با وجود اهمیت در امنیت و شناسایی هویت مجازی / امضای دیجیتال جدی گرفته نمی‌شود

رمزنگاری در امنیت و شناخت هویت مجازی سال‌هاست که با گسترده شدن فضای مجازی در کشورهای مختلف اجرا شده است و در کشور ما هم از سال 1382 قوانینی برای استفاده از امضای دیجیتال تدوین شد. در سال‌های گذشته نیز حرف و حدیث‌های زیادی درباره جدی شدن اجرای این پروژه شنیده شد که متاسفانه در همان حد باقی ماند و در عمل هیچ اتفاقی رخ نداد. این در حالی است که به گفته کارشناسان، امضای دیجیتال شاه‌کلید دولت الکترونیک محسوب می‌شود و هر کشوری برای مطلوب شدن فضای مجازی خود به‌ویژه امنیت در آن باید امضای دیجیتال و هویت در فضای مجازی را به بهترین نحو ممکن اجرا کند.

سینا اکبری‌پور، کارشناس فناوری اطلاعات درباره امضای دیجیتال به «فرصت امروز» گفت: امضای دیجیتال با آن چیزی که در سیستم اداری از آن استفاده می‌شود، متفاوت است و آنچه به‌عنوان امضای دیجیتال در سیستم‌های اتوماسیون اداری از آن یاد می‌شود عکس گرفتن از امضا و کپی کردن آن پای نامه‌ها و اسناد است. وی افزود: در حقیقت این امضا استفاده از مجموعه‌ای از کدهای دیجیتال است که مختص به هر فرد در دنیای مجازی است که شامل نام کاربری و کلمه عبور است که برای ورود به سیستم استفاده می‌شود.

این کارشناس با اشاره به بالا بودن میزان امنیت امضای دیجیتال تاکید کرد: هنگام استفاده از امضای دیجیتال، کاربر ابتدا نام کاربری و کلمه عبور خود را وارد می‌کند، سپس سیستم نرم‌افزاری برای احراز هویت صاحب امضا به سخت‌افزار امضا مراجعه می‌کند اما اگر کلید خصوصی در سخت‌افزار موجود بود هویت کاربر و صاحب امضا تایید می‌شود. به این ترتیب، فقط فردی که نام کاربری و کلمه عبور کلید عمومی و کلید خصوصی را در اختیار داشته باشد، به‌عنوان صاحب امضا شناخته می‌شود. اکبری‌پور درباره چگونگی اجرای طرح امضای دیجیتال در کشور گفت: در ایران با تصویب سند راهبردی «امنیت فضای تبادل اطلاعات» برنامه‌ریزی برای ایجاد زیرساخت و کاربردی کردن امضای دیجیتال در دستور کار قرار گرفت و مجوز راه‌اندازی «مرکز صدور امضای دیجیتال تجاری» برای وزارت بازرگانی و «مرکز صدور امضای دیجیتال بانکی» برای بانک مرکزی از سوی شورای سیاست‌گذاری مرکز صدور گواهینامه دیجیتال صادر شد.

وی افزود: اما با راه‌اندازی مرکز صدور گواهی امضای دیجیتال تجاری هنوز اقدامات جدی در این موضوع دیده نشده و هنوز مشکلات زیادی در اجرای آن وجود دارد. این کارشناس درباره مشکلاتی که پیش‌روی اجرای امضای دیجیتال در کشور است، گفت: اجرایی شدن امضای دیجیتال علاوه بر بخش سخت‌افزاری به بخش نرم‌افزاری برای پشتیبانی نیاز دارد که نرم‌افزارهای اتوماسیونی که در اداره‌ها و سازمان‌ها از آن استفاده می‌شود، قابلیت پشتیبانی از امضای دیجیتال را ندارد. وی افزود: از سوی دیگر بخش‌خصوصی که می‌تواند در تامین زیرساخت‌های امضای دیجیتال مسئولان کشور را یاری کند، برخلاف قانون توجهی به آن نشده و تاکنون مجوزی برای ورود این بخش به این عرصه صادر نشده است.

این استاد دانشگاه با اشاره به تصویب سند راهبردی امنیت فضای تبادل اطلاعات در کشور اظهار داشت: با تصویب این سند باید زیرساخت‌های لازم برای اجرایی شدن امضای دیجیتال ایجاد می‌شد ولی متاسفانه هنوز درک درستی از امضای دیجیتال وجود ندارد. وی ادامه داد: اجرایی شدن امضای دیجیتال دارای مصادیقی چون تغییر نکردن اطلاعات در مسیر دریافت و ارسال داده‌ها است ضمن آنکه به صرف صدور امضای دیجیتال نمی‌توان ادعا کرد امضای دیجیتالی در کشور کاربردی شده است. این فعال تجارت الکترونیک گفت: نمی‌توان بدون امضای دیجیتال دولت الکترونیک داشت. برای استفاده از امضای دیجیتال باید در سازمان‌ها خدمات پشتیبانی از امضای دیجیتالی وجود داشته باشد تا بتوان دراین زمینه به نتیجه قابل قبولی دست یافت. 

وی درباره اهمیت امضای دیجیتال در فضای مجازی گفت: در دنیای اینترنت امکان هک شدن و تغییر در اطلاعات حتی در حین ارسال نیز وجود دارد. یکی از مزایای امضای دیجیتال امکان رمزگذاری اطلاعات (Hashing) است. با استفاده از این امضا اطلاعات در حین ارسال و دریافت به‌صورت رمز به سرور مربوط منتقل می‌شود که برای سرور قابل تشخیص است. وی خاطر نشان کرد: در چنین مواقعی حتی اگر فایل مربوط در مسیر انتقال از مبداء به مقصد دست‌کاری و هک شده باشد سرور با تشخیص خطا به مخدوش شدن اطلاعات ارسالی پی می‌برد.

لازم به ذکر است، طبق قوانین و استانداردهای بین‌المللی در هر کشور یک یا چند مرکز به نام« CA» برای صدور امضای دیجیتال وجود دارد و هم‌اکنون در ایران یک مرکز CA در مجموعه وزارت بازرگانی مجوز صدور امضای دیجیتال را برای بازرگان دارد. متقاضی دریافت امضای دیجیتال می‌تواند یک بازرگان یا مدیرعامل شرکت باشد که باید به نمایندگی از شرکت‌های متبوع خود برای دریافت این امضا به مرکز CA مراجعه
کند. براساس مسائل امنیتی و استاندارد‌های بین‌المللی لازم است متقاضی امضا برای تکمیل یک‌سری اطلاعات و فرم‌های مربوط شخصا در مرکز CA حاضر شود. این امضا درحضور شخص به سخت‌افزار (توکن)منتقل و به متقاضی تحویل داده می‌شود.