چگونه با امضا دیجیتال اسناد را از دستبرد سارقان حفظ کنیم؟

محتوای این مقاله
برای ممانعت از دستبرد سارقان کامپیوتری که در فضای الکترونیکی همواره مترصد دست اندازی و خواندن مستندات می باشند لازم است اسناد به رمز درآورده شوند. اگر می خواهیم که اسناد ما واقعاً در امان باشند باید آنها را بصورت دیجیتالی امضاء کنیم. امضا دیجیتال یکی از روشهای ایمن سازی اطلاعات است که کاربردی مشابه با امضاء معمولی در معاملات دارد و یکی از روشهای معتبر حفظ امنیت در شبکه می باشد. این روش به خصوص در مساله تجارت الکترونیک که امروزه در جهان صنعت و فن آوری از طرفداران بسیاری برخوردار است، جایگاه ویژه ای دارد.
انواع امضا
بخاطر گستردهتر شدن قراردادها و معاملات کلان کشوری و البته جهانی، امضاء کاغذی جای خودش را به نوادگان خودش یعنی امضاء الکترونیک و امضای دیجیتال داده است. امنیت آنها بیشتر است و امکان جعل آنها کمتر خواهد بود.
امضا الکترونیک
امضای الکترونیک چندین نوع دارد. یک نوع از آن، همان اسکن امضای کاغذی ما است که این اسکن را خودمان انجام میدهیم. و یا توسط دستگاههایی به نام سیگنچرپد که احتمالا دست افراد پستچی زیاد دیدید؛ امضای الکترونیک ما ثبت میشود.
یک نوع دیگر از امضای الکترونیک، استفاده از پسورد یا گذرواژه است. امضای الکترونیک دو نوع دیگر هم دارد که از امنیت پایینی برخوردار هستند. نوع دیگر آن، امضای الکترونیک که امضای بیومتریک هم نام دارد.
این نوع امضا با احراز هویت، از طریق ویژگیهای بیومتریک هر فرد یا همان ویژگیهای منحصربهفرد زیستشناختی او مانند اثر انگشت یا اسکن چشم انجام میشود.
از این مدل امضا در موبایلهای هوشمند و سیستم اتوماسیون ادارهها بسیار استفاده میشود. اما نوع آخر امضاء الکترونیک، امضای دیجیتال است که باید به طور جداگانه تعریف شود.
در حقیقت خود مفهوم امضای الکترونیک همان امضای دستی است. با این تفاوت که امضای الکترونیک بر روی بستر اینترنت و در قالب داده و یا دیتا قرار میگیرد.
امضا دیجیتال
ویتفید دیفای و مارتین هیلمن بودند که در سال 1976 اقدام به ارائه ایده اولیه امضای دیجیتال کردند. برقراری امنیت در امضاهای دیجیتال توسط میشلی، ریوست و گلدواسر در سال 1984 از طریق فایل digital signature جی ام آر با هدف محافظت از حملات و جعلی بودن پیام ها، ایجاد شد.
امضای دیجیتال مانند امضای واقعی، راهی برای اثبات این است که هر کسی همان کسی باشد که ادعا میکند؛ با این تفاوت که در اینجا از ریاضیات و رمزنگاری بجای دستخط استفاده میشود که بسیار امنتر است. یک امضای دیجیتال راهی برای اثبات این است که یک پیام دقیقا از یک شخص مشخص به دست ما رسیده است نه کسی دیگر مثل یک هکر.
امضاهای دیجیتال همه روزه در تمام اینترنت مورد استفاده قرار میگیرند. هرگاه شما به یک وبسایت از طریق ACTP مراجعه میکنید، شما در حال استفاده از SSL هستید که از امضای دیجیتال برای ایجاد اعتماد بین شما و سرور استفاده میکند.
این به آن معنیست که هر وقت شما به وبسایت Facebook.com سر میزنید، مرورگر شما امضای دیجیتالی که از صفحهی وب به دستش رسیده را چک میکند تا تایید کند که در اصل از Facebook آمده است نه از رایانهی یک هکر.
دو ویژگی امضای دیجیتال 1- امضای بررسی شده از طریق کلید عمومی مختص همان پیام ارسالی می باشد و در واقع برای هر پیام متفاوت است. 2- امضاهای دیجیتال باید بتوانند برای افرادی که تحت عنوان مهمان هستند و کلید خصوصی ندارند، یک فایل امضای معتبر ایجاد کنند.
تفاوت امضای الکترونیکی و امضا دیجیتال
سطح امنیتی که امضاء الکترونیک دارد، به مراتب بیشتر از امضاء دستی و کمتر از امضای دیجیتال است. همین تمایز در میزان سطوح امنیتی امضاء الکترونیکی و امضای دیجیتال سبب میشود تا تفاوتهایی با یکدیگر داشته باشند.
امضاء الکترونیک همانند امضای دیجیتالی از رمزنگاری نامتقارن استفاده نمیکند و دارای کلید عمومی و خصوصی نیست. به همین خاطر است که امضای الکترونیکی از سطح امنیتی کمتری برخوردار میباشد. با این حال، افراد بسیاری هستند که امضای الکترونیکی و نوع دیجیتال را به جای یکدیگر استفاده میکنند.
الگوریتم های امضا دیجیتال
digital signature شامل 3 الگوریتم می باشد که عبارتنداز:
1- الگوریتم تولید کلید: در این الگوریتم کلیدهای خصوصی و کلید عمومی منطبق با آن ایجاد می شود.
تولید کلید خصوصی به این صورت است که از میان مجموعه کلیدها، یک کلید خصوصی را به صورت کاملا تصادفی و یکسان انتخاب می کند.
2- الگوریتم امضا: در این الگوریتم به وسیله کلید خصوصی و پیام، امضاهای دیجیتال ایجاد می شوند.
3- الگوریتم تایید و بررسی: در این الگوریتم صحت و درستی یک امضا از طریق کلید عمومی و پیام دریافتی بررسی میشود، اگر مورد تایید باشد، آن امضا پذیرفته شده در غیر این صورت رد می شود.
کاربرد امضا دیجیتال
این امضا در کشورهای گوناگون از کاربردهای زیادی برخوردار است و از آن برای فعالیت های گوناگونی مانند نقل و انتقالات مالی و صدور ایمیل و امضای اسناد تعهدآور استفاده می شود.
در صورتی که فردی قصد انجام فعالیت های بانکی مانند جابجایی پول و یا فروش سهامی در شرکت و یا ارگان خاصی را داشته باشد بایستی در ابتدا هویت سازی کند و سپس اقدام به انجام فعالیت های ذکر شده نماید. این هویت سازی به وسیله ی امضای دیجیتال صورت می پذیرد.
زمانی که تبادل اطلاعات با استفاده از امضای دیجیتالی صورت بپذیرد دیگر در آن امکان سرقت و هک کردن وجود ندارد. ولی در صورت انجام این تبادلات بدون استفاده از امضای دیجیتالی، احتمال سرقت و یا هک کردن آن وجود دارد.
چون امروزه هکرها توان و قدرت شناسایی و سرقت اطلاعات و حساب های بانکی هستند. با استفاده از رمزنگاری و تشخیص هویت افراد امکان دستکاری و سرقت اطلاعات و حساب های بانکی را ندارند، و این روش یک راه حل بسیار مناسب جهت مقابله با هر نوع کلاه برداری و سایر خطرات از قبیل هکرها و افراد سودجو می باشد.
امضا دیجیتال در ایران
در سال 1382 قانون تجارت الکترونیک در مجلس تصویب شد که در نتیجه آن digital signature دارای پوشش قانونی شد. مطابق ماده 7 این قانون امضای الکترونیکی، در صورت لزوم وجود امضا کافی می باشد.
ماده 10 این قانون نیز بیان می کند 4 شرط برای یک digital signature معتبر لازم است:
1- هویت فرد امضا کننده مشخص باشد.
2- منحصر به فرد بودن
3- توسط فرد امضا کننده انجام شده باشد.
4- متصل به یک پیام باشد تا در صورت تغییر در پیام قابل شناسایی و تشخیص باشد.
ویژگیهای امضا دیجیتال
1. در تولید آنها از اطلاعاتی که به طور منحصر بفرد در اختیار امضا کننده است استفاده میشود.
2. به طور خودکار و توسط رایانه تولید میشوند.
3. امضاء هر پیام وابسته به کلیه بیتهای پیام است و هر گونه دستکاری و تغییر در متن سند موجب مخدوش شدن امضاء پیام میگردد.
4. امضاء هر سندی متفاوت با امضاء اسناد دیگر است.
5. باید به راحتی قابل بررسی و تایید باشد تا از جعل و انکار احتمالی آن جلوگیری شود.
مزایای امضا دیجیتال
حفظ حریم خصوصی
امضای دیجیتالی دارای برخی قابلیت ها و ویژگی هایی می باشد به این صورت که همه ی اطلاعات و داده هایی را که در قالب پیغام فرستاده می شود را در طول مسیر به هیچ عنوان مورد تغییر یا دستکاری قرار نمی دهد و همین امر موجب می شود تا این امضا به عنوان یک روش و راه حل ایمن برای همه ی نقل و انتقالات به حساب بیاید.
تصدیق هویت پیام
در زمانی که کلید عمومی به وسیله ی فرستنده به شخص گیرنده ارسال می شود، او بعد از بررسی تایید می کند و به فرستنده این اطمینان را می دهد که امضایی که دارای کلیدهای خصوصی است به وسیله ی او ایجاد شده است و دارای کلید خصوصی مخفی می باشد.
یکپارچگی داده ها
در رمزنگاری امضای دیجیتال چون از الگوریتم هش استفاده می شود، به محض کوچکترین تغییری در محتوای اطلاعات ارسالی، خروجی امضا کاملا متفاوت تر می شود. همین امر موجب یکپارچه شدن اطلاعات و داده ها می شود و این تضمین را به دو طرف می دهد تا در صورت تبادل اطلاعات کوچکترین تغییری بر روی آن ها ایجاد نشود.
محرمانه بودن اطلاعات
در صورت دارا بودن اطلاعات به امضای دیجیتالی، تمامی اطلاعات و داده های داخلی آن به شکل محرمانه و سری تبادل می شود.
به این صورت که تمامی داده ها تنها برای اشخاص دریافت کننده و ارسال کننده قابل فهم می باشد و فقط آن ها می توانند این مطالب را مشاهده کرده و بخوانند. در نتیجه اطلاعات کاملا محرمانه بوده و هیچ فرد دیگری امکان دسترسی به آن ها را نخواهد داشت.
عدم انکار امضا
در امضای دیجیتال فقط فردی که دارای این امضا می باشد از کلید امضا اطلاع دارد. همین امر موجب می شود که بر روی داده های ارسال شده و پیغام های رد و بدل شده تنها امضای یک فرد به صورت منحصر به فرد ایجاد شود.
در نتیجه فرد گیرنده می تواند در صورت بروز مشکل و اختلافی این امضای منحصر به فرد را به عنوان شاهد داده ها به شخص ثالث ارائه دهد.
معایب امضا دیجیتال
الگوریتم و قوانین امضای دیجیتال قابلیت درج تاریخ و زمان را در پایین سند ندارد، بنابراین شخص دریافت کننده نامه اطمینانی از تاریخ و زمانی که نامه به digital signature رسیده است، ندارند. حتی ممکن است تاریخی که داخل نامه درج شده، با تاریخی که فرد نامه را امضا کرده مغایر باشد.
البته این مشکل از طریق راهکار زمان اعتماد به مهر و امضا، حل می شود. با وجود اینکه digital signature دارای قابلیت غیر قابل انکار می باشد اما اگر کلید خصوصی افشا بشود علاوه بر این که از اعتبار ساقط می شود، استفاده از زمان اعتبار مهر و امضا نیز تاثیری ندارد.
زمانی که افراد از کلید عمومی در سامانه استفاده می کنند دیگر نمی توانند امضای خود را انکار کنند مگر این که کل شبکه دچار حمله شده باشد و اعتبار خود را از دست بدهد.
مشکل بعدی digital signature این می باشد که پیام ها به یک مجموعه از بیت ها توسط تابع مشخص ترجمه و پردازش می شود بنابراین ممکن است در مراحل انتقال و دریافت مفهوم پیام تغییر کند و به آن خدشه وارد شود.
برای رفع این مشکل میتوان از روشی که یک ضمانت نامه معتبر برای امضاهای دیجیتال هستند و قابلیت پیاده سازی و اجرا در شبکه های کامپیوتری نوین را دارند، استفاده کرد. به این ترتیب همان چیزی که مشاهده می شود به امضا در می آید.
در این روش فقط اطلاعات ترجمه شده امضا می شود بدون اینکه اطلاعات مخفی در آن قرار بگیرد و پس از امضا در صورت تایید توسط فرستنده، وارد سامانه می شود.
حملات هکرها علیه امضا دیجیتال
1- حمله Man-in-the-middle
این حمله در زمان مبادله کلید عمومی صورت می گیرد، در واقع زمانی که کلید عمومی را جایگزین و برای گیرنده ارسال می شود. سپس هکر می تواند بدون اطلاع فرستنده و گیرنده به پیام ها دسترسی داشته باشد.
2- حمله Chosen Message
هکرها در این روش حمله می توانند پیام هایی را به انتخاب خود امضا کنند به طوری که در ظاهر از طرف امضا کننده محسوب شود.
3- حمله Key-only
هکرها در این روش فقط به کلید عمومی دسترسی دارند، بنابراین فقط می توانند صحت و درستی امضاهای پیام را بررسی کنند.
4- حمله Known Signature
روشی که در آن هکر به کلید عمومی امضای دیجیتال، اطلاعات پیام و حتی امضایی که توسط فرد امضا کننده دسترسی دارد، در نتیجه به راحتی می توانند به امضای دیجیتال نفوذ کنند.
جمعبندی
امضای دیجیتال ضمن منحصربهفرد بودن، باید هویت فرد را به طور افراد را به طور کامل آشکار کند و امکان استفاده از آن صرفا در اختیار فرد صاحب امضا باشد. ابداع این امضا زمینهساز تحقق دولت الکترونیک در کشورهای مختلف بوده است.
امروزه قانون تجارت الکترونیک در کشور ما استفاده از امضای دیجیتال را برای کلیه فعالیتهای تجاری دیجیتال الزامی کرده است. در پایان باید به این نکته اشاره کرد که امضای دیجیتال زمینه را برای بروز شفافیت در مراودات مالی و همچنین جلوگیری از بروز اقدامات خلاف قانون به طور کامل فراهم کرده است.
چنانچه قصد ورود به بازار ارزهای دیجیتال و شروع خرید و فروش را دارید، اما فرصت کافی یا تخصص لازم برای تحلیل بازار را ندارید، برای سرمایه گذاری موفق در ارزهای دیجیتال میتوانید از دوره های آموزشی ارز دیجیتال همیار کریپتو استفاده کنید.
این دورهها بر اساس تحلیل بازار و متناسب با نیاز مخاطبان از پایه تا پیشرفته طراحی و بروز میشوند. تیم همیار کریپتو برای کمک به علاقهمندانی که قصد ورود به این بازار رادارند دوره های آموزش ارز دیجیتال در مشهد را بهصورت حضوری در مشهد و غیرحضوری برای علاقه مندان در نقاط مختلف کشور در فضای اسکای روم برگزارمیکند.
سوالات متداول
1. امضا دیجیتال چیست؟
امضای دیجیتال نوع خاصی از امضا بوده که از یک نام کاربری و رمز عبور تشکیل گردیده و در سیستم های مربوطه به نام دارنده آن ثبت می گردد و برای اطلاع از جزئیات به متن مقاله مراجعه شود.
2. مزایای امضا دیجیتال چیست؟
حفظ حریم خصوصی، تصدیق هویت پیام، محرمانه بودن اطلاعات، عدم انکار امضا، یکپارچگی داده
3. تفاوت امضا دیجیتال و الکترونیک چیست؟
امضای الکترونیکی همان نسخه اسکن شده امضای دستی است. در حالی که برای ساخت امضای الکترونیکی از الگوریتم رمزنگاری نامتقارن استفاده میشود.