کد خبر : 1216
تاریخ انتشار : جمعه ۸ تیر ۱۳۹۷ - ۸:۵۳
141 بازدید بازدید

بررسی نحوه احراز هویت در تجارت الکترونیک

بررسی نحوه احراز هویت در تجارت الکترونیک

بررسی نحوه احراز هویت در تجارت الکترونیک نویسنده : علیرضا مقیمی مقدمه تحولاتی که درعلوم و فنون رخ میدهد به موازات تسهیلاتی که در عرصه فعالیتهای اقتصادی و صنعتی برای بشریت فراهم می آورد در کنار آن ، اوضاع و احوال جدیدی را نیز ایجاد میکند که این اوضاع و احوال به اشکال گوناگون بستر

بررسی نحوه احراز هویت در تجارت الکترونیک

نویسنده : علیرضا مقیمی

مقدمه

تحولاتی که درعلوم و فنون رخ میدهد به موازات تسهیلاتی که در عرصه فعالیتهای اقتصادی و صنعتی برای بشریت فراهم می آورد در کنار آن ، اوضاع و احوال جدیدی را نیز ایجاد میکند که این اوضاع و احوال به اشکال گوناگون بستر بروز مسایل و مشکلات تازه ای را فراهم می آورد و ضرورت ایجاب میکند تا در کنار هر گونه تغییر و تحولاتی ، مسایل و مشکلات جنبی آن نیز واکاوی و چاره جویی شود تا تسهیلات ناشی از پیشرفتهای جدید بتواند بدون دغدغه ، گوارای جامعه گردد و راه سوء استفاده اشخاص فرصت طلب و تبه کار بسته شود.

در معاملاتی که طرفین معامله با حضور فیزیکی خود در یک مکان به معامله می پردازند احراز هویت طرف معامله امری خطیر و بسیار حائز اهمیت است زیرا چه بسیار مواردی بوده است که شخصی با توسل به وسایل متقلبانه  خود را با هویت جعلی و غیر واقعی معرفی یا بجای مالک کالا یا ملکی قلمداد نموده و با فریب طرف مقابل کلاهبرداری کرده است. اکنون که مبادلات مهم مالی از طریق الکترونیکی بدون  حضور فیزیکی اشخاص انجام میشود اوضاع و احوال برای چنین اشخاص فرصت طلب ، بیش از پیش معد و مهیاست تا با کسب مقداری مهارت در  زمینه ارتباطات الکترونیکی ، براحتی و در فراغ بال در خانه یا محل دیگری پشت رایانه شخصی خود  قرار گرفته و  در اقصی نقاط کشور یا کره خاکی به سرکیسه کردن دیگران بپرازد .

بنابراین لازمست فعالیتهایی که بصورت الکترونیک انجام میشود اعم از ذخیره سازی ، پردازش ، انتقال و مدیریت اطلاعات الکترونیکی که هم اکنون فناوری اطلاعات نام گرفته است به نحو اطمینان بخشی مدیریت گرددکه افشاء نشود و از دسترس اشخاص غیر محافظت گردد تا فرصتی برای سوء استفاده شیادان و کلاهبرداران فراهم نیاورد.

در مبادلات وعملیات تجاری به شیوه الکترونیکی ،که در فضای مجازی و بدون حضور فیزیکی و رویت شخص یا اشخاص طرف مقابل صورت میگیرد مسلما بایستی جهت شناسایی طرف مقابل معامله ، حد اقل به اندازه شیوه تجارت سنتی ، امکانات کافی که از پشتوانه قانونی لازم نیز برخوردار باشند وجود داشته باشد.  با دست مایه قرار دادن فرضیه مذکور ، میخواهیم بینیم چه روشها و شیوه هایی در مورد احراز هویت طرف مقابل در روش تجارت الکترونیک در سر راه فعالان این عرصه وجود دارد؟ بهترین شیوه احراز هویت که هم اطمینان بخشی لازم را بهمراه داشته و هم در صورت بروز اختلاف و طرح دعاوی بتواند مانع از تضییع حقوق طرفهای قرارداد شود کدام است؟ آیا مقررات موضوعه نسبت به اسناد و مدارک الکترونیکی اعتبار کافی جهت اثبات دعاوی و احقاق حقوق اشخاص داده است؟

مقاله حاضر تلاشی است  برای بررسی روشهای احراز هویت طرفهای مبادلات الکترونیکی  با نگرشی بر مقررات قانونی که در این خصوص وضع گردیده است، پر واضح است در این بررسی جنبه های فنی صرف روشهای بکار گرفته شده مورد نظر نبوده و در این خصوص صرفا به اشاره مختصر اکتفا خواهد شد.

فصل اول – تجارت الکترونیک چیست ؟

تجارت الکترونیک از دیدگاههای مختلفی نظیر ارتباطات ، تجارت ، فرآیند کسب و کار ، خدماتی ، آموزشی ، تشریک مساعی ، فناوری اطلاعات ، اجتماع و غیره تعریف شده است.[۲] اجمالا میتوان از مجموع تعاریف ارائه شده تعریف زیر را که جامعتر است بیان کرد: « به کارگیری شبکه ارتباطی دیجیتالی در انواع تبادل الکترونیکی داده ها در تمام یا بخشی از فعالیتهای تجارتی ، تجارت الکترونیکی است».

تاریخچه و مزایای تجارت الکترونیک۱-۱

 

اولین فعالیتها درزمینه تجارت الکترونیک درسال ۱۹۶۵ با استفاده کردن ازکارتهای الکترونیک آغاز شد سپس در ابتدای دهه ۹۰ ، ارتباطات الکترونیکی باراه اندازی شبکه های کامپیوتری ، در خدمت مبادلات تجاری شرکتهای بزرگ قرار گرفت.

