داستان امضای دیجیتال از کجا شروع شد؟

بحث گواهی امضای دیجیتال که امروز باب تازه‌ای را در معادلات انعقاد قرارداد، معاملات، ثبت نام و انواع روابط قانونی گشوده است، با وجود آنکه برای عده بسیاری، مفهومی نوین به شمار می‌آید ولی در اصل تاریخچه‌ای نزدیک به نیم قرن دارد.

نخستین بار ویتفیلد دیفی و مارتین هلمن[1]  ایده اولیه طرح امضای دیجیتال را در سال 1976 در قالب یک تئوری ارائه دادند. پس از آن، در سال 1977 رونالد ریوست، آدی شمیر و لن آدلمن[2] الگوریتم RSA [3] را ابداع کردند که  می‌توانست نوعی از یک امضای دیجیتال اولیه را تولید کند. در سال 1988، نرم‌افزار لوتوس نوت 1 [4] به عنوان اولین نرم‌افزار ارائه دهنده امضای دیجیتال بر پایه الگوریتم RSA وارد بازر شد. در سال 1999، قابلیت نشاندن امضای دیجیتال در فایل های PDF امکانپذیر شد. در سال 2000، ایساین اکت [5]  امضای دیجیتال را حایز الزام قانونی نمود و در سال 2002 با پایه گذاری شرکت ساینیکس [6] امضای ابری توسعه یافت و مورد استفاده عموم قرار گرفت، داکیوساین [7] در سال 2003 توسط کورت لورنزینی، تام گونسر و اریک رانفت تاسیس شد؛ اکو ساین [8] که در سال 2006 توسعه خود را آغاز کرده بود، در سال 2011 توسط ادوبی خریداری شد و شرکت ادوبی ساین را تشکیل داد. در سال 2008 فرمت فایلی PDF، به عنوان یک استاندارد باز [9]در سازمان استاندارد سازی بین المللی (ISO) تحت عنوان iso32000 مورد بهره‌برداری قرار گرفت و امضای دیجیتال به صورت بخشی از فرمت یکپارچه با آن، مورد تایید واقع شد.

مفهوم ساختار کلید عمومی

مفهوم کلید عمومی[10] که اساس آن بر ایده “گواهینامه” استوار است به مفهوم ادعای مالکیت یک کلید است. اساساً، یک گواهی، شیئی است که شامل یک هویت (یک نام) و یک کلید عمومی است و آن شیء به صورت دیجیتالی با الگوریتمی (RSA ، EDSA و …) امضا شده است. اعتبار این امضا منوط به تاییدگواهی مورد ادعای آن است. بدین معنا که اگر من کلید عمومی هرکس را که گواهینامه را صادر کرده است بشناسم، می‌توانم آن امضا را تأیید کنم و بدین ترتیب اطمینان می‌یابم که کلید عمومی مندرج در گواهینامه حقیقتا متعلق به نهادی است که توسط هویت موجود در گواهینامه تعیین شده است.

امضای دیجیتال نتیجه اجرای یک الگوریتم ریاضی کلید عمومی است که در آن، فرد از کلید خصوصی خود برای امضای سند استفاده می‌کند و هر کسی می‌تواند با استفاده از کلید عمومی مالک سند، صحت سند را تأیید کند. در عمل، امضای دیجیتال بخشی از زیرساخت‌های کلید عمومی (PKI) است.

امضای دیجیتال بر مبنای PKI که با اطلاعات تکمیلی همراه پیام امضا شده رمزنگاری می‌شود، همراه آن ارسال می‌گردد. الگوریتم‌هایی که برای تولید و تأیید پیام استفاده می‌شود به شرح زیر است:

• تولید اعداد تصادفی
• تولید کلیدهای رمزنگاری با استفاده از الگوریتم رمزگذاری نامتقارن
• عملکرد هش رمزنگاری
• الگوریتم امضای دیجیتال
• الگوریتم تأیید امضای دیجیتال

پشت پرده تولید امضای دیجیتال

در فرآیند تولید یک امضای دیجیتال، از کلید خصوصی و در طی فرآیند تأیید، از کلید عمومی صادر کننده استفاده می‌شود. برای تولید امضای دیجیتال، عملکرد هش پیام ارسال شده محاسبه می‌شود. یک تابع هش رمزنگاری اجازه می‌دهد ورودی های با طول داده‌های مختلف به یک رشته با طول ثابت تبدیل شوند، که مقدار هش نامیده می‌شود. مهمترین ویژگی توابع هش این است که تغییرات بسیار کوچک در مقادیر ورودی، مقدار کاملاً متفاوتی در خروجی ایجاد می‌کند، بنابراین یافتن مقدار اولیه بسیار دشوار است.

به طور خلاصه، روش تولید امضا به شرح زیر است:

• یک عدد تصادفی تولید می‌شود.
• عنصر تصادفی امضا از آن عدد تصادفی محاسبه می‌شود.
• مقدار هش سندی که امضا می شود محاسبه می‌شود.
• با استفاده از کلید خصوصی ناشر، مقادیر عنصر تصادفی، مقدار هش سند و امضای دیجیتال تولید می‌شود.

امضاهای دیجیتالی نیز مانند امضاهای دست نویس، برای هر امضاکننده منحصر به فرد است. همانطور که پیشتر ذکر شد، ارائه دهندگان راه‌حل امضای دیجیتال، پروتکل خاصی به نام زیرساخت کلید عمومی (PKI) را دنبال می‌کنند. PKI، ارائه دهنده خدمات را ملزم می‌کند تا از الگوریتم ریاضی برای تولید دو عدد طولانی به نام کلید (یک کلید عمومی است و یک کلید خصوصی) استفاده کند.

برای محافظت از یکپارچگی امضا، PKI نیاز به ایجاد، هدایت و ذخیره کلیدها به روشی ایمن دارد و غالباً به خدمات صادر کننده معتبرگواهینامه (CA) نیاز دارد. ارائه‌دهندگان امضای دیجیتالی، مانند شاکیلید ( و آنچه در اپلیکیشن امضامی انجام می‌شود)، الزامات PKI را برای امضای دیجیتال ایمن برآورده می‌کنند.

تولید امضای دیجیتال

دریافت گواهی امضای دیجیتال

در مناطق جغرافیای مختلف، استانداردهای امضای دیجیتال کم و بیش متفاوت است. پیروی از این استانداردهای محلی مبتنی بر فناوری PKI و کار با یک مرجع معتبر صدورگواهی (CA) از عملباتی بودن و معتبر بودن امضای دیجیتال در آن مناطق اطمینان حاصل می‌کند. با استفاده از روش PKI، امضاهای دیجیتال از یک فناوری مبتنی بر استاندارد بین المللی، کاملاً شناخته شده استفاده می‌کنند که همچنین به جلوگیری از جعل یا تغییر در سند پس از امضا کمک می‌کند.

روش‌های مختلفی برای دریافت گواهی امضای دیجیتال در ایران وجود دارد که از آن جمله می‌توان به

• مراجعه به دفاتر اسناد رسمی و درخواست گواهی امضای دیجیتال
• مراجعه به دفاتر دولت الکترونیک و درخواست گواهی امضای دیجیتال
• مراجعه به دفاتر ثبت نام گواهی امضا (RA) و درخواست گواهی امضای دیجیتال
• درخواست امضای دیجیتال از طریق اپلیکیشن موبایل امضامی

اشاره کرد. در هر یک از این روش‌ها، فرد پس از درخواست گواهی امضای قانونی، فرآیند احراز هویت را طی می‌کند و پس از تایید هویت، گواهی امضای دیجیتال معتبر برای او صادر می‌شود و از آن پس امکان امضای اسناد با این گواهی برای او فراهم است.

موارد استفاده امضای دیجیتال

از امضای دیجیتال برای دستیابی به سه هدف مهم امنیت اطلاعات استفاده می‌شود: یکپارچگی، صحت و انکارناپذیری.

ارائه دهندگان امضای دیجیتال مانند امضامی که راه‌حل‌های مبتنی بر فناوری امضای دیجیتال را ارائه می‌دهند، امضای دیجیتالی اسناد را آسان می‌کنند. آنها رابطی برای ارسال و امضای اسناد بصورت آنلاین فراهم می‌کنند و برای تهیه گواهینامه‌های دیجیتال معتمد با مقامات صدور گواهینامه مناسب در تعاملند.

بسته به سازمان صادرکننده گواهینامه امضا، ممکن است لازم باشد اطلاعات خاصی را ارائه دهید. همچنین ممکن است محدودیت‌ها و ممنوعیت‌هایی برای نوع اسناد مورد امضا، افراد امضا کننده و حتی تقدم و ترتیب ارسال آن وجود داشته باشد. این مقررات توسط مراجع صادر کننده گواهی امضا اعلام شده و بر حسب اینکه شما از کدام مرجع گواهی را دریافت نموده‌اید باید طبق آن مقررات عمل نمایید.

امضاهای دیجیتالی می‌توانند مبدا، زمان، هویت و وضعیت یک سند دیجیتالی را اثبات کنند. یک امضا تأیید می‌کند که داده‌ها از امضا کننده صادر شده و در حین انتقال دستکاری نشده‌اند.

امضامی – امضای دیجیتال همراه شرکت شاهراه اعتماد کلید – یکی از روش‌های استفاده از امضای دیجیتال است، در حالت کلی برای امضای دیجیتال، نیاز به توکن وجود دارد ولی امضامی توکن و موبایل را در هم آمیخته است. این امر ویژگی‌های سهولت و سرعت و همراه بودن را به ارمغان می‌آورد.

چندین سطح برای امضای دیجیتال بر حسب درجه اعتبار و موارد کاربرد متصور است که در مناطق جغرافیایی گوناگون و نیز بسته به مرجع صادر کننده گواهی امضا این سطوح و کاربردهای آنها متفاوت می‌باشد. بعضا این سطوح تا 4 سطح در نظر گرفته می‌شود که پایین‌ترین سطح آن یعنی سطح یک حداقل میزان مسئولیت  و نقل و انتقالات مالی را شامل می‌شود و بالاترین سطح نیز بالاترین میزان را در بر دارد. بنابراین موراد استفاده و کاربرد امضای دیجیتال را می‌توان نامحدود دانست ولی این مسئله تحت تاثیر منطقه جغرافیایی و مراجع صادر کننده گواهی می‌باشد.

مزایای استفاده از امضای دیجیتال

• صرفه‌جویی در وقت

با امضای دیجیتال، صرفه‌جویی زیادی در هزینه و زمان وجود دارد، به ویژه هنگامی که فرد مورد نظر برای امضا، در منطقه‌ای متفاوت از نظر جغرافیایی باشد. با در دست داشتن یک تبلت، رایانه یا تلفن هوشمند، اسناد را می‌توان تقریباً فوری، از هر کجا با یک کلیک امضا کرد.

• صرفه‌جویی در هزینه

صرفه‌جویی در هزینه می‌تواند شامل کاهش هزینه جوهر، کاغذ، چاپ، اسکن، حمل و نقل / تحویل یا هزینه‌های سفر و همچنین در هزینه‌های غیرمستقیم مانند پرونده‌سازی، بازیابی مجدد داده‌ها، بایگانی یا پیگیری باشد.

• بازدهی بالاتر

با تأخیر کمتر، امضاهای دیجیتالی کارایی بهتر در گردش کار را تضمین می‌کنند. مدیریت و ردیابی اسناد با تلاش و زمان کمتری ممکن می‌شود و  بسیاری از ویژگی‌های امضاهای دیجیتال به سرعت بخشیدن به روند کار کمک می‌کند.

• تجربه بهتر مشتری

مشتری می‌تواند در هر جایی باشد و با یک شرکت ارتباط برقرار کند و خدمات و مشاغل را بسیار راحت تر، سریع تر و کاربرپسندتر دریافت کند، زیرا مضای دیجیتالی، امضای اسناد مهم را در هر مکانی که مشتری یا شخصی که امضا می‌کند مستقر است فراهم می‌آورد. فروشندگان نیز نیازی به انتظار برای آمدن مشتری به بانک یا دفتر ندارند. این امر به ویژه در مناطق دور افتاده و شهرهای کوچکتر ایده‌آل است زیرا میتواند به ارائه خدمات بهبود یافته و شخصی‌سازی شده بیشتری منجر شود.

• امنیت

وقتی صحبت از امضا می‌شود، اصالت و امنیت در اولویت قرار دارد. امضای دیجیتای خطر تکثیر یا تغییر سند را کاهش می‌دهد و اعتبار و قانونی بودن امضا را تضمین می‌کنند. ثبت‌نام کنندگان با کدی ارائه می‌شوند که می‌توان هویت و امضاهای آنها را تأیید کرد. مهر زمان[11] ، تاریخ و زمان امضا را مستند می‌کند، و خطر دستکاری یا تقلب را به حداقل می‌رساند. ویژگی‌های امنیتی جاسازی شده در امضاهای دیجیتالی این اطمینان را می‌دهد که اسناد بدون مجوز تغییر نکرده‌اند.

• اعتبار قانونی

امضای دیجیتال صحت امضا را تأمین و تضمین می‌کند و در دادگاه حکم سند کاغذی امضا شده را دارد. قابلیت مهر زنی در زمان برای ردیابی و بایگانی اسناد، ممیزی و انطباق را بهبود و ساده می‌کند.

• مزایای زیست محیطی

با رشد آگاهی شرکت‌ها و مشاغل از نقش خود در پایداری زیست محیطی، امضای دیجیتال گامی فراتر در تلاش  آنها در زمینه کاهش ضایعات و سازگار بودن با محیط زیست خواهد بود.

• کارایی تجاری

هزینه‌های مربوط به ادغام امضای دیجیتال در فرایندهای کار، در مقایسه با مزایای آن، نسبتاً ناچیز است. با کاهش زمان چرخش قرارداد و نیز گردش کار، امضای دیجیتال برای سازمان‌های کوچک و بزرگ شرایط ایده‌آلی را فراهم می‌آورد.

ترجمه و تالیف: فروغ مروّج صالحی

منابع : Emily Maxie, 2014, Signix Jake Ludin, SecureW2 DocuSign, Hoe it Works, Digital Signature create digital signature Eliza Paul, September 2017

[1] Whitfield Diffie and Martin Hellman

[2] Ronald Rivest, Adi Shamir and Len Adleman

[3] Encryption — RSA (Rivest–Shamir–Adleman) is a public-key cryptosystem that is widely used for secure data transmission. It is also one of the oldest.

[4] Lotus Notes 1.0

[5]  Esign Act

[6] Signix

[7] Docusign

[8] Echo Sign

[9] Open Standard

[10] PKI (Public Key infrastructure)

[11] TimeStamp