• • • دومین ایراد اصلی این روش، اتکای آن به کلید مشترک است که در عین حال باید میان طرفین محرمانه بماند. اصولا جمع بین مشترک بودن و محرمانه ماندن بسیار دشوار است و همواره در معرض خطرات امنیتی قرار دارد. شاید وجود چنین اشکالاتی بود که باعث شد روش دیگری برای رمزنگاری ایمن ابداع گردد که در قسمت بعدی به آن می پردازیم.

  ( اینجا فقط تکه ای از متن فایل پایان نامه درج شده است. برای خرید متن کامل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )

ب - الگوریتم کلید نامتقارن
در ابتدا رمزنگاری کلید نامتقارن^[۱۳۱]، با هدف حل مشکل انتقال کلید در روش متقارن ابداع گردید و در قالب پروتکل تبادل کلید دیفی-هلمن پیشنهاد شد. در این نوع از رمزنگاری، به جای یک کلید مشترک، از یک زوج کلید به نام‌های کلید عمومی ^[۱۳۲]و کلید خصوصی^[۱۳۳]  استفاده می‌شود. کلید خصوصی تنها در اختیار دارنده آن قرار دارد و امنیت رمزنگاری به محرمانه بودن کلید خصوصی بستگی دارد. کلید عمومی در اختیار کلیه کسانی که با دارنده آن در ارتباط هستند قرار داده می‌شود. این دو کلید به لحاظ فنی مکمل و در عین حال متناظر با یکدیگر هستند؛ به این معنا که اگر پیامی با کلید عمومی رمزنگاری شود، رمزگشایی آن تنها با کلید خصوصی مرتبط با آن امکان پذیر است و برعکس، در صورت رمزنگاری پیام با کلید خصوصی، رمزگشایی صرفا با کلید عمومی آن ممکن است. بنابراین این دو کلید در عین حال که با هم متفاوت هستند، تکمیل کننده ی یکدیگر نیز هستند. عموما از کلید عمومی برای رمزگذاری اطلاعات استفاده می‌شود. طرفی که قصد انتقال اطلاعات را به صورت رمزگذاری شده دارد اطلاعات را رمزگذاری کرده و برای طرفی که مالک این جفت کلید است ارسال می کند. مالک کلید، کلید خصوصی را پیش خود به صورت محرمانه حفظ می‌‌کند. در این دسته، کلید های رمزنگاری و رمزگشایی متمایزند و یا اینکه چنان رابطه پیچیده ای بین آنها حکم فرماست که کشف کلید رمزگشایی با در اختیار داشتن کلید رمزنگاری، عملا ناممکن است، به عبارت بهتر می توان گفت دو کلید عمومی و خصوصی با یکدیگر متفاوت هستند و با بهره گرفتن از روابط خاص ریاضی محاسبه می‌گردند. رابطه ریاضی بین این دو کلید به گونه‌ای است که کشف کلید خصوصی با در اختیار داشتن کلید عمومی، عملاً ناممکن است.
مطابق منابع رمزنگاری سیستمهای کلید نامتقارن از کلیدهای مختلفی برای رمزنگاری و رمزگشایی استفاده می‌کنند. سیستمها اجازه می‌دهند که یک جزء (کلید عمومی یا public key) منتشر شود در حالیکه جزء دیگری (کلید اختصاصی یا private key) توسط صاحبش حفظ شود. فرستنده پیام، متن را با کلید عمومی گیرنده کد می‌کند و گیرنده آن را با کلید اختصاصی خودش رمزگشایی میکند. بعبارتی تنها با کلید اختصاصی گیرنده می‌توان متن کد شده را به متن اولیه صحیح تبدیل کرد. یعنی حتی فرستنده نیز اگرچه از محتوای اصلی پیام مطلع است اما نمی‌تواند از متن کدشده به متن اصلی دست یابد، بنابراین پیام کدشده برای هرگیرنده‌ای بجز گیرنده مورد نظر فرستنده بی‌معنی خواهد بود. معمولترین سیستم نامتقارن بعنوان ^[۱۳۴]RSA‌ شناخته می‌شود. هرچند که چندین طرح دیگر نیز وجود دارد.^[۱۳۵]
این نوع رمزنگاری را با یک مثال توضیح می دهیم. فرض کنید دو نفر به نام های محمد و مسعود قصد برقراری یک ارتباط رایانه ای امن را دارند. در سامانه رمز نگاری کلید عمومی، برای این که محمد پیامی را به مسعود ارسال کند، می تواند پیام را با کلید عمومی مسعود(گیرنده) رمزنگاری کرده، آن را ارسال نماید. مسعود نیز می تواند پیام را با بهره گرفتن از کلید خصوصی سری خود، رمزگشایی کند. هیچکس در سراسر جهان قادر به خواندن این پیام نیست، مگر اینکه کلید خصوصی مسعود را در اختیار داشته باشد. به همین ترتیب نیز مسعود نیز می تواند پیامی را به محمد ارسال کند که با کلید عمومی محمد رمزنگاری شده است که تنها محمد یا هر شخصی که کلید خصوصی او را در اختیار دارد می تواند پیام را رمزگشایی کرده و بخواند.^[۱۳۶]
۲-۳-۲ نحوه کار امضای دیجیتال
همانطور که بیان گردید، برای اینکه هویت فرستنده سند تایید شود و نیز برای اطمینان از اینکه سند در طول مدت انتقال و رسیدن به گیرنده دستکاری نشده است از امضای دیجیتالی استفاده می‌‌شود.
به طور کلی سه دلیل برای استفاده از امضای دیجیتالی وجود دارد که شامل:

• استفاده از کلید عمومی این اجازه را به هر شخصی می‌‌دهد که کلید خود را به سمت فرستنده اطلاعات بفرستد و سپس گیرنده پس از دریافت اطلاعات آنرا توسط کلید خصوصی خود بازگشایی می‌‌کند، بنابراین امضای دیجیتالی این امکان را می‌‌دهد که فرستنده یا گیرنده مطمئن شوند که اطلاعات از محل یا شخص مورد نظر ارسال یا دریافت می‌‌شود.

• در حالت معمولی اطلاعات در طول مدت انتقال ممکن است توسط دیگران دستکاری شود، لذا برای اینکه از صحت و عدم دستکاری شدن اطلاعات رسیده مطمئن شویم نیاز به یک امضای دیجیتالی داریم.

• از بین بردن
  امکان انکار و تردید. گیرنده اطلاعات برای اینکه مطمئن شود فرستنده بعدا در خصوص اطلاعاتی که فرستاده است اعلام بی خبری نکند و باصطلاح آنها را رد نکند از فرستنده آن اطلاعات، یک امضا درخواست می‌‌کند تا شاهدی بر این ادعا باشد.

برای پیاده سازی یک امضای دیجیتالی نیاز به سه الگوریتم^[۱۳۷] داریم:
الف- یک الگوریتم برای ایجاد کلید:
الگوریتم تولید کلید را که کلید خصوصی را بطور یکسان و تصادفی از مجموعه کلیدهای ممکن انتخاب می‌کند. خروجی‌های این الگوریتم کلید خصوصی و کلید عمومی مطابق با آن است
ب- الگوریتم دیگری برای ایجاد امضاء :
الگوریتم امضا که توسط آن با بهره گرفتن از کلید خصوصی و پیام، امضا شکل می‌گیرد.
- الگوریتم دیگری برای تایید امضاء :
الگوریتمی که با بهره گرفتن از پیام دریافتی و کلید عمومی صحت امضا را بررسی می‌کند و با مطابقتی که انجام می‌دهد یا امضا را می پذیرد یا آن را رد می‌کند.
حال با یک مثال سعی در تشریح نحوه رمز نگاری در امضای دیجیتال می پردازیم. در صورتی که محمد پیام را ابتدا با کلید خصوصی خود رمزنگاری و سپس با کلید عمومی مسعود(گیرنده)، آن را مجددا رمزنگاری کند و پیام را ارسال نماید، در این صورت با توجه به قاعده ی گفته شده، مسعود برای خواندن پیام ابتدا باید پیام رمزی را با کلید خصوصی خود و سپس با کلید عمومی محمد رمزگشایی کند در نتیجه با توجه به اینکه رمزگشایی پیام با کلید عمومی محمد(فرستنده)، ملازمه با این مساله دارد که پیام در لحظه ی ارسال با کلید متناظر آن(کلید خصوصی) رمز نگاری شده باشد و می دانیم که اصولا دسترسی به کلید خصوصی محمد تنها برای شخص او امکان پذیر است، بنابراین این نتیجه ی منطقی بدست می آید که خود محمد این پیام را ارسال کرده است. چرا که هیچکس دیگری از کلید خصوصی محمد اطلاع ندارد.^[۱۳۸]
در پایان ذکر این نکته ضروری است که قانون نمونه امضای الکترونیکی آنسیترال به بی طرفی تکنولوژیکی معتقد است. این قانون با توجه به سرعت موجود در ابداع روش های نوین ایجاد امضای الکترونیکی مانند امضای دیجیتالی طبق الگوریتم ریاضی، اسکن امضای کاغذی، اثر انگشت، خصوصیت عنبیه چشم یا ویژگی های بیولوژیکی افراد، بدون در نظر گرفتن نوع تکنولوژی به کار رفته برای ایجاد آن، معیارهایی را برای اعتبار حقوقی انواع مختلف امضاهای الکترونیکی که هم اکنون رایج است یا ممکن است در آینده ایجاد شود و امضاهای دست نویس و یا سایر شیوه های سنتی تولید امضا مانند مهر و تمبر، رفتاری مادی صورت گیرد.
۲-۴ بخش چهارم : امضای الکترونیکی ساده و امضای الکترونیکی مطمئن
با بررسی تطبیقی ماهیت فنی و حقوقی امضای الکترونیکی به دو سطح مختلف از امضای الکترونیکی رسیده و در می یابیم که این پدیده حقوقی به دو دسته امضای الکترونیکی ساده (که تعریف آن در بخش های پیشین ارائه شد) و امضای الکترونیکی مطمئن^[۱۳۹] تقسیم شده است. در حقوق اروپا امضای الکترونیکی به دو دسته امضای الکترونیکی ساده و امضای الکترونیکی پیشرفته تقسیم می شود، قانون مدنی فرانسه تفاوتی بین امضای الکترونیکی ساده و مطمئن قائل نشده است، ولی شورای دولتی فرانسه که نحوه تعیین هویت امضا کننده و نیز تضمین سند به آن واگذار شده(ماده ۴-۱۳۱۶) در مصوبه خود بین امضای الکترونیکی و امضای الکترونیکی مطمئن قائل به تفکیک شده است^[۱۴۰] لذا این تقسیم بندی در حقوق فرانسه به دو دسته امضای الکترونیکی ساده و امضای الکترونیکی مطمئن بوده و با دستور العمل اروپا در تعریف مشترکات فراوانی دارند.
در ماده ۲-۲ دستورالعمل اروپا، امضای الکترونیکی پیشرفته دارای شرایط و ویژگی های ذیل است؛ باید:

• منحصرا متعلق به امضاء کننده باشد.

• امکان شناسایی و تشخیص هویت امضاء کننده را فراهم سازد.

• به وسیله ابزاری ایجاد شود که منحصرا تحت کنترل امضاء کننده باشد.

• به گونه ای به داده های مربوطه متصل و منضم شود که هر نوع تغییر بعدی در داده پیام، قابل شناسایی و ردیابی شود.^[۱۴۱]

در مفهوم قانون فرانسه، امضای الکترونیکی مطمئن باید دارای ویژگی های زیر باشد:

• مختص به امضاء کننده باشد.

• امکان شناسایی و تشخیص هویت امضاء کننده را فراهم آورد.

• به وسیله ابزاری ایجاد شود که امضاء کننده بتواند آن را در کنترل انحصاری خود داشته باشد.

• با سندی که به آن متصل و منضم می شود به گونه ای مربوط باشد که هرگونه تغییر بعدی سند قابل شناسایی و ردیابی باشد.^[۱۴۲]

فلذا مطابق حقوق فرانسه و برابر ماده ۱ مصوبه شورای دولتی فرانسه امضای الکترونیکی ساده عبارت است از به کارگیری رویه قابل اعتماد در تعیین هویت است که رابطه اش را با سندی که به آن منضم است تضمین می کند. در مقابل امضای الکترونیکی مطمئن، امضایی است که علاوه بر دارا بودن شرایط امضای الکترونیکی(ساده)، اولا توسط روشهایی ایجاد شود که در کنترل انحصاری امضا کننده باشد و ثانیا رابطه امضا را با سندی که منضم به آن است تضمین کند، به نحوی که هرگونه تغییر بعدی در سند قابل کشف باشد.^[۱۴۳]
در حقوق ایران، ماده ۱۰ قانون تجارت الکترونیکی ایران که ناظر به بند ک ماده ی ۲ همان قانون است، در تعریف امضای الکترونیکی مطمئن می گوید: «امضای الکترونیکی مطمئن باید دارای شرایط زیر باشد:
الف- نسبت به امضا کننده منحصر به فرد باشد.
ب- هویت امضا کننده داده پیام را معلوم کند.
ج- به وسیله ی امضاءکننده و یا تحت اراده ی انحصاری وی صادر شده باشد.
د- به نحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام، قابل تشخیص و کشف باشد».
در بند ۳ ماده ی ۶ قانون نمونه آنسیترال (۲۰۰۱) نیز آمده است:
«امضای الکترونیکی قابل اعتماد باید دارای شرایط زیر باشد: