التوقيع الرقمي هو أسلوب رياضي يستخدم للتحقق من صحة وسلامة وثيقة أو رسالة أو برنامج رقمي. إنه، بطريقة ما ،المقابل الإلكتروني للتوقيع المكتوب بحيث يمكن استخدامه لتقديمه التأكيد على أن الموقّع المزعوم وقع على المعلومات. بالإضافة إلى ذلك ، يستخدم التوقيع الرقمي لاكتشاف ما إذا كان قد تم تعديل المعلومات بعد التوقيع عليها (أي للكشف عن سلامة البيانات الموقعة). يمكن عبر التوقيع الرقمي الحصول على هذه التأكيدات مثلاً لبيانات متبادلة بين مرسل و مستقبل. وتوفر التوقيعات الرقمية دليلًا على منشأ وهوية وحالة المستندات الإلكترونية أو المعاملات أو الرسائل الرقمية. يمكن للموقِّعين أيضاً استخدامها للإقرار بالموافقة . في العديد من البلدان ، تعتبر التوقيعات الرقمية ملزمة قانوناً بنفس مستوى إلزام توقيعات المستندات التقليدية المكتوبة بخط اليد. يشارك معكم ربودين فيما يلي دليلاً موجزاً لأساسيات التوقيع الرقمي.
خوارزميات التوقيع الرقمي
تتضمن خوارزمية التوقيع الرقمي عملية إنشاء التوقيع والتحقق من صحة التوقيع. ينشئ الموقع (من قام بالتوقيع) توقيع رقمي للبيانات. بينما يتم عبر عملية التحقق التأكد من صحة التوقيع. لكل موقّع مفتاحين عام وخاص. يتم استخدام المفتاح الخاص في عملية إنشاء التوقيع . يكون مالك هذين المفتاحين هو الكيان الوحيد المرخص له استخدام المفتاح الخاص لإنشاء توقيعات رقمية. كما يجب أن يظل المفتاح الخاص سرياً لمنع الكيانات الأخرى من الادعاء بأنها تملك زوج المفاتيح و لمنعها كذلك من استخدام المفتاح الخاص لإنشاء توقيعات احتيالية.
تم تصميم خوارزميات التوقيع الرقمي لمنع الخصم الذي لا يعرف المفتاح الخاص للموقّع من التوقيع منتحلاً صفته. في استعراض مراحل التوقيع الرقمي يُشار لصاحب التوقيع أو زوج المفاتيح (الخاص و العام) بأنه كيان أو شخص ينوي إنشاء توقيعات رقمية. قبل التحقق من الرسالة الموقعة ، فإنه يُشار إلى المُوقِّع باسم المُوقِّع المزعوم إلى أن يتم الحصول على ضمانة كافية تؤكد الهوية الفعلية للموقع.
تجزئة البيانات
يُستخدم المفتاح العام في عملية التحقق من صحة التوقيع. مع ذلك، لا يلزم إبقاء المفتاح العام سراً ، ولكن يجب الحفاظ عليه سليماً دون التلاعب به . يمكن لأي شخص التحقق من صحة الرسالة الموقعة باستخدام ملخص الرسالة والمفتاح العام. في عمليات إنشاء التوقيع والتحقق منها ، يتم تحويل الرسالة (أي البيانات الموقعة) إلى تمثيل ثابت الطول للرسالة بواسطة دالة تجزئة معتمدة. ويتم توفير كل من الرسالة الأصلية والتوقيع الرقمي للجهة المعنية بالتحقق. ويتطلب ذلك تأكيداً على استخدام المفتاح العام للتأكد من أن التوقيع ينتمي بالفعل إلى الكيان الذي يدعي أنه أنشىء ذلك التوقيع الرقمي. أي أن الجهة المتحققة تطلب ضماناً بأن الموقّع هو المالك الفعلي لزوج المفاتيح العامة / الخاصة المستخدمة لإنشاء توقيع رقمي والتحقق منه.
لا يمكن تقديم هذا التأكيد إلا إذا كانت هوية المالك والمفتاح العام مرتبطين معاً بشكل موثق كما هو الحال في شهادة صادرة عن البنية التحتية للمفاتيح العامة (PKI). ويتطلب التحقق أيضاً ضمانة بأن مالك زوج المفاتيح يمتلك بالفعل المفتاح الخاص المرتبط بالمفتاح العام وأن المفتاح العام هو مفتاح صحيح رياضياً.
التحقق من التوقيع
وفق ما سبق، إذا كان من الممكن التحقق من التوقيع الرقمي بشكل صحيح باستخدام المفتاح العام ، فإن التوقيع الرقمي يكون صالحاً (أي أن مالك زوج المفاتيح وقع بالفعل على الرسالة). يشمل التحقق من صحة التوقيع الرقمي (رياضياً) التحقق أيضاً من التوقيع الرقمي والحصول على التأكيدات المطلوبة. فيما يلي نستعرض أهمية هذه التأكيدات:
- إذا لم يحصل المدقق على تأكيد بأن الموقّع هو المالك الفعلي لزوج المفاتيح الذي يُستخدم مفتاحه العام للتحقق من التوقيع ، فسنواجه مشكلة تزوير التوقيع مرتبطة بالادعاء الكاذب للهوية. على سبيل المثال ، يمكن لأي شخص لديه زوج مفاتيح متسق رياضياً أن يوقع رسالة ويدعي أن موقعها هو الأمين العام للأمم المتحدة مثلاً.
- إذا كان المفتاح العمومي المستخدم للتحقق من التوقيع غير صالح رياضياً ، فلن تمتلك خوارزمية التوقيع قوة التشفير المطلوبة . علماً أنهو نتيجة لذلك فلن يكون المالك هو الطرف الوحيد الذي يمكنه إنشاء توقيعات يمكن التحقق من صحتها عبر المفتاح العام.
- إذا لم تتمكن البنية الأساسية للمفاتيح العمومية من توفير ضمانة كافية للمتحقق بأن مالك زوج المفاتيح يملك مفتاح خاص يتوافق مع المفتاح العام للمالك ، فقد يكون من الممكن لجهة إجرامية الحصول على هويته (أو هوية مفترضة) مرتبطة بمفتاح عام (أو تم استخدامه مسبقاً) من قبل طرف آخر. قد تدعي تلك الجهة بعد ذلك أنها مصدر الرسائل الموقعة من قبل ذلك الطرف ، أو قد يكون من الممكن أن تتمكن جهة إجرامية من الحصول على ملكية مفتاح عام غرضه هو التحقق من صحة التوقيع على رسالة معينة.
كيف يعمل التوقيع الرقمي؟
تعتمد التوقيعات الرقمية على تشفير المفتاح العام ، والمعروف أيضًا باسم التشفير غير المتماثل. باستخدام خوارزمية المفتاح العام يتم إنشاء مفتاحين ، مما يؤدي إلى إنشاء زوج من المفاتيح المرتبطة رياضياً: أحدهما خاص والآخر عام. تعمل التواقيع الرقمية من خلال مفتاحي تشفير موثوقين بشكل متبادل. للتشفير وفك التشفير ، يستخدم الشخص الذي ينشئ التوقيع الرقمي مفتاحًا خاصًا لتشفير البيانات المتعلقة بالتوقيع. الطريقة الوحيدة لفك تشفير تلك البيانات هي باستخدام المفتاح العام للموقع. إذا لم يتمكن المستلم من فتح المستند بالمفتاح العام للموقع ، فهذا يشير إلى وجود مشكلة في المستند أو التوقيع. هذه هي الطريقة التي يتم بها مصادقة التوقيعات الرقمية.
تُستخدم الشهادات الرقمية ، التي تسمى أيضاً شهادات المفتاح العام ، للتحقق من أن المفتاح العام ينتمي إلى المُصدر. تحتوي الشهادات الرقمية على المفتاح العام ومعلومات حول مالكها وتواريخ انتهاء الصلاحية والتوقيع الرقمي لجهة إصدار الشهادة. يتم إصدار الشهادات الرقمية عن طريق جهات خارجية موثوق بها (CAs) ، مثل DocuSign ، على سبيل المثال. يجب أن يوافق الطرف المرسل للمستند والشخص الذي يوقع عليه على استخدام مرجع مصدق معين. تتطلب تقنية التوقيع الرقمي ثقة جميع الأطراف في أن الشخص الذي ينشئ التوقيع قد احتفظ بسرية المفتاح الخاص. إذا كان لدى شخص آخر حق الوصول إلى مفتاح التوقيع الخاص ، فيمكن لهذا الطرف إنشاء توقيعات رقمية احتيالية باسم صاحب المفتاح الخاص.
فوائد التوقيع الرقمي
تقدم التوقيعات الرقمية الفوائد التالية:
الحماية
تمتلك التوقيعات الرقمية ميزات أمنية لضمان أن التواقيع مشروعة. و كذلك للتأكد من عدم التلاعب بالمستند الذي تم توقيعه. تشمل تلك الميزات التشفير غير المتماثل وأرقام التعريف الشخصية (PIN) وعمليات التحقق الدورية من التكرار (CRCs) ، بالإضافة إلى التحقق صحة الشهادة CA.
الطابع الزمني
يوفر ذلك تاريخ ووقت التوقيع الرقمي ويكون مفيداً عندما يكون التوقيت عاملاً مهماً، مثل عمليات تداول الأسهم والإجراءات القانونية.
القبول عالمياً
يضمن معيار البنية التحتية للمفتاح العام (PKI) حماية المفاتيح التي ينشئها البائع وتخزينها بشكل آمن و بالتالي أصبحت التوقيعات الرقمية أكثر اعتمادية دولياً بحيث أن المزيد من الدول تقبلها باعتبارها وسيلة قانونية للتوقيع.
توفير الوقت
تعمل التوقيعات الرقمية على تبسيط العمليات التي تستغرق وقتاً طويلاً لتوقيع المستندات المادية وتخزينها وتبادلها ، مما يمكّن الشركات من الوصول إلى المستندات وتوقيعها بسرعة.
توفير في التكاليف
يلتقي مفهوم التوقيع الرقمي مع جهود المؤسسات لتقليل المعاملات الورقية وتوفير الأموال التي يتم إنفاقها عادة على الأوراق و توفير مساحات لإدارة المستندات و تخزينها ونقلها.
التأثيرات البيئية الإيجابية
عبر تقليل استخدام الورق ستقل النفايات المادية الناتجة عن الورق والتأثير البيئي السلبي لسيارات نقل المستندات الورقية و عملية انتاج الورق أساساً.
التتبع
تنشئ التوقيعات الرقمية مسار تدقيق يجعل حفظ السجلات الداخلية أسهل للشركات. مع تسجيل كل شيء وتخزينه رقمياً. بذلك سيكون هناك فرص أقل للموقّع يدوياً لارتكاب خطأ أو وضع توقيع في غير مكانه. يمكن استخدام التوقيع الرقمي مع أي نوع من الرسائل ، سواء كانت مشفرة أم لا ، حتى يتمكن المتلقي من التأكد من هوية المرسل وأن الرسالة وصلت سليمة.
عدم الإنكار
تصعب التوقيعات الرقمية على الموقِّع إنكار توقيعه على شيء ما ، لأن التوقيع الرقمي فريد لكل من المستند والموقِّع ويربطهما معاً. هذه الخاصية تسمى عدم الإنكار.
مفهوم الشهادة الرقمية
تعتبر الشهادة الرقمية المستند الإلكتروني الذي يحتوي على التوقيع الرقمي للمرجع المصدق. و هي تربط بين المفتاح العام والهوية ويمكن استخدامها للتحقق من أن المفتاح العام ينتمي إلى شخص أو كيان معين. تدعم معظم برامج البريد الإلكتروني الحديثة استخدام التوقيعات الرقمية والشهادات الرقمية ، مما يجعل من السهل توقيع أي رسائل بريد إلكتروني صادرة والتحقق من صحة الرسائل الواردة رقمياً. كما تُستخدم التواقيع الرقمية أيضاً على نطاق واسع لتقديم دليل على المصداقية وسلامة البيانات وعدم التنصل من الاتصالات والمعاملات التي تتم عبر الإنترنت.
لماذا نستخدم PKI أو PGP مع التوقيعات الرقمية؟
تستخدم التوقيعات الرقمية معيار PKI وبرنامج التشفير Pretty Good Privacy (PGP) ، حيث يعمل كلاهما على تقليل مشكلات الأمان المرتبطة بإرسال المفاتيح العامة عبر التحقق من أن المفتاح العام للمرسل ينتمي إلى ذلك الفرد و التحقق كذلك من هوية المرسل. PKI هو أساس البنية التي تقوم بإنشاء شهادات المفاتيح العامة وتوزيعها والتحكم فيها وحسابها. PGP هو نوع مختلف يستخدم PKI لكنه يختلف في كيفية ربط المفاتيح العامة بهويات المستخدم. بينما يستخدم PKI الـ CAs للتحقق من هوية المستخدم وربطها بشهادة رقمية ، يستخدم PGP شبكة ثقة. يختار مستخدمو PGP من يثقون به والهويات التي يتم فحصها. تعتمد فعالية أمان التوقيع الرقمي على قوة أمان المفتاح الخاص. بدون PKI أو PGP ، من المستحيل إثبات هوية شخص ما أو إبطال مفتاح تم اختراقه ، وبالتالي فمن السهل على الجهات الخبيثة انتحال شخصية الأشخاص.
ما الفرق بين التوقيع الرقمي والتوقيع الإلكتروني؟
على الرغم من أن المصطلحين متشابهان ، إلا أن التوقيعات الرقمية تختلف عن التوقيعات الإلكترونية. التوقيع الرقمي هو مصطلح تقني يحدد نتيجة عملية التشفير أو الخوارزمية الرياضية التي يمكن استخدامها لمصادقة سلسلة من البيانات. إنه أحد أنواع التوقيع الإلكتروني. مصطلح التوقيع الإلكتروني هو مصطلح قانوني . على سبيل المثال ، في الولايات المتحدة ، عرّف المشرعون التوقيع الإلكتروني بأنه “صوت أو رمز أو عملية إلكترونية مرتبط منطقياً بعقد أو سجل آخر ويتم تنفيذها أو اعتمادها من قبل شخص بقصد وقع على السجل”. هذا يعني أن التوقيع الرقمي ، يمكن أن يكون نوعاً من أنواع التوقيع الإلكتروني. بشكل عام . و لكي نعتبر التوقيع الرقمي صالحاً، يجب أن يتضمن طرقاً لما يلي:
- للتحقق من هوية الكيان الموقع عليه.
- وللتحقق من كيان التوقيع المقصود منه تأكيد المستند الذي يتم توقيعه.
- إضافة للتحقق من أن التوقيع الإلكتروني مرتبط بالمستند الموقع.
أمن التوقيع الرقمي
الأمن هو الفائدة الرئيسية لاستخدام التوقيعات الرقمية. من بعض ميزات وطرق الأمان المستخدمة في التوقيعات الرقمية ما يلي:
- أرقام التعريف الشخصية وكلمات المرور والرموز التي تستخدم للمصادقة والتحقق من هوية الموقع والموافقة على توقيعه. نجد أن البريد الإلكتروني واسم المستخدم وكلمة المرور هي أكثر الطرق شيوعاً لذلك.
- التشفير غير المتماثل. يستخدم هذا خوارزمية المفتاح العام التي تتضمن تشفير المفتاح الخاص والعام والمصادقة.
- التحقق من صحة المرجع المصدق (CA). تصدر المراجع المصدقة توقيعات رقمية وتعمل كجهات خارجية موثوق بها من خلال قبول الشهادات الرقمية والمصادقة عليها وإصدارها وصيانتها. يساعد استخدام المراجع المصدقة في تجنب إنشاء شهادات رقمية مزيفة.
الهجمات ضد التوقيع الرقمي
تشمل الهجمات المحتملة على التوقيع الرقمي ما يلي:
- Chosen-message attack : حصول المهاجم على المفتاح العام للضحية أو يخدع الضحية للتوقيع رقمياً على مستند لا تنوي التوقيع عليه.
- Known-message attack : يحصل المهاجم على الرسائل التي أرسلتها الضحية ومفتاح يمكّن المهاجم من تزوير توقيع الضحية على المستندات.
- Key-only attack :المهاجم لديه حق الوصول إلى المفتاح العام للضحية فقط ويمكنه إعادة إنشاء توقيع الضحية للتوقيع رقمياً على المستندات أو الرسائل التي لا تنوي الضحية التوقيع عليها.
كلمة أخيرة
تعود بنا الذاكرة لمراهقة مبكرة كنا نقلد فيها توقيع آبائنا أو معلمينا و نحن نحاول امتلاك توقيعنا الخاص الذي يحمل جزءاً من شخصيتنا و علاقتنا مع رائحة الحبر و ملمس الورق. يأخذنا الحنين إلى الماضي و لكن أعيننا على الحاضر الذي يمثل التوقيع الرقمي أحد مكوناته. فماذا عن المستقبل؟
