Comments: 0 Posted by: مدیر Posted on: آوریل 7, 2020

۱- معیارها و ویژگی‌های امضای الکترونیکی مطمئن

        در مقررات مربوطه جهانی، قانون‌گذاران برای اینکه امضای الکترونیکی مطمئن محسوب شود، با بیان معیارها، وجود شرایطی را الزامی دانسته‌اند:

ق.ن.ا.ا.آ در پارگراف یک از ماده شش اشعار داشته: «هرگاه قانون امضای شخصی را لازم بداند، آن الزام در ارتباط با داده پیام محقق است اگر با لحاظ همه اوضاع و احوال شامل هر قرارداد مربوطه، از یک امضای الکترونیکی مطمئن و متناسب با هدفی که داده پیام برای آن ایجاد یا تبادل شده است استفاده شود.» و در پاراگراف سه از همان ماده بیان شده «امضای الکترونیکی برای هدف ایفای الزام اشاره شده در پاراگراف یک معتبر شناخته می‌شود اگر:

(الف) داده‌های ایجاد امضای الکترونیکی، در متنی که برای آن استفاده شده است، منتسب به امضا کننده باشند نه به شخص دیگری؛

(ب) داده‌های ایجاد امضا، در زمان امضا، تحت کنترل امضا کننده باشند نه شخص دیگری؛

(ج) هرگونه تغییر ایجاد شده در امضای الکترونیکی بعد از زمان امضا، قابل تشخیص باشد؛ و

(د) هرگاه هدف از الزام قانونی برای امضا، تدارک دیدن اطمینان از تمامیت اطلاعاتی است که امضا حاکی از آن است، هرگونه تغییر ایجاد شده در آن اطلاعات بعد از زمان امضا، قابل تشخیص باشد.». این قانون در مواردی که تحصیل اطمینان از تمامیت اطلاعات ضروری باشد، شرط تأمین تمامیت اطلاعات را لازم دانسته نه در همه موارد، از این‌رو امضای الکترونیکی در صورت تناسب ایمنی روش‌های به‌کار گرفته شده با هدفی که داده پیام برای آن ایجاد و تبادل شده است، مطمئن محسوب می‌شود و چنانچه ایمنی روش‌های به‌کار گرفته شده تناسبی با هدف نداشته باشد، در آن خصوص مطمئن نبوده و الزام قانونی یاد شده(وجود امضای شخص) را فراهم نمی‌کند.

طبق بند دو از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC پارلمان و شورای اروپا، امضای الکترونیکی پیشرفته(مطمئن) باید الزامات زیر را تأمین کند:

«(الف) به نحو منحصر به فردی منتسب به امضا کننده باشد؛

(ب) قابلیت شناسایی هویت امضا کننده را داشته باشد؛

(ج) با بهره گرفتن از وسایلی ایجاد شده باشد که امضا کننده بتواند آن‌را تحت اراده انحصاری خویش نگاه دارد؛ و

(د) به نحوی به داده‌هایی که به آنها مرتبط است متصل شده باشد که هرگونه تغییر بعدی داده‌ها قابل تشخیص باشد».

مصوبه امضای الکترونیکی شورای دولتی فرانسه در بخش شرایط راجع به وسایل و روش‌های‌ ایجاد امضای الکترونیکی در ماده سه مقرر داشته: «به‌منظور اجرای ماده یک این مصوبه، وسایل و روش‌های امضای الکترونیکی:

۱) تضمین می‌کند که امضای الکترونیکی منحصراً به امضا کننده منتسب است.

۲) امکان ایجاد امضای الکترونیکی را به وسایلی که تحت کنترل انحصاری امضا کننده باشد فراهم می‌کند.

۳) امضای الکترونیکی به نحوی ‌ایجاد و به داده‌های مرتبط به خود متصل می‌شود که هرگونه تغییر بعدی در آن قابل کشف باشد.

۴) از طریق ابزارهای فنی و روش‌های مناسب تضمین می‌کند که:

الف) داده‌های مورد استفاده برای امضای الکترونیکی نتوانند بیشتر از یک‌بار استفاده شده و اینکه جنبه محرمانه آنها تضمین شود.

ب) داده‌های مورد استفاده برای امضای الکترونیکی از طریق استنتاج قابل دستیابی نباشد و اینکه امضا در مقابل هرگونه شبیه‌سازی از طریق ابزارهای فنی مطابق با پیشرفت‌های فنی محافظت شود.

پ) داده‌های مورد استفاده برای امضای الکترونیکی توسط امضا کننده قانونی در مقابل استفاده آن توسط اشخاص ثالث به نحو اطمینان ‌بخشی مورد محافظت قرار گیرد.

۵) وسایل و روش‌های امضای الکترونیکی نباید داده‌های لازم برای امضا را تغییر دهد یا موجب آن شود که‌ این داده‌ها قبل از طی تشریفات امضا در اختیار امضا کننده قرار گیرد.»[۱]. این مصوبه با توجه به ماده ۱۳۱۶-۴ قانون مدنی فرانسه، معیارها و شرایطی را که برای انجام امضای یک معامله مقرر داشته، شرایط امضای الکترونیکی مطمئن است و فقط امضایی را که معیارهای مذکور را تأمین کند(امضای الکترونیکی مطمئن) برای انجام امضای معامله معتبر می‌داند و تفکیکی بین امضاهای الکترونیکی قائل نشده است.

در حقوق ایران ماده ۱۰ ق.ت.ا، معیارها و شرایط امضای الکترونیکی مطمئن را احصا کرده و مقرر داشته است: «امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد:

الف- نسبت به امضا کننده منحصر به فرد باشد.

ب- هویت امضا کننده داده پیام را معلوم نماید.

ج- به‌وسیله امضا کننده و یا تحت اراده انحصاری وی صادر شده باشد.

د- به‌نحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام قابل تشخیص و کشف باشد.»

ویژگی و کارکرد‌های امضای الکترونیکی مطمئن که در قوانین یاد شده به آنها اشاره شده است، عبارتند از:

۱- نسبت به امضا کننده منحصر به فرد بودن؛

۲- داشتن قابلیت شناسایی هویت امضاکننده؛

۳- منتسب نمودن داده پیام به امضا کننده؛ و

۴- قابلیت تشخیص و کشف هرگونه تغییر در داده پیام(تأمین تمامیت).

کارکرد اخیر ویژگی خاص امضای الکترونیکی است و امضای سنتی چنین کارکردی ندارد، چرا که در سیستم مبتنی بر کاغذ این مهم از قابلیت‌های کاغذ است که هرگونه تغییر(اعم از پاک‌شدگی، تراشیدگی و الحاق) به کمک روش‌های فنی و کارشناسی قابل کشف است.

با نگاهی به مقررات اخیر‌الذکر ملاحظه می‌شود که قانون‌گذاران درصدد تلفیق ویژگی‌ها و کارکردهای امضای سنتی و الکترونیکی بوده‌اند و بر اساس این رویکردها استفاده می‌شود که امضای الکترونیکی در صورت دارا بودن شرایط مقرره، به عنوان جایگزینی برای امضای دست‌نوشته شناخته شده است.

در امضای الکترونیکی، تکنولوژی و روش خاصی برای امضا موضوعیت ندارد، بلکه هر تکنولوژی و روشی که الزامات و اهدافی را که قانون‌گذاران در نظر گرفته‌اند تأمین کند، می‌تواند برای ایجاد امضای الکترونیکی به‌کار گرفته شود. همچنان‌که ق.ن.ا.ا.آ که ملهِم قانون‌های ملی از جمله ق.ت.ا کشورمان می‌باشد، در ماده سه مقرر داشته: «هیچ‌یک از مواد این قانون به جز ماده پنج نبایستی طوری اعمال شود که اثر حقوقی هریک از روش‌های ایجاد یک امضای الکترونیکی را که واجد الزامات اشاره شده در پاراگراف یک ماده شش می‌باشد یا به نحوی الزامات قانون حاکمی را تأمین می‌کند، استثنا، محدود یا محروم کند.»؛ بر همین اساس ممکن است از روش‌های مبتنی بر زیست‌سنجی[۲] که از خصیصه‌های فیزیولوژیکی و منحصر به فرد انسان، مانند اثرانگشت وی برای محقق ساختن اهداف مورد نظر بهره می‌برد استفاده شود، و یا با پیشرفت تکنولوژی، روش‌های جایگزین مطمئن‌تری شناخته شود.

امروزه در اکثر کشورها از جمله در کشور ما برای تأمین الزامات قانونی و ایجاد امضای الکترونیکی مطمئن، از امضای دیجیتالیِ مبتنی بر فناوری رمزنگاری[۳] با الگوریتم نامتقارن[۴] استفاده می‌شود. فناوری رمزنگاری حوزه‌ای از دانش و تکنیک برای انتقال داده میان کاربران بر روی یک کانال عمومی(در معرض حمله مهاجم خارجی) است، به منظور:

۱- مخفی کردن محتوی آن؛

۲- جلوگیری از تغییرات ناخواسته؛ و

۳- جلوگیری از دسترسی‌های غیرمجاز[۵].

الگوریتم‌های نامتقارن، الگوریتم‌هایی هستند که دو کلید را مورد استفاده قرار می‌دهند. یک کلید برای رمزگذاری پیام و کلید دیگری که متفاوت از اولی است، برای رمزگشایی پیام وجود دارد[۶].

در امضای دیجیتالی مبتنی بر فناوری رمزنگاری نامتقارن، از یک زوج کلید[۷] مرتبط ریاضیاتی، یعنی کلید خصوصی[۸] و کلید عمومی[۹]، به عبارت دیگر داده‌های ایجاد و وارسی امضای الکترونیکی، برای امضای الکترونیکی استفاده می‌شود؛ کلید خصوصی آشکار نبوده و در اختیار امضا کننده است و فاش نمی‌شود، اما کلید عمومی قابلیت بازبینی را دارد و در اختیار طرف اعتماد کننده[۱۰] برای اعتبار سنجی و تصدیق قرار می‌گیرد.

کلید خصوصی داده‌ای انحصاری(منحصر به فرد) نظیر رمز است که امضا کننده برای ایجاد امضای الکترونیکی از آن استفاده می‌کند و کلید عمومی داده‌ای نظیر رمز می‌باشد که برای بررسی صحت امضای الکترونیکی و شناسایی کردن مالک کلید خصوصی، مورد استفاده قرار می‌گیرد و در مخزن[۱۱] گواهی، ذخیره شده و در دسترس طرف اعتماد کننده قرار می‌گیرد.

امضای الکترونیکی مبتنی بر فناوری رمزنگاری، یک رشته عددی است که به روش پیچیده‌ای از متن یک سند استخراج و پس از رمزنگاری با کلید خصوصی صاحب سند، به اصل سند ضمیمه و ارسال می‌شود، به‌گونه‌ای که هر گیرنده اطلاعات بتواند منبع و تمامیت اطلاعـات را تشخیص دهد[۱۲].

بدین‌ترتیب امضای دیجیتالی با خصوصیاتی که برایش برشمردیم، الزامات و اهدافی نظیر شناسایی(تعیین هویت)[۱۳]، تمامیت[۱۴] و منحصربه‌فرد[۱۵] ‌بودن را تأمین می‌کند. برای فهم هرچه بهتر کارکردهای این فناوری، شناخت «گواهی الکترونیکی»[۱۶] و «دفاتر خدمات صدور گواهی الکترونیکی»[۱۷] ضروری است که در ادامه به آن‌ها می‌پردازیم.

 

۲- گواهی الکترونیکی

طبق بند (ب) از ماده دو ق.ن.ا.ا.آ: «گواهی عبارت است از یک داده پیام یا مستندی دیگر که پیوند میان امضا کننده و امضا را در ایجاد داده تأیید می‌کند.»

بند چهار از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC، مصوب داشته: «داده‌های ایجاد امضا[۱۸] عبارت است از داده‌های منحصر به‌فردی نظیر کدها یا کلیدهای خصوصی رمزنگاری، که توسط امضاکننده برای ایجاد یک امضای الکترونیکی استفاده می‌شوند.» مصوبه شورای دولتی فرانسه نیز دقیقاً همین تعریف را در ماده دو تحت عنوان «داده‌های امضای الکترونیکی» به‌عمل آورده است.

طبق تعریفی که بند «ج» ماده یک آیین‌نامه اجرایی ماده (۳۲) ق.ت.ا به دست می‌دهد: «گواهی الکترونیکی داده الکترونیکی است حاوی اطلاعاتی در مورد مرکز صادرکننده گواهی، مالک گواهی، تاریخ صدور و انقضا، کلید عمومی مالک و یک شماره سریال که توسط مرکز میانی تولید شده به گونه‌ای که هر شخصی می‌تواند به صحت ارتباط بین کلید عمومی و مالک آن اعتماد کند.».

گواهی الکترونیکی ساختار داده‌ای الکترونیکی است که به آن یک امضای الکترونیکی بر اساس آن ساختار داده‌ای اضافه می‌شود و جهت ارتباط دادن نام و مشخصات امضا کننده با کلید عمومی او مورد استفاده قرار می‌گیرد، به بیانی روشن‌تر گواهی الکترونیکی همان شناسنامه‌ای است که هویت واقعی شما را به صورت مجازی تعیین می‌کند. کاربرد گواهی الکترونیکی در حقیقت، استفاده در امضای الکترونیکی و رمزنگاری اطلاعات است. در مجموع، گواهی الکترونیکی سندی است که:

۱- توسط یک موجودیت قابل اعتماد صادر و امضا شده است.

۲- بر اساس تأیید هویتی است که توسط یک مرکز صورت گرفته است.

۳- حاوی یک سری اطلاعات و کلید عمومی شخص یا سازمان است.

۴- مورد استفاده آن در گواهی قید شده است.

۵- مدت اعتبار مشخص و محدودی دارد.[۱۹]

گواهی الکترونیکی را می‌توان ترکیبی از مدرک شناسایی و وسیله‌ای برای امضا در فضای مجازی دانست، با این تفاوت که اولاً برای دسترسی به اطلاعات گواهی الکترونیکی و استفاده از آن روش خاصی(معمولاً وارد کردن رمز عبور) در نظر گرفته می‌شود و ثانیاً صاحبان گواهی در قبال آن وظایفی نظیر استفاده از گواهی تنها برای مقاصد قانونی و مجاز مطابق مقررات و اطلاع‌رسانی به دفاتر ثبت نام در صورت در خطر افشا قرار گرفتن کلید خصوصی خود، بر عهده دارند و ثالثاً باید گواهی را تحت اراده انحصاری خود نگهداری کنند.

البته لازم به‌ذکر به‌نظر می‌رسد که اطلاق گواهی الکترونیکی به گواهی دیجیتالی به دلیل عدم تأکید بر فناوری خاصی نظیر فناوری دیجیتال بوده و مبنی بر مسامحه است و هرچند عرفاً با ایرادی مواجه نیست، اما از نظر علمی میان آنها تفاوت است و گواهی الکترونیکی اعم از گواهی دیجیتالی(رقمی) است.

گواهی‌های دیجیتالی بر روی سخت‌افزارهایی که مطابق مشخصات فنی اعلام شده از طرف مراکز صدور گواهی می‌باشند، تولید و به متقاضی تحویل می‌شوند.

استفاده گسترده از امضای دیجیتالی، مستلزم وجود زیر ساخت کلید عمومی[۲۰] که عبارت است از «مجموعه‌ای از نرم‌افزارها، سخت‌افزارها، سیاست‌ها، فرآیندها و روال‌های مورد نیاز برای مدیریت گواهی‌ها و زوج کلیدها»(بند «ش» ماده یک آیین‌نامه اجرایی ماده ۳۲ ق.ت.ا)، و وجود مرجع ثالث قابل اعتمادی[۲۱](دفاتر خدمات صدور گواهی الکترونیکی) برای ارائه خدمات گواهی می‌باشد.

 

۳- دفاتر خدمات صدور گواهی الکترونیکی

        مطابق ماده ۳۱ ق.ت.ا «دفاتر خدمات صدور گواهی الکترونیکی واحدهائی هستند که برای ارائه خدمات صدور گواهی الکترونیکی در کشور تأسیس می‌شوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به‌روز نگهداری گواهی‌های اصالت (امضای) الکترونیکی می‌باشد.»

ماده چهار آیین‌نامه اجرایی ماده ۳۲ ق.ت.ا سطوح دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده (۳۱) قانون را به عنوان ارائه دهندگان خدمات گواهی الکترونیکی به شرح زیر تعیین نموده است:

الف- مرکز دولتی صدور گواهی الکترونیکی ریشه که با کسب مجوز از شورای سیاست‌گذاری گواهی الکترونیکی فعالیت می کند.

ب- مرکز صدور گواهی الکترونیکی میانی که با کسب مجوز از یک مرکز ریشه، مبادرت به صدور گواهی الکترونیکی نموده و سایر خدمات مربوط به امضای الکترونیکی را انجام می‌دهد.
ج- دفتر ثبت‌نام گواهی الکترونیکی که با کسب مجوز از حداقل یک مرکز میانی نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهی‌ها و سایر امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوی مراکز میانی که تعهد همکاری با آنها را امضا نموده است، اقدام می کند.

طبق بند دو ماده ۱۳ آیین‌نامه یاد شده، احراز هویت متقاضیِ دریافت خدمات گواهی، از وظایف دفاتر ثبت نام گواهی الکترونیکی و به نظر مهمترین وظیفه این دفاتر می‌باشد که به امضای الکترونیکی و به تبع آن، مدارک و اطلاعات الکترونیکی امکان انتساب می‌بخشد.

اعتبار سنجی امضای الکترونیکی از طریق اعتبار سنجی گواهی الکترونیکی صورت می‌پذیرد، در این فرآیند پیوند بین مشخصات مالک گواهی و کلید عمومی او بررسی می‌گردد. در یک زنجیره گواهی، هر گواهی توسط صادر کننده آن امضا شده است و این زنجیره از گواهی‌ای که برای امضای الکترونیکی از آن استفاده شده تا گواهی متعلق به مرکز دولتی ریشه امتداد دارد؛ فرآیند اعتبار سنجی زنجیره گواهی، توسط نرم‌افزارهای مخصوصی به عمل می‌آید.

 

ب- امضای الکترونیکی غیرمطمئن

        هرچند در متن ق.ت.ا کشورمان صراحتاً از امضای الکترونیکی غیرمطمئن یادی نشده است، اما می‌توان از مقررات، از جمله تعریف امضای الکترونیکی(بند «ی» ماده دو) و تفکیک آن از تعریف امضای الکترونیکی مطمئن(بند «ک» همان ماده) و نتیجتاً تعیین ارزش اثباتی متفاوت برای امضای الکترونیکی مطمئن، این موضوع را استفاده کرد.

تعریفی که بند «ی» ماده دو قانون تجارت الکترونیکی کشورمان ارائه می‌دهد و قبلاً بیان شد، تعریف امضای الکترونیکی غیرمطمئن است که قانون‌گذار برای آن صرفاً ویژگی قابلیت شناسایی امضا کننده را پیش‌بینی و تصریح کرده است و می‌تواند شامل اسکن امضای دستی، درج نام و نام‌خانوادگی یا متصل نمودن هر نوع علامتی به سند الکترونیکی شود که موجبات شناسایی امضاکننده را فراهم می‌کند. استفاده مکرر، توافق قبلی یا ارسال از صندوق پستی الکترونیکی شخص، می‌تواند قرینه بر هویت وی باشد.

امضای الکترونیکی که نسبت به امضا کننده منحصر به فرد نباشد، تضمینی از هویت امضا کننده به‌دست ندهد و اطمینانی از موجودیت کامل و بدون تغییر داده پیام(تمامیت) فراهم نیاورد، امضای الکترونیکی غیرمطمئن محسوب است.

[۱] – ترجمه ستار زرکلام، طرح توجیهی قانون تجارت الکترونیکی، ص۱۲۴ و ۱۲۵٫

[۲]- Biometric.

[۳]- Cryptography.

[۴]- Asymmetrical algorithm.

[۵] – سیاست‌های گواهی الکترونیکی زیرساخت کلید عمومی کشور، مرکز دولتی صدور گواهی الکترونیکی ریشه،۱۳۹۱، ص۳۱، http://www.rca.gov.ir.

[۶] – امیر سپاهی، حقوق اسناد(کاغذی-الکترونیکی)، تهران، انتشارات دادگستر، ۱۳۹۳، ص۳۰٫

[۷]- Key Pair.

[۸]- Private key.

[۹]- Public key.

[۱۰]- Relying Party.

[۱۱] – Repository: پایگاه داده ذخیره و انتشار گواهی‌های الکترونیکی و اطلاعات مربوط به آنها جهت بهره‌برداری طرف‌های اعتماد کننده است(دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی میانی بازرگانی، مرکز صدور گواهی الکترونیکی بازرگانی، ۱۳۸۶، ص۱۷، http://www.mocca.ir).

[۱۲] – سیاست‌های گواهی الکترونیکی زیرساخت کلید عمومی کشور، ص۲۹٫

[۱۳]- Identification.

[۱۴]- Integrity.

[۱۵]- Unique.

[۱۶]- Digital Certificate.

[۱۷]- Certification Service Provider.

[۱۸]- Signature creation data.

[۱۹] – مرجان مظفری، آشنایی با امضای الکترونیکی، تهران، شرکت چاپ و نشر بازرگانی، ۱۳۹۰، ص ۴۹ و ۵۰٫

[۲۰]- Public Key Infrastructure (PKI).

[۲۱]- Reliable Third Party.