مقدمه
در تجارت الکترونیک تبادل اسناد الکترونیکی، امری فراگیر میباشد. این اسناد اغلب حاوی اطلاعات حساسی مانند قراردادهای حقوقی، فناوریهای محرمانه و یا تبادلات مالی میباشند. برای ممانعت از دستبرد سارقان کامپیوتری که در فضای الکترونیکی همواره مترصد دستاندازی و خواندن مستندات میباشند لازم است این اسناد به رمز درآورده شوند. اگر میخواهیم که اسناد ما واقعاً در امان باشند باید آنها را بصورت دیجیتالی امضا کنیم. امضای دیجیتالی تضمینکننده اصالت، کامل بودن و عدم وجود خدشه در داده میباشد.
با توجه به سرعت جریان امر تجارت و توسعه روزافزون تجارت الکترونیک در سطح داخلی و بینالمللی آنچه که به عنوان اهم موضوع در مباحث امضای الکترونیکی مطرح است را میتوان به شکل زیر بیان نمود.
الف: بررسی اعتبار امضای الکترونیکی
ب: بررسی امنیت امضا و چگونگی کنترل امن سیستم امضای الکترونیکی
ج: بررسی چگونگی احراز هویت در فضای سایبر و نقش مراجع گواهی امضای الکترونیکی
د: بررسی مجریان امضاهای الکترونیکی و آثار عملکرد آنان در اسناد
هـ : بررسی اشکال مختلف امضای الکترونیک در اسناد تجاری و آثار هر یک از آنها.
آنچه که به عنوان اعتبار از آن نام میبریم در واقع نوعی هویت قانونی است که بوسیله مرجع صلاحیت دار به امضا اعطا شده است. با توجه بهاین که امضا در حیطه کدام کشور اعمال گردد،این مقررات شکل ویژهای به خود میگیرد. برخی از کشورها امضای الکترونیکی مطمئن را به طور مطلق پذیرا شدهاند و به آن قابلیت استناد در محاکم اعطا نمودهاند، ولی در بسیاری از کشورها این اطمینان در قالب نوعی از امضا بیان شده است که غیر قابل جعل و نفوذ میباشد که البته هر کدام از این تعابیر، مزایا و مضرتهای خاص خود را داراست.
با توجه به فراگیر بودن دنیای الکترونیک و همگانی بودن تجارت به شکل مزبور استفاده از یک امضای الکترونیکایمن که اشخاص در استفاده از آن دارا بودن قابلیت تعاملایمن را پذیرا باشند، نکته خوبی است اما با توجه به نفوذ پذیری فضای سایبر و سرعت پیشرفت تکنولوژی، این امر جز در یک محیط کاملاً واقعی و امن به وجود نخواهد آمد و احساسایمنی و تلقی کفایت امنیت از سوی استفاده کنندگان کافی براین امر نیست.
از سویی اجبار قانونی اشخاص به استفاده از نوع خاصی از امضای الکترونیک که از نظر قانون، قابلیت استناد داشته باشد نیز امری خلاف قاعده است، زیرا با توجه به عام بودن فضای سایبر و استفاده همگانی ازاین تکنولوژی هزینه سنگینی را در استفاده از مورد فوق طلب میکند که جز برخی اشخاص حقوقی عمده از پس آن برنخواهند آمد و از طرفی دایره را به نفع قانون شکنان و هکرهای رایانهای تنگ میکند.
سیستم قانونی برخی کشورهای اروپایی مثل اتریش و هلند امضاهای الکترونیکی را با تعریف الگوریتمهای مناسب و پارامترهای ایمن طبقه بندی کردهاند و این امر شرایطی را به وجود میآورد که اگر یک امضا ارزش اثباتی خود را در یک حالت ریاضیاتی و فنی غیر قابل پیش بینی از دست دهد هنوز در سیستم قانونی، دارای اعتبار میباشد واین یک نقطه ضعف بزرگ است. از سویی برخی کشورها مثل آلمان متفاوت عمل کردهاند. بدین ترتیب که نشر الگوریتمهای مناسب و پارامترهای مربوط را به عنوان یک وظیفه به مرجع خاصی واگذار کردهاند. دراین صورت ایمنی از یک حالت مطلق خارج شده و قدری تعدیل میشود، اما حتیاین راه حل نیز به دلیل پرهزینه بودن و متغیر بودن از امنیت مبادلات اشخاص به طور عام حمایت نمیکند.
بنابراین به نظر میرسد مناسب ترین راهحل، ایجاد و تاسیس دفاتر گواهی امضای الکترونیکی و ساماندهی مراجع گواهی امضا میباشد به شکلی که با آسانترین روش و کمترین هزینه امکان مبادلات ایمن را در سطح فضای مجازی برای عامه مردم فراهم نموده و در عین حال مجری سیستمهای برتر امضا نیز باشند.
در این تحقیق پس از مرور اجمالی بر اسناد الکترونیکی و بررسی وابستگی غیر قابل انکار آنها به امضای الکترونیک و نقش مراجع صدور گواهی در اعتبار بخشی به اسناد، به معرفی انواع امضا و بررسی نوع تاثیر هر کدام در اسناد به کاوشی در سیستم حقوقی امضای الکترونیک پرداخته و اشکالاتی که یک مبادله امن تجاری اسناد را مورد خدشه قرار میدهد و اعتبار حقوقی آنها را از بین میبرد، مورد بررسی قرار میدهیم و در این مسیر بررسی اجمالی بر قانون کشورهایی که در این مورد پیشرو بودهاند، خواهیم داشت.
فصل اول: اسناد
در تجارت الکترونیک و به تبع آن مبادلات اسناد و دادههای تجاری اشخاص باید مطمئن باشند که انتقالها، ایمن و قابل اثبات و مشروع هستند. تنها با این دلگرمیاشخاص میتوانند در تجارت الکترونیکی فعالیت کنند، زیرا عدم وجود هر یک از خصیصههای فوق در انتقال دادهها میتواند آسیبهای عمدهای به اشخاص حقیقی یا حقوقی وارد کند. مفاهیمیکه در ذیل بررسی میشود هر کدام در تجارت جهانی حقیقی همتاهایی دارند، اما در دنیای الکترونیکی باید دقیقتر مورد ارزیابی واقع شوند.
گفتار اول: مفهوم سند و اسناد الکترونیکی
در دنیای تجارت الکترونیکی اسناد الکترونیکی از جایگاه ویژهای برخوردارند و بدون وجود آنها تجارت در دنیای مجازی هیچ مفهومینخواهد داشت و از طرفی بهاین دلیل که امضای الکترونیکی را تنها میتوان بر روی مدارک الکترونیکی- و نه کاغذی- انجام داد، ضرورت دارد که مفهوم اسناد الکترونیکی بررسی شود.
قانون تجارت الکترونیک تعریفی از مدرک الکترونیکی به دست نمیدهد و تنها در بند«الف» ماده۲ در تعریف داده پیام چنین مقرر میدارد: هر نمادی از واقعه، اطلاعات یا مفهوم است که با وسایل الکترونیکی، نوری و یا فناوری جدید اطلاعات تولید، ارسال، دریافت، ذخیره یا پردازش میشود. باید افزود که ق.ت.ا همواره از ایمنی و اطمینان سیستمهای اطلاعاتی و رایانهای سخن به میان میآورد.
این تصریح فی نفسه دارای اهمیت است. زیرا بدونایمنی و اطمینان، داده پیام و امضای الکترونیکی از هر نظر فاقد اعتبار خواهد بود. بنابراین، چنانچه قانون مذکور نیز به حق تصریح دارد، قابلیت پذیرش اسناد الکترونیکی نیازمند وجود رکن اساسی اطمینان و ایمنی میباشد. به همین دلیل است که ق.ت.ا از موجودیت کامل و بدون تغییر داده پیام به مفهوم عدم خدشه به تمامیت داده پیام در جریان اعمال تصدی سیستم از قبیل ارسال، ذخیره یا نمایش اطلاعات، سخن به میان میآورد. بند«هـ» ماده۲ یا در بندهای «ح»و«ط» به ترتیب سیستمهای اطلاعاتی ایمن و رویه ایمن را تعریف میکنند.
اما میتوان گفت که اسناد الکترونیکی دادههاییهستند که در مواردی مثل اسناد تجاری خاص با فرمتهای ویژه و در موارد دیگر بدون توجه به فرمت و قالب آنها و فقط با توجه به محتوای سند در شکل الکترونیکی بوسیله دستگاههای پردازشگر مثل رایانه بوجود آمدهاند، پیش نویس لایحه اصلاح قانون تجارت در بخش اسناد الکترونیکی، اسناد الکترونیکی تجاری را به دو نوع اسناد الکترونیکی اصل و جایگزین تقسیم میکند که منظور از سند اصل را، همان سند اصیل پردازش شده در دستگاه و سند جایگزین را رونوشت مصدق آن میداند.
البته اسناد الکترونیکی در فضای مجازی مسائل زیادی را به خود اختصاص میدهند که امضای الکترونیکی فقط مشکل امنیتی و اسناد آنها را به اشخاص، حل کرده است. حائز اهمیت است که اسناد نیازمند ثبت و ذخیره برای مراجعه جهت توجیه یا استناد به عنوان ادله میباشند و میدانیم که هیچ مدرکی را نمیتوان بر یک دستگاه پردازشگر برای مدت طولانی بدون تغییر نگهداری نمود.
زیرا جریان پیشرفت تکنولوژی و به روز رسانی سخت افزار و نرمافزارهای پشتیبانیکننده از اسناد، موجب میشود که اسناد، غیر قابل دسترس و ناخوانا گردند واین معضلی است که امروزه حقوق با آن دست به گریبان است. زیرا برای این که اسناد برای همیشه در دسترس باشند، باید آنها را نیز به همراه آلات وابسته به آن به روزرسانی کرد و این امر موجب میشود که اسناد قابلیت حقوقی خود را از دست بدهند، زیرا چنین سندی دیگر یک سند اصل نیست واین مشکل اهل فن و حقوقدانان را واداشته تا وارد یک مسئله جدید تحت عنوان آرشیوهای الکترونیکی شوند.
قابلیت نگهداری و ثبت اسناد تجاری الکترونیکی
به همان دلایلی که اسناد تجاری در دنیای تجارت حقیقی نگهداری و ثبت میشوند، لازم است در مورد اسناد تجاری الکترونیکی نیز این امر انجام گیرد. در حقیقت عوامل غیر قابل پیش بینی و منافع طرفین معاملات و اشخاص ثالثایجاب میکند که آرشیوی در این مورد وجود داشته باشد. اسناد با ارزش قانونی ذخیره میشوند بدین منظور که احتمالاً در آینده به دلالت آنها نیاز شود.
به طورکلی در آرشیو اسناد چهار نکته اساسی وجود دارد:
۱- ایجاد امضا:
بدین منظور که امضا بوسیله دارنده قانونی کلید (امضاکننده) به وجود آمده است. در ثانی پس از امضا، سند برای طرف مقابل ارسال و توسط وی دریافت شده است.
۲- اثبات امضای اولیه:
بدین معنا که امضا در زمان تولید یک امضای قانونی بوده و به جهات خاصی مثلاً ابطال یا تعلیق کلید از اعتبار نیفتاده است.
۳- ذخیره سازی:
بدین معنا که اسناد باید در موقعیت و مکان مناسب به منظور حفظ قابلیت قانونی آنها نگهداری شوند.
۴- ترافع:
اگر در مورد اسناد فوقالذکر ترافعی حاصل شد، باید هویت امضاکننده و صحت امضای وی مجدداً بررسی گردد.
به منظور رسیدن به نکته چهارم است که آرشیو امضاهای الکترونیکی معنا مییابد و اهمیت حفظ امضاهای الکترونیکی در آرشیوها مشخص میشود. یکی از خصوصیات اسناد تجاری الکترونیکی قابلیت حفظ آنها با حجم اندک و برای یک دوره طولانی است و در این مورد امضاهای الکترونیکی نقش مهمی ایفا میکنند که در بررسی ذیل بدان میپردازیم.
الف: نگهداری اسناد الکترونیکی اصیل
اولین بار موسسه استاندارد سازی اتحادیه اروپا دست به یک بررسی گسترده در مورد فعالیتهای امضای الکترونیکی زد و اولین نتیجه این فعالیتها یک گزارش کارشناسی در مورد استاندارد سازی امضاها در آینده بود. این گزارش تصدیق میکند که آرشیوهای ایمن نقش بسیار مهمی در پشتیبانی امضای الکترونیکی بازی میکنند. چنانچه ممکن است مدتها بعد از ایجاد امضا برای گواهی یا تعیین هویت به آنها نیاز شود.
بنابراین فقط کافی نیست که یک سند در زمان حاضر قابل دسترسی و استناد باشد، بلکه باید برای سالهای آینده ذخیره شود و قابل استناد گردد. به منظور قابلیت استناد آن باید گواهینامهای که امضاکننده از آن استفاده کرده است در زمان ایجاد امضا معتبر بوده باشد. هر چند که ممکن است مدتی از آن زمان باطل شده یا معلق شده باشد.
زمان ایجاد امضا که بوسیله مهرهای زمان نگار ثبت شدهاند ارزش بسیار مهمیدر بایگانی دادهها ایفا میکنند. زیرا بوسیله این زمان بسیاری از مسایل حقوقی اثبات میشود. مثل اهلیت اشخاص در زمان امضای سند و یا اعتبار کلید خصوصی در همان زمان و… تمام اشخاصی که به این آرشیو مراجعه میکنند با مراجعه به مهرهای زمان که بر اسناد الصاق شده است ازاین مورد اطمینان حاصل میکنند.
در کنار اسناد الکترونیکی، امضاهای الکترونیکی نیز نگهداری میشوند، زیرا برای تطبیق اسنادی مطابق با اسناد ذخیره شده در آرشیو دادههای دیجیتالی امضا قطعاً لازم است. اما این تنها شرط ممکن نیست، زیرا به هر حال دادههای الکترونیکی تحت تاثیر گذر ایام و تغییرات فرمتهای برنامهها و بسیاری عوامل دیگر قابلیت خود را از دست داده و از بین میروند.
بدین منظور این دادهها همواره باید به روزرسانی شوند. به روزرسانی این دادهها باید همراه با راهحلهایی باشد که مشکلات حقوقی در پینداشته باشد. مثلاً اگر امضاکننده برای بازسازی امضا و سند سابق خویش سالها بعد با یک کلید خصوصی که به روز رسانی شده امضا و سند را به روز رسانی کند این یک مثال غیر قابل قبول در دنیای حقوق است، زیرا این یک سند جدید است که با تغییر در دادههای سند سابقایجاد شده است.
حتی توافقات طرفین مبادله نیز نمیتواند سند و امضای سابق را بدین شکل تغییر دهد. به هر حال این وظیفه علم حقوق نیست که راهحلی برای این مشکلات پیدا کند، اما قطعاً این راه حلها نباید به گونهای باشند که معضلات حقوقی ایجاد کنند. زیرا اولین وظیفه هر علم توسعه آرامش و آسایش انسانهاست.
اما میتوان گفت که سرویس دهندگان آرشیوهای الکترونیکی در نگهداری اسناد و امضاهای الکترونیکی وظایف و تعهدات خاصی دارند و از آنجا که نگهداری این امور مهم بدانها واگذار شده است، باید مسئولیت هرگونه آسیب و صدمه ناشی از فعالیت و سیستم آرشیو را به اسناد، امضاها، اشخاص حقیقی و حقوقی که به آنها اعتماد نمودهاند بپذیرند. در حقیقت این آرشیوها در حفظ و نگهداری دادهها تعهد دارند و برای تضمین این امر نیاز به بیمههای قوی دارند. در حال حاضر شاید بهترین راه برای حفظ امنیت دادهها در بلند مدت تولید امضاهایی با قابلیت ماندگاری طولانی باشد.
ب: نگهداری اسناد الکترونیکی جایگزین
یکی از مزایای مبادله الکترونیکی اسناد تجاریاین است که در عین مبادله سریع، دادههای الکترونیکی قابل چاپ و دریافت در عالم حقیقی تجارت هستند به همین منظور قانون یوتا مقرر میدارد:«اگر فرستنده یک سند الکترونیکی از ذخیره یا پرینت بوسیله دریافتکننده جلوگیری کند، آن سند علیه دریافتکننده سندیت نخواهد داشت».
پیشنویس لایحه اصلاح قانون تجارت در ماده ۴۱۳ اعلام میدارد: «سند تجاری الکترونیکی به دو روش به وجود میآید. سند تجاری الکترونیکی اصل و سند جایگزین آن که منظور از سند جایگزین را در ماده ۴۱۴ قانون فوق همان سند پرینت شده میداند. به هر حال آنچه مورد بحث است اسنادی است که پس از دریافت از خروجی یک دستگاه الکترونیکی صادر شدهاند.»
نگهداری این گونه اسناد به معنای حفاظت عملی آنها برای یک مدت طولانی است. اما به راستی نگهداری این گونه اسناد که بافت الکترونیکی دارند، چگونه است؟ این اسناد کاغذی شامل دادههای دیجیتالی هستند. پس باید با روشی امضا شده باشند که مناسب با اسناد کاغذی باشد. زیرا دادههای دیجیتالی در بسیاری موارد بر روی کاغذ نامفهومند و تطبیق آنها دشوار و یا ناممکن است.
هر چند که برخی از امضاهای الکترونیکیاین خواسته را تامین میکنند اما در مقابل، کاستیهای بسیاری در فضای سایبر دارند که مبادله اسناد را به خطر میاندازند. سسیتم قانونی فعلی فقط در مورد اسناد کاغذی و ثبت و بایگانی آنها تدوین شده است، در حالی کهاین یک نیاز روز افزون است که نحوه ثبت و اعتبار بخشی از آنها در دنیای کاغذ به شکل قانونی بیان شود.
امروزه تکنولوژی درایجاد دستگاههایی برای حفظ دادههای دیجیتالی پس از پرینت گام مهمیبرداشته است. فناوریهایmedia sec سیستمهایی را توسعه دادهاند که در مدارک الکترونیکی که به شکل چاپ شده ظاهر میشوند اصالت را به ثبوت میرسانند. اما با تمام این موارد باز هم همان روش سنتی برابر با اصل کردن دفاتر اسناد رسمی درصورتی که یک سردفتر برایجاد این اسناد نظارت داشته باشد راه حل معتدلانهای به نظر میرسد.
گفتار دوم: انتساب اسناد تجاری
آنچه از لحاظ حقوقی موضوعیت دارد آن است که بتوان عمل یا سندی را به شخصی منتسب نمود. به همین دلیل امروزه امضای الکترونیک یکی از عوامل مهم و تعیینکننده در اعتبار اسناد شناخته میشود. اما واضح است که هرگونه امضای الکترونیکی قدرت اعتبار بخشیدن را به اسناد ندارد و شرایط خاصی در مورد این فناوری وجود دارد که فقط با جمع بودن کلیه شرایط امضای الکترونیکی به سند اعتبار خواهد بخشید.
بند۱: قابلیت امضای الکترونیک
برای جلوگیری از بروز مشکلات و حملات اینترنتی و ایمن سازی فضای مجازی وب، مراکزی در جهان بوجود آمدهاند که خدمات گواهینامههای امضا و اسناد الکترونیکی را انجام میدهند. قانون تجارت الکترونیک ایران در این مورد اصول وحدت کلید امضاکننده و انحصار کلید خصوصی و قابلیت تشخیص وضوح تغییرات در دادهها را پذیرفته است.
اما حقیقت این است که بین کلید امضا و مالک آن ارتباط بسیار ضعیفی وجود دارد، زیرا به راههای مختلف این احتمال وجود دارد که امضاکننده، مالک کلید نباشد. بنابراین بسیار مهم است که امضای استفاده شده در سند به وسیله یک نرمافزار ایمن بوجود آمده و اثبات این امضا بر مبنای یک گواهی معتبر از مرجع صدور گواهینامه صورت گرفته باشد.
الف: اعتبار کلید خصوصی
به منظور ایمنی امضا، تنها اطمینان از این امر که مالک کلید خصوصی شخص خاصی است کافی نیست، بلکه باید ازاین امر اطمینان حاصل شود که تنها کسی که کلید را مورد استفاده قرار میدهد، شخص مزبور است. این همان قاعدهای است که در تمام قوانین امضاهای جهان پذیرفته شده است و قانون تجارت الکترونیک ایران نیز از آن با عنوان انحصاری بودن یاد میکند.
عوامل مختلفی اعتبار کلید خصوصی را به خطر میاندازد. مثلاً مالک کلید ممکن است با بیدقتی رمز کلید را برای شخص باهوشی آشکار کند و یا دستگاهی که کلید بر روی آن ذخیره شده مورد سرقت واقع شود و یا از کلید خصوصی کپی برداری شود. در موارد بسیار استثنائی این امکان وجود دارد که سازنده نرمافزار کلید خصوصی مشابه آن را تولید کرده و در اختیار دیگران قرار دهد یا خود از آن استفاده کند. در این بین نرمافزارهای تولید امضا مهمترین بخش تولید امضا را به خود اختصاص دادهاند. این نرمافزارها هم برای تولید امضا و هم برای اثبات امضا توسط اشخاص مورد استفاده قرار میگیرند. منظور از اعتباراین نرمافزارها این است که به طوری طراحی شده باشند که ضریب دقت و ایمنی امضا را در طول ایجاد و استفاده از دادههای الکترونیکی از لحاظ فنی تضمین نمایند.
ب: اعتبار و قابلیت گواهینامه
قانون نمونه آنسیترال گواهینامه را به یک پیام اطلاعاتی یا هر رکورد دیگری اطلاق میکند که ارتباط بین فرد صاحب امضا و اطلاعاتی که بر اساس آن، امضا ایجاد میشود را تایید میکند. ارائه دهنده خدمات مربوط به گواهینامه به شخصی گفته میشود که گواهینامههای مربوطه را صادر نموده و ممکن است دیگر خدمات مرتبط با امضای الکترونیکی را نیز ارائه نماید.
متناظر با هر گواهی یک کلید خصوصی وجود دارد. پیامهایی را که با یک گواهی رمز شدهاند، تنها با کلید خصوصی مربوط به همان گواهی میتوان رمزگشایی کرد و بالعکس. گواهی قابل جعل نمیباشد، یعنی دارنده گواهی، کلید خصوصی متناظر با آن را در اختیار دارد، علتاین امر امضای مراکز گواهی است که تولید آن بدون دسترسی به کلید خصوصی مرکز، غیر ممکن است.
مالک گواهینامه، نباید کلید خصوصی آن را در اختیار دیگران قرار دهد، اما خود گواهی یک سند عمومی است که میتوان آن را به همه نشان داد. مرکز گواهی فقط پس از اطمینان از صحت هویت فرد و تحت قوانین معینی برای وی گواهی صادر میکند. در صورتی که دارنده گواهی قوانین استفاده از آن را نقض کند یا کلید خصوصی وی افشا شود، گواهی او توسط مرکز گواهی باطل میشود. یک گواهینامه باید عناصر ذیل را در خود جای دهد:
• نام مراجع صدور گواهینامه
• نام شخصی که گواهی برای او صادر شده است
• نوع گواهینامه که محدودیتهای گواهینامه را برای مالک آن نشان میدهد
• دوره اعتبار گواهینامه
• شرایط گواهینامه مثلاً این که گواهینامه حداکثر برای صدور چند سند تجاری قابل استفاده است
بند۲: مشکلات تبادل اسناد تجاری
مشکلات تجارت الکترونیک و به تبع آن تبادل اسناد در فضای سایبر بسیار زیاد است. در این بحث تلاش شده است تا بارزترین و مهم ترین این مشکلات مطرح شوند.
الف: سرقت اطلاعات
مهمترین مشکل در تبادل دادههای الکترونیکی سرقت اطلاعات یا دریافت غیر مجاز دادهها میباشد. واضح است که این امر چه اختلال عظیمی در دنیای تجارت و روابط تجاری و خصوصی افراد در بر خواهد داشت. بسیاری از اشخاص از تبادل دادهها دراین فضا وحشت دارند که مبنای آن ترس از لو رفتن اطلاعات شخصی آنها و یا شماره کارتهای اعتباری آنها و… به دست هکرهای رایانهای و شیادان و استفاده غیر مجاز از آنها میباشد. البته امروزهاین نگرانی با ظهور روش رمزنگاری کلیدهای عمومی و به کارگیری آن در امنیت جاواها کمتر شده و روش فوق نفوذ در تبادلات را تقریباً غیر ممکن میکند.
ب: برنامههای فریبنده
همیشهایجاد رمزهای خوب نمیتواند به معنای ایجاد امنیت خوب باشد، بخصوص در یک سیستم تجاری وسیع نقاط حساس بسیار زیادی وجود دارند که ممکن است به وسیله برنامههای فوق مورد تعرض و بهره برداری واقع شوند، مثل جاواهای فریبنده. بدین طریق که شخصی با استفاده از آن خود را سرویس دهنده قانونی معرفی کرده و از مشتریان سرویس دهنده حقیقی هزینههای غیر قانونی دریافت کند. این امر کاملاً امکانپذیر است مگر این که تمهیدات پیشگیریکنندهای انجام شده باشد.
ج: پروتکلهای خاص
مشکل دیگر در تبادل اسناد تجاری وجود پروتکلهایی است که هر کدام فرمتهایی را برای مبادله پیامها تعریف میکنند. چرا که برنامه نویسان حرفهای همیشه سعی کردهاند برنامههایی را برای هدایت تجارت الکترونیکیایجاد کنند. اغلب این برنامهها هزینه بسیار زیادی را در این نوع تجارت طلب میکنند و از طرفی این پروتکلها در بعضی از سیستمهای تجاری عملاً پاسخگو نیستند.
مثلاً بسیاری از شرکتها برای انتقال سند تجاری و کارتهای اعتباری پروتکلهای خاص خود را دارند و در برخی موارد این پروتکلها با سیستم شرکتهای دیگر سازگاری ندارند. به هر حالایجاد یک پروتکل که همه شرکتها را پوشش دهد هم بسیار حجیم است و هم مدیریت آن بسیار سخت و غیر قابل تصور میباشد.
گفتار سوم: نقش اشخاص ثالث در مبادلات اسناد تجاری الکترونیکی
هرگاه صاحب امضا آن را به سندی ضمیمه کند، بدینمعناست که قصد امضای آن سند را داشته و محتویات سند را پذیرفته است. دراین حالت امضاکننده، امضای خود را با انتخاب از یک دکمه یا منوی دستگاهی که کلید امضا در آن ذخیره شده، اعمال میکند اما یک امضای الکترونیکی به تنهایی برای اثبات سه دلیل فوق کفایت نمیکند. زیرا در دنیای مجازی که اشخاص قادر به دیدن یکدیگر نیستند و موضوعات به طور ملموس نزد آنها موجود نیست، اعمال یک کلید به تنهایی نه هویت و نه قصد طرف مقابل را اثبات میکند. از طرفی دریافتکنندگان اسناد نیز نیاز به طرف مورد اعتمادی دارند تا دعاوی احتمالی ناشی از مبادله اسناد را تضمین کند.
بند۱: مراجع صدور گواهینامه و وابستههای آن
برای اینکه به یک گواهی اعتماد کنیم،این گواهی باید توسط شخصی که مورد اعتماد ماست امضا شده باشد. مبنای ایجاد اعتماد سراسری وجود یک شخص ثالث مورد اعتماد همگان میباشد. این شخص را مرجع صدور گواهیCA مینامیم. گواهی مستند رسمیبرای تضمین تعلق شناسه به کلید است. گواهی میتواند شامل اطلاعات مربوط به:
۱. کلید
۲. شناسه صاحب کلید
۳. نوع کاربرد کلید
۴. دوره اعتبار سند
۵. اطلاعاتی که میتواند برای بررسی صحت شناسه و کلید استفاده شود.
معمولاً امضای الکترونیکی به همراه یک گواهینامه تشخیص هویت که از سوی مرجع گواهینامه صادر میشود، پیش بینی شده است. در این میان مراجعی حضور دارند که مرجع صدور گواهینامه را در تولید و کنترل یک امضا پشتیبانی میکنند. به طور خلاصه میتوان آنها را به شرح ذیل نام برد:
الف: سرویس اصلی
برای از بین بردن جعل هویت و جعل کلید عمومی افراد به طرف سوم مطمئنی نیاز است تا وظیفه تشخیص و تایید هویت را به عهده داشته باشد. به این طرف سوم که وظیفه اصلی را در هدایت و مدیریت کلیدها بر عهده دارد، مرکز صدور گواهی یا Certificate Authority و اختصاراً CA گفته میشود.
