تحقیق دانشگاهی(امضاء الکترونیک)
امضاء الکترونيکی
در تجارت سنتی مکتوب بودن . اصل بودن وممهور بودن يک سند دليل اعتبــار آن است وطرفين درحضورهم مذاکره واسناد را امضاء می نمايند .
اما درتجارت الکترونيک اين امکان وجود ندارد وطرفين نمی توانند با روشهای سنتی از صحت ادعا ها اسنــاد اطمينان حاصل کننــد.
پس بايد به دنبال راهی در فضای مجــازی بود که بتوان به مبادله اطلاعات اطمينان نمود.دريافت کننده اطلاعات بايد اطمينان حاصل کند که فرستنده پيام همان فرد مورد نظر است واين امر غير قابل انکــار باشــد واز طرف ديگر مطمئن شود که اطلاعات پس از ارسال توسط دسترسی غير مجازی در آن تغییری بوجود نیامده است .
1- هویت شناسی
گیرنده یک پیام هویت یکتای فرستنده را شناسایی کند.
2- محرمانگی
پیام داده ای فقط توسط گیرنده وفرستنده قابل تشخیص باشد.
3- جامعیت
پیام داده ای را تنها فرستنده بتواند بدون اینکه تشخیص داده شود تغییر دهد.
این امر باعث می شود که پیام بصورت رمز درآورده شود .
رمز نگـــاری
رمزنگاری درارسال پيامها سابقه طولانی دارد . در بررسی نخستين استفادهکنندگان
از تکنيکهای رمزنگاری به سزار (امپراتور روم) و نيز الکندی که يک دانشمند مسلمان
است برمیخوريم، که البته روشهای خيلی ابتدايی رمزنگاری را ابداع و استفاده
کردهاند. به عنوان مثال، با جابجا کردن حروف الفبا درتمام متن به اندازهٔ مشخص آن
را رمز میکردند و تنها کسی که از تعداد جابجا شدن حروف مطلع بود میتوانست
متن اصلی را استخراج کند.
ماری استوارت ملکه اسکاتلند که بعلت تغییر مذهبش به کاتولیک در زندان بود نامه
هایش را به رمز می نوشت که رمز آن کشف وبه دلیل اثبات خیانیش به ملکه انگیس
وارتباط با پادشاه اسپانیا قصد کودتا علیه وی ولشکر کشی به انگلستان اعدام(1578
م) شد. شیوه ماری استوارت جابجايي حروف بود.
يکی ديگر از شيوههای رمزنگاری ابتدايی، پيچيدن يک نوار کاغذی بر روی استوانهای با قطرمشخص و سپس نوشتن پيام روی کاغذ پيچيده شده بودهاست. بديهی است بدون اطلاع از مقدار قطر استوانه، خواندن پيام کار بسيار دشواری خواهد بود و تنهاکسانی که نسخههای يکسانی از استوانه را داشته باشند میتوانند پيام را بخوانند رمزنگاری دانش تغيير دادن متن پيام يا اطلاعات به کمک کليد رمز و با استفاده از يک الگوريتم رمز است، به صورتی که تنها شخصی که از کليد و الگوريتم مطلع است قادر به استخراج اطلاعات اصلی از اطلاعات رمز شده باشد و شخصی که از يکی يا هر دوی آنها اطلاع ندارد، نتواند به اطلاعات دسترسی پيدا کند. دانش رمزنگاری بر پايه مقدمات بسياری از قبيل تئوری اطلاعات، نظريه اعداد وآماربنا شده است
امضاء ديجيتال همان قفل نمودن اطلاعات می باشد که قابل جعل نيست وبراساس رمزنگاری می باشـد
امضای الكترونيكی تحول بزرگی در روابط و تعاملات ايجاد كرده است؛ با استفاده از
امضا و گواهی الكترونيكی، میتوان سنديت متون الكترونيكی را بررسی كرد و اسناد
قابل پيگيری هستند. به اين معنا كه اگر تاكنون پيام ارسالی در اينترنت هيچ اعتبار
قانونی نداشت، با استفاده از گواهی الکترونيکی شكل قانونی به خود میگيرد.
گواهی يك سند الكترونيكی امضاء شده است كه توسط مركز صدور گواهی الكترونيكی
برای يک شخص يا سازمان صادر میشود و با استفاده از اطلاعات درون آن میتوان
براِی شناسايی دارنده گواهی و برقراری ارتباط امن با وی اقدام نمود.
مشخصات امضای ديجيتــــال :
طرح امضای ديجيتال معمولاً سه الگوريتم را شامل میشود:
۱- الگوريتم توليد کليد را که کليد خصوصی را بطور يکسان و تصادفی از مجموعه کليدهای ممکن انتخاب میکند. خروجیهای اين الگوريتم کليد خصوصی و کليد عمومی مطابق با آن است.
۲- الگوريتم امضا که توسط آن با استفاده از کليد خصوصی و پيام امضا شکل میگيرد.
۳-الگوريتمی که با استفاده از پيام دريافتی و کليد عمومی صحت امضا را بررسی میکند و با مطابقتی که انجام میدهد يا امضا را می پذيرد يا آن را رد میکند.
دو ويژگی اصلی که در امضای ديجيتال مورد نياز است: اول، امضای توليد
شده از پيام مشخص و ثابت هنگامی که توسط کليد عمومی مورد بررسی قرار میگيرد فقط در مورد همان پيام ارسالی میتواند عمل تطبيق را صورت دهد و در مورد هر پيام متفاوت و خاص میباشد.
ثانيا، امضای ديجيتال می بايست قابليت اجرا توسط الگوريتم را داشته باشد و بتواند فايل امضای معتبر برای مهمانی که کليد خصوصی را دارا نمیباشد ايجاد نمايد.
نحوه کارکرد :
فرستنـده ازپيام يک دايجست(صفر ويک) ايجاد می کند وآنرا با کلـيد خصوصی خود رمز می کند وبه همـراه پـيام می فرستد.
گيرنده ازمتن پيام دريافت شده يک دايجست ايجاد می کند .گيرنده از کليد عمومی فرستنده استفاده می کند وآنرااز حالت رمز خارج می کند . گيرنده دو دايجست رامقايسه می کند اگر همسان بود هويت فرستنده مورد تاييد است.
امضاء الکترونيک زمانی معتبر است که:
1- اختصاص به شخص استفاده کننده داشته باشد.
2- قابليت تطبيق داشته باشد.
3- تحت کنترل انحصاری شخص استفاده کننده باشد.
4- طوری به داده متصل شود که اگر داده تغيير کرد امضاء بی اعنبار شود.
مزايای امضاء ديجيتـــال:
يکی از دلايل به کار گيری امضاهای ديجيتالی که يک دليل عادی به شمار میرود ايجاد اعتبار برای امضاها در يک سامانه تبادل داده و اطلاعات است. در واقع استفاده از امضای ديجيتال سنديت و اعتبار ويژهای به يک سند می بخشند. وقتی که هر فرد دارای يک کليد خصوصی در اين سامانه است با استفاده از آن میتواند سند را امضا کرده و به آن ارزش و اعتبار داده و سپس آن را ارسال کند. اهميت ايجاد اطمينان قطعی و محکم برای شخص درطافت کننده پيام درباره صحت ادعای فرستنده در برخی از انواع انتقال اطلاعات مانند دادههای مالی به خوبی خود را نشان میدهد و اهمطت وجود امضای ديجيتال درست را بيش از پيش به نمايش می گذارد. به عنوان مثال تصورکنيد شعبهای از يک بانک قصد دارد دستوری را به دفتر مرکزی با نک به منظور درخواست ايجاد تعادل در حسابهای خود را ارسال کند .
اگر شخص دريافت کننده در دفتر مرکزی متقاعد نشود که اين پيام، يک پطام صادقانه است و از سوی يک منبع مجاز ارسال شده است طبق درخواست عمل نکرده و در نتطجه مشکلاتی را به وجود میآورد. در موارد بسيار زيادی، فرستنده و گيرنده پيام نياز دارند اين اطمينان را به دست بياورند که پيام در مدت ارسال بدون تغيير باقی مانده است. هرچند رمزنگاری محتوای پيام را مخفی میکند ولی ممکن است امضا در يک سامانه از اعتبار ساقط شود و محتويات يک پيام دست خوش تغييرات گردد. ولی استفاده از امضای ديجيتال به عنوان روشی از رمز نگاری میتواند ضامن درستی و بی نقصی يک پيام در طی عمليات انتقال اطلاعات باشد .
معايب امضــا ديجيتــــال:
الگوريتم و قوانين مربوط به آن نمیتوانند تاريخ و زمان امضای يک سند را در ذيل آن درج کنند از همين جهت شخص دريافت کننده نمیتواند اين اطمينان را حاصل کند که نامه واقعا در چه تاريخ و زمانی به امضا رسيده است. ممکن است در محتويات سند تاريخی درج شده باشد و با تاريخی که شخص نامه را امضا کرده باشد مطابقت نداشته باشد. البته برای حل اين مشکل میتوان از يک راه حل
با عنوان زمان اعتماد به مهرو امضا استفاده کرد. همانطور که در ابتدای تعريف امضای ديجيتال اشاره شد اين طرح غير قابل انکار است و ساختار امضای ديجيتال بر همين اساس شکل گرفته است. همانطور که می دانيد تکذيب در لغت به معنی انکار هرگونه مسئوليت نسبت به يک فعاليت است. هنگامی که پيامی ارسال میشود و فرستده آن را همراه امضا دريافت میکند در واقع اين اطمينان در شخص دريافت کننده ايجاد میشود که نامه را چه کسی امضا کرده است و انکار امضا کاری مشکل به نظر میرسد.
لبته تا زمانی که کليد خصوصی به صورت مخفی باقی بماند شخص فرستنده نمیتواند چنين ادعايی داشته باشد ولی هنگامی که فايل امضای شخصی مورد حمله قرار بگيرد نه تنها خود فايل امضا اعتبار لازم را از دست میدهد بلکه استفاده از زمان اعتبار مهر و امضا نيز ديگر کاربردی نخواهد داشت.
البته يادآوری اين نکته لازم است هنگامی که شما در سامانه خود از کليد عمومی بهره میگيرد ديگر نمیتوانيد امضای خود را انکار کنيد و در صورتی اين موضوع امکان پذير است که کل شبکه مورد حمله واقع شود و سامانه از اعتبار لازم ساقط شود. بنا براين توجه به انتخاب يک راه حل درست برای پياده سازی طرح امضای ديجيتال از اهميت ويژهای برخوردار است .
مشکل ديگر امضای ديجيتال اين است که چون پيام توسط يک تابع مشخص به مجموعهای از بيتها ترجمه و پردازش میشود ممکن است در طی مرحله انتقال و دريافت پيام ترجمه پيام دچار خدشه شود و مفهوم ديگری به خود گيرد. برای حل اين مشکل از روشی با عنوان دبليو وای اس آی دبليو وای اس استفاده میشود به اين معنا که همان چيزی که مشاهده میشود امضا میشود. در اين روش همان اطلاعات
ترجمه شده خود را بدون آن که اطلاعات مخفی ديگری در آن قرار گيرد امضا میکند و پس از امضا و تاييد اطلاعات از سوی شخص فرستنده درون سامانه به کار گرفته میشود. در واقع اين روش ضمانت نامه محکمی برای امضای ديجيتال به شمار میرود و در سيستمهای رايانهای مدرن قابليت پياده سازی و اجرا را خواهد داشت.
امضاء الکترونيک درايران :
برای جلوگيری ازبروز مشکلات وحملات اينترنتی وايمن ساری فضای مجازی مراکزی
دردنيا بوجود آمدهاندکه تحت نظارت دولتها وطبق قوانين يکسانی خدمات امضاء
الکترونيک انجام می دهند که به پروتکل رمزنگاری مشهور است.
در قانون تجارت الکترونيک ايران هم اجرا وشناسايی زمينه های مرتبط با آن برعهده
وزارت بازرگانی گذاشته شده است ومطابق ماده 31 و32 اين قانون امر توسط دفاتر
خدمات گواهی الکترونيکی انجام می شود که آيين نامه کار آنها توسط 4 وزارتخانه
دادگستری . بازرگانی . دارايي و ارتباطات تهيه وبه تصويب هيأت وزيران رسيده است .
وهم اکنون مرکز صدور گواهی الکترونيک در ايران تحت نظر وزارت بازرگانی فعاليت
وارائه خدمت می نمايد.
ويک مرکز صدور گواهی ويک مرکز ميانی ((mocca.irوجود دارد که با کسب مجوز وزير نظر مرکزفعاليت می نمايد و با مراجعه به سايت مرکز ميانی همه افراد ايرانی می توانند صاحب امضاء ديجيتال شوند .
مرکز صدور گواهی الکترونيکی ميانی عام در راستای ترويج فرهنگ استفاده از گواهی
الکترونيکی و با توجه به لزوم استفاده همگانی از محصولات گواهی الکترونيکی در
بستر اينترنت ، اقدام به ارائه گواهی سطح صفر اطمينان نموده است. توجه به اين
نکته ضروری است که اين گواهی تنها جنبه آموزش و ترويج دارد.
اين سطح به منظور توسعه استفاده از فناوری زيرساخت کليد عمومی و آشنايي
تمامی مردم در نظر گرفته
شده است و افراد می توانند بر پايه اعتماد متقابل از اين گواهی استفاده نمايند.(1)
ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ
(1) تا چاپ اين نوشته بنده چندين بار به سايت مراجعه داشتم که پاسخی دريافت ننمودم