امضاهای دیجیتالی در امنیت اسناد

مقاله ای که پیش رو دارید، به «بررسی نقش امضای دیجیتال در امنیت اسناد» پرداخته است. به این منظور ابتدا به تعریف و بیان مفهوم امضای دیجیتالی پرداخته و سپس به چگونگی استفاده از آن برای اسناد اشاره می شود. در این راستا درباره ی مفاهیمی چون رمزنگاری و انواع آن هم اشاراتی شده است. پس از این مرحله به تعریف امنیت و سیاست های امنیتی پرداخته و روش های ایمن سازی اسناد مورد توجه قرار گرفته است. سپس نتایج امنیت و کاربرانی که از این نتایج استفاده می کنند معرفی می شوند. در پایان هم به امکان سنجی اجرا و مفاهیم مدیریتی امنیت اسناد توسط امضای دیجیتالی پرداخته خواهد شد.

در اسناد مکتوب، امضا نشان تأیید تعهدات قبول شده در آن سند به شمار می آید. از آن جهت که در تجارت الکترونیک «مدارک الکترونیکی» دارای جایگاهی همانند اسناد مکتوب هستند، لذا امضا در این مدارک نیز علی الاصول دارای همان ارزش اثباتی می باشد.

در بسیاری از برنامه های کاربردی، وجود یک سرویس انکار ناپذیر، لازم دیده می شود که امضای دیجیتال می تواند مکانیزم امنیتی لازم در این مورد را فراهم کند. همچنین می تواند در مواردی چون تأیید صلاحیت و یا جامعیت سرویس ها کاربرد داشته باشد.

امضای دیجیتال بعنوان پیش نیاز اساسی تجارت الکترونیک اهمیت بسیاری دارد. در بسیاری از برنامه های کاربردی بکار می رود. امضای دیجیتالی برای ایجاد امنیت و جامعیت پیام ها و موارد بسیار دیگری مورد استفاده قرار می گیرد.

مفهوم امضای دیجیتالی:

امضای دیجیتالی بخشی از داده هایی است که بنیانگذاران اسناد را شناسایی می کند. امضاهای دیجیتالی توسط رمزگذاری محتویات اسناد مورد استفاده در سیستم رمز بنیانگذاران آن خلق شده اند. بنیانگذاران، امضاهای دیجیتالی را هم برای پوشه ها و هم برای مالکین کلیدها بصورت منفرد بوجود آورده اند.(استافن ویلسون،۱۹۹۹)

فرایند امضای دیجیتالی برمبنای رمزگذاری نامتقارن است. امضای دیجیتالی حاصل و نتیجه تحقیقات سیستم روز است. (آلوک گوپاتا و دیگران،۲۰۰۳)

امضای دیجیتالی در دهه ۱۹۷۰ بوجود آمد. امضای دیجیتالی نسبت به امضاهای دستی بسیار بهتر، غیر قابل پیش بینی، غیر قابل تغییر است ونمی تواند انکار شود. امروزه امضای دیجیتالی بطور افزایشی در جریان تراکنش الکترونیکی روزمره ما حضور دارند. اما استفاده ی آنها محدود به اقلیت استفاده کنندگان است. امضای دیجیتالی حافظ مبنای امنیتی اسناد دیجیتالی، مانند درستی و اعتبار مضاعف داده ها است.(دیمیتریوس لکاس و دیگران،۲۰۰۶)

امضای دیجیتالی یک امضای الکترونیکی است که می تواند برای اعتبار بخشی هویت فرستنده ی پیغام و یا امضاکننده سند استفاده شود و یا شاید برای مطمئن شدن از این موضوع که مفاهیم اصلی پیغام یا اسناد بعد از ارسال تغییر نمی کند.

در محیط دیجیتالی کاربران می توانند به راحتی از اطلاعات کپی تهیه نمایند و تشخیص اصل و کپی غیرممکن است. در این صورت مفهوم امضای دیجیتالی باید بسته به محتوای داده ی مورد امضا برای هرنامه متفاوت باشد. یعنی امضای دیجیتال همراه با اصل اطلاعات عرضه می گردد. (هاو فنگ و دیگران،۲۰۰۲)

چگونه از امضای دیجیتالی استفاده می شود؟

از نقطه نظر یک کاربر، یک امضای دیجیتالی دقیقاً با فشار یک دکمه ساخته شده است. اولین کاربرد روزمره امضاهای دیجیتالی، بسته های پست الکترونیکی است. (براس مثال: مایکروسافت، آوتلوک ۲۰۰۷) (استافن ویلسون،۱۹۹۹)

همه ی تکنولوژی های یک امضاای دیجیتالی یک زیربنای کلید عمومی را در اختیار می گیرند.(PKI) بر اساس زیر بنای این کلید عمومی هر شخص یک جفت کلید دارد: کلید خصوصی و کلید عمومی. (هاو فنگ و دیگران،۲۰۰۲)

کلید خصوصی: بخشی از یک کلید استفاده شده برای ساخت امضاهای دیجیتالی است که فقط برای امضاکننده معلوم است.

کلید عمومی: بخش دوم کلید مورد استفاده برای رمزگشایی یا آزمایش امضاهای دیجیتالی است، که برای همه ی کسانی که احتیاج به ارتباط با امضا کننده یا اعتبار دهندگان اسناد دارند، آشکار می باشد. (آلوک گوپاتا و دیگران،۲۰۰۳)

چگونه هردو کلید عمومی و خصوصی را بسازیم؟ این امر ثابت شده است که با اینکه الگوریتم روز نویسی قوی داشته ایم، اما ممکن است کلیدهای ضعیف داشته باشیم. این نوع مشکل معمولاً موجب اجرای تصادفی فعالیت ها می شود.(دیمیتریوس لکاس و دیگران،۲۰۰۶) امضاهای دیجیتالی چیزی جز رمزگذاری داده ها با کلیدهای خصوصی فرستنده نیست. هنگامی که دریافت کنندگان، سند امضا شده را دریافت می کنند، آنها از کلید عمومی فرستنده برای اعتبار دادن به سند و شناسایی اینکه آیا در هنگام عبور تحت مداخله بوده است یا خیر، استفاده می کنند. (هاو فنگ و دیگران،۲۰۰۲)

فرایند ایجاد و آزمایش امضای دیجیتال را مجسم کنید. کسی شاید بخواهد اصل بودن یک سند را شناسایی کند. مانند شناسایی فرستنده، زمان وتاریخ ارسال یا امضای سند، شناسایی یک رایانه و یا استفاده کننده آن وغیره… . (آلوک گوپاتا و دیگران،۲۰۰۳)

فرایند شناسایی شامل عناصر زیر است:

-        امضای دیجیتالی؛

-        کلید خصوصی؛

-        کلید عمومی؛

-        درهم سازی عملکردها.

راهبرد ABA ، خلاصه ای از فرایند امضای دیجیتالی را تهیه کرده است:

برای امضای یک سند و یا هریک از بخش های اطلاعات، ابتدا امضا کننده به دقت باید حاشیه آن چیزی را که می خواهد امضا کند، معین سازد. اطلاعات مرزبندی شده که به امضا رسیده را اصطلاحاً «پیام» گفته می شود. درهم سازی عملکرد در کامپیوترهای امضاکنندگان یک نتیجه واحد (برای هرکدام از اهداف کاربردی) برای پیام دارد. سپس نرم افزار امضاکنندگان، نتایج درهم سازی را به امضای دیجیتالی مورد استفاده کلید خصوصی امضاکننده تغییر می دهد. نتیجه این امضا بصورتی است که برای ساخت آن از منفرد بودن پیام و کلید خصوصی استفاده شده است. شناسایی یک امضای دیجیتالی توسط محاسبات درهم سازی جدید پیام های اصلی انجام شده است. بدین معنی که درهم سازی مشابه عملکرد برای ساخت امضای دیجیتالی استفاده شده است. سپس استفاده کنندگان با کلیدهای عمومی و نتایج درهم سازی جدید، موارد زیر را شناسایی می کنند:

۱-      آیا کلیدهای خصوصی متناظر با استفاده کنندگان ساخته شده بودند؟

۲-      آیا نتایج درهم سازی که جدیداً محاسبه شده است با نتایج درهم سازی اصلی که طی فرایند امضاسازی تغییر شکل داده شده بودند مطابقت دارد یا خیر؟ (آلوک گوپاتا و دیگران،۲۰۰۳)

نرم افزارهای آزمایش کننده امضاهای دیجیتال آنهارا بعنوان «آزمایش شده» انتخاب خواهند کرد، به شرط آنکه:

۱-      کلیدهای خصوصی امضا کنندگان برای امضا کردن دیجیتالی پیام استفاده شده باشد. کلیدهای عمومی امضا کنندگان، فقط توسط امضاهای دیجیتالی که توسط کلیدهای خصوصی امضاکنندگان ساخته شده است، شناسایی خواهد شد.

۲-      پیام بدون تغییر باشد. این مورد هنگامی است که نتایج درهم سازی محاسبه شده توسط بازبین، برابر با نتایج درهم آمیزی استخراج شده از امضای دیجیتالی در طی فرایند شناسایی است. (آلوک گوپاتا و دیگران،۲۰۰۳)

روش های رمزنگاری:

۱- رمزنگاری متقارن/ سری/ کلید خصوصی: الگوریتم رمزنگاری که در آن دو شریک تجاری برای رمزنگاری و رمزگشایی مبادله الکترونیکی داده ها باید از کلید واحد و یکسان استفاده کنند، الگوریتم رمزنگاری متقارن نامیده می شود. بعبارت دیگر چنانچه پیام مبادله الکترونیکی داده ها با یک کلید رمزنگاری شده باشد، نمی توان آنرا با کلید متفاوتی رمزگشایی کرد. استفاده از روش های متفارن، کار رمزنگاری را آسان می کند و نیازی نیست که هریک از طرف های تجاری الگوریتم محرمانه ای تولید و با طرف دیگر مبادله کند. (که البته کار تقریباً غیر ممکنی نیز است.) درعوض هر شریک تجاری می تواند از همان الگوریتم رمزنگاری استفاده کرده و فقط کلید مشترک محرمانه را مبادله کند.

با این وجود، طرح های رمزنگاری متقارن نارسایی هایی دارد: طرفین باید درمورد کلید مشترک محرمانه توافق کنند. باید به تعداد روابط یک شریک، کلید محرمانه نگهداری شود. یعنی یک کلید برای هریک از شرکاء. ایراد دیگر طرح های رمزنگاری متقارن این است که اصالت منشاء یا مقصد (عدم انکار اصل، تحویل و دریافت) قابل اثبات نمی باشد. لذا هر پیام الکترونیکی داده ها که با یک کلید رمزنگاری شده باشد، می تواند بوسیله هرکدام از طرف های تجاری فرستاده شده باشد. با استفاده از آنچه که رمزنگاری کلید عمومی نامیده می شود و در آن الگوریتم غیرمتفارن بکار می رود، مسائل مربوط به عدم انکار اصل، تحویل و دریافت را می توان حل کرد.(رحیمی،۱۹۹۸)

۲- رمزنگاری غیر متقارن/ کلید عمومی: رمزنگاری کلید عمومی مبتنی بر مفهوم یک جفت کلید است. هریک از دو کلید می تواند اطلاعاتی را رمزگذاری کند که رمزگشایی آن تنها بوسیله کلید دیگر امکان پذیر است. هرجفت کلید صرفاً به یک شریک اختصاص دارد. بخشی از یک جفت کلید (کلید خصوصی) در اختیار شریک مربوطه قرار دارد و بخش دیگر آن (کلید عمومی) به رغم آنکه مربوط به همان شریک تجاری است، مشکوف است. (رحیمی،۱۹۹۸)

پیام های دریافتی کد شده توسط کلید عمومی کاربر، فقط برای خواندن قابل استفاده می باشد. زیرا تنها خود کاربر، کلید خصوصی جهت رمز گشایی را در اختیار دارد. دو کلید باهم رابطه ریاضی دارند ولی عملاً کلید خصوصی از روی کلید عمومی محاسبه پذیر نیست. (آلوک گوپاتا و دیگران،۲۰۰۳)

حال اگر شریک «الف» بخواهد یک پیام محرمانه به شریک «ب» ارسال کند، از کلید جفت به این ترتیب استفاده بعمل می آورد: شریک «الف» کلید عمومی شریک «ب» را بازیابی می کند. شریک «ب» پس از دریافت پیام، آن را با کلید خصوصی خود رمزگشایی می کند. بعبارت دیگر فقط کلید خصوصی شریک «ب» می توان اطلاعاتی را که با کلید عمومی او رمزنگاری شده، رمزگشایی کند.

از آنجا که الگوریتم های رمزنگاری کلید عمومی، در مقایسه با کلیدهای متقارن، بطور قابل ملاحظه ای آهسته تر عمل می کنند، در رمزنگاری مبادلات پرحجم معمولاً از آن استفاده نمی شود. با کاربرد رمزنگاری کلید عمومی، مدیریت کلیدهای متقارن از سادگی و ایمنی بیشتری برخوردار می باشند. رمزنگاری نامتقارن مسئله تأیید اصالت منشأ را که طرح های مدیریت کلید متقارن محض دارند را حل می کند. (رحیمی،۱۹۹۸)

۳- کلید یدک: کلید یدک، تحت شرایط معین و معلومی، کشف رمز یک پیام رمزنگاری شده را امکان پذیر می سازد. بسیاری از شرکت ها و مؤسسات درمورد کاربرد گسترده رمزنگاری در داخل سازمان خود، احتیاط می کنند. زیرا بیم دارند که چنانچه متصدی کلید رمزنگاری، شغل خود در شرکت را رها و یا فوت کند و یا به هر علتی به مخالفت با شرکت برخیزد، اسرار شرکت فاش می شود، یا برای همیشه از بین می رود. این مسئله با ذخیره گذاردن یک کلید یدک حل می شود و از این کلید می توان تحت شرایط بسیار خاصی استفاده کرد. نگاه دارنده کلید یدک بعنوان «کارگزار امانت کلید» نامیده می شود.(رحیمی،۱۹۹۸)

امضای یک سند دیجیتالی:

برای امضای یک سند دیجیتالی، امضاکننده از کاربرد مناسب برای بررسی اینکه سند بطور صحیح ظاهر شده است یا نه، استفاده می کند.امضا کننده برنامه دیجیتال، اجرای آن برای سند را درخواست می کند. برنامه امضاهای دیجیتال گام های زیر را در امضای سند انجام می دهد:

شکل ۴ – امضای یک سند دیجیتالی

۱- برنامه با دفتر ثبت اسناد مشورت می کند و برای درخواست برنامه ای که کار تولید اسناد را دارد جستجو بعمل می آورد. از کدی که قسمت دوم نام سند را تشکیل می دهد و توسط یک نقطه از نام سند جدا می شود، بعنوان یک کلید استفاده می کند. سپس یک شناسه واحد جهانی برای درخواست بدست آورده و یک مثال برای درخواست خود بعنوان واسط برای دستیابی به امضای دیجیتال خلق می کند. اگر برنامه امضای دیجیتالی نتواند راهنمای یک درخواست معتبر برای خلق نوع مخصوص سند پیدا کند، کاربر باید آگاه شده و اختیاری را برای امضا یا عدم امضای سند بدست آورد.

۲- برنامه، سند را برای شناسایی درخواست، از طریق واسطه کامپیوتری امضای دیجیتال که در گام یک حاصل شد، می فرستد و تجزیه شدن سند و بازگشت آن به یک سند ایستا را درخواست می کند.

۳- برنامه امضا، شکل ایستای سند را دریافت کرده و آنرا امضا می کند. (عدیل السعید و دیگران،۲۰۰۵)

شناسایی یک سند امضا شده:

شناسایی یک امضای دیجیتال بر روی سند، سند، امضا و امضاکننده کلید عمومی، ورودی های برنامه ی امضا برای بررسی هستند. بعد از انجام گام های ۱ و ۲ که در بخش قبل توضیح داده شد؛ برنامه امضا، امضای دیجیتالی را در برابر نسخه ی ایستای سند که در گام ۲ دریافت کرده بود و برون ده مقیاس «صحیح/غلط» داشت شناسایی می کند. اگر ارزش خروجی صحیح باشد، امضا وجود دارد. شکل زیر نشان دهنده فرایند شناسایی امضای دیجیتال بر یک سند با مفهوم پویا است.(عدیل السعید و دیگران،۲۰۰۵)

امضای دیحیتالی در داخل سازمان ها:

امضای دیحیتالی همچنین می توانند در فرایندها یا معاملات در سازمان ها مورد استفاده قرارگیرند. سیستم های اطلاعاتی مدیریت (MIS)، مدیران شبکه های امنیتی را پشتیبانی می کنند و یا سایر اختیارات کنترلی قابل رسیدگی می تواند بعنوان تصدیق کننده اختیارات عمل کند. رهاورد تشریح مصور از چنین فرایندی در اصطلاح نهاد دیجیتالی سازمان (O Dig ID) نامیده می شود.

در اینجا هر زمان کسی یک پیام ارسال می کند، نهاد دیجیتالی سازمان خود را به پیوست آن می فرستد. گیرنده آن ابتدا از نهاد دیجیتالی سازمان خود برای شناسایی صحت کلیدهای عمومی بررسی کنندگان استفاده می کند؛ سپس از این کلیدهای عمومی برای شناسایی خود پیام استفاده می کند.

استفاده از نهادهای دیجیتالی سازمان، یک حلقه ی قانونی است که می تواند تصدیق کننده ی ارتباطات سلسله مراتب سازمانی پذیرش ثبت نام کلید عمومی مناسب و تصدیق تعمیم به محیط باشد.

وقتی یک فهرست، منابع اطلاعاتی در دسترس را برای کاربران عمومی بوجود آورد. برای مثال: اطلاعات نام، شماره تلفن، آدرس پست الکترونیک یا درباره منابع شبکه ای مثل پرینترها و هدایت کنندگان اطلاعات؛ هدف از بنا نهادن این فهرست می تواند بعنوان منابع اطلاعاتی و متحد شده برای سرمایه گذاری باشد؛ به فرض اینکه همه درخواست ها به استناد پشتیبانی فهرست باشد که به معنای دستیابی و تفسیر اطلاعات ذخیره شده در آن است.(آلوک گوپاتا و دیگران،۲۰۰۳)

امنیت:

امروزه سیستم های کامپیوتری نسبت به گذشته قدرتمندتر و قابل اطمینان تر هستند. هرچند که مدیریت این سیستم ها دشوارتر است. اجرای سیستم کاری دشوار است. این سیستم ها بطور فزاینده ای مستلزم آن هستند که اجراکنندگان آنها با تعداد زیادی سیستم های شبکه ای راه را ادامه دهند. اولین نتیجه آن این است که سازمان ها نیازمند برداشتن گام های اضافه برای آن که تضمین کنند که سیستم های آنها بطور صحیح و امن شکل داده شده است. (جان وک و دیگران،۲۰۰۳)

سیاست امنیتی اصلی:

اولین سندی را که شما انتخاب می کنید «اساس سیاست امنیتی» شماست. همچنین این سند برای نوشتن آسان ترین است. چنانکه چارچوب سیاست اسناد دیگر را تعیین می کند. هنگامی که شما یک سیاست امنیتی اصلی را برمی گزینید، شما باید اولین لیست وابسته به سیاست را که بعداً بوجود خواهدآمد، بشمار آورید.

فهرست شما باید مخصوص سازمان شما باشد. اما ممکن است شامل سیاست های وابسته ی زیر باشد:

- استفاده قابل قبول از کامپیوتر: یک سند عمومی همه استفاده کنندگان کامپیوترها مثل کارکنان و پیمانکاران را شامل میزکار، موبایل، کامپیوترهای شخصی و خانگی و سِروِرها را پوشش می دهد.

- کلمه عبور سنتی: تشریح نیازمندی ها برای سیستم های کامپیوتری، محافظت از کلمه عبور، قوانینی برای انتخاب کلمات عبور و چگونگی سیاست کلمه عبور اجباریست.

- پست الکترونیکی: این سیاست، فرستادن پست الکترونیکی از هر آدرس پست الکترونیکی شرکت و دریافت سیستم کامپیوتری شرکت دیگر را پوشش می دهد.

- وب: تعیین آنکه چه جستجوگری ممکن است مورد استفاده قرار گیرد. چگونه آنها باید پیکربندی شوند و هر محدودیتی که کارمندان می توانند با آنها مواجه شوند.

- محاسبات سیّار و ذخیره سازی سبک: تعیین اینکه چه کسی صاحب محاسبات سیّار و ذخیره سازی سبک بر روی شبکه است. چگونه آنها پشتیبانی می شوند؟ درصورت وجود دستگاه های مخصوص مجاز برای استفاده در شبکه ها چیست؟

- دستیابی از راه دور: یک سیاست، توضیحی است در مورد اینکه کسی که می تواند به سیستم دستیابی داشته باشد چه اطلاعاتی را از چه محلی و تحت چه شرایطی بدست می آورد؟

- اینترنت: شرح پیکره ی دروازه ی رویایی شما با اینترنت و توضیح اینکه چه چیزی اجازه ورود و خروج دارد و چرا؟

- سیستم بدون سیم: شرح توضیحاتی که چگونه دستیابی سیستم های بدون سیم در شبکه شما مدیریت خواهد شد. چگونه برای دستیابی به نقاط، وارد، ایمن و نگهداری خواهد شد. چه کسی اجازه استفاده از آنها را دارد و تحت چه شرایطی؟

-        سِروِرها: بیان استانداردهایی برای سِروِرهای شرکت. چه سِروِرهایی با توجه به قرارداد و تفاوت مهم بین تولیدات، آزمایشات و پیشرفت محیط ها، قادر به انجام کارها هستند و یا از کار افتاده اند. (فردریک اوولیو و دیگران،۲۰۰۷)

امنیت امضاهای دیجیتالی چگونه است؟

فعالیت امضای الکترونیکی ارائه دهنده ی امضای دیجیتالی است و وضعیت قانونی آن مشابه امضاهای دستخطی سنتی است. هرچند که حقیقت آن مطابق اصول فنی، مشخص کننده ی تکنولوژی که در ساخت امضای دیجیتال می تواند استفاده شود نیست. در اجرا، کارکرد و تکنولوژی های امضای دیجیتالی بسیار وسیع می باشد. مشهورترین تکنولوژی پذیرفته شده توسط صنایع برای اجرای امضای دیجیتالی در الگوریتم مرتب کردن مبنایی (RSA) و تخصیص حافظه پویا (DSA) است. (هاو فنگ و دیگران،۲۰۰۲)

پنج فاکتور بنیادی کاربردی برای امنیت اسناد استفاده می شود: عدم موفقیت در اعتباردهی، درجه پذیرش نادرست، درجه مردود سازی نادرست، سهولت استفاده و امنیت بالا(کپی برداری یا جعل سخت) می باشند. یک سیستم تعیین معرف الکترونیکی ایده آل باید رضایت این پنج معیار عملکرد را شرح دهد.(آلوک گوپاتا و دیگران،۲۰۰۳)

در اینجا به پنج بند مهم امنیت اسناد اشاره می شود. این بندها در ارتباطات سنتی برمبنای کاغذ بخوبی درک شده اند.

۱-      اعتبار: شما چگونه می فهمید که سندی را که دریافت کرده اید معتبر است؟ برای مثال اگر یک نامه اداری که سربرگ دارد دریافت کنید، سندیت ان را تصدیق می کنید.

۲-      کامل بودن: شما چگونه می فهمید که سند از هنگامی که نوشته شده است تغییر نکرده باشد؟ چه بصورت عمدی و چه بصورت سهوی.

۳-      انکارکردن: چگونه می توانید برای مبتکر یک سند در برابر قبول نکردن مسئولیت او سد باشید؟ بطور عادی یک شخص توسط امضای هرچیزی که می نویسد و مجوزی که به وکیل رسمی خود برای امضا به نیابت از او می دهد، محدود می شود.

۴-      رازداری: شما چگونه می توانید بفهمید که سند توسط افراد بدون اختیار خوانده نشده است؟ در یک بعد جهانی، شما واقعاً نمی توانید سدی برای کسی که نامه شما را می خواند شوید. اما طیفی از اختیارات وجود دارد: از پست سفارشی تا پیام رسان که بستگی به محتوای نامه دارد.

۵-      قابلیت استفاده: در آخر، شما چگونه می فهمید عملیات نامه رسانی تمام شده است و یا اینکه آیا دریافت کننده ی سند در آینده همیشه در دسترس است یا خیر؟ (استافن ویلسون،۱۹۹۹)

امضا کنندگان اسناد می توانند توسط پیوست شناسه و خصیصه منفرد و شخصی به سند بعنوان امضای الکترونیکی، افزایش یابند. در اینجا بیشمار تکنیک های امنیت اسناد الکترونیکی وجود دارد، که این تکنیک ها می توانند در این نقش بکار برده شوند. ما بطور خلاصه کلمات عبور سنتی، کارت های کلیدی، تشخیص صورت، اثر انگشت، هندسه دست، الگوی شبکیه چشم، بررسی عنبیه، صدا، DNA و بررسی امضای دستی را مقایسه می کنیم.(آلوک گوپاتا و دیگران،۲۰۰۳)

۱-      کلمات عبور سنتی: این مورد یکی از ساده ترین و قدیمی ترین راه های شناسایی کاربران سیستم رایانه ای است و امروزه پر استفاده ترین تکنولوژی است که مورد استفاده قرار می گیرد. استفاده از آن آسان تر از هر سیستم دیگری است. اما طبق نظریه عمومی، پایین ترین امنیت را به سبب فرکانس فراموشی کلمات عبور دارد. بعلاوه این مورد تکنیکی است که به خوبی ساختار یافته و مؤثر برای ورود به سیستم است. (آلوک گوپاتا و دیگران،۲۰۰۳)

قوانین کلمات عبور سنتی درمجموع برای امنیت دستیابی به احتیاجات امروزه کاربران مناسب نیست.(لن کیلپاتریک،۲۰۰۷)

۲-      کارت های کلیدی: این کارت ها، کارت هایی با نوار مغناطیسی هستند که عدد شناسایی فردی (PIN) یا کلمه عبور را در نوار مغناطیسی خود ذخیره کرده اند. کاربر، سندی را که در کارت قرار دارد را زیر شناسه ی مغناطیسی قرارداده و فرایند بررسی عبور را انجام می دهد. بعلاوه امکانات بسیار محدود ذخیره سازی، کارت های کلیدی را در برابر سرقت و آسیب، آسیب پذیر می کند. بدین ترتیب اگر این کارت ها پیشرفت کنند، مفید خواهند بود.در حقیقت کارت های کلیدی می توانند بعموان هم ارز یک PIN یا کلمه ی عبور دیده شوند.(آلوک گوپاتا و دیگران،۲۰۰۳)

۳-      کارت های هوشمند: نتیجه سیر تکاملی کارت های کلیدی، کارت های هوشمند است. در اندازه و قابل لمس بودن مشابه کارت های اعتباری هستند. کارت های هوشمند، اطلاعات را بر روی یک تراشه ی ریزپردازنده در بدنه ی کارت، جاسازی می کنند. این تراشه ها اطلاعات را نگه داری می کنند. از ارزش انباشته (ارزش پولی) (قابل استفاده برای خرده فروشی ها و دستگاه های فروش) برای امنیت اطلاعات و درخواست ها (برای عملیات تولید محصولات پیشرفته، بعنوان مثال سابقه دارویی) استفاده می شود. اطلاعات و یا درخواست های جدید بسته به ظرفیت تراشه ها می توانند اضافه شوند.کارت های هوشمند اجازه می دهند که هرزمان اطلاعات قابل ذخیره، برروی مغناطیس کارت ها قرار گیرند. بعلاوه کارت های هوشمند معتبر بوده و چندین عملیات را اجرا کرده و امنیت بیشتری دارند. (آلوک گوپاتا و دیگران،۲۰۰۳)

استاندارد کارت ها ۸۵٫۵ میلیمترx 53.98  میلیمتر است و مشابه نخستین کارت های بانکی با خط مغناطیسی که بعنوان اسباب پرداخت برای بسیاری از طرح های مالی استفاده می شدند، است. (دیوید اورت،۱۹۹۲)

۴-      تشخیص صورت: تصاویر صورت بعنوان یکی از ویژگی های عمومی زیست شناسی برای شناسایی اشخاص مورد استفاده قرار می گیرد. شناسایی صورت فرد توسط تجزیه و تحلیل شکل، خصیصه و موقعیت خصوصیات صورت  است. در اینجا دو روش برای پردازش داده ها استفاده می شود: تصاویر تلویزیونی و تصاویر حرارتی. تکنیک های ویدئویی استاندارد، مبتنی بر تصویر برداری توسط دوربین های ویدئویی است. تکنیک تصاویر حرارتی، گرمای تولید شده را بر اساس الگوی رگ های خونی زیر پوستی تجزیه و تحلیل می کند.در همان حال، این تکنولوژی از کمبود اطمینان به آن رنج می برد. برای مثال سیستم ها در تشخیص دوچیز از یکدیگر مشکل دارند. در تشخیص کاربران بعد از تغییرات کم، مانند کوتا کردن مو و یا شناسایی یک شخص هنگامی که عینک نزده باشد و غیره… (آلوک گوپاتا و دیگران،۲۰۰۳)

سناریوی تشخیص صورت می تواند در دو نوع طبقه بندی شود: بررسی صورت و شناسایی صورت (ژیاگوانگ لو، ۲۰۰۷)

۵-      اثر انگشت: همه اثر انگشت ها محتوی یک شخصیت فیزیکی واحد هستند. کیفیت تصاویر اثر انگشت متناسب با تعداد نقاط گرفته شده است. در یک بررسی که اخیراً در دانشگاه کانکتیکات صورت گرفته است، محققان بین ۲۴ و ۷۰ نقطه را یافتند که بعنوان نمونه ای در نوعی شناساگر نوری اثر انگشت می باشد. همچنین تجزیه و تحلیل ها نشان می دهد که فناوری، پذیرش غلطی را بوجود آورده است. همچنین بدلیل وابستگی سنتی با رسیدگی پلیسی جنایت، این تکنولوژی پذیرش اندکی را در بین کاربر دارد. بعلاوه این فاکتورها بطور قابل ملاحظه ای مانع از استفاده ی تکنولوژی شناسایی اثر انگشت می باشد.(آلوک گوپاتا و دیگران،۲۰۰۳)

امروزه فناوری اثر انگشت در فناوری زیست سنجی استفاده وسیعی دارد. زیست سنجی به دلیل مدیون بودن به اثر انگشت تنها راه شناسایی افراد با پشتوانه قانونی کافی است.(جان بندهو و دیگران،۲۰۰۱)

۶-      هندسه دست: دستان هر شخص بطور بالقوه با دیگران متفاوت است و شکل آن (که شامل ماهیچه ها مانند طول و عرض انگشتان و بند انگشتان و غیره است) تغییر نمی کنند(بعد از یک سن معین). یک ویژگی اصلی استفاده از هندسه ی دست، این است که هیچکدام از عوامل محیط (مانند آب و هوای مرطوب) و استثنائات فردی (مانند پوست خشک) اثرات مهمی بر شناسایی صحیح ندارد. متاسفانه معایب رایج این روش این است که شامل هر دوی فقدان جداسازی امکانات و اندازه طاقت فرسای هندسه ی دست بر مبنای سیستم می باشد.

۷-      الگوی شبکیه چشم: شبکیه چشم لایه ی رگ های خونی پشت چشم می باشد. عکس های دیجیتالی الگوی شبکیه چشم می تواند توسط پرتو بصری با قدرت کم یا اشعه مادون قرمز در چشم ها برای بدست آوردن یک ویژگی بدست بیاید. یک منطقه اسکن شده و الگوی واحدی گرفته می شود. زیست سنجی شبکیه بعنوان بهترین ایفاکننده زیست سنجی ایجاد شده است. اگرچه درستی آن بصورت ناجور و سرزده و شاید سخت، برای رسیدن به پذیرش عام مطرح شده است. اسکنرهای چشم و شبکیه برای افراد نابینا و کسانی که از لنز استفاده می کنند بی نتیجه است. (آلوک گوپاتا و دیگران،۲۰۰۳)

۸-      بررسی عنبیه: عنبیه ناحیه حلقوی چشم است. هر عنبیه منفرد است و عنبیه های دوقلوهای هم سان متفاوت است. یک سیستم تشخیص عنبیه از یک دوربین ویدئویی برای گرفتن نمونه استفاده می کند. درحالیکه نرم افزار نتایج داده ها را با الگوی ذخیره شده مقایسه می کند. یکی از ویژگی های این روش این است که این روش برای تحریف بسیار مشکل و برای تشخیص عنبیه مصنوعی بسیار آسان است. درحقیقت درجه پذیرش غلط بودن آن آشکارا یا نظری  است. در یک پروژه بررسی در دانشگاه کانکتیکات، وقتی که درجه بندی اتوماتیک پیشرفته دوربین های مورد استفاده، در یک اتفاق نادر، بصورت نادرست رد شد، سه نکته کلیدی برای اسکن عنبیه بطور خلاصه بیان شد:

ü       در یک روش استراتژیک، اسکن عنبیه برای شناسایی و سندیت از منظر زیست شناسی بدلیل غنی بودن و الگوی طبیعی ایستا، متقاعدکننده است.

ü       امروزه اسکن عنبیه بادوام و ماندنی است.

ü       اسکن عنبیه هنوز رشد نیافته است، اما آینده بالفعل قوی دارد. نسل بعدی دوربین ها، توانایی آماده کردن ویدئو کنفرانس های رومیزی با تراکم بالا و شناسایی صورت با ماندگاری را خواهند داشت.(آلوک گوپاتا و دیگران،۲۰۰۳)

۹-      صدا: تحقیق مبتنی بر صدا (تشخیص صوتی) می تواند هریک از موضوعات مستقل و وابسته باشد. توسط تجزیه و تحلیل واحد ویژگی سخن، مانند بسامد بین فنوتیک ها، درحالی که شناسایی صدا راحت است، اما بعلت جعل هویت، دستیابی از راه دور و عدم دقت، کاملاً قابل اعتماد نیست. کسی که سرما خورده و یا التهاب حنجره دارد، ممکن است بعلت مردودسازی غلط با این سیستم مشکل داشته باشد.(آلوک گوپاتا و دیگران،۲۰۰۳)

۱۰-   DNA: ساختار DNA مارپیچ دوگانه است. تفاوت بین دو نفر در آرایش جفت ها در آن است. چندین ملیون جفت در هر DNA افراد است که باعث تفاوت در افراد می شود. با استفاده از این توالی، افراد می توانند منحصراً شناخته شوند. پس هر فرد حدود سه هزار ملیون «اساس جفت» دارد. بنابراین شناسایی عمل هریک بسیار زمان بر است. تکنولوژی آن هنوز در مرحله کودکی به سر می برد.(آلوک گوپاتا و دیگران،۲۰۰۳)

۱۱-   بررسی امضای دستی: درستی امضای دستی ممکن است توسط تجزیه و تحلیل شکل، سرعت، ضربه، فشار خودکار و زمان بندی اطلاعات در طی عملیات امضاکردن بصورت خودکار تأیید شود. نخستین ویژگی آن نسبت به سایر فناوری های زیست شناسی این است که امضا بعنوان یک روش معمول شناسایی پذیرفته شده است.

این جدول استفاده از پنج فاکتور را در تکنولوژی ها مقایسه می کند. همچنین می توان تکنولوژی های قانونی استفاده از دو بعد زیست سنجی/اشیا و رفتاری/بدنی، مقایسه کنیم. شکل ۸ مثالی در این باره است. (آلوک گوپاتا و دیگران،۲۰۰۳)

نتایج آزمایش امنیت اسناد:

آزمایش امنیت بینشی را نسبت به پیشرفت چرخه عمر سیستم ها مانند تحلیل ریسک و برنامه ریزی احتمالی فراهم می کند. نتایج آزمایش امنیت باید مستند شده و برای کارمندان درگیر با فناوری اطلاعات و بخش های مرتبط با امنیت، در دسترس باشد. خصوصاً نتایج آزمایش امنیت می تواند در بخشهای زیر استفاده شود:

۱-      بعنوان نقطه ی مبنا برای فعالیت های اصلاح کننده؛

۲-      برای تعریف کردن فعالیت های تسکین دهنده برای شناسایی محل های حساس؛

۳-      بعنوان الگویی برای ردیابی پیشرفت سازمان در نشست الزامات امنیتی؛

۴-      برای تعیین وضعیت اجرایی الزامات سیستم امنیتی؛

۵-      هدایت تجزیه و تحلیل سود و زیان برای بهبود امنیت سیستم؛

۶-      افزایش فعالیت های چرخه عمر از جمله: تشخیص ریسک، گواهی اختیار و تلاش در جهت بهبود. (جان وک و دیگران،۲۰۰۳)

تصورات غلط درمورد امنیت:

در اینجا به چهار تصور غلط درباره ی امنیت اشاره می شود:

۱-      «هدف امنیت شبکه، امن نگه داشتن شبکه (و یا کامپیوترها) است.» امنیت شبکه آسان است اما هدف نیست. هدف واقعی شما – و بسیاری از شغل های دشوار- امنیت کسب و کار است. هدف امنیت شبکه، پشتیبانی از شبکه، تجهیزات کامپیوتری کسب و کار و استفاده از روش هایی برای کاهش ریسک است.

۲-      «سیاست های امنیتی باید بلند مدت و پیچیده باشند.» درحقیقت، دقیقاً برعکس است. ما معتقدیم که حقیقت آشکار امنیت خوشنامی است. «پیچیدگی و امنیت نسبت عکس دارند.» سیستم های پیچیده معمولاً نسبت به سیستم های ساده امنیت کمتری دارند. سیاست های پیچیده معمولاً رد می شوند. سیاست های ساده قدرت ماندن دارند.

۳-      «سیاست های امنیتی مجبورند بی عیب و صددرصد کامل باشند.» خیر! درحال حاضر، امنیتی که به اندازه کافی خوب باشد، نسبت به امنیت بی عیب بهتر است.

۴-      «سیاست های امنیتی فقط یکبار نوشته می شوند.» تا وقتی که در دنیا انسان های بد وجود دارند و همه در ذهن خود موافق کسب و کارشان هستند، فرایند مدیریت سیاست امنیت هرگز پایان نمی یابد. (فردریک اوولیو و دیگران،۲۰۰۷)

امکان سنجی اجرا:

مبنای اجرایی امضاهای دیجیتال، امضاهای دست نویس هستند. امضاهای دست نویس می توانند آنلاین (برخط) یا آفلاین (برون خط) باشند که بستگی  به چگونگی بدست آوردن امضا دارد. یک امضای آفلاین توسط تصویربرداری از امضا بر روی کاغذ بدست می آید و خصوصیات آن ایستا است. این عکس اسکن شده باید بصورت ایده آل چاپ سایه دار باشد. در مقابل آن یک امضای آنلاین توسط تسخیر فرایند امضا برروی لوح است. ترکیب پویای بدست آمده شامل سرعت، فشار، زاویه نگارش و غیره… است، که همه ی آنها برای تغییر شکل دادن دشوار هستند.

مفاهیم مدیریتی:

مدیران و صاحبان سیستم، همه ی دارایی های خود را با تعریف یا شناسایی نیازهای امنیتی سرکشی می کنند. همچنین آنها نسبت به تضمین نتایج آزمایشات و پیشنهاداتی که مناسب شناخته شده اند مسئولیت دارند. (جان وک و دیگران،۲۰۰۳)

فرایند امضای دیجیتال بزودی توسط سازمان ها برای جایگزینی راه های سنتی امضای اسناد، پذیرفته می شود. مخصوصاً هنگامی که اسناد بر روی اینترنت قرار می گیرند. درحالیکه اسپراگ نشان داد، بسیاری از سازمان ها یک سیستم تشریفاتی اداری دارند که بطور کامل رایانه ای نشده اند. زیرا کار آنها نسبتاً بر مبنای ثبت داده ها است. حال آنکه ابزارهای تکنولوژی امضاهای دیجیتالی وجود دارند، این ابزارها با محدود شدن کاربردهای کسب و کار پیشرفت کرده اند. امروزه همکاری بسیاری در جهت تحریک کارمندان بسوی عملیات بدون کاغذ صورت گرفته است. (آلوک گوپاتا و دیگران،۲۰۰۳)

امضای دیجیتال کاربردهای ذاتی بسیاری در فرایندهای کسب و کار دارد. این فناوری می تواند فراتر از اجرای نقش پشتیبانی فرایند سازمانی برای بالفعل کردن فرایند کسب و کار باشد. بعلاوه فرایند مدیریت اسناد الکترونیک افزایش معنی دار کاربرد تکنولوژی امضای دیجیتالی را در آرایش وسیع فرایند کسب و کار شناسایی کرده و نشان می دهد. مدیران می توانند نقش فعالی را در پذیرش و طراحی تکنولوژی ایفا کنند. همچنین در انجام آن مدیران می توانند بطور فعالانه به تغییر شکل و افزایش اثریخشی فرایند کسب و کار خود کمک کنند. (آلوک گوپاتا و دیگران،۲۰۰۳)

نتیجه گیری:

نسل جدید اسناد آنلاین درد دست ماست. در حالیکه کسب و کارهای بسیاری کاملاً بصورت الکترونیکی انجام می شوند. با نتایج غیرچاپی حفظ خواهند شد. موقعیت قانونی کاملاً واضح است. براستی که قراردادها می توانند به شکل آنلاین و باشند و حتی طرفین یکدیگر را ندیده باشند و بدون اینکه به ثبت و امضای کاغذی نیاز باشد. امنیت اسناد الکترونیکی احاطه کننده ی درستی و کمال اسناد است. به زودی شرایطی را برای اعضای معتمد بنگاه ها خواهیم دید که حاصل نتایجی است که امضاهای دیجیتالی برای حقوقدانان، پزشکان، حسابداران و همه ی کسانی که مستقیماً اختیار امضا دارند فراهم کرده اند.

توجه به زیرساخت ها، شرط نخست ورود به دنیای الکترونیک و پیشرفت در آن حوزه است، برای تحقق کسب و کار الکترونیکی بحث ایمنی آن حائز اهمیت است. پس در این باره با توجه به مفاهیم ارائه شده، نقش امضاهای دیجیتالی در حرکت کسب و کارها به سوی جامعه ی مجازی در امنیت اسناد قابل تأمل و مهم است.

منابع:

۱-       Adil Alsaid, Chris J. Mitchell. Dynamic content attacks on digital signature. 2005.

۲-       Alok Gupta, Y.Alex Tung, James R.Marsden. Digital signature: use and modification to achieve success next generational e-business processes.2003.

۳-       David B. Everett. Smart card tutorial.1992.

۴-       Dimitrois Lekkas, Costas Lambrinoudakis. Outsourcing digital signature: a solution to key management burden. 2006.

۵-       Fredrick M.Avolio, D.Scott Pinzon. Producing your network security policy2007.

۶-       Hao Feng, Chan Choong Wah. Private Key generation from online handwritten signature. 2002.

۷-       John Wack, Miles Trocy, Murugiah Sonppaya. Guideline on network security testing. 2003.

۸-       Lan Kilpatrick. Feature: Authentication- Market update. 2007.

۹-       P.K.janbandhu, M.Y.Siyal. Novel biometric digital signatures for internet-based applications.2001.

۱۰-   Stophen Wilson, digital signature and the future documentation. 1999.

۱۱-   Xiaoguang LU. Image analysis for face recogniation. 2007.

۱۲-   بهرام پیری، مرکز صدور گواهی دیجیتال ایران و سرویس های آن، مجله تک فا، سال چهارم، شماره چهارم، بهمن ۱۳۸۵/۲۰۰۶٫

۱۳-   پریوش رحیمی، تجارت الکترونیک و امنیت در آن، رحیمی،۱۳۷۹/۱۹۹۸، دانشگاه آزاد اسلامی واحد تهران شمال.