مزایایی که بر تجارت الکترونیک مترتب بود موجب شد تا در کشورهایی که بسترهای لازم در آنها  فراهم بود استفاده از روشهای جدید الکترونیکی روز به روز توسعه یابد.  مزایای مذکور برای فعالان بزرگ اقتصادی جذاب و وسوسه انگیز میباشد ، فراهم شدن امکان عرضه محصولات فراتر از قلمرو مناطق و مرزهای دولتها  و بصورت جهانی ، کاهش چشمگیر هزینه ها ، وصول انواع سفارشات و تنوع یافتن محصولات ، ایجاد مدلهای کسب و کار جدید ، ارائه محصولات خاص و بسیار ویژه، سرعت عرضه محصولات به بازار ، هزینه های پایین تر برقراری ارتباط ، خرید کارآمد[۵] و رفع محدودیت شب و روز و تعطیلی ها و مزایای  دیگر که به تفصیل از آنها یاد شده است از دلایل رواج استفاده از شیوه تجارت الکترونیک میباشد

اما امروزه پیوستن بر قطار سریع السیر پیشرفتهای علمی و فنی روز در زمینه های مختلف ، صرفاجهت بهره مندی از مزایای آنها نیست، بلکه بصورت الزامی فراگیر در آمده است که جاماندن از این قطار ، عدم امکان عرضه و فروش محصولات و عدم موفقیت در رقابتهای تجاری و ورشکستگی را بدنبال دارد لذا درشرایط کنونی همگان  بر یادگیری ، ایجاد امکانات و بسترهای لازم و نهایتا استفاده از روشهای نوین در انواع فناوریها مجبور هستند

منابع قانونی تجارت الکترونیک۱-۲

خصیصه بین المللی مقررات مربوط به تجارت موجب شده است تا  قانون نمونه آنسیترال در مورد تجارت الکترونیک توسط کمیسسیون حقوق تجارت بین الملل سازمان ملل متحد در سال ۱۹۶۶ به تصویب برسد تا بمنظور یکسان سازی مقررات کشورهای مختلف نمونه و الگویی مناسب برای قانون گذاران باشد. این قانون در سال ۲۰۰۴ توسط ایران نیز امضا شده است.

 

در همین راستا قانون نمونه آنسیترال راجع به امضای الکترونیک   نیز در سال ۲۰۰۱ توسط کمیسیون مذکور و بهمان اهداف یاد شده به تصویب رسیده است که قانون مذکور تاکنون توسط ایران امضا نگردیده است.

از دیگر مقررات بین المللی در این زمینه میتوان از «کنوانسیون سازمان ملل متحد راجع به استفاده از ارتباطات الکترونیکی در قراردادهای بین المللی» و «دستورالعمل تجارت الکترونیکی اتحادیه اروپا» نام برد.

در کشور ما نیز الزاماتی در جهت راه اندازی و بکارگیری شیوه های الکترونیکی برای بانکها و وزارتخانه ها با تعیین فرجه های قانونی ایجاد شده است که خوشبختانه در رواج استفاده از روشهای نوین الکترنیکی موثر افتاده و مواردی از قبیل استفاده از دستگاههای خودپرداز فروشگاهی و کارتهای بانکی الکترونیکی ثمره تلاشهای مذکور بوده است

در سال ۱۳۸۱ هیات وزیران اقداماتی در جهت اصلاح قانون تجارت مصوب ۱۳۱۱ با تشکیل کارگروهی از اساتید و کارشناسان حقوق تجارت آغاز نمود نتیجه کارگروه مذکور ، که مبحثی از آن به تجارت الکترونیک اختصاص داشت در هیات دولت و کمیسیون ویژه متشکل از نمایندگان هر سه قوه با جلب نظر کارشناسان دیگر در حوزه های مختلف حقوق تجارت مکررا بررسی و تدوین و بعنوان لایحه دولت در هیات وزیران به تصویب رسید و به مجلس ارسال گردید. پس از چند سال معطلی بالاخره این لایحه در سال ۱۳۹۱ توسط کمیسیون قضایی مجلس به تصویب رسید تا به مدت ۵ سال بصورت آزمایشی اجرا گردد متاسفانه شورای نگهبان با اعلام اینکه ضرورت مندرج در اصل ۸۵ قانون اساسی در مورد این لایحه وجود ندارد لایحه مذکور را به مجلس اعاده داد تا همچنان قانون مصوب ۱۳۱۱ بر امور تجاری کشور حاکم باشد و لایحه مذکور که بیش از یک دهه از تدوین آن سپری شده همچنان در انتظار طی مراحل قانونی معطل بماند.

با این وجود در ۱۷ دیماه سال ۱۳۸۲ قانون تجارت الکترونیک مشتمل برهشتاد و یکماده وهفت تبصره به تصویب رسیده است و پشتوانه قانونی عملیات تجارت الکترونیک در ایران میباشد.

 

این قانون مشتمل بر مجموعه اصول و قواعدی است که برای مبادله آسان وایمن اطلاعات در واسطه‌های الکترونیکی و با استفاده از سیستمهای ارتباطی جدید به کار می‌رود  داده پیام الکترونیکی حسب مقررات قانون مذکور میتواند جایگزین نوشته کاغذی باشد مگر در مواردی خاصی که به لحاظ اهمیت ویژه آنها قانونگذار مبادلات آنها را از طریق الکترونیکی به مصلحت ندانسته و استثنا کرده است.

با توجه به آنچه گفته شد اسناد تجاری الکترونیکی از قبیل چک و برات و سفته الکترونیکی هم که بصورت داده پیام مبادله میشود نیز در قلمرو شمول قانون مذکور قرار میگیرد و از پشتوانه قانونی آن برخوردار است.

خطرات و تهدیدات موجود در تجارت الکترونیکی۱-۳

با رواج روشهای جدید الکترونیکی در زندگی روزمره ، سوء استفاده هایی که توسط اشخاص شیاد و کلاهبردار صورت میگیرد نیز روز افزون شده و هر از چندگاهی به شکلی جدید رخ نموده و  هشدارهای مراجع قانونی و پلیس در رسانه های جمعی کم و بیش حکایت از افزایش این قبیل جرایم دارد.

تهدیدات امنیتی در حوزه تجارت الکترونیک رابه دو دسته میتوان تقسیم کرد:

    تهدیداتغیرفنی برای بدست آوردن اطلاعات امنیتی ازطریقی غیر از مسایل فنی رایانه مانند استفاده از مکالمه تلفنی و فریب کاربران و دراختیارگرفتن رمز آنها.    تهدیدات فنی رایانه ای مانند ویروسها ، کرمها ، تروجانها .

امنیتی که در تجارت الکترونیک از آن بحث میشود امری دو سویه است نه اختصاص به طرف عرضه کننده دارد و نه مختص به خریدار میباشد چه بسا وب سایتی که کالایی را برای فروش عرضه میدارد واقعی نبوده و فریب کارانه ایجاد شده است ، دیده شده است وب سایتی از نظر ظاهر و آدرس (با یک کاراکترتفاوت) مشابه وب سایت بانکی ایجاد شده و لینک آن با شیوه های تبلیغی از طریق وب سایتهای دیگر و ایمیل در دسترس کاربران اینترنت قرار میگیرد، کاربران به تصور اینکه سایت واقعی بانک است جهت انجام امور بانکی خود وارد سایت جعلی مذکور میشوند و  نام کاربری و رمز عبور خود را در محل تعبیه شده نوشته و بدینوسیله افشا مینمایند. از سوی دیگر به کرات در رسانه های جمعی اخباری را  شنیده ایم که حاکی بوده اند وب سایتهای خدمات اینترنتی بانکها علیرغم سیستمهای سختگیرانه امنیتی بارها توسط اشخاص غیر مجاز حک شده و مورد سوء استفاده مالی نیز قرار گرفته است .

فصل دوم – روشهای متداول احراز هویت

احراز هویت یکی از مباحث امنیت در تجارت الکترونیک و جزئی از آن میباشد و تعیین و احراز هویت حقیقی طرف مقابل در همه انواع مختلف عملیاتی که تحت عنوان کلی تجارت الکترونیکی قرار میگیرند لزومی ندارد بلکه در مواردی ممکن است کاربران تمایل داشته باشند درعملیات الکترونیکی که انجام میدهند ناشناخته باقی بمانند و صرف ناشناخته ماندن کاربر نمیتواند سوء نیت یا مجرمانه تلقی شود وقتی فردی با استفاده از کیف پول الکترونیکی خریدی انجام میدهد تعیین هویت او برای وب سایتی که کالا یا خدماتی را عرضه نموده است اهمیتی ندارد وقتی از امنیت در این قبیل موارد بحث میشود مراد تعیین هویت شخص نیست بلکه  درستی و بی غل و غش بودن مابازائی است که در قبال دریافت خدمت یا کالا می پردازد.

مکانیزمهایی که برای امنیت مورد استفاده قرار میگیرد عبارتند از:

    تعیین نام کاربری و رمز عبور و کنترل سطح دسترسی کاربران

    استفاده ازشناسه های غیر فعال و شناسه های فعال

    شناسایی از طریق استانداردهای جسمانی اشخاص مانند اثر انگشت یا عنبیه چشم (سیستمهای بیومتریک)

    رمز نگاری

    امضای الکترونیک

 

 

 

تعیین نام کاربری و رمز و کنترل دستیابی۲-۱           

در این روش به هرکدام از کاربران مجاز نام کاربری و رمز عبور در سیستم تعریف میشود و سطح دسترسی هرکدام از کاربران نیز مشخص و اعمال میگردد بدین صورت که شخصی که وارد سیستم میشود با توجه به اینکه  کاربر عادی است یا کارمند یا مدیر قسمت خود سیستم است در وحله اول با توجه به نام کاربری که از قبل تعریف شده و در سیستم موجود است شناسایی میگردد و به تناسب اینکه چه نوع سمتی در سیستم دارد اجازه دسترسی داده میشود یعنی مشخص میگردد به کدام قسمتها حق ورود دارد وآیا فقط حق مشاهده دارد یا میتواند تغییرات نیز ایجاد کند ، اقلام کالاها را اضافه نماید یا حذف کند ، یا قیمتها را تغییر دهد ، یا فقط حق سفارش و خرید دارد. بنابراین احراز هویت کاربری که وارد سیستم شده است در ابتدای ورود  از طریق نام کاربری که در زمان ورود به سیستم ارائه میکند انجام میشود. این روش در رایانه ها و شبکه های اینترنتی بطور گسترده مورد استفاده قرار میگیرد ، اکانتهای ایجاد شده درپورتال ها و سایتهای مختلف و ایمیل ها ، عموما از این روش سود می برند. این روش در تجارت الکترونیکی نیز بطور گسترده ای مورد استفاده است لیکن روش مطمئنی نمیباشد زیرا رمزهایی که اشخاص مورد استفاده قرار میدهند اکثرا قابل حدث زدن میباشند معمولا اشخاص از رمزهایی مانند نام فرزند ، تاریخ تولد خود یا فرزندان ، یا تاریخ ازدواج و شماره ملی استفاده میکنند که دیگران هم از آن آگاهی دارند از سوی دیگر خود اشخاص نیز از رمز خود به خوبی محافظت نمیکنند و به راحتی آن را نزد دیگران افشا مینمایند یا یادداشت رمز خود را در محلهای نامناسبی قرارمی دهند .

شناسه های فعال و غیرفعال۲-۲           

جهت رفع معایب و ارتقاء امنیت سیستم تعیین کاربر از این شناسه ها استفاده میشود کارت های پلاستیکی که برای حسابهای بانکی استفاده میشود از انواع شناسه های غیرفعال است این شناسه ها محتوی کدهای محرمانه ایست که توسط دستگاههای کارتخوان بررسی و اجازه دسترسی داده میشود شناسه های فعال نیز عبارت است از دستگاههای کوچکی است که مستقلا یا با اتصال به کامپیوتر از درگاه USB ،  تولید رمز مینمایند که هر رمز فقط یکبار برای ورود قابلیت استفاده دارد این روش توسط بانکها به مشتریان خود توصیه میگردد و از ضریب امنیتی بالایی برخوردار بوده  و در شرایطی که کاربر شخصا مرتکب بی احتیاطی و تقصیر نشود اطمینان بخشی لازم را دارا میباشد

هرچند روشهای نامبرده در صورت عدم افشاءرمز و عدم مفقودی و سرقت ابزار سخت افزاری مورد استفاده ، امنیت لازم راتامین میکند لیکن در مواردیکه احراز هویت حقیقی طرف مقابل اهمیت داشته باشد قابل اطمینان نبوده  و در موارد ترافعی نمیتوانند از قاطعیت لازم در اینخصوص برخودار باشند

شناسایی از طریق ویژگیهای حیاتی اشخاص (سیستمهای بیومتریک) ۲-۳           

ویژگی اثر انگشت انسان از دیرباز مورد توجه بوده و در اعمال حقوقی و پرونده های کیفری مورد استفاده قرار گرفته و در صورتیکه مطابقت اثر انگشت فرد با  نمونه قطعی باشد تردیدی در انتساب آن به فرد مورد نظر را روا ندانسته اند. در اسکن اثر انگشت شکل شیارهای موجود در نوک انگشتان و فاصله آنها با استفاده از  الگوریتم خاصی ذخیره و طبقه بندی میشود تا در مواقع استفاده قابلیت تطبیق با نمونه ارائه شده را داشته باشد.  احتمال تشابه اثر انگشت دو فرد یک در میلیارد میباشد

 این ویژگی مخصوص اثر انگشت نیست ، گفته میشود عنبیه چشم افراد از این حیث بر اثر انگشت برتری دارد دستگاههایی که کار اسکن عنبیه چشم را انجام میدهند در عرض چند ثانیه تصویر عنبیه را با استفاده از الگوریتم خاصی به کدهایی تبدیل و ذخیره مینمایند. شناسایی الکترنیکی صدا نیز از دیگر ویژگیهای بیولوژیک افراد است که میتواند مورد استفاده برای شناسایی و احراز هویت قرار گیرد همچنین شاخصه هایی مانند شکل صورت ، دمای صورت ، شکل هندسی دست ، شبکیه چشم نیز درمورد احراز هویت مطرح میباشند.

استفاده از ویژگیهای بیولوژیک هرچند جهت احراز هویت اطمینان بخش است لیکن تاکنون بدلیل گرانی دستگاههای مربوطه یا هر علت دیگری چندان مورد اقبال قرار نگرفته است هرچند گفته میشود با ارزان تر شدن دستگاههای مربوطه گرایش به استفاده از آنها افزون تر شده است.

خصوصیت واقعی بودن و یکتایی ویژگیهای حیاتی (برخلاف رمزها که تصنعی هستند) هرچند ارزش استنادی آنها را ارتقا بخشیده و بلامناقشه کرده است لیکن در صورت ربوده شدن بانک اطلاعات مربوطه میتواند  مشکل ساز باشد  زیرا مانند رمزها  امکان نوسازی و جایگزینی ندارند لذا اقتضا دارد در حفاظت از بانک اطلاعات آنها بیشتر دقت شود.

رمزنگاری۲-۴                    

رمز نگاری عبارت است از تبدیل متن از محتوای واضح و قابل فهم به محتوایی که غیر قابل فهم و غیرقابل استفاده است. همین طور در مورد فایلهای رایانه ای، تبدیل داده از یک فرمت عادی قابل فهم به فرمت غیر قابل فهم رمزنگاری میباشد. سابقا رمزنگاری صرفا به نیت حفظ محرمانگی در گزارشات جاسوسیها و فرماندهان نظامی و دیپلماتها مورد استفاده قرار میگرفته است لیکن هم اکنون در بسیاری زمینه ها از جمله احراز هویت مورد استفاده قرار میگیرد.

دو سیستم در رمز نگاری مورد استفاده است:

    سیستم رمز نگاری متقارن

    سیستم رمزنگاری نامتقارن

سیستم رمز نگاری متقارن۲-۴-۱   

در سیستم رمزنگاری متقارن از کلید مخفی واحد برای رمزنگاری و رمز گشایی استفاده میشود  بنابراین لازمست علاوه بر پیام ، کلید رمز نیز بنحوی به طرف مخاطب ارسال  شود تا او بتواند پیام را رمزگشایی نماید. ارسال کلید همراه با اصل پیام احتمال افشای آن را بالا میبرد و لازمست کلید از طریق امنی به مخاطب ارسال شود. لذا چگونگی ارسال کلید از راه مطمئن یکی از مشکلات استفاده از این سیستم میباشد.

برای اینکه رمز نگاری متقارن امنیت پیامها را تامین نماید لازمست الگوریتم مورد استفاده برای رمزنگاری ، ساده و قابل کشف نباشد و درصورتی که سارق اطلاعات متنی واحد را در دو حالت بدون رمزنگاری  و حالت رمزنگاری شده ، در اختیار داشته باشد نتواند کلید رمز را کشف نماید.

با این حال گفته میشود الگوریتمهایی که جهت کلید رمز مورد استفاده قرار میگیرند شناخته شده هستند و حدس زدن کلید و کدهای مورد استفاده نیز زیاد سخت نیست بنابراین توصیه شده جهت ارتقاء بیشتر ایمنی در این نحوه رمزگذاری از کلیدی با طول بیشتر استفاده شود.

مشکل دیگر رمز نگاری متقارن انباشت تعداد کلیدهای رمز نگاری است که با توجه به مبادلاتی که بصورت دو بدو صورت میگیرد لازمست جهت حفظ محرمانگی ، برای هرکدام از مخاطبین کلید مجزا استفاده شود لذا تعدادکلیدهای  رمزنگاری مورد استفاده زیاد خواهد بود و نگهداری و مدیریت آنها نیز مشکلات مضاعفی ایجاد خواهد کرد.

سیستم رمز نگاری نامتقارن۲-۴-۲   

مشکلاتی که در رمز نگاری متقارن وجود داشت موجب ایجاد سیستم رمز نگاری نامتقارن شده است در این سیستم برای رمز نگاری و رمز گشایی از دو کلید مجزا استفاده میشود کلید عمومی و کلید خصوصی. کلید عمومی کلیدی است که  هیچ نوع حالت محرمانگی ندارد و هر کسی نه تنها میتواند بدان دسترسی داشته باشد بلکه برای اینکه اشخاص مختلف بتوانند با مالک کلید در ارتباط باشند لازمست که کلید عمومی او را در اختیار داشته باشند ، اما کلید خصوصی فقط در اختیار صاحب آن است ، الگوریتم مورد استفاده در کلید عمومی و کلید خصوصی کاملا از هم متفاوت است بنحویکه هرگز نمیتوان با استفاده از کلید عمومی به کلید خصوصی دست یافت. هرکسی میتواند با استفاده از کلید عمومی پیام خود را رمز نگاری و به مالک کلید ارسال نماید وقتی پیامی با استفاده از کلید عمومی رمز نگاری شده باشد هرگز نمیتوان آن را با استفاده از کلید عمومی رمز گشایی کرد بلکه برای رمز گشایی ، کلید خصوصی لازم است که فقط در اختیار مالک آن است. لیکن در صورتیکه با کلید خصوصی رمز نگاری شده باشد با کلید عمومی قابل رمز گشایی خواهد بود ، دو طرفی که باهم مبادلات الکترونیکی دارندبرای اینکه پیامهایشان محرمانه بماند لازمست هرکدام کلید عمومی خود را در اختیار دیگری قرار دهد و طرفی که در صدد ارسال پیام به دیگری است باید با استفاده از کلیه عمومی مخاطب آن را رمز نگاری کرده و ارسال نماید و مخاطب با استفاده از کلید خصوصی که فقط در اختیار خودش میباشد آن را رمز گشایی و مشاهده کند او نیز وقتی در صدد ارسال پاسخ است برای حفظ محرمانه گی پاسخ، آن را با استفاده از کلید عمومی مخاطب فعلی (فرستنده قبلی) رمز نگاری و ارسال میکند. در این سیستم اگر بنحوی که گفته شد عمل شود امکان جعل و ارسال پیام از طرف فرستندگان غیرمجاز و دروغین و دخالت در پیام در واسطه های الکترونیکی وجود ندارد ضمن اینکه فرستنده پیام نیز نمیواند بعدا منکر ارسال پیام باشد.

این سیستم شباهت زیادی به صندوق پستی دارد ، صندوق پستی به گونه ای تعبیه گردیده است که همگان میتوانند نامه های خود را داخل صندوق بریزند لیکن هیچ کس نمیتواند به نامه هایی که داخل صندوق ریخته شده است دسترسی پیدا کند مگر دارنده کلید صندوق.

با این حال مشکلی که این سیستم دارد سرعت پایین عملکرد آن است و مدت زمان بیشتری برای رمزگزاری یا رمزگشایی صرف میگردد از اینرو در صورتیکه داده ها حجیم باشد استفاده از این شیوه نمیتواند مناسب باشد ، جهت رفع این نقیصه نیز پیشنهاد شده است تا از ترکیبی از هردو روش رمزنگاری متقارن و نامتقارن استفاده شود.

امضای الکترونیک۲-۵             

امضا ، اجازه کردن ، تنفیذ عقد و یا هرچیز دیگر ، نوشتن نام یا نام خانوادگی یا هردو ، یا رسم علامت بعنوان بیان هویت صاحب علامت ذیل اوراق و اسناد برای تایید متن سند … است بنابراین اثراتی که بر امضا مترتب است عبارت از  تایید هویت صاحب امضا ، اقرار یا رضایت بر مفاد سند، یا تعهد و التزام به مندرجات سند میباشد.

گذشته از تفاوت هایی که در عناوین« امضای دیجیتالی» و «امضای الکترونیکی» و تفاوت آن دو بایکدیگر در برخی کتب بصورت گذرا و جزئی اشاره شده است با توجه به اینکه این موضوع توسط بسیاری از مولفین مورد توجه قرار نگرفته است و از طرفی قانون تجارت الکترونیک نیز از آن تحت عنوان امضای الکترونیک یاد کرده است لذا در این مقاله نیز تحت این عنوان بررسی میشود

امضای الکترونیک دو نوع است امضا الکترونیک ساده و امضای الکترونیک مطمئن:

امضای الکترونیک ساده۲-۵-۱   

 

امضای الکترونیکی بموجب بند «ی» ماده ۲ قانون تجارت الکترونیک   عبارت است از هرنوع علامتی به داده پیام منضم شده یا به نحومنطقی متصل بدان متصل شده است   که برای شخص کننده هویت امضاءکننده داده پیام میباشد

امضای الکترونیک مطمئن۲-۵-۲   

امضای الکترونیکی در صورتیکه شرایطی خاصی در ایجاد آن رعایت شده باشد امضای الکترونیک مطمئن خواهد بود برابر ماده ۱۰ قانون مذکور برای اینکه امضای الکترونیک وصف مطمئن به خود بگیرد  باید چهار شرط را دارا باشد که عبارتند از منحصر بفرد بودن ، مشخص نمودن هویت امضا کننده داده پیام ، صدور آن با اراده صاحب امضا و متصل شدن به داده پیام بصورتیکه هر تغییری در داده پیام بعمل آید قابل کشف باشد  این شرایط دقیقا منطبق است با شرایطی که در قانون نمونه آنسیترال در زمینه امضای الکترونیک ۲۰۰۱ و در  دستور العمل امضای الکترونیک اروپا از امضای الکترونیک پیشرفته آمده است همین شرایط به گونه ای در مصوبه امضای الکترونیکی شورای دولتی فرانسه نیز ذکر شده است.

با توجه به اینکه ابزار صدور امضای الکترونیکی ساده در دسترس همگان قراردارد لذا در مقام استناد قابل اعتماد و اطمینان نیستند از اینرو لازم است که مرجع ثالثی کار صدور و نگهداری و تایید اصالت و اعتبار گواهیهای الکترونیکی را بعهده داشته باشد این کار در بسیاری از کشورها توسط مراجع دولتی صورت میگیرد در کشور ما  برابر ماده ۲ آئین نامه ماده ۳۲  قانون تجارت الکترونیک ، شورای سیاستگذاری گواهی الکترونیکی متشکل از معاونین وزارتخانه های مختلف تحت ریاست وزیر بازرگانی  یا معاون وی تشکیل شده و صدور مجوز تاسیس مرکز ریشه صدور گواهی الکترونیک  ، سیاستگذاریها و نظارت عالیه بر فعالیتهای مراکز ریشه و میانی و سایر وظایف احصا شده در ماده ۳ آئین نامه مذکور را بعهده دارد. برابر ماده ۳۱ نیز ارائه خدمات صدور امضای الکترونیکی که شامل تولید ، صدور ، ذخیره ، ارسال ، تایید ، ابطال و به روز نگهداری گواهیهای اصالات (امضای) الکترونیکی است توسط دفاتر خدمات صدور گواهی الکترونیکی انجام میشود همچنین کلیه مؤسسات اعم از دولتی یا غیردولتی می‌توانند در حوزه فعالیت داخلی خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدورگواهی نمایند. گواهی‌هایی که توسط این موسسات صادر می‌شود از شمول مقررات ماده ۱۰ خارج بوده و صرفا ًقابل استفاده در همان مؤسسات خواهد بود. بنابراین وقتی از امضای الکترونیکی مطمئن یاد میشود منظور آن  امضائی است که از دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده ۳۱ قانون تجارت الکترونیک و دفاتر ثبت نام گواهی الکترونیکی موضوع بند پ ماده ۴ آئین نامه ماده ۳۲ قانون مذکور صادره شده است ، و سایر موارد تحت شمول عنوان امضای الکترونیک ساده قرار میگیرد .

اطمینان بخشی امضای الکترونیک مطمئن و اعتبار خاصی که مقررات به آن بخشیده است آن را در میان سایر روشهای احراز هویت در عملیات الکترونیکی ممتاز نموده است. همچنین خصوصیت ویژه دیگری که امضای الکترونیک مطمئن نسبت به سایر روشهای احراز دارد اینست که هویت واقعی فرد را مشخص و تائید مینماید.

ساز وکاری که در مبادلات با استفاده امضای الکترونیک بکارگرفته میشود تا اطمینان کامل از حفظ محرمانگی و احراز هویت و انکارناپذیری آن حاصل شود بدینگونه است :

۱-ایجاد متن پیامی که درصدد ارسال الکترونیکی آن ایجاد متن است .

۲- جهت اجتناب از انباشتگی و حجیم شدن پیام اصلی در اثر رمزنگاری با استفاده از نرم افزارهای خاصی پیام باصطلاح هش  میشود.

    ۳-با استفاده از کلید خصوصی پیام خلاصه (هش) شده را رمزنگاری میکند در اینجا چون پیام با استفاده از کلید خصوصی رمز نگاری شده است هرکسی میتواند با استفاده از کلید عمومی فرستنده محتوای پیام را رمزگشایی و مشاهده کند

    ۴-جهت جلوگیری از دسترسی دیگران به محتوای پیام ، فرستنده پیام با استفاده از کلید عمومی گیرنده آن را رمز نگاری میکند

    ارسال پیامی رمزنگاری شده

 

۶-گیرنده پیام پس از دریافت ابتدا آن را با استفاده از کلید خصوصی خود و سپس با کلید عمومی فرستنده امضای الکترونیکی آن را رمزگشایی میکند

    ۷-با رمز گشایی امضای الکترونیکی خلاصه پیام بدست می آید خلا صه پیام را با خلاصه پیام اصلی مقایسه و در صورتیکه تفاوتی میان آن دو نباشد هویت فرستنده و  درستی پیام احراز میشود

فصل سوم – اعتبار قانونی داده پیام های الکترونیکی

داده پیام هایی که در فضای مجازی مبادله میگردندآیا از نظر قانونی دارای اعتبار هستند؟ وقتی دلیل استناد شده در دعوای مطروحه راجع به معاملات تجاری ، یک عدد فایل الکترونیکی است که ادعا میشود به خوانده تعلق دارد تکلیف دادگاه چیست؟ اگر چنین فایلی به عنوان دلیل در پرونده پذیرفته شود اعتبار کدامیک از ادله اثبات دعوا را خواهد داشت؟  ارزش اثباتی داده پیامهایی که در مقام ادله اثبات دعوی استفاده میشوند در قبال  همدیگر چگونه است آیا هرداده پیامی دارای ارزشی همتراز دیگر داده پیام هاست یا تفاوتهایی بین انواع مختلف آنها وجود دارد؟

علیرغم گذشت متجاوز از ده سال از زمان تصویب مقررات تجارت الکترونیک ، توجه زیادی از سوی اساتید و نویسندگان کتب حقوقی در مورد جنبه های حقوقی تجارت الکترونیک و ارزش ادله الکترونیکی مشاهده نمیشود هرچند شاید رواج به ظاهر کمتر این شیوه از تجارت و عدم احساس نیاز ، از دلایل موضوع بوده باشد لکن میتوان گفت دلیل عمده آن بخاطر این است که مقررات قانون تجارت الکترونیک در آن قسمت که مربوط به ارزش ادله اثباتی است برای ادله الکترونیک خصوصیات ویژه و متفاوت از ادله دیگر اثبات دعوی قائل نشده است بنابراین مانند اسناد غیر الکترونیکی که به اسناد عادی و رسمی تقسیم شده است اسناد الکترونیکی را نیز میتوان به اسناد عادی و اسناد ممتاز تقسیم کرد اسناد الکترونیکی عادی نیز در طبقه خود دارای ارزش معادلی با هم نیستند بلکه با توجه به نحوه و ایجاد و ساختار  شکلی آن و میزان اطمینان بخشی  و قدرت اثباتی و تاثیری که در اقناع وجدان دادرس میتوانند داشته باشند با همدیگر متمایز هستند ، اسناد الکترونیکی ممتاز نیز بدلیل اعتبار خاصی که قانون به آنها بخشیده است دارنده چنین دلایلی را از ارائه دلایل دیگر برای اثبات اصالت آن بی نیاز میکند.

با توجه به قانون تجارت الکترونیک ، ادله الکترونیک را با توجه به ارزش آن میتوان به دو دسته تقسیم کرد : ۱- داده پیام و امضای الکترونیک ساده  ۲- داده پیام و امضای الکترونیکی مطمئن.

 

داده پیام و امضای الکترونیک ساده۳-۱

ماده ۶ قانون تجارت الکترونیک داده پیام را در حکم نوشته کاغذی قرار داده است بنابراین هیچ تفاوتی ندارد که سند مورد استناد در یک دعوی نوشته ای کاغذی باشد مطابق آنچه تاکنون مرسوم بوده و هست یا اینکه داده پیام الکترونیکی باشد البته بدلیل اهمیت خاصی که برخی اموال دارند برای حکم عام صدر ماده استثنائاتی بیان شده است که عبارتند از الف اسناد مالکیت اموال غیر منقول ب فروش مواد دارویی به مصرف کنندگان نهایی ج- اعلام ، اخطار ، هشدار و یا عبارات مشابه یک دستور خاصی برای استفاده کالا صادر می‌کند و یا از بکارگیری روشهای خاصی به صورت فعل یا ترک فعل منع میکند.

برابر ماده ۷ نیز در هر موردی که وجود امضای فیزیکی لازم باشد امضای الکترونیک همان اعتبار و اثر را دارد  با این وصف امضای الکترونیکی از مصادیق امضای موضوع ماده ۱۳۰۱ قانون مدنی میباشد و بر علیه امضا کننده آن دلیل محسوب میشود. از آنچه گفته شد مشخص میگردد هر داده پیامی حتی اگر متصف به وصف مطمئن نباشد نیز از نظر مقررات قانون میتواند دارای اعتبار باشد. ماده ۱۲ قانون تجارت الکترونیک تایید دیگری بر اعتبار داده پیام میباشد که اشعار میدارد در صورتیکه داده پیام بعنوان اسناد و ادله اثبات دعوی ارائه شود هیچ محکمه یا اداره دولتی نمیتواندآنها را صرفاً به دلیل شکل و قالب آنها رد کند.  ارزش اثباتی داده  هرکدام از داده پیامها نیز در مقابل دیگری باتوجه به عوامل مطمئنه از جمله تناسب روشها با موضوع و منظور مبادله داده پیام معین میشود. با این وجود ، علیرغم تفاوت ارزش داده پیامهای غیر مطمئن با همدیگر، بر اساس نوع و ساختار آنها بطور کلی از حیث ادله اثبات دعوی در زمره اسناد عادی قرار میگیرند. و بنابراین خوانده یا خواهانی که علیه او چنین اسنادی ابراز میشود میتواند برابر ماده ۲۱۶ قانون آئین دادرسی مدنی انکار و تردید نماید و احکام منکر بر او مترتب خواهد شد.

