به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، استاد برجسته دانشکده فنی و مهندسی دانشگاه شاهد معتقد است که زیرساخت کلید عمومی یک حوزه کاملا تخصصی است که نه فقط به دانش بلکه نیاز به تجربه فراوان دارد و فقط تیم‌هایی که چندین سال جهت پیاده‌سازی عملی این سامانه‌ها تلاش کرده‌اند و افت‌وخیزهای زیادی داشته و زمان و هزینه‌های زیادی را متحمل شده‌اند می‌توانند تخصصی و حرفه‌ای بودن این حوزه را واقعاً درک کنند. با دکتر محمدعلی دوستاری در مورد امضای دیجیتال گفت‌وگویی صورت گرفت که در ادامه می‌خوانید.

آقای دکتر با توجه به تجربیاتی که جنابعالی در پروژه‌های مختلف IT مانند گذرنامه هوشمند، کارت هوشمند سوخت، کارت شناسایی ملی هوشمند، امضای دیجیتال و امثالهم داشته‌اید بفرمایید که وضعیت به‌کارگیری امضای دیجیتال و زیرساخت کلید عمومی را در کشور چگونه ارزیابی می‌کنید؟
همان‌طور که مطلع‌اید، حرکت‌های اولیه برای ایجاد این زیرساخت کلید عمومی که همان PKI نامیده می‌شود از حدود سال ۸۲ در وزارت بازرگانی وقت شروع شد و سپس این زیرساخت با مصوبات قانونی، کم‌کم کار خود را شروع کرد و اکنون در قالب مرکز توسعه تجارت الکترونیکی، خدمات خود را ارائه می‌دهد. نهاد‌های دیگر هم بر حسب کاربردها، این زیرساخت را به‌وجود آورده‌اند، مانند سازمان ثبت احوال برای کارت شناسایی هوشمند ملی، بانک مرکزی تحت عنوان سیستم نماد و ناجا برای گذرنامه الکترونیکی. در حال حاضر، ارتباط سیستماتیک بین زیرساخت‌های فوق‌الذکر وجود ندارد و هر کدام از آنها، ریشه خود را دارند و CA آنها با هم مرتبط نیستند.

ظاهراً تلاش‌هایی در جهت یکپارچه کردن این زیرساخت‌ها در کشور انجام می‌شود و خود حضرتعالی در این رابطه دغدغه‌ها و فعالیت‌هایی داشته‌اید. چرا این‌گونه است؟
بحث ریشه CA یک موضوع مهمی است که در کشور ما هنوز حل نشده‌است. البته مرکز توسعه تجارت الکترونیک مدعی است که ریشه موجود در آن مرکز، در واقع یک ریشه ملی است و به استناد بند ۳۲ قانون تجارت الکترونیکی، دیگر هیچ ریشه‌ای در کشور نباید به‌وجود آید و همه CA ها باید ذیل ریشه آن مرکز ایجاد شوند. خوب، استدلال‌هایی هم در اثبات و هم در نفی این موضوع وجود دارد که در اینجا نمی‌خواهم وارد آن مباحث شوم. فقط به این نکته اشاره می‌کنم که یک ریشه ملی که همه زیرساخت‌های کلید عمومی کشور در ذیل آن قرارگیرند و در واقع نهادی متولی این کار می‌شود، باید چندین خصوصیات داشته‌باشد، ازجمله باید یک نهاد فرابخشی باشد، یک نهاد حاکمیتی باشد (نه نهاد تخصصی یا بخشی)، دارای صلاحیت امنیتی در حوزه IT و حوزه امنیت ملی باشد و خصوصیات دیگر. چنین نهادی، علاوه‌بر مشخص کردن سیاست‌ها و رویه‌ها در سطح ملی، صلاحیت مجوز دادن برای تاسیس CA در همه بخش‌های دولتی و حاکمیتی، صلاحیت بازرسی و حتی انحلال CA ها را خواهد داشت.

چرا متولیان به یک اجماع در این مورد نرسیده اند، آیا مشکلات حقوقی وجود دارد؟ یا مشکلات مربوط به هماهنگی ها میشود. مباحث فنی و تخصصی چقدر نقش دارند؟
کلاً، زیرساخت کلید عمومی و امضای دیجیتال با مفاهیم خاص و تخصصی در زمینه‌های حقوقی، مدیریتی و فنی مرتبط است. از یک طرف، مجلس شورای اسلامی قانونی را تصویب کرده‌است که امضای دیجیتال همانند امضای دستی دارای اعتبار حقوقی باشد. یعنی از این به بعد، امضای دیجیتال که دارای قابلیت عدم انکار است از نظر حقوقی نباید هیچ فرقی با امضای دست‌خط افراد داشته‌باشد. اما در عمل، چه از نظر حقوقی و چه فنی، تفاوت‌هایی وجود دارد که قابل انکار و یا قابل اغماض نیستند. به همین دلیل، یک‌سری ساز‌وکارهای مدیریتی– فنی باید به‌کار گرفته شوند تا امضای دیجیتال بتواند در عمل در حد امضای دستی، دارای اعتبار باشد و نظام قضایی ما بتواند بر مبنای آن در اختلافاتی که پیش می‌آید، حکم صادر کند. در حال حاضر، یک آیین‌نامه اجرایی برای امضای دیحیتال در کشور وجود ندارد. یعنی، چنان‌چه با توسعه دولت الکترونیک که لاجرم به توسعه امضای دیجیتال نیز منجر خواهدشد، اختلافات و منازعاتی بین ذی‌نفعان به‌وجود آید و کار به ارجاع به نهادهای قانونی و درنهایت به قوه قضاییه بکشد، قضات، بازپرسان، و دیگر مجریان قانون برای اظهارنظر و قضاوت با مشکلات جدی روبرو خواهندبود.

آیا می‌شود شباهت‌ها و تفاوت‌های امضای دیجیتال را با امضای دستی را به زبان ساده بیان فرمایید؟
با چند مثال ساده شاید بتوان کمی موضوع را روشن‌تر کرد. فرض کنید شخص «الف» متنی را به برادر خود می‌نویسد به این عبارت که «لطفا ۳ بسته از بسته‌هایی که هفته پیش در خانه‌تان گذاشتم به حامل نامه تحویل بده» و در ذیل آن با دست امضا می‌کند. برادر با رویت دست‌خط و امضای برادرش «الف» به آورنده نامه اعتماد کرده و ۳ بسته  به او می‌دهد. در اینجا چه اتفاقی افتاده‌است؟ «الف» و برادرش از قبل دست‌خط و امضای هم را می‌شناسند. لذا، گیرنده به نامه فرستنده، اعتماد می‌کند. همین عمل، در فضای مجازی نیز رخ می‌دهد. دو نفر از قبل کلیدهای عمومی خود را ردوبدل می‌کنند و سپس، مکاتبات خود را، هر کدام با کلید خصوصی خود امضا کرده و برای گیرنده می‌فرستند. گیرنده با استفاده از کلید عمومی فرستنده، امضا را وارسی و راستی آزمایی (Verify) می‌کند. در اینجا، عمل امضای یک متن، علاوه بر آنکه اعتماد گیرنده را به‌همراه دارد، یکپارچگی متن نیز تضمین می‌شود، زیرا امضای دیجیتال، با متن اصلی عجین شده‌است و مرتبط است. اما در فضای سنتی، اگر حامل نامه، عدد ۳ را دست‌کاری و به ۴ تبدیل کند، گیرنده نامه ممکن است متوجه نشده، و بجای ۳ بسته، ۴ بسته محموله را به حامل نامه تحویل دهد. اما امضای دیجیتال، امکان دست‌کاری را از شخص ثالث می‌گیرد.

شاید بتوان از PGP به‌عنوان یک مثال از امضای دیجیتال فوق‌الذکر، نام برد. اما چنین امضایی، خاصیت عدم انکار را که یک مرجع قضایی بتواند روی آن حکم کند، ندارد. برای ایجاد چنین مرجع قضایی، نیاز است که کلید عمومی افراد در یک مرجع قانونی، ثبت شود و این یعنی همان صدور Certificate برای کلید عمومی است که نیاز به زیرساخت کلید عمومی (PKI) و CA دارد.

اما آیا تایید و دادن Certificate توسط یک CA قانونی، در حکم تایید امضا در حضور دفترخانه اسناد رسمی است؟ در اینجا نکات ظریفی وجود دارد که باید به آنها توجه شود. وقتی شخصی، مستندی را در دفترخانه امضا می‌کند، سردفتر وظایفی دارد. اولاً امضا کننده را باید تصدیق هویت کند، یعنی با رویت مدارک شناسایی و انطباق با چهره فرد، تایید کند که این شخص همانی است که ادعا می‌کند. ثانیاً، سردفتر باید مطمئن شود که امضا کننده متن را رویت کرده و یا می‌داند که چه چیزی را امضا می‌کند. ثالثاً، سردفتر از اینکه عمل امضا در کمال آزادی و به اختیار صورت می‌گیرد مطمئن شود، یعنی اینکه امضا‌کننده در حالت طبیعی است، مثلاً، از خود بی‌خود نشده‌است و یا در معرض تهدید برای امضا کردن قرار ندارد. حال، اگر ما در فضای مجازی، پس از آنکه از طرف مقابل، عملیات شناسایی و سپس تصدیق هویت (مثلا با پروتکل چالش– واکنش) انجام شد و سپس متنی را امضا کنیم، آیا شرایطی که در دفترخانه اسناد رسمی باید احراز شود را طی کرده‌ایم؟ مسلماً خیر. پس، این Certificate توسط یک مرجع رسمی، چه مفهومی دارد؟ پاسخ این است که Certificate که دریافت می‌کنیم چیزی شبیه تایید یک مهر رسمی است. مثلاً در ژاپن، شهروندان مهری را می‌سازند و نام خود را در آن حک می‌کنند و این مهر را به شهرداری برده و ثبت می‌کنند. سپس، هرجا که خواستند امضایی انجام دهند می‌توانند تایید مهر را نشان داده و سپس مهر بزنند که همان حکم امضا را دارد.

برای آنکه امضای دیجیتال نیز بتواند همان مسیر سنتی تایید دفترخانه اسناد رسمی را طی کند، یکی از راه‌حل‌ها این است که شخص در دفترخانه حضور یابد و ابتدا عمل تایید هویت به شکل معمول انجام شود و سپس متن یا مستند موردنظر در کامپیوتر دفترخانه وارد شود، پس از آن با نظارت سردفتر، امضاکننده توکن خود را متصل و عمل امضا را انجام دهد و سپس، سردفتر با توکن رسمی دفترخانه، این مستند را که ممهور به امضای امضا‌کننده است امضا و تایید کند. در اینجا سندی حاصل می‌شود که شخص در حضور دفترخانه امضا کرده‌است. خوب، ممکن است گفته شود اگر نیاز به حضو ر در دفترخانه باشد، دیگر چه نیازی به امضای دیجیتال است؟ همان امضای سنتی را داشته باشیم. تفاوت بدین شرح است: در امضای سنتی، یک سند که تایید امضای دفترخانه را دارد، به‌صورت فیزیکی در دستان شما قرار می‌گیرد. ممکن است، نسخه‌هایی کپی گرفته و برابر اصل کنید و به جاهایی تسلیم کنید و یا اسکن کرده و برای مراجعی بفرستید. اما درنهایت، اصل سند باید توسط مرجع گیرنده رویت شود. اما در روش امضای دیجیتال، فایلی که به‌دست می‌آید، خود، اصل است، حتی اگر هزاران کپی از آن تکثیر شود، هرکدام حکم سند اصلی را دارد، زیرا در هر جای دنیا که مثلاً بصورت فایل ارسال کنید، هم امضای امضاکننده قابل بررسی و صحت سنجی (Verification) است، با مراجعه به CA که Certificate کلید عمومی امضاکننده را صادر کرده است، و هم با مراجعه به CA که Certificate کلید عمومی دفترخانه را صادر کرده‌است می‌توان از امضای دفترخانه اطمینان حاصل کرد. بدین‌ترتیب، این فایل به‌عنوان سند اصلی در فضای مجازی قابل ارسال به هرجای دنیا و به هر مرجعی است و در همه‌جا صحت آن قابل بررسی و تایید است. این مطلب، برای مواردی است که قوانین جاری کشوری، امضا در دفترخانه و تایید توسط دفترخانه را لازم بداند. برای مواردی که تایید دفترخانه را نخواهد، با زوج کلید و Certificate که در دست‌مان است (توکن، کارت هوشمند و ..) می‌توانیم مانند امضای سنتی، مدارک را در فضای مجازی امضا کنیم، که البته مانند امضای دستی، غیر قابل انکار نیز است. جهت اطلاع، در حال حاضر، همه قراردادهایی که در دفترخانه های کل کشور به‌صورت ثبت آنی در سازمان ثبت اسناد و املاک کشور ثبت می‌شوند همه امضای دیجیتال می‌شوند. هرچند فرایند فوق‌الذکر، یعنی امضا توسط توکن مراجعه کنند هنوز انجام نمی‌شود اما زیرساخت لازم برای این کار به‌وجود آمده است و می‌توان فرآیند فوق را نیز بسادگی پیاده سازی کرد.

بله، اگر قرار باشد مصوبه مجلس در ارتباط با امضای دیجیتال اجرایی شود شما ممکن است با انجام یک کلیک، همه مال و منال خود را از دست بدهید اگر آن امنیتی که گفتید برقرار نباشد. لذا، ساز و کارهای زیرساخت کلید عمومی شامل قوانین و اسناد بالادستی، سیاست‌های کلان ملی، ساز و کارهای مدیریتی، بازرسی‌ها، تکنولوژی و مسائل فنی و درنهایت رویه‌های حقوقی در هنگام بروز اختلافات و امثالهم، همه و همه بسیار حیاتی و مهم هستند. در دنیا، مخصوصاً، بعد از سال ۲۰۰۰، کشورهای زیادی، زیرساخت کلید عمومی را به‌وجود آوردند و در مراودات بین سازمان‌ها و ارگان‌ها و وزارتخانه‌ها و نیز مراودات با مردم از آن استفاده می‌کنند. آمریکا و ژاپن کمی قبل از ۲۰۰۰ این کار را شروع کردند. ما می‌توانیم از تجارب همه آنها استفاده کنیم. لیکن در کشور ما، هنوز تصمیم‌گیری‌های کلان و اسناد بالادستی در سطح ملی، تهیه و تدوین نشده‌است. البته همکاران در مرکز توسعه تجارت الکترونیک زحمات زیادی می‌کشند و اسنادی را تهیه کرده‌اند، اما بنظرمن، چه از نظر حقوقی و چه مدیریتی و حتی از لحاظ فنی هنوز راه درازی در پیش داریم تا بتوانیم این زیرساخت را در کشور بصورت یکپارچه و به‌شکل امن و مطمئن داشته‌باشیم.

از نظر امنیت IT، ضوابط و مستنداتی را FIPS اعلام کرده‌است که بسیار مفید هستند. همچنین، CC (معیار مشترک – Common Criteria) مستندات مبسوطی در مورد تجهیزات امضای دیجیتال و بعضی از رویه‌ها منتشر کرده‌است که بسیار مفیدند. لیکن، حتی در دنیا، مسائل حقوقی و یا حقوقی– مدیریتی این حوزه کاملاً حل نشده‌است و هنوز دانشمندان در حال بررسی و اظهار نظر هستند که به عنوان یک نمونه می‌توان به مرجع [۱] اشاره کرد. برای بررسی همه جنبه‌های این زیرساخت، نیاز به همکاری بین رشته‌های تخصصی و حوزه‌های بین رشته‌ای است. اینجانب خود تلاش کردم بین رشته IT و رشته حقوق (و حقوقدانان که در زمینه تجارت الکترونیک و مانند آن کار می‌کنند) و نیز رشته مدیریت (مهندسی صنایع) ارتباط بین رشته‌ای ایجاد کنم. به عنوان یک اتفاق جالب، دو سه سال پیش برای اولین‌بار در یک جلسه از چهار پروپوزال ارشد IT دانشجویانم که به شورای دانشکده فنی و مهندسی رفته‌بود سه پروپوزال رد شد (و این برای من بی‌سابقه بود). علت رد شدن آن بود که شواری تحصیلات تکمیلی دانشکده این سه پروپوزال را فنی ندانست و آنها را حقوقی دانست که البته حق هم داشتند. اما برای حل معضلات فعلی جامعه و نیاز به تسریع در ایجاد دولت الکترونیک و در این رابطه نیاز به ایجاد زیرساخت کلید عمومی در کشور، مجبور بودم بعضی از پایان‌نامه‌ها را به مسائل حقوقی– مدیریتی، لیکن از منظر تخصص فنی در حوزه IT، اختصاص دهم. در مرجع [۲] یکی از آن پایان نامه‌ها که البته تلاش شد صبغه فنی نیز پیدا کند و در سال ۹۳ به پایان رسیده‌است، معرفی می‌شود.

چه اسناد بالادستی مورد نیاز است؟ و از نظر امنیت فنی و رویه های مدیریتی چه فعالیتهایی در کشور ما باید انجام شود؟
حقیقت آن است که زیرساخت کلید عمومی یک حوزه کاملا تخصصی است که نه فقط به دانش بلکه نیاز به تجربه فراوان دارد. مسائل فنی آن، در ابتدا طوری است که هر کارشناس حوزه کامپیوتر و یا IT علی‌الظاهر می‌تواند آنها را درک کند و یا با کمی مطالعه در این زمینه خود را صاحب‌نظر بداند. علت آن است که درک مفهومی موضوعاتی مانند رمزنگاری، کلیدهای متقارن و نامتقارن، الگوریتم‌های امضای دیجیتال و موضوعاتی از این قبیل برای یک کارشناس حوزه کامپیوتر چندان مشکل نیست. لذا ساده‌انگاری و سهل انگاشتن موضوعات این حوزه در بین کارشناسان فنی بسیار رایج است. فقط تیم‌هایی که چندین سال جهت پیاده‌سازی عملی این سامانه‌ها تلاش کرده‌اند و افت‌وخیزهای زیادی داشته و زمان و هزینه‌های زیادی را متحمل شده‌اند می‌توانند تخصصی و حرفه‌ای بودن این حوزه را واقعاً درک کنند. از طرف دیگر، مدیران کشور و حتی مدیران و متولیان حوزه IT نیز ادراک مبهم و اندکی از پیچ و خم‌های این حوزه دارند. حتی مدیرانی از مدیران رده بالای کشوری که انتظار آن است که متولیان این زیرساخت در کشور باشند آشنایی کافی با این حوزه ندارند و بعضاً با گفته‌ها و شنیده‌ای این و آن، صاحب‌نظر شده و یا تصمیم‌سازی و حتی تصمیم‌گیری می‌کنند که عمدتاً راه به جایی نمی‌برد. اجازه دهید در جلسه ای دیگر در مورد سوالی که گفتید به‌صورت مبسوط و مفصل‌تر توضیحاتی خدمت شما و همکاران عزیز در کشور ارائه دهم.