اشتراک گذاری در:

Digital signature

امضای دیجیتال، یک طرح ریاضی برای تایید صحت پیام‌ها یا اسناد دیجیتال است. امضای دیجیتال معتبر روی یک پیام، این اطمینان را به گیرنده می‌دهد که پیام از سوی فرستنده شناخته‌شده به گیرنده رسیده است.

این نوع امضا، یک عنصر استاندارد در اکثر مجموعه پروتکل‌‎های رمزنگاری است و معمولاً برای توزیع نرم‌افزار، تراکنش‌های مالی، نرم‌افزار مدیریت قرارداد و موارد دیگری استفاده می شود که تشخیص جعل یا دستکاری مهم است،

آن‌چه در پادکست می‌شنویم

در واقع امضای دیجیتال، فرآیند رمزنگاری نامتقارن با استفاده از الگوریتم‌های ریاضی تحت عنوان RSA ئه؛ به کمک این الگوریتم، دو کلید منحصربه‌فرد برای هر شخص تعریف میشه که یکی عمومی و اون یکی خصوصیه؛ از این کلیدها برای رمزگذاری پیام در زمان انتقال و رمزگشایی در هنگام دریافت، استفاده می‌شه.

صحت‌سنجی و احراز هویت افراد، جلوگیری از تقلب در معاملات، اطمینان از عدم دستکاری اطلاعات از کاربردهای امضای دیجیتاله

توضیح بیش‌تر

امضای دیجیتال اغلب برای پیاده‌سازی امضای الکترونیکی به‌کار می‌رود که در برخی کشورها از جمله: کانادا، آفریقای جنوبی، ایالات متحده، الجزایر، ترکیه، هند، برزیل، اندونزی، مکزیک، عربستان سعودی، اروگوئه، سوئیس، شیلی و کشورهای اتحادیه اروپا اهمیت قانونی دارد.

بنا بر تعریف اتحادیۀ اروپا، “امضای دیجیتال، یک امضای الکترونیکی است که توسط یک گواهی دیجیتال پشتیبانی می‌شود. این نوع امضاها، با مقررات سراسر جهان مطابقت دارند و بالاترین سطح تضمین هویت را هنگام برخورد با اسناد دیجیتال فراهم می کنند.

در بسیاری از کشورها، از جمله ایالات متحده، امضای دیجیتالا، همانند امضاهای سنتی اسناد دست‌نویس از نظر قانونی، ضروری‌اند.

امضای دیجیتال چگونه عمل می‌کند؟!

امضای دیجیتال مبتنی بر رمزنگاری کلید عمومی است که به عنوان رمزنگاری نامتقارن نیز شناخته می‌شود. این نوع امضا، از طریق رمزنگاری کلید عمومی با دو کلید رمزنگاری تایید متقابل، کار می‌کند. برای رمزگذاری و رمزگشایی، شخصی که امضای دیجیتال را ایجاد می‌کند از یک کلید خصوصی برای رمزگذاری داده‌های مربوط به امضا استفاده می‌نماید. تنها راه رمزگشایی این داده‌ها با کلید عمومی امضاکننده است.

اگر گیرنده نتواند سند را با کلید عمومی امضاکننده باز کند نشان‌دهنده وجود مشکل در سند یا امضا است.به این ترتیب امضاهای دیجیتال احراز هویت می‌شوند.

گواهی‌های دیجیتال، که گواهی‌های کلید عمومی نیز نامیده می‌شوند برای تایید این‌که کلید عمومی به صادر کننده تعلق دارد استفاده می‌شوند.

گواهی‌های دیجیتال شامل کلید عمومی، اطلاعات مربوط به صاحب آن، تاریخ انقضا و امضای دیجیتالی صادر کننده گواهی‌نامه است.

اگر شخص دیگری به کلید امضای خصوصی دسترسی داشته باشد آن طرف می‌تواند امضای دیجیتال تقلبی به نام دارنده کلید خصوصی ایجاد نماید.

فواید امضای دیجیتال

امنیت

قابلیت‌های امنیتی در این نوع امضا، تعبیه شده‌اند تا اطمینان حاصل شود که یک سند قانونی تغییر نمی‌کند و امضاها قانونی‌اند. ویژگی‌های امنیتی شامل رمزنگاری نامتقارن، شماره شناسایی شخصی (PINs)، Check sumو بررسی افزونگی چرخ‌های (CRCs)، و هم‌چنین اعتبارسنجی CA و ارائه‌دهنده خدمات اعتماد (TSP)می‌شود.

زمان‌بندی

این امر، تاریخ و زمان امضا را مشخص می‌کند و در مواقع بحرانی مانند معاملات سهام، صدور بلیط بخت‌آزمایی و اقدام‌های قانونی مفید است.

پذیرش جهانی و قانونی‌بودن

استاندارد زیرساخت کلید عمومی (PKI) تضمین می‌کند که کلیدهای تولیدشده توسط فرستنده، به‌صورت امن ساخته و ذخیره شوند. با تبدیل امضاهای دیجیتال به یک استاندارد بین‌المللی، کشورهای بیشتری آن‌ها را به عنوان امری قانونی می‌پذیرند.

صرفه‌جویی در وقت

این نوع از امضا، فرایندهای زمان بر امضای فیزیکی اسناد، ذخیره‌سازی و تبادل را ساده می‌کند و به کسب‌وکارها امکان دسترسی سریع و امضای اسناد را می‌دهد.

صرفه‌جویی در هزینه

سازمان‌ها می‌توانند بدون استفاده از کاغذ، اسناد را ردوبدل کنند و در هزینه‌هایی که قبلاً صرف منابع فیزیکی، زمان، پرسنل و فضای اداری مورد استفاده برای مدیریت و حمل و نقل اسناد می‌شد، صرفه‌جویی کنند.

اثرات مثبت زیست محیطی

کاهش استفاده از کاغذ هم‌چنین ضایعات فیزیکی تولید شده توسط کاغذ و اثرات منفی زیست محیطی حمل اسناد کاغذی را کاهش می‌دهد.

قابلیت ردیابی

یک مسیر حسابرسی ایجاد می‌کند که نگهداری سوابق داخلی را برای کسب‌وکارها آسان‌تر می‌سازد. با ثبت و ذخیره همه چیز به‌صورت دیجیتالی، کم‌تر پیش می‌آید که ثبت‌کنندۀ دستی، اشتباه کند یا چیزی را اشتباهی جا‌به‌جا نماید.

چه‌طور امضای دیجیتال بسازیم؟

برای ساخت این نوع امضا، از نرم‌افزارهایی مانند برنامه ایمیل – برای ایجاد یک Hash یک طرفه از داده‌های الکترونیکی- استفاده می‌شود. ( Hash یک رشته با طول ثابت از حروف و اعداد است که توسط یک الگوریتم تولید می شود. کلید خصوصی سازندۀ امضای دیجیتال، برای رمزنگاری Hash استفاده می‌شود. Hashgرمزنگاری شده به همراه اطلاعات دیگری مانند الگوریتم Hash، امضای دیجیتال است.)

دلیل رمزنگاری Hash ، به‌جای کل پیام یا سند این است که یک تابع Hash می‌تواند یک ورودی دلخواه را به یک مقدار با طول ثابت تبدیل نماید که معمولا بسیار کوتاه‌تر است. این کار در زمان صرفه‌جویی می‌کند چرا که Hash کردن بسیار سریع‌تر از امضا کردن است.

مقدار Hash، به داده‌های آن بستگی دارد. هر تغییری در داده‌ها – حتی تغییر در یک کاراکتر – به مقدار متفاوتی منجر می‌شود. این ویژگی، کمک می‌کند تا دیگران از کلید عمومی امضاکننده برای رمزگشایی Hash به‌منظور تایید یکپارچگی داده‌ها استفاده نمایند.

این نوع امضا می‌تواند با هر نوع پیامی، چه رمزگذاری شده باشد و چه نباشد به سادگی مورد استفاده قرار گیرد تا گیرنده از هویت فرستنده مطمئن شود و پیام سالم برسد.

امضای دیجیتال، انکار موضوعی را برای امضاکننده دشوار می‌کند؛ زیرا هم برای سند و هم برای امضاکننده، منحصربه‌فرد است و آن‌ها را به هم متصل می‌کند. به این ویژگی، «عدم انکار» گفته می‌شود.

این نوع امضاها، هم‌چنین به‌طور گسترده، برای ارائه اثبات اصالت، یکپارچگی داده‌ها و عدم انکار ارتباطات و تراکنش‌های انجام شده از طریق اینترنت استفاده می‌شود.

انواع سطح‌بندی امضای دیجیتال

سطح یک:

نمی‌تواند برای اسناد تجاری قانونی استفاده شود؛ زیرا آن‌ها تنها براساس شناسه ایمیل و نام کاربری معتبرند. امضاهای سطح یک، پایه‌ای از امنیت را فراهم می‌کنند و در محیط‌هایی با ریسک پایین، استفاده می‌شوند.

سطح دو:

اغلب برای بایگانی الکترونیکی، اسناد مالیاتی، اظهارنامه‌های مالیات بر درآمد و اظهارنامه‌های مالیات کالا و خدمات استفاده می‌شوند. این نوع، هویت امضاکننده را در برابر یک پایگاه دادۀ از پیش تایید شده، تایید می‌کند. و در محیط‌هایی استفاده می‌شوند که خطرات و عواقب سازش داده‌ها متوسط است.

سطح سه:

بالاترین سطح امضای دیجیتال است که افراد یا سازمان‌ها را ملزم به حضور برای اثبات هویت خود قبل از امضا می‌کند؛ و برای مزایده‌ و مناقصه‌های الکترونیکی، بلیت‌فروشی الکترونیکی و پرونده‌های دادگاهی و هم‌چنین در محیط‌های دیگری استفاده می‌شود که یک نقص امنیتی بالا آن را تهدید می‌کند.

+ خواندن این مطلب را به شما پیشنهاد می‌کنیم: از رمزارز استفاده کردی و بازم ناشناس نموندی؟ 6 روش پرداخت کاملا پنهان و امن

کاربردهای امضای دیجیتال

در سطح دولتی

دولت‌ها در سراسر جهان از امضای دیجیتال برای پردازش اظهارنامه‌های مالیاتی، تایید تراکنش‌های تجاری به دولتی، تصویب قوانین و مدیریت قراردادها استفاده می‌کنند. اکثر نهادهای دولتی هنگام استفاده از این نوع امضا باید به قوانین، مقررات و استانداردهای سخت‌گیرانه پایبند باشند.

بسیاری از دولت‌ها و شرکت‌ها نیز از کارت‌های هوشمند برای شناسایی شهروندان و کارمندان خود بهره می‌برند. کارت‌های فیزیکی با یک تراشه تعبیه شده که حاوی امضای دیجیتال است تا دسترسی دارنده کارت به سیستم‌های یک مؤسسه را فراهم سازد.

مراقبت‌های بهداشتی

امضاهای دیجیتال در صنعت بهداشت و درمان برای بهبود کارایی فرایندهای درمانی و اداری، تقویت امنیت داده‌ها، تجویز الکترونیکی و فرآیند پذیرش بیمارستانی استفاده می‌شوند. استفاده از چنین امضایی در مراقبت‌های بهداشتی باید با قانون قابلیت حمل و پاسخگویی بیمه سلامت مربوط به سال ۱۹۹۶ مطابقت داشته باشد.

تولید

شرکت‌های تولیدی، از مزیت چنین سند دیجیتالی برای سرعت‌بخشیدن به فرایندها از جمله: طراحی محصول، تضمین کیفیت، پیشرفت تولید، بازاریابی و فروش بهره می‌برند.

استفاده از این نوع امضا، در تولید، از سوی ازمان بین‌المللی استانداردسازی و مؤسسه ملی استاندارد و گواهی تولید دیجیتال فن‌آوری کنترل می‌شود.

خدمات مالی

بسیاری از سازمان‌ها، از این سند دیجیتالی، برای قراردادها، بانکداری بدون کاغذ، پردازش وام، اسناد بیمه و وام‌های مسکن استفاده می‌کند.

رمزارزها

بیت‌کوین و سایر رمزارزها از امضای دیجیتال برای احراز هویت بلاک‌چین، سود می‌برند. آن‌ها هم‌چنین برای مدیریت داده‌های تراکنش مرتبط با ارز رمزنگاری شده و به‌عنوان راهی برای نشان دادن مالکیت ارز یا مشارکت آن‌ها در یک تراکنش، مورد استفاده قرار می‌گیرند.

توکن های غیرقابل معاوضه (NFT ها)

 توکن NFT مخفف Non-Fungible Token و نشان‌دهنده یک دارایی دیجیتال تعویض‌ناپذیر است. به عنوان مثال می‌توان به آثار هنری یا مجموعه‌های کلکسیونی اشاره کرد.

امضاهای دیجیتال با دارایی‌های دیجیتال مانند آثار هنری، موسیقی و ویدئو استفاده می‌شوند تا این نوع NFT ها را در هر جایی از بلاک‌چین، امن و ردیابی کنند.

+ مطالعۀ این مطلب را پیشنهاد می‌کنیم: چگونه کریپتو خود را از Robinhood به یک کیف پول امن منتقل کنید

تفاوت امضای دیجیتال و امضای الکترونیک

اگرچه این دو اصطلاح شبیه به هم به نظر می‌رسند اما امضاهای دیجیتال با امضاهای الکترونیکی متفاوتند.

امضای دیجیتال، یک اصطلاح فنی است که نتیجه یک فرآیند رمزنگاری یا الگوریتم ریاضی را تعریف می‌کند که می‌تواند برای تایید توالی داده‌ها استفاده شود. امضای دیجیتال، نوعی امضای الکترونیکی است.

درحالی‌که اصطلاح امضای الکترونیکی یا امضای الکترونیکی یک اصطلاح حقوقی است که به صورت قانونی تعریف می شود.

به عنوان مثال، در ایالات متحده، قانون امضای الکترونیکی که در سال ۲۰۰۰ تصویب شد امضای الکترونیکی را به‌عنوان “ یک صوت، نماد یا فرآیند الکترونیکی متصل یا به طور منطقی مرتبط با یک قرارداد یا رکورد دیگر تعریف کرد که از سوی فردی با قصد تأیید یک سند، پذیرفته می‌شود.”

امضای دیجیتال، نیز در دستورالعمل امضاهای الکترونیکی تعریف شده است که اتحادیه اروپا آن را در سال ۱۹۹۹ تصویب شد.

به طور کلی، امضای الکترونیکی می‌تواند به سادگی امضای آنلاین باشد مانند نام امضاکننده که در یک مرورگر وب در یک فرم وارد می‌شود.

برای معتبر بودن، طرح‌های امضای الکترونیکی باید شامل سه ویژگی زیر باشد:

  1. راهی برای تایید هویت نهادی که آن را امضا می‌کند.
  2. راهی برای تایید نهاد امضاکننده با هدف تایید سند امضا شده.
  3. راهی برای تایید این‌که امضای الکترونیکی با سند امضا شده مرتبط است.

این نوع امضا، به تنهایی می‌تواند این الزامات را برآورده کند تا به عنوان امضای الکترونیکی شناخته شود:

کلید عمومی امضای دیجیتال به شناسایی الکترونیکی نهاد امضاکننده مرتبط است.

چنین سند دیجیتالی، تنها می تواند توسط دارنده کلید خصوصی مرتبط با کلید عمومی ضمیمه شود که نشان می‌دهد نهاد قصد دارد از آن، برای امضا استفاده کند.

امضاهای دیجیتال، تنها در صورتی احراز هویت می‌شوند که داده‌های امضا شده- برای مثال، یک سند یا نمایش یک سند – بدون تغییر باشند؛ اگر سندی پس از امضا تغییر کند امضای دیجیتال، قادر به احراز هویت نیست.

امضاهای دیجیتال تایید شده، اثبات رمزنگاری را فراهم می‌کنند این یعنی نشان می‌دهند که سندی توسط نهاد مذکور امضا شده و تغییر نکرده است درحالی‌که همه امضاهای الکترونیکی، تضمین‌های یکسانی را فراهم نمی‌سازند.

امنیت امضای دیجیتال

امنیت، مهم‌ترین مزیت استفاده از امضای دیجیتال است. ویژگی‌ها و روش‌های امنیتی مورد استفاده در این نوع امضا عبارتند از:

PIN ها، رمزهای عبور و کدها

این موارد برای احراز هویت و تایید هویت امضاکنندگان و صحت امضای آن‌ها استفاده می‌شود. ایمیل، نام کاربری و رمز عبور، رایج‌ترین روش‌های مورد استفاده‌اند.

رمزنگاری نامتقارن

این الگوریتم، از یک الگوریتم کلید عمومی استفاده می‌کند که شامل رمزنگاری و احراز هویت کلید عمومی و خصوصی است.

Checksum

رشته طولانی از حروف و اعداد که برای تعیین صحت داده‌های منتقل شده استفاده می‌شود. یک checksum نتیجه اجرای یک تابع درهمسازی رمزنگاری شده روی یک قطعه داده است. .یک checksum مانند اثر انگشت داده عمل می‌کند.

CRC

کد تشخیص خطا و ویژگی تایید در شبکه‌های دیجیتال و دستگاه‌های ذخیره‌سازی که برای تشخیص تغییرات در داده‌های خام استفاده می‌شود.

اعتبار سنجی CA

CAها، امضاهای دیجیتال را صادر می‌کنند و با پذیرش، احراز هویت، صدور و نگهداری گواهی‌های دیجیتال، به‌عنوان اشخاص ثالث مورد اعتماد عمل می‌کنند. استفاده از CAها به جلوگیری از ایجاد گواهی‌های دیجیتال جعلی کمک می‌نماید.

اعتبارسنجی TSP

این شخص یا نهاد قانونی، امضای دیجیتال را از طرف یک شرکت تایید می‌کند و گزارش‌های اعتبارسنجی امضا را ارائه می‌دهد.

حملات امضای دیجیتال

حمله انتخاب پیام

مهاجم، یا کلید عمومی قربانی را به دست می آورد یا قربانی را فریب می‌دهد تا سندی را امضا کند که قصد امضای آن را ندارد.

حمله به پیام‌های شناخته شده

مهاجم، پیام‌های ارسال شده توسط قربانی و کلیدی را به دست می‌آورد که به او کمک می‎‌کند تا به‌راحتی امضای قربانی را به نفع خود، جعل کند.

حمله فقط کلید

مهاجم، تنها به کلید عمومی قربانی دسترسی دارد و می‌تواند امضای قربانی را برای امضای دیجیتالی اسناد یا پیام‌هایی که قربانی قصد امضا کردن آن‌ها را ندارد دوباره ایجاد کند.

در این مقاله سعی کردیم تا شرح مبسوطی از امضای دیجیتال و بیان تفاوت آن با امضای الکترونیکی داشته باشیم. هرچند که این نوع سند دیجیتالی، خود، نوعی امضای الکترونیکی است ولی تماماً به معنای امضای الکترونیکی نیست.

اگر شما هم مطالب بیش‌تری در مورد امضای دیجیتال می‌دانید به پُربارشدن این مقاله، کمک کنید.

خواندن این مطلب را به شما پیشنهاد می‌کنیم: چگونه هویت دیجیتالی خود را در دنیای اینترنت پنهان کنید

این ویدئو را ببینید: 10 پروژه برای علاقه مندان به امنیت سایبری

اصطلاح مرتبط