۲-۳داده پیام و امضای الکترونیکی مطمئن

قانون تجارت الکترونیک نسبت به داده پیام  ها و امضاهای الکترونیکی  که شرایط مقرره در آن قانون را را دارا باشند ارزشی همطراز با ارزش اسنادی که در حکم اسناد رسمی هستند قائل شده است برابر ماده ۱۴ قانون تجارت الکترونیک کلیه داده پیامهایی که به طریق مطمئن ایجاد و نگهداری شده اند از حیث محتویات و امضای مندرج در آن ، تعهدات طرفین یا طرفی که تعهدکرده وکلیه اشخاصی که قائم مقام قانونی آنان محسوب میشوند ، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی وحقوقی است.  با توجه به اینکه برابر ماده ۱۵ قانون مذکور انکار و تردید در قبال داده پیام مطمئن مسموع نمیباشد و صرفا میتوان در قبال آن ادعای جعلیت نمود لذا میتوان گفت هرچند در فرایند تصویب ماده ۱۴ عبارت در «حکم سند رسمی» به عبارت «درحکم اسناد معتبر و قابل استناد» تغییر یافته است   لیکن از نظر ادله اثبات دعوی مقرراتی به مثابه اسناد در حکم اسناد رسمی برای آن مقرر شده است.

برای اینکه داده پیام  و امضای الکترونیکی متصف به وصف مطمئن گردد لازم است  حسب مورد شرایط مقرر در ماده ۱۰ و ۱۱ را داشته باشد و مطابق ماده ۱۶ نزد شخص ثالث نگهداری شود.

لازم به توضیح است در قسمت دوم ماده ۱۵ راجع به امکان ادعای جعلیت صرفا داده پیام ذکر شده و به دو گزینه دیگر اشاره ای نگردیده است که بنظر میرسد علت آن عدم امکان ادعای جعلیت نسبت به امضای الکترونیک مطمئن و سوابق الکترونیک مطمئن نمیباشد بلکه عبارت داده پیام در این قسمت از ماده برخلاف قسمت اول آن در معنای عام داده پیام استعمال شده است که اعم از داده پیام به معنای خاص و سوابق الکترونیکی و امضای الکترونیکی میباشد و این معنا با توجه به سیاق ماده به راحتی قابل استنباط است

نتیجه گیری

در تجارت الکترونیک از روشهای مختلفی برای احراز هویت طرف معامله مورد استفاده قرار میگیرد که عبارتند از تعیین نام کاربری و رمز و کنترل دستیابی ، استفاده از شناسه های فعال و غیرفعال ، شناسایی از طریق اسکن ویژگیهای حیاتی اشخاص ، رمزنگاری و امضای الکترونیک.  این شیوه ها هرچند از نظر اطمینان بخشی و ارزش استنادی درجات متفاوتی دارند لکن به تناسب کار و درجه سهولت ، همگی روشها مورد استفاده و مرسوم میباشند  لکن امضای الکترونیک مطمئن، مشخص کننده هویت حقیقی طرف مقابل مبادلات و ارتباطات در فضای مجازی بوده و میتواند ضمن تامین امنیت مبادلات و مراسلات الکترونیکی ، غیر قابل انکار بودن معاملات را نیز تضمین نماید

 

 

فهرست منابع :

قانون :

قانون تجارت الکترونیک

کتب  حقوقی :

محمد فتحیان ؛  رامین مولاناپور ، «تجارت الکترونیکی» ، چاپ پنجم ، ۱۳۹۱

پیام حنفی زاده ؛  مهرداد  رضائی ، «تعاریف ، موانع و راهکارهای تجارت الکترونیکی » ، انتشارات ترمه ، چاپ هفتم ۱۳۹۱ ۲۲

محمد ساردوئی نسب ؛ احد طاهری ، «اسناد تجارتی الکترونیکی» ، نشر میزان ، چاپ اول ۱۳۹۳

امیرخانعلیزاده ، نصراله خانی ، «تجارت الکترونیک» ، ناشر علوم رایانه ، چاپ دوم ۱۳۸۹

ماریا فسلی ، «فناوری عامل درتجارت الکترونیک» ،  مترجم  ،  اکبرداستانی  ،  ناشر : کیان رایانه سبز ، چاپ اول ۱۳۸۹

خلاصه مطلب :

 روشهایی که در معاملات و عملیات تجاری در فضای مجازی عملا مورد استفاده قرارمیگیرند همچنانکه قبلا به تفصیل اشاره شده است متعدد و متفاوت میباشند  بنگاههای اقتصادی ، بجای اینکه توجه زیادی به آثار و تبعات روش مورد استفاده خود داشته باشند به تناسب کاری که دارند روشی را بر می گزینند که بازده مطلوبی از جهت اهداف کسب و کار برایشان داشته باشد از اینرو همواره اقتضائات شغل تجارت و سهولت کار و ارتباط با مشتریان بیش از جنبه های قانونی امنیت موردتوجه است و از نظر مدیریت کار ، انتخاب روش مناسب از نظر امنیت تجارت بعنوان صرفا بعنوان یکی از پارامترها مورد توجه در مدیریت مشاغل مختلف میباشد. بنابراین در مشاغل مختلفی که از شیوه های تجارت الکترونیک سود میبرند بیشتر بر مسدود کردن راه سوء استفاده و عدم دسترسی اشخاص غیر با استفاده از جنبه های فنی دقت مینمایند تا انتخاب مطمئن ترین راه قانونی ، هرچند که مطمئن ترین راه قانونی خود مطمئن ترین راه فنی نیز هست لکن معمولا راحت ترین راه نیست و این در تجارت اهمیت زیادی دارد. بنابراین ممکن است یک شرکت در مبادلات عمده خود از امضای الکترونیک سود ببرد در حالکیه در فروشهای کمتر صرفا به روشهای عادی و غیر مطمئن بسنده نماید .

والسلام

ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته :
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.

مجوزها

logo-samandehi
موسسه حقوقی و داوری عدل نوین مدافع ایرانیان يك شارژ موسسه حقوقی و داوری عدل نوین مدافع ایرانیان موسسه حقوقی و داوری عدل نوین مدافع ایرانیان