وب سایت علیرضا صائبی وبلاگ علیرضا صائبی
بنام خدا
برنامه به سوی فردا هر پنجشنبه از ساعت ۱۱تا ۱۲ با موضوع استفاده از خدمات الکترونیکی از رادیو اقتصاد موج FM ردیف۹۸ مگاهرتز پخش میشود.
مجری برنامه: در برنامه امروز قصد داریم به ادامه موضوع برنامه هفته گذشته، گواهی امضاء دیجیتال بپردازیم. امروز هم در خدمت کارشناس برنامه آقای مهندس علیرضا صائبی هستیم که از متخصصین حوزه فناوری اطلاعات و ارتباطات میباشند. و همچنین در خدمت میهمان محترم برنامه جناب اقای حمیدرضا هادیپور معاون زیرساخت کلید عمومی و امنیت اطلاعات تجاری و وزارت بازرگانی خواهیم بود.
اگر موافق باشید مروری داشته باشیم بر آخرین برنامهای که در خدمت مخاطبین عزیز بودیم.
کارشناس برنامه(آقای مهندس صائبی): در برنامه گذشته در مورد امضاء دیجیتال و هویت افراد در فضای تعاملات دیجیتال صحبت کردیم. اشاره کردیم که امضاء دیجیتال عکس امضایی که پای مکاتبات بعضی سیستمهای اتوماسیون اداری گذاشته میشود نیست. و این کارایی را دارد که اصالت هویت ما را در فضای تعاملات دیجیتال مشخص میکند. خوشبختانه امروز در خدمت آقای مهندس هادیپور هستیم که ایشان یکی از متولیان و متخصصین رسمی و وابسته به تشکیلات دولتی گواهی امضاء دیجیتال هستند، به این معنا که فرمایشات ایشان را میتوانیم به عنوان مستند رسمی طلقی کنیم.
اجازه میخواهم اگر جناب آقای مهندس موافق باشند قبل ازاینکه بپردازیم به سمت آقای مهندس، از ایشان میخواهیم که یک تعریف خیلی ساده و کاربردی از امضاء دیجیتال برای ما داشته باشند.
میهمان برنامه(آقای مهندس هادیپور): گواهی امضاء دیجیتال اصطلاحا مجموعهای است از یکسری اطلاعات رایانهای، یکسری بیت و بایت که با این مجموعه رشته شما چهار ویژگی را به دست میآورید. که این چهار ویژگی احراز، جامعیت، انکار ناپذیری و مسائلی از این قبیل. به این وسیله شما میتوانید در فضای الکترونیکی اسناد را امضاء کنید به طوری که طرفین مبادله(که چه تجاری باشد و چه غیر تجاری) میتوانند اطمینان کنند که این پیامی که بین آنها ردوبدل شده که میتواند هرچیزی باشد(مثلا متن یک نامه یا یک SMS و یا یک فایل چند مگی) کاملا صحیح دریافت میشود و یا به شخص مورد انتظار تحویل داده شده است.
کارشناس برنامه(آقای مهندس صائبی): اگر بخواهیم امضاء دیجیتال را با یک امضاء فیزیکی روی یک برگ چک مقایسه کنیم. در مرحله اول به بانک میرویم و امضاء خود را به بانک معرفی میکنیم، از این پس به هر کسی که بخواهیم پرداختی انجام دهیم امضاء خود را که قبلا برای بانک تایید و شناخته شده، پای چک قرار میدهیم و وقتی که آن چک که یک پیام پرداخت برای بانک میباشد را فرد مورد نظر به بانک ارائه دهد، در واقع بانک اصالت هویت امضاء کننده چک را از طریق امضاء تشخیص میدهد. آقای مهندس هادیپور همین را در فضای امضاء دیجیتال مقایسه بفرمایید.
میهمان برنامه( آقای مهندس هادیپور): درفرآیندی که توضیح داده شد در واقع اصالت امضاء را بانک چک نمیکند، بلکه متصدی بانک با یک مقایسه چشمی شباهت امضایی که روی چک هست با نمونه امضایی که قبلا صاحب آن چک به بانک ارائه داده است، تایید میکند.قطع به یقین همه کسانی که از چک استفاده کردهاند میدانند که امضاءها مشابه است. شما یک چک را از یک فرد دریافت میکنید تا موقعی که بانک نرفتهاید و بانک این امضاء را تایید نکرده نمیتوانید یقین داشته باشید که این امضاء صحیح است. بعضا پیش میآید که شخص نزد شما چک را امضاء کرده، ولی وقتی که بانک میروید ممکن است که بگویند این امضاء مشابهتش کم است و یا مخدوش است. چرا؟ چون این فرآیند، فرآیند خیلی دقیقی نیست و فرد بر اساس شباهتها تصمیمگیری میکند. ولی در حوزه امضاء الکترونیکی این مشابهت وجود ندارد، و دقیقآ بیت به بیت آن باید عین هم باشد. من در بعضی کنفرانسها میگویم، تفاوت یک بیت برای اینکه همه بتوانند درک داشته باشند، شما وقتی یک متن نامه را در یک محیط ادیتورکامپیوتر تایپ میکنید بین کلمه (خواهد بود) و یا (دستور فرمایید) اگر دو فاصله خالی بگذارید این متن با متن قبلی در سیستمهای کامپیتوری دو پیام و متن متفاوت طلقی خواهد شد اما از نظر چشمی و دیداری هیچ فرقی نمیکند. گواهی امضاء دیجیتال به این جزئیات دقت میکند. آن چیزی که به عنوان یک رشته عددی به عنوان گواهی امضاء دیجیتال به شما تحویل داده میشود به این جزئیات دقت میکند و سندی که شما امضاء میکنید اگر یک بیت آن تغییر یابد آن امضاء تشخیص میدهد که این سند تغییر یافته و مخدوش است.
کارشناس برنامه(اقای مهندس صائبی): همین توضیحی که شما فرمودید اگر بخواهیم توضیح سادهتری از امضاء دیجیتال داشته باشیم در واقع این طور مقایسه میکنم که شما یک کد به من میدهید در واقع یک شناسه که آن کد را امضاء دیجیتال من نامگذاری میکنید و من این کد را کنار تمام اسناد خود اضافه میکنم. یعنی هر سندی و هر پیامی به هر جایی که میخواهم ارسال کنم این کد را با یک قاعده مشخصی پیوست متن خود میکنم.
تا اینجا عرض کردیم که امضاء دیجیتال یک کد یا شناسه میباشد که از یک مرجع رسمی دریافت میکنیم و با یک ترتیب و قاعدهای به هر پیام دیجیتالی که میخواهیم ارسال کنیم پیوست میکنیم. همانطور که آقای مهندس هادیپور نیز اشاره فرمودند این پیام میتواند یک درخواست پرداخت باشد، و یا درخواست کالا باشد و یا حتی میتواند یکSMS ویا یک ایمیل ساده باشد. منتهی نکته مهمی که وجود دارد، در دنیای دیجیتال از موضوعاتی رنج میبرند و آن مزاحمتهای دیجیتالی است. امروزه شما ایمیلهایی دارید به نام اسپم. این اسپمها اصلا معلوم نیست از طرف چه کسی ارسال میشود. و ایمیل آدرسهایی وجود دارد که مثلا این ایمیل آدرس به نام من است ولی این من نیستم که به شما ایمیل ارسال میکنم. یکی از مسائلی که در دنیای دیجیتال توانسته این مشکل را حل کند همین موضوع امضاء دیجیتال میباشد. یعنی اگر من متنی را برای شما ارسال میکنم توسط ایمیل و یا… مطمئن هستید که این متن را از من دریافت کردهاید. این یکی از کاربردهای امضاء دیجیتال میباشد.
از آقای مهندس هادیپور درخواست میکنم که توضیح بفرمایند که مرکز توسعه تجارت الکترونیک در حال حاضر، و یا متولیان رسمی این موضوع در کشور در این زمینه دقیقا چه میکنند که اگر من یک پیامی را برای شخصی ارسال کنم و با امضاء دیجیتال خود، آن را امضاء کنم در این میان نقش مراجع رسمی ما چه خواهد بود.
میهمان برنامه(آقای مهندس هادیپور): در ابتدا توضیحی دهم که مبنای کار مشخص شود. در فضای الکترونیک همانند فضای فیزیکی در مرحله اول باید اعتمادپذیری انجام شود. در فضای مجازی وقتی شما با شخصی صحبت میکنید در مرحله اول به هر روشی شخص مقابل را تصدیق میکنید. یا براساس سابقه آشنایی قبلی و یا توسط دوستی که آن شخص را معرفی کرده است. در فضای الکترونیک هم همین حالت وجود دارد که باید یک شخص ثالثی وجود داشته باشد که به دو طرف اعتمادکننده، اعتماد ببخشد که هر شخصی که صحبت میکند و یا دیتایی میفرستد همان حرف یا دیتایی است که میگوید. این طرف ثالثی که به دو طرف معامله اعتماد بخشی میکند در واقع مراکز یا واحدهای صدور گواهی امضاء دیجیتال هستند. کاری که مرکز تجارت الکترونیک در کشور انجام میدهد، اعتمادبخشی براساس قواعد و مقرراتی است که به دو طرف مبادله اعتماد میبخشد.
برای اینکه این اعتمادبخشی انجام شود طبق قوانین و مقررات بر اساس قانون تجارت الکترونیک، برای اینکه طرفین اعتماد کننده و مراکز اعتماد دهنده به اشکالات فنی بر نخورند، در هر کشوری یک مرکزی که اصطلاحا به آن ریشه میگویند قرار میدهند. و آن مرکز ریشه به سایر مراکز صحهگذاری میکند. در حال حاضر طبق قوانین و مقررات جاری، این مرکز مستقر در وزارت بازرگانی میباشد که ممکن است روزی دولت تصمیم بگیرد که این مرکز در وزارتخانه دیگری قرار گیرد.
مسئله مهم از نظر فنی این است که یک مرکز باید وجود داشته باشد که به سایر مراکز صدور گواهی این اعتبار بخشی را انجام دهد. پس ما اگر یک گواهی امضاء میگیریم، اول چک میکنیم که چه کسی این گواهی را صادر کرد است، در واقع کسی که این فرد را معرفی میکند کیست؟ اگر به آن معرف اعتماد کردیم پس اطلاعاتی که این فرد اظهار کرده است را میپذیریم. این مبنی اولیه امضاء است، که ما اعتماد میکنیم. اما امضاء الکترونیک، در واقع یکی از مصادیق کاربردهای گواهی الکترونیک و شایعترین آن است.
گواهیهای الکترونیک کاربردهای متفاوتی دارند که رایجترین آن امضاء دیجیتال است که در واقع جایگزین همان امضاء فیزیکی میباشد. نوع دیگری از گواهیهای الکترونیک این است که در ایمیل استفاده میشود واین هم یک نوع کاربرد میباشد که اصطلاحا به آن ایمیل امن گفته میشود.
کارشناس برنامه(آقای مهندس صائبی): قبلا اشاره کردیم که به هرنوع پیامی میتوانیم امضاء دیجیتال را پیوست کنیم و این بسیار مهم است. اگر شما گواهی امضاء دیجیتال را در اختیار نداشته باشیددر تمام قرارداها و تعاملاتتان با کارفرماها و پیمانکاران و غیره ناچارید به دلیل اینکه قابلیت استناد به مکاتباتتان را پیدا بکنید از مکاتبات کاغذی و فیزیکی استفاده کنید که این یک مسئله شایعی است و در حال حاضر هم در قراردادها و تعاملات ملاحظه میکنید. اما همین را وقتی با امضاء دیجیتال خود وارد فضای دیجیتال میشوید و تعاملاتتان را بر روی ایمیل بیاورید و سیستمهای اتوماسیون و انواع روشهای ارتباطی بین سیستم اتوماسیون اداری، شما میتوانید از روی ترمینال خود متنتان را با امضاء دیجیتال، خودتان امضاء کنید همانند نامه فیزیکی نامهای را امضاء کرده و برای طرف مقابلتان ارسال کردهاید. اگر این گواهی امضاء دیجیتال برای شما وجود داشته باشد مراجع رسمی مکاتبه شما و تعامل شما را به عنوان یک تعامل رسمی خواهند پذیرفت و قابل استناد میباشد. اما اگر این وجود ندشته باشد یک ایمیلی در فضای اینترنتی است که معلوم نیست آیا این شما بودید که آن را فرستادید و آیا متن همان متن ایمیل شماست. مثلا فرض کنید به عنوان مثال در دنیای تعاملات تجاری شما پیشفاکتوری صادر کنید و در آن قیمت جنسی را مثلا سیمیلیون تومان اظهار کنید. حالا تصور کنید یک ایمیل مجهولی با قیمت سه میلیون تومان همین پیشفاکتور را اظهارکند. در این صورت چه اتفاقی خواهد افتاد؟ اگر آن از نظر مراجع قانونی سندیت داشته باشد طرف میتواند ادعا کند که قیمت آن سه میلیون بوده است. لذا یک ایمیل یا پیام زمانی اعتبار دارد که مشخص باشد اولا شخص آن را امضاء کرده، ثانیا شخص گیرنده آن را دریافت میکند، و ثالثا متن همانی بوده که شخص ارسال کرده است. یکی از کاربردهای جالب مسئله انکارناپذیری است. خواهش میکنم که آقای مهندس هادیپور بفرمایند که گام اول برای دریافت امضاء دیجیتال چیست؟
میهمان برنامه(آقای مهندس هادیپور): در تمام کشورها، مراکز صدور گواهی یک واحد مشخص دارند به نام دفتر ثبت نام که در تعاریف بینالملل به آنRA میگویند. هر متقاضی میتواند به یک دفتر ثبت نام مراجع کند وبر اساس دستورالعملی که در اختیارش میگذارند، مدارکی را برای احراز و تصدیق هویت ارائه دهد و تقاضای صدور گواهی برای خود نماید. و در حال حاضر در تمام مراکز استان و تهران مراکزRA فعال وجود دارد و افراد میتوانند مراجعه کنند. در فرصتی مناسب اینکه طرح توسعه برای دفاتر RA چیست توضیح خواهم داد. پس به طور طبیعی شما میتوانید مراجعه کنید. بعضا در کشورهایی صدور گواهی امضاء دیجیتال به طور غیر حضوری انجام میگیرد که در حال حاضر این خدمت در کشور وجود ندارد به دلیل قوانین و ضوابط که باید احراز هویت حضوری انجام شود ولی در آینده اگر ابزار و شرایط پیش آید آن را نیز سرویس خواهیم داد. شاید این سوال برای شما پیش بیاید، که ما میخواهیم گواهی بگیریم ولی نمیخواهیم استفاده کنیم بلکه به طور آزمایشی میخواهیم گواهی داشته باشیم که با آن تجربه پیدا کنیم. این امکان هم در حال حاضر در سایت مرکز صدور گواهی کشور وجود دارد.
مجری برنامه: قبل از اینکه از آقای مهندس صائبی بخواهیم که بحث امروز را جمعبندی کنند از آقای مهندس هادیپور میخواهیم که آدرس مرکز صدور گواهی الکترونیکی کشور را اعلام کنند.
میهمان برنامه(آقای مهندس هادیپور): آدرس سایت صدور گواهی www.mocca.ir که در صفحه اول آن بخشی دارد بنام ارائه گواهی سطح صفر. در گواهیهایی که صادر میشود سطحبندی و سطوح امنیتی دارد. گواهی سطح صفر اعتبار قانونی برای مبادله و تصدیق از نظر حقوقی ندارد. ولی تمام شرایط فنی سایر گواهیها را دارد. که این را به صورت رایگان بدون نیاز به مراجعه حضوری، در سایت حداقل اطلاعات دریافت میشود که با یک ایمیل و چنداطلاعات پایه مثل نام و نام خانوادگی و.. شما میتوانید تقاضای گواهی دهیدمایک verify با ایمیل شما انجام میدهیم، تاییدیه که به ما بدهید گواهی شما ارسال میشود. اگر شما بخواهید گواهی دیگر را بگیرید در همین سایت وقتی مراجعه کنید فرمها و دستورالعملهای اخذ انواع گواهی وجود دارد. مثلا گواهی سطح یک، گواهی سطح دو، پست الکترونیکی امن و یا گواهیssl، که در هرکدام فرم مربوط به آن وجود دارد که میتوانید آن را دانلود کرده تکمیل نمایید و وقتی به یک مرکز صدور گواهی مراجعه میکنید، وقتتان گرفته نشود و مدارکتان تکمیل باشد.
کارشناس برنامه(آقای مهندس صائبی): امروز راجع به تعریف امضاء دیجیتال مجددا صحبت کردیم. یکی از کاربردهای آن را گفتیم که امضاء دیجیتال میتواند تعاملات ما را امن کند و برای گیرنده محرز کند که این من بودم که تعامل را شروع کردم و یا پیام را فرستادم و پیامی هم که فرستاده شده مطمئنا پیامی است که من ارسال کردم و ضمنا این اطمینان را برای گیرنده به وجود میآورد که من نمیتوانم پیامم را انکار کنم.
آقای مهندس هادیپور که در خدمتشان بودیم از مرکز توسعه تجارت الکترونیک آدرس سایت www.mocca.ir
فرمودند که برای کسب گواهی دیجیتال البته به صورت آزمایشی و امتحانی، میتوانید به آن سایت مراجعه کنید و برای کسب گواهی به صورت رسمی لازم است که به دفاترRA مراجعه کنید.
در برنامه آینده از زبان آقای مهندس هادیپور خواهیم شنید که آدرس دفاتر RA را از کجا میتوانیم تهیه کنیم . و دو مورد کاربرد پایه هم ذکر خواهیم کرد که اگر بخواهیم ایمیلمان را امن کنیم چه باید بکنیم. sslچیست چه کاربردی دارد. یا مثلا شخصی میخواهد در بازار سفارشات خود را اینترنتی اعلام کند برای اینکه امن کار کند چه باید بکند. از شما میخواهم در برنامههای بعدی با ما همراه باشید. و از جناب آقای مهندس هادیپور از اینکه وقتشان را در اختیار ما گذاشتند تشکر میکنم.
