التوقيع الرقمي Digital Signature] 1] ::

الكاتب: محمد علي حشيش
نشرت على الموقع بتاريخ: 04/10/2007

في السنوات القليلة الماضية ومع انتشار أجهزة الحاسب الآلي ومع زيادة عدد الأفراد والمؤسسات والشركات وكثير من طوائف المجتمعات الذين يستخدمون أجهزة الحاسب الآلي متصلين معا بشبكة التشