امضای دیجیتال یک تکنیک ریاضی است که برای ارزیابی اصالت و یکپارچگی یک پیام، نرم‌افزار یا سند دیجیتال استفاده می‌شود. به عنوان معادل دیجیتالی امضای دستی یا مهر، امضای دیجیتال امنیت ذاتی بیشتری را ارائه می‌دهد و هدف آن حل مشکل دستکاری و جعل هویت در ارتباطات دیجیتال است.

امضاهای دیجیتال می‌توانند اطمینان بیشتری از مدارک اصلی، هویت و وضعیت یک سند الکترونیکی، معامله یا پیام را ارائه دهند و می‌توانند رضایت آگاهانه امضا کننده را تأیید کنند.

در بسیاری از کشورها از جمله ایالات متحده، امضاهای دیجیتال به طور قانونی به محکمی امضاهای سنتی در نظر گرفته می‌شوند.

امضای دیجیتال چگونه عمل می‌کند

امضاهای دیجیتال بر اساس رمزنگاری کلید عمومی است که به رمزنگاری نامتقارن نیز معروف است. با استفاده از یک الگوریتم کلید عمومی، مانند RSA، می‌توان دو کلید ایجاد کرد که از لحاظ ریاضی به هم پیوند دارند: یکی خصوصی و دیگری عمومی.

امضاهای دیجیتال از طریق دو کلید رمزنگاری تأیید اعتبار متقابل با کلید عمومی کار می‌کنند. فردی که امضای دیجیتال را ایجاد می‌کند از کلید خصوصی خود برای رمزگذاری داده های مربوط به امضا استفاده می‌کند. تنها راه رمزگشایی این داده ها با کلید عمومی امضا کننده است. به این ترتیب امضای دیجیتال یکی از عوامل احراز هویت می‌باشد.

فناوری امضای دیجیتال هر دو طرفین را ملزم می‌کند که فرد ایجاد کننده امضا توانسته است کلید خصوصی خود را مخفی نگه دارد. اگر شخص دیگری به کلید خصوصی امضا کننده دسترسی داشته باشد، آن شخص می‌تواند امضاهای جعلی دیجیتالی را به نام دارنده کلید خصوصی ایجاد کند.

چگونه یک امضای دیجیتال ایجاد کنیم

برای ایجاد یک امضای دیجیتال، نرم افزار امضا – مانند یک برنامه ایمیل – یک هش روی داده الکترونیکی برای امضا ایجاد می‌کند. سپس از کلید خصوصی برای رمزگذاری هش استفاده می‌شود. هش رمزگذاری شده – همراه با سایر اطلاعات، مانند الگوریتم هش –  همان امضای دیجیتال است.

دلیل رمزگذاری هش به جای کل پیام یا سند این است که یک تابع هش می‌تواند ورودی دلخواه را به مقدار طول ثابت تبدیل کند که معمولاً بسیار کوتاه‌تر است. این باعث صرفه جویی در وقت می‌شود زیرا هش بسیار سریعتر از امضا کردن است.

مقدار هش، منحصر به داده های هش شده است. هر تغییری در داده ها، حتی تغییر در یک کاراکتر، به یک مقدار منجر به تفاوت می‌شود. این ویژگی به دیگران امکان می‌دهد تا با استفاده از کلید عمومی امضا کننده برای رمزگشایی هش، یکپارچگی داده ها را تأیید کنند.

اگر هش رمزگشایی شده با هش محاسباتی دوم داده مشابه، مطابقت داشته باشد، ثابت می‌شود که داده از زمان امضای آن تغییر نکرده است. اگر این دو هش با هم مطابقت نداشته باشند، داده ها یا به طریقی دستکاری شده‌اند – مصالحه برای یکپارچگی آن – یا امضا با یک کلید خصوصی ایجاد شده است که با کلید عمومی ارائه شده توسط امضا کننده مطابقت ندارد. این یک مسئله در رابطه با احراز هویت غیرحضوری است.

موارد استفاده

از امضای دیجیتال می‌توان با هر نوع پیامی استفاده کرد. رمزگذاری شده باشد یا نه، به همین راحتی. گیرنده می‌تواند از هویت فرستنده مطمئن باشد و پیام دست نخورده باشد. امضاهای دیجیتالی انکار کردن امضا برای امضاکننده را دشوار می‌کند. با این فرض که کلید خصوصی آن ها به خطر نیفتاده باشد. زیرا امضای دیجیتال فقط برای سند و هم برای امضاکننده منحصر به فرد است و آن ها را به هم متصل می‌کند. این خاصیت را عدم پاسخگویی می‌نامند.

امضاهای دیجیتال را نباید با گواهی های دیجیتال اشتباه گرفت. یک گواهی دیجیتال، یک سند الکترونیکی است که حاوی امضای دیجیتال مرجع صدور گواهی است. یک کلید عمومی با شناسه را به هم متصل می‌کند و می‌تواند برای تأیید اینکه یک کلید عمومی متعلق به یک شخص یا نهاد خاص است استفاده شود.

اکثر برنامه های ایمیل مدرن از استفاده از امضاهای دیجیتال و گواهی های دیجیتال پشتیبانی می‌کنند. امضای ایمیل های خروجی و اعتبار سنجی پیام های دریافتی دیجیتالی را آسان می‌کنند. از امضاهای دیجیتال به طور گسترده‌ای استفاده می‌شود تا اثبات صحت، یکپارچگی داده ها و عدم پذیرش ارتباطات و معاملات انجام شده از طریق اینترنت باشد.

کلاس‌های امضاهای دیجیتال

سه کلاس مختلف گواهی های امضای دیجیتال وجود دارد:

کلاس ۱: برای اسناد حقوقی تجاری نمی‌توان استفاده کرد. زیرا اعتبار آن ها فقط براساس شناسه ایمیل و نام کاربری است. امضاهای کلاس ۱ سطح امنیتی پایه‌ای را ایجاد می‌کند و در محیط هایی با خطر کم خطر سازش داده ها استفاده می‌شود.

کلاس ۲: اغلب برای بایگانی الکترونیکی اسناد مالیاتی، از جمله اظهارنامه مالیات بر درآمد و اظهارنامه مالیات کالاها و خدمات (GST) استفاده می‌شود. امضاهای دیجیتال کلاس ۲ هویت یک گیرنده را در برابر یک پایگاه داده از قبل تأیید شده تأیید می‌کنند. امضاهای دیجیتال کلاس ۲ در محیط هایی استفاده می‌شود که خطرات و پیامدهای سازش در داده ها متوسط باشد.

کلاس ۳: بالاترین سطح امضاهای دیجیتال. امضاهای کلاس ۳ شخص یا سازمانی را ملزم می‌کند که قبل از امضا در برابر مرجع صدور گواهینامه حاضر شود. امضاهای دیجیتالی کلاس ۳ برای مزایده‌های الکترونیکی، مناقصه الکترونیکی، فروش اینترنتی، پرونده‌های قضایی و سایر محیط هایی که تهدید به داده یا پیامدهای نقص امنیت زیاد است، استفاده می‌شود.

کاربردهای امضای دیجیتال

صنایع از فناوری امضای دیجیتال برای پردازش های گردشی و ارتقای یکپارچگی سند استفاده می‌کند. صنایعی که از امضای دیجیتال استفاده می‌کنند عبارتند از:

دولت

دفتر انتشارات دولت ایالات متحده نسخه های الکترونیکی بودجه، قوانین عمومی و خصوصی و لوایح کنگره را با امضای دیجیتال منتشر می‌کند. امضاهای دیجیتال توسط دولت های مختلف جهان برای مصارف مختلف از جمله پردازش اظهارنامه مالیاتی، تأیید معاملات تجارت به دولت (B2G)، تصویب قوانین و مدیریت قراردادها استفاده می‌شود. بیشتر نهادهای دولتی هنگام استفاده از امضاهای دیجیتال باید قوانین، مقررات و استانداردهای سختگیرانه را رعایت کنند.

بهداشت

از امضاهای دیجیتال در صنعت مراقبت های بهداشتی برای بهبود کارایی درمان و فرآیندهای اداری، تقویت امنیت داده ها و برای تجویز و پذیرش در بیمارستان استفاده می‌شود. استفاده از امضاهای دیجیتال در مراقبت های بهداشتی باید مطابق با قانون قابلیت حمل و پاسخگویی بیمه سلامت سال ۱۹۹۶ (HIPAA) باشد.

تولید

شرکت های تولیدی از امضاهای دیجیتالی برای تسریع فرآیندها، از جمله طراحی محصول، تضمین کیفیت (QA)، پیشرفت های تولید، بازاریابی و فروش استفاده می‌کنند. استفاده از امضاهای دیجیتال در تولید توسط سازمان بین المللی استاندارد سازی (ISO) و موسسه ملی استاندارد و فناوری (NIST) گواهی ساخت دیجیتال (DMC) اداره می‌شود.

خدمات مالی

بخش مالی ایالات متحده از امضاهای دیجیتال برای قراردادها، بانکداری بدون کاغذ، فرایند وام، اسناد بیمه، وام ها و غیره استفاده می‌کند. این بخش که به شدت تنظیم شده است با توجه دقیق به مقررات و راهنمایی های مندرج در قانون تجارت جهانی و ملی (قانون E-Sign)، مقررات ایالتی UETA، اداره حمایت از حقوق مصرف کننده (CFPB) فدرال مالی و شورای آزمون موسسات (FFIEC) از امضاهای دیجیتالی استفاده می‌کند.

امضای دیجیتال در برابر امضای الکترونیک

اگرچه این دو اصطلاح شبیه به هم می باشند. اما امضاهای دیجیتال با امضای الکترونیکی متفاوت هستند. امضای دیجیتال یک اصطلاح فنی است. اما تعریف یک فرآیند رمزنگاری است که می‌تواند برای تأیید توالی داده ها مورد استفاده قرار گیرد. اصطلاح امضای الکترونیکی اصطلاحی است که به طور قانونی تعریف می‌شود.

به عنوان مثال، در ایالات متحده، این اصطلاح در قانون تجارت ملی و امضا در سال ۲۰۰۰ به تصویب رسید. به معنای “یک صدا، نماد یا فرآیند الکترونیکی، ضمیمه شده یا منطقی با یک قرارداد یا پرونده دیگر و توسط شخصی به قصد امضای سند پذیرفته شد. ”

این بدان معنی است که یک امضای دیجیتال می‌تواند نوعی امضای الکترونیکی باشد. امضای دیجیتال می‌تواند به صورت الکترونیکی بیان شود و با نمایش یک سند همراه باشد. به طور کلی، امضای الکترونیکی می‌تواند به سادگی نام امضا کننده در فرم موجود در یک صفحه وب باشد.

تعیین اعتبار امضای دیجیتال

برای معتبر بودن، برنامه های امضای الکترونیک باید این سه چیز را داشته باشند:

  • راهی برای تأیید شخصیتی که امضا می‌کند؛
  • راهی برای تأیید این که هویت امضا کننده قصد دارد سندی که امضا می‌کند را تصدیق کند؛
  • راهی برای تأیید این که امضای الکترونیک در واقع با سند امضا شده در ارتباط است.

یک امضای دیجیتال می‌تواند به تنهایی این نیاز ها را برای عمل کردن به صورت یک امضای الکترونیک برآورده کند:

  • کلید عمومی امضای دیجیتال با شناسایی هویت امضا کننده مرتبط است؛
  • امضای دیجیتال تنها بوسیله دارنده کلید عمومی کلید خصوصی مربوطه صورت می‌گیرد. این نوع امضاها نشان دهنده قصد هویت برای استفاده از آن برای امضا است.
  • امضای دیجیتال تنها زمانی احراز می‌شود که داده – سند یا ارائه یک سند – امضا شده تغییر نیافته باشد. اگر یک سند پس از امضا شدن تغییر کند، امضای دیجیتال احراز نخواهد شد.

امضاهای دیجیتال معتبر اثبات رمزنگاری ارائه شده مبنی بر اینکه سندی توسط نهاد اعلام شده امضا شده و سند تغییری نکرده است. همه امضاهای الکترونیکی نمی‌توانند ضمانت های یکسانی را ارائه دهند.

ویژگی ها و مزایای امنیتی امضای دیجیتال

ویژگی های امنیتی تعبیه شده در امضاهای دیجیتال اطمینان حاصل می‌کنند که یک سند تغییر داده نشده و این که امضاها موثق هستند. ویژگی های امنیتی و روش های استفاده شده در امضاهای دیجیتال عبارتند از:

پین ها، کلمات عبور و کد ها

مورد استفاده برای احراز و تأیید هویت امضا کننده و تأیید امضای آن ها. ایمیل، نام کاربری و کلمه عبور رایج ترین موارد هستند.

مهر زمانی

داده و زمان یک امضا را فراهم می‌کند. مهر زمانی، زمانی مفید است که زمان‌بندی یک امضای دیجیتال مهم است. مانند معاملات بورسی، صدور بلیط و رویه های قانونی.

رمزگذاری نامتقارن

از یک الگوریتم کلید عمومی استفاده می‌کند که شامل کدگذاری/احراز کلید عمومی و خصوصی است.

جمع کنترلی

رشته‌ای طولانی از حروف و اعداد که مجموع ارقام صحیح قطعه‌ای از داده‌های دیجیتال را نشان می‌دهد. در مقایسه با آن ها می‌توان اشتباهات یا تغییرات را تشخیص داد. جمع کنترلی به عنوان اثر انگشت داده عمل می‌کند.

کنترل چرخه‌ای افزونگی (CRC)

یک کد شناسایی خطا و ویژگی تأیید مورد استفاده در شبکه های دیجیتال و دستگاه های انبار است. از آن برای شناسایی تغییرات اعمال شده در داده های خام استفاده می شود.

ارزیابی مجوز گواهی (CA)

با قبول احراز هویت، صدور و نگهداری گواهی های دیجیتالی امضاهای دیجیتال را صادر می‌کنند. آنها به عنوان شخص ثالث مورد اعتماد عمل می‌کنند. استفاده از CA به شما کمک می‌کند تا از ایجاد گواهی دیجیتال جعلی جلوگیری کنید.

ارزیابی تأمین کننده خدمات اعتماد(TSP)

شخص یا هویتی قانونی است که ارزیابی امضای دیجیتال را از طرف یک شرکت انجام می‌دهد و گزارش ارزیابی امضا را ارائه می‌کند.

0 دیدگاهبستن دیدگاه‌ ها

ارسال دیدگاه

عضویت در خبرنامه

آخرین پست ها و مقالات را در ایمیل خود دریافت کنید

ما قول می دهیم که اسپم ارسال نشود :)