امضاي ديجيتال
در دنياي ما، قانوني حاکم است که ميگويد: هيچ نامهاي بدون امضا معتبر نيست اما هر امضايي هم قابل اعتماد نيست. در دنياي فناوري اطلاعات نيز اين حكم صادق است چنانچه هر شخصي علاوه بر نشانههاي ظاهري خود كه گوياي كليات فردي اوست، بايد داراي يك تاييدكننده اطلاعات نيز باشد كه همان امضا است.
در دنياي سنتي هر شخصي براي تاييد يك سري نوشته روي كاغذ آن را با نشانهاي مانند امضا، مهر يا اثر انگشت علامتگذاري ميكند كه گوياي تاييد آن نوشتههاست، در غير اين صورت نوشتهها مورد تاييد نخواهد بود. اين حكم در دنياي فناوري اطلاعات يا بهتر بگوييم در زندگي ديجيتال هم صادق است هر چند شكل ظاهري اين امضا با نمونههاي معمولي آن متفاوت است.
از آنجا كه ماشينآلات در دنياي الكترونيكي هيچچيز غير از اعداد و ارقام را نميشناسند، امضا نيز بايد بهشكل عدد و رقم باشد آن هم بهگونهاي كه براي كسي غير از خود فرد قابل دسترسي نباشد.
از تعريف تا عملكرد
امضاي ديجيتال نه داراي شكل ظاهري و نه قابل مشاهده است بلكه يك تكنيك رمزنگاري بر پايه شيوه كليد نامتقارن است كه ارتباطات، اسناد و بهطور كلي دادهها را بنا بر خواسته صاحب امضا بهصورت رمز درميآورد.
رمزنگاري شيوههاي متعددي دارد كه هر روز بنا بر پيشرفت علم رمزنگاري و ابزارآلات دانش و فناوري اطلاعات در حال تغيير است. امضاي ديجيتال امكان انجام اموري مانند احراز هويت، احراز سنديت و عدم انكار را فراهم ميآورد. امضاي ديجيتال گوياي اين است كه شخص فرستنده ظاهري، همان فرستنده اصلي است؛ هرچند در دنياي الكترونيكي نيز مانند جهان واقعي امكان تقلب وجود دارد.
فرض كنيد ايميلي از طرف يك فروشنده براي يك توليدكننده ارسال ميشود كه گوياي درخواست تعداد زيادي از محصولات آن توليدكننده است. حال بدون امضاي قابل اعتماد توليدكننده، خريدار نميتواند به صحت نامه اطمينان داشته باشد و از طرفي ميتواند پس از مدتي ارسال نامه را نيز كتمان يا انكار كند.
استفاده از انواع امضاهاي ديجيتال بسته به نوع كاركرد متفاوت است اما يكي از بهترين روشها كه دامنه كاركردي وسيعي نيز دارد استفاده از روشي است كه آن راBig Brother ناميدهاند. اين شيوه كه نام آن از نحوه عملكردش اخذ شده به اين صورت است كه يك مركز خارجي اقدام به تاييد فرد، نرمافزار يا سايت كرده و پس از احراز صلاحيت و انجام آزمونهاي امنيتي براي متقاضي يك گواهي امضاي ديجيتال صادر ميكند.
دارنده اين گواهي با قرار دادن نشانهاي از اين مدرك به مخاطبان اعلام ميكند كه از سوي اين مركز مورد تاييد است. بهعنوان مثال سايتهاي مبادلات الكترونيكي، مانند فروشگاههاي مجازي، با داشتن اين گواهي اعتبار و صحت مبادلات را براي مشتريان تضمين ميكنند. اين گواهي كه داراي مشخصات كامل گواهيكننده، تاريخ صدور و تاريخ انقضاي آن است، بر سلامت تبادلات مهر تاييد ميزند؛ هرچند در اين ميان خريداران نيز بايد موارد امنيتي را رعايت كنند؛ مواردي نظير شناخت از موسسه گواهيكننده در صورت نياز به تماس با آن شركت و كسب اطلاع از صحت گواهي صادر شده.
شيوه كار اين امضا چيست؟
تفاوت اصلي امضاهاي ديجيتال در روشهاي مورد استفاده آنها براي رمزنگاري است، اما كليتي كه بر اين شيوهها حاكم است، نوع رمزنگاري يعني همان رمزنگاري مبتني بر كليد نامتقارن و hash است كه شيوه كار آن بهصورت كلي به شرح زير است.
نكته: كليد (key) يك رشته شامل اعداد و حروف است.
در رمزنگاري نامتقارن از كليدهاي عمومي و خصوصي استفاده ميشود. كليد عمومي كليدي است كه همراه اطلاعات براي طرف مقابل فرستاده ميشود و او ميتواند اين كليد را در اختيار داشته باشد، اما كليد خصوصي بههيچوجه نبايد به كسي داده شود و بهنوعي گذرواژه شماست و از آن براي رمزگذاري اطلاعات هنگام ارتباط با يك شخص خاص يا يك حلقه کليد عمومي (public key ring) و رمزگشايي پس از آن استفاده ميشود.
يک حلقه کليد از کليدهاي عمومي افرادي که براي شما کليد خود را ارسال كردهاند يا کليدهايي که از طريق يک سرويسدهنده کليد عمومي دريافت كردهايد، تشکيل ميشود. يک سرويسدهنده کليد عمومي شامل کليد افرادي است که امکان ارسال کليد عمومي در اختيار آنان گذاشته شده است.
زماني که يک کليد مورد تائيد قرار ميگيرد در حقيقت منحصربهفرد بودن مجموعهاي از اعداد و حروف تاييدشده و اين تاييد در ضميمه گواهي قرار داده ميشود. هنگام انتخاب يک کليد از روي يک حلقه کليد، امکان مشاهده گواهينامه (مجوز) کليد وجود دارد و همانطور كه ذكر شد زمان اعتبار اين گواهي نيز در آن قيد ميشود. نمونهاي از گواهي سرويس ايميلي گوگل را در شكل ميتوانيد ببينيد كه شامل نوع استانداردهاي رمزگذاري، اثر انگشت و اطلاعات متعدد ديگري است.
الگوريتمهايي كه امروزه براي اين كار استفاده ميشود داراي تنوع زيادي است، اما الگوريتمهاي رمزنگار RSA،
EL Gamal و الگوريتمهاي Hashing ،
5MD و SHA از جمله عموميترين و پركاربردترين آنها هستند.
امنيت الكترونيكي از نوع ايراني
در كشور ما نيز در راستاي تحقق دولت الكترونيكي و نياز مبرم اين بخش به امنيت چه در بخش دولتي و امور اداري مانند اتوماسيون، چه در بخش تجارت الكترونيكي، اقدامات بسياري از سوي دانشگاهها، ادارات دولتي و خصوصي انجام شده است. امروزه چندين شركت خصوصي گواهي امضاي ديجيتال ارائه كرده و خدمات آن را صادر ميكنند. همچنين بسياري از بازرگانان كشور ميتوانند از امضاي ديجيتال دولتي استتفاده كنند.
لازمه ايجاد امنيت، آموزش كاربران و استفاده صحيح از اين خدمات و امكانات است. جالب است بدانيد تقريبا تمام ارائهدهندگان سرويسهاي ايميل قابليت استفاده از امضاي ديجيتال را براي همه اعضاي خود فراهم آوردهاند و شما با داشتن يك شناسه معمولي از ياهو يا جيميل ميتوانيد از امضاي ديجيتال خود نيز استفاده كنيد.
براي استفاده از امضاي ديجيتال بايد توکن (token) خود را که از مرجع ثبتکننده امضا دريافت کردهايد، به سيستم متصل کرده و هنگام کار به راهنماييهاي ارائه شده توسط ارائهدهنده امضا توجه کنيد. توکن نيز معمولا يک وسيله شبيه فلش ديسک است که به درگاه يواسبي متصل ميشود. البته انواع نرمافزاري آن نيز وجود دارد که بيشتر براي امور مبتني بر وب و ارائه خدمات عمومي بهکار ميرود.
سعيد نوري آزاد
