ITanalyze

بازپرس ویژه جرایم رایانه‌ای دادسرای ناحیه 31 تهران در این مقاله به لزوم تدوین قانون مناسب و بررسی قوانین مشابه سایر کشورها پرداخته و در نهایت نیز مهمترین قانون امضای دیجیتال داخل کشور یعنی قانون تجارت الکترونیک را مورد بررسی قرار می‌دهد.

در مباحث مربوط به خدمات الکترونیکی از جمله دولت الکترونیک به جرأت می‌توان گفت بدون وجود زیرساخت‌های لازم امنیتی در فضای دیجیتال امکان ارائه چنین خدماتی وجود ندارد. چراکه بدون حضور فن‌آوری‌های لازم جهت اعتبار بخشیدن به اسناد الکترونیکی و قانونمند نمودن تراکنش‌ها و فعالیت‌های اینترنتی، نمی‌توان به فضای دیجیتالی اعتماد کرد و مسلماً افراد جامعه مایل به استفاده از آن نخواهند بود.

در این زمینه فن‌آوری‌های خاصی مانند امضای دیجیتال، گواهینامه دیجیتالی، مرکز صدور گواهینامه دیجیتال و امثالهم ایجاد شده است.

این فن‌آوری‌ها نیازمندی‌های فنی لازم برای قابل اعتماد نمودن فضای دیجیتال را فراهم می‌آورند، اما در کنار این امکانات فنی نیاز به قانونگذاری مناسب برای فضای دیجیتال احساس می‌شود. باید روال‌های قانونی برای طرح دعوی، روال پیگیری فعالیت‌های اینترنتی و امکاناتی مانند استناد و جلوگیری از جعل و غیرقابل انکار کردن فعالیت‌های اینترنتی تدوین شود.

در این مقاله در مورد مفاهیم ذکر شده صحبت خواهد شد و در ادامه به لزوم تدوین قانون مناسب و بررسی قوانین مشابه سایر کشورها پرداخته می‌شود. در نهایت نیز مهمترین قانون امضای دیجیتال داخل کشور یعنی قانون تجارت الکترونیک مورد بررسی قرار می‌گیرد.
کلمات کلیدی: دولت الکترونیک، امضای دیجیتال، گواهینامه دیجیتالی، قانون تجارت الکترونیک
1. مقدمه

امنیت سیستم‌های کامپیوتری، مسئله‌ای است که با ورود کامپیوتر به حوزه‌های مختلف زندگی مانند نگهداری اطلاعات شخصی بصورت دیجیتال، دولت الکترونیکی و تجارت الکترونیکی اهمیت شایانی یافته است. امنیت یکی از زیرساخت‌های مهم فن‌آوری اطلاعات است، بگونه‌ای که بدون آن، سایر خدمات و سیستم‌های دیگر اطلاعاتی قابل پیاده‌سازی نیستند. بطور مثال دولت الکترونیکی بدون توجه به زیرساخت‌های امنیتی لازم مانند شناسایی افراد جامعه بصورت منحصر به فرد، صدور اسناد الکترونیکی غیرقابل انکار و جعل، شبکه انتقال امن اطلاعات، مراکز صدور گواهینامه دیجیتالی و مانند آن، قابل اجرا نیست. این درحالیست که مباحثی مانند دولت الکترونیکی از نیازهای امروزه جامعه بوده و حرکت به سوی آن اجتناب ناپذیر است. توسط دولت الکترونیکی می‌توان خدمات دولتی را به سهولت، در اسرع وقت و با صرفه جویی در هزینه و زمان شهروندان، در اختیار عموم قرار داد. بدین وسیله گامی در جهت عدالت اجتماعی در زمینه دسترسی به خدمات دولتی برداشته می‌شود.

در این زمینه نیاز به ایجاد زیرساخت‌های لازم و استفاده از مفاهیمی مانند امضای دیجیتال است. توسط امضای دیجیتالی، اعتبار خاصی به اسناد الکترونیکی بخشیده می‌شود. امضای دیجیتال در واقع فراهم کننده خصوصیات امضای دستی در فضای مجازی است. برای همگانی نمودن دولت الکترونیکی و امضای دیجیتالی نیاز به ابزارهای دیگری مانند گواهینامه دیجیتالی و مراکز صدور این گواهینامه‌هاست.

در این مقاله به مفاهیم ذکر شده بصورت گذرا اشاره می‌شود. در ادامه زیرساخت‌های لازم فنی و فرهنگی برای استفاده از امضای دیجیتالی بررسی می‌شود. سپس در مورد یکی از نیازمندی‌های ضروری دولت الکترونیکی و امضای دیجیتالی، یعنی قانون لازم جهت اجرای آن صحبت خواهد شد. بدون وجود قانون لازم، اسناد الکترونیکی، معاملات و خدمات اینترنتی فاقد اعتبار قانونی بوده و قابلیت استناد و طرح دعوی هستند.

در این زمینه باید قانون لازم تدوین شده و قضات و وکلا با مفاهیم امضای دیجیتال، امکانات، محدودیت‌ها و چالش‌های آن آشنا شوند. در نهایت به قانون موجود امضای دیجیتال در داخل کشور اشاره خواهد شد.
2. دولت الکترونیک

دولت الکترونیکی عبارتست از استفاده دولت از فناوری اطلاعات و امکانات آن جهت ارائه خدمات دولتی به شهروندان و افراد جامعه. از این طریق دولت می‌تواند از نزدیک با شهروندان خود در رابطه باشد، اطلاعات لازم را جمع‌آوری کرده و خدمات مورد نیاز آنها هرچه سریع‌تر و با دقت بیشتر در اختیارشان قرار دهد. توسط امکانات دولت الکترونیک، خدمات دولتی بصورت عادلانه و مساوی بدون در نظر گرفتن فاصله جغرافیایی در اختیار عموم قرار می‌گیرد. بدینوسیله سهولت استفاده از این خدمات بیشتر شده و صرفه جویی قابل توجهی از نظر هزینه و زمان انجام می‌شود. مسئله دیگر ارائه این خدمات بصورت شبانه روزی و تمام وقت می‌باشد که بدین ترتیب می‌توان برنامه ریزی صحیح کرده و نیاز به حضور در ساعات خاصی در اداره‌ها و سازمان‌های دولتی کاهش می‌یابد. خدمات دولت الکترونیکی معمولا از طریق شبکه‌های عمومی مانند اینترنت در اختیار عموم قرار می‌گیرد. دولت الکترونیک دارای حیطه وسیعی است و معمولا به چهارمدل تقسیم می‌شود. به عبارت دیگر دولت به چهار شکل زیر خدمات خود را ارائه می‌کند.
2. 1. دولت به شهروند (G2C)

در این مدل، خدمات دولتی بصورت الکترونیکی در اختیار شهروندانی قرار می‌گیرد که برای فعالیت‌های پیش پا افتاده مجبور به مراجعه به ادارات دولتی هستند. خدماتی مانند پر کردن فرم‌های اطلاعاتی، تهیه درخواست برای خدمتی خاص، مشاهده نتیجه نامه یا درخواست و پیگیری آن و خدماتی از این قبیل. همچنین خدماتی مانند رای‌گیری الکترونیکی در این مدل دارای اهمیت خاصی است.
2. 2. دولت به بنگاه اقتصادی (G2B)

در این مدل، شرکت‌ها و موسسات خصوصی که مشغول فعالیت در جامعه هستند، برای مراوده با دولت و دریافت خدمات دولتی، از فناوری اطلاعات و دولت الکترونیک استفاده می‌کنند. فعالیت‌هایی مانند ثبت شرکت، دریافت مجوزهای صادراتی یا وارداتی، بیمه، گمرک، ارتباط با وزارت‌خانه‌ها و از این قبیل. بدینوسیله اطلاعات لازم و راهکارهای موجود دولت بصورت عادلانه و با پرهیز از سوء استفاده‌های احتمالی، به صورت شفاف و مستقیم در اختیار همگان قرار می‌گیرد.
2. 3. دولت به کارکنانش (G2E)

یکی از چالش‌های دولت، برقراری ارتباط بی‌واسطه با کارکنانش و مدیریت صحیح آنها جهت افزایش بهره‌وری و در عین حال ارائه خدمات مختلف به آنهاست. در این مدل، از امکانات دولت الکترونیکی برای مدیریت کارکنان دولت، ارائه خدمات مالی و تسهیلات، دریافت نقطه نظرات، انتقادات و پیشنهادات و بصورت کلی ارتباط صحیح استفاده می‌شود.
2. 4. دولت به دولت دیگر (G2G)

در شرایطی که کشورها به درستی به سمت دولت الکترونیکی حرکت کنند و مدل‌های پیشین آن‌را به شکل صحیح و جامع پیاده کنند، مدل دیگری از دولت الکترونیکی که در برقراری ارتباط بین دولت‌ها نقش دارد، دارای اهمیت ویژه می‌شود. سازمان‌های مختلف جهانی که بین چند کشور، یک اتحادیه یا گروه همکاری ایجاد می‌کنند، می‌توانند توسط دولت الکترونیکی قابلیت مدیریت بهتری داشته باشند و ارتباطات نزدیک‌تری ایجاد کنند. بطور مثال پروژه‌ای با این مفهوم در اتحادیه اروپا در حال پیگیری است که خدمات اتحادیه اروپا را برای کل مردم اروپا بصورت الکترونیکی ارائه کند.
3. سرویس‌های امنیتی لازم

برای راه‌اندازی دولت الکترونیکی، در ابتدا نیاز به بررسی زیرساخت‌های امنیتی لازم است. چراکه بدون تضمین امنیت در فضای تبادل اطلاعات، خدمات دولت الکترونیکی قابل اعتماد نبوده و بدون در نظر گرفتن مواردی مانند حفظ محرمانگی یا صحت اطلاعات ردوبدل شده در شبکه، هیچ سرویس دیگری قابل ارائه نیست. در این میان نیاز مبرم به سرویس‌های امنیتی احساس می‌شود. منظور از سرویس‌های امنیتی، خدمات اولیه‌ای هستند که در امنیت سیستم‌های کامپیوتری مطرح بوده و یک یا چند سرویس از آنها امنیت سیستم را با توجه به نوع کاربرد تضمین می‌کند. در ادامه چهار سرویس امنیتی پایه ذکر می‌شوند.
3. 1. محرمانگی

در واقع همان محرمانه نگه داشتن داده است، به این معنی که کاربر نامعتبر یا هر موجودیت غیرمجاز دیگری نتواند از محتوای داده اطلاع پیدا کند. به طور مثال نگهداری اسناد الکترونیکی ادارات و سازمان‌های دولتی و خصوصی و همین طور اطلاعات خصوصی افراد جامعه، از کاربردهای این سرویس رمزنگاری است.
3. 2. یکپارچگی

در این سرویس هدف، اطمینان از عدم تغییر داده‌هاست، به عبارت دیگر پس از بازخوانی داده‌هایی که از قبل ذخیره شده و یا از طریق شبکه یا هر وسیله دیگری منتقل شده‌اند، مطمئن باشیم که داده‌ها دچار تغییر غیرمجاز نشده‌اند. در این بین ممکن است داده‌های ارسالی تغییر کنند، اما باید مکانیزم تعریف شده برای حفظ جامعیت و یکپارچگی بتواند این تغییر را تشخیص داده و نشان دهد که داده دچار تغییر شده است.

باید توجه شود که این به معنی توانایی بازسازی تغییرات نیست. از مثال‌های کاربردی این سرویس می‌توان به چک یا حواله‌های مالی دیگر اشاره کرد. در این موارد دیده می‌شود که محتوای چک قابل خواندن برای عموم است، اما با مکانیزم های امنیتی در نظر گرفته شده، نمی‌توان محتوای آن مانند تاریخ و مبلغ را تغییر داد.
3. 3. تشخیص هویت

منظور از تشخیص هویت این است که بتوان یک کاربر یا هر موجودیت دیگری مانند نرم‌افزار یا سخت‌افزار را در فضای مجازی شناسایی کرد. از این سرویس در بسیاری کاربردهای امنیتی استفاده می‌شود تا بتوانند کاربر مربوطه یا سرویس مجاز و یا ماشین مورد نظر را بصورت منحصر به فرد شناسایی کنند. در دنیای واقعی برای این مورد می‌توان به کارت شناسایی اشاره نمود. در جامعه هر فرد توسط یک شناسنامه بصورت منحصر به فرد شناخته می‌شود و یا برای هر خودرو یک کارت منحصر به فرد صادر می‌شود.
3. 4. عدم انکار

سرویس امنیتی دیگری که رمزنگاری ارائه می‌دهد عدم انکار است. به این معنی که اگر کاربر یا موجودیت دیگر عملی را در فضای مجازی انجام داد، بتوان آن عمل را پیگیری کرد و ارزش قضایی داشته باشد.

به عبارت دیگر کاربر مربوطه نتواند عملی را که انجام داده است انکار کند و بتوان ثابت کرد که آن عمل خاص دقیقا توسط چه کسی انجام شده است. در دنیای واقعی این سرویس گاهی به وسیله امضای فرد یا اثر انگشت او تأمین می‌شود. زیرا در صورتی که اثر انگشت فردی در سندی ثبت شود، ارزش قضایی دارد و نمی‌تواند بعداً عمل انجام شده خود را انکار کند.
4. امضای دیجیتال

امضای دیجیتال نوعی رمزنگاری نامتقارن است که خصوصیات امضای دستی را در فضای الکترونیکی فراهم می‌کند. هر موجودیت منحصر به فرد در فضای مجازی دارای امضای دیجیتالی خاص خود است و تنها این موجودیت یا فرد قادر به تولید این امضاست. در نتیجه می‌توان مستندات،

پیغام‌ها و داده‌های الکترونیکی را توسط امضای دیجیتال تأیید کرده و سندیت بخشید، به شکلی که مطمئن بود که تولیدکننده امضا چه کسی است و متن پیغام امضا شده، پس از امضا تغییر نکرده است. بدین وسیله متن سند یا پیغام امضا شده قابل استناد و پیگیری بوده و غیر قابل انکار است.

امضای دیجیتال برای هر مستند یا پیغام بوسیله کلید خصوصی فرد تولید می‌شود و در واقع یک عدد با طول بلند است. کلید خصوصی فرد به صورت امن در وسیله‌ای مانند کارت هوشمند نگهداری می‌شود. بدین ترتیب جعل امضای دیجیتالی بسیار مشکل‌تر از امضای دستی است.

توسط امضای دیجیتالی سندیت خاصی به اسناد الکترونیکی داده می‌شود. بدین ترتیب می‌توان بصورت قابل اعتماد و مطمئن ارسال کننده پیغام یا تاییدکننده سند را شناسایی کرد. در نتیجه اسناد الکترونیکی قابل پیگیری بوده و به کمک آن فعالیت افراد در فضای مجازی جنبه حقوقی پیدا می‌کند و قوانین حقوقی اسناد کاغذی در مورد اسناد الکترونیکی قابل اجرا می‌شود.

از طرف دیگر با توجه به عدم امکان جعل امضای دیجیتال، اسناد یا پیام‌های امضاشده قابل انکار از طرف امضا کننده نیست. بدین وسیله مراجع قضایی می‌توانند از این خصوصیت جهت استناد قانونی به سند الکترونیکی استفاده کنند.

اما امضای دیجیتال دارای خصوصیت دیگری نیز هست که امضای دستی فاقد آن است. بوسیله امضای دیجیتال می‌توان مطمئن بود که محتوای سند یا پیام بعد از امضا تغییر نکرده و افراد غیرمجاز سند الکترونیکی مربوطه را مخدوش نکرده‌اند. این بدان دلیل است که امضای دیجیتالی به ازای هر سند یا پیام وابسته به متن پیام تولید می‌شود و امضای تولید شده برای هر سند، منحصر به فرد می‌باشد.

بدین ترتیب با در اختیار داشتن متن سند یا پیام در کنار امضای دیجیتالی آن، می‌توان با اعتبارسنجی امضای دیجیتال، در عین حال از عدم تغییر محتوای آن نیز مطمئن شد. درنتیجه به کمک امضای دیجیتال در کنار قابلیت شناسایی امضاکننده، امنیت خاصی نیز به اسناد الکترونیکی اضافه می‌شود که به آن حفظ یکپارچگی سند می‌گویند. به این معنی که سند، قابل رویت و خواندن می‌باشد اما نمی‌توان آن را تغییر داده یا به عبارتی مخدوش کرد.
5. اجزای امضای دیجیتال

در ادامه به اجزای امضای دیجیتال یا به عبارتی مفاهیم ریاضیاتی استفاده شده در آن می‌پردازیم. توضیح بیشتر قضایای ریاضیاتی مربوطه در این فناوری خارج از حوزه این مستند است و باید به مراجع موجود در مباحث ریاضیات گسسته و رمزنگاری مراجعه کرد.
5. 1. توابع درهمسازی

توابع هش یا درهمسازی، توابعی هستند که از نظر ریاضیاتی یک طرفه هستند. به این معنی که نمی‌توان از روی خروجی تابع مذکور مقدار ورودی را بدست آورد. از این توابع در رمزنگاری برای تولید نوعی اثرانگست استفاده می‌شود. به عبارت دیگر هنگامی که داده‌ای به عنوان ورودی به این تابع داده می‌شود، چکیده‌ای از آن مجموعه داده تولید می‌شود که منحصر به فرد است و قابل بازگشت نیز است. امر مهم در این تابع این ست که با تغییر حتی یک بیت از داده ورودی باید کل مقدار خروجی تابع هش تغییر کند، زیرا در غیر اینصورت مقدار ورودی با باز‌ه‌ای مشخص بدست خواهد آمد.

البته در عمل نمی‌توان تمام خواسته‌های مطرح شده در تعریف را به صورت کامل تامین نمود و به همین دلیل است که از تقریب‌ها استفاده می‌شود. بطور مثال تابعی برای هش طراحی می‌شود که به ازای یک مقدار ورودی، یک مقدار خروجی منحصر به فرد ایجاد نمی‌کند اما تعداد تصادم‌ها و تکرارها بسیار پایین بوده و برای بدست آوردن دو مقدار ورودی با خروجی یکسان میزان زمان زیادی لازم است که عمل مربوطه را غیر قابل انجام می‌کند. در این زمینه توابعی مانند MD5،SHA1، SHA256 و الگوریتم‌های دیگر مطرح هستند.
5. 2. رمزنگاری کلید نامتقارن

از روش رمزنگاری نامتقارن امروزه استفاده زیادی می‌شود. مشخصه بارز این روش این است که کلید رمزگذاری و رمزگشایی متفاوت هستند. بنابراین کافی است که تنها یک طرف ارتباط کلید را مخفی نگه دارد و برای انتقال نیاز به کانال امن نیست. این روش در شکل زیر نشان داده شده است. از الگوریتم‌های این روش می‌توان به RSA و ECC اشاره کرد.
5. 3. روال اجرایی امضای دیجیتال

روال اجرایی امضای دیجیتال در شکل 2 مشاهده می‌شود. در این روال متن پیام که می‌تواند هر طولی داشته باشد، به عنوان ورودی به یک تابع درهم سازی مانند SHA1 داده می‌شود. این تابع یک مقدار منحصر به فرد و با طول ثابت (به طور مثال برای SHA1 به طول 20 کاراکتر) تولید می‌کند که به این مقدار، اثر انگشت نیز گفته می‌شود. همانطور که گفته شد تابع درهمسازی یک طرفه است و نمی‌توان از مقدار تولید شده، متن پیام اصلی یا بخشی از آنرا استخراج کرد.

سپس مقدار تولید شده به وسیله یک الگوریتم Padding خاص مانند آنچه در استاندارد PKCS#1 آمده است دستکاری شده و به ابتدا و انتهای آن کارکترهایی اضافه می‌شود. از جمله اینکه یک مقدار تصادفی به آن اضافه شده و طولش به اندازه استاندارد (بطور مثال 128 بایت برای الگوریتم RSA با طول پیمانه 1024 بیت) رسانده می‌شود. سپس این مقدار بوسیله الگوریتم رمزنگاری نامتقارن مانند RSA توسط کلید خصوصی فرد، رمزگذاری می‌شود. مقدار بدست آمده برابر طول استاندارد (128 بایت برای RSA با طول 1024 بیت) است، این مقدار همان امضای دیجیتال است.

سپس مقدار امضای دیجیتالی به همراه متن اصلی پیام ارسال می‌شود. در طرف گیرنده با همان الگوریتم درهمسازی، مقدار اثر انگشت از روی پیام اصلی استخراج می‌شود. سپس مقدار امضای دیجیتال نیز توسط کلید عمومی فرستنده پیام، که در اختیار گیرنده است، رمزگذاری مجدد می‌شود. رابطه کلید عمومی و کلید خصوصی به گونه‌ای است که اگر پیامی را توسط کلید خصوصی رمزگذاری کنیم، می‌توان آن را توسط کلید عمومی رمزگشایی کرده و به مقدار اولیه پیام رسید.

بنابراین با رمزگشایی مقدار امضای دیجیتال توسط کلید عمومی در گیرنده، مقدار اولیه درهمسازی شده یا همان اثر انگشت پیش از رمزگذاری، دوباره بدست می‌آید. حال با مقایسه مقدار بدست آمده از امضا و مقدار بدست آمده از پیام اصلی، می‌توان به صحت و اعتبار امضا پی برد. اگر این دو مقدار برابر بودند، امضای دیجیتالی صحیح و در غیر این صورت نامعتبر است.

به عبارتی اگر فرستنده، فرد مورد نظر که کلید عمومی خاص وی در طرف گیرنده است، نباشد، در نتیجه کلید خصوصی فرستنده اصلی را ندارد و نمی‌تواند مقدار امضای دیجیتالی صحیح را تولید کند. نکته قابل ذکر این است که معمولاً امضای دیجیتالی منطبق بر استاندارد PKCS#1

است.
6. گواهینامه دیجیتالی و مرکز گواهی امضای دیجیتال

گواهینامه دیجیتالی، سندی الکترونیکی است که هویت فرد را در فضای مجازی نشان می‌دهد و به نوعی معادل شناسنامه یا کارت شناسایی وی است. در گواهینامه دیجیتالی که عموما از استاندارد X.509 پیروی می‌کند، اطلاعاتی مانند مشخصات فرد، کلید عمومی وی و امضای دیجیتالی صادرکننده این گواهینامه ثبت می‌شود. البته بنا به نوع کاربرد، داده‌های دیگری نیز در گواهینامه دیجیتالی وجود دارند. بدین وسیله و با در اختیار داشتن گواهینامه دیجیتالی یک فرد، می‌توان کلید عمومی معتبر وی را در اختیار داشت تا بتوان امضای دیجیتالی ارسالی از طرف او را اعتبارسنجی کرد.

و اما برای صدور گواهینامه دیجیتالی نیاز به مرکز صدور گواهینامه است که مانند سازمان ثبت احوال بوده و آن را بصورت مخفف CA می‌نامند. این مرکز، یک سازمان معتبر و مورد قبول همگان است که با دریافت مشخصات هویتی افراد و احراز اصالت آنها، کلید عمومی آنها را امضا کرده و به عبارتی گواهینامه دیجیتالی صادر می‌کند. مراکز CA از نیازمندی‌های اولیه و زیرساخت‌های لازم برای برقراری نظام امضای دیجیتال در فضای مجازی می‌باشند. این مراکز معمولاً وابسته و تحت نظارت یک سازمان دولتی و یا جهانی بوده و اعتبار خاصی دارند.

همچنین گواهینامه دیجیتالی آنها بصورت قابل اطمینان برای همه دردسترس است تا بتوان از آن برای بررسی صحت و اعتبار یک گواهینامه دیجیتالی صادرشده، استفاده کرد.
7. نیازمندی‌های امضای دیجیتال

در این بخش به نیازمندی‌های فنی و زیرساخت‌های فرهنگی مورد نیاز امضای دیجیتال اشاره می‌شود. از اولین موارد مورد نیاز برای امضای دیجیتال، تعیین متولی و مسئول ایجاد CAهای کشوری است. این سازمان که اصولاً باید بخشی از دولت باشد، با به عهده گرفتن مسئولیت CA ریشه (اصلی) اقدام به صدور گواهینامه دیجیتالی برای CAهای دیگر پایین دستی می‌کند. این مسئولیت می‌تواند به عهده وزارت کشور باشد. سپس CAهای دیگر که گواهینامه‌های آنها توسط CA اصلی امضا می‌شود ایجاد خواهند شد. تهیه و طراحی معماری امنیتی و نوع ارتباط CAها نیز از نیازمندی‌های اولیه راه‌اندازی امضای دیجیتال است. پس از این باید CAهای پایین دستی مانند CAهای بانکی، تجاری، اداری، دانشگاهی و سایرین ایجاد و فعال شوند. این CAها اقدام به صدور گواهینامه دیجیتال برای افراد حقیقی و حقوقی می‌کنند.

از مسائل دیگر، برقراری ارتباط بین CAهای داخل کشور و خارج کشور است، به نوعی که CAهای جهانی، CAهای داخل کشور را معتبر دانسته و طبق پروتکلی گواهینامه‌های صادرشده در داخل کشور را اعتبارسنجی کنند. همچنین CAهای داخل کشور نیز باید قابلیت تأیید گواهینامه‌های صادره خارجی را داشته باشند. به این طریق می‌توان در سطح اینترنت و به صورت جهانی ارتباطات مالی برای خرید و فروش کالا و نقل و انتقال وجه الکترونیکی فراهم کرد. همچنین اسناد الکترونیکی داخل کشور قابلیت پیگیری بین المللی و استناد در دادگاه‌های کشورهای دیگر را پیدا می‌کنند.

مسئله دیگر که از زیرساخت‌های فنی مورد نیاز امضای دیجیتال است، قابل دسترسی نمودن آن بصورت امن برای افراد جامعه است. بطور مثال می‌توان از کارت هوشمند برای این کار استفاده نمود. کارت هوشمند که در واقع یک کارت الکترونیکی با امنیت بالا است، می‌تواند کلید خصوصی فرد را به صورت کاملاً امن و وابسته به رمز عبور وی، نگهداری کند. بدین ترتیب دولت می‌تواند با صدور کارت هوشمند برای شهروندان خود، راهکاری عملی برای استفاده از امضای دیجیتال در اختیار آنها قرار دهد. بطور مثال می‌توان این کاربر را به کارت هوشمند ملی که سند هویتی افراد است، اضافه کرد.

در کنار زیر ساخت‌های فنی، نیازمندی‌های فرهنگی نیز لازم است. برای استفاده درست از امضای دیجیتال لازم است مدیران ارشد و کارکنان دولت اعم از موسسات، سازمان‌ها، بانک‌ها و مانند آن، با کاربردها، فواید و چالش‌های امضای دیجیتال و بطور کلی امنیت در فضای مجازی آشنایی لازم را پیدا کنند. مسائلی از قبیل سطح امنیت و نوع آن در اسناد الکترونیکی و میزان قابلیت اطمینان آن، باید بصورت صحیحی تبیین گردد.

از طرف دیگر باید عموم جامعه با مفاهیم مورد نیاز خود، آشنا شده و آموزش‌های لازم به افراد، جهت استفاده از کارت هوشمند و اهمیت و نوع استفاده از امضای دیجیتال، داده شود. چراکه بخش مهمی از امنیت الکترونیکی، کاربر سیستم است و اگر نکات امنیتی اولیه را رعایت نکند، می‌تواند در فضای مجازی مورد سوء استفاده قرار گیرد. آموزش جامعه و ایجاد زیرساخت فرهنگی، از چالش‌های اصلی پیش روی امضای دیجیتال است.
8. نیازمندی‌های قانونی

در این بخش به یکی از مهمترین نیازمندی‌های امضای دیجیتال یعنی نیازمندی‌ها در زیرساخت‌های قانونی آن اشاره می‌شود. همان‌گونه که امضای دستی، نامه‌های کاغذی و اسناد هویتی در دنیای فیزیکی تابع قوانین خاصی هستند، در دنیای مجازی نیز این خلأ قانونی احساس می‌شود. اینکه چه سندی با چه نوع امضایی و تحت نظارت کدام مرکز گواهی، سندیت و اعتبار قانونی دارد و می‌توان براساس آن اعلام دعوی کرد، از مواردی است که نیازمند قانون است. بدون وجود قانون، امضای دیجیتال و به تبع آن اسناد الکترونیکی و فعالیت‌های تحت اینترنت و دولت الکترونیکی فاقد اعتبار قانونی است و قابل پیگیری و اثبات نیست.

در این زمینه نیاز است که قانون‌های مجزایی برای امضای دیجیتال تهیه شده و منطبق بر خصوصیات، محدودیت‌ها و نیازمندی‌های دنیای مجازی، تهیه و اجرا شوند. در ابتدا باید استانداردی بومی منطبق بر استانداردهای بین المللی امضای دیجیتال تهیه گردد که تمام جنبه‌ها و کاربردهای امضای دیجیتال را لحاظ کرده باشد. این‌که می‌تواند چه کاربردهایی داشته باشد و چگونه باید در دسترس عموم قرار گیرد، نیازمندی‌های فنی آن چگونه است و امنیت را چگونه و تا چه حدی تضمین می‌کنند. بطور مثال چه طول کلیدی لازم است و یا مدت اعتبار گواهینامه‌ها برحسب نوع کاربرد چه مدت باشد. تهیه این استاندارد و یا آیین نامه بومی می‌تواند باعث ایجاد هماهنگی و صرفه جویی در هزینه‌های بعدی شود.

مسئله دیگر تهیه و تصویب قوانین لازم برای اسناد الکترونیکی و امضای دیجیتالی مشابه اسناد کاغذی در مجلس شورای اسلامی است. این قوانین باید جامع باشند تا اجازه سوء استفاده و یا برداشت‌های اشتباه را بگیرند. با توجه به اینکه علم و فناوری در این زمینه در حال پیشرفت مداوم است، قوانین نیز باید سریع‌تر به روز شوند. در این زمینه می‌توان از تجربیات کشورهای دیگر استفاده کرد. بطور مثال کشور آلمان قانون خاصی برای امضای دیجیتال تهیه کرده است و چند سال از اجرای آن می‌گذرد. اتحادیه اروپا نیز از همین قانون در تهیه قانون امضای دیجیتال برای کل کشورهای اروپایی استفاده کرده است. همچنین قوانین مشابهی در کشورهای کانادا، آمریکا و هند نیز اجرا می‌شوند. درنتیجه می‌توان با بازخوانی این قوانین و بررسی چالش‌هایی که این کشورها با آن روبرو بوده‌اند، قانون مناسب کشور را تهیه کرد.

در کنار تصویب قانون، نیاز است تا قضات و وکلا با مفاهیم امضای دیجیتال و امنیت دنیای مجازی آشنا شوند. مواردی مانند اینکه چگونه یک سند الکترونیکی معتبر می‍‌شود و میزان اعتبار آن تا چه حد است، فعالیت‍‌های اینترنتی افراد چگونه قابل پیگیری و پیگرد قانونی است و مواردی مانند این باید مورد بحث و بررسی قرار گیرند.

از مسائل دیگر آیین دادرسی به پرونده‍های مربوط به فعالیت‍های اینترنتی، اسناد الکترونیکی و امضای دیجیتال است که باید به صورت دقیقی تهیه و تبیین گردد. بطور مثال شیوه‌های طرح دعوی الکترونیکی چگونه است و در چه مواردی می‌توان یک فعالیت اینترنتی را مورد پیگیری قانونی قرار داد و بطور مثال، مراجع قانونی برای دریافت شکایات در این زمینه کدامند و روال رسیدگی به پرونده‌هایی از این دست چگونه است.

در داخل کشور، تقریبا مهمترین قانون موجود در زمینه امضای دیجیتال، قانون تجارت الکترونیک است. طبق ماده 10 این قانون، شرایط صحت امضای دیجیتال عبارتند از منحصر به فرد بودن، تعیین هویت امضاکننده، صدور بوسیله صاحب امضا و یا تحت اراده وی و البته قابل تشخیص بودن هر گونه تغییر نامه یا پیام بعد از امضا روی آن است. همچنین ماده 7 در مورد آثار و احکام صدور امضای دیجیتال به این موارد اشاره کرده است. اول اینکه امضای دیجیتال مکفی است. دوم اینکه امضای دیجیتال منطبق با شرایط قانونگذار، معتبر است و در نهایت اینکه ادعای جعلیت و یا فقدان اعتبار صرفا به جهات قانونی قابل طرح می‌باشد. همانطور که ملاحظه می‌شود، این قانون دارای کمبودهای فراوانی برای کاربردی کردن امضای دیجیتال در دولت الکترونیک و در سطح عموم جامعه است.
9. نتیجه‌گیری

در این مقاله به بررسی مسئله امنیت در دولت الکترونیک پرداخته شد و به مواردی مانند امضای دیجیتال، گواهینامه دیجیتالی و مراکز صدور گواهینامه دیجیتالی اشاره گردید. سپس زیرساخت‌های فنی و فرهنگی مورد بررسی قرار گرفت. در نهایت به نیازمندی‌های قانونی امضای دیجیتال مورد بررسی قرار گرفت و به قانون تجارت الکترونیک مورد بررسی قرار گرفت. در نتیجه می‌توان این‌گونه بیان کرد که با توجه به خدمات و امکانات دولت الکترونیک، حرکت به سوی آن اجباری خواهد بود اما ابتدا باید زیرساخت‌های قانونی لازم را ایجاد کرد که در این میان امضای دیجیتال و مفاهیم مربوطه نقش محوری دارند.
- مراجع و منابع

[1] قانون تجارت الکترونیک مصوب مجلس شورای اسلامی مورخ 1382/10/22

[2] س X.509

[3] RSA Laboratories. PKCS #1: RSA Cryptography Standard. Version 2.1, June 14 2002

[4] سایت سازمان ملل متحد در مورد دولت الکترونیکی

http://www.unpan.org/Library/MajorPublications/UNEGovernmentSurvey/tabid/646/language/en-US/Default.aspx

[5] دولت الکترونیکی در ویکی پدیا

http://en.wikipedia.org/wiki/eGovernment

[6] دولت الکترونیک در کانادا

http://en.wikipedia.org/wiki/Open_Government_in_Canada

[7] دولت الکترونیک در اروپا

http://en.wikipedia.org/wiki/EGovernment_in_Europe

[8] محصولات شرکت Entrust

http://www.entrust.com/government/solutions.htm

[9] Smart Card Handbook, W. Rankl, Wolfgang Effing, John Wiley & Sons, 2003

[10] Handbook of Applied Cryptography, Alfred J. Menezes, Scott A. Vanstone, Paul C. Van Oorschot, CRC Press, 1996

نویسنده : سیدرضا محمدی موسوی بازپرس ویژه جرایم رایانه ای وفن آوری ارتباطات دادسرای ناحیه 31 تهران