توقيع رقمي
التوقيع الرقمي [1] أو البصمة الرقمية[2] هي نوع من أنواع علم التعمية، وهو يستخدم لمحاكاة خصائص الأمان بشكله الرقمي وليس بشكله العادي (المكتوب). إن التوقيع الرقمي كالتوقيع المكتوب أي يستخدم للمصادقة على صحة مضمون الملف الموقع عليه والذي يسمى عادة الرسالة. يمكن أن تكون هذه الرسالة على شكل بريد إلكتروني أو عقد معين أو حتى رسالة معقدة مرسلة ببروتوكول معين.
تعريف
إن للتوقيع الرقمي ثلاث خوارزميات :
- إنتاج أو توليد المفتاح الخاص واختياره من مجموعة من المفاتيح وتتضمن المفتاح الخاص أو السري للمستخدم.
- عميلة إنتاج التوقيع وإعطائه المفتاح الخاص.
- التحقق من صحة المفتاح ثم قبوله أو رفضه.
النتيجة العامة لهذه العملية تسمى التوقيع الرقمي.
إن التوقيع الرقمي يستخدم لخلق نوع من الأساس للمفتاح العام بحيث يكون هذا المفتاح للمستخدم مرتبط بوثيقة وهوية رقمية محددة تصدرها سلطة معينة، وبالتالي فإنه من خلال هذه العملية ترتبط بشكل وثيق معلومات خاصة عن المستخدم (الاسم، العنوان، رقم الهاتف ..) بمفتاح عام فيصبح هذا المفتاح العام نوع من أنواع التعريف أو الهوية الخاصة للمستخدم.
التواقيع الرقمية تستخدم عادة لتنفيذ التواقيع الإلكترونية بينما العكس ليس صحيحاً لأن ليس كل التواقيع الإلكترونية تستخدم التواقيع الرقمية.
للتوقيع الرقمي في بعض البلدان مثل الولايات المتحدة والاتحاد الأوروبي أهمية قانونية. إن القوانين المتعلقة بالتوقيع الإلكتروني ليست واضحة بينما يتعلق بتعمية أو تشفير التوقيع الرقمي وبالتالي تبقى قانونية هذه التواقيع غير محددة وغير واضحة.
تاريخياَ
في المقالة المشهورة «اتجاهات جديدة في علم التعمية» يقوم كل من ويتفلد ديفي ومارتن هيلمن بوصف أهمية التوقيع الرقمي بالرغم من أسفهما لم يؤكدا بشدة على وجود وكثرة استعمال هذا النوع من التواقيع. بعد ذلك قام كل من رونالد ريفست وآدي شامير بابتكار خوارزميات ال خوارزمية آر إس إيه ليستخدم للتوقيع الرقمي الأولي البرنامج الأول الذي تم توثيقه والإعلان عنه كان مع لوتس نوتس عام 1989 والذي استخدم خوارزميات ال خوارزمية آر إس إيه. ال RSA الإساسية تستخدم على الشكل التالي:
كما ذكرنا سابقاً، هذا البرنامج ليس آمناً تماماً، وبالتالي فإنه يتوجب لمنع الخرق أن يطبق أولاً دالة هاش تشفيرية للرسالة ثم تطبق ال RSA التي تم ذكرها أعلاه. هذا النموذج يكون آمناَ في ال oracle module. تم تطوير التواقيع الرقمية بعد نموذج ال RSA فظهرت نماذج مثل توقيع مثل توقيع اللامبورت، توقيع ميركل ورابن. عام 1984 قام كل من غولدواسير، ميكالي ورونالد رايفست بتقديم وتعريف متطلبات الأمان للتوقيع الرقمي، فقاموا لوضع هرمية لخرق النظام:
- يوجد مفتاح واحد للخرق يعطى لمخترق النظام المفتاح العام للتعريف فقط.
- يوجد رسالة واضحة لمخترق البرنامج، يعطى للمخترق تواقيع صحيحة لأنواع عديدة من الرسائل المعروفة من مخترق النظام ولكن لا يختارها.
- يوجد رسالة مختارة من مخترق النظام.
كما أنهم وضعوا إيضاً هرمية لنتائج خرق النظام:
- تزوير لكل أنواع الرسائل.
- تزوير لكل معنى في الرسائل يختارها خارق النظام.
كانت التواقيع الرقمية الأولية تستخدم نماذج مماثلة وكانت تتضمن استخدام تبديل ال trapdoor مثل نموذج ال RSA. إن عائلة تباديل ال Trapdoor تتضمن تركيبات معينة يسهل حسابها باتجاه متقدم ولكن يصعب جداً حسابها بالاتجاه المعاكس. يمكن النظر إلى تركيبات ال Trapdoor كمفتاح عام في أنظمة التشفير أو التعمية بحيث يكون العامل أو المؤشر هو المفتاح العام وال trapdoor هو المفتاح الخاص ويكون التشفير موازياً للإتجاه المتقدم وفك التشفير موازياً للإتجاه المعاكس. كما أنه يمكن النظر إلى تباديل ال trapdoor على أنها مماثلة لنماذج التواقيع الرقمية بحيث يكون حساب الإتجاه المعاكس بالمفتاح السري على أنه توقيع وحساب الإتجاه المتقدم للتأثر من صحة التوقيع. لهذا السبب يمكن وصف التواقيع الرقمية على أنها مبنية على المفتاح العام لأنظمة التشفير، بحيث يكون التوقيع مساوٍ لفك التشفير والتأكد من صحته مساوٍ للتشفير. ولكن هذه ليست الطريقة الوحيدة لحساب التواقيع الرقمية.
كيفية تزوير التواقيع الرقمية
يمكن للمزور أن يختار توقيعاً عشوائياً ويستخدم إجراءات التأكد من صحته ليجد الرسالة التي تعود لهذا التوقيع. عند التطبيق لا يستخدم هذا النوع من الإمضاء مباشرة ولكن يتم تجزيء هذه الرسالة إولاً ثم التوقيع عليها، وبالتالي فإن هذا التجزئ ينتج مفتاح التجزئة (hash function) وبذلك فإنه لا يؤدي إلى فرق.
هناك أسباب معينة لتوقيع قسم من هذه الرسالة (hash) وليس الرسالة كلها:
- فعاليته: يكون التوقيع أصغر باعتباره يكون لقسم محدد فقط وليس لكل الرسالة.
- تطابقه مع برامج أخرى مثل ال RSA.
- مصداقيته: بحال عدم استعمال مفتاح التجزئة فإنه يجب تقسيم النص الذي يتم التوقيع عليه إلى أجزاء صغيرة جداً وبالتالي فإنه يتعذر على متلقي الرسالة أن يفهم أويتلقى هذه الإجزاء.
فوائد التوقيع الرقمي
- 1. المصداقية:
بالرغم من أن الرسائل تتضمن معلومات عن كيان أو محتوى الرسالة فإن في معظم الوقت لا تكون هذه المعلومات دقيقة، وبالتالي فإنه بالتوقيع الرقمي يمكن المصادقة على مصدر هذه الرسالة.
«بمعنى أن التوقيع الرقمي يثبت صحة المرسل وليس صحة البيانات الموجودة بالرسالة»
أهمية هذه المصادقة تظهر جلياً في المستندات المالية، على سبيل المثال إذا قام فرع لبنك ببعث رسالة إلى الفرع الرئيسي يطلب فيها تغيير حساب معين، قإذا لم يتأكد الفرع الرئيسي أن مصدر مرسل الرسالة مصرح له بإصدار هذه المعلومات فتغيير هذا الحساب يعتبر خطأً فادحاً.
- 2. عامل الثقة والنزاهة:
يمكن لباعث أو متلقي الرسالة أن يكون بحاجة للتأكد أو الثقة بأنه لم يتم المساس بالمعلومات خلال عملية الإرسال. وبما أن عملية التشفير تخفي مضمون الرسالة فإنه لا يمكن التغيير فيها، إذا كانت الرسالة موقعة رقمياً فإن إي تغيير فيها سيشكك يمصداقية التوقيع.
- 3. ارتباط التوقيع الرقمي بختم التاريه والتوقيت الصحيح:
إن بروتوكولات التوقيع الرقمي لا تعطي تأكيداً واضحاً عن التاريخ والوقت الذي تم فيهما توقيع الملف. إن الموقع قد أو قد لا يضع ختم التاريخ على الملف أو يمكن أن يكون الملف نفسه متضمناً التاريخ، ولكن قارئ هذا الملف يمكن أن يشك بمصداقية وصحة هذا التاريخ.
الوضع الحالي (القانوني والتطبيقي)
إن للتوقيع الرقمي متطلبات معينة مسبقة له والتي بدونها يصبح هذا التوقيع بدون أي قيمة قانونية.
- قيمة الخوارزميات: بعض مفاتيح الخوارزميات غير آمنة وقد تم إثبات خرق البعض منها.
- قيمة التنفيذ: تنفيذ وتطبيق خوارزميات مع أخطاء لن يؤدي إلى أي نتيجة.
- المفتاح الخاص يجب أن يبقى سري وبالتالي فإنه إذا عرضه أحد الفرق فإن هذا الفريق يستطيع أن
يصدر ويقلد أي توقيع.
- إن على المستخدمين وعلى برامجهم أن تكون متبعة للبروتوكول بحرفيته. يهذه الأحوال يمكن من خلاله إثبات من إرسل الرسالة والتأكد من صحة مضمونها.
مصادر ومراجع
- "ترجمة و معنى كلمة digital signature في قاموس المعاني. قاموس عربي انجليزي مصطلحات صفحة 1"، مؤرشف من الأصل في 6 يناير 2017، اطلع عليه بتاريخ 5 يناير 2017.
- "LDLP - Librairie Du Liban Publishers"، مؤرشف من الأصل في 6 أبريل 2020، اطلع عليه بتاريخ 5 يناير 2017.
- بوابة أمن المعلومات
- بوابة القانون
- بوابة تعمية