قوانین و مقررات مرتبط با امضای دیجیتال و زیرساخت کلید عمومی

"سیاست های گواهی الکترونیکی زیرساخت کلید عمومی‌ کشور دربردارنده مجموعه ای از ضوابط و الزامات عملیاتی و امنیتی حاکم بر زیرساخت کلید عمومی ‌کشور می‌ باشد. زیرساخت کلید عمومی یا PKI به مجموعه ای از خدمات، محصولات، سیاست ها، فرایندها و سیستم های نرم افزاری و سخت افزاری گفته می ‌شود که جهت مدیریت و به کارگیری گواهی‌ های الکترونیکی X.509 و به منظور ارائه سرویس های امنیتی مختلف مبتنی بر رمزنگاری کلید عمومی مورد استفاده قرار می‌ گیرد.
تعاملات الکترونیکی امن در ایران تحت نظارت قانون تجارت الکترونیکی مصوب 1382/10/24 مجلس شورای اسلامی و آیین نامه اجرایی ماده 32 آن، مصوب 1386/06/11 هیئت دولت صورت می ‌پذیرد. بر اساس آیین نامه اجرایی ماده 32 قانون تجارت الکترونیک، به منظور رسمیت بخشیدن به امضای الکترونیکی در کشور، مدل سلسله مراتبی متشکل از شورای سیاست گذاری گواهی الکترونیکی کشور، مرکز دولتی صدور گواهی الکترونیکی ریشه به عنوان نقطه اعتماد و مراکز صدور گواهی الکترونیکی میانی زیرین، به عنوان معماری زیرساخت کلید عمومی‌ کشور به تصویب رسیده است. مراکز صدور گواهی الکترونیکی میانی می توانند مجموعه ای از سازمان‌ ها یا شرکت های دولتی یا خصوصی باشند که پس از طی مراحل لازم و تایید مرکز دولتی صدور گواهی الکترونیکی ریشه و همچنین کسب مجوز از شورای سیاست گذاری گواهی الکترونیکی کشور، شروع به ارائه خدمات گواهی الکترونیکی در ساختار سلسله مراتبی زیرساخت کلید عمومی‌کشور می نمایند.
در یک ساختار سلسله مراتبی PKI، مرکز دولتی صدور گواهی الکترونیکی ریشه، ملزم به تعیین سیاست های گواهی الکترونیکی منطبق با نیازمندی‌های عملیاتی و امنیتی کشور در حوزه‌های مختلف می‌ باشد. سند سیاست های گواهی الکترونیکی زیرساخت کلید عمومی‌کشور، سند یکپارچه ای است که مراکز صدور گواهی الکترونیکی مورد تایید، در چارچوب آن تاسیس شده و آغاز به کار می ‌کنند. تمام شرایط مذکور در این سند برای انواع مراکز صدور گواهی الکترونیکی موضوع این سند صدق می نماید، مگر اینکه خلاف آن صریحا بیان شود.
برنامه ‌هایی که قابلیت ارائه خدمات امنیتی مبتنی بر زیرساخت کلید عمومی را دارا می‌ باشند، سرویس‌ هایی مانند احراز هویت، محرمانگی، تمامیت و انکارناپذیری را با استفاده از رمزنگاری کلید عمومی فراهم می ‌کنند. قابلیت اطمینان رمزنگاری کلید عمومی نتیجه مستقیم عملکرد مطمئن زیرساخت کلید عمومی است که با طراحی و پیاده ‌سازی مطمئن مراکز صدور گواهی الکترونیکی شامل تجهیزات، تاسیسات، کارکنان و فرایندها، حاصل می‌ شود. عملکرد مطمئن یک مرکز صدور گواهی الکترونیکی نیز تنها در صورت وجود و اعمال سیاست‌ های گواهی الکترونیکی نقطه اعتماد در ساختار سلسله مراتبی - که همان مرکز دولتی صدور گواهی الکترونیکی ریشه - می‌ باشد، محقق خواهد شد. بنابراین طراحی یک زیرساخت کلید عمومی‌ با امنیت مناسب بسیار حیاتی است تا طرف ‌های اعتماد کننده بتوانند به گواهی ‌های الکترونیکی اعتماد نمایند. این اعتماد به معنی اعتماد به پیوند میان مالک گواهی الکترونیکی و کلید عمومی او می‌ باشد."[1]
سیاست ‌های گواهی الکترونیکی زیرساخت کلید عمومی‌ کشور بر اساس استاندارد X.509 و منطبق با RFC3647 تهیه و تنظیم شده است. زیرساخت کلید عمومی‌کشور به منظور تامین سرویس های امنیتی تمامیت، احراز هویت، انکارناپذیری و محرمانگی طراحی شده است. مراکز میانی در صورت استفاده از سطوح اطمینان مختلف، می‌ بایست تعریف این سطوح اطمینان و کاربرد پذیری و شناسه هر سطح اطمینان را در دستورالعمل اجرایی گواهی الکترونیکی خود قید کنند. مستند سیاست های گواهی الکترونیکی کشور، چهار سیاست گواهی الکترونیکی را برای صدور گواهی‌های الکترونیکی که در زیرساخت کلید عمومی‌کشور مورد استفاده قرار خواهند گرفت را تعریف می ‌نماید. این سیاست‌ ها در سطوح اطمینان برنز، نقره، طلا و  پلاتین تعریف شده‌ اند.

• سطح 1 یا برنز: این سطح پایین ترین درجه اعتماد به هویت دیجیتال مالک گواهی الکترونیکی را فراهم می نماید. یکی از کاربردهای اولیه سطح یک، فراهم کردن سرویس امنیتی تمامیت یا اطمینان از دست‌ نخوردگی برای اطلاعاتی که امضای دیجیتال شده است، می ‌باشد. استفاده از سطح اول برای تراکنش هایی که نیاز به احراز هویت دارند مناسب نمی‌ باشد ولی چنانچه در یک ارگان یا سازمان فرآیند هویت‌ شناسی درخواست‌ کنندگان گواهی الکترونیکی، به صورت مستقل از مراکز صدور گواهی الکترونیکی یا دفاتر ثبت نام ذی ربط صورت پذیرد، استفاده از این گواهی الکترونیکی جهت کاربرد احراز هویت صرفا در داخل محدوده همان ارگان یا سازمان، بلامانع می‌ باشد. استفاده از این سطح برای تراکنش‌ هایی که نیاز به محرمانگی دارند (پست الکترونیک امن) توصیه نمی‌ شود، ولی چنانچه امکان استفاده از گواهی ‌های الکترونیکی سطوح بالاتر وجود نداشته باشد، استفاده از این سطح بلامانع است. این سطح از گواهی الکترونیکی می‌ بایست در محیط هایی که ریسک و خسارات ناشی از سو استفاده، جعل و افشای اطلاعات پایین است، مورد استفاده قرار گیرد.
• سطح 2 یا نقره: این سطح برای محیط‌ هایی که در آن ریسک و خسارات ناشی از سو استفاده، جعل و افشای اطلاعات چندان زیاد نمی ‌باشد(حد متوسط) مورد استفاده قرار گیرد. از گواهی ‌های الکترونیکی این سطح با در نظر گرفتن بند اول، می توان برای تراکنش هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند استفاده نمود.
• سطح 3 یا طلا: این سطح برای محیط هایی که در آن ریسک و خسارات ناشی از سو استفاده، جعل و افشای اطلاعات زیاد است، مورد استفاده قرار می‌گیرد. از این سطح می‌ توان برای تراکنش هایی که حاوی ارزش مالی قابل توجهی هستند و در آن‌ها امکان جعل و سو استفاده نسبتا بالاست، استفاده نمود. گواهی‌ های الکترونیکی این سطح با در نظر گرفتن بند اول و دوم، می توانند برای تراکنش هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند مورد استفاده قرار گیرند.
• سطح 4 یا پلاتین: این سطح برای محیط هایی که تهدیدات روی منابع اطلاعاتی یا خسارات ناشی از ناکارایی و شکست سرویس های امنیتی خیلی زیاد است، مورد استفاده قرار می‌ گیرد. از این سطح می توان برای تراکنش هایی که حاوی ارزش مالی بسیار بالا هستند و در آن‌ ها امکان جعل و سو استفاده بسیار بالاست، استفاده نمود. گواهی‌های الکترونیکی این سطح با در نظر گرفتن بند اول و دوم، می توانند برای تراکنش هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند مورد استفاده قرار گیرند.

"عملیات احراز هویت است که اهمیت ویژه ای در زیرساخت کلید عمومی و نرم افزارهای مجهز به این زیرساخت (نرم افزارهای PKE) دارد. احرازهویت یا اصالت سنجی هویت، سازوکاری است که بر اساس آن هر هستار بررسی می ‌کند که آیا هستار طرف مقابل همان است که ادعا می‌ کند یا خیر. کاربرد واژگان «احرازهویت» در مورد اشیایی مثل فایل ها، کارسازها و اسناد و مدارک، اشاره به روشی است که بر اساس آن اصالت و صحت آن شی اثبات می ‌شود. احرازهویت در مورد اشخاص، روشی برای تشخیص هویت واقعی آنان و اثبات درستی یا نادرستی ادعای آن‌ ها در خصوص معرفی خودشان است. انتخاب پروتکل احراز هویت مطمئن و پیاده‌ سازی درست و اصولی آن، نقش بسیار مهمی در امنیت و اعمال کنترل دسترسی در آن ایفا می‌ کند."[2]

در ادامه بخش هایی از مستندات قانونی و قضایی تصویب شده در  ارتباط با زیرساخت کلید عمومی‌کشور (PKI) ارائه شده است.

بخش هایی از قانون تجارت الکترونیک

"ماده 7- هر گاه قانون وجود امضا را لازم بداند امضای الکترونیکی مکفی است.
ماده 8- هر گاه قانون لازم بداند که اطلاعات به صورت اصل ارائه یا نگهداری شود این امر یا نگهداری و ارائه اطلاعات به صورت داده پیام نیز در صورت وجود شرایط زیر امکان پذیر می‌باشد:
الف – اطلاعات مورد نظر قابل دسترسی بوده و امکان استفاده در صورت رجوع بعدی فراهم باشد.
ب – داده پیام به همان قالبی (فرمتی) که تولید، ارسال و یا دریافت شده و یا به قالبی که دقیقا نمایشگر اطلاعاتی باشد که تولید، ارسال و یا دریافت شده، نگهداری شود.
ج – اطلاعاتی که مشخص کننده مبدا، مقصد، زمان ارسال و زمان دریافت داده پیام می‌باشند نیز در صورت وجود نگهداری شوند.
د- شرایط دیگری که هر نهاد، سازمان، دستگاه دولتی و یا وزارتخانه در خصوص نگهداری داده پیام مرتبط با حوزه مسئولیت خود مقرر نموده فراهم شده باشد.
ماده 9- هر گاه شرایطی به وجود آید که از مقطعی معین ارسال "داده پیام" خاتمه یافته و استفاده از اسناد کاغذی جایگزین آن شود سند کاغذی که تحت این شرایط صادر می‌شود باید به طور صریح ختم تبادل "داده پیام" را اعلام کند. جایگزینی اسناد کاغذی به جای "داده پیام" اثری بر حقوق و تعهدات قبلی طرفین نخواهد داشت.
ماده 10- امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد: الف- نسبت به امضاکننده منحصر به فرد باشد. ب- هویت امضاکننده "داده پیام" را معلوم نماید. ج- به وسیله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.
د- به نحوی به یک "داده پیام" متصل شود که هر تغییری در آن "داده پیام" قابل تشخیص و کشف باشد.
ماده 11- سابقه الکترونیکی مطمئن عبارت از "داده پیام" ی است که با رعایت شرایط یک سیستم اطلاعاتی مطمئن ذخیره شده و به هنگام لزوم در دسترس و قابل درک است."[3]

بخش هایی از ظوابط فنی و اجرایی توسعه دولت الکترونیکی

"ماده 41- کلیه دستگاه ‌های اجرایی موظفند از طریق درگاه خود یک کانال ارتباطی امن و قانونی برای انجام رویه ‌های اداری برقرار کنند تا کاربران بتوانند با استفاده از کلیه ابزارهای دسترسی و ارتباطی نظیر تلفن، رایانه یا تلفن همراه خود با دولت ارتباط برقرار کنند. به دست‌آوردن اطلاعات و یا ارائه اسناد و مدارک کاغذی، دریافت یا پر کردن کاربرگ های اداری آن نباید منوط به مراجعه حضوری شهروندان و صاحبان مشاغل به ادارات باشد."[4]

بدین ترتیب بررسی و تطبیق طرح های توسعه فناوری اطلاعات و خدمات الکترونیک دستگاه‌ها با ملاحظات امنیتی ابلاغی توسط مراجع ذیصلاح قانونی و ارائه کمک های فنی در جهت امن سازی سامانه‌ها صورت می‌گیرد.

بخش هایی از آیین نامه توسعه خدمات الکترونیکی دستگاه‌های اجرایی 

"ماده ۹ـ وزارت امور اقتصادی و دارایی و بانک مرکزی جمهوری اسلامی ایران موظفند با همکاری معاونت و سازمان ترتیبی اتخاذ نمایند که انجـام عملیات پرداخت الکترونیکی به حساب های دولتی براساس تعرفه‌های قانونی، به صورت کسر وجه از حساب بانکی درخواست کننده خدمت و واریز به حساب درآمدی دستگاه‌های اجرایی از کانال های مختلف از جمله جایگاه اینترنتی دستگاه اجرایی، شبکه شتاب و پایانه‌های فروش، به صورت برخط و از طریق سوییچ خزانه، حداکثر تا پایان سال ۱۳۹۳ برای کلیه خدمات دولتی عملیاتی شود.

تبصره ۱ـ  دستگاه ‌های اجرایی مکلفند در صورتی که مستندات قانونی، مدارک، گواهینامه‌ها و پروانه‌های صادره قبلی، فاقد شماره ملی و کدپستی باشند، نسبت به درج شماره ملی و کدپستی در آن‌ها اقدام و پایگاه اطلاعاتی خود را به روز نمایند."[5]

کلیه موارد فوق در تمامی محصولات شرکت فناوران هویت الکترونیکی امن (هویتا) در نظر گرفته شده است و امضای دیجیتال به درستی و مطابق با استاندارد، صحت ‌سنجی و تصدیق می ‌شود. بنابراین، یکی از مزایای اصلی استفاده از سامانه‌های مبتنی بر زیرساخت کلید عمومی (PKI) مانند محصولات شرکت هویتا، برخورداری از پشتوانه حقوقی و قانونی است و در صورتی که کاربر گواهی الکترونیکی خود را از یک مرکز صدور گواهی الکترونیکی معتبر دریافت نماید، امضای دیجیتال تراکنش ‌ها در نرم ‌افزارهای کاربردی و فرایند احراز هویت دیجیتال در آن‌ها از اعتبار قانونی برخوردار خواهد بود.

1: سیاست های گواهی الکترونیکی کشور

2: الزامات پروتکل احراز هویت در زیرساخت کلید عمومی ایران

3: قانون تجارت الکترونیکی

4: ظوابط فنی و اجرایی توسعه دولت الکترونیکی

5: آیین نامه توسعه خدمات الکترونیکی دستگاه‌های اجرایی