که منضم یا به نحو منطقی به یک قرارداد یا هر نوشته دیگری متصل شده و توسط شخص به منظور امضای یک نوشته صورت میپذیرد. به عبارتی امضا الکترونیک در کشور ایران به صورت قانون درآمده است و مورد استفاده نیز قرار گرفته است. از همین روی مطمئن باشید انتخاب یک راه حل امضای الکترونیکی، به سازمان شما از نقطه نظر قانونی صدمهای نمیزند. با این حال ارائه دهندگان باید برخی شرایط را داشته باشند تا امضای الکترونیکی از نظر قانونی معتبر باشد که در ادامه به مهمترین آنها اشاره میکنیم:
- نشان دهید که امضا کننده قصد مشخصی برای امضا دارد. به عنوان نمونه: یک گزینه واضح برای امضا نکردن ارائه دهید.
- ثابت کنید که امضا کننده رضایت داده است که تجارت خود را به صورت الکترونیکی انجام دهد. بیشتر امضاهای الکترونیکی نیاز به رضایت شما قبل از امضا دارند. برخی ممکن است گزینه تکمیل فرم را روی کاغذ ارائه دهند.
- هویت امضا کننده را دقیقا مشخص کنید این میتواند شامل دنباله ایمیل، آدرس IP باشد. برخی از ارائه دهندگان دارای یک سیستم شناسایی دو مرحلهای برای امضا کنندگان هستند. اگر چه این یک مرحله اضافی برای امضاکننده ایجاد میکند، اما یک استاندارد انتساب بالاتر هم ایجاد میکند.
- امضا را با سندی که امضا میشود مرتبط یا مستقیماً متصل کنید.
کاربردهای امضای الکترونیک
همه بخشها به قرارداد، توافقنامه و فرم نیاز دارند. شما از آنها برای راهاندازی شرکت، اجرای بررسی سابقه کارمندان و استخدام پیمانکاران فرعی در یک سایت ساختمانی استفاده میکنید. در نتیجه امضای الکترونیک در همه جا وجود دارد. امضای دیجیتال تقریباً در هر صنعت، سازمان، دولت و یا درخواستهای قانونی وجود دارند. در ادامه چند مورد که موفقیت استفاده از امضاهای الکترونیکی را ثابت میکند با هم مرور میکنیم:
- مراقبتهای بهداشتی: برای یک بخش بیمارستان، کاهش زمان برای گرفتن امضا از پزشکان، بیماران و بیمهها امری حیاتی است. در یک بخش رادیولوژی زمان لازم برای گرفتن امضا برای معاینات شکمی از ۱۱ به سه روز کاهش یافته است. زمان مورد نیاز برای امضاهای مربوط به معاینات قفسه سینه از ۱۰ روز به پنج روز کاهش یافته است. استفاده از امضای الکترونیک موجب کوتاهتر شدن مراحل کار کارمندان و موجب افزایش بهروری شده است.
بدون امضای الکترونیکی عملکردهای آینده بهداشت و درمان به راحتی حاصل نمیشود. - روابط صنعتی: امضاهای الکترونیکی به سازمانهای صنعتی کمک میکند تا سازمان یافتهتر عمل کنند. همین امر در مورد اتحادیهها و سازمانهای مختلف صادق است. با تغییر سیاست در مورد امضاهای الکترونیکی، جمعآوری اطلاعات کارمندان بسیار سریعتر است. امضاهای الکترونیکی همچنین با شبکههای اجتماعی آنلاین ارتباط بهتری دارند و به گسترش دامنه روابط سازمانها کمک میکنند.
- شرکتهای کوچک تا متوسط: وقتی شما یک ماهی کوچک هستید که با نهنگها رقابت میکنید، امضا دیجیتال به شما کمک میکند تا بتوانید سریع شنا کنید. چابکی در تجارت بسیار ارزشمند است. سرعت میتواند به مناطق دیگر مانند چرخههای فروش سریعتر، تکرار محصول و پاسخگویی بیشتر به مشتری منتقل شود. امضاهای الکترونیکی رهبران را قادر میسازد چابکی را امتحان کنند و قرارداد را چند دقیقه پس از تنظیم امضا کنند.
