التوقيع الإلكتروني

دار حوار بيني وبين أحد المختصين في التقنية، حيث سألني عما هو التوقيع الإلكتروني؟، فأجبت بأن فكرته بسيطة، تنشأ من استبدال التوقيع الخطي بتوقيع إلكتروني يحتاج إليه غالباً المتعامل من خلال الإنترنت لإنهاء معاملاته الإلكترونية، والتي تتطلب إثبات هويته، وتوثيق الإجراءات.

ولكنه عاد وعلق بقوله “لم أفهم .. وضح لي أكثر علاقة PKI أو مركز التصديق الرقمي، أو البنية التحتية للمفاتيح العمومية، وما PKI أصلاً ؟

وبشكل تقريبي، كمثال: عندما أرسل لك رسالة خطية من خلال البريد الإلكتروني، احتاج إلى أن أضمن التالي: أنه لا يقرأ الرسالة أحد غيرك، وأنك تعرف أنني المرسل بالفعل، وأنني أتحمل كامل المسؤولية بما كتبته لك، وليس لي الحق في الإنكار.

وببساطة أكثر، عندما أرسل لك صندوق فيه قفل مفتوح. افتح الصندوق الذي أرسلته لك وضع فيه قفلا مفتوحا آخر، ثم أقفل الصندوق بالقفل الذي أرسلته لك. سأعود لأفتح الصندوق بمفتاح القفل الذي لدي، وأضع الرسالة في الصندوق مرة أخرى وأقفل عليها بالقفل الذي أرسلته لي, وأرسل الصندوق مرة ثانية لك.

إذن ستفتح الصندوق بمفتاح القفل الخاص فيك، وتقرأ الرسالة. بهذه الطريقة ضمنا التالي: أنه لن يقرأ الرسالة المرسلة إلا أنت, لأني قفلت الصندوق بالقفل الخاص بك، وأنني إن لم أكن أنا الذي أرسلتها لك، لما قدرت أن أفتح القفل الذي أرسلته لك في البداية بمفتاح القفل الخاص بي، وأنني أتحمل كامل المسؤولية عما كتبته في هذه الرسالة الخطية المرسلة وليس لي الحق في الإنكار, لأنني أرسلت لك القفل الخاص بي، وفتحت الصندوق بمفتاح هذا القفل الخاص بي. وحيث إن هذا المفتاح يحدد هويتي وليس مع أحد غيري، فإنني لا أستطيع أن أنكر ما أرسلته أمام “المستقبل”.

إذن فالحلول جميعها تركز على ما قلته لك باستخدام PKI. فأجاب مبتسماً: يعني القفل المفتاح العام Public key, ومفتاح القفل الخاص بي هو المفتاح الخاص Private key , والصندوق هو Algorithm الخاصة بالتشفير. قلت له: بالضبط.

عاد وسألني ما الذي يضمن لي أن الصندوق قوي ولا يمكن كسره، وأن القفل أيضاً قوي ولا يمكن كسره، وأن المفتاح لايمكن نسخه، ولا يوجد منه سوى نسخه واحدة وتكون مع حاملة. ورغم ذلك كل ما سمعنا عن PKI أو مفاتيح عمومية، أو قرأنا عنها، يقال إنها توفر الاتصال الآمن، وفيها كل الثغرات الأمنية .. فهمني كيف، كيف يكون آمنا؟.

قلت له: أما كيف يضمن لك أن الصندوق قوي، فأغلب أنظمة PKI سواءً كانت تمثل جهة حكومية أو خاصة فهي آمنة، وتجد ذلك في الجهات الخاصة كالبنوك, يستخدمون أقوى خوارزميات التشفير، والسائدة منها الآن RSA و Elliptic Curve ، وموجودة في السوق بقوه. أما بالنسبة RSA فلها الآن أكثر من 20 عاما، وحتى الآن 2048-bit RSA Keys لم تكسر, وتكمن قوة التشفير في العملية العشوائية Random فكلما كانت نسبة العشوائية أكبر كلما كانت عملية تشفير الرسالة أقوى.

أما ما الذي يضمن لي أن القفل لا يكسر, فلكي تحصل على عشوائية أكبر وبالتالي قوة تشفير أكبر، فإنك تحتاج إلى زيادة حجم Keys, فكلما زاد حجمها كلما كانت عملية التشفير أقوى، 1024-bit,2048-bit,4096-bit…etc , وأصلاً يحتاج من يريد كسر هذه المفاتيح إلى عشرات السنين من العمليات التجريبية، فلو افترضنا أنه أستخدم أعلى ما وصلت إليه التكنولوجيا حتى الآن من سرعة معالج, وحتى ذلك الحين بعد كسره، فإن الشهادة الممنوحة لهذه المفاتيح من PKI قد انتهت صلاحيتها، وهذه المفاتيح لايستخدمها حاملها، وهذه المعلومات مهما كانت سريتها، فإنه بعد20 أو40 أو50 سنة قد انخفض مستوى أهميتها وقيمتها حتى أصبحت ليس لها قيمه، هذا إذا كنت لا تزال على قيد الحياه.

شهادة مركز التصديق

ويفضل ألا يزيد عمر الشهادة الممنوحة من مركز التصديق الرقمي أو PKI على خمس سنوات, لإعتبارات أمنية أكثر. إذاً كلما زاد حجم المفاتيح وقلت فترة صلاحية الشهادة الممنوحة لهذه المفاتيح, كلما أصبحت عملية التشفير أقوى.

وما الذي يضمن لي أن المفتاح لا يمكن نسخه؟، عندما تحصل على المفتاح الخاص، فإن الجهة المانحة للمفاتيح، والتي غالباً ما تكون جهة موثوقة، وهي وحدة التصديق الرقمي، أو وحدة البنية التحتية للمفاتيح المعلنة، تتأكد أن تكون عملية إنشاء وتوليد تلك المفاتيح داخل جهازك الشخصي، أو بطاقتك، سواءً بطاقتك الشخصية، أو بطاقة العمل، أو بطاقتك الائتمانية الصادرة من البنك.

وفي حالة توثيق هذه الجهة المانحة للمفاتيح مفتاحك الخاص والعام بشهادة رقمية، فإن لك الحق في المقاضاة القانونية لهذه الجهة في حالة نسخ هذه المفاتيح، وأخذ كامل حقوقك من هذه الجهة المانحة للمفاتيح، وتحملها ما يترتب على كشف سرية معلوماتك من أضرار.

ويجب على الوحدة المانحة للمفاتيح على نشر وثيقتين هما: ” Certificate Policy(CP)”,” Certification Practice Statement(CPS)” لعملائها حيث إنها تحتوي على آليات إصدار الشهادات الرقمية، والقواعد والإجراءات والسياسات المبنية في عملية منح وإصدار الشهادات, وغالباً تجد هذه الجهات المانحة للمفاتيح تتّبع معايير التقنية الواردة في توصية X.509 الخاصة بالبنية التحتية للمفاتيح العامة، والصادرة من الاتحاد الدولي للاتصالات ITU.

أما سؤالك عن الاتصال الآمن؟

فمعنى الاتصال الآمن، أن يكون إرسال البيانات بين المرسل والمستقبل يتم بطريقة مشفره, فلا أحد يستطيع التصنُّت أو التزييف أو تزوير الرسالة أو حتى انتحال شخصية حامل المفتاح الخاص بـ”المرسل”.

الآن أخي الكريم هل جميع استفساراتك واضحة، أم هناك أي غموض في أي منها؟

لقد اتضحت الرؤيا بشكل كبير جدا، لكن لدي استفسار بسيط: ما فائدة التوقيع الإلكتروني؟، تذكر الرسالة الخطية التي أرسلتها لك في مثالنا السابق؟

ما الذي يضمن لك أنه لا أحد في الطريق قد كسر الصندوق، أو وضع صندوقا آخر فيه رسالة أخرى، أو وضع على هذا الصندوق الجديد قفلك نفسه. بمعني أنه لا بد من أن توقع عليها، أو تبصم، ولا بد من أن أكون على علم بتوقيعك وبصمتك حتى أقارنها وأتأكد من صحتها وأنها صادرة منك.

أجبته: نعم، ولكن بطريقة إلكترونية، فالرسالة الأصلية سندخلها على الـHash Function، ومخرجاتها عبارة عن متغيرات عشوائية, ثم أقوم بتشفير هذه المتغيرات بالمفتاح الخاص بي, وبذلك أحصل على توقيع إلكتروني.

فالمرسل يرسل توقيعه الإلكتروني الخاص به مصحوبا بالرسالة الأصلية.

والآن أنت “المستقبل” ستعيد إدخال الرسالة الأصلية علىHash Function، بحيث تحصل على متغيرات عشوائية.

وبعد أن ترجع إليّ توقيعي الإلكتروني المرسل لك سابقا مع الرسالة الأصلية، وتقوم بفك تشفير بيانات التوقيع الإلكتروني بالمفتاح العام Public key ، حيث لايمكنك فك هذا التشفير إلا بالمفتاح العام الخاص بي، والذي تحصل عليه عادة من الشهادة الرقمية Certificate والتي أبرزتها لك قبل عمليات التراسل الآمن بيني وبينك, ستحصل على المتغيرات العشوائية التي قمت باستخراجها سابقاً أنا “المرسل”، قبل عملية الإرسال، لتقارنها مع ماحصلت عليه من متغيرات عشوائية، بحيث تتأكد بهذه الطريقة أن الرسالة الأصلية لم يطرأ عليها أي تغيير أو تعديل أثناء عملية الإرسال.