امضای دیجیتال نخستین گام تجارت الکترونیکی

در دنیای ما، قانونی حاکم است که می‏گوید: هیچ نامه‌ای بدون امضا معتبر نیست اما هر امضایی هم قابل اعتماد نیست. در دنیای فناوری اطلاعات نیز این حکم صادق است چنانچه هر شخصی علاوه بر نشانه‌های ظاهری خود که گویای کلیات فردی اوست، باید دارای یک تاییدکننده اطلاعات نیز باشد که همان امضا است.

در دنیای سنتی هر شخصی برای تایید یک سری نوشته روی کاغذ آن را با نشانه‌ای مانند امضا، ‌مهر یا اثر انگشت علامت‌گذاری می‌کند که گویای تایید آن نوشته‌هاست، در غیر این‌ صورت نوشته‌ها مورد تایید نخواهد بود. این حکم در دنیای فناوری اطلاعات یا بهتر بگوییم در زندگی دیجیتال هم صادق است هر چند شکل ظاهری این امضا با نمونه‌های معمولی آن متفاوت است.

از آنجا که ماشین‌آلات در دنیای الکترونیکی هیچ‌چیز غیر از اعداد و ارقام را نمی‏شناسند، امضا نیز باید به‌شکل عدد و رقم باشد آن هم به‌گونه‌ای که برای کسی غیر از خود فرد قابل دسترسی نباشد.

امضای دیجیتال نه دارای شکل ظاهری و نه قابل مشاهده است بلکه یک تکنیک رمزنگاری بر پایه شیوه کلید نامتقارن است که ارتباطات، ‌اسناد و به‌طور کلی داده‌ها را بنا بر خواسته صاحب امضا به‌صورت رمز درمی‌آورد.

رمزنگاری شیوه‌های متعددی دارد که هر روز بنا بر پیشرفت علم رمزنگاری و ابزارآلات دانش و فناوری اطلاعات در حال تغییر است. امضای دیجیتال امکان انجام اموری مانند احراز هویت، احراز سندیت و عدم انکار را فراهم می‌آورد. امضای دیجیتال گویای این است که شخص فرستنده ظاهری، همان فرستنده اصلی است؛ هرچند در دنیای الکترونیکی نیز مانند جهان واقعی امکان تقلب وجود دارد.

فرض کنید ایمیلی از طرف یک فروشنده برای یک تولیدکننده ارسال می‌شود که گویای درخواست تعداد زیادی از محصولات آن تولیدکننده است. حال بدون امضای قابل اعتماد تولیدکننده، خریدار نمی‌تواند به صحت نامه اطمینان داشته باشد و از طرفی می‌تواند پس از مدتی ارسال نامه را نیز کتمان یا انکار کند.

استفاده از انواع امضاهای دیجیتال بسته به نوع کارکرد متفاوت است اما یکی از بهترین روش‌ها که دامنه کارکردی وسیعی نیز دارد استفاده از روشی است که آن راBig Brother نامیده‌اند. این شیوه که نام آن از نحوه عملکردش اخذ شده به این صورت است که یک مرکز خارجی اقدام به تایید فرد، نرم‌افزار یا سایت کرده و پس از احراز صلاحیت و انجام آزمون‌‌های امنیتی برای متقاضی یک گواهی امضای دیجیتال صادر می‌کند.

دارنده این گواهی با قرار دادن نشانه‌ای از این مدرک به مخاطبان اعلام می‌کند که از سوی این مرکز مورد تایید است. به‌عنوان مثال سایت‌های مبادلات الکترونیکی، مانند فروشگاه‌های مجازی، با داشتن این گواهی اعتبار و صحت مبادلات را برای مشتریان تضمین می‌کنند. این گواهی که دارای مشخصات کامل گواهی‌کننده، تاریخ صدور و تاریخ انقضای آن است، بر سلامت تبادلات مهر تایید می‌زند؛ هرچند در این میان خریداران نیز باید موارد امنیتی را رعایت کنند؛ مواردی نظیر شناخت از موسسه گواهی‌کننده در صورت نیاز به تماس با آن شرکت و کسب اطلاع از صحت گواهی صادر شده.

تفاوت اصلی امضاهای دیجیتال در روش‌های مورد استفاده آنها برای رمزنگاری است، اما کلیتی که بر این شیوه‌ها حاکم است، نوع رمزنگاری یعنی همان رمزنگاری مبتنی بر کلید نامتقارن و hash است که شیوه کار آن به‌صورت کلی به شرح زیر است.

در رمزنگاری نامتقارن از کلیدهای عمومی و خصوصی استفاده می‌شود. کلید عمومی کلیدی است که همراه اطلاعات برای طرف مقابل فرستاده می‌شود و او می‌تواند این کلید را در اختیار داشته باشد، اما کلید خصوصی به‌هیچ‌وجه نباید به کسی داده شود و به‌نوعی گذرواژه شماست و از آن برای رمزگذاری اطلاعات هنگام ارتباط با یک شخص خاص یا یک حلقه کلید عمومی (public key ring) و رمزگشایی پس از آن استفاده می‌شود.

یک حلقه کلید از کلیدهای عمومی افرادی که برای شما کلید خود را ارسال کرده‌اند یا کلیدهایی که از طریق یک سرویس‌دهنده کلید عمومی دریافت کرده‌اید، تشکیل می‌شود. یک سرویس‌دهنده کلید عمومی شامل کلید افرادی است که امکان ارسال کلید عمومی در اختیار آنان گذاشته شده است.

زمانی که یک کلید مورد تائید قرار می‌گیرد در حقیقت منحصربه‌فرد بودن مجموعه‌ای از اعداد و حروف تاییدشده و این تایید در ضمیمه گواهی قرار داده می‌شود. هنگام انتخاب یک کلید از روی یک حلقه کلید، امکان مشاهده گواهینامه (مجوز) کلید وجود دارد و همان‌طور که ذکر شد زمان اعتبار این گواهی نیز در آن قید می‌شود. نمونه‌ای از گواهی سرویس ایمیلی گوگل را در شکل می‌توانید ببینید که شامل نوع استانداردهای رمزگذاری،‌ اثر انگشت و اطلاعات متعدد دیگری است.

الگوریتم‌هایی که امروزه برای این کار استفاده می‌شود دارای تنوع زیادی است، اما الگوریتم‌های رمزنگار RSA،
EL Gamal و الگوریتم‌های Hashing ،5MD و SHA از جمله عمومی‌ترین و پرکاربردترین آنها هستند.

در کشور ما نیز در راستای تحقق دولت الکترونیکی و نیاز مبرم این بخش به امنیت چه در بخش دولتی و امور اداری مانند اتوماسیون، چه در بخش تجارت الکترونیکی، اقدامات بسیاری از سوی دانشگاه‌ها، ادارات دولتی و خصوصی انجام شده است. امروزه چندین شرکت خصوصی گواهی امضای دیجیتال ارائه کرده و خدمات آن را صادر می‌کنند. همچنین بسیاری از بازرگانان کشور می‌توانند از امضای دیجیتال دولتی استتفاده کنند.

لازمه ایجاد امنیت، آموزش کاربران و استفاده صحیح از این خدمات و امکانات است. جالب است بدانید تقریبا تمام ارائه‌دهندگان سرویس‌های ایمیل قابلیت استفاده از امضای دیجیتال را برای همه اعضای خود فراهم آورده‌اند و شما با داشتن یک شناسه معمولی از یاهو یا جیمیل می‌توانید از امضای دیجیتال خود نیز استفاده کنید.

برای استفاده از امضای دیجیتال باید توکن (token) خود را که از مرجع ثبت‌کننده امضا دریافت کرده‌اید، به سیستم متصل کرده و هنگام کار به راهنمایی‌های ارائه شده توسط ارائه‌دهنده امضا توجه کنید. توکن نیز معمولا یک وسیله شبیه فلش دیسک است که به درگاه یواس‌بی متصل می‌شود. البته انواع نرم‌افزاری آن نیز وجود دارد که بیشتر برای امور مبتنی بر وب و ارائه خدمات عمومی به‌کار می‌رود.

سعید نوری آزاد