۲-۶-۲-۴- موافق بودن با رویه ایمن

بند «ط» ماده ۲ قانون تجارت الکترونیک، رویه ایمن را چنین تعریف کرده است: « رویه ای است برای تطبیق صحت ثبت « داده پیام» و منشأ و مقصد آن با تعیین تاریخ و برای یافتن هر گونه خطا یا تغییر در مبادله، محتوا و یا ذخیره سازی داده پیام از یک زمان خاص. یک رویه ایمن، ممکن است با بهره گرفتن از الگوریتم ها، کدها، کلمات یا ارقام شناسایی، رمز نگاری، روش های تصدیق یا پاسخ برگشت و یا طرق ایمنی مشابه انجام شود».

شرط ایمن بودن با بهره گرفتن از یک امضای دیجیتال به خوبی تأمین می‌شود. امضای دیجیتالی که توسط مراجع گواهی صادر شده باشد منشأ و مقصد داده پیام را به شیوه ای غیر قابل انکار تعیین می‌کند همچنین این امضاء با بهره گرفتن از عمل « خرد کردن» و ایجاد خلاصه داده پیام به گونه ای عمل می‌کند که هر تغییر ایجاد شده در پیام قابل کشف است. این امضاء مجهز به « مهر زمان» می باشد که تاریخ صدور امضاء را تعیین می کند (عبداللهی، ۱۳۹۱، ص۵۷).

قانونگذار، وجود «سطح معقولی» از شرایط مذکور را برای اطمینان یک سیستم اطلاعاتی لازم می‌داند. با توجه به معیار «سنجش معقول» که در بند«ن» ماده ۲ قانون تجارت الکترونیک ارائه شده است «شرایط مذکور با توجه به اوضاع و احوال مبادله داده پیام از جمله طبیعت مبادله، مهارت و موقعیت طرفین، حجم مبادلات طرفین در موارد مشابه، در دسترس بودن گزینه های پیشنهادی و رد آن گزینه ها از جانب هر یک از طرفین، هزینه گزینه های پیشنهادی، عرف و روش های معمول و مورد استفاده در این نوع مبادلات ارزیابی می‌شود» (عبداللهی، ۱۳۹۱، ص۵۷).

بنابراین در یک معامله کم بها، سیستمی که از سطح ایمنی پایینی برخوردار است، می‌تواند مطمئن محسوب شود زیرا استفاده از یک سیستم اطلاعاتی با سطح ایمنی بالا که مستلزم هزینه های سنگین است در چنین معاملاتی معقول نمی باشد. همچنین، در یک شرکت کوچک که فقط یک نفر مأمور ثبت اسناد است، یک گذر واژه ساده، سطح معقولی از تصدی صحیح را تحقق می بخشد اما  در یک شرکت بزرگ که دارای شبکه رایانه‌ای و سرور مرکزی است، تصدی صحیح در صورتی تحقق می‌یابد که حسابداران، صرفاً در حیطه کاری خود به شبکه دسترسی داشته باشند و پس از ثبت اطلاعات توان تغییر آنها را نداشته باشند (عبداللهی، ۱۳۹۱، ص۵۸).

یکی از راه های تأمین اطمینان سیستم، استفاده از نسخه های استاندارد و رویه های متحد الشکل است. سازمان بین المللی استاندارد سازی[۱]، تشکیل مؤسسه های استاندارد ملی از ۱۵۷ کشور دنیاست که قالب های مطمئن و پویا برای امنیت اطلاعات ارائه می‌کند.

پایان نامه حقوق: بررسی قابلیت استناد به ادله الکترونیکی در حقوق موضوعه ایران

مهمترین استاندارهایی که تا کنون توسط این مؤسسه ارائه شده‌اند عبارتند از:

ISO-15443: چهار چوبی برای تضمین امنیت سیستم‌های اطلاعاتی ارائه می‌کند.

ISO- 17799: دستورالعمل مدیریت یک سیستم اطلاعاتی مطمئن را معرفی می‌کند.

ISO- 27001: برای تأمین امنیت سیستم‌های اطلاعاتی حرفه ای مفید است.

اجرای این استانداردها، امکان سوء استفاده از اطلاعات و نفوذ به سیستم را به حداقل رسانده، قابلیت دسترسی سیستم، صحت داده‌ها و غیر قابل انکار بودن ارسال و دریافت اطلاعات را تضین می کند (عبداللهی، ۱۳۹۱، ص۵۸).

یکی دیگر از استاندارهای معتبر دنیا، کتاب نارنجی استاندارد آمریکاست که توسط وزارت دفاع آمریکا اعلام شده است. نرم‌افزار و سخت افزار سیستم بر اساس این استاندارد به طور جداگانه بازرسی می شوند و دستگاه هایی که منطبق براین استاندارد باشند، تأیید یه دریافت می‌کنند (عبداللهی، ۱۳۹۱، ص۵۸).

کشورهای انگلستان و آلمان نیز دستورالعمل هایی را جهت استاندارد سازی سیستم ارائه کرده اند و تولید کنندگان نرم‌افزار و سخت افزاری که این دستورالعمل ها را مدنظر داشته باشند، گواهی امنیت دریافت می‌کنند. در کشورهای پیشرفته، سیستم‌های رایانه‌ای که برای مبادلات اقتصادی و تجاری مورد استفاده قرار می‌گیرند داده‌ها را به صورت دسته ای ارسال می‌کنند، قبل از ارسال آنها کدهای کنترلی فعال و همراه داده‌ها ارسال  میشود، واحد پردازش مرکزی قبل از ارسال آنها را امتحان می‌کند اگر نتایج امتحان صحیح نباشد ۲۴ امتحان دیگر صورت می گیرد تا نقص سیستم آشکار شود (عبداللهی، ۱۳۹۱، ص۵۸).

 

۲-۶-۲-۵- امضای الکترونیکی مطمئن

یکی از ویژگی های دلیل الکترونیکی مطمئن، امضای الکترونیکی مطمئن است. امضای الکترونیکی مطمئن، از فناوری ویژه‌ای برخوردار است. این امضاء به دلیل منحصر به فرد بودن، انتساب سند به صادر کننده و هویت او را تضمین می‌کند، و به گونه ای به سند متصل می‌شود که هر تغییری در داده پیام پس از آن، قابل کشف است. ماده ۱۰ قانون تجارت الکترونیک ایران، امضای الکترونیکی مطمئن  را چنین تعریف کرده است:

امضای الکترونیکی مطمئن، باید دارای شرایط زیر باشد:

الف- نسبت به امضاء کننده منحصر به فرد باشد.

مقاله - متن کامل - پایان نامه

ب- هویت امضاء کننده « داده پیام» را معلوم کند.

ج- به وسیله امضاء کننده و یا تحت اراده انحصاری وی صادر شده باشد.

د- به نحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام قابل تشخیص و کشف باشد» (عبداللهی، ۱۳۹۱، ص۵۹).

امضای الکترونیکی به لحاظ فنی یا یک امضای دیجیتال است و یا یک فرایند تجاری معقول که قادر به تأمین کارکردهای مذکور در قانون باشد. قانون ایران در مورد امضای مطمئن«رویکرد فناوری- خنثی» را انتخاب کرده است، یعنی تبعیت از فناوری خاصی را لازم ندانسته بلکه شرایط یک امضای مطمئن را تعیین کرده و هر نوع امضای الکترونیکی با هر شرایط فنی در صورتی که قادر به تأمین شرایط مذکور باشد را امضای مطمئن تلقی می‌کند که در هر مورد دادرس باید تحقق شرایط مذکور در ماده ۱۰ را احراز کند. مزیت این رویکرد، آن است که معیاری پویا را ارائه کرده است بنابراین، در صورت ابداع روش های فنی جدید یا از بین رفتن امنیت روش های موجود، نیاز به اصلاح قانون نخواهد بود (عبداللهی، ۱۳۹۱، ص۶۰).

 

۲-۷- امضای الکترونیکی

امضای الکترونیکی، مهمترین رکن دلیل الکترونیکی است که عناصر اعتبار دلیل از جمله انتساب سند به صادر کننده، هویت او و تمامیت سند را تأمین کرده و به سند اعتبار می بخشد که البته تأمین تمام یا برخی از این عناصر، به نوع امضاء و فناوری مورد استفاده آن، بستگی دارد.

با توجه به آنکه آشنایی با امضای الکترونیکی و انواع آن، در شناخت دلیل الکترونیکی مؤثر است، در این مبحث به بیان تعریف و انواع امضای الکترونیکی، از نظر فنی می پردازیم و در نهایت با کمیسیون زیر ساخت کلید عمومی کشور و نهادهای آن که برای مستند سازی امضای دیجیتالی به وجود آمده است، آشنا می‌شویم (عبداللهی، ۱۳۹۱، ص۳۳).

 

۲-۷-۱- تعریف امضای الکترونیکی

بند «ی» ماده ۲ قانون تجارت الکترونیک، امضای الکترونیکی را چنین تعریف کرده است:

«امضای الکترونیکی، عبارت از هر نوع علامت منضم شده یا به نحو منطقی متصل شده به داده پیام است که برای شناسایی امضاء کننده داده پیام مورد استفاده قرار می گیرد». بنابراین از نظر این قانون، امضای الکترونیکی دارای ویژگی های زیر است:

 

۲-۷-۲- ویژگی های امضای الکترونیکی

امضای الکترونیکی یک علامت است. ایرادی که بر این تعریف وارد است، آن است که واژه علامت، مفهومی مطلق است ومعرف ماهیت الکترونیکی امضاء نیست، در حالی که هر نوع علامتی با هر ماهیتی نمی‌تواند یک امضای الکترونیکی محسوب شود بلکه امضای الکترونیکی به هر شکلی که باشد، دارای ماهیت الکترونیکی است؛ همچنین واژه «علامت»، دلالت بر ویژگی دیداری دارد، در حالی که با توجه به پیشرفت روز افزون فناوری های الکترونیکی، سایر فرایند های الکترونیکی از جمله صدا نیز می‌تواند به عنوان امضاء تلقی شود به همین جهت، عبارت «داده الکترونیکی» یا «داده ای در شکل الکترونیکی» یا «داده» می‌تواند جایگزین مناسبی برای این واژه باشد. این واژگان به دلیل عام بودن می‌توانند فناوری هایی را که در آینده به وجود می آیند شامل شوند (عبداللهی، ۱۳۹۱، ص۳۴).

امضای الکترونیکی به داده پیام منضم شده یا به نحو منطقی به آن متصل شده است.

مفهوم «انضمام»، در محیط الکترونیکی متفاوت از مفهوم سنتی آن است، امضای دستی معمولاً قسمت مادی از سند را تشکیل می‌دهد و در هنگام مبادله، اسناد روی آن می‌ماند و جزئی از آن می‌شود اما امضای الکترونیکی لزوماً چنین نیست. ممکن است با وجود آنکه امضای الکترونیکی، قابلیت نگهداری به صورت جداگانه را دارد از طریق پایگاه داده‌ها، نمایه ها یا سایر وسایل منطقاً مرتبط با سند شود یا متن داده پیام و امضاء به نحوی در یک پوشه قرار گیرند که رایانه همه آنها را به عنوان یک سند واحد تلقی کند در این صورت نیز می‌توان گفت که امضای الکترونیکی منطقاً به سایر داده‌ها متصل شده است.

به عبارت دیگر، در اسناد کاغذی، امضاء و محتوای سند در یک قالب واحد، قرار دارند؛ در نتیجه، ماهیت مادی کاغذ، تمامیت سند را تضمین می‌کند، اما در اسناد الکترونیکی، رابطه محتوای سند و امضا، به صورت نرم‌افزاری تأمین می‌شود.

قانونگذار، اتصال منطقی امضاء به داده پیام را شرط دانسته است. منطقی بودن اتصال که در حقیقت همان «معقول بودن» است، با توجه به معیار «معقول»، مندرج در بند «ن» ماده ۲ قانون تجارت الکترونیک سنجیده می‌شود. بر اساس این بند، متصل بودن امضاء به داده پیام «با توجه به اوضاع و احوال مبادله داده پیام از جمله طبیعت مبادله، مهارت وموقعیت طرفین، حجم مبادلات طرفین در موارد مشابه، در دسترس بودن گزینه های پیشنهادی و رد آن گزینه‌ها از جانب هر یک از طرفین، هزینه گزینه‌های پیشنهادی، عرف و روش‌های معمول و مورد استفاده در این نوع مبادلات ارزیابی می‌شود». بنابراین در یک معامله کم بها استفاده از یک امضای بسیار ساده مثل تایپ نام شخص در زیر سند می‌تواند این شرط را تحقق بخشد اما در یک معامله پر بها، از آنجا که چنین امضایی به راحتی قابل جعل است منطقاً متصل به داده پیام محسوب نمی‌شود و به همین جهت چنین امضایی در چنین سندی اصولاً مشمول تعریف امضای الکترونیکی نمی باشد. بنابراین، «امضای الکترونیکی»، مفهومی نسبی است و یک شیوه خاص امضاء در صورتی که به یک سند ضمیمه شود، ممکن است امضاء تلقی شود اما در سند دیگر، با توجه به اوضاع و احوال خاص آن، امضاء محسوب نشود (عبداللهی، ۱۳۹۱، ص۳۵).

۱- امضای الکترونیکی برای شناسایی امضاء کننده داده پیام، مورد استفاده قرار می گیرد. ایراد این تعریف، آن است که شناسایی امضاء کننده داده پیام، فقط یکی از کارکردهای امضاست در حالی که امضاء دارای کارکردهای دیگری از جمله اعلام اراده صادر کننده سند و تصدیق اطلاعات مندرج در سند نیز دارد. از طرفی این تعریف، دارای دور است زیرا در مقام تعریف مفهوم «امضا» از واژه «امضاء کننده» استفاده  کرده است به همین جهت، واژه «صادر کننده سند» یا «صادر کننده داده پیام» می‌تواند جایگزین بهتری  برای آن باشد (عبداللهی، ۱۳۹۱، ص۳۵ ).

 

۲-۷-۳- انواع امضای الکترونیکی

امضای الکترونیکی، بر اساس فناوری و سطح ایمنی به کار رفته در آنِ، انواع مختلفی دارد. ارزش اثباتی امضای الکترونیکی، به سطح ایمنی ناشی از این فناوری و کارایی آن در تأمین عناصر اعتبار سند مانند انتساب سند به صادر کننده، تشخیص هویت او و تمامیت سند بستگی دارد. به همین جهت بررسی انواع امضای الکترونیکی از نظر فنی اهمیت بسزایی دارد.

امضای الکترونیکی را می‌توان با توجه به فناوری به کار رفته در آن، به سه نوع امضای الکترونیکی ساده، امضای زیست سنجی و امضای مبتنی بر رمز گذاری تقسیم کرد که در زیر با آنها آشنا می‌شویم (عبداللهی، ۱۳۹۱، ص ۳۶)

.

