ره آورد نور

 گسترش تجارت الکترونیک مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع تجارت است و این اطمینان باید از طریق تضمین امنیت و اعتبار تبادل الکترونیک داده‌ها صورت گیرد. یکی از عواملی که باعث اعتبار قرارداد یا هر سند دیگری می‌شود، صحت انتساب آن به صادرکننده است که تاکنون از طریق مهر یا امضا صورت می‌گرفته و دلیل معتبری برای تحقق صحت انتساب صادرکننده بوده است. در قراردادهای الکترونیک نیز اسناد و اطلاعات و داده پیام‌ها باید به امضای شخص صادرکننده برسد تا بتوان صحت انتساب آن‌ها را به او احراز کرد.

بنابراین، برای اعتبار و صحت انتساب اسناد قراردادهای الکترونیک لازم است یک امضای الکترونیک تعریف کرد و آن را جایگزین امضاهای دست‌نویس نمود. ارزش اثباتی اسناد قرارداد که به شیوه الکترونیک صادر شده‌اند، ایجاب می‌کند تا ابعاد علمی و ارکان لازم برای تأثیرگذاری یک امضای الکترونیک به طور دقیق معین شود. همچنین باید به دقت محدوده اعتبار و اطمینان روش‌ها و نرم‌افزارهای امضای الکترونیک مشخص شود. از آن‌جایی که امضا ‌یک عمل حقوقی است و به همین جهت، فناوری امضای الکترونیک به عنوان یکی از مباحث حقوقی تجارت الکترونیک باید از منظر علم حقوق مورد توجه قرار گیرد. در این مقاله سعی می‌شود ضمن تعریف و آشنایی با امضای الکترونیک، جنبه‌های فنی و حقوقی آن مورد بررسی قرار گیرد.

2. تعریف امضا و جایگاه حقوقی آن

امضا عبارت است از نوشتن نام یا نام‌ خانوادگی (یا هر دو) یا رسم علامت خاصی که نشانه هویت صاحب علامت است، در ذیل اوراق و اسناد عادی یا رسمی که متضمن وقوع معامله یا تعهد یا قرار یا شهادت و مانند آن‌ها است یا بعداً باید روی آن اوراق تعهد یا معامله‌ای ثبت شود (سفید مهر)[1]. بنابراین، اثر مهم امضا متعهد شدن به تمام آثار جنبه‌های سند یا قراردادی است که امضا شده باشد.

به طور کلی، نوشته منتسب به اشخاص در صورتی قابل استناد است که امضا شده باشد. امضا‌ نشان تأیید اعلام‌های مندرج و پذیرش تعهدهای ناشی از آن است و پیش از آن نوشته را باید طرحی به حساب آورد که موضوع مطالعه و تدبر است و هنوز تصمیم نهایی درباره آن گرفته نشده است.[2] بنابراین، هر سندی که امضا ‌می‌شود، در واقع اعتبار می‌یابد و می‌توان آن را به شخصی منتسب نمود و وی را به مندرجات آن ملتزم ساخت.

3. تفاوت امضای مکتوب و امضای دیجیتال

گرچه برای هر دو از واژه امضا استفاده می‌شود، ولی در واقع امضای دیجیتالی و امضای دستی مشخصات و خواص کاملاً متفاوتی دارند. اگر یک سند که به ‌وسیله امضای دیجیتالی امضا شده، به هر طریقی دست‌کاری شود، امضای دیجیتالی مورد تأیید قرار نمی‌گیرد؛ ولی یک امضای دستی که به یک روش بیومتریک متعلق به یک شخص مرتبط است، نمی‌تواند از دست‌کاری به طوری که آثار آن روی سند مشخص نباشد، جلوگیری نماید. یک امضای دستی گواهی است که شخص روی سند اعمال می‌کند؛ در حالی که یک امضای دیجیتالی گواهی است که کلید خصوصی روی سند اعمال می‌کند. همچنین یک امضای دیجیتالی مشخص می‌نماید که سند از زمان امضا تغییری نکرده است[3].

4. امضای مکتوب و ویژگی‌های آن

با امضا در پای یک نوشته امضاکننده هویت خود را به ‌عنوان نویسنده مشخص می‌کند، جامعیت سند را تأیید نموده و بیان می‌‌دارد که به محتویات آن متعهد و پایبند است.

برخی از خواص مهم امضاهای دستی عبارت‌اند از:

1. امضای یک شخص برای تمام مدارک یکسان است؛ به‌آسانی تولید می‌شوند؛ به‌راحتی تمیز داده می‌شوند؛ باید به گونه‌ای باشند که حتی‌الامکان به‌سختی جعل شوند؛ به طور فیزیکی تولید می‌شوند.

در کل باید امضای دستی منحصر به فرد بوده و تنها به وسیله شخصی که سند را امضا کرده، قابل تولید مجدد باشد. وقتی سندی امضا می‌شود، محتوای سند نباید بدون اطلاع شخص امضاکننده آن تغییر یابد. در نتیجه، امضای دستی قفل محتوای سند کاغذی نیز به حساب می‌آید و در نهایت، امضای دستی مشخص می‌کند که شخص امضاکننده به محتوای سند آگاه بوده و با محتوای سند کاغذی موافق است.

5. امضای دیجیتال و ویژگی‌های آن

امضای دیجیتالی یک شناسه الکترونیکی برای دنیای دیجیتالی است که انتقال اطلاعات محرمانه و حساس را به صورت امن فراهم می‌کند.

امضای دیجیتالی، اصلیتِ(1) یک پیغام یا سند و یا فایل اطلاعاتی را تضمین می‌کند و در واقع، ابزار سندیت بخشیدن الکترونیکی می‌باشد که از طریق رمزنگاری انجام می‌شود.

موارد ضروری برای یک امضای دیجیتال که در واقع ویژگی‌های آن نیز محسوب می‌شوند، در زیر فهرست شده است:

1. امضا باید تحت کنترل اختصاصی شخص باشد؛
2. باید به‌راحتی قابل بررسی و تأیید(2) باشد تا از جعل و انکار احتمالی آن جلوگیری شود؛
3. امضا باید برای هر شخص منحصر به فرد(3) باشد؛
4. امضا باید رضایت شخص را برای انجام معامله نشان دهد (اعلام آگاهی و موافقت با محتوای سند)؛
5. امضا باید باعث قفل شدن سند شده و هر تغییری در محتوا را نشان دهد؛
6. امضای هر سندی متفاوت با امضای اسناد دیگر است.

مورد مهمی که باید به آن دقت شود، روشی است که امضا‌ به ‌وسیله آن انجام شده (چه کسی، چه چیزی، در چه زمانی، کجا و چرا) و اطلاعات باید برای اطمینان از نتیجه‌ای غیر قابل انکار(4) و صحیح حفاظت شود.

برای اثبات هویت یک کاربر، تکنیک تعیین به ‌کار می‌رود. وقتی هویت یک کاربر شناسایی شد، کاربر به هویت دیجیتالی خود دسترسی پیدا می‌کند. گواهی دیجیتالی مجموعه‌ای از اعتبارنامه‌های(5) مورد استفاده در فرآیند امضا است که از مراکز صدور گواهی داخلی یا خارجی بعد از تأیید کامل هویت شخص صادر می‌شود.

نرم‌افزارهای خاصی برای اجرای فرآیند امضا استفاده می‌شود. این نرم‌افزارها، اطلاعات منحصر به فردی از فایل مورد امضا و گواهی دیجیتالی را ترکیب می‌کنند تا یک امضای دیجیتالی درون یک فایل قرار گیرد. این امضا می‌تواند به وسیله نرم‌افزارهای مخصوصی دیده و بررسی و تأیید شود که اغلب به صورت رایگان هستند.

6. تصوری رایج و غلط از امضای دیجیتالی

افراد مختلف از امضای دیجیتالی برداشت‌های متفاوتی دارند. یکی از بیشترین تصورات، تصور امضای دیجیتالی به صورت رسم گرافیکی امضای دستی است که در واقع تصویر امضای روی سند به حساب می‌آید.

این تصور، امضای متعلق به شخص را همانند امضای دستی نگاه می‌کند؛ چرا که رسم گرافیکی یک امضا می‌تواند به وسیله هر شخصی مجدداً تولید شود که این کار به‌آسانی با اسکن امضا و قرار دادن آن روی سند امکان‌پذیر است. همچنین به‌راحتی می‌توان محتوا را تغیر داد و سپس امضا‌ را اضافه نمود. در نهایت، رسم گرافیکی هیچ ضمانتی نمی‌کند که امضاکننده با محتوای سند موافق است.

همچنین بعضی شیوه‌های جدید تنها برای تعیین سندیت به یک موجودیت جهت دسترسی استفاده می‌شوند؛ برای مثال، نباید یک سیستم تشخیص هویت انگشت‌نگاری رایانه‌ای، یک امضای دستی اسکن شده یا وارد کردن اسم شخص در انت‌های یک پست الکترونیکی را به عنوان یک جایگزین معتبر برای امضاهای دستی پذیرفت؛ زیرا همه عملکردهای یک امضای دستی را نخواهد داشت.

7. تفاوت امضای دیجیتالی و امضای الکترونیکی

در سال‌های اخیر، واژه‌های امضای الکترونیک(6) و امضای دیجیتالی(7) به طور گسترده‌ای مورد استفاده قرار گرفته‌اند و گاهی اوقات استفاده از این دو واژه به جای هم باعث اشتباه و گاهی سردرگمی شده است.

امضای الکترونیک اغلب برای نسبت دادن یک امضا به یک متن از طریق یک یا چند وسیله الکترونیکی یا ابزار رمزنگاری جهت افزودن خواص عدم انکار و جامعیتِ(8) پیغام به یک سند استفاده می‌شود. در واقع، یک امضای الکترونیکی هر نشانه یا سمبلی است که رضایت و قصد شخص را در یک فرم الکترونیکی نشان دهد که می‌تواند به طور ساده نوشتن نام شخص، کلیک روی دکمه تأیید، یا وارد کردن یک شماره شناسایی شخصی یا رمز عبور، امضای بیومتریک و امضای دیجیتال باشد[4].

امضای دیجیتالی معمولاً به یک امضای رمز شده برمی‌گردد که می‌تواند روی یک سند یا یک ساختار سطح پایین‌تر قرار گیرد و صریحاً به عنوان بخشی از استاندارد NIST(9) برای PKI(10) و DSS(11) تعریف شده است.

این اشتباه لغوی در بسیاری از حالات ناخوشایند است و تا زمانی که این مورد در قوانین و مقررات به‌درستی استاندارد‌سازی نشود، همین ‌طور باقی می‌ماند.

در صورتی که امضای الکترونیک از روش‌های رمزنگاری برای اطمینان از جامعیت و سندیت پیام استفاده کند، یک امضای دیجیتالی محسوب می‌شود. با استفاده از مکانیسم‌های جامعیت پیام، هر تغییری در سند حاوی امضای دیجیتالی، به‌سهولت قابل کشف بوده و باعث عدم اعتبار امضای ضمیمه شده می‌شود.

استانداردهای امضای الکترونیک شامل استاندارد Opne PGP که به‌ وسیله PGP (12) و GnuPG (13) پشتیبانی شده و برخی از استانداردهای S/MIME می‌باشد.

متنی که امضای دیجیتال دارد، ممکن است برای حفاظت بیشتر در طی انتقال رمزگذاری شود؛ در صورتی که اگر فرآیند امضا به طرز صحیح اعمال شده باشد، دیگر نیازی به این کار نیست.

