آفتابنیوز : سال ها است اصطلاح «امضای دیجیتال» از سوی مسئولان و دستگاه های مختلف دولتی استفاده می شود و مردم دائما درباره آن اخبار و گزارش هایی می شنوند اما به نظر می رسد هنوز هم این طرح بزرگ در کشور اجرایی نشده و فوائدی که برای آن برشمرده می شود نصیب مردم نشده است.
به تازگی اما طرح هایی مانند گذرنامه الکترونیکی، کارت شناسایی هوشمند ملی و... به صورت جدی تری از سوی نهادهای مربوط در حال پیگیری است که لازمه اجرای آن ها رسمیت یافت امضای دیجیتال در ساز و کارهای قانونی کشور است. با دکتر ابراهیم دوستاری استاد دانشگاه و کارشناس و فعال در پروژه امضای دیجیتال در این باره گفت و گو کرده ایم تا ابعاد مختلف این طرح را به زیان ساده بیان کند.
شباهت ها و تفاوت های امضای دیجیتال با امضای دستی چیست؟
فرض کنید شخص الف متنی را به برادر خود می نویسد به این عبارت که "لطفا 3 بسته از بسته هایی را که هفته پیش در خانه تان گذاشتم به حامل نامه تحویل بده"، و در ذیل آن با دست امضا می کند. برادر، با رویت دستخط و امضای برادرش الف به آورنده نامه اعتماد کرده و 3 بسته را به او می دهد. در اینجا چه اتفاقی افتاده است؟ الف و برادرش از قبل، دستخط و امضای هم را می شناسند. لذا گیرنده به نامه فرستنده، اعتماد می کند. همین عمل، در فضای مجازی نیز رخ می دهد. دو نفر از قبل کلید های عمومی خود را رد و بدل می کنند و سپس، مکاتبات خود را، هر کدام با کلید خصوصی خود امضا کرده و برای گیرنده می فرستند. گیرنده، با استفاده از کلید عمومی فرستنده، امضا را وارسی و راستی آزمایی(Verify) می کند. در اینجا، عمل امضای یک متن، علاوه بر آنکه اعتماد گیرنده را به همراه دارد، یکپارچگی متن نیز تضمین می شود زیرا امضای دیجیتال، با متن اصلی عجین شده و مرتبط است اما در فضای سنتی، اگر حامل نامه، عدد 3 را دستکاری و به 4 تبدیل کند، گیرنده نامه ممکن است متوجه نشود و به جای 3 بسته، 4 بسته محموله را به حامل نامه تحویل دهد اما امضای دیجیتال، امکان دستکاری را از شخص ثالث می گیرد.
وقتی شخصی، مستندی را در دفترخانه امضا می کند، سردفتر وظایفی دارد. اولاً امضا کننده را باید تصدیق هویت کند، یعنی با رویت مدارک شناسایی و انطباق با چهره فرد، تایید کند که این شخص همانی است که ادعا می کند. ثانیاً، سردفتر باید مطمئن شود که امضا کننده، متن را رویت کرده یا می داند چه چیزی را امضا می کند. ثالثاً، سردفتر از اینکه عمل امضا در کمال آزادی و به اختیار صورت می گیرد، مطمئن شود یعنی اینکه امضا کننده در حالت طبیعی بسر می برد مثلاً از خود بیخود نشده است یا در معرض تهدید برای امضا کردن قرار ندارد. حال اگر ما در فضای مجازی، پس از آنکه از طرف مقابل، عملیات شناسایی و سپس تصدیق هویت (مثلا با پروتکل چالش- واکنش) انجام شد، و سپس متنی را امضا کنیم، آیا شرایطی که در دفترخانه اسناد رسمی باید احراز شود را طی کرده ایم؟ مسلماً خیر. پس باید تأییدیه دریافت کنیم چیزی که شبیه تایید یک مهر رسمی ¬باشد. مثلاً در ژاپن، شهروندان مهری را می سازند و نام خود را در آن حک می کنند، و این مهر را به شهرداری برده و ثبت می کنند. سپس، هرجا که خواستند امضایی انجام دهند می توانند تایید مهر را نشان داده و سپس مهر بزنند، که همان حکم امضا را دارد.
برای آنکه امضای دیجیتال نیز بتواند همان مسیر سنتی تایید دفترخانه اسناد رسمی را طی کند، یکی از راه حل ها این است که شخص در دفترخانه حضور یابد و ابتدا عمل تایید هویت به شکل معمول انجام شود سپس متن یا مستند مورد نظر در رایانه دفترخانه وارد شود، پس از آن، با نظارت سردفتر، امضا کننده توکن خود را متصل و عمل امضا را انجام دهد، و سپس، سردفتر، با توکن رسمی دفترخانه، این مستند که ممهور به امضای امضا کننده است را امضا و تایید کند. در اینجا سندی ایجاد می شود که شخص در حضور دفترخانه امضا کرده است. ممکن است گفته شود اگر نیاز به حضور در دفترخانه باشد، دیگر چه نیازی به امضای دیجیتال است و همان امضای سنتی را داشته باشیم. تفاوت در این است که در امضای سنتی، یک سند که تایید امضای دفترخانه را دارد، به صورت فیزیکی در دستان شما قرار می گیرد. ممکن است، نسخه هایی کپی گرفته و برابر اصل کنید و به جاهایی تسلیم کنید یا اسکن کرده و برای مراجعی بفرستید اما در نهایت، اصل سند باید توسط مرجع گیرنده رویت شود اما در روش امضای دیجیتال، فایلی که بدست می آید، خود اصل است، حتی اگر هزاران کپی از آن تکثیر شود، هرکدام حکم سند اصلی را دارد زیرا در هر جای دنیا که مثلاً به صورت فایل ارسال کنید، هم امضای امضا کننده قابل بررسی و صحت سنجی است، با مراجعه به vdai که تأییدیه کلید عمومی امضا کننده را صادر کرده است و هم با مراجعه به ریشه که تأییدیه کلید عمومی دفترخانه را صادر کرده است می توان از امضای دفترخانه اطمینان حاصل کرد. بدین ترتیب، این فایل به عنوان سند اصلی، در فضای مجازی قابل ارسال به هرجای دنیا و به هر مرجعی است و در همه جا صحت آن قابل بررسی و تایید.
پس به نظر می رسد بشود امضای دیجیتال را جایگزین امضای دستی کرد اما در این میان، بحث امنیت چه می¬شود؟ اگر قرار باشد بنده با یک امضا در فضای مجازی، مثلا ملک خود را به کسی فروخته باشم یا بر عکس بر اثر هک شدن، امضای دیگری از من گرفته شود یا کلید خصوصی من به سرقت برود، تکلیف چیست؟
اگر قرار باشد مصوبه مجلس در ارتباط با امضای دیجیتال اجرایی شود شما ممکن است با انجام یک کلیک، همه مال و منال خود را از دست بدهید اگر آن امنیتی که گفتید برقرار نباشد. لذا، ساز و کارهای زیرساخت کلید عمومی شامل قوانین و اسناد بالادستی، سیاست های کلان ملی، ساز و کار های مدیریتی، بازرسی ها، تکنولوژی و مسائل فنی، و در نهایت رویه های حقوقی در هنگام بروز اختلافات و امثالهم، همه و همه بسیار حیاتی و مهم است. در دنیا، مخصوصاً، بعد از سال 2000، کشورهای زیادی، زیرساخت کلید عمومی را بوجود آوردند و در مراودات بین سازمان ها و ارگان ها و وزارتخانه ها و نیز مراودات با مردم از آن استفاده می¬کنند. آمریکا و ژاپن کمی قبل از 2000 این کار را شروع کردند. ما می¬توانیم از تجارب همه آنها استفاده کنیم. لیکن در کشور ما، هنوز تصمیم گیری های کلان و اسناد بالادستی در سطح ملی، تهیه و تدوین نشده است البته همکاران در مرکز توسعه تجارت الکترونیک زحمات زیادی می¬کشند و اسنادی را تهیه کرده اند اما به نظرمن، چه از نظر حقوقی و چه مدیریتی و حتی از لحاظ فنی هنوز راه درازی در پیش داریم تا بتوانیم این زیرساخت را در کشور به صورت یکپارچه و به شکل امن و مطمئن داشته باشیم.
چه اسناد بالادستی مورد نیاز است؟ و از نظر امنیت فنی و رویه های مدیریتی چه فعالیت هایی در کشور ما باید انجام شود؟
حقیقت آن است که زیرساخت کلید عمومی یک حوزه کاملا تخصصی است که نه تنها به دانش بلکه نیاز به تجربه فراوان دارد. مسائل فنی آن، در ابتدا طوری است که هر کارشناس حوزه کامپیوتر یا IT علی الظاهر می تواند آن ها را درک کند یا با کمی مطالعه، در این زمینه خود را صاحب نظر بداند. علت آن است که درک مفهومی موضوعاتی مانند رمزنگاری، کلیدهای متقارن و نامتقارن، الگوریتم های امضای دیجیتال، و موضوعاتی از این قبیل، برای یک کارشناس حوزه کامپیوتر چندان مشکل نیست. لذا، ساده انگاری و سهل انگاشتن موضوعات این حوزه، در بین کارشناسان فنی بسیار رایج است. فقط تیم هایی که چندین سال برای پیاده سازی عملی این سامانه ها تلاش کرده اند و افت و خیز های زیادی داشته و زمان و هزینه های زیادی را متحمل شده اند می توانند تخصصی و حرفه ای بودن این حوزه را واقعاً درک کنند. از طرف دیگر، مدیران کشور و حتی مدیران و متولیان حوزه IT نیز ادراک مبهم و اندکی از پیچ و خم های این حوزه دارند. حتی مدیرانی از مدیران رده بالای کشوری که انتظار آن است متولیان این زیرساخت در کشور باشند آشنایی کافی با این حوزه ندارند و بعضاً با گفته ها و شنیده های این و آن، صاحب نظر شده یا تصمیم سازی و حتی تصمیم گیری می¬کنند که عمدتاً راه به جایی نمی¬برد.
با توجه به اطلاعاتی که از پروژه های مختلف IT مانند گذرنامه هوشمند، کارت هوشمند سوخت، کارت شناسایی ملی هوشمند، امضای دیجیتال و... دارید، ارزیابی خود را از وضعیت بکارگیری امضای دیجیتال و زیرساخت کلید عمومی را در کشور بیان کنید.
حرکت های اولیه برای ایجاد زیرساخت کلید عمومی از حدود سال 82 در وزارت بازرگانی وقت شروع شد و سپس این زیرساخت با مصوبات قانونی کار خود را کم کم شروع کرد و اکنون در قالب مرکز توسعه تجارت الکترونیکی، خدمات خود را ارائه میدهد. نهاد های دیگر هم بر حسب کاربردها، این زیرساخت را بوجود آورده اند، مانند سازمان ثبت احوال برای کارت شناسایی هوشمند ملی، بانک مرکزی تحت عنوان سیستم نماد و ناجا برای گذرنامه الکترونیکی، قوه قضائیه و سازمان ثبت اسناد و املاک کشور، وزارت بهداشت. در حال حاضر، ارتباط سیستماتیک بین زیرساخت های فوق الذکر وجود ندارد و هر کدام از آن ها، ریشه خود را دارند.
چرا اقدامی برای یکپارچه کردن این زیرساخت ها در کشور انجام نمیشود؟
بحث ریشه این زیرساخت ها، موضوع مهمی است که در کشور ما هنوز حل نشده است البته مرکز توسعه تجارت الکترونیک مدعیست ریشه موجود در آن مرکز، در واقع یک ریشه ملی است و به استناد بند 32 قانون تجارت الکترونیکی، دیگر هیچ ریشه ای در کشور نباید بوجود بیاید و همه باید ذیل ریشه آن مرکز ایجاد شوند. استدلال هایی هم در اثبات و هم در نفی این موضوع وجود دارد که در اینجا نمیخواهم وارد آن مباحث شوم. فقط به این نکته اشاره میکنم که یک ریشه ملی که همه زیرساخت های کلید عمومی کشور در ذیل آن قرارگیرند و در واقع نهادی متولی این کار میشود، باید چندین خصوصیت داشته باشد، از جمله، باید یک نهاد فرابخشی باشد، یک نهاد حاکمیتی باشد (نه نهاد تخصصی یا بخشی)، دارای صلاحیت امنیتی در حوزه IT و حوزه امنیت ملی باشد. چنین نهادی، علاوه بر مشخص کردن سیاست ها و رویه ها در سطح ملی، صلاحیت مجوز دادن برای تاسیس ریشه در همه بخش های دولتی و حاکمیتی، صلاحیت بازرسی و حتی انحلال ریشه ها را خواهد داشت.
چرا متولیان به یک اجماع در این مورد نرسیده اند، آیا مشکلات حقوقی وجود دارد؟ یا مشکلات مربوط به هماهنگی ها میشود. مباحث فنی و تخصصی چقدر نقش دارند؟
زیرساخت کلید عمومی و امضای دیجیتال با مفاهیم خاص و تخصصی در زمینه های حقوقی، مدیریتی، و فنی مرتبط است. از یک طرف، مجلس شورای اسلامی قانونی را تصویب کرده است که امضای دیجیتال همانند امضای دستی دارای اعتبار حقوقی باشد یعنی از این به بعد، امضای دیجیتال که دارای قابلیت عدم انکار است، از نظر حقوقی، هیچ فرقی با امضای دستخط افراد نباید داشته باشد اما در عمل، چه از نظر حقوقی و چه فنی، تفاوت هایی وجود دارد که قابل انکار یا قابل اغماض نیست. به همین دلیل، یک سری ساز و کارهای مدیریتی- فنی باید بکار گرفته شود تا امضای دیجیتال بتواند عملا در حد امضای دستی، دارای اعتبار باشد و نظام قضایی ما بتواند بر مبنای آن، در اختلافاتی که پیش میآید، حکم صادر کند.
منبع: خبرآنلاین