۲-۷-۳-۱- امضای الکترونیکی ساده

این امضا، از فناوری پیچیده ای بهره نمی برد، تایپ نام شخص، در زیر سند یا یک گذر  واژه یا یک شماره شناسایی شخصی[۲] که در کارت های هوشمند مثل کارت خودپرداز بانک کاربرد دارد، می‌تواند نوعی امضای الکترونیکی باشد. حتی در برخی قراردادهای الکترونیکی، به نام قراردادهای شرینک- رپ یا کلیک – رپ، انتخاب گزینه «موافق هستم» دلالت بر اعلام رضایت به قرارداد و تصدیق مندرجات آن دارد (عبداللهی، ۱۳۹۱، ص۳۶).

مصداق دیگرامضای الکترونیکی، تصویر امضای  دستی است که به وسیله  دستگاه تصویرگر تهیه و به رایانه منتقل می‌شود و شخص از آن تصویر که به صورت داده پیام در آمده است به عنوان امضاء استفاده می‌کند (عبداللهی، ۱۳۹۱، ص۳۷).

امضای ساده، نمی‌تواند کارکردهای امضاء را تأمین کند زیرا اگر چه گذر واژه و شماره شناسایی شخصی به صورت محرمانه نگهداری می شوند اما امکان فاش شدن آنها و یا کشف آنها توسط یک لغت نامه رایانه‌ای وجود دارد.

تصویر امضای دستی نیز ایمن نیست زیرا به راحتی ممکن است نسخه برداری شده یا از سند اصلی جدا شده و ضمیمه سند دیگری شود بنابراین نمی‌تواند انتساب سند به صادر کننده را ثابت کند.

سندی که با امضای ساده امضاء شده باشد به راحتی قابل تغییر است و این امضاء نمی‌تواند تمامیت سند را تضمین کند (عبداللهی، ۱۳۹۱، ص۳۷).

 

۲-۷-۳-۲- امضای زیست سنجی

امضای زیست سنجی، از ویژگی های جسمی کاربر مانند اثر انگشت، شکل کف دست، شبکیه و عنبیه چشم و یا ویژگی های رفتاری او مانند امضای دستی و صدا برای شناسایی هویت شخص استفاده می‌کند و از آنجا که با ویژگی های ذاتی و شخصیتی امضاء کننده در ارتباط است به امضای سنتی شباهت دارد.

ابزار زیست سنجی، ابتدا با سرویس ضبط امضا، داده‌های زیست سنجی افراد را دریافت و تبدیل به داده‌های عددی منحصر به فردی می‌کنند این فرایند را «رقمی سازی» می‌گویند سپس نتایج در پایگاه  داده ویژه‌ای ذخیره می‌شوند تا برای تطبیق مورد استفاده قرار گیرند.

امضاهایی که مبتنی بر فرایند های زیست سنجی هستند از ویژگی های مختلفی بهره می‌گیرند که مهمترین آنها را بررسی می‌نماییم.

اثر انگشت یا شکل کف دست، حالت منحصر به فردی دارد که می‌توان از آن برای تشخیص هویت استفاده کرد. در این روش، شخص انگشت یا کف دست خود را بر روی دستگاه تصویرگر مخصوصی می گذارد و دستگاه تصویری از آن تهیه می‌کند سپس با بهره گرفتن از نرم‌افزارهای خاصی، این داده‌ها رقمی شده و تبدیل به داده یگانه ای می شوند که از آن برای تشخیص هویت فرد استفاده می‌شود.

الگوی رگ ها، عرض و پراکندگی رگ های شبکیه و عنبیه چشم نیز شکلی منحصر به فرد دارد که برای ایفای نقش امضای الکترونیکی مناسب است. احتمال تشابه کدهای حاصل از ارزیابی عنبیه چشم ۱ به ۱۲۰۰۰۰۰ است و بنابراین می‌تواند اطمینان قابل توجهی را برای تشخیص هویت صادر کننده امضاء فراهم کند.

با ارزیابی صدای شخص و فرنکانس های آن نیز می‌توان امضای الکترونیکی تولید کرد. در این فرایند، شکل موج صدای شخص که ناشی از شکل دهان و حفره های بینی است از طریق صحبت کردن آرام یا بلند در میکروفون ارزیابی می‌شود، معمولاً از شخص خواسته می‌شود تا با فرکانس های بالا و پایین صحبت کند تا امکان جعل آن به حداقل برسد.

نرمه گوش، میزان نمک در بدن، بوی بدن و دی ان ای از دیگر مواردی هستند که در تولید امضاهای زیست سنجی مورد استفاده قرار می‌گیرند.

طریقه دیگر پویایی شناسی امضای دستی است که روش رایج برای آن استفاده از نرم‌افزار «پن اوپ» است که از دو نوع سرویس برای ایمن سازی داده‌ها استفاده می‌کند.

۱- سرویس ضبط امضاء: نرم‌افزار ابتدا مشخصات هویت شخص و نیز شناسه و نام کاربری را دریافت می‌کند سپس به کاربر فرمان می‌دهد با بهره گرفتن از قلم نوری امضای خود را روی پنجره ای در صفحه رایانه بنویسد، تصویر امضاء روی صفحه ظاهر می‌شود و کاربر همزمان می‌تواند امضای خود را روی صفحه رایانه ببیند.

در این مرحله سرویس امضاء برخی از ویژگی های نگارش امضاء مانند اندازه، شکل، حلقه ها، خطوط و سرعت نگارش امضاء را بررسی می‌کند و با فشردن دکمه تأیید، سرویس امضاء داده‌ها را محاسبه می‌کند و آنرا به علائم دیجیتالی تبدیل می‌کند. این علائم، در یک واسط بادوام مثل یک کارت هوشمند یا پایگاه داده ذخیره می شوند تا در آینده برای تصدیق هویت مورد استفاده قرار گیرند.(عبداللهی، ۱۳۹۱، ص ۳۸).

۲- سرویس تأیید امضا: این سرویس، نرم‌افزاری است که برای تصدیق صحت امضاء و تشخیص درصد مطابقت آن با نمونه اصلی به کار می‌رود. در صورتی که ادعای انتساب امضاء به شخصی که سابقاً امضای او توسط سرویس ضبط امضاء اخذ شده است وجود داشته باشد، سرویس تأیید امضاء این علائم را ارزیابی کرده و آن را با علائم دیجیتالی که سابقاً ذخیره شده‌اند مقایسه می‌کند و درصد مطابقت آن با نمونه اصلی را نشان می‌دهد، در صورت مطابقت هر دو نمونه امضاء با یکدیگر، داده مذکور به عنوان امضای الکترونیکی تأیید می‌شود.

مزیت استفاده از امضای زیست سنجی آن است که ویژگی های ذاتی و رفتاری شخص نمی‌توانند سرقت شوند یا مورد سوء استفاده اشخاص غیر مجاز قرار گیرند، از طرفی همیشه همراه کاربر هستند و مشکل نگهداری سری کلید خصوصی در مورد آنها وجود ندارد.

اما ایراد این نوع امضاء آن است که دریافت کننده سند امضاء شده برای تشخیص صحت امضاء باید از پیش علائم دیجیتالی ارسال کننده را در اختیار داشته باشد از طرفی روش مذکور کاملاً ایمن نیست زیرا داده‌های زیستی اشخاص در اثر کبرسن، بیماری و دیگر عوامل تغییر می‌کند و احتمال بروز خطا وجود دارد. گاه هویت کاربر غیر مجاز تأیید می‌شود و به عکس کاربر مجاز رد می‌شود؛ اما در پی تلاشهای متخصصان، در حال حاضر برخی نرم‌افزارها با ۹۸ درصد صحت، قادر به تشخیص هویت کاربر می باشند که درصد ایمنی آنها بیش از امضای دستی است (عبداللهی، ۱۳۹۱، ص ۳۹).

[۱] ISO

[۲] PIN

Post your comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *