گفتار دوم- امضای الکترونیکی

در این گفتار برای آشنایی با امضای الکترونیکی در بندهای آتی مفهوم، تعریف و انواع امضای الکترونیکی تبیین خواهند شد.

جهت دانلود متن کامل این پایان نامه به سایت abisho.ir مراجعه نمایید.

بند نخست- مفهوم امضای الکترونیکی

امضا مهمترین رکن هر سند است و علی‌الاصول نوشته بدون امضا سند محسوب نمی‌شود؛ بنابراین و با توجه به کارکردهای بسیار مهمی که برای امضا برشمردیم[۱۰۳]، امضا نقش فوق‌العاده مؤثری در شکل گرفتن یک سند دارد. حتی در فضای مجازی نیز که نوشته‌ها تجسم عینی و ملموس ندارند، شخصی که نوشته الکترونیکی به وی مربوط می‌شود باید به‌وسیله‌ای قصد التزام خود به مفاد نوشته را بروز دهد تا از این طریق انتساب سند الکترونیکی به او احراز شود. از این حیث نوشته‌های الکترونیکی واجد خصوصیتی نیستند که آنها را بی‌نیاز از امضا کند.
هر ابزار و روش فنی که بتوان از آن برای تصدیق مندرجات نوشته‌های الکترونیکی استفاده کرد و حداقل الزامات و کارکردهای قانونی برای امضا را در فضای مجازی تأمین و تضمین کند، می‌توان امضای الکترونیکی نامید؛ پس هر فرایند الکترونیکی می‌تواند تحت شرایطی امضا(به مفهوم سنتی آن) محسوب گردد. امضا در مفهوم الکترونیکی خود، نقش مهمتری در شکل‌گیری یک سند الکترونیکی دارد و به‌نحوی‌که در ادامه خواهد آمد علاوه بر اینکه کارکردهای امضای سنتی را تأمین می‌کند، کارکردها و ویژگی‌های منحصر به‌فردی نیز به‌همراه دارد.

بند دوم- تعریف امضای الکترونیکی

در مقررات مختلف تعاریفی از امضای الکترونیکی ارائه شده است که به برخی از آنها اشاره می‌شود:
در سطح بین‌الملل ماده دو ق.ن.ا.ا.آ بیان داشته: «امضای الکترونیک عبارت است از داده‌ای در شکل الکترونیک، ضمیمه شده یا به طور منطقی پیوسته شده با یک داده پیام، که ممکن است برای شناسایی امضا کننده در ارتباط با داده پیام و نشان دادن رضایت امضا کننده در مورد اطلاعاتی که داده پیام حاوی آنهاست استفاده شود.».
در سطح منطقه اروپا در ماده دو دستورالعمل ۱۹۹۹/۹۳/EC، امضای الکترونیکی چنین تعریف شده است: «داده‌ای در شکل الکترونیک که ضمیمه شده یا به نحو منطقی پیوسته شده با داده الکترونیک دیگر که به عنوان روشی برای مستندسازی به کار می‌رود.».
ق.ن.د.ا.آ در بند ۹-۱۵ از ماده سه اعلام کرده: «امضای الکترونیکی عبارت است از هر صدا، نشانه یا فرایند الکترونیکی که به طور منطقی با یک سند الکترونیکی پیوسته شده یا به آن ضمیمه شده و توسط شخصی که قصد امضای سند را دارد قبول و انجام شده است.».
در ماده دو از مصوبه امضای الکترونیکی شورای دولتی فرانسه آمده: «امضای الکترونیکی داده‌هایی است که به نحو مقرر در فراز دو ماده ۱۳۱۶-۴ قانون مدنی به وجود آمده باشد.»[۱۰۴] و فراز دوم ماده ۱۳۱۶-۴ قانون مدنی فرانسه مقرر داشته: «هرگاه]امضایی که برای انجام معامله لازم است[ الکترونیکی باشد، عبارت از فرایند قابل اطمینان شناسایی است که پیوند امضا را با سندی که به آن مرتبط است تأمین می‌کند. قابلیت اطمینان آن فرایند تا زمانی‌که دلیل مخالفی در میان نباشد مفروض است، هرگاه امضای الکترونیکی ایجاد شود، هویت امضا کننده تضمین می‌شود و تمامیت سند[۱۰۵] تأمین می‌شود، مشروط به شرایط مقرر شده در مصوبه شورای دولتی.»[۱۰۶]
تعریفی که ق.ت.ا کشورمان در بند «ی» ماده دو ارائه داشته چنین است: «امضای الکترونیکی عبارت از هرنوع علامت منضم شده یا به نحو منطقی متصل شده به داده پیام است که برای شناسایی امضا کننده داده پیام مورد استفاده قرار گیرد.».
با دقت در تعاریف فوق به‌نظر می‌رسد اولاً صرف‌نظر از اینکه امضای الکترونیکی به‌طور کلی یک فرایند الکترونیکی است، امضای الکترونیکی ایجاد شده داده‌ای الکترونیکی است که جامع علامت، صدا، نشانه و غیره می‌باشد؛ ثانیاً هریک از تعاریف یاد شده به قسمتی از ویژگی‌های امضای الکترونیکی نظیر قابلیت شناسایی، نشان دادن رضایت امضا کننده، معتبرسازی نوشته‌های الکترونیکی و قصد امضا کننده توجه دارند که همانا ویژگی‌ها و کارکردهای امضای سنتی نیز هستند، اما قانون‌گذار مدنی فرانسه، به دو ویژگی و کارکرد دیگر از امضای الکترونیکی اشاره داشته که عبارتند از تأمین پیوند امضا با سندی که به آن مرتبط است و تأمین تمامیت سند که کارکرد اخیر، کارکرد خاص امضای الکترونیکی مطمئن است که توضیح این نوع از امضا در ادامه خواهد آمد.
بنابر آنچه بیان شد امضای الکترونیکی را می‌توان این‌چنین تعریف کرد: هرنوع داده‌ای منضم شده یا به نحو منطقی متصل شده به یک سند الکترونیکی، که برای شناسایی امضا کننده، نشان دادن رضایت و قصد التزام وی به مندرجات سند الکترونیکی مورد استفاده قرار می‌گیرد و موجب انتساب سند به او می‌شود.

بند سوم- انواع امضای الکترونیکی

ق.ت.ا کشورمان با رویکردی دوگانه، در سطح نخست هر علامت که توسط واسط‌های الکترونیکی تولید شده و برای شناسایی امضا کننده مورد استفاده قرار ‌گیرد را به عنوان یک حداقل اعتبار قانونی به‌رسمیت شناخته و در سطح دوم شروط و معیارهایی را برای امضای الکترونیکی معرفی و مقرر داشته است که امضایی که واجد این شروط بوده و معیار‌های یاد شده را تأمین و تضمین کند، صرف‌نظر از فناوری به‌کار برده شده، به عنوان امضای الکترونیکی مطمئن به‌رسمیت می‌شناسد[۱۰۷]. از این‌رو می‌توان گفت قانون تجارت الکترونیکی ایران بر مبنای سطح ایمنی فراهم شده برای امضا، دو نوع امضای الکترونیکی را شناسایی کرده است: ۱- امضای الکترونیکی مطمئن؛ و ۲- امضای الکترونیکی غیرمطمئن؛ که در ادامه آنها را بیان خواهیم کرد.

الف- امضای الکترونیکی مطمئن

از آنجا که در بند قبل امضای الکترونیکی را تعریف کردیم و امضای الکترونیکی مطمئن معمولاً با بیان معیارها و شرایط آن تعریف می‌شود و هر امضای الکترونیکی که معیارها و شرایط در نظر گرفته شده قانونی را تأمین کند امضای الکترونیکی مطمئن نامیده می‌شود، در این بند از تعریف جداگانه امضای الکترونیکی مطمئن صرف‌نظر و مستقیماً به بیان معیارها و ویژگی‌های آن می‌پردازیم.

۱- معیارها و ویژگی‌های امضای الکترونیکی مطمئن

در مقررات مربوطه جهانی، قانون‌گذاران برای اینکه امضای الکترونیکی مطمئن محسوب شود، با بیان معیارها، وجود شرایطی را الزامی دانسته‌اند:
ق.ن.ا.ا.آ در پارگراف یک از ماده شش اشعار داشته: «هرگاه قانون امضای شخصی را لازم بداند، آن الزام در ارتباط با داده پیام محقق است اگر با لحاظ همه اوضاع و احوال شامل هر قرارداد مربوطه، از یک امضای الکترونیکی مطمئن و متناسب با هدفی که داده پیام برای آن ایجاد یا تبادل شده است استفاده شود.» و در پاراگراف سه از همان ماده بیان شده «امضای الکترونیکی برای هدف ایفای الزام اشاره شده در پاراگراف یک معتبر شناخته می‌شود اگر:
(الف) داده‌های ایجاد امضای الکترونیکی، در متنی که برای آن استفاده شده است، منتسب به امضا کننده باشند نه به شخص دیگری؛
(ب) داده‌های ایجاد امضا، در زمان امضا، تحت کنترل امضا کننده باشند نه شخص دیگری؛
(ج) هرگونه تغییر ایجاد شده در امضای الکترونیکی بعد از زمان امضا، قابل تشخیص باشد؛ و
(د) هرگاه هدف از الزام قانونی برای امضا، تدارک دیدن اطمینان از تمامیت اطلاعاتی است که امضا حاکی از آن است، هرگونه تغییر ایجاد شده در آن اطلاعات بعد از زمان امضا، قابل تشخیص باشد.». این قانون در مواردی که تحصیل اطمینان از تمامیت اطلاعات ضروری باشد، شرط تأمین تمامیت اطلاعات را لازم دانسته نه در همه موارد، از این‌رو امضای الکترونیکی در صورت تناسب ایمنی روش‌های به‌کار گرفته شده با هدفی که داده پیام برای آن ایجاد و تبادل شده است، مطمئن محسوب می‌شود و چنانچه ایمنی روش‌های به‌کار گرفته شده تناسبی با هدف نداشته باشد، در آن خصوص مطمئن نبوده و الزام قانونی یاد شده(وجود امضای شخص) را فراهم نمی‌کند.
طبق بند دو از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC پارلمان و شورای اروپا، امضای الکترونیکی پیشرفته(مطمئن) باید الزامات زیر را تأمین کند:
«(الف) به نحو منحصر به فردی منتسب به امضا کننده باشد؛
(ب) قابلیت شناسایی هویت امضا کننده را داشته باشد؛
(ج) با بهره گرفتن از وسایلی ایجاد شده باشد که امضا کننده بتواند آن‌را تحت اراده انحصاری خویش نگاه دارد؛ و
(د) به نحوی به داده‌هایی که به آنها مرتبط است متصل شده باشد که هرگونه تغییر بعدی داده‌ها قابل تشخیص باشد».
مصوبه امضای الکترونیکی شورای دولتی فرانسه در بخش شرایط راجع به وسایل و روش‌های‌ ایجاد امضای الکترونیکی در ماده سه مقرر داشته: «به‌منظور اجرای ماده یک این مصوبه، وسایل و روش‌های امضای الکترونیکی:
۱) تضمین می‌کند که امضای الکترونیکی منحصراً به امضا کننده منتسب است.
۲) امکان ایجاد امضای الکترونیکی را به وسایلی که تحت کنترل انحصاری امضا کننده باشد فراهم می‌کند.
۳) امضای الکترونیکی به نحوی ‌ایجاد و به داده‌های مرتبط به خود متصل می‌شود که هرگونه تغییر بعدی در آن قابل کشف باشد.
۴) از طریق ابزارهای فنی و روش‌های مناسب تضمین می‌کند که:
الف) داده‌های مورد استفاده برای امضای الکترونیکی نتوانند بیشتر از یک‌بار استفاده شده و اینکه جنبه محرمانه آنها تضمین شود.
ب) داده‌های مورد استفاده برای امضای الکترونیکی از طریق استنتاج قابل دستیابی نباشد و اینکه امضا در مقابل هرگونه شبیه‌سازی از طریق ابزارهای فنی مطابق با پیشرفت‌های فنی محافظت شود.
پ) داده‌های مورد استفاده برای امضای الکترونیکی توسط امضا کننده قانونی در مقابل استفاده آن توسط اشخاص ثالث به نحو اطمینان ‌بخشی مورد محافظت قرار گیرد.
۵) وسایل و روش‌های امضای الکترونیکی نباید داده‌های لازم برای امضا را تغییر دهد یا موجب آن شود که‌ این داده‌ها قبل از طی تشریفات امضا در اختیار امضا کننده قرار گیرد.»[۱۰۸]. این مصوبه با توجه به ماده ۱۳۱۶-۴ قانون مدنی فرانسه، معیارها و شرایطی را که برای انجام امضای یک معامله مقرر داشته، شرایط امضای الکترونیکی مطمئن است و فقط امضایی را که معیارهای مذکور را تأمین کند(امضای الکترونیکی مطمئن) برای انجام امضای معامله معتبر می‌داند و تفکیکی بین امضاهای الکترونیکی قائل نشده است.
در حقوق ایران ماده ۱۰ ق.ت.ا، معیارها و شرایط امضای الکترونیکی مطمئن را احصا کرده و مقرر داشته است: «امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد:
الف- نسبت به امضا کننده منحصر به فرد باشد.
ب- هویت امضا کننده داده پیام را معلوم نماید.
ج- به‌وسیله امضا کننده و یا تحت اراده انحصاری وی صادر شده باشد.
د- به‌نحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام قابل تشخیص و کشف باشد.»
ویژگی و کارکرد‌های امضای الکترونیکی مطمئن که در قوانین یاد شده به آنها اشاره شده است، عبارتند از:
۱- نسبت به امضا کننده منحصر به فرد بودن؛
۲- داشتن قابلیت شناسایی هویت امضاکننده؛
۳- منتسب نمودن داده پیام به امضا کننده؛ و
۴- قابلیت تشخیص و کشف هرگونه تغییر در داده پیام(تأمین تمامیت).
کارکرد اخیر ویژگی خاص امضای الکترونیکی است و امضای سنتی چنین کارکردی ندارد، چرا که در سیستم مبتنی بر کاغذ این مهم از قابلیت‌های کاغذ است که هرگونه تغییر(اعم از پاک‌شدگی، تراشیدگی و الحاق) به کمک روش‌های فنی و کارشناسی قابل کشف است.
با نگاهی به مقررات اخیر‌الذکر ملاحظه می‌شود که قانون‌گذاران درصدد تلفیق ویژگی‌ها و کارکردهای امضای سنتی و الکترونیکی بوده‌اند و بر اساس این رویکردها استفاده می‌شود که امضای الکترونیکی در صورت دارا بودن شرایط مقرره، به عنوان جایگزینی برای امضای دست‌نوشته شناخته شده است.
در امضای الکترونیکی، تکنولوژی و روش خاصی برای امضا موضوعیت ندارد، بلکه هر تکنولوژی و روشی که الزامات و اهدافی را که قانون‌گذاران در نظر گرفته‌اند تأمین کند، می‌تواند برای ایجاد امضای الکترونیکی به‌کار گرفته شود. همچنان‌که ق.ن.ا.ا.آ که ملهِم قانون‌های ملی از جمله ق.ت.ا کشورمان می‌باشد، در ماده سه مقرر داشته: «هیچ‌یک از مواد این قانون به جز ماده پنج نبایستی طوری اعمال شود که اثر حقوقی هریک از روش‌های ایجاد یک امضای الکترونیکی را که واجد الزامات اشاره شده در پاراگراف یک ماده شش می‌باشد یا به نحوی الزامات قانون حاکمی را تأمین می‌کند، استثنا، محدود یا محروم کند.»؛ بر همین اساس ممکن است از روش‌های مبتنی بر زیست‌سنجی[۱۰۹] که از خصیصه‌های فیزیولوژیکی و منحصر به فرد انسان، مانند اثرانگشت وی برای محقق ساختن اهداف مورد نظر بهره می‌برد استفاده شود، و یا با پیشرفت تکنولوژی، روش‌های جایگزین مطمئن‌تری شناخته شود.
امروزه در اکثر کشورها از جمله در کشور ما برای تأمین الزامات قانونی و ایجاد امضای الکترونیکی مطمئن، از امضای دیجیتالیِ مبتنی بر فناوری رمزنگاری[۱۱۰] با الگوریتم نامتقارن[۱۱۱] استفاده می‌شود. فناوری رمزنگاری حوزه‌ای از دانش و تکنیک برای انتقال داده میان کاربران بر روی یک کانال عمومی(در معرض حمله مهاجم خارجی) است، به منظور:
۱- مخفی کردن محتوی آن؛
۲- جلوگیری از تغییرات ناخواسته؛ و
۳- جلوگیری از دسترسی‌های غیرمجاز[۱۱۲].
الگوریتم‌های نامتقارن، الگوریتم‌هایی هستند که دو کلید را مورد استفاده قرار می‌دهند. یک کلید برای رمزگذاری پیام و کلید دیگری که متفاوت از اولی است، برای رمزگشایی پیام وجود دارد[۱۱۳].
در امضای دیجیتالی مبتنی بر فناوری رمزنگاری نامتقارن، از یک زوج کلید[۱۱۴] مرتبط ریاضیاتی، یعنی کلید خصوصی[۱۱۵] و کلید عمومی[۱۱۶]، به عبارت دیگر داده‌های ایجاد و وارسی امضای الکترونیکی، برای امضای الکترونیکی استفاده می‌شود؛ کلید خصوصی آشکار نبوده و در اختیار امضا کننده است و فاش نمی‌شود، اما کلید عمومی قابلیت بازبینی را دارد و در اختیار طرف اعتماد کننده[۱۱۷] برای اعتبار سنجی و تصدیق قرار می‌گیرد.
کلید خصوصی داده‌ای انحصاری(منحصر به فرد) نظیر رمز است که امضا کننده برای ایجاد امضای الکترونیکی از آن استفاده می‌کند و کلید عمومی داده‌ای نظیر رمز می‌باشد که برای بررسی صحت امضای الکترونیکی و شناسایی کردن مالک کلید خصوصی، مورد استفاده قرار می‌گیرد و در مخزن[۱۱۸] گواهی، ذخیره شده و در دسترس طرف اعتماد کننده قرار می‌گیرد.
امضای الکترونیکی مبتنی بر فناوری رمزنگاری، یک رشته عددی است که به روش پیچیده‌ای از متن یک سند استخراج و پس از رمزنگاری با کلید خصوصی صاحب سند، به اصل سند ضمیمه و ارسال می‌شود، به‌گونه‌ای که هر گیرنده اطلاعات بتواند منبع و تمامیت اطلاعـات را تشخیص دهد[۱۱۹].
بدین‌ترتیب امضای دیجیتالی با خصوصیاتی که برایش برشمردیم، الزامات و اهدافی نظیر شناسایی(تعیین هویت)[۱۲۰]، تمامیت[۱۲۱] و منحصربه‌فرد[۱۲۲] ‌بودن را تأمین می‌کند. برای فهم هرچه بهتر کارکردهای این فناوری، شناخت «گواهی الکترونیکی»[۱۲۳] و «دفاتر خدمات صدور گواهی الکترونیکی»[۱۲۴] ضروری است که در ادامه به آن‌ ها می‌پردازیم.

۲- گواهی الکترونیکی

طبق بند (ب) از ماده دو ق.ن.ا.ا.آ: «گواهی عبارت است از یک داده پیام یا مستندی دیگر که پیوند میان امضا کننده و امضا را در ایجاد داده تأیید می‌کند.»
بند چهار از ماده دو دستورالعمل ۱۹۹۹/۹۳/EC، مصوب داشته: «داده‌های ایجاد امضا[۱۲۵] عبارت است از داده‌های منحصر به‌فردی نظیر کدها یا کلیدهای خصوصی رمزنگاری، که توسط امضاکننده برای ایجاد یک امضای الکترونیکی استفاده می‌شوند.» مصوبه شورای دولتی فرانسه نیز دقیقاً همین تعریف را در ماده دو تحت عنوان «داده‌های امضای الکترونیکی» به‌عمل آورده است.
طبق تعریفی که بند «ج» ماده یک آیین‌نامه اجرایی ماده (۳۲) ق.ت.ا به دست می‌دهد: «گواهی الکترونیکی داده الکترونیکی است حاوی اطلاعاتی در مورد مرکز صادرکننده گواهی، مالک گواهی، تاریخ صدور و انقضا، کلید عمومی مالک و یک شماره سریال که توسط مرکز میانی تولید شده به گونه‌ای که هر شخصی می‌تواند به صحت ارتباط بین کلید عمومی و مالک آن اعتماد کند.».
گواهی الکترونیکی ساختار داده‌ای الکترونیکی است که به آن یک امضای الکترونیکی بر اساس آن ساختار داده‌ای اضافه می‌شود و جهت ارتباط دادن نام و مشخصات امضا کننده با کلید عمومی او مورد استفاده قرار می‌گیرد، به بیانی روشن‌تر گواهی الکترونیکی همان شناسنامه‌ای است که هویت واقعی شما را به صورت مجازی تعیین می‌کند. کاربرد گواهی الکترونیکی در حقیقت، استفاده در امضای الکترونیکی و رمزنگاری اطلاعات است. در مجموع، گواهی الکترونیکی سندی است که:
۱- توسط یک موجودیت قابل اعتماد صادر و امضا شده است.
۲- بر اساس تأیید هویتی است که توسط یک مرکز صورت گرفته است.
۳- حاوی یک سری اطلاعات و کلید عمومی شخص یا سازمان است.
۴- مورد استفاده آن در گواهی قید شده است.
۵- مدت اعتبار مشخص و محدودی دارد.[۱۲۶]
گواهی الکترونیکی را می‌توان ترکیبی از مدرک شناسایی و وسیله‌ای برای امضا در فضای مجازی دانست، با این تفاوت که اولاً برای دسترسی به اطلاعات گواهی الکترونیکی و استفاده از آن روش خاصی(معمولاً وارد کردن رمز عبور) در نظر گرفته می‌شود و ثانیاً صاحبان گواهی در قبال آن وظایفی نظیر استفاده از گواهی تنها برای مقاصد قانونی و مجاز مطابق مقررات و اطلاع‌رسانی به دفاتر ثبت نام در صورت در خطر افشا قرار گرفتن کلید خصوصی خود، بر عهده دارند و ثالثاً باید گواهی را تحت اراده انحصاری خود نگهداری کنند.
البته لازم به‌ذکر به‌نظر می‌رسد که اطلاق گواهی الکترونیکی به گواهی دیجیتالی به دلیل عدم تأکید بر فناوری خاصی نظیر فناوری دیجیتال بوده و مبنی بر مسامحه است و هرچند عرفاً با ایرادی مواجه نیست، اما از نظر علمی میان آنها تفاوت است و گواهی الکترونیکی اعم از گواهی دیجیتالی(رقمی) است.
گواهی‌های دیجیتالی بر روی سخت‌افزارهایی که مطابق مشخصات فنی اعلام شده از طرف مراکز صدور گواهی می‌باشند، تولید و به متقاضی تحویل می‌شوند.
استفاده گسترده از امضای دیجیتالی، مستلزم وجود زیر ساخت کلید عمومی[۱۲۷] که عبارت است از «مجموعه‌ای از نرم‌افزارها، سخت‌افزارها، سیاست‌ها، فرایندها و روال‌های مورد نیاز برای مدیریت گواهی‌ها و زوج کلیدها»(بند «ش» ماده یک آیین‌نامه اجرایی ماده ۳۲ ق.ت.ا)، و وجود مرجع ثالث قابل اعتمادی[۱۲۸](دفاتر خدمات صدور گواهی الکترونیکی) برای ارائه خدمات گواهی می‌باشد.

۳- دفاتر خدمات صدور گواهی الکترونیکی