امضای دیجیتال یک تکنیک ریاضی است که برای ارزیابی اصالت و یکپارچگی یک پیام، نرمافزار یا سند دیجیتال استفاده میشود. به عنوان معادل دیجیتالی امضای دستی یا مهر، امضای دیجیتال امنیت ذاتی بیشتری را ارائه میدهد و هدف آن حل مشکل دستکاری و جعل هویت در ارتباطات دیجیتال است.
امضاهای دیجیتال میتوانند اطمینان بیشتری از مدارک اصلی، هویت و وضعیت یک سند الکترونیکی، معامله یا پیام را ارائه دهند و میتوانند رضایت آگاهانه امضا کننده را تأیید کنند.
در بسیاری از کشورها از جمله ایالات متحده، امضاهای دیجیتال به طور قانونی به محکمی امضاهای سنتی در نظر گرفته میشوند.
امضای دیجیتال چگونه عمل میکند
امضاهای دیجیتال بر اساس رمزنگاری کلید عمومی است که به رمزنگاری نامتقارن نیز معروف است. با استفاده از یک الگوریتم کلید عمومی، مانند RSA، میتوان دو کلید ایجاد کرد که از لحاظ ریاضی به هم پیوند دارند: یکی خصوصی و دیگری عمومی.
امضاهای دیجیتال از طریق دو کلید رمزنگاری تأیید اعتبار متقابل با کلید عمومی کار میکنند. فردی که امضای دیجیتال را ایجاد میکند از کلید خصوصی خود برای رمزگذاری داده های مربوط به امضا استفاده میکند. تنها راه رمزگشایی این داده ها با کلید عمومی امضا کننده است. به این ترتیب امضای دیجیتال یکی از عوامل احراز هویت میباشد.
فناوری امضای دیجیتال هر دو طرفین را ملزم میکند که فرد ایجاد کننده امضا توانسته است کلید خصوصی خود را مخفی نگه دارد. اگر شخص دیگری به کلید خصوصی امضا کننده دسترسی داشته باشد، آن شخص میتواند امضاهای جعلی دیجیتالی را به نام دارنده کلید خصوصی ایجاد کند.
چگونه یک امضای دیجیتال ایجاد کنیم
برای ایجاد یک امضای دیجیتال، نرم افزار امضا – مانند یک برنامه ایمیل – یک هش روی داده الکترونیکی برای امضا ایجاد میکند. سپس از کلید خصوصی برای رمزگذاری هش استفاده میشود. هش رمزگذاری شده – همراه با سایر اطلاعات، مانند الگوریتم هش – همان امضای دیجیتال است.
دلیل رمزگذاری هش به جای کل پیام یا سند این است که یک تابع هش میتواند ورودی دلخواه را به مقدار طول ثابت تبدیل کند که معمولاً بسیار کوتاهتر است. این باعث صرفه جویی در وقت میشود زیرا هش بسیار سریعتر از امضا کردن است.
مقدار هش، منحصر به داده های هش شده است. هر تغییری در داده ها، حتی تغییر در یک کاراکتر، به یک مقدار منجر به تفاوت میشود. این ویژگی به دیگران امکان میدهد تا با استفاده از کلید عمومی امضا کننده برای رمزگشایی هش، یکپارچگی داده ها را تأیید کنند.
اگر هش رمزگشایی شده با هش محاسباتی دوم داده مشابه، مطابقت داشته باشد، ثابت میشود که داده از زمان امضای آن تغییر نکرده است. اگر این دو هش با هم مطابقت نداشته باشند، داده ها یا به طریقی دستکاری شدهاند – مصالحه برای یکپارچگی آن – یا امضا با یک کلید خصوصی ایجاد شده است که با کلید عمومی ارائه شده توسط امضا کننده مطابقت ندارد. این یک مسئله در رابطه با احراز هویت غیرحضوری است.
موارد استفاده
از امضای دیجیتال میتوان با هر نوع پیامی استفاده کرد. رمزگذاری شده باشد یا نه، به همین راحتی. گیرنده میتواند از هویت فرستنده مطمئن باشد و پیام دست نخورده باشد. امضاهای دیجیتالی انکار کردن امضا برای امضاکننده را دشوار میکند. با این فرض که کلید خصوصی آن ها به خطر نیفتاده باشد. زیرا امضای دیجیتال فقط برای سند و هم برای امضاکننده منحصر به فرد است و آن ها را به هم متصل میکند. این خاصیت را عدم پاسخگویی مینامند.
امضاهای دیجیتال را نباید با گواهی های دیجیتال اشتباه گرفت. یک گواهی دیجیتال، یک سند الکترونیکی است که حاوی امضای دیجیتال مرجع صدور گواهی است. یک کلید عمومی با شناسه را به هم متصل میکند و میتواند برای تأیید اینکه یک کلید عمومی متعلق به یک شخص یا نهاد خاص است استفاده شود.
اکثر برنامه های ایمیل مدرن از استفاده از امضاهای دیجیتال و گواهی های دیجیتال پشتیبانی میکنند. امضای ایمیل های خروجی و اعتبار سنجی پیام های دریافتی دیجیتالی را آسان میکنند. از امضاهای دیجیتال به طور گستردهای استفاده میشود تا اثبات صحت، یکپارچگی داده ها و عدم پذیرش ارتباطات و معاملات انجام شده از طریق اینترنت باشد.
کلاسهای امضاهای دیجیتال
سه کلاس مختلف گواهی های امضای دیجیتال وجود دارد:
کلاس ۱: برای اسناد حقوقی تجاری نمیتوان استفاده کرد. زیرا اعتبار آن ها فقط براساس شناسه ایمیل و نام کاربری است. امضاهای کلاس ۱ سطح امنیتی پایهای را ایجاد میکند و در محیط هایی با خطر کم خطر سازش داده ها استفاده میشود.
کلاس ۲: اغلب برای بایگانی الکترونیکی اسناد مالیاتی، از جمله اظهارنامه مالیات بر درآمد و اظهارنامه مالیات کالاها و خدمات (GST) استفاده میشود. امضاهای دیجیتال کلاس ۲ هویت یک گیرنده را در برابر یک پایگاه داده از قبل تأیید شده تأیید میکنند. امضاهای دیجیتال کلاس ۲ در محیط هایی استفاده میشود که خطرات و پیامدهای سازش در داده ها متوسط باشد.
کلاس ۳: بالاترین سطح امضاهای دیجیتال. امضاهای کلاس ۳ شخص یا سازمانی را ملزم میکند که قبل از امضا در برابر مرجع صدور گواهینامه حاضر شود. امضاهای دیجیتالی کلاس ۳ برای مزایدههای الکترونیکی، مناقصه الکترونیکی، فروش اینترنتی، پروندههای قضایی و سایر محیط هایی که تهدید به داده یا پیامدهای نقص امنیت زیاد است، استفاده میشود.
کاربردهای امضای دیجیتال
صنایع از فناوری امضای دیجیتال برای پردازش های گردشی و ارتقای یکپارچگی سند استفاده میکند. صنایعی که از امضای دیجیتال استفاده میکنند عبارتند از:
دولت
دفتر انتشارات دولت ایالات متحده نسخه های الکترونیکی بودجه، قوانین عمومی و خصوصی و لوایح کنگره را با امضای دیجیتال منتشر میکند. امضاهای دیجیتال توسط دولت های مختلف جهان برای مصارف مختلف از جمله پردازش اظهارنامه مالیاتی، تأیید معاملات تجارت به دولت (B2G)، تصویب قوانین و مدیریت قراردادها استفاده میشود. بیشتر نهادهای دولتی هنگام استفاده از امضاهای دیجیتال باید قوانین، مقررات و استانداردهای سختگیرانه را رعایت کنند.
بهداشت
از امضاهای دیجیتال در صنعت مراقبت های بهداشتی برای بهبود کارایی درمان و فرآیندهای اداری، تقویت امنیت داده ها و برای تجویز و پذیرش در بیمارستان استفاده میشود. استفاده از امضاهای دیجیتال در مراقبت های بهداشتی باید مطابق با قانون قابلیت حمل و پاسخگویی بیمه سلامت سال ۱۹۹۶ (HIPAA) باشد.
تولید
شرکت های تولیدی از امضاهای دیجیتالی برای تسریع فرآیندها، از جمله طراحی محصول، تضمین کیفیت (QA)، پیشرفت های تولید، بازاریابی و فروش استفاده میکنند. استفاده از امضاهای دیجیتال در تولید توسط سازمان بین المللی استاندارد سازی (ISO) و موسسه ملی استاندارد و فناوری (NIST) گواهی ساخت دیجیتال (DMC) اداره میشود.
خدمات مالی
بخش مالی ایالات متحده از امضاهای دیجیتال برای قراردادها، بانکداری بدون کاغذ، فرایند وام، اسناد بیمه، وام ها و غیره استفاده میکند. این بخش که به شدت تنظیم شده است با توجه دقیق به مقررات و راهنمایی های مندرج در قانون تجارت جهانی و ملی (قانون E-Sign)، مقررات ایالتی UETA، اداره حمایت از حقوق مصرف کننده (CFPB) فدرال مالی و شورای آزمون موسسات (FFIEC) از امضاهای دیجیتالی استفاده میکند.
امضای دیجیتال در برابر امضای الکترونیک
اگرچه این دو اصطلاح شبیه به هم می باشند. اما امضاهای دیجیتال با امضای الکترونیکی متفاوت هستند. امضای دیجیتال یک اصطلاح فنی است. اما تعریف یک فرآیند رمزنگاری است که میتواند برای تأیید توالی داده ها مورد استفاده قرار گیرد. اصطلاح امضای الکترونیکی اصطلاحی است که به طور قانونی تعریف میشود.
به عنوان مثال، در ایالات متحده، این اصطلاح در قانون تجارت ملی و امضا در سال ۲۰۰۰ به تصویب رسید. به معنای “یک صدا، نماد یا فرآیند الکترونیکی، ضمیمه شده یا منطقی با یک قرارداد یا پرونده دیگر و توسط شخصی به قصد امضای سند پذیرفته شد. “
این بدان معنی است که یک امضای دیجیتال میتواند نوعی امضای الکترونیکی باشد. امضای دیجیتال میتواند به صورت الکترونیکی بیان شود و با نمایش یک سند همراه باشد. به طور کلی، امضای الکترونیکی میتواند به سادگی نام امضا کننده در فرم موجود در یک صفحه وب باشد.
تعیین اعتبار امضای دیجیتال
برای معتبر بودن، برنامه های امضای الکترونیک باید این سه چیز را داشته باشند:
- راهی برای تأیید شخصیتی که امضا میکند؛
- راهی برای تأیید این که هویت امضا کننده قصد دارد سندی که امضا میکند را تصدیق کند؛
- راهی برای تأیید این که امضای الکترونیک در واقع با سند امضا شده در ارتباط است.
یک امضای دیجیتال میتواند به تنهایی این نیاز ها را برای عمل کردن به صورت یک امضای الکترونیک برآورده کند:
- کلید عمومی امضای دیجیتال با شناسایی هویت امضا کننده مرتبط است؛
- امضای دیجیتال تنها بوسیله دارنده کلید عمومی کلید خصوصی مربوطه صورت میگیرد. این نوع امضاها نشان دهنده قصد هویت برای استفاده از آن برای امضا است.
- امضای دیجیتال تنها زمانی احراز میشود که داده – سند یا ارائه یک سند – امضا شده تغییر نیافته باشد. اگر یک سند پس از امضا شدن تغییر کند، امضای دیجیتال احراز نخواهد شد.
امضاهای دیجیتال معتبر اثبات رمزنگاری ارائه شده مبنی بر اینکه سندی توسط نهاد اعلام شده امضا شده و سند تغییری نکرده است. همه امضاهای الکترونیکی نمیتوانند ضمانت های یکسانی را ارائه دهند.
ویژگی ها و مزایای امنیتی امضای دیجیتال
ویژگی های امنیتی تعبیه شده در امضاهای دیجیتال اطمینان حاصل میکنند که یک سند تغییر داده نشده و این که امضاها موثق هستند. ویژگی های امنیتی و روش های استفاده شده در امضاهای دیجیتال عبارتند از:
پین ها، کلمات عبور و کد ها
مورد استفاده برای احراز و تأیید هویت امضا کننده و تأیید امضای آن ها. ایمیل، نام کاربری و کلمه عبور رایج ترین موارد هستند.
مهر زمانی
داده و زمان یک امضا را فراهم میکند. مهر زمانی، زمانی مفید است که زمانبندی یک امضای دیجیتال مهم است. مانند معاملات بورسی، صدور بلیط و رویه های قانونی.
رمزگذاری نامتقارن
از یک الگوریتم کلید عمومی استفاده میکند که شامل کدگذاری/احراز کلید عمومی و خصوصی است.
جمع کنترلی
رشتهای طولانی از حروف و اعداد که مجموع ارقام صحیح قطعهای از دادههای دیجیتال را نشان میدهد. در مقایسه با آن ها میتوان اشتباهات یا تغییرات را تشخیص داد. جمع کنترلی به عنوان اثر انگشت داده عمل میکند.
کنترل چرخهای افزونگی (CRC)
یک کد شناسایی خطا و ویژگی تأیید مورد استفاده در شبکه های دیجیتال و دستگاه های انبار است. از آن برای شناسایی تغییرات اعمال شده در داده های خام استفاده می شود.
ارزیابی مجوز گواهی (CA)
با قبول احراز هویت، صدور و نگهداری گواهی های دیجیتالی امضاهای دیجیتال را صادر میکنند. آنها به عنوان شخص ثالث مورد اعتماد عمل میکنند. استفاده از CA به شما کمک میکند تا از ایجاد گواهی دیجیتال جعلی جلوگیری کنید.
ارزیابی تأمین کننده خدمات اعتماد(TSP)
شخص یا هویتی قانونی است که ارزیابی امضای دیجیتال را از طرف یک شرکت انجام میدهد و گزارش ارزیابی امضا را ارائه میکند.
سرویس احراز هویت یوآیدی به عنوان اولین راهکار احراز هویت دیجیتال، با استفاده از الگوریتم های هوش مصنوعی مانند یادگیری عمیق، تشخیص چهره و تشخیص زنده بودن چهره کاربر، فرایند احراز هویت ثنا، احراز هویت سجام برای دریافت کد بورسی، احراز هویت سامانه روابط کار و همچنین احراز هویت صرافی رمز ارز را با ضریب خطای کمتر از ۰.۰۱ درصد انجام می دهد.