بازپرس ویژه جرایم رایانهای دادسرای ناحیه 31 تهران در این مقاله به لزوم تدوین قانون مناسب و بررسی قوانین مشابه سایر کشورها پرداخته و در نهایت نیز مهمترین قانون امضای دیجیتال داخل کشور یعنی قانون تجارت الکترونیک را مورد بررسی قرار میدهد.
در مباحث مربوط به خدمات الکترونیکی از جمله دولت الکترونیک به جرأت میتوان گفت بدون وجود زیرساختهای لازم امنیتی در فضای دیجیتال امکان ارائه چنین خدماتی وجود ندارد. چراکه بدون حضور فنآوریهای لازم جهت اعتبار بخشیدن به اسناد الکترونیکی و قانونمند نمودن تراکنشها و فعالیتهای اینترنتی، نمیتوان به فضای دیجیتالی اعتماد کرد و مسلماً افراد جامعه مایل به استفاده از آن نخواهند بود.
در این زمینه فنآوریهای خاصی مانند امضای دیجیتال، گواهینامه دیجیتالی، مرکز صدور گواهینامه دیجیتال و امثالهم ایجاد شده است.
این فنآوریها نیازمندیهای فنی لازم برای قابل اعتماد نمودن فضای دیجیتال را فراهم میآورند، اما در کنار این امکانات فنی نیاز به قانونگذاری مناسب برای فضای دیجیتال احساس میشود. باید روالهای قانونی برای طرح دعوی، روال پیگیری فعالیتهای اینترنتی و امکاناتی مانند استناد و جلوگیری از جعل و غیرقابل انکار کردن فعالیتهای اینترنتی تدوین شود.
در این مقاله در مورد مفاهیم ذکر شده صحبت خواهد شد و در ادامه به لزوم تدوین قانون مناسب و بررسی قوانین مشابه سایر کشورها پرداخته میشود. در نهایت نیز مهمترین قانون امضای دیجیتال داخل کشور یعنی قانون تجارت الکترونیک مورد بررسی قرار میگیرد.
کلمات کلیدی: دولت الکترونیک، امضای دیجیتال، گواهینامه دیجیتالی، قانون تجارت الکترونیک
1. مقدمه
امنیت سیستمهای کامپیوتری، مسئلهای است که با ورود کامپیوتر به حوزههای مختلف زندگی مانند نگهداری اطلاعات شخصی بصورت دیجیتال، دولت الکترونیکی و تجارت الکترونیکی اهمیت شایانی یافته است. امنیت یکی از زیرساختهای مهم فنآوری اطلاعات است، بگونهای که بدون آن، سایر خدمات و سیستمهای دیگر اطلاعاتی قابل پیادهسازی نیستند. بطور مثال دولت الکترونیکی بدون توجه به زیرساختهای امنیتی لازم مانند شناسایی افراد جامعه بصورت منحصر به فرد، صدور اسناد الکترونیکی غیرقابل انکار و جعل، شبکه انتقال امن اطلاعات، مراکز صدور گواهینامه دیجیتالی و مانند آن، قابل اجرا نیست. این درحالیست که مباحثی مانند دولت الکترونیکی از نیازهای امروزه جامعه بوده و حرکت به سوی آن اجتناب ناپذیر است. توسط دولت الکترونیکی میتوان خدمات دولتی را به سهولت، در اسرع وقت و با صرفه جویی در هزینه و زمان شهروندان، در اختیار عموم قرار داد. بدین وسیله گامی در جهت عدالت اجتماعی در زمینه دسترسی به خدمات دولتی برداشته میشود.
در این زمینه نیاز به ایجاد زیرساختهای لازم و استفاده از مفاهیمی مانند امضای دیجیتال است. توسط امضای دیجیتالی، اعتبار خاصی به اسناد الکترونیکی بخشیده میشود. امضای دیجیتال در واقع فراهم کننده خصوصیات امضای دستی در فضای مجازی است. برای همگانی نمودن دولت الکترونیکی و امضای دیجیتالی نیاز به ابزارهای دیگری مانند گواهینامه دیجیتالی و مراکز صدور این گواهینامههاست.
در این مقاله به مفاهیم ذکر شده بصورت گذرا اشاره میشود. در ادامه زیرساختهای لازم فنی و فرهنگی برای استفاده از امضای دیجیتالی بررسی میشود. سپس در مورد یکی از نیازمندیهای ضروری دولت الکترونیکی و امضای دیجیتالی، یعنی قانون لازم جهت اجرای آن صحبت خواهد شد. بدون وجود قانون لازم، اسناد الکترونیکی، معاملات و خدمات اینترنتی فاقد اعتبار قانونی بوده و قابلیت استناد و طرح دعوی هستند.
در این زمینه باید قانون لازم تدوین شده و قضات و وکلا با مفاهیم امضای دیجیتال، امکانات، محدودیتها و چالشهای آن آشنا شوند. در نهایت به قانون موجود امضای دیجیتال در داخل کشور اشاره خواهد شد.
2. دولت الکترونیک
دولت الکترونیکی عبارتست از استفاده دولت از فناوری اطلاعات و امکانات آن جهت ارائه خدمات دولتی به شهروندان و افراد جامعه. از این طریق دولت میتواند از نزدیک با شهروندان خود در رابطه باشد، اطلاعات لازم را جمعآوری کرده و خدمات مورد نیاز آنها هرچه سریعتر و با دقت بیشتر در اختیارشان قرار دهد. توسط امکانات دولت الکترونیک، خدمات دولتی بصورت عادلانه و مساوی بدون در نظر گرفتن فاصله جغرافیایی در اختیار عموم قرار میگیرد. بدینوسیله سهولت استفاده از این خدمات بیشتر شده و صرفه جویی قابل توجهی از نظر هزینه و زمان انجام میشود. مسئله دیگر ارائه این خدمات بصورت شبانه روزی و تمام وقت میباشد که بدین ترتیب میتوان برنامه ریزی صحیح کرده و نیاز به حضور در ساعات خاصی در ادارهها و سازمانهای دولتی کاهش مییابد. خدمات دولت الکترونیکی معمولا از طریق شبکههای عمومی مانند اینترنت در اختیار عموم قرار میگیرد. دولت الکترونیک دارای حیطه وسیعی است و معمولا به چهارمدل تقسیم میشود. به عبارت دیگر دولت به چهار شکل زیر خدمات خود را ارائه میکند.
2. 1. دولت به شهروند (G2C)
در این مدل، خدمات دولتی بصورت الکترونیکی در اختیار شهروندانی قرار میگیرد که برای فعالیتهای پیش پا افتاده مجبور به مراجعه به ادارات دولتی هستند. خدماتی مانند پر کردن فرمهای اطلاعاتی، تهیه درخواست برای خدمتی خاص، مشاهده نتیجه نامه یا درخواست و پیگیری آن و خدماتی از این قبیل. همچنین خدماتی مانند رایگیری الکترونیکی در این مدل دارای اهمیت خاصی است.
2. 2. دولت به بنگاه اقتصادی (G2B)
در این مدل، شرکتها و موسسات خصوصی که مشغول فعالیت در جامعه هستند، برای مراوده با دولت و دریافت خدمات دولتی، از فناوری اطلاعات و دولت الکترونیک استفاده میکنند. فعالیتهایی مانند ثبت شرکت، دریافت مجوزهای صادراتی یا وارداتی، بیمه، گمرک، ارتباط با وزارتخانهها و از این قبیل. بدینوسیله اطلاعات لازم و راهکارهای موجود دولت بصورت عادلانه و با پرهیز از سوء استفادههای احتمالی، به صورت شفاف و مستقیم در اختیار همگان قرار میگیرد.
2. 3. دولت به کارکنانش (G2E)
یکی از چالشهای دولت، برقراری ارتباط بیواسطه با کارکنانش و مدیریت صحیح آنها جهت افزایش بهرهوری و در عین حال ارائه خدمات مختلف به آنهاست. در این مدل، از امکانات دولت الکترونیکی برای مدیریت کارکنان دولت، ارائه خدمات مالی و تسهیلات، دریافت نقطه نظرات، انتقادات و پیشنهادات و بصورت کلی ارتباط صحیح استفاده میشود.
2. 4. دولت به دولت دیگر (G2G)
در شرایطی که کشورها به درستی به سمت دولت الکترونیکی حرکت کنند و مدلهای پیشین آنرا به شکل صحیح و جامع پیاده کنند، مدل دیگری از دولت الکترونیکی که در برقراری ارتباط بین دولتها نقش دارد، دارای اهمیت ویژه میشود. سازمانهای مختلف جهانی که بین چند کشور، یک اتحادیه یا گروه همکاری ایجاد میکنند، میتوانند توسط دولت الکترونیکی قابلیت مدیریت بهتری داشته باشند و ارتباطات نزدیکتری ایجاد کنند. بطور مثال پروژهای با این مفهوم در اتحادیه اروپا در حال پیگیری است که خدمات اتحادیه اروپا را برای کل مردم اروپا بصورت الکترونیکی ارائه کند.
3. سرویسهای امنیتی لازم
برای راهاندازی دولت الکترونیکی، در ابتدا نیاز به بررسی زیرساختهای امنیتی لازم است. چراکه بدون تضمین امنیت در فضای تبادل اطلاعات، خدمات دولت الکترونیکی قابل اعتماد نبوده و بدون در نظر گرفتن مواردی مانند حفظ محرمانگی یا صحت اطلاعات ردوبدل شده در شبکه، هیچ سرویس دیگری قابل ارائه نیست. در این میان نیاز مبرم به سرویسهای امنیتی احساس میشود. منظور از سرویسهای امنیتی، خدمات اولیهای هستند که در امنیت سیستمهای کامپیوتری مطرح بوده و یک یا چند سرویس از آنها امنیت سیستم را با توجه به نوع کاربرد تضمین میکند. در ادامه چهار سرویس امنیتی پایه ذکر میشوند.
3. 1. محرمانگی
در واقع همان محرمانه نگه داشتن داده است، به این معنی که کاربر نامعتبر یا هر موجودیت غیرمجاز دیگری نتواند از محتوای داده اطلاع پیدا کند. به طور مثال نگهداری اسناد الکترونیکی ادارات و سازمانهای دولتی و خصوصی و همین طور اطلاعات خصوصی افراد جامعه، از کاربردهای این سرویس رمزنگاری است.
3. 2. یکپارچگی
در این سرویس هدف، اطمینان از عدم تغییر دادههاست، به عبارت دیگر پس از بازخوانی دادههایی که از قبل ذخیره شده و یا از طریق شبکه یا هر وسیله دیگری منتقل شدهاند، مطمئن باشیم که دادهها دچار تغییر غیرمجاز نشدهاند. در این بین ممکن است دادههای ارسالی تغییر کنند، اما باید مکانیزم تعریف شده برای حفظ جامعیت و یکپارچگی بتواند این تغییر را تشخیص داده و نشان دهد که داده دچار تغییر شده است.
باید توجه شود که این به معنی توانایی بازسازی تغییرات نیست. از مثالهای کاربردی این سرویس میتوان به چک یا حوالههای مالی دیگر اشاره کرد. در این موارد دیده میشود که محتوای چک قابل خواندن برای عموم است، اما با مکانیزم های امنیتی در نظر گرفته شده، نمیتوان محتوای آن مانند تاریخ و مبلغ را تغییر داد.
3. 3. تشخیص هویت
منظور از تشخیص هویت این است که بتوان یک کاربر یا هر موجودیت دیگری مانند نرمافزار یا سختافزار را در فضای مجازی شناسایی کرد. از این سرویس در بسیاری کاربردهای امنیتی استفاده میشود تا بتوانند کاربر مربوطه یا سرویس مجاز و یا ماشین مورد نظر را بصورت منحصر به فرد شناسایی کنند. در دنیای واقعی برای این مورد میتوان به کارت شناسایی اشاره نمود. در جامعه هر فرد توسط یک شناسنامه بصورت منحصر به فرد شناخته میشود و یا برای هر خودرو یک کارت منحصر به فرد صادر میشود.
3. 4. عدم انکار
سرویس امنیتی دیگری که رمزنگاری ارائه میدهد عدم انکار است. به این معنی که اگر کاربر یا موجودیت دیگر عملی را در فضای مجازی انجام داد، بتوان آن عمل را پیگیری کرد و ارزش قضایی داشته باشد.
به عبارت دیگر کاربر مربوطه نتواند عملی را که انجام داده است انکار کند و بتوان ثابت کرد که آن عمل خاص دقیقا توسط چه کسی انجام شده است. در دنیای واقعی این سرویس گاهی به وسیله امضای فرد یا اثر انگشت او تأمین میشود. زیرا در صورتی که اثر انگشت فردی در سندی ثبت شود، ارزش قضایی دارد و نمیتواند بعداً عمل انجام شده خود را انکار کند.
4. امضای دیجیتال
امضای دیجیتال نوعی رمزنگاری نامتقارن است که خصوصیات امضای دستی را در فضای الکترونیکی فراهم میکند. هر موجودیت منحصر به فرد در فضای مجازی دارای امضای دیجیتالی خاص خود است و تنها این موجودیت یا فرد قادر به تولید این امضاست. در نتیجه میتوان مستندات،
پیغامها و دادههای الکترونیکی را توسط امضای دیجیتال تأیید کرده و سندیت بخشید، به شکلی که مطمئن بود که تولیدکننده امضا چه کسی است و متن پیغام امضا شده، پس از امضا تغییر نکرده است. بدین وسیله متن سند یا پیغام امضا شده قابل استناد و پیگیری بوده و غیر قابل انکار است.
امضای دیجیتال برای هر مستند یا پیغام بوسیله کلید خصوصی فرد تولید میشود و در واقع یک عدد با طول بلند است. کلید خصوصی فرد به صورت امن در وسیلهای مانند کارت هوشمند نگهداری میشود. بدین ترتیب جعل امضای دیجیتالی بسیار مشکلتر از امضای دستی است.
توسط امضای دیجیتالی سندیت خاصی به اسناد الکترونیکی داده میشود. بدین ترتیب میتوان بصورت قابل اعتماد و مطمئن ارسال کننده پیغام یا تاییدکننده سند را شناسایی کرد. در نتیجه اسناد الکترونیکی قابل پیگیری بوده و به کمک آن فعالیت افراد در فضای مجازی جنبه حقوقی پیدا میکند و قوانین حقوقی اسناد کاغذی در مورد اسناد الکترونیکی قابل اجرا میشود.
از طرف دیگر با توجه به عدم امکان جعل امضای دیجیتال، اسناد یا پیامهای امضاشده قابل انکار از طرف امضا کننده نیست. بدین وسیله مراجع قضایی میتوانند از این خصوصیت جهت استناد قانونی به سند الکترونیکی استفاده کنند.
اما امضای دیجیتال دارای خصوصیت دیگری نیز هست که امضای دستی فاقد آن است. بوسیله امضای دیجیتال میتوان مطمئن بود که محتوای سند یا پیام بعد از امضا تغییر نکرده و افراد غیرمجاز سند الکترونیکی مربوطه را مخدوش نکردهاند. این بدان دلیل است که امضای دیجیتالی به ازای هر سند یا پیام وابسته به متن پیام تولید میشود و امضای تولید شده برای هر سند، منحصر به فرد میباشد.
بدین ترتیب با در اختیار داشتن متن سند یا پیام در کنار امضای دیجیتالی آن، میتوان با اعتبارسنجی امضای دیجیتال، در عین حال از عدم تغییر محتوای آن نیز مطمئن شد. درنتیجه به کمک امضای دیجیتال در کنار قابلیت شناسایی امضاکننده، امنیت خاصی نیز به اسناد الکترونیکی اضافه میشود که به آن حفظ یکپارچگی سند میگویند. به این معنی که سند، قابل رویت و خواندن میباشد اما نمیتوان آن را تغییر داده یا به عبارتی مخدوش کرد.
5. اجزای امضای دیجیتال
در ادامه به اجزای امضای دیجیتال یا به عبارتی مفاهیم ریاضیاتی استفاده شده در آن میپردازیم. توضیح بیشتر قضایای ریاضیاتی مربوطه در این فناوری خارج از حوزه این مستند است و باید به مراجع موجود در مباحث ریاضیات گسسته و رمزنگاری مراجعه کرد.
5. 1. توابع درهمسازی
توابع هش یا درهمسازی، توابعی هستند که از نظر ریاضیاتی یک طرفه هستند. به این معنی که نمیتوان از روی خروجی تابع مذکور مقدار ورودی را بدست آورد. از این توابع در رمزنگاری برای تولید نوعی اثرانگست استفاده میشود. به عبارت دیگر هنگامی که دادهای به عنوان ورودی به این تابع داده میشود، چکیدهای از آن مجموعه داده تولید میشود که منحصر به فرد است و قابل بازگشت نیز است. امر مهم در این تابع این ست که با تغییر حتی یک بیت از داده ورودی باید کل مقدار خروجی تابع هش تغییر کند، زیرا در غیر اینصورت مقدار ورودی با بازهای مشخص بدست خواهد آمد.
البته در عمل نمیتوان تمام خواستههای مطرح شده در تعریف را به صورت کامل تامین نمود و به همین دلیل است که از تقریبها استفاده میشود. بطور مثال تابعی برای هش طراحی میشود که به ازای یک مقدار ورودی، یک مقدار خروجی منحصر به فرد ایجاد نمیکند اما تعداد تصادمها و تکرارها بسیار پایین بوده و برای بدست آوردن دو مقدار ورودی با خروجی یکسان میزان زمان زیادی لازم است که عمل مربوطه را غیر قابل انجام میکند. در این زمینه توابعی مانند MD5،SHA1، SHA256 و الگوریتمهای دیگر مطرح هستند.
5. 2. رمزنگاری کلید نامتقارن
از روش رمزنگاری نامتقارن امروزه استفاده زیادی میشود. مشخصه بارز این روش این است که کلید رمزگذاری و رمزگشایی متفاوت هستند. بنابراین کافی است که تنها یک طرف ارتباط کلید را مخفی نگه دارد و برای انتقال نیاز به کانال امن نیست. این روش در شکل زیر نشان داده شده است. از الگوریتمهای این روش میتوان به RSA و ECC اشاره کرد.
5. 3. روال اجرایی امضای دیجیتال
روال اجرایی امضای دیجیتال در شکل 2 مشاهده میشود. در این روال متن پیام که میتواند هر طولی داشته باشد، به عنوان ورودی به یک تابع درهم سازی مانند SHA1 داده میشود. این تابع یک مقدار منحصر به فرد و با طول ثابت (به طور مثال برای SHA1 به طول 20 کاراکتر) تولید میکند که به این مقدار، اثر انگشت نیز گفته میشود. همانطور که گفته شد تابع درهمسازی یک طرفه است و نمیتوان از مقدار تولید شده، متن پیام اصلی یا بخشی از آنرا استخراج کرد.
سپس مقدار تولید شده به وسیله یک الگوریتم Padding خاص مانند آنچه در استاندارد PKCS#1 آمده است دستکاری شده و به ابتدا و انتهای آن کارکترهایی اضافه میشود. از جمله اینکه یک مقدار تصادفی به آن اضافه شده و طولش به اندازه استاندارد (بطور مثال 128 بایت برای الگوریتم RSA با طول پیمانه 1024 بیت) رسانده میشود. سپس این مقدار بوسیله الگوریتم رمزنگاری نامتقارن مانند RSA توسط کلید خصوصی فرد، رمزگذاری میشود. مقدار بدست آمده برابر طول استاندارد (128 بایت برای RSA با طول 1024 بیت) است، این مقدار همان امضای دیجیتال است.
سپس مقدار امضای دیجیتالی به همراه متن اصلی پیام ارسال میشود. در طرف گیرنده با همان الگوریتم درهمسازی، مقدار اثر انگشت از روی پیام اصلی استخراج میشود. سپس مقدار امضای دیجیتال نیز توسط کلید عمومی فرستنده پیام، که در اختیار گیرنده است، رمزگذاری مجدد میشود. رابطه کلید عمومی و کلید خصوصی به گونهای است که اگر پیامی را توسط کلید خصوصی رمزگذاری کنیم، میتوان آن را توسط کلید عمومی رمزگشایی کرده و به مقدار اولیه پیام رسید.
بنابراین با رمزگشایی مقدار امضای دیجیتال توسط کلید عمومی در گیرنده، مقدار اولیه درهمسازی شده یا همان اثر انگشت پیش از رمزگذاری، دوباره بدست میآید. حال با مقایسه مقدار بدست آمده از امضا و مقدار بدست آمده از پیام اصلی، میتوان به صحت و اعتبار امضا پی برد. اگر این دو مقدار برابر بودند، امضای دیجیتالی صحیح و در غیر این صورت نامعتبر است.
به عبارتی اگر فرستنده، فرد مورد نظر که کلید عمومی خاص وی در طرف گیرنده است، نباشد، در نتیجه کلید خصوصی فرستنده اصلی را ندارد و نمیتواند مقدار امضای دیجیتالی صحیح را تولید کند. نکته قابل ذکر این است که معمولاً امضای دیجیتالی منطبق بر استاندارد PKCS#1
است.
6. گواهینامه دیجیتالی و مرکز گواهی امضای دیجیتال
گواهینامه دیجیتالی، سندی الکترونیکی است که هویت فرد را در فضای مجازی نشان میدهد و به نوعی معادل شناسنامه یا کارت شناسایی وی است. در گواهینامه دیجیتالی که عموما از استاندارد X.509 پیروی میکند، اطلاعاتی مانند مشخصات فرد، کلید عمومی وی و امضای دیجیتالی صادرکننده این گواهینامه ثبت میشود. البته بنا به نوع کاربرد، دادههای دیگری نیز در گواهینامه دیجیتالی وجود دارند. بدین وسیله و با در اختیار داشتن گواهینامه دیجیتالی یک فرد، میتوان کلید عمومی معتبر وی را در اختیار داشت تا بتوان امضای دیجیتالی ارسالی از طرف او را اعتبارسنجی کرد.
و اما برای صدور گواهینامه دیجیتالی نیاز به مرکز صدور گواهینامه است که مانند سازمان ثبت احوال بوده و آن را بصورت مخفف CA مینامند. این مرکز، یک سازمان معتبر و مورد قبول همگان است که با دریافت مشخصات هویتی افراد و احراز اصالت آنها، کلید عمومی آنها را امضا کرده و به عبارتی گواهینامه دیجیتالی صادر میکند. مراکز CA از نیازمندیهای اولیه و زیرساختهای لازم برای برقراری نظام امضای دیجیتال در فضای مجازی میباشند. این مراکز معمولاً وابسته و تحت نظارت یک سازمان دولتی و یا جهانی بوده و اعتبار خاصی دارند.
همچنین گواهینامه دیجیتالی آنها بصورت قابل اطمینان برای همه دردسترس است تا بتوان از آن برای بررسی صحت و اعتبار یک گواهینامه دیجیتالی صادرشده، استفاده کرد.
7. نیازمندیهای امضای دیجیتال
در این بخش به نیازمندیهای فنی و زیرساختهای فرهنگی مورد نیاز امضای دیجیتال اشاره میشود. از اولین موارد مورد نیاز برای امضای دیجیتال، تعیین متولی و مسئول ایجاد CAهای کشوری است. این سازمان که اصولاً باید بخشی از دولت باشد، با به عهده گرفتن مسئولیت CA ریشه (اصلی) اقدام به صدور گواهینامه دیجیتالی برای CAهای دیگر پایین دستی میکند. این مسئولیت میتواند به عهده وزارت کشور باشد. سپس CAهای دیگر که گواهینامههای آنها توسط CA اصلی امضا میشود ایجاد خواهند شد. تهیه و طراحی معماری امنیتی و نوع ارتباط CAها نیز از نیازمندیهای اولیه راهاندازی امضای دیجیتال است. پس از این باید CAهای پایین دستی مانند CAهای بانکی، تجاری، اداری، دانشگاهی و سایرین ایجاد و فعال شوند. این CAها اقدام به صدور گواهینامه دیجیتال برای افراد حقیقی و حقوقی میکنند.
از مسائل دیگر، برقراری ارتباط بین CAهای داخل کشور و خارج کشور است، به نوعی که CAهای جهانی، CAهای داخل کشور را معتبر دانسته و طبق پروتکلی گواهینامههای صادرشده در داخل کشور را اعتبارسنجی کنند. همچنین CAهای داخل کشور نیز باید قابلیت تأیید گواهینامههای صادره خارجی را داشته باشند. به این طریق میتوان در سطح اینترنت و به صورت جهانی ارتباطات مالی برای خرید و فروش کالا و نقل و انتقال وجه الکترونیکی فراهم کرد. همچنین اسناد الکترونیکی داخل کشور قابلیت پیگیری بین المللی و استناد در دادگاههای کشورهای دیگر را پیدا میکنند.
مسئله دیگر که از زیرساختهای فنی مورد نیاز امضای دیجیتال است، قابل دسترسی نمودن آن بصورت امن برای افراد جامعه است. بطور مثال میتوان از کارت هوشمند برای این کار استفاده نمود. کارت هوشمند که در واقع یک کارت الکترونیکی با امنیت بالا است، میتواند کلید خصوصی فرد را به صورت کاملاً امن و وابسته به رمز عبور وی، نگهداری کند. بدین ترتیب دولت میتواند با صدور کارت هوشمند برای شهروندان خود، راهکاری عملی برای استفاده از امضای دیجیتال در اختیار آنها قرار دهد. بطور مثال میتوان این کاربر را به کارت هوشمند ملی که سند هویتی افراد است، اضافه کرد.
در کنار زیر ساختهای فنی، نیازمندیهای فرهنگی نیز لازم است. برای استفاده درست از امضای دیجیتال لازم است مدیران ارشد و کارکنان دولت اعم از موسسات، سازمانها، بانکها و مانند آن، با کاربردها، فواید و چالشهای امضای دیجیتال و بطور کلی امنیت در فضای مجازی آشنایی لازم را پیدا کنند. مسائلی از قبیل سطح امنیت و نوع آن در اسناد الکترونیکی و میزان قابلیت اطمینان آن، باید بصورت صحیحی تبیین گردد.
از طرف دیگر باید عموم جامعه با مفاهیم مورد نیاز خود، آشنا شده و آموزشهای لازم به افراد، جهت استفاده از کارت هوشمند و اهمیت و نوع استفاده از امضای دیجیتال، داده شود. چراکه بخش مهمی از امنیت الکترونیکی، کاربر سیستم است و اگر نکات امنیتی اولیه را رعایت نکند، میتواند در فضای مجازی مورد سوء استفاده قرار گیرد. آموزش جامعه و ایجاد زیرساخت فرهنگی، از چالشهای اصلی پیش روی امضای دیجیتال است.
8. نیازمندیهای قانونی
در این بخش به یکی از مهمترین نیازمندیهای امضای دیجیتال یعنی نیازمندیها در زیرساختهای قانونی آن اشاره میشود. همانگونه که امضای دستی، نامههای کاغذی و اسناد هویتی در دنیای فیزیکی تابع قوانین خاصی هستند، در دنیای مجازی نیز این خلأ قانونی احساس میشود. اینکه چه سندی با چه نوع امضایی و تحت نظارت کدام مرکز گواهی، سندیت و اعتبار قانونی دارد و میتوان براساس آن اعلام دعوی کرد، از مواردی است که نیازمند قانون است. بدون وجود قانون، امضای دیجیتال و به تبع آن اسناد الکترونیکی و فعالیتهای تحت اینترنت و دولت الکترونیکی فاقد اعتبار قانونی است و قابل پیگیری و اثبات نیست.
در این زمینه نیاز است که قانونهای مجزایی برای امضای دیجیتال تهیه شده و منطبق بر خصوصیات، محدودیتها و نیازمندیهای دنیای مجازی، تهیه و اجرا شوند. در ابتدا باید استانداردی بومی منطبق بر استانداردهای بین المللی امضای دیجیتال تهیه گردد که تمام جنبهها و کاربردهای امضای دیجیتال را لحاظ کرده باشد. اینکه میتواند چه کاربردهایی داشته باشد و چگونه باید در دسترس عموم قرار گیرد، نیازمندیهای فنی آن چگونه است و امنیت را چگونه و تا چه حدی تضمین میکنند. بطور مثال چه طول کلیدی لازم است و یا مدت اعتبار گواهینامهها برحسب نوع کاربرد چه مدت باشد. تهیه این استاندارد و یا آیین نامه بومی میتواند باعث ایجاد هماهنگی و صرفه جویی در هزینههای بعدی شود.
مسئله دیگر تهیه و تصویب قوانین لازم برای اسناد الکترونیکی و امضای دیجیتالی مشابه اسناد کاغذی در مجلس شورای اسلامی است. این قوانین باید جامع باشند تا اجازه سوء استفاده و یا برداشتهای اشتباه را بگیرند. با توجه به اینکه علم و فناوری در این زمینه در حال پیشرفت مداوم است، قوانین نیز باید سریعتر به روز شوند. در این زمینه میتوان از تجربیات کشورهای دیگر استفاده کرد. بطور مثال کشور آلمان قانون خاصی برای امضای دیجیتال تهیه کرده است و چند سال از اجرای آن میگذرد. اتحادیه اروپا نیز از همین قانون در تهیه قانون امضای دیجیتال برای کل کشورهای اروپایی استفاده کرده است. همچنین قوانین مشابهی در کشورهای کانادا، آمریکا و هند نیز اجرا میشوند. درنتیجه میتوان با بازخوانی این قوانین و بررسی چالشهایی که این کشورها با آن روبرو بودهاند، قانون مناسب کشور را تهیه کرد.
در کنار تصویب قانون، نیاز است تا قضات و وکلا با مفاهیم امضای دیجیتال و امنیت دنیای مجازی آشنا شوند. مواردی مانند اینکه چگونه یک سند الکترونیکی معتبر میشود و میزان اعتبار آن تا چه حد است، فعالیتهای اینترنتی افراد چگونه قابل پیگیری و پیگرد قانونی است و مواردی مانند این باید مورد بحث و بررسی قرار گیرند.
از مسائل دیگر آیین دادرسی به پروندههای مربوط به فعالیتهای اینترنتی، اسناد الکترونیکی و امضای دیجیتال است که باید به صورت دقیقی تهیه و تبیین گردد. بطور مثال شیوههای طرح دعوی الکترونیکی چگونه است و در چه مواردی میتوان یک فعالیت اینترنتی را مورد پیگیری قانونی قرار داد و بطور مثال، مراجع قانونی برای دریافت شکایات در این زمینه کدامند و روال رسیدگی به پروندههایی از این دست چگونه است.
در داخل کشور، تقریبا مهمترین قانون موجود در زمینه امضای دیجیتال، قانون تجارت الکترونیک است. طبق ماده 10 این قانون، شرایط صحت امضای دیجیتال عبارتند از منحصر به فرد بودن، تعیین هویت امضاکننده، صدور بوسیله صاحب امضا و یا تحت اراده وی و البته قابل تشخیص بودن هر گونه تغییر نامه یا پیام بعد از امضا روی آن است. همچنین ماده 7 در مورد آثار و احکام صدور امضای دیجیتال به این موارد اشاره کرده است. اول اینکه امضای دیجیتال مکفی است. دوم اینکه امضای دیجیتال منطبق با شرایط قانونگذار، معتبر است و در نهایت اینکه ادعای جعلیت و یا فقدان اعتبار صرفا به جهات قانونی قابل طرح میباشد. همانطور که ملاحظه میشود، این قانون دارای کمبودهای فراوانی برای کاربردی کردن امضای دیجیتال در دولت الکترونیک و در سطح عموم جامعه است.
9. نتیجهگیری
در این مقاله به بررسی مسئله امنیت در دولت الکترونیک پرداخته شد و به مواردی مانند امضای دیجیتال، گواهینامه دیجیتالی و مراکز صدور گواهینامه دیجیتالی اشاره گردید. سپس زیرساختهای فنی و فرهنگی مورد بررسی قرار گرفت. در نهایت به نیازمندیهای قانونی امضای دیجیتال مورد بررسی قرار گرفت و به قانون تجارت الکترونیک مورد بررسی قرار گرفت. در نتیجه میتوان اینگونه بیان کرد که با توجه به خدمات و امکانات دولت الکترونیک، حرکت به سوی آن اجباری خواهد بود اما ابتدا باید زیرساختهای قانونی لازم را ایجاد کرد که در این میان امضای دیجیتال و مفاهیم مربوطه نقش محوری دارند.
- مراجع و منابع
[1] قانون تجارت الکترونیک مصوب مجلس شورای اسلامی مورخ 1382/10/22
[2] س X.509
[3] RSA Laboratories. PKCS #1: RSA Cryptography Standard. Version 2.1, June 14 2002
[4] سایت سازمان ملل متحد در مورد دولت الکترونیکی
http://www.unpan.org/Library/MajorPublications/UNEGovernmentSurvey/tabid/646/language/en-US/Default.aspx
[5] دولت الکترونیکی در ویکی پدیا
http://en.wikipedia.org/wiki/eGovernment
[6] دولت الکترونیک در کانادا
http://en.wikipedia.org/wiki/Open_Government_in_Canada
[7] دولت الکترونیک در اروپا
http://en.wikipedia.org/wiki/EGovernment_in_Europe
[8] محصولات شرکت Entrust
http://www.entrust.com/government/solutions.htm
[9] Smart Card Handbook, W. Rankl, Wolfgang Effing, John Wiley & Sons, 2003
[10] Handbook of Applied Cryptography, Alfred J. Menezes, Scott A. Vanstone, Paul C. Van Oorschot, CRC Press, 1996
نویسنده : سیدرضا محمدی موسوی بازپرس ویژه جرایم رایانه ای وفن آوری ارتباطات دادسرای ناحیه 31 تهران
