نظم التشفير و الشهادات الرقمية و التواقيع الألكترونية
عُرف علم التشفير أو التعمية منذ القدم، حيث استخدم في المجال الحربي والعسكري. فقد ذكر أن أول من قام بعملية التشفير للتراسل بين قطاعات الجيش هم الفراعنة. وكذلك ذكر أن العرب لهم محاولات قديمة في مجال التشفير. و استخدم الصينيون طرق عديدة في علم التشفير والتعمية لنقل الرسائل أثناء الحروب. فقد كان قصدهم من استخدام التشفير هو إخفاء الشكل الحقيقي للرسائل حتى لو سقطت في يد العدو فإنه تصعب عليه فهمها. وأفضل طريقة استخدمت في القدم هي طريقة القصير جوليوس وهو أحد قياصرة الروم.
أما في عصرنا الحالي فقد باتت الحاجة ملحة لاستخدام هذا العلم “التشفير” وذلك لإرتبط العالم ببعضه عبر شبكات مفتوحة. وحيث يتم استخدام هذه الشبكات في نقل المعلومات إلكترونياً سواءً بين الأشخاص العاديين أو بين المنظمات الخاصة والعامة، عسكرية كانت أم مدنية. فلابد من طرق تحفظ سرية المعلومات. فقد بذلت الجهود الكبيرة من جميع أنحاء العالم لإيجاد الطرق المثلى التي يمكن من خلالها تبادل البيانات مع عدم إمكانية كشف هذه البيانات.
ومازال العمل والبحث في مجال علم التشفير مستمراً وذلك بسبب التطور السريع للكمبيوتر والنمو الكبير للشبكات وبخاصة الشبكة العالمية الإنترنت.
يتم حماية الشبكة اللاسلكية باستخدام بروتوكول تشفير الشبكات اللاسلكية (WEP). ويعمل هذا البروتوكول بتضمين مفتاح مشترك 64 أو 128 بت بين العملاء ونقطة الدخول، ومن ثم يتم استخدام هذا المفتاح لتشفير وفك تشفير البيانات بينهم، وهذا يوفر قدر كاف من الأمن للشبكات المنزلية. عليك الرجوع إلى الوثائق الخاصة بالأجهزة اللاسلكية لديك لتعرف كيفية تمكين وإعداد بروتوكول التشفير اللاسلكي (WEP) على شبكتك. أما بالنسبة لبيئات الشركات، فيجب اعتبار هذا البروتوكول (WEP) فقط كنقطة بداية للترتيبات الأمنية، وعلى الشركات البحث جدياً في ترقية شبكاتهم اللاسلكية إلى مستوى (WPA) أكثر أماناً.
ما هو التشفير أو التعمية (Cryptography ) :
التشفير هو العلم الذي يستخدم الرياضيات للتشفير وفك تشفير البيانات. التشفير يُمكّنُك من تخزين المعلومات الحساسة أو نقلها عبر الشبكات غير الآمنة- مثل الإنترنت- وعليه لا يمكن قراءتها من قبل أي شخص ما عدا الشخص المرسل لـه. وحيث أن التشفير هو العلم المستخدم لحفظ أمن وسرية المعلومات، فإن تحليل وفك التشفير (Cryptanalysis) هو علم لكسر و خرق الاتصالات الآمنة.
التشفير هو ترميز البيانات كي يتعذر قراءتها من أي شخص ليس لديه كلمة مرور لفك شفرة تلك البيانات. ويقوم التشفير بمعالجة البيانات باستخدام عمليات رياضية غير قابلة للعكس. ويجعل التشفير المعلومات في جهازك غير قابلة للقراءة من قبل أي شخص يستطيع أن يتسلل خلسة إلى جهازك دون إذن. ومن أشهر برامج التشفير (PGP)
أهداف التشفير:
يوجد أربعة أهداف رئيسية وراء استخدام علم التشفير وهي كالتالي:
-
السرية أو الخصوصية ( Confidentiality ) :
هي خدمة تستخدم لحفظ محتوى المعلومات من جميع الأشخاص ما عدا الذي قد صرح لهم الإطلاع عليها.
2.تكامل البيانات (Integrity ) :
وهي خدمة تستخدم لحفظ المعلومات من التغيير ( حذف أو إضافة أو تعديل ) من قبل الأشخاص الغير مصرح لهم بذلك.
3.إثبات الهوية ( Authentication ) :
وهي خدمة تستخدم لإثبات هوية التعامل مع البيانات ( المصرح لهم ).
4.عدم الجحود ( Non-repudiation ) :
وهي خدمة تستخدم لمنع الشخص من إنكاره القيام بعمل ما.
إذاً الهدف الأساسي من التشفير هو توفير هذه الخدمات للأشخاص ليتم الحفاظ على أمن معلوماتهم.
أنواع التشفير :
حالياً يوجد نوعان من التشفير وهما كالتالي :
-
التشفير التقليدي. ( Conventional Cryptography ).
-
تشفير المفتاح العام. ( Public Key Cryptography ).
الشهادة الرقمية
تعريف الشهادة الرقمية :
“هي وثيقة رقمية تحتوي على مجموعة من المعلومات التي تقود إلى التحقق من هوية الشخص أو المنظمة أو الموقع الإلكتروني و تشفر المعلومات التي يحويها جهاز الخادم ( server) عبر ما يسمى بتقنية
“(Secure Sockets Layer SSL) [1].
مفاهيم أساسية:
المفتاح الخاص:
مفتاح سري يستخدمه صاحبه لفك تشفير الرسائل المرسلة له. وكذلك يستخدمه للتوقيع الالكتروني. ومن مسؤولية صاحبه المحافظة على سريته.
المفتاح العام:
مفتاح ليس سري يستخدم لتشفير الرسائل المرسلة لصاحب هذا المفتاح. وكذلك للتحقق من توقيعه.
هيئة التوثيق (Certification Authority):
هي الجهة التي تقوم بإصدار الشهادة الرقمية والتوقيع عليها. قبل أن تقوم الهيئة بالتوقيع على الشهادة تتأكد من هوية الشخص (صاحب الشهادة) وتتم عملية التأكد من الهوية على حسب استخدامات الشهادة الرقمية فإذا كانت ستستخدم لحماية البريد الإلكتروني فيتم التأكد من هويته بعنوان البريد الإلكتروني فقط أما إذا كانت لاستخدامات حساسة مثل: إرسال مبالغ كبيرة من المال عن طريق الانترنت فهذه تتطلب حضور الشخص (صاحب الشهادة) إلى هيئة التوثيق للتأكد من هويته وتوقيع الشهادة. وكذلك من خلال هيئة التوثيق يستطيع الشخص أن يجدد شهادته المنتهية. ومن الهيئات comodo و verysign و thwat وهي مواقع موجودة على الانترنت .
هيئة التسجيل (Registration Authority):
هي هيئات تساعد هيئة التوثيق وتخفف الضغط عنها في عمل بعض الوظائف مثل التحقق من الهوية وإصدار التوقيع الإلكتروني .
مخزن الشهادات الرقمية (Certificate Repository):
هو دليل عام متاح للكل تخزن فيه الشهادات الملغاة والفعالة بحيث يستفيد الأشخاص من هذا الدليل للبحث عن المفتاح العام للشخص المراد التعامل معه سواء لتشفير الرسائل المرسلة له بمفتاحه العام لضمان السرية أو لفك التوقيع للتأكد من هوية المرسل .
أهم المعلومات الموجودة في الشهادة الرقمية:
-
الرقم التسلسلي: وهو الذي يميز الشهادة عن غيرها من الشهادات.
• خوارزمية التوقيع: الخوارزمية المستخدمة لإنشاء التوقيع الالكتروني.
• صالحة – من: تاريخ بداية صلاحية الشهادة.
• صالحة – إلى: تاريخ نهاية صلاحية الشهادة.
• المفتاح العام: المفتاح العام المستخدم لتشفير الرسائل المرسلة إلى صاحب الشهادة.
• مصدر الشهادة: الجهة التي أصدرت الشهادة.
• أسم مالك الشهادة: سواء كان شخص أو منظمة أو موقع الكتروني
أنواع الشهادات الرقمية:
• شهادات هيئة التوثيق:
هذا النوع من الشهادات يصدر من هيئة التوثيق مباشرة وعادة ما يكون لحماية البريد الإلكتروني.
• شهادات الخادم:
هذا النوع من الشهادات يصدر من خادم الشبكة (web server) أو خادم البريد (mail server) للتأكد من أمان إرسال واستقبال البيانات.
• شهادات ناشر البرامج:
تستخدم للتأكد من أن البرامج الخاصة بناشر معين برامج آمنه
معيار الشهادة الرقمية (X.509):
هو معيار عالمي أصدره اتحاد الاتصالات الدولي (ITU) لتوحيد شكل وبنية (format) الشهادة الرقمية. أكثر الشهادات الرقمية حاليا تتبع هذا المعيار .
الفرق بين التوقيع الرقمي والشهادة الرقمية:
في التوقيع الرقمي لا يوجد ضمان أن المفتاح العام هو لهذا الشخص بالفعل مثلا يستطيع خالد أن ينشئ له مفتاحين عام وخاص ثم ينشر مفتاحه العام على أساس أنه أحمد فلو أراد شخص أن يرسل رسالة سريه لأحمد سوف يشفرها باستخدام المفتاح العام الذي نشره خالد وبالتالي سوف يستطيع خالد فك تشفير الرسالة والاطلاع عليها . أي أنه في التوقيع الرقمي لا يوجد ربط بين الشخص بالفعل ومفتاحه العام لذلك ظهرت الشهادة الرقمية والتي تربط بين الشخص ومفتاحه العام حيث تحتوي الشهادة على صاحب الشهادة ومفتاحه العام وموقعه من طرف موثوق فيه يثبت ذلك .
الشهادة الرقمية للتحقق من الهوية Authentication)):
لنفرض أن أحمد يريد أن يرسل رسالة لخالد لكي يثبت أحمد لخالد بأن المرسل هو بالفعل أحمد فانه سوف يوقع المختصر الحسابي (hash) بالمفتاح الخاص فيه ويرسل الرسالة الأصلية والمختصر الحسابي المشفر لخالد في الطرف الآخر يقوم خالد بفك تشفير المختصر الحسابي باستخدام المفتاح العام لأحمد الموجود في شهادته الرقمية والمتاحة كما ذكرت مسبقا على دليل عام (مخزن الشهادات الرقمية) ثم يقوم بإجراء نفس المختصر الحسابي الذي أجراه احمد على الرسالة بعد ذلك يقارن المختصرين الحسابيين إذا تطابقا فهذا يعني انه بالفعل المرسل هو أحمد. وبهذا ضمنت الشهادة الرقمية التحقق من الهوية. وتسمى العملية السابقة بالتوقيع الإلكتروني.
الشهادة الرقمية لضمان السرية: (Confidentiality)
لنفرض أن أحمد يريد أن يرسل لخالد رسالة سريه فلكي يضمن سريتها سوف يقوم بتشفير الرسالة بالمفتاح العام لأحمد ولن يفك التشفير إلا بالمفتاح الخاص لأحمد (حيث أن المفتاح العام والخاص مربوطة يبعضها أي انه إذا شفرت رسالة بالمفتاح العام لشخص فانه لا يفك تشفير هذه الرسالة إلا بالمفتاح الخاص لنفس الشخص) وبهذا ضمنت السرية.
إدارة الشهادات الرقمية:
يستطيع الشخص أن يختار هيئة التوثيق (CA) التي يريد إصدار شهادته منها وبعد إصدار الشهادة يمكنه تنزيل و تخزين الشهادة والمفتاح العام (public key)على كمبيوتره. بالنسبة لهيئات التوثيق يوجد بعضها تأتي مع متصفح الانترنت في وقت تنزيله ويكون موثوق فيها
سياسة الشهادة الرقمية (Certificate Policy):
هي مجموعة من القواعد والسياسات الإدارية والتي تطبق عند إدارة الشهادة الرقمية في جميع مراحل حياتها.
دورة حياة الشهادات الرقمية:
هناك بعض الأحداث التي تؤثر على فعالية الشهادة الرقمية مثل إضافة جهاز (hardware) جديد على الكمبيوتر أو تحديث برنامج وغيره لذلك أصيح للشهادة الرقمية حالات تمر فيها منذ إصدارها.
-
الإصدار:
وهي أول مرحلة وتشمل التأكد من هوية الشخص قبل الإصدار. ويعتمد التأكد على نوع الشهادة المصدرة ففي الشهادات الرقمية التي تصدر للبريد الالكتروني يتم التأكد من هوية الشخص بطلب إرسال رسالة من بريده الالكتروني فقط أما الشهادات الرقمية المستخدمة للعمليات المالية فتتطلب إجرآت اخرى للتأكد من الهوية . بعد التأكد من الهوية يتم إرسال الطلب لهيئة التوثيق وتوافق على إصدار الشهادة.
• الإلغاء:
يستطيع الشخص أن يلغي شهادته قبل تاريخ انتهائها عندما يفقد المفتاح الخاص بالشهادة أو ينتشر لأنه بعد انتشار المفتاح الخاص تبطل فعالية الشهادة وهي الثقة بالطرف الآخر.(Authentication) ويتم إضافة الشهادة الملغاة إلى قائمة الشهادات الملغاة.
• الانتهاء:
لكل شهادة تاريخ انتهاء بعد هذا التاريخ تصبح الشهادة غير صالحه للاستخدام ولابد من إصدار شهادة جديدة ويمكن أن تكون الشهادة الجديدة لها نفس المفتاح العام والخاص للشهادة المنتهية.
• التعطيل المؤقت:
يمكن للشخص أن يوقف أو يعطل استخدام الشهادة لفترة زمنية لا يحتاج فيها لاستخدام الشهادة حتى لا تستغل من قبل أشخاص آخرين.
كيفية الحصول على الشهادة الرقمية المستخدمة لغرض حماية البريد المثالي:
-
اذهب إلى احد المواقع الإلكترونية التي تمنح الشهادات على سبيل المثال .comodo
2. قم بتعبئة البيانات المطلوبة ( الاسم الأول، الاسم الأخير، عنوان البريد الإلكتروني، البلد، الرقم السري
الخلاصة:
إذا تعتبر الشهادة الرقمية من الوسائل الأمنية التي ساعدت على استخدام الانترنت سواء في التعاملات التجارية أو استخدام البريد الإلكتروني وغيرها بكل أمن وثقة وسرية.
التواقيع الالكترونية
يعتبر التوقيع ‘Signature ‘ شرطا أساسيا في توثيق أغلب المستندات سواء إن كانت في المراسلات العادية اليدوية أو المراسلات الإلكترونية الرقمية بجميع أنواعها وحتى إن كانت محلية أو دولية، ومع ظهور التحديات الجديدة التي يواجهها الاقتصاد الرقمي والأمني خصوصا وأهمها الحكومات الإلكترونية وعدم توافر الضمانات الكافية التي تحمي المجتمع الذي يتعامل بالخصوص مع هذا النظام الإلكتروني والتعامل معه بكل ثقة وأمان أصبحت الحاجة إلى ظهور طريقة آمنة وسريعة وفعالة في عمليات تصديق الوثائق التي يتم تبادلها إلكترونيا على جميع المستويات بكل مراحلها و إضفاء الصفة القانونية عليها ومن ثم أرشفتها إلكترونيا هو ظهور ما يسمى بالتوقيع الإلكتروني.
فما هو التوقيع الإلكتروني ودوره الفعال في الوثائق الحكومية الإلكترونية بأنواعها وطرق استخداماتها عند التطبيق في إثبات هوية صاحب التوقيع الإلكتروني؟
ما هو التوقيع الإلكتروني Digital Signature ؟
هو عبارة عن ملف رقمي صغير مكون من بعض الحروف والأرقام والرموز الإلكترونية تصدر عن إحدى الجهات المتخصصة والمعترف بها حكوميا ودوليا ويطلق عليها الشهادة الرقمية Digital Certificate وتخزن فيها جميع معلومات الشخص وتاريخ ورقم الشهادة ومصدرها، وعادة يسلم مع هذه الشهادة مفتاحان أحدهما عام والآخر خاص، أما المفتاح العام فهو الذي ينشر في الدليل لكل الناس والمفتاح الخاص هو توقيعك الإلكتروني، ومن أشهر الهيئات التي تقوم بإصدار تلك الشهادات الرقمية والتي تكون بمقابل رسوم معينة هي:
وباختصار شديد يمكننا أن نعرف التوقيع الإلكتروني على أنه طريقة اتصال مشفرة رقميا تعمل على توثيق المعاملات بشتى أنواعها والتي تتم عبر صفحات الإنترنت.
أنواع التوقيعات الإلكترونية:
هناك نوعان من التوقيعات الإلكترونية الشائعة:
1 -التوقيع المحمي ‘ Key Based Signature ‘ :
وهنا يتم تزويد الوثيقة الإلكترونية بتوقيع رقمي مشفر يقوم بتشخيص المستخدم ‘الموقع’ الذي قام بالتوقيع ووقت التوقيع ومعلومات عنه الشخص نفسه وهو عادة مميز لأصحاب التوقيع.
2- التوقيع البيومتري ‘Signature Biometric ‘ :
يقوم الموقع هنا باستخدام قلم إلكتروني يتم توصيله بجهاز الكمبيوتر ويبدأ الشخص بالتوقيع باستخدام القلم مما يسجل نمط حركات يد الشخص الموقع وأصابعه، ولكل منا له نمط مختلف عن الآخر حيث يتم تحديد هذه السمة، وهنا تقودنا أيضا البصمة الإلكترونية التي تعمل بنفس تقنية النمط نفسها.
الهدف من التوقيع الإلكتروني
ليس الهدف من إنشاء التوقيع الإلكتروني هو الفانتازيا الرقمية، ولكن الهدف يندرج تحت مضمون الأمن والسلامة الرقميين، وعند ثبوت صحتها فإنها بالطبع تحقق جميع الجوانب العملية والأهداف المرجوة منها ولعدة أهداف قانونية بحتة تبعد المتطفلين عن التلصص وسرقة البيانات وأهمها:
توثيق التوقيع الإلكتروني للموقع
كما شرحنا سابقا عند إنشاء الشهادة فإنه يتم إنشاء مفتاحين (عام وخاص)، وفي حالة إن كان المفتاحان مرتبطين بصاحب التوقيع الإلكتروني فإن كل وظيفة يقوم بها من إرسال الوثائق من عنده فإنها تكون خاصة به، وهنا لا يمكن القيام بعملية التزوير إلا في حالة واحدة وهي إن فقد صاحب التوقيع الإلكتروني المفتاح الخاص به أو تم تسريبه.