ماهیت حقوقی امضای الکترونیک در اسناد تجاری ( ۱ )

ماهیت حقوقی امضای الكترونیك در اسناد تجاری ( ۱ )
خدیجه جمالی*نیا (پژوهشگر) 

مقدمه
در تجارت الكترونیك تبادل اسناد الكترونیكی، امری فراگیر می*باشد. این اسناد اغلب حاوی اطلاعات حساسی مانند قراردادهای حقوقی، فناوری*های محرمانه و یا تبادلات مالی می*باشند. برای ممانعت از دستبرد سارقان كامپیوتری كه در فضای الكترونیكی همواره مترصد دست*اندازی و خواندن مستندات می*باشند لازم است این اسناد به رمز درآورده شوند. اگر می*خواهیم كه اسناد ما واقعاً در امان باشند باید آنها را بصورت دیجیتالی امضا كنیم. امضای دیجیتالی تضمین*كننده اصالت، كامل بودن و عدم وجود خدشه در داده می*باشد.

با توجه به سرعت جریان امر تجارت و توسعه روزافزون تجارت الكترونیك در سطح داخلی و بین*المللی آنچه كه به عنوان اهم موضوع در مباحث امضای الكترونیكی مطرح است را می*توان به شكل زیر بیان نمود.
الف: بررسی اعتبار امضای الكترونیكی
ب: بررسی امنیت امضا و چگونگی كنترل امن سیستم امضای الكترونیكی
ج: بررسی چگونگی احراز هویت در فضای سایبر و نقش مراجع گواهی امضای الكترونیكی
د: بررسی مجریان امضاهای الكترونیكی و آثار عملكرد آنان در اسناد
هـ : بررسی اشكال مختلف امضای الكترونیك در اسناد تجاری و آثار هر یك از آنها.
آنچه كه به عنوان اعتبار از آن نام می*بریم در واقع نوعی هویت قانونی است كه بوسیله مرجع صلاحیت دار به امضا اعطا شده است. با توجه به*این كه امضا در حیطه كدام كشور اعمال گردد،*این مقررات شكل ویژه*ای به خود می*گیرد. برخی از كشورها امضای الكترونیكی مطمئن را به طور مطلق پذیرا شده*اند و به آن قابلیت استناد در محاكم اعطا نموده*اند، ولی در بسیاری از كشورها این اطمینان در قالب نوعی از امضا بیان شده است كه غیر قابل جعل و نفوذ می*باشد كه البته هر كدام از این تعابیر، مزایا و مضرت*های خاص خود را داراست.
با توجه به فراگیر بودن دنیای الكترونیك و همگانی بودن تجارت به شكل مزبور استفاده از یك امضای الكترونیك*ایمن كه اشخاص در استفاده از آن دارا بودن قابلیت تعامل*ایمن را پذیرا باشند، نكته خوبی است اما با توجه به نفوذ پذیری فضای سایبر و سرعت پیشرفت تكنولوژی، این امر جز در یك محیط كاملاً واقعی و امن به وجود نخواهد آمد و احساس*ایمنی و تلقی كفایت امنیت از سوی استفاده كنندگان كافی بر*این امر نیست.
از سویی اجبار قانونی اشخاص به استفاده از نوع خاصی از امضای الكترونیك كه از نظر قانون، قابلیت استناد داشته باشد نیز امری خلاف قاعده است، زیرا با توجه به عام بودن فضای سایبر و استفاده همگانی از*این تكنولوژی هزینه سنگینی را در استفاده از مورد فوق طلب می*كند كه جز برخی اشخاص حقوقی عمده از پس آن برنخواهند آمد و از طرفی دایره را به نفع قانون شكنان و هكرهای رایانه*ای تنگ می*كند.
سیستم قانونی برخی كشورهای اروپایی مثل اتریش و هلند امضاهای الكترونیكی را با تعریف الگوریتم*های مناسب و پارامترهای ایمن طبقه بندی كرده*اند و این امر شرایطی را به وجود می*آورد كه اگر یك امضا ارزش اثباتی خود را در یك حالت ریاضیاتی و فنی غیر قابل پیش بینی از دست دهد هنوز در سیستم قانونی، دارای اعتبار می*باشد و*این یك نقطه ضعف بزرگ است. از سویی برخی كشورها مثل آلمان متفاوت عمل كرده*اند. بدین ترتیب كه نشر الگوریتم*های مناسب و پارامترهای مربوط را به عنوان یك وظیفه به مرجع خاصی واگذار كرده*اند. در*این صورت ایمنی از یك حالت مطلق خارج شده و قدری تعدیل می*شود، اما حتی*این راه حل نیز به دلیل پرهزینه بودن و متغیر بودن از امنیت مبادلات اشخاص به طور عام حمایت نمی*كند.
بنابر*این به نظر می*رسد مناسب ترین راه*حل، ایجاد و تاسیس دفاتر گواهی امضای الكترونیكی و ساماندهی مراجع گواهی امضا می*باشد به شكلی كه با آسانترین روش و كمترین هزینه امكان مبادلات ایمن را در سطح فضای مجازی برای عامه مردم فراهم نموده و در عین حال مجری سیستم*های برتر امضا نیز باشند.
در این تحقیق پس از مرور اجمالی بر اسناد الكترونیكی و بررسی وابستگی غیر قابل انكار آنها به امضای الكترونیك و نقش مراجع صدور گواهی در اعتبار بخشی به اسناد، به معرفی انواع امضا و بررسی نوع تاثیر هر كدام در اسناد به كاوشی در سیستم حقوقی امضای الكترونیك پرداخته و اشكالاتی كه یك مبادله امن تجاری اسناد را مورد خدشه قرار می*دهد و اعتبار حقوقی آنها را از بین می*برد، مورد بررسی قرار می*دهیم و در این مسیر بررسی اجمالی بر قانون كشورهایی كه در این مورد پیشرو بوده*اند، خواهیم داشت.

فصل اول: اسناد
در تجارت الكترونیك و به تبع آن مبادلات اسناد و داده*های تجاری اشخاص باید مطمئن باشند كه انتقال*ها، ایمن و قابل اثبات و مشروع هستند. تنها با این دلگرمی*اشخاص می*توانند در تجارت الكترونیكی فعالیت كنند، زیرا عدم وجود هر یك از خصیصه*های فوق در انتقال داده*ها می*تواند آسیب*های عمده*ای به اشخاص حقیقی یا حقوقی وارد كند. مفاهیمی*كه در ذیل بررسی می*شود هر كدام در تجارت جهانی حقیقی همتاهایی دارند، اما در دنیای الكترونیكی باید دقیق*تر مورد ارزیابی واقع شوند.

گفتار اول: مفهوم سند و اسناد الكترونیكی
در دنیای تجارت الكترونیكی اسناد الكترونیكی از جایگاه ویژه*ای برخوردارند و بدون وجود آنها تجارت در دنیای مجازی هیچ مفهومی*نخواهد داشت و از طرفی به*این دلیل كه امضای الكترونیكی را تنها می*توان بر روی مدارك الكترونیكی- و نه كاغذی- انجام داد، ضرورت دارد كه مفهوم اسناد الكترونیكی بررسی شود.
قانون تجارت الكترونیك تعریفی از مدرك الكترونیكی به دست نمی*دهد و تنها در بند«الف» ماده۲ در تعریف داده پیام چنین مقرر می*دارد: هر نمادی از واقعه، اطلاعات یا مفهوم است كه با وسایل الكترونیكی، نوری و یا فناوری جدید اطلاعات تولید، ارسال، دریافت، ذخیره یا پردازش می*شود. باید افزود كه ق.ت.ا همواره از ایمنی و اطمینان سیستم*های اطلاعاتی و رایانه*ای سخن به میان می*آورد.*این تصریح فی نفسه دارای اهمیت است. زیرا بدون*ایمنی و اطمینان، داده پیام و امضای الكترونیكی از هر نظر فاقد اعتبار خواهد بود. بنابراین، چنانچه قانون مذكور نیز به حق تصریح دارد، قابلیت پذیرش اسناد الكترونیكی نیازمند وجود ركن اساسی اطمینان و ایمنی می*باشد. به همین دلیل است كه ق.ت.ا از موجودیت كامل و بدون تغییر داده پیام به مفهوم عدم خدشه به تمامیت داده پیام در جریان اعمال تصدی سیستم از قبیل ارسال، ذخیره یا نمایش اطلاعات، سخن به میان می*آورد. بند«هـ» ماده۲ یا در بندهای «ح»و«ط» به ترتیب سیستم*های اطلاعاتی ایمن و رویه ایمن را تعریف می*كنند. اما می*توان گفت كه اسناد الكترونیكی داده*هایی*هستند كه در مواردی مثل اسناد تجاری خاص با فرمت*های ویژه و در موارد دیگر بدون توجه به فرمت و قالب آنها و فقط با توجه به محتوای سند در شكل الكترونیكی بوسیله دستگاه*های پردازشگر مثل رایانه بوجود آمده*اند، پیش نویس لایحه اصلاح قانون تجارت در بخش اسناد الكترونیكی، اسناد الكترونیكی تجاری را به دو نوع اسناد الكترونیكی اصل و جایگزین تقسیم می*كند كه منظور از سند اصل را، همان سند اصیل پردازش شده در دستگاه و سند جایگزین را رونوشت مصدق آن می*داند.
البته اسناد الكترونیكی در فضای مجازی مسائل زیادی را به خود اختصاص می*دهند كه امضای الكترونیكی فقط مشكل امنیتی و اسناد آنها را به اشخاص، حل كرده است. حائز اهمیت است كه اسناد نیازمند ثبت و ذخیره برای مراجعه جهت توجیه یا استناد به عنوان ادله می*باشند و می*دانیم كه هیچ مدركی را نمی*توان بر یك دستگاه پردازشگر برای مدت طولانی بدون تغییر نگهداری نمود. زیرا جریان پیشرفت تكنولوژی و به روز رسانی سخت افزار و نرم*افزارهای پشتیبانی*كننده از اسناد، موجب می*شود كه اسناد، غیر قابل دسترس و ناخوانا گردند و*این معضلی است كه امروزه حقوق با آن دست به گریبان است. زیرا برای این كه اسناد برای همیشه در دسترس باشند، باید آنها را نیز به همراه آلات وابسته به آن به روزرسانی كرد و این امر موجب می*شود كه اسناد قابلیت حقوقی خود را از دست بدهند، زیرا چنین سندی دیگر یك سند اصل نیست و*این مشكل اهل فن و حقوقدانان را واداشته تا وارد یك مسئله جدید تحت عنوان آرشیوهای الكترونیكی شوند.

قابلیت نگهداری و ثبت اسناد تجاری الكترونیكی
به همان دلایلی كه اسناد تجاری در دنیای تجارت حقیقی نگهداری و ثبت می*شوند، لازم است در مورد اسناد تجاری الكترونیكی نیز این امر انجام گیرد. در حقیقت عوامل غیر قابل پیش بینی و منافع طرفین معاملات و اشخاص ثالث*ایجاب می*كند كه آرشیوی در این مورد وجود داشته باشد. اسناد با ارزش قانونی ذخیره می*شوند بدین منظور كه احتمالاً در آینده به دلالت آنها نیاز شود.
به طوركلی در آرشیو اسناد چهار نكته اساسی وجود دارد:
۱- ایجاد امضا:
بدین منظور كه امضا بوسیله دارنده قانونی كلید (امضا*كننده) به وجود آمده است. در ثانی پس از امضا، سند برای طرف مقابل ارسال و توسط وی دریافت شده است.
۲- اثبات امضای اولیه:
بدین معنا كه امضا در زمان تولید یك امضای قانونی بوده و به جهات خاصی مثلاً ابطال یا تعلیق كلید از اعتبار نیفتاده است.
۳- ذخیره سازی:*
بدین معنا كه اسناد باید در موقعیت و مكان مناسب به منظور حفظ قابلیت قانونی آنها نگهداری شوند.
۴- ترافع:
اگر در مورد اسناد فوق*الذكر ترافعی حاصل شد، باید هویت امضا*كننده و صحت امضای وی مجدداً بررسی گردد.
به منظور رسیدن به نكته چهارم است كه آرشیو امضاهای الكترونیكی معنا می*یابد و اهمیت حفظ امضاهای الكترونیكی در آرشیوها مشخص می*شود. یكی از خصوصیات اسناد تجاری الكترونیكی قابلیت حفظ آنها با حجم اندك و برای یك دوره طولانی است و در این مورد امضاهای الكترونیكی نقش مهمی ایفا می*كنند كه در بررسی ذیل بدان می*پردازیم.

الف: نگهداری اسناد الكترونیكی اصیل
اولین بار موسسه استاندارد سازی اتحادیه اروپا دست به یك بررسی گسترده در مورد فعالیت*های امضای الكترونیكی زد و اولین نتیجه این فعالیت*ها یك گزارش كارشناسی در مورد استاندارد سازی امضاها در آینده بود. این گزارش تصدیق می*كند كه آرشیوهای ایمن نقش بسیار مهمی در پشتیبانی امضای الكترونیكی بازی می*كنند. چنانچه ممكن است مدتها بعد از ایجاد امضا برای گواهی یا تعیین هویت به آنها نیاز شود. بنابر*این فقط كافی نیست كه یك سند در زمان حاضر قابل دسترسی و استناد باشد، بلكه باید برای سال*های آینده ذخیره شود و قابل استناد گردد. به منظور قابلیت استناد آن باید گواهینامه*ای كه امضا*كننده از آن استفاده كرده است در زمان ایجاد امضا معتبر بوده باشد. هر چند كه ممكن است مدتی از آن زمان باطل شده یا معلق شده باشد. زمان ایجاد امضا كه بوسیله مهرهای زمان نگار ثبت شده*اند ارزش بسیار مهمی*در بایگانی داده*ها ایفا می*كنند. زیرا بوسیله این زمان بسیاری از مسایل حقوقی اثبات می*شود. مثل اهلیت اشخاص در زمان امضای سند و یا اعتبار كلید خصوصی در همان زمان و... تمام اشخاصی كه به این آرشیو مراجعه می*كنند با مراجعه به مهرهای زمان كه بر اسناد الصاق شده است از*این مورد اطمینان حاصل می*كنند.
در كنار اسناد الكترونیكی، امضاهای الكترونیكی نیز نگهداری می*شوند، زیرا برای تطبیق اسنادی مطابق با اسناد ذخیره شده در آرشیو داده*های دیجیتالی امضا قطعاً لازم است. اما این تنها شرط ممكن نیست، زیرا به هر حال داده*های الكترونیكی تحت تاثیر گذر ایام و تغییرات فرمت*های برنامه*ها و بسیاری عوامل دیگر قابلیت خود را از دست داده و از بین می*روند. بدین منظور این داده*ها همواره باید به روزرسانی شوند. به روزرسانی این داده*ها باید همراه با راه*حل*هایی باشد كه مشكلات حقوقی در پی*نداشته باشد. مثلاً اگر امضا*كننده برای بازسازی امضا و سند سابق خویش سال*ها بعد با یك كلید خصوصی كه به روز رسانی شده امضا و سند را به روز رسانی كند این یك مثال غیر قابل قبول در دنیای حقوق است، زیرا این یك سند جدید است كه با تغییر در داده*های سند سابق*ایجاد شده است.
حتی توافقات طرفین مبادله نیز نمی*تواند سند و امضای سابق را بدین شكل تغییر دهد. به هر حال این وظیفه علم حقوق نیست كه راه*حلی برای این مشكلات پیدا كند، اما قطعاً این راه حل*ها نباید به گونه*ای باشند كه معضلات حقوقی ایجاد كنند. زیرا اولین وظیفه هر علم توسعه آرامش و آسایش انسان*هاست. اما می*توان گفت كه سرویس دهندگان آرشیوهای الكترونیكی در نگهداری اسناد و امضاهای الكترونیكی وظایف و تعهدات خاصی دارند و از آنجا كه نگهداری این امور مهم بدان*ها واگذار شده است، باید مسئولیت هرگونه آسیب و صدمه ناشی از فعالیت و سیستم آرشیو را به اسناد، امضاها، اشخاص حقیقی و حقوقی كه به آنها اعتماد نموده*اند بپذیرند. در حقیقت این آرشیوها در حفظ و نگهداری داده*ها تعهد دارند و برای تضمین این امر نیاز به بیمه*های قوی دارند. در حال حاضر شاید بهترین راه برای حفظ امنیت داده*ها در بلند مدت تولید امضاهایی با قابلیت ماندگاری طولانی باشد.

ب: نگهداری اسناد الكترونیكی جایگزین
یكی از مزایای مبادله الكترونیكی اسناد تجاری*این است كه در عین مبادله سریع، داده*های الكترونیكی قابل چاپ و دریافت در عالم حقیقی تجارت هستند به همین منظور قانون یوتا مقرر می*دارد:*«اگر فرستنده یك سند الكترونیكی از ذخیره یا پرینت بوسیله دریافت*كننده جلوگیری كند، آن سند علیه دریافت*كننده سندیت نخواهد داشت». پیش*نویس لایحه اصلاح قانون تجارت در ماده ۴۱۳ اعلام می*دارد: «سند تجاری الكترونیكی به دو روش به وجود می*آید. سند تجاری الكترونیكی اصل و سند جایگزین آن كه منظور از سند جایگزین را در ماده ۴۱۴ قانون فوق همان سند پرینت شده می*داند. به هر حال آنچه مورد بحث است اسنادی است كه پس از دریافت از خروجی یك دستگاه الكترونیكی صادر شده*اند.»
نگهداری این گونه اسناد به معنای حفاظت عملی آنها برای یك مدت طولانی است. اما به راستی نگهداری این گونه اسناد كه بافت الكترونیكی دارند، چگونه است؟ این اسناد كاغذی شامل داده*های دیجیتالی هستند. پس باید با روشی امضا شده باشند كه مناسب با اسناد كاغذی باشد. زیرا داده*های دیجیتالی در بسیاری موارد بر روی كاغذ نامفهومند و تطبیق آنها دشوار و یا ناممكن است. هر چند كه برخی از امضاهای الكترونیكی*این خواسته را تامین می*كنند اما در مقابل، كاستی*های بسیاری در فضای سایبر دارند كه مبادله اسناد را به خطر می*اندازند. سسیتم قانونی فعلی فقط در مورد اسناد كاغذی و ثبت و بایگانی آنها تدوین شده است، در حالی كه*این یك نیاز روز افزون است كه نحوه ثبت و اعتبار بخشی از آنها در دنیای كاغذ به شكل قانونی بیان شود.
امروزه تكنولوژی در*ایجاد دستگاههایی برای حفظ داده*های دیجیتالی پس از پرینت گام مهمی*برداشته است. فناوری*هایmedia sec سیستم*هایی را توسعه داده*اند كه در مدارك الكترونیكی كه به شكل چاپ شده ظاهر می*شوند اصالت را به ثبوت می*رسانند. اما با تمام این موارد باز هم همان روش سنتی برابر با اصل كردن دفاتر اسناد رسمی درصورتی كه یك سردفتر بر*ایجاد این اسناد نظارت داشته باشد راه حل معتدلانه*ای به نظر می*رسد.

گفتار دوم: انتساب اسناد تجاری
آنچه از لحاظ حقوقی موضوعیت دارد آن است كه بتوان عمل یا سندی را به شخصی منتسب نمود. به همین دلیل امروزه امضای الكترونیك یكی از عوامل مهم و تعیین*كننده در اعتبار اسناد شناخته می*شود. اما واضح است كه هرگونه امضای الكترونیكی قدرت اعتبار بخشیدن را به اسناد ندارد و شرایط خاصی در مورد این فناوری وجود دارد كه فقط با جمع بودن كلیه شرایط امضای الكترونیكی به سند اعتبار خواهد بخشید.

بند۱: قابلیت امضای الكترونیك
برای جلوگیری از بروز مشكلات و حملات اینترنتی و ایمن سازی فضای مجازی وب، مراكزی در جهان بوجود آمده*اند كه خدمات گواهینامه*های امضا و اسناد الكترونیكی را انجام می*دهند. قانون تجارت الكترونیك ایران در این مورد اصول وحدت كلید امضا*كننده و انحصار كلید خصوصی و قابلیت تشخیص وضوح تغییرات در داده*ها را پذیرفته است. اما حقیقت این است كه بین كلید امضا و مالك آن ارتباط بسیار ضعیفی وجود دارد، زیرا به راه*های مختلف این احتمال وجود دارد كه امضا*كننده، مالك كلید نباشد. بنابر*این بسیار مهم است كه امضای استفاده شده در سند به وسیله یك نرم*افزار ایمن بوجود آمده و اثبات این امضا بر مبنای یك گواهی معتبر از مرجع صدور گواهینامه صورت گرفته باشد.

الف: اعتبار كلید خصوصی
به منظور ایمنی امضا، تنها اطمینان از این امر كه مالك كلید خصوصی شخص خاصی است كافی نیست، بلكه باید از*این امر اطمینان حاصل شود كه تنها كسی كه كلید را مورد استفاده قرار می*دهد، شخص مزبور است. این همان قاعده*ای است كه در تمام قوانین امضاهای جهان پذیرفته شده است و قانون تجارت الكترونیك ایران نیز از آن با عنوان انحصاری بودن یاد می*كند. عوامل مختلفی اعتبار كلید خصوصی را به خطر می*اندازد. مثلاً مالك كلید ممكن است با بی*دقتی رمز كلید را برای شخص باهوشی آشكار كند و یا دستگاهی كه كلید بر روی آن ذخیره شده مورد سرقت واقع شود و یا از كلید خصوصی كپی برداری شود. در موارد بسیار استثنائی این امكان وجود دارد كه سازنده نرم*افزار كلید خصوصی مشابه آن را تولید كرده و در اختیار دیگران قرار دهد یا خود از آن استفاده كند. در این بین نرم*افزارهای تولید امضا مهمترین بخش تولید امضا را به خود اختصاص داده*اند. این نرم*افزارها هم برای تولید امضا و هم برای اثبات امضا توسط اشخاص مورد استفاده قرار می*گیرند. منظور از اعتبار*این نرم*افزارها این است كه به طوری طراحی شده باشند كه ضریب دقت و ایمنی امضا را در طول ایجاد و استفاده از داده*های الكترونیكی از لحاظ فنی تضمین نمایند.

ب: اعتبار و قابلیت گواهینامه
قانون نمونه آنسیترال گواهینامه را به یك پیام اطلاعاتی یا هر ركورد دیگری اطلاق می*كند كه ارتباط بین فرد صاحب امضا و اطلاعاتی كه بر اساس آن، امضا ایجاد می*شود را تایید می*كند. ارائه دهنده خدمات مربوط به گواهینامه به شخصی گفته می*شود كه گواهینامه*های مربوطه را صادر نموده و ممكن است دیگر خدمات مرتبط با امضای الكترونیكی را نیز ارائه نماید. متناظر با هر گواهی یك كلید خصوصی وجود دارد. پیام*هایی را كه با یك گواهی رمز شده*اند، تنها با كلید خصوصی مربوط به همان گواهی می*توان رمزگشایی كرد و بالعكس. گواهی قابل جعل نمی*باشد، یعنی دارنده گواهی، كلید خصوصی متناظر با آن را در اختیار دارد، علت*این امر امضای مراكز گواهی است كه تولید آن بدون دسترسی به كلید خصوصی مركز، غیر ممكن است. مالك گواهینامه، نباید كلید خصوصی آن را در اختیار دیگران قرار دهد، اما خود گواهی یك سند عمومی است كه می*توان آن را به همه نشان داد. مركز گواهی فقط پس از اطمینان از صحت هویت فرد و تحت قوانین معینی برای وی گواهی صادر می*كند. در صورتی كه دارنده گواهی قوانین استفاده از آن را نقض كند یا كلید خصوصی وی افشا شود، گواهی او توسط مركز گواهی باطل می*شود. یك گواهینامه باید عناصر ذیل را در خود جای دهد:
• نام مراجع صدور گواهینامه
• نام شخصی كه گواهی برای او صادر شده است
• نوع گواهینامه كه محدودیت*های گواهینامه را برای مالك آن نشان می*دهد
• دوره اعتبار گواهینامه
• شرایط گواهینامه مثلاً این كه گواهینامه حداكثر برای صدور چند سند تجاری قابل استفاده است

بند۲: مشكلات تبادل اسناد تجاری
مشكلات تجارت الكترونیك و به تبع آن تبادل اسناد در فضای سایبر بسیار زیاد است. در این بحث تلاش شده است تا بارزترین و مهم ترین این مشكلات مطرح شوند.
الف: سرقت اطلاعات
مهمترین مشكل در تبادل داده*های الكترونیكی سرقت اطلاعات یا دریافت غیر مجاز داده*ها می*باشد. واضح است كه این امر چه اختلال عظیمی در دنیای تجارت و روابط تجاری و خصوصی افراد در بر خواهد داشت. بسیاری از اشخاص از تبادل داده*ها در*این فضا وحشت دارند كه مبنای آن ترس از لو رفتن اطلاعات شخصی آنها و یا شماره كارت*های اعتباری آنها و... به دست هكرهای رایانه*ای و شیادان و استفاده غیر مجاز از آنها می*باشد. البته امروزه*این نگرانی با ظهور روش رمزنگاری كلیدهای عمومی و به كارگیری آن در امنیت جاواها كمتر شده و روش فوق نفوذ در تبادلات را تقریباً غیر ممكن می*كند.
ب: برنامه*های فریبنده
همیشه*ایجاد رمزهای خوب نمی*تواند به معنای ایجاد امنیت خوب باشد، بخصوص در یك سیستم تجاری وسیع نقاط حساس بسیار زیادی وجود دارند كه ممكن است به وسیله برنامه*های فوق مورد تعرض و بهره برداری واقع شوند، مثل جاواهای فریبنده. بدین طریق كه شخصی با استفاده از آن خود را سرویس دهنده قانونی معرفی كرده و از مشتریان سرویس دهنده حقیقی هزینه*های غیر قانونی دریافت كند. این امر كاملاً امكان*پذیر است مگر این كه تمهیدات پیشگیری*كننده*ای انجام شده باشد.
ج: پروتكل*های خاص 
مشكل دیگر در تبادل اسناد تجاری وجود پروتكل*هایی است كه هر كدام فرمت*هایی را برای مبادله پیام*ها تعریف می*كنند. چرا كه برنامه نویسان حرفه*ای همیشه سعی كرده*اند برنامه*هایی را برای هدایت تجارت الكترونیكی*ایجاد كنند. اغلب این برنامه*ها هزینه بسیار زیادی را در این نوع تجارت طلب می*كنند و از طرفی این پروتكل*ها در بعضی از سیستم*های تجاری عملاً پاسخگو نیستند.
مثلاً بسیاری از شركت*ها برای انتقال سند تجاری و كارت*های اعتباری پروتكل*های خاص خود را دارند و در برخی موارد این پروتكل*ها با سیستم شركت*های دیگر سازگاری ندارند. به هر حال*ایجاد یك پروتكل كه همه شركت*ها را پوشش دهد هم بسیار حجیم است و هم مدیریت آن بسیار سخت و غیر قابل تصور می*باشد.

گفتار سوم: نقش اشخاص ثالث در مبادلات اسناد تجاری الكترونیكی
هرگاه صاحب امضا آن را به سندی ضمیمه كند، بدین*معناست كه قصد امضای آن سند را داشته و محتویات سند را پذیرفته است. در*این حالت امضاكننده، امضای خود را با انتخاب از یك دكمه یا منوی دستگاهی كه كلید امضا در آن ذخیره شده، اعمال می*كند اما یك امضای الكترونیكی به تنهایی برای اثبات سه دلیل فوق كفایت نمی*كند. زیرا در دنیای مجازی كه اشخاص قادر به دیدن یكدیگر نیستند و موضوعات به طور ملموس نزد آنها موجود نیست، اعمال یك كلید به تنهایی نه هویت و نه قصد طرف مقابل را اثبات می*كند. از طرفی دریافت*كنندگان اسناد نیز نیاز به طرف مورد اعتمادی دارند تا دعاوی احتمالی ناشی از مبادله اسناد را تضمین كند.

بند۱: مراجع صدور گواهینامه و وابسته*های آن
برای اینكه به یك گواهی اعتماد كنیم،*این گواهی باید توسط شخصی كه مورد اعتماد ماست امضا شده باشد. مبنای ایجاد اعتماد سراسری وجود یك شخص ثالث مورد اعتماد همگان می*باشد. این شخص را مرجع صدور گواهیCA می*نامیم. گواهی مستند رسمی*برای تضمین تعلق شناسه به كلید است. گواهی می*تواند شامل اطلاعات مربوط به:
۱. كلید
۲. شناسه صاحب كلید
۳. نوع كاربرد كلید
۴. دوره اعتبار سند
۵. اطلاعاتی كه می*تواند برای بررسی صحت شناسه و كلید استفاده شود.
معمولاً امضای الكترونیكی به همراه یك گواهینامه تشخیص هویت كه از سوی مرجع گواهینامه صادر می*شود، پیش بینی شده است. در این میان مراجعی حضور دارند كه مرجع صدور گواهینامه را در تولید و كنترل یك امضا پشتیبانی می*كنند. به طور خلاصه می*توان آنها را به شرح ذیل نام برد:
الف: سرویس اصلی
برای از بین بردن جعل هویت و جعل كلید عمومی افراد به طرف سوم مطمئنی نیاز است تا وظیفه تشخیص و تایید هویت را به عهده داشته باشد. به این طرف سوم كه وظیفه اصلی را در هدایت و مدیریت كلیدها بر عهده دارد، مركز صدور گواهی یا Certificate Authority و اختصاراً CA گفته می*شود.
این مركز برای صدور گواهینامه و تایید هویت سرویس گیرنده و سرویس دهنده می*باشد و بدین صورت عمل می*كند كه پس از درخواست گواهینامه از طرف كاربر، CA به آن دو كلید خصوصی و عمومی می*دهد كه كلید خصوصی در اختیار كاربر قرار می*گیرد و باید در جای امنی ذخیره شود. CA با استفاده از كلید عمومی و مشخصات كاربر برای آن گواهینامه*ای صادر می*كند، كه این گواهینامه شامل مشخصات كاربر و تاریخ اعتبار آن و امضای صادركننده گواهینامه می*باشد.
ب: سرویس*های فرعی
سرویس*های فرعی سرویس*هایی غیر از مركز صدور گواهینامه هستند كه امور امضای دیجیتال و مسایل مربوط به تجارت الكترونیك و انتقال اسناد تجاری را پشتیبانی می*كنند. این خدمات جزء وظایف اصلی یك مركز صدور گواهی نیستند، اما این امكان وجود دارد كه مراكز صدور گواهی چنین خدماتی را نیز تقبل كنند. به هر حال این سرویس*ها موسسات یا شركت*های امین و قابل اعتمادی هستند كه باید بر اساس اصول امنیتی فعالیت كنند و همین امنیت می*تواند موجب تكامل خدمات این سرویس*ها گردد. در ذیل به انواع این مراجع كه در طی فعالیت یك امضای الكترونیك بدان*ها نیاز است و مسئولیت*های ناشی از خدمات آنها می*پردازیم:
• سرویس بایگانی: مرجعی است كه ثبت*ها را برای یك مرجع گواهی امضا نگهداری می*كند. این ثبت*ها ممكن است به منظور امور بازرگانی و به درخواست اشخاص و یا بر طبق قانون نگهداری شوند. این بایگانی*ها برای اثبات امور مربوط به امر امضای الكترونیك و گواهینامه مثلاً در موارد تعلیق یا ابطال گواهینامه و... قابلیت استناد دارند. طبعاً تنها نگهداری ایمن این اسناد می*تواند آنها را به عنوان ادله الكترونیكی مطرح سازد.
• سرویس تایید اطلاعات: مرجعی است كه به مرجع صدور گواهینامه در امر تایید اطلاعات مربوط به امضاها مساعدت می*كند. این مرجع وظیفه دارد صحت اطلاعات امضاها و گواهینامه*ها را بررسی و در صورت درستی آنها را تایید كند.
• سرویس*های فنی برای پیشگیری از جرائم: مرجعی است كه مطلوبیت و كفایت سیستم*های فنی را بررسی و حراست می*كند. پشتیبانی از مسائل فنی امضاهای دیجیتال و دستگاههای مهر زمان و امور فنی گواهینامه*ها در ارتباطات مهم تجاری و معاملات مهم و اسناد تجاری و... بر عهده این مرجع می*باشد.
فراهم كردن*ایمنی فنی از سوی*این مرجع اعتماد اشخاص را به انتقال داده*ها و یا اسناد تجاری خود از طریق فرم*های الكترونیكی زیاد می*كند.*این مرجع می*تواند تایید كند كه آیا در اسناد مبادله شده امضای الكترونیكی وجود داشته یا خیر؟ این كه آیا گواهینامه*های مورد استفاده اعتبار دارند یا خیر؟ این كه آیا امضاهایی كه مورد استفاده واقع شده*اند در زمان اعتبار گواهینامه مورد استفاده واقع شده*اند و مطابقت با كلید عمومی*امضا دارند یا خیر؟ این كه آیا گواهینامه اشخاص معلق یا باطل شده است یا خیر؟ در نهایت همین مرجع است كه به داده*های اطلاعاتی معاملات تجاری كه امضای دیجیتالی شده و مهر زمان به آنها الصاق شده است را به طور مناسبی در محفظه*های الكترونیكی قرار می*دهد.
• سرویس بیمه: مرجعی است كه مرجع صدور گواهینامه را در امر مسئولیت*های مالیش پشتیبانی می*كند.
• سرویس تولید كلیدها: مرجعی است كه كلیدهای خصوصی و عمومی امضای الكترونیك را كه اصطلاحاً به آنها كلیدهای جفتی گفته می*شود، تولید می*كند. این مرجع وظیفه بسیار حساسی در تولید كلیدها بر عهده دارد، چون از هر زوج كلید فقط باید یك نوع تولید شود. پس به كار گرفتن اشخاص كاملاً امین و مورد اعتماد نقش اساسی در*این امر دارد.
• سرویس تایید پیام*ها: مرجعی كه داده*ها را به تابع*های هش تبدیل می*كند، برای این كه داده*ها در طول مبادله تغییر نكنند. تایید الصاق مهر زمان به داده*ها از وظایف این مرجع می*باشد.
• سرویس*های مهر زمان: مرجعی كه مهر زمان را به امضاهای الكترونیكی و داده*های مبادلاتی و ثبت*های الكترونیكی و ... ضمیمه می*كند. این سرویس*ها ازبعد اینكه نظارت بر تاریخ ارسال و دریافت دارند كه اهم مسایل حقوقی را در بر می*گیرد. مثلاً مسایل مربوط به اهلیت اشخاص و یا اعتبار كلید امضا، نقش بسیار مهمی در تبادل اسناد ایفا می*كنند. بنابر*این جداگانه به آنها می*پردازیم:

۱- سرویس*های دیجیتال زمان نگار
در بحث امضاهای سنتی، سر دفتر اسناد رسمی بسیاری از مشكلات حقوقی را با ثبت امضاها و اسناد و تاریخ*نگاری آنها حل می*كند. این در حالی است كه در فضای گسترده سایبر امضاهای دیجیتال و حتی مراجع صدور گواهینامه بدون پشتوانه*های خاص قادر به حل این مشكلات نیستند.
مشكل بزرگی كه در امضاهای الكترونیكی وجود دارد مسئله مدیریت كلید خصوصی می*باشد. زیرا اگر كسی غیر از مالك به كلید دسترسی پیدا كند قادر خواهد بود اسنادی را به عنوان مالك امضا كند. بعلاوه اگر شخص مالك نیز در مواردی بخواهد امضای خود را انكار كند می*تواند از مسئله فاش شدن هویت كلید استفاده كند، حتی اگر حقیقتاً این طور نباشد. در این جاست كه مسئول كنترل امضاهای الكترونیك باید بتواند*این امر را اثبات كند كه آیا امضاكننده حقیقی بوده است یا خیر؟ سرویس*های دیجیتال زمان*نگار، این مشكل را حل می*كنند.
می*توان گفت كه مهر زمان به طور ساده قسمتی از وظایف سر دفتر اسناد رسمی را انجام می*دهد و نقش بسیار عمده*ای در تامین امنیت اسناد الكترونیكی دارد تا جایی كه می*توان گفت اگر به یك سند الكترونیكی مهر ثبت زمان ضمیمه نشده باشد، آن سند اعتبار حقوقی نخواهد داشت.

۲- مهرهای ثبت زمان
مهمترین مزایای داده*های دیجیتال*این است كه با حجم كم و سرعت انتقال زیاد قادر به ابقا و نگهداری برای مدت طولانی نیز می*باشند. اما این امر را نیز نباید از نظر دور داشت كه آنها معایب خاص خود را نیز دارند. روش*های معمول اثبات قانونی قضایا كه در دنیای حقیقی رایج است اغلب در فضای الكترونیكی منجر به شكست می*شود. اثبات زمان*ها و اثبات سن اشخاص و همچنین اثبات هویت اشخاص مشكل بزرگی است كه در فضای تجارت الكترونیك همواره وجود دارد. با توجه به این قضایا می*توان گفت مهرهای ثبت زمان خدمت ویژه*ای به دنیای تجارت الكترونیك كرده*اند.

۳- سیستم مهرهای ثبت زمان
در یك سند تجاری الكترونیكی در مورد امضای خاص آن چند مساله مهم وجود دارد كه نیاز به اثبات دارد:
• سند بوسیله چه كسی امضا شده است؟(تشخیص هویت)
• سند در چه زمانی امضا شده است؟(تشخیص اهلیت شخص و تایید اعتبار امضا)
• سند در چه مكانی امضا شده است؟(تشخیص قانون حاكم)
به طوركلی پاسخ سوالات فوق در مرحله ایجاد امضا مجهول است، مگر این كه شخص ثالث امینی بر این مرحله نظارت دقیق داشته باشد. در این مورد سرویس*های زمان نگار این وظیفه را بر عهده دارند. مهرهای ثبت زمان به وسیله این سرویس*ها به اسناد ضمیمه می*شوند. بدینصورت كه شخص قبل از امضای داده*های الكترونیكی خود از سرویس دهنده زمان نگار درخواست تاییدیه*ای می*كند كه نوعی نشانه الكترونیكی است و قبل از امضای داده*ها باید به آنها ضمیمه شود. سپس شخص، داده*های الكترونیكی خویش را امضا كرده و در این بخش به داده*های هش شده بوسیله سرویس مزبور مهر ثبت زمان الصاق می*گردد. زمان امضای سند معدلی است بین الصاق نشانه الكترونیكی اولیه و الصاق مهر ثبت زمان كه غیر قابل تغییر است و این زمان بوسیله سرویس دهنده نیز ثبت می*گردد.
هر چند در هر مباحثه*ای از*این نوع، بحث از*این مطلب نیز به میان خواهد آمد كه آیا امنیت این سیستم به حدی است كه بتوان بر آن تكیه كرد؟ اما به هر حال این تعیین زمان از نظر حقوقی اهمیت بسزایی در اسناد الكترونیكی دارد و با فرض یك سیستم امنیتی قوی این نوع سرویس در قسمت خاص وظایف خود می*تواند همچون یك دفتر اسناد رسمی*عمل نماید. 

پایان قسمت اول

مجله علمی تخصصی كانون وكلای دادگستری منطقه فارس دوره سوم، شماره ۶ زمستان ۱۳۸

افزودن دیدگاه جدید

پرسش امنیتی

پرسش امنیتی جهت جلوگیری از تکمیل فرم توسط ربات:

5 + 15 =