این مرکز برای صدور گواهینامه و تایید هویت سرویس گیرنده و سرویس دهنده میباشد و بدین صورت عمل میکند که پس از درخواست گواهینامه از طرف کاربر، CA به آن دو کلید خصوصی و عمومی میدهد که کلید خصوصی در اختیار کاربر قرار میگیرد و باید در جای امنی ذخیره شود. CA با استفاده از کلید عمومی و مشخصات کاربر برای آن گواهینامهای صادر میکند، که این گواهینامه شامل مشخصات کاربر و تاریخ اعتبار آن و امضای صادرکننده گواهینامه میباشد.
ب: سرویسهای فرعی
سرویسهای فرعی سرویسهایی غیر از مرکز صدور گواهینامه هستند که امور امضای دیجیتال و مسایل مربوط به تجارت الکترونیک و انتقال اسناد تجاری را پشتیبانی میکنند. این خدمات جزء وظایف اصلی یک مرکز صدور گواهی نیستند، اما این امکان وجود دارد که مراکز صدور گواهی چنین خدماتی را نیز تقبل کنند. به هر حال این سرویسها موسسات یا شرکتهای امین و قابل اعتمادی هستند که باید بر اساس اصول امنیتی فعالیت کنند و همین امنیت میتواند موجب تکامل خدمات این سرویسها گردد.
در ذیل به انواع این مراجع که در طی فعالیت یک امضای الکترونیک بدانها نیاز است و مسئولیتهای ناشی از خدمات آنها میپردازیم:
• سرویس بایگانی: مرجعی است که ثبتها را برای یک مرجع گواهی امضا نگهداری میکند. این ثبتها ممکن است به منظور امور بازرگانی و به درخواست اشخاص و یا بر طبق قانون نگهداری شوند. این بایگانیها برای اثبات امور مربوط به امر امضای الکترونیک و گواهینامه مثلاً در موارد تعلیق یا ابطال گواهینامه و… قابلیت استناد دارند. طبعاً تنها نگهداری ایمن این اسناد میتواند آنها را به عنوان ادله الکترونیکی مطرح سازد.
• سرویس تایید اطلاعات: مرجعی است که به مرجع صدور گواهینامه در امر تایید اطلاعات مربوط به امضاها مساعدت میکند. این مرجع وظیفه دارد صحت اطلاعات امضاها و گواهینامهها را بررسی و در صورت درستی آنها را تایید کند.
• سرویسهای فنی برای پیشگیری از جرائم: مرجعی است که مطلوبیت و کفایت سیستمهای فنی را بررسی و حراست میکند. پشتیبانی از مسائل فنی امضاهای دیجیتال و دستگاههای مهر زمان و امور فنی گواهینامهها در ارتباطات مهم تجاری و معاملات مهم و اسناد تجاری و… بر عهده این مرجع میباشد.
فراهم کردنایمنی فنی از سویاین مرجع اعتماد اشخاص را به انتقال دادهها و یا اسناد تجاری خود از طریق فرمهای الکترونیکی زیاد میکند.این مرجع میتواند تایید کند که آیا در اسناد مبادله شده امضای الکترونیکی وجود داشته یا خیر؟ این که آیا گواهینامههای مورد استفاده اعتبار دارند یا خیر؟ این که آیا امضاهایی که مورد استفاده واقع شدهاند در زمان اعتبار گواهینامه مورد استفاده واقع شدهاند و مطابقت با کلید عمومیامضا دارند یا خیر؟ این که آیا گواهینامه اشخاص معلق یا باطل شده است یا خیر؟ در نهایت همین مرجع است که به دادههای اطلاعاتی معاملات تجاری که امضای دیجیتالی شده و مهر زمان به آنها الصاق شده است را به طور مناسبی در محفظههای الکترونیکی قرار میدهد.
• سرویس بیمه: مرجعی است که مرجع صدور گواهینامه را در امر مسئولیتهای مالیش پشتیبانی میکند.
• سرویس تولید کلیدها: مرجعی است که کلیدهای خصوصی و عمومی امضای الکترونیک را که اصطلاحاً به آنها کلیدهای جفتی گفته میشود، تولید میکند. این مرجع وظیفه بسیار حساسی در تولید کلیدها بر عهده دارد، چون از هر زوج کلید فقط باید یک نوع تولید شود. پس به کار گرفتن اشخاص کاملاً امین و مورد اعتماد نقش اساسی دراین امر دارد.
• سرویس تایید پیامها: مرجعی که دادهها را به تابعهای هش تبدیل میکند، برای این که دادهها در طول مبادله تغییر نکنند. تایید الصاق مهر زمان به دادهها از وظایف این مرجع میباشد.
• سرویسهای مهر زمان: مرجعی که مهر زمان را به امضاهای الکترونیکی و دادههای مبادلاتی و ثبتهای الکترونیکی و … ضمیمه میکند. این سرویسها ازبعد اینکه نظارت بر تاریخ ارسال و دریافت دارند که اهم مسایل حقوقی را در بر میگیرد. مثلاً مسایل مربوط به اهلیت اشخاص و یا اعتبار کلید امضا، نقش بسیار مهمی در تبادل اسناد ایفا میکنند. بنابراین جداگانه به آنها میپردازیم:
۱- سرویسهای دیجیتال زمان نگار
در بحث امضاهای سنتی، سر دفتر اسناد رسمی بسیاری از مشکلات حقوقی را با ثبت امضاها و اسناد و تاریخنگاری آنها حل میکند. این در حالی است که در فضای گسترده سایبر امضاهای دیجیتال و حتی مراجع صدور گواهینامه بدون پشتوانههای خاص قادر به حل این مشکلات نیستند.
مشکل بزرگی که در امضاهای الکترونیکی وجود دارد مسئله مدیریت کلید خصوصی میباشد. زیرا اگر کسی غیر از مالک به کلید دسترسی پیدا کند قادر خواهد بود اسنادی را به عنوان مالک امضا کند. بعلاوه اگر شخص مالک نیز در مواردی بخواهد امضای خود را انکار کند میتواند از مسئله فاش شدن هویت کلید استفاده کند، حتی اگر حقیقتاً این طور نباشد. در این جاست که مسئول کنترل امضاهای الکترونیک باید بتوانداین امر را اثبات کند که آیا امضاکننده حقیقی بوده است یا خیر؟ سرویسهای دیجیتال زماننگار، این مشکل را حل میکنند.
میتوان گفت که مهر زمان به طور ساده قسمتی از وظایف سر دفتر اسناد رسمی را انجام میدهد و نقش بسیار عمدهای در تامین امنیت اسناد الکترونیکی دارد تا جایی که میتوان گفت اگر به یک سند الکترونیکی مهر ثبت زمان ضمیمه نشده باشد، آن سند اعتبار حقوقی نخواهد داشت.
۲- مهرهای ثبت زمان
مهمترین مزایای دادههای دیجیتالاین است که با حجم کم و سرعت انتقال زیاد قادر به ابقا و نگهداری برای مدت طولانی نیز میباشند. اما این امر را نیز نباید از نظر دور داشت که آنها معایب خاص خود را نیز دارند. روشهای معمول اثبات قانونی قضایا که در دنیای حقیقی رایج است اغلب در فضای الکترونیکی منجر به شکست میشود. اثبات زمانها و اثبات سن اشخاص و همچنین اثبات هویت اشخاص مشکل بزرگی است که در فضای تجارت الکترونیک همواره وجود دارد. با توجه به این قضایا میتوان گفت مهرهای ثبت زمان خدمت ویژهای به دنیای تجارت الکترونیک کردهاند.
۳- سیستم مهرهای ثبت زمان
در یک سند تجاری الکترونیکی در مورد امضای خاص آن چند مساله مهم وجود دارد که نیاز به اثبات دارد:
• سند بوسیله چه کسی امضا شده است؟(تشخیص هویت)
• سند در چه زمانی امضا شده است؟(تشخیص اهلیت شخص و تایید اعتبار امضا)
• سند در چه مکانی امضا شده است؟(تشخیص قانون حاکم)
به طورکلی پاسخ سوالات فوق در مرحله ایجاد امضا مجهول است، مگر این که شخص ثالث امینی بر این مرحله نظارت دقیق داشته باشد. در این مورد سرویسهای زمان نگار این وظیفه را بر عهده دارند. مهرهای ثبت زمان به وسیله این سرویسها به اسناد ضمیمه میشوند.
بدینصورت که شخص قبل از امضای دادههای الکترونیکی خود از سرویس دهنده زمان نگار درخواست تاییدیهای میکند که نوعی نشانه الکترونیکی است و قبل از امضای دادهها باید به آنها ضمیمه شود. سپس شخص، دادههای الکترونیکی خویش را امضا کرده و در این بخش به دادههای هش شده بوسیله سرویس مزبور مهر ثبت زمان الصاق میگردد. زمان امضای سند معدلی است بین الصاق نشانه الکترونیکی اولیه و الصاق مهر ثبت زمان که غیر قابل تغییر است و این زمان بوسیله سرویس دهنده نیز ثبت میگردد.
هر چند در هر مباحثهای ازاین نوع، بحث ازاین مطلب نیز به میان خواهد آمد که آیا امنیت این سیستم به حدی است که بتوان بر آن تکیه کرد؟ اما به هر حال این تعیین زمان از نظر حقوقی اهمیت بسزایی در اسناد الکترونیکی دارد و با فرض یک سیستم امنیتی قوی این نوع سرویس در قسمت خاص وظایف خود میتواند همچون یک دفتر اسناد رسمیعمل نماید.
منبع: رساگستر
فایل را دانلود کنید.
علاقه مندی ها (Bookmarks)