درباره امضای دیجیتال، گواهی الکترونیکی و کاربردهای آن بدانید
مرتضی اسدی، شرکت رهسا
5 دقیقه مطالعه | 25 مهر 1403
فهرست مطالب
امضای دیجیتال و گواهی امضای الکترونیک، مفاهیم مرتبط با حوزه هویت و امنیت در تبادل اطلاعات الکترونیکی هستند، که درباره بهبود امنیت و اعتماد در فضای دیجیتال صحبت میکنند، اما ساختارها و فرآیندهای متفاوتی دارند.
امضای دیجیتال (Digital Signature) یک روش امنیتی است که از تکنیکهای رمزنگاری نامتقارن بر پایه زیرساخت کلید عمومی (Public Key Infrastructure یا PKI) برای اثبات هویت و صحت اطلاعات استفاده میکند.
از طرف دیگر، گواهی امضای الکترونیک (Electronic Signature Certificate) نوعی امضاء است که هویت فرد صاحب امضاء را تأیید کرده و به یک مرجع ثالث معتبر، که به آن “مرجع صدور گواهی” (Certificate Authority یا CA) گفته میشود، نیاز دارد. این گواهی حاوی یک کلید عمومی و یک کلید خصوصی است که برای استفاده در امضای دیجیتال کاربرد دارد. توکن سختافزاری، امنترین محل ذخیره گواهی امضای الکترونیک و کلیدهای عمومی و خصوصی است. شرکت رهآورد سامانههای امن، توکنهای سختافزاری متنوعی از جمله epass3003 و راستین طلایی را به کاربران ارائه میدهد.
پیشنهاد میکنیم در ادامه با ما همراه باشید تا مفاهیم امضای دیجیتال و گواهی امضای الکترونیک را عمیقتر بررسی کنیم.
الزامات قانونی برای تنظیم اسناد دیجیتال و گواهیهای الکترونیک
بر اساس ماده ۴۸ قانون برنامه پنج ساله توسعه کشور (۱۳۹۴-۱۳۹۰)، تصریح شده است که اسناد الکترونیکی از نظر اعتبار قانونی در حکم اسناد کاغذی هستند، مشروط بر اینکه اصالت صدور و تمامیت آنها محرز شده باشد. این به معنی آن است در صورتی که یک سند الکترونیکی با استفاده از امضای دیجیتال معتبر صادر شده باشد، آن سند در محاکم قضایی و حقوقی همانند اسناد کاغذی قابل استناد است.
در همین قانون آمده است که هرگاه تنظیم اسناد، صدور مجوزها، اخطار و ابلاغ، یا مبادله وجه از نظر قانونی ضروری باشد، انجام الکترونیکی آنها با رعایت مفاد قانون تجارت الکترونیکی و استفاده از امضای الکترونیک معتبر کفایت میکند. این امر موجب شده است که فرآیندهای اداری و تجاری به شکل سریعتر و کارآمدتر انجام شود، ضمن اینکه همان میزان از امنیت و اعتبار برای این اسناد حفظ میشود.
امضای دیجیتال چیست؟
امضای دیجیتال یک مکانیزم امنیتی است که برای تأیید اصالت و یکپارچگی دادههای دیجیتال به کار میرود. این تکنولوژی مشابه امضای دستنویس در اسناد کاغذی است، با این تفاوت که در دنیای دیجیتال به کار رفته و امنیت بالاتری را فراهم میکند. این امضاء از فناوری رمزنگاری استفاده میکند تا اعتبار و یکپارچگی یک پیام یا سند را تضمین کند. برخی از ویژگیهای آن عبارت است از:
- اصالت سند: امضای دیجیتال به گیرنده اجازه میدهد که مطمئن شود فرستنده سند یا پیام همان فردی است که ادعا میکند
- یکپارچگی داده: هرگونه تغییر در دادهها پس از امضای آنها، امضای دیجیتال را بیاعتبار میکند و این باعث میشود که گیرنده مطمئن شود سند دستنخورده باقی مانده است
- عدم انکار: به دلیل این که امضاء به کلید خصوصی فرستنده وابسته است، امضای دیجیتال مانع انکار ارسال پیام توسط فرستنده میشود، یعنی فردی که سند را امضا کرده نمیتواند بعداً ادعا کند که این سند متعلق به او نیست
الگوریتم امضای دیجیتال چیست؟
امضای دیجیتال از الگوریتمهای رمزنگاری کلید عمومی مانند RSA یا DSA استفاده میکند. در این روش، فرستنده یک «خلاصه» (هش) از پیام را با استفاده از کلید خصوصی خود رمزنگاری کرده و آن را به عنوان امضاء به پیام اصلی ضمیمه میکند. گیرنده، با استفاده از کلید عمومی فرستنده، امضاء را رمزگشایی کرده و مقایسه میکند که آیا خلاصه پیام دریافت شده با خلاصه محاسبه شده مطابقت دارد یا خیر. اگر مطابقت داشته باشد، این به معنای صحت و اصالت پیام است.
کلید امضای دیجیتال چیست؟
کلید امضای دیجیتال (رمز امضای دیجیتال) یکی از اجزای مهم در فناوری امضای دیجیتال است که نقش اصلی در ایجاد و تأیید اصالت دادهها ایفا میکند. در این فرآیند، از یک جفت کلید به نام کلید عمومی و کلید خصوصی استفاده میشود که با یکدیگر مرتبط هستند. این کلیدها بخشی از الگوریتمهای رمزنگاری نامتقارن هستند که برای امنیت و یکپارچگی دادهها طراحی شدهاند. کلیدهای عمومی و خصوصی در داخل سختافزار توکن قرار میگیرند. در ادامه به توضیح این دو کلید میپردازیم:
- کلید خصوصی (Private Key): این کلید توسط صاحب امضای دیجیتال نگهداری میشود و باید با دقت از آن محافظت شود، زیرا تنها این کلید میتواند برای ایجاد امضای دیجیتال استفاده شود. در واقع، هنگامی که فردی داده یا سندی را امضاء میکند، از کلید خصوصی خود استفاده میکند. تنها صاحب کلید خصوصی مجاز به ایجاد این امضاء است
- کلید عمومی (Public Key): کلید عمومی در دسترس عموم قرار میگیرد و به افراد دیگر اجازه میدهد که امضای دیجیتال را تأیید کنند. زمانی که سندی امضاء میشود، گیرنده یا هر کسی که به این سند دسترسی دارد، میتواند با استفاده از آن بررسی کند که آیا امضای سند معتبر است یا خیر. بدین ترتیب، کلید عمومی نمیتواند برای ایجاد امضاء استفاده شود، بلکه فقط برای تأیید اعتبار آن به کار میرود
توکن امضای دیجیتال چیست؟
توکن امضای دیجیتال یک دستگاه فیزیکی کوچک و قابل حمل است که برای ایجاد و ذخیره امن کلیدهای خصوصی و عمومی گواهی الکترونیکی به کار میرود. این توکنها معمولاً به صورت یک دستگاه USB یا کارت هوشمند ارائه میشود و به کاربران این امکان را میدهد تا به شکلی امن و محافظتشده مدارک دیجیتالی را امضاء کنند.
توکن امضای دیجیتال epass3003 یکی از بهترین و امنترین سختافزارها بوده که سازگاری بسیار خوبی با سامانههای کشور دارد. از ویژگیهای توکن epass3003 میتوان به موارد زیر اشاره کرد:
- ذخیره امن کلید خصوصی
- احراز هویت دو عاملی
- حفاظت در برابر سرقت دیجیتال و کلاهبرداری
- عدم وابستگی به سیستمهای نرمافزاری
- امنیت بالا
- قابل حمل بودن
توکن epass3003 به خصوص در محیطهایی که امنیت اطلاعات حیاتی است، مانند مؤسسات مالی، سازمانهای دولتی و شرکتهای بزرگ، بسیار مفید و ضروری است.
امضای دیجیتال چه کاربردهایی دارد؟
اکنون که درباره مفاهیم اصلی امضای دیجیتال صحبت کردیم، لازم است تا کاربردهای آن را نیز مرور کنیم. امضای دیجیتال کاربرد گستردهای در دنیای دیجیتال و فضای مجازی دارد. این فناوری به دلیل قابلیت تأیید هویت و تضمین تمامیت اطلاعات، در بسیاری از حوزههای تجاری مورد استفاده قرار میگیرد. در ادامه به برخی از کاربردهای آن اشاره میکنیم:
- امضای پیامها و ایمیلها: برای تأیید هویت فرستنده و اطمینان از اینکه پیام در حین انتقال تغییر نکرده است
- تراکنشهای مالی: در سیستمهای بانکی و مالی برای امضای تراکنشهای آنلاین استفاده میشود تا امنیت و صحت اطلاعات تضمین شود
- اسناد دولتی و رسمی: برای امضای الکترونیکی اسناد قانونی و قراردادی که نیاز به تثبیت دارند استفاده میشود
- گواهینامههای آموزشی و مدارک تحصیلی: جهت جلوگیری از تقلب و جعل مدارک توسط افراد غیرمجاز به کار میرود
- سیستمهای رأیگیری الکترونیکی: به منظور امنیت و صحت رأیها و تأیید رأیدهندگان است
- پروتکلهای امنیتی اینترنتی: در پروتکلهایی مانند SSL/TLS، امضای دیجیتال برای تصدیق سرورهای وب و ایجاد ارتباط امن بین کاربر و سرور استفاده میشود
امضای دیجیتال بانک ملت چیست؟
همانطور که ذکر شد، یکی از کاربردهای امضای دیجیتال انجام تراکنشهای مالی است. بانک ملت از توکن امضای دیجیتال epass3003 برای نقل و انتقالات مالی در سامانه بانکداری اینترنتی استفاده میکند. سرویس امضای دیجیتال بانک ملت یک راهکار ارائه شده توسط این بانک است که امنیت، سرعت و راحتی در انجام تراکنشهای بانکی مشتریان را افزایش میدهد. این سامانه علاوه بر مشتریان حقوقی، برای اشخاص حقیقی که صاحب کسبوکار هستند نیز در دسترس قرار گرفته است. با نصب توکن و بارگذاری امضای دیجیتال بانک ملت، کاربران میتوانند از این قابلیت در اینترنت بانک ملت استفاده کنند.
برای اینکه با جزئیات بیشتری درباره استفاده از توکن امضای دیجیتال epass3003 در بانک ملت آشنا شوید، میتوانید به مقاله راهنمای استفاده از توکن امضای دیجیتال بانک ملت مراجعه کنید.
تاریخچه امضای سنتی و دیجیتال
اکثراً به یاد میآوریم زمانی که برای امضای رسمی اسناد و مدارک، لازم بود افراد به دفاتر اسناد رسمی مراجعه کرده و گواهی امضاء بگیرند. سپس میتوانستند با آن گواهی، پای اسناد و قراردادهای مهم را امضاء کنند.
از آنجا که فرآیند امضاء به صورت دستی صورت میگرفت، امکان کپی غیرقانونی، دستکاری سند و جعل امضاء وجود داشت. در چنین شرایطی فرد میتوانست امضاء را انکار کرده و حتی در صحت آن شک کند.
سالها بعد و با دیجیتالی شدن عمده اسناد، فرآیندهای اداری و معاملات از طریق سامانههای برخط، قوانین جدیدی در خصوص نحوه تأیید اسناد و امضای الکترونیک بوجود آمد. امضای الکترونیکی در واقع همان نسخه دیجیتالی شده امضای سنتی است که امروزه کاربرد وسیعی در اغلب سامانههای کشور در انجام امور ثبتی، قراردادی، مزایده، مناقصه و خرید دارد.
در ایران ما مواد 6 و 7 و 14 قانون تجارت الکترونیک، مصوب سال 1382 به صراحت بیان میکند که: هر گاه قانون وجود امضاء را لازم بداند، امضای الکترونیکی مطمئن کافی بوده و اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.
بهترین روش جلوگیری از جعل اطلاعات و اسناد دیجیتالی، بکارگیری فناوری امضای دیجیتال به همراه گواهی الکترونیکی صادر شده از یک مرجع معتبر است.
از آنجا که گواهی امضای الکترونیک منحصربفرد بوده در واقع بخشی از سند الکترونیکی به حساب میآید؛ لذا هر گونه تغییر و دستکاری در آن، به صورت خودکار باعث از بین رفتن اعتبار سند خواهد شد. بدین ترتیب سند امضاء شده به صورت الکترونیکی را میتوان احراز اصالت کرد و از دست نخوردگی آن اطمینان حاصل نمود. از طرفی امکان احراز هویت امضاکننده سند نیز وجود دارد؛ لذا صاحب امضاء امکان انکار کردن را نداشته و باید مسئولیت امضای خود را قبول کند. به طور خلاصه میتوان گفت که امضای الکترونیک، تمامی چهار اصل امنیت تجارت الکترونیک را پوشش میدهد. یعنی:
- محرمانگی: اطلاعات به صورت رمزنگاری شده در بستری امن تبادل میشود
- تأیید هویت: هویت فرد امضاکننده مشخص است
- تمامیت: اصالت سند و دست نخوردگی آن مورد تأیید است
- انکارناپذیری: صاحب امضاء امکان انکار کردن را نداشته و باید مسئولیت امضایش را بپذیرد
همانطور که پیشتر نیز ذکر شد، اعتبار گواهی امضای الکترونیکی کاملاً به مرجع صدور آن بستگی دارد. در ادامه بیشتر نحوه صدور گواهی الکترونیکی و ساختار سلسله مراتبی آن و احراز هویت صاحب امضاء را بررسی میکنیم.
گواهی امضای الکترونیک چیست؟
گواهی امضای الکترونیک (Digital Signature Certificate یا DSC) یک سند دیجیتالی است که توسط یک نهاد معتبر به نام «مرجع صدور گواهی» (CA یا Certificate Authority) صادر میشود. این گواهی حاوی اطلاعاتی مانند کلیدهای عمومی/خصوصی، هویت مالک (نام، آدرس، و غیره) و اعتبار زمانی آن است. گواهی امضای دیجیتال نقش مهمی در ایجاد اعتماد بین طرفین در ارتباطات آنلاین ایفا میکند. عناصر گواهی امضای دیجیتال عبارتاند از:
- کلیدهای رمزنگاری: هر گواهی شامل کلید عمومی/خصوصی مالک است که برای بررسی امضاهای دیجیتال و برقراری ارتباط امن به کار میرود
- اطلاعات هویتی: گواهی شامل اطلاعاتی از قبیل نام مالک و اطلاعات مربوط به سازمان یا فرد است
- اعتبار زمانی: هر گواهی مدت معینی اعتبار دارد و باید پس از اتمام این مدت، تمدید یا جایگزین شود
- مرجع صدور گواهی (CA): مرجعی که اعتبار گواهی را تأیید و تضمین میکند CA نام دارد. CA نقش مهمی در ایجاد اعتماد به گواهیهای صادرشده دارد
اطلاعات فوق در توکن امضای دیجیتال epass3003 قابل ذخیرهسازی بوده و کاربران میتوانند با امنیت کامل از توکن خود در تعاملات دیجیتالی و تراکنشهای رسمی استفاده کنند.
ساختار صدور گواهی الکترونیکی
ساختار سلسلهمراتبی مراکز صدور گواهی الکترونیک بهگونهای طراحی شده است که در رأس آن مرکز ریشه قرار دارد. این مرکز گواهیهای الکترونیکی مراکز میانی را امضاء میکند و نظارت کاملی بر عملکرد آنها دارد. مراکز میانی، گواهیها را برای کاربران نهایی صادر میکنند و مسئولیت احراز هویت افراد و سازمانها و تضمین صحت و امنیت این گواهیها را بر عهده دارند.
این ساختار سلسله مراتبی تأمینکننده امنیت و اعتبار گواهیهای الکترونیکی است. همچنین تضمین میکند که هر گواهی تنها توسط یک مرجع معتبر صادر شود و در صورت نیاز به ابطال، فرایند آن به درستی انجام شود. در ادامه به تفصیل درباره این ساختار و مقررات مرتبط با آن توضیح میدهیم.
1. مرکز صدور گواهی الکترونیکی ریشه (Root Certification Authority)
مرکز صدور گواهی الکترونیکی ریشه (Root CA) بالاترین مرجع در ساختار سلسله مراتبی صدور گواهی دیجیتال در کشور است. این مرکز وظیفه صدور گواهی دیجیتال برای مراکز میانی را بر عهده دارد. اما مسئولیتهای مرکز ریشه به طور دقیق به شرح زیر هستند:
- ایجاد و صدور گواهی الکترونیک ریشه: مرکز ریشه اولین گواهی دیجیتال را ایجاد کرده و آن را امضاء میکند
- امضاء و صدور گواهی برای مراکز میانی: این مرکز گواهیهای دیجیتالی را برای مراکز صدور گواهی میانی صادر و امضاء میکند
- ابطال گواهی: در صورتی که یک گواهی صادر شده توسط مرکز میانی نیاز به ابطال داشته باشد، مرکز ریشه مسئول ابطال آن است
- بازرسی از مراکز میانی: بر طبق آییننامه ماده ۳۲ قانون تجارت الکترونیک، مرکز ریشه مسئول نظارت و بازرسی از مراکز میانی و تجهیزات آنان است تا از صحت عملکرد آنها اطمینان حاصل شود
2. مراکز صدور گواهی الکترونیکی میانی (Intermediate Certification Authorities)
مراکز صدور گواهی الکترونیکی میانی (Intermediate CA) در ساختار سلسله مراتبی، تحت مدیریت مرکز ریشه قرار دارند و گواهیهای الکترونیکی معتبر برای افراد و سازمانها را صادر میکنند. وظایف این مرکز شامل موارد زیر است:
- صدور گواهی دیجیتال برای افراد و سازمانها: این مراکز گواهی دیجیتال را برای کاربران اصلی (End users) که ممکن است اشخاص حقیقی یا حقوقی باشند، صادر میکنند
- مدیریت و ابطال گواهی: مراکز میانی همچنین مسئول ابطال گواهی دیجیتال هستند. به طور مثال در شرایطی مانند مفقود شدن کلید خصوصی یا مشکوک بودن به سوء استفاده از گواهی، این مراکز میتوانند گواهی دیجیتال را ابطال کنند
3. دفاتر ثبت نام (Registration Authorities)
دفاتر ثبتنام (RA) به عنوان واسط میان کاربران اصلی و مراکز صدور گواهی (CA) عمل میکنند و وظایف مهمی را در فرآیند احراز هویت، ثبت امضای دیجیتال، بارگذاری و مدیریت گواهی دیجیتال بر عهده دارند. در ادامه به تشریح دقیق نقشها و وظایف دفاتر ثبت نام میپردازیم:
- احراز هویت افراد ذیصلاح: مراکز ثبتنام، مسئول احراز هویت افراد و سازمانهایی هستند که درخواست صدور گواهی دیجیتال را دارند. این فرآیند برای تأیید صحت هویت درخواستدهنده و جلوگیری از جعل هویت اهمیت دارد. در این مرحله تأیید مدارک و مستندات نیز انجام میشود
- جمعآوری اطلاعات مورد نیاز: دفاتر ثبت نام اطلاعات لازم برای صدور گواهی دیجیتال را از کاربران جمعآوری میکنند. این اطلاعات برای ایجاد گواهی دیجیتال و ثبت در پایگاه داده گواهینامه مورد استفاده قرار میگیرد
- ابطال گواهیها: دفاتر ثبت نام همچنین میتوانند در فرآیند ابطال گواهیها نقش داشته باشند. اگر کاربری نیاز به ابطال گواهی دیجیتال داشته باشد، دفتر ثبت نام میتواند به عنوان رابط عمل کرده و درخواست ابطال را به مرکز صدور گواهی ارسال کند
- هماهنگی با مراکز CA: دفاتر ثبت نام باید با مراکز صدور گواهی و دیگر نهادهای مرتبط هماهنگ باشند تا فرآیند صدور و مدیریت گواهیها به درستی و بهموقع انجام شود. این هماهنگی به مدیریت درست و کارآمد زنجیره گواهیها کمک میکند. دفاتر ثبتنام پس از تأیید هویت کاربر، درخواست صدور گواهی را به مراکز CA ارسال میکنند
با توجه به موارد فوق، مراکز صدور گواهی الکترونیکی دارای ساختار سلسله مراتبی به شکل زیر هستند.
در حال حاضر چندین مرکز دولتی و خصوصی متولی صدور گواهی الکترونیکی میانی و ارائه خدمات مرتبط با گواهی الکترونیکی به کاربران هستند. اعتبار گواهی الکترونیکی این مراکز توسط مرکز دولتی صدور گواهی الکترونیکی ریشه تأیید میشود. متقاضیان پس از بارگذاری مدارک و تکمیل فرمهای ثبتنام در یکی از مراکز صدورگواهی الکترونیکی میانی (سایت امضای دیجیتال)، جهت احراز هویت و دریافت گواهی الکترونیکی بر روی توکن به دفاتر ثبتنام(RA) مراجعه میکنند.
در جدول زیر لیست مراکز صدور گواهی الکترونیکی میانی درج شده است. یکی از این مراکز (ردیف اول جدول)، مرکز دولتی صدور گواهی الکترونیکی میانی عام است که به مرکز جیکا نیز معروف است.
فرق امضای دیجیتال با گواهی امضای الکترونیک چیست؟
در انتها یک بار دیگر فرق امضای دیجیتال با امضای الکترونیک را بررسی میکنیم. امضای دیجیتال به عنوان یک روش اثبات اصالت و یکپارچگی دادهها کاربرد فراوانی در تراکنشهای الکترونیکی، تجارت، و مدیریت دسترسی دارد. برای ساخت امضای دیجیتال، یک کلید عمومی و یک کلید خصوصی ایجاد میشود. فرد امضاکننده از کلید خصوصی خود برای ایجاد امضاء استفاده میکند، و گیرندگان میتوانند با استفاده از کلید عمومی، صحت این امضاء و عدم تغییر اطلاعات را بررسی کنند. این نوع امضاء امنیت بالایی دارد و امکان تقلب یا تغییر در اطلاعات امضاء شده را به حداقل میرساند.
اما گواهی امضای الکترونیک که توسط مراجع صدور گواهی صادر میشود، به عنوان مدرکی برای تأیید هویت افراد و سازمانها عمل میکند. این مرجع، با بررسی هویت امضاکننده، یک گواهی دیجیتال که در واقع سندی الکترونیکی است را برای او صادر میکند. این گواهی به عنوان تضمینی از طرف مرجع صدور عمل میکند و نشان میدهد که هویت فرد امضاکننده معتبر است یا خیر. گواهی امضای الکترونیک به طرفین اطمینان میدهد که امضاکننده، شخصی است که ادعا میکند.
جمع بندی
امضای دیجیتال و گواهی امضای الکترونیک از جمله ابزارهای کلیدی در حفظ امنیت ارتباطات و دادهها در دنیای دیجیتال هستند. این ابزارها نقش مهمی در ایجاد اعتماد و امنیت در تعاملات دیجیتالی دارند و به کاربران اطمینان میدهند که اطلاعات آنها به درستی محافظت شده و هویت فرستنده تأیید شده است. برای دریافت و استفاده از امضای دیجیتال، کافی است یک مرجع صدور گواهی معتبر انتخاب شده و فرآیند تکمیل فرمهای اطلاعاتی و تأیید هویت را طی کنید. گواهی امضای الکترونیک و کلیدهای عمومی و خصوصی بر روی سختافزار توکن امضای دیجیتال epass3003 قرار میگیرد. با این کار، میتوانید از امنیت بالا و قابلیتهای پیشرفتهای در ارتباطات دیجیتالی خود بهرهمند شوید. لازم به ذکر است که اعتبار گواهی امضای الکترونیک محدود بوده و لازم است یک ماه پیش از انقضاء نسبت به تمدید آن اقدام شود. نحوه تمدید گواهی امضای الکترونیکی در ویدئوی آموزشی نشان داده شده است.
در این ویدئوی آموزشی، مشاهده کنید:
- سامانه صدور گواهی الکترونیکی میانی عام
- مراکز ثبت نام و احراز هویت گواهی امضای دیجیتال
- نحوه درخواست تمدید گواهی امضای الکترونیک
- پشتیبانی سامانه جیکا