8. تعریف امضای دیجیتال

اولین بار کانون وکلای ایالات متحده(14)، در سال 1992 میلادی در خصوص مسائل حقوقی و قانونی امضا در قراردادهای الکترونیک شروع به کار کرد و در سال 1995 میلادی پیش‌نویس و رهنمودهای امضای دیجیتال(15) را که در خصوص چگونگی امضا در قراردادهای الکترونیک و زیرساخت‌های آن بود، تهیه کرد. در همان سال اولین قانون در مورد امضای دیجیتال تصویب شد که در مورد ایجاد قطعیت و اعتبار قراردادهای الکترونیک و نیز فناوری‌های مربوط به رمزنگاری(16) و احراز هویت و مراجع گواهی(17) امضای الکترونیک بود. در سال 1996 میلادی آنسیترال قانون نمونه‌ای در باب تجارت الکترونیک(18) تدوین کرد که شامل مقرراتی در خصوص امضای الکترونیک بود. در سال 1997 میلادی، اتاق بازرگانی بین‌المللی(19) مبادرت به صدور «راهنمای عمومی برای تجارت بین‌المللی دیجیتال مطمئن»(20) نمود. اتحادیه اروپا در سال 1999 میلادی، «دستورالعمل امضای الکترونیک»(21) را به تصویب رسانید و در نهایت، گروه کاری آنسیترال در باب تجارت الکترونیک، «قانون نمونه آنسیترال در باب امضای الکترونیک»(22) را تصویب کرد تا به عنوان یک معیار استاندارد و رهنمون برای قانونگذاری‌های ملی مورد استفاده کشورها قرار گیرد.

بسیاری از کشورها، بین سال‌های 1996 تا 2001 میلادی، با استفاده از مقررات بین‌المللی موجود و رهنمون‌های ارائه شده در خصوص امضای الکترونیک مبادرت به قانونگذاری در این زمینه کرده‌اند و در حال حاضر می‌توان گفت امضای الکترونیک در تمام نظام‌های حقوقی مورد پذیرش قرار گرفته است.[5]

هیچ سندی در علم حقوق اعتبار ندارد؛ مگر این‌که دارای علامتی باشد که بر صدور آن از جانب مرجع مسلم الصدور دلالت کند. از جمله اهدافی که امضا در ذیل نوشته‌ها دنبال می‌کند، می‌توان به اهدافی مانند: رسمیت یافتن، تأیید و قطعیت یافتن اسناد اشاره کرد. اما نباید غافل از آن بود که امضا فارغ از اهداف ذکر شده مبین قصد انشای فرد در انعقاد قرارداد است؛ به ‌طوری که اگر سندی امضا نگردد، در حقیقت فرد قصد به ‌وجود آوردن آن را نداشته و قرارداد کان لم یکن تلقی می‌گردد.

به منظور تنظیم روابط حقوقی و معاملاتی افراد در بستر مبادلات الکترونیک، تجارت از طریق اینترنت باید دارای یک چارچوب مشخص قانونی گردد و خلأهای قانونی آن مرتفع گردد تا هم عموم افراد به این شیوه از تجارت روی آورند و هم این‌که حقوق آن‌ها تضمین گردد. بنابراین، می‌توان گفت فقدان زیرساخت حقوقی و قانونی، از موانع اصلی رشد تجارت الکترونیک است.

خدمات ارائه شده توسط امضای دیجیتال

تأیید هویت: گیرنده می‌تواند مطمئن باشد که فرستنده کیست.

جامعیت: گیرنده می‌تواند مطمئن باشد که اطلاعات حین انتقال تغییر پیدا نکرده است.

انکارناپذیری: فرستنده نمی‌تواند امضای داده را انکار نماید.

9. امضاهای دیجیتال استاندارد

در زیر به معرفی مختصر و مقایسه اجمالی سه روش استاندارد امضای دیجیتال پرداخته شده است.

الف- امضای دیجیتال مبتنی بر RSA

این روش امضا‌ مبتنی بر الگوریتم رمز کلید عمومی RSA بوده و در سال 1991 توسط ANSI به عنوان استاندارد پذیرفته شد.[6]

ب- استاندارد امضای دیجیتال DSS

روش امضای DSS بر اساس سیستم رمزنگاری کلید عمومی‌الجمال استوار است. DSS در آگوست سال 1991 توسط مؤسسۀ ملی استاندارد و تکنولوژی آمریکا پیشنهاد شد و در سال 1993 به عنوان یک استاندارد پردازش اطلاعات فدرال دولت آمریکا پذیرفته گردید. DSS اولین روش امضای دیجیتالی بود که به صورت قانونی رسمیت یافت. در این روش به منظور کاهش اندازه امضاها از زیرگروه‌های کوچک در Zp استفاده می‌شود.

ج- امضای دیجیتال مبتنی بر منحنی‌های بیضوی

الگوریتم امضای دیجیتال مبتنی بر منحنی‌های بیضوی ECDSA(23) مشابه با DSS می‌باشد؛ بدین معنا که به جای کار در یک زیرگروه مرتبۀ q، در گروه نقاط روی منحنی بیضوی روی Zp کار می‌کنیم. [7]

مقایسۀ سه استاندارد امضای دیجیتال RSA، DSS و ECDSA در جدول زیر مشخصات عمومی هر سه استاندارد امضای دیجیتال آورده شده است.

نام استاندارد امضا سیستم رمزنگاری مبنا تابع درهم‌ساز به کارگرفته شده نام استاندارد و مؤسسه استانداردکننده سال پذیرش استاندارد DSS الجمال 1- SHA FIPS 186-2 (ANSI X9.30) 1991میلادی RSA RSA MD2 MD5 ANSI X9.31 1991 میلادی ECDSA الجمال 2- SHA ANSI X9.62 IEEE PI363 ISO SC27 1998 میلادی

شکل 1: مشخصات عمومی سه استاندارد امضای دیجیتال

در روش استاندارد مبتنی RSA برای به‌ دست آوردن چکیدۀ پیام مجوز به کارگیری تابع درهم‌ساز خاصی نیست؛ ولی توصیۀ ANSI این است که بهتر است از MD2 یا MD5 استفاده شود. در صورتی‌که در دو استاندارد دیگر به کارگیری SHA-1 اجباری است.

نکتۀ دیگر این‌که امضای دیجیتال مبتنی بر منحنی‌های بیضوی توسط سه مؤسسه ANSI و IEEE و ISO انجام گرفته است که اصول هر سه یکی است.

الگوریتم‌های تعیین اعتبار برای تولید امضای دیجیتالی بر اساس رمز کردن داده به وسیله کلید خصوصی و رمزگشایی آن با استفاده از کلید عمومی نیاز دارند]9 و 8[. این فرآیند دقیقاً معکوس فرآیند محرمانه نگه داشتن داده می‌باشد. در نتیجه، سیستم‌های رمزنگاری کلید عمومی بیشتر برای تولید امضا پیشنهاد داده می‌شود[10] و امتیاز اصلی رمزنگاری کلید عمومی این است که نه تنها جامیت داده را فراهم می‌کند، بلکه برای تعیین اعتبار نیز استفاده می‌شود.[9] تعیین اعتبار به وسیله امضای دیجیتالی، خاصیت عدم انکار را فراهم می‌کند؛ بدین معنا که از انکار فرستنده مبنی بر فرستادن اطلاعات جلوگیری می‌نماید. این خواص برای رمزنگاری اساسی می‌باشند و برای حفاظت از هر الگوریتم رمزنگاری مورد نیاز هستند. فرآیند رمزنگاری بر اساس چند جمله‌ای‌های کوتاه شده(24)، شبیه NTRU هستند ]12 و 11[ که برخی از مسائل تولید اعداد اول بزرگ و توابع ریاضی در برگیرنده را که در برخی الگوریتم‌ها نیاز است، حل کرده است.[6]

10. ساخت امضای دیجیتالی

در ابتدا اطلاعاتی که قرار است امضا شود، مشخص می‌شود، مانند ارائه یک شیء‌ اطلاعاتی به ‌صورت دیجیتالی که می‌تواند متن، شکل و یا هر نوع دیگری از اطلاعات دیجیتالی باشد. امضای دیجیتال برای یک پیغام در دو گام زیر ساخته می‌شود: [13]

1. تولید چکیده پیام(25): چکیده پیام، خلاصه پیغامی است که قرار است انتقال داده شود؛ به عبارت دیگر، عددی منحصر به فرد برای هر پیغام است که تغییر کوچکی در پیغام باعث تولید یک چکیده متفاوت می‌شود. چکیده پیام با استفاده از یک سری الگوریتم‌های در هم‌سازی(26) ساخته می‌شود. در واقع، ایجاد یک مقدارِ در هم(27) از اطلاعات معمولاً چکیده پیام نامیده می‌شود. در صورتی‌که حتی یک بیت از واحد داده تغییر کند، مقدارِ در هم مرتبط با آن دستخوش تغییرات وسیع می‌گردد.

2. رمزنگاری(28): چکیده پیام به وسیله کلید خصوصی فرستنده رمز می‌شود. در واقع، چکیده پیام رمز شده یک امضای دیجیتال تولید شده به روش بالا که مقداری منحصر به فرد هست، به پیغام ضمیمه می‌شود و به گیرنده فرستاده می‌شود.

پس از این‌که گیرنده پیغام را دریافت کرد، به روش زیر عمل می‌کند:

1. امضای دیجیتالی ضمیمه سند توسط کلید عمومی امضاکننده رمزگشایی می‌شود.
2. الگوریتم چکیده پیام که در سمت فرستنده استفاده شده، در سمت گیرنده نیز استفاده می‌شود.
3. دو چکیده پیام به دست آمده مقایسه می‌شود و در صورت معادل بودن، پیغام معتبر و دارای اعتبار شناخته می‌شود. چنانچه نتیجه یکسان بود، امضا پذیرفته و در غیر این‌ صورت، رد می‌شود.

با این روش می‌توان مطمئن بود که امضای دیجیتالی به وسیله فرستناده اصلی فرستاده شده است؛ زیرا فقط کلید عمومی فرستنده قادر به باز کردن امضای دیجیتالی است. اگر در وقت رمزگشایی با استفاده از کلید عمومی، چکیده پیامی که دارای اشکال است، برگردانده شود، بدین معنی است که این پیغام اصلی نیست.

هدف از به کارگیری روش‌های رمزنگاری در این‌جا، اطمینان از یکپارچگی داده‌ها و معتبر بودن و اصالت امضاکننده، جدا از کاربرد آن برای اطمینان از محرمانگی داده‌ها می‌باشد.

در عمل برای بالا بردن سرعت، به جای کل پیغام، چکیده‌های آن امضا ‌می‌شود. این چکیده از نظر اعتبار مانند کل متن است.تمام فرآیند در شکل زیر توضیح داده شده است.

شکل 2: فرآیند امضای دیجیتالی

11. مراجع صدور گواهی(29)

رویه تصدیق امضا در کلیه روش‌ها با فرض این‌که کلید عمومی واقعاً متعلق به امضاکننده است، صورت می‌گیرد. اگرچه این استنباط بدیهی نمی‌باشد و خطر آن وجود دارد که فردی جفت کلیدی درست کرده، کلید عمومی را در دایرکتوری عمومی در زیر نام فرد دیگری قرار داده و بنابراین، پیام‌های الکترونیکی را تحت نام دیگری امضا کند. به ‌علاوه، هر جفت کلید (خصوصی و عمومی) هیچ‌گونه وابستگی ذاتی با یک هویت معین ندارد؛ بلکه تنها یک جفت از ارقام می‌باشند. پس این اطمینان باید وجود داشته باشد که کلید عمومی واقعاً به هویت مدعی تعلق دارد.

مشکل تأیید هویت به‌ دست شرکت‌های طرف ثالث حل می‌شود. یک نهاد طرف ثالث وجود ارتباط بین هویت و کلید عمومی را تضمین می‌کند. این ارتباط در تأییدیه الکترونیکی که کلید عمومی را به یک شخص مرتبط می‌کند، حاصل می‌شود. این نهادهای طرف ثالث به ‌عنوان مراجع صدور گواهی شناخته شده و باید توسط تمام کاربران به‌ عنوان نهاد طرف ثالث مطمئن(30) پذیرفته شوند. رویه تأیید کلید باید عاری از هر گونه خطا و اشتباه بوده و بالاترین سطح امنیت را احراز نماید. با انتشار یک تأییدیه دیجیتالی، یک مقام تأیید کننده، هویت کاربر را تأیید و تضمین می‌کند که کلید عمومی واقعاً به کاربر مزبور تعلق دارد.

این نهادها با استفاده از ابزارهای متداول تشخیص هویت (به‌ طور معمول با تهیه اسناد فیزیکی از مشخصات افراد)، هویت امضاکننده را مشخص نموده و سپس تأییدیه‌های الکترونیکی را که باعث ارتباط کلیدهای امضای دیجیتالی به اسامی اشخاص یا مؤسسات می‌شوند، صادر می‌کنند. هر تأییدیه‌ای منحصربه‌فرد بوده و امکان کپی‌برداری را ندارد.

12. تأییدیه امضای دیجیتالی

تأییدیه‌های دیجیتالی شامل: کلید عمومی مالک، نام مالک، تاریخ انقضای تأییدیه، نام نهاد رسمی تأیید کننده‌هایی که تأییدیه دیجیتالی را صادر کرده، یک شماره سریال و سایر اطلاعات می‌باشد.

یک تأییدیه از چهار بخش تشکیل شده است:

1. موضوع و خصوصیات آن: این اطلاعات در مورد با موضوعی است که قرار است تأیید شود؛ مثلاً برای یک شخص، این اطلاعات می‌تواند شامل: نام، ملیّت و نشانی، سازمان مربوطه و دپارتمان وی در آن سازمان باشد. همچنین می‌تواند شامل تصویری از شخص، یک اثر انگشت تبدیل به رمز شده و شماره پاسپورت باشد.
2. اطلاعات کلید عمومی: اطلاعاتی در باره کلید عمومی است، که تأیید شده‌اند. این تأییدیه باعث الحاق کلید عمومی به مندرجات مدرک مورد نظر می‌گردد.
3. مقام تأیید کننده امضا: نهاد رسمی تأیید کننده (CA) دو مورد بالا را در هر سند امضا‌کرده و آن را به تأییدیه مربوطه الحاق کنند. افرادی که تأییدیه را دریافت می‌کند، امضا را کنترل نموده و چنانچه به این CA اطمینان داشته باشند، صحت اطلاعاتی را که کلید عمومی به آن الحاق شده نیز قبول خواهند داشت.
4. تاریخ انقضای تأییدیه: هر تأییدیه دارای تاریخ انقضای می‌باشد. پس از انقضاء تاریخ تأییدیه، محتویات آن از طرف CA مربوطه تضمین نمی‌شود.

13. منابع حقوقی تجارت الکترونیکی

فناوری اطلاعات این امکان را فراهم آورده است که بسیاری از مبادلات تجاری، داد و ستدها و ارائه خدمات از طریق اینترنت انجام شوند. گسترش این نوع از روابط معاملاتی و تجاری بین افراد با طرح برخی مسائل حقوقی در زمینه قواعد حاکم بر روابط قراردادی افراد همراه بوده است. به رسمیت شناختن فناوری‌های نوین ارتباطی در تشکیل قراردادها، چگونگی تشکیل و اعتبار آن‌ها، قابلیت انتساب اسناد الکترونیک، مسائل مربوط به امضای الکترونیک و روند پرداخت‌های الکترونیک از جمله مسائل مهم مطرح در این زمینه بوده است.

با رسمیت یافتن تجارت الکترونیک در جهان، بیش از هر چیز توجه به جنبه‌های حقوقی این نوع تجارت و قانونمند کردن آن احساس نیاز می‌شود. از همین ‌رو، بیشتر کشورها در این زمینه اقدام به وضع قوانین جدید یا اصلاح قوانین موجود کرده‌اند. مجامع بین‌المللی از قبیل آنستیرال(31)، اتحادیه اروپا(32)، سازمان توسعه و همکاری اقتصادی(33) و اتاق بازرگانی بین‌المللی(34) از جمله سازمان‌های فعال در این عرصه بوده‌اند که تاکنون برای ایجاد چارچوب قانونی تجارت الکترونیک قوانین و مقررات، دستورالعمل‌ها و رهنمود‌هایی را پیش‌بینی کرده‌اند.

گروه کاری تجارت الکترونیک آنسیترال در سال 1996م مبادرت به تدوین یک قانون نمونه در خصوص تجارت الکترونیک کرده و در سال 2001م نیز قانون نمونه‌ای در باب امضای الکترونیک به تصویب رسانده است. اتحادیه اروپا تاکنون دستورالعمل‌های متعددی در زمینه الکترونیک وضع کرده و در قالب آن‌ها علاوه بر به رسمیت شناختن تجارت الکترونیک، مهم‌ترین مسائل حقوقی آن ‌را از قبیل شرایط انعقاد قراردادهای الکترونیک، امضای الکترونیک و حقوق مصرف کننده مورد بررسی قرار داده است.

دستورالعمل‌های مذکور در واقع رهنمود‌هایی برای کشورهای عضو اتحادیه هستند تا در وضع قوانین جدید با مقررات دستورالعمل‌ها هماهنگ باشند. سازمان توسعه و همکاری اقتصادی در زمینه تجارت الکترونیک طرح‌های مختلفی را به کشورهای عضو پیشنهاد کرده که مهم‌ترین آن‌ها در خصوص حمایت از مبادله فرامرزی داده‌های شخصی (راهنمای سال 1980م)، امنیت سیستم‌های اطلاعاتی (راهنمای 1992م) و راهنمای رمزنگاری (راهنمای 1997م) بوده است. اتاق بازرگانی بین‌المللی نیز مبادرت به ارائه سندی تحت عنوان «راهنمای عمومی برای تجارت بین‌المللی دیجیتال مطمئن(35) کرده است تا از طریق آن چارچوبی کلی برای استفاده از امضای دیجیتال و مبادلات تجاری الکترونیک بین‌المللی ایجاد نماید.

14. پذیرش قانونی ادله الکترونیک

تجارت الکترونیک، تجارت بدون کاغذ و مبتنی بر داده‌های الکترونیک است. بنابراین، اسناد و اطلاعات مورد تبادل بین تجار نیز باید لزوماً به‌ صورت الکترونیک باشد. در فضای مجازی، تمام مبادلات از طریق انتقال داده‌ها صورت می‌گیرد و افراد، روابط معاملاتی را از طریق سیستم‌های اطلاع‌رسانی(36) خویش انجام می‌دهند. پس آنچه که بین معاملان به عنوان وسیله‌ای برای بیان اظهار اراده انشایی آن‌ها مورد استفاده قرار می‌گیرد، در داده‌های الکترونیک که درون سیستم اطلاع‌رسانی آن‌ها قرار داد، نگهداری می‌شود.

بروز اختلاف بین افراد در بستر تجارت الکترونیک نیز همانند فضای سنتی و مرسوم، اجتناب‌ناپذیر است. بنابراین، مباحث مربوط به ادله اثبات دعوی در محیط الکترونیک نیز مطرح بوده و یکی از جنبه‌های حقوق تجارت الکترونیک محسوب می‌شود. اسناد و ادله الکترونیک به عنوان دلیل محکمه پسند و قابل ارائه در دادگاه محسوب می‌شوند؛ به عبارت دیگر، داده‌های الکترونیک نیز می‌توانند ارزش و اعتبار حقوقی اسناد کاغذی مرسوم را داشته باشند؛ زیرا تنها راه حل و فصل اختلافات احتمالی در مبادلات الکترونیک استناد به همین داده پیام‌ها(37) می‌باشد. بنابراین، در پذیرش و شناسایی ادله و اسناد الکترونیک نباید تردید کرد؛ چرا که پذیرش مبادلات و قراردادهای الکترونیک مستلزم پذیرش قانونی اسناد و اطلاعات مبتنی بر داده‌های الکترونیک مورد تبادل بین دو طرف معامله است.

در قوانین وضع شده در باب تجارت الکترونیک، ارزش اثباتی داده‌ پیام‌ها و اعتبار قانونی آن‌ها مورد پیش‌بینی قانونگذاران قرار گرفته است. در قانون نمونه تجارت الکترونیک آنسیترال مصوب 1996م که با هدف سازگار کردن قواعد عمومی قراردادها با فناوری‌های نوین تدوین شده است، ارزش اثباتی داده پیام‌ها مورد پذیرش قرار گرفته و به این موضوع تصریح شده که در رسیدگی‌های قضایی نباید ادله الکترونیک را به این علت که به‌ صورت داده پیام هستند و دارای اصالت نمی‌باشند، رد کرد و نپذیرفت.

اطلاعات ارائه شده به شکل داده پیام از اعتبار و ارزش اثباتی برخوردار است. بنابراین، اثر قانونی یا قابلیت اجرای سند را نمی‌توان صرفاً به دلیل شکل الکترونیک آن رد کرد.

قانون تجارت الکترونیک ایران نیز که از قانون نمونه آنسیترال الهام گرفته است، مقررات مشابهی را در بردارد. ماده 12 قانون مذکور مقرر می‌دارد: «اسناد و ادله اثبات دعوی ممکن است به صورت داده پیام بوده و در هیچ محکمه یا اداره دولتی نمی‌توان بر اساس قواعد ادله موجود، ارزش اثباتی داده پیام را صرفاً به دلیل شکل و قالب آن رد کرد». همان‌ طور که پیدا است، قوانین مربوط با اعتباربخشی به داده پیام‌ها، اسناد الکترونیک را در شمار دلایل قانونی آورده‌اند. این‌که تمام داده‌های الکترونیک دارای ارزش اثباتی هستند یا خیر، قانون نمونه آنسیترال در باب تجارت الکترونیک، مصوب 1996م در این خصوص این‌گونه اظهار نظر می‌کند: «در انعقاد قرارداد، ایجاب و قبول می‌تواند از طریق داده‌ پیام‌ها اعلام شود؛ مگر این‌که طرفین به نحو دیگری توافق کرده باشند. هنگامی که برای انعقاد قرارداد، داده پیام‌ها مورد استفاده قرار می‌گیرند، اعتبار یا قابلیت اجرای قرارداد مذکور صرفاً به این دلیل که از داده پیام‌ها استفاده شده، نباید رد شود.» همان ‌طور که پیدا است، ماده مذکور صریحاً قرارداد الکترونیک را مورد پذیرش قرار داده و برای آن‌ها اعتبار و قابلیت اجرای لازم را قائل است.

15. قوانین تجارت الکترونیک ایران

قانون تجارت الکترونیک ایران با الهام از قانون نمونه آنسیترال به تصویب نهایی مجلس و شورای نگهبان رسیده است که در آن، موارد زیر در باره امضای دیجیتالی به چشم می‌خورد:

ماده 7) هرگاه قانون وجود امضا را لازم بداند، امضای الکترونیکی مکفی است.

ماده 10) امضای الکترونیکی مطمئن(38) باید دارای شرایط زیر باشد:

• - نسبت به امضاکننده منحصر به فرد باشد.
• - هویت امضا‌کننده «داده پیام» را معلوم نماید.
• - به وسیله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.
• - به نحوی به یک «داده پیام» متصل شود که هر تغییری در آن «داده پیام» قابل تشخیص و کشف باشد.

ماده 11) سابقه الکترونیکی مطمئن عبارت از «داده پیام»ی است که با رعایت شرایط یک سیستم اطلاعاتی مطمئن ذخیره شده و به هنگام لزوم در دسترس و قابل درک است.

ماده 14) کلیه «داده پیام»هایی که به طریق مطمئن ایجاد و نگهداری شده‌اند، از حیث محتویات و امضای مندرج در آن، تعهدات طرفین یا طرفی که تعهد کرده و کلیه اشخاصی که قائم مقام قانونی آنان محسوب می‌شوند، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.

ماده 15) نسبت به «داده پیام» مطمئن، سوابق الکترونیکی مطمئن و امضای الکترونیکی مطمئن، انکار و تردید مسموع نیست و تنها می‌توان ادعای جعلیت به «داده پیام» مزبور وارد و یا ثابت نمود که «داده پیام» مزبور به جهتی از جهات قانونی از اعتبار افتاده است.

ماده 31) دفاتر خدمات صدور گواهی الکترونیکی واحدهایی هستند که برای ارائه خدمات صدور امضای الکترونیکی در کشور تأسیس می‌شوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهی‌های اصالات (امضای) الکترونیکی می‌باشد.

16. امنیت مبادلات الکترونیکی

در روش سنتی، مکتوب بودن، اصل بودن سند،‌لاک و مهر بودن پاکت حاوی اسناد و ممهور بودن یک سند،‌ دلیل اعتبار آن است. در مبادلۀ الکترونیکی اطلاعات، حفظ محرمانگی با رمزنگاری و تضمین جعلی نبودن با امضا‌ی الکترونیکی فرستنده فراهم می‌شود. با استفاده از الگوریتم‌های نامتقارن رمزنگاری و خدمات یک مرکز گواهی دیجیتالی، می‌توان امنیت را در انواع مبادلات الکترونیکی به ‌کار برد.

در یک سیستم واقعی، در هر لحظه امکان دارد ارتباط بین مبدأ و مقصد مورد چهار نوع حملۀ‌: قطع ارتباط، استراق سمع، تغییر و جعل هویت واقع شود. علاوه بر این حملات، ممکن است بعد از ارسال اطلاعات، فرستنده کار خود را تکذیب کند و منکر ارسال اطلاعات شود.

منظور از مسائل امنیتی، حمایت از داده‌ها و امنیت اطلاعات در مقابل دسترسی‌های غیر مجاز در فرآیند تجارت الکترونیک است.

اقدامات، سلایق و فعالیت‌های کاربران به‌آسانی زیر نظر گرفته و ردیابی می‌شوند. داده‌ها و اطلاعات آن‌ها به‌راحتی کپی شده و مورد نقل و انتقال قرار می‌گیرد. اینترنت یک شبکه کاملاً باز است و امکان دسترسی افراد غیر مجاز به اطلاعات محرمانه و استفاده از آن‌ها وجود دارد؛ به عنوان مثال، چنانچه شماره کارت اعتباری افراد در اختیار افراد غیر مجاز قرار گیرد، آن‌ها می‌توانند از کارت مذکور سوء استفاده کنند. بنابراین، حفاظت از اطلاعات مالی، اعتباری و شخصی افراد، یکی از چالش‌های مهم تجارت الکترونیک است؛ زیرا مسیر گردش اطلاعات و منابع روی شبکه بسیار است. از این رو، معلوم نیست که اطلاعات مذکور کجا می‌روند و چه کسانی از آن‌ها بهره‌برداری می‌نمایند.[14]

17. امضای‌ دیجیتال و امنیت آن

امنیت امضای دیجیتال شامل امنیت الگوریتم رمزنگاری کلید عمومی، امنیت توابع درهم‌سازی و امنیت کلید خصوصی می‌باشد. برای اعتبارسنجی امضای هر کس، از کلید عمومی او استفاده می‌شود. امضای دیجیتالی به گونه‌ای طراحی شده است که نه تنها استنتاج پیام از امضا‌ تقریباً غیرممکن است، بلکه امکان یافتن دو پیغام با امضاهای مشابه نیز بسیار کم است. فرستنده، پیام و کلید خصوصی خود را به یک رویۀ رمزنگاری می‌دهد. خروجی این فرایند یک متن رمز شدۀ فشرده شده از متن اصلی است که امضای دیجیتالی نامیده می‌شود. سپس این امضا‌ همراه با متن پیام به هم متصل و ارسال می‌شوند. گیرنده، متن پیام و امضا را دریافت کرده و برای کنترل هویت فرستنده و جامعیت پیام، با کلید عمومی فرستنده امضا ‌را رمزگشایی می‌کند تا متن پیام اولیه را به دست آورد. اگر این متن با متن اصلی دریافت شده یکی باشد، می‌توان نتیجه گرفت که متن پیام و امضا نه جعلی هستند و نه در بین راه تغییر کرده‌اند.

18. رمزنگاری

اصلی‌ترین راه حلی که امروزه در جهان برای برقراری امنیت مبادلات الکترونیکی و مقابله با این مشکلات استفاده می‌شود، رمزنگاری است. با استفاده از رمزنگاری می‌توان به جز حملات قطع ارتباط، جلوی سایر حملات و تهدیدات را نیز گرفت. در میان روش‌های مختلف رمزنگاری،‌ رمزنگاری مبتنی بر کلید (در مقابل رمزنگاری مبتنی بر الگوریتم) مناسب‌ترین روش‌ها است و عموماً منظور از رمزنگاری، همین نوع رمزنگاری است. منظور از کلید، یک مقدار داده‌ای است که در الگوریتم رمزنگاری به کار می‌رود. الگوریتم‌های رمزنگاری مبتنی بر کلید به دو دستۀ عمده تقسیم می‌شوند: رمزنگاری متقارن و رمزنگاری نامتقارن. در ادامه مباحث ضمن ارائه توضیحات در باره مفاهیم رمزنگاری، به تشریح انواع رمزنگاری خواهیم پرداخت.

رمزنگاری، علمی است که به وسیله آن می‌توان اطلاعات را به‌ صورتی امن منتقل کرد؛ حتی اگر مسیر انتقال اطلاعات (کانال‌های ارتباطی) ناامن باشد. دریافت‌کننده اطلاعات آن‌ها را از حالت رمز خارج می‌کند. به این عمل در واقع، رمزگشایی گفته می‌شود. از رمزنگاری می‌توان برای تأمین امنیت و تأمین اعتبار پیام به صورت جداگانه یا همزمان استفاده کرد.

تأمین امنیت پیام: این‌که به غیر از گیرنده مجاز، شخص دیگر قادر به فهمیدن متن پیام نباشد.

اعتبار پیام: این‌که فرستنده واقعی پیام، مشخص باشد.

19. نتیجه

همزمانی گسترش تجارت الکترونیک و طرح جهانی‌سازی اقتصاد و پیوستن جوامع مختلف به این طرح و نیز گسترش روزافزون کاربران شبکه جهانی اینترنت، این تجارت نوین را به تجارتی فراگیر مبدل ساخته است؛ به ‌طوری که امروزه خود را به ‌عنوان امری اجتناب‌ناپذیر در متن زندگی انسان امروز جای داده است. قرار گرفتن در دهکده جهانی ما را ناگزیر به مهیا نمودن زیرساخت‌های لازم تجارت الکترونیکی می‌سازد و عدم توجه به این قانونمندی‌های نوین، در آینده‌ای نه‌ چندان دور فاجعه‌آمیز خواهد بود.

اکثر سازمان‌ها ترجیح می‌دهند به سوی حذف کاغذ با استفاده از فرم‌های دریافت و ارسال داده الکترونیکی حرکت کنند. در این‌ صورت ضروری است که نه تنها فرستنده، گیرنده را تعیین اعتبار کند، بلکه گیرنده نیز فرستنده را تعیین اعتبار نماید. یک امضای دیجیتالی اهداف مورد نظر یک امضای دستی را دنبال می‌کند و ویژگی ممتاز آن این است که به‌سختی جعل می‌شود[13]. در نتیجه، برای تسهیل بهره‌گیری از امضای الکترونیکی می‌توان از خدمات تصدیق گواهی، قواعد و دستورالعمل‌هایی استفاده نمود که در آن، امضای الکترونیکی مانند یک ابزار فنی رضایت‌بخش و یک توشیح حقوقی محسوب می‌شود.

پی نوشت ها:

* دانشجوی کارشناسی ارشد مهندسی فناوری اطلاعات دانشکده آموزش های الکترونیکی دانشگاه شیراز.

1.A uthentication.
2. Verifiable.
3. Unique.
4. Non repudiation.
5. Credential.
6. Electronic Signature.
7. Digital Signature.
8. Integrity.
9. National Institute Of Standards and Technology.
10. Public Key Infrastructure.
11. Digital Signature Standard.
12. Pretty Good Privacy.
13. GNU Privacy Guard.
14. American Bar Association.
15. Digital Signature Guidelines.
16. Cryptography.
17. Certification Authorities (CA).
18. Uncitral Model Law on Electronic Commerce.
19. Intermational chamber of commerece (ICC).
20. General Usage for Intemational Digitally Ensured commerce.
21. Electroic Signatures Directive.
22. Uncitral Model Law on Electronic Signatures.
23. Elliptic Curue Digital Signature Algorithm.
24. Truncate.
25. Message Digest.
26. Hashing.
27. Hash Value.
28. Encryption.
29. Certificate Auturiry.
30. Trusted Third Party.
31. United Nation Commission of Intermational Trade Law (Uncitral).
32. European Union (EU).
33. Organization for Economic Cooperation and Development (OeCD).
34. International Chamber of Commerce.
35. General Usage International Digitally Ensured Commerce (GUIDEC)
36. Information System.
37. Data Message.
38. Secure/Enhanced/Advanced Electronic Signature.

منابع:

1. محمد جعفر جعفری لنگرودی، ترمینولوژی حقوق، ص 18، چاپ پنجم، انتشارات گنج دانش، تهران 1370.
2. ناصر کاتوزیان، اثبات و دلیل اثبات، ج 1، ص 278، نشر میزان، تهران 1380.

3. Brian Gladman, Carl Ellison and Nicholas Bohm, "Digital Signatures, Certificates and Electronic Commerce", Version l. l, revised 8th june 1999.
4. Lorna Brazel, Electronic Signatures Law and Regulation, P38 to 39.
5. Loran Brazel, Electronic Signatures Law and Regulation. P4, Sweet & Maxwell, London, 2004.
6. Avadhani. P. S, Chalamaih. N and Prapoorna Roja. P. "Secure Transit Of Confidential Documents Over Intermet Using High Speed RSA Algorithm", Proceedings OF CCCT – O4, International Conference held in Texas Austin, USA, in Aug-224.
7. Hung-Zih Liao, Yuan-Yuan Shen, "On the Elliptic Curve Digital Signature Algorithm", Tunghai Science Vol. 8: 109-126, July, 2206.
8. R.L. Rivest. RFC 1321: The MD5 Message-Digest Algorithm. Internet Activities Board, April 1992.
9. R.L. Rivest, A. Shamir, and L.M. Adleman. A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2): 120-126, February, 1978.
10. J. Hoffstein, D. Lieman, J. Silverman"Polynomial Rings and Efficient Public Key Authentication", Proceeding Of the International Workshop on Cryptographic Teehniques and E-Commerce (CrypTEC 99), M. Blum and C.H. Lee, eds., City University of Hong Kong Press, 1999.
11. Jeffry Hoffstein, Jill Pipher and Joseph H. Silverman "NTRU: A High Speed Public Key Cryptosystem", Pre Print Presented At He Hump Session Of Euro Crypt 96, 1996.
12. J. Hoffstein, J. Pipher, J. Silverman "NTRU: A Ring Based Public Key Cryptosystem", Algorithmic Number Theory (ANTS III), J.P. Buhler (ed.), Lecture Notes in Computer Science, Springer-Verlag, Berlin, Vol 1423, pp 267-288, Portland, OR, June 1998.
13. P. Prapoorna roga, and P. S. Avadhani "Digital Signature Development Using Truncated Polynomials" , IJCSNS International Journal of Computer Science and Network Security, VOL. 7 No. 7, July 2007.
14. Bidgoli, Hossein, Electronic Commerce: Principle and Practice, P57-Stephen Chen. Strategic Management of e-Business. P83.