- دولت: دادخواستها پس از معرفی امضا الکترونیکی برای همیشه تغییر کردند. یک دادخواست عمومی را برای لغو مهلت Brexit در انگلستان در نظر بگیرید. در طی چند ماه میلیونها امضا جمعآوری شد. دادخواستهای الکترونیکی به مخاطبان گستردهتری رسیده و سریعتر از معادل امضای سنتی آنها گسترش مییابد.
- خدمات معلولیت: حرکت به سمت اطلاعات آنلاین به مصرفکنندگان با چالشهای بصری این امکان را میدهد تا تجارت خود را بهتر مدیریت کنند. دستگاههای دستی و رایانههای رومیزی میتوانند اندازه قلم سند را بزرگ کنند. برخی از مصرفکنندگان ممکن است برای خواندن متن با صدای بلند از برنامه متن خوان استفاده کنند.
- دارایی، مالیه، سرمایهگذاری: روشهای مختلفی برای استفاده از امضای الکترونیک در امور مالی وجود دارد. در ایالات متحده، فرمهای اعتبار و وام اغلب امضای الکترونیکی را مجاز میدانند. وامهای دیجیتال به امری عادی تبدیل میشوند. پس از فوریه ۲۰۱۸، بیشتر ایالتها استانداردهای ملی را برای محضریسازی آنلاین به تصویب رساندند.
امضای دیجیتال چست؟
یک امضای دیجیتال نوعی رمزنگاری نامتقارن است که خصوصیات امضای دستی را در فضای الکترونیکی فراهم میکند هر موجودیت منحصر به فرد در فضای مجازی دارای امضای دیجیتال خاص خود است و تنها این موجودیت یا فرد قادر به تولید امضاست. در نتیجه میتوان مستندات، پیغامها و دادههای الکترونیکی را توسط امضای دیجیتال تایید کرده و سندیت بخشید. امضای دیجیتالی از یک فایل موجود بر روی رایانه که اعتبار هویت شخص را تایید میکند تشکیل میشود. امضاهای دیجیتالی توسط برنامههای اینترنتی و یا محلی سیستم مورد استفاده قرار میگیرد تا هویت شخص را به فرد دیگری اثبات کنند.
امضا دیجیتال در بسیاری از موارد مشابه امضاهای دستی هستند، با این تفاوت که جعل یک امضای دیجیتالی استاندارد که مبتنی بر رمزنگاری هستند بسیار دشوارتر از جعل یک امضای دستی است. همچنین امضا دیجیتالی میتواند امضاهایی غیرقابل انکار را ایجاد کند؛ به این معنی که شخص امضاءکننده نمیتواند تا زمانی که کلید شخصی فرد به صورت مخفی باقی مانده است، ادعا کند که من این نامه که امضای من را به همراه دارد امضا نکردهام ولی در زمانیکه کلید خصوصی لو برود یا زمان اعتبار امضای او به اتمام برسد شخص میتواند امضای دیجیتال خود را انکار کند، هرچند که در این حالت نیز با وجود ساختار قوی امضای دیجیتال، این امضا اعتبار خود را حفظ میکند.
امضای دیجیتال اغلب برای به انجام رساندن امضای الکترونیکی به کار میروند. در تعدادی از کشورها، مانند آمریکا و کشورهای اتحادیه اروپا، امضاهای الکترونیکی قوانین مخصوص به خود را دارند. هرچند، قوانین درباره امضای الکترونیکی همواره روشن نمیسازد که آیا امضاهای دیجیتال به درستی به کار گرفته شدهاند و یا اهمیت آنها به چه میزان است و قوانین به شکل واضح در اختیار کاربران قرار نمیگیرد و حتی باعث گمراهی آنان میشود.
امضای دیجیتال در ایران
برای اولین بار در کشور استفاده از امضای دیجیتال با دستور وزیر بازرگانی دولت نهم در ثبت سفارش واردات کالا الزامی شد و به صورت پایلوت به اجرا در آمد. در راستای تحقق دولت الکترونیک و نیاز مبرم این بخش به امنیت چه در بخش دولتی و امور اداری مانند اتوماسیون، چه در بخش تجارت الکترونیک، اقدامات بسیاری از سوی دانشگاهها، ادارات دولتی و خصوصی انجام شده است. مرکز صدور گواهی ریشهی کشور در سالهای اخیر برای متقاضیان گواهی الکترونیک و مکانیزمهای امضای دیجیتال اقدام به صدور گواهی نموده است. با توجه به اینکه حجم تبادلات الکترونیکی ایران در حوزه تجارت در مقایسه با آمارهای جهانی رقم ناچیزی را به خود اختصاص داده است و در حالی که قسمتی از زیر ساختهای امضای الکترونیک در کشور مهیا شده است، انتظار میرود در زمینه فرهنگسازی، کاربردی شدن امضای دیجیتال و حرکت به سمت اهداف دولت الکترونیک موضوع با جدیت و سرعت عمل بیشتری از سوی مسئولان پیگیری شود.
دلایل استفاده از امضای دیجیتال
استفاده از امضای دیجیتالی این اطمینان را ایجاد میکند که آیا کاربر همان کسی است که ادعا میکند یا خیر؟ وقتی مالکیت کلید خصوصی یک امضای دیجیتالی به یک فرد خاص متعلق باشد، یک امضای معتبر نشان میدهد که آن پیغام قطعا توسط همان فرد ارسال شده است. اهمیت این موضوع به خصوص در زمینههای مالی مشخص میشود. امضاهای دیجیتال تمامیت داده را تضمین میکند و کاربر نگران این موضوع نخواهد بود که داده تصادفا یا عمدا جایگزین شده باشد. اگر یک پیغام امضای دیجیتالی داشته باشد، هر تغییری پس از امضاء در این پیغام، امضا را غیر معتبر میسازد و هیچ راه موثری برای تغییر پیغام و امضای آن و تولید یک پیغام جدید با امضای معتبر وجود ندارد، همچنین امضاهای دیجیتالی محرمانگی را تضمین میکنند و اطمینان میدهند که پیغامها فقط توسط افراد شناخته شده و مجاز بازگشایی شوند، زمانسنجی مانند تاریخ و ساعت را نیز اعتبارسنجی میکنند. به همین دلیل فرستنده یا گیرنده نمیتوانند درباره ارسال یا دریافت پیغام ادعای نادرستی مطرح کنند.
نحوه عملکرد یک امضای دیجیتالی
برای هر امضای دیجیتال، یک کلید عمومی و یک کلید خصوصی وجود دارد:
- کلید خصوصی: بخشی از کلید است که از آن به منظور امضای یک پیغام استفاده مینمایند. کلید خصوصی یک رمز عبور حفاظت شده بوده و نمیبایست آن را در اختیار دیگران قرار داد.
- کلید عمومی: بخشی از کلید است که امکان استفاده از آن برای سایر افراد وجود دارد.
- حلقه کلید (Ring key): شامل کلیدهای عمومی است. یک حلقه کلید از کلیدهای عمومی افرادی که برای شما کلید مربوط به خود را ارسال نموده و یا کلیدهایی را که از طریق یک سرویس دهنده کلید عمومی دریافت نمودهاید، تشکیل میشود.
- اثر انگشت: زمانی که یک کلید تایید میگردد، در حقیقت منحصر به فرد بودن مجموعهای از حروف و اعداد که اثر انگشت یک کلید را شامل میشوند، تایید میگردد.
- گواهینامه کلید: در زمان انتخاب یک کلید از روی یک حلقه کلید، امکان مشاهده گواهینامه (مجوز) کلید وجود خواهد داشت. در این رابطه میتوان به اطلاعات متفاوتی نظیر صاحب کلید، تاریخ ایجاد و اعتبار کلید دست یافت.
مزایا و ویژگیهای امضای دیجیتال
یکی از دلایل به کارگیری امضای دیجیتالی که یک دلیل عادی به شمار میرود ایجاد اعتبار برای امضاها در یک سامانه تبادل داده و اطلاعات است. در واقع استفاده از امضای الکترونیک سندیت و اعتبار ویژهای به یک سند میبخشند. وقتی که هر فرد دارای یک کلید خصوصی در این سامانه است با استفاده از آن میتواند سند را امضاء کرده و به آن ارزش و اعتبار داده و سپس آن را ارسال کند. اهمیت ایجاد اطمینان قطعی و محکم برای شخص دریافت کننده پیام درباره صحت ادعای فرستنده در برخی از انواع انتقال اطلاعات مانند دادههای مالی به خوبی خود را نشان میدهد و اهمیت وجود امضای دیجیتال درست را بیش از پیش به نمایش میگذارد. در موارد بسیار زیادی، فرستنده و گیرنده پیام نیاز دارند این اطمینان را به دست بیاورند که پیام در مدت ارسال بدون تغییر باقی مانده است. هر چند رمزنگاری محتوای پیام را مخفی میکند ولی ممکن است امضا در یک سامانه از اعتبار ساقط شود و محتویات یک پیام دست خوش تغییرات گردد. ولی استفاده از امضای دیجیتال به عنوان روشی از رمزنگاری میتواند ضامن درستی و بینقصی یک پیام در طی عملیات انتقال اطلاعات باشد.
ویژگیهای مهم امضای دیجیتال عبارت است از:
- در تولید آنها از اطلاعاتی که به طور منحصر به فرد در اختیار امضاکننده است استفاده میشود.
- به طور خودکار و توسط رایانه تولید میشوند.
- امضای هر پیام وابسته به تمام بیتهای پیام است و هرگونه دستکاری و تغییر در متن سند موجب مخدوش شدن پیام میشود.
- امضای هر سندی متفاوت با امضای اسناد دیگر است.
- باید به راحتی قابل بررسی و تأیید باشد تا از جعل و انکار احتمالی آن جلوگیری شود.
تفاوت امضای دیجیتال و الکترونیک
در سالهای اخیر، واژههای امضای الکترونیک (Electronic signature) و امضای دیجیتال (Digital signature) به طور گستردهای مورد استفاده قرار گرفتهاند و گاهی اوقات استفاده از این دو واژه به جای هم باعث اشتباه و سردرگمی شده است.
امضای الکترونیک اغلب برای نسبت دادن یک امضا به یک متن از طریق یک یا چند وسیله الکترونیکی یا ابزار رمزنگاری جهت افزودن خواص عدم انکار و جامعیت پیغام به یک سند، استفاده میشود. در واقع یک امضای الکترونیکی هر نشانه یا سمبلی است که رضایت و قصد شخص را در یک فرم الکترونیکی نشان دهد که میتواند به طور ساده نوشتن نام شخص، کلیک روی دکمه تایید یا وارد کردن یک شماره شناسایی شخصی یا رمز عبور باشد.
امضای دیجیتال معمولا به یک امضای رمز شده بر میگردد که میتواند روی یک سند یا یک ساختار سطح پایینتر قرار بگیرد. صریحا بخشی از استاندارد NIST (national institute of standards and technology) برای PKI (public key infrastructure) و DSS (digital signature standard) تعریف شده است.
این اشتباه لغوی بسیار ناخوشایند است و تا زمانی که این مورد در قوانین به درستی استانداردسازی نشود همینطور باقی میماند. در صورتی که در امضا الکترونیک از روشهای رمزنگاری برای اطمینان از جامعیت و سندیت پیام استفاده شود یک امضای دیجیتال محسوب میشود.
استانداردهای امضا الکترونیک شامل استاندارد Open PGP که به وسیله PGP (pretty good privacy) و GunPG پشتیبانی شده و برخی از استانداردهای S/MIME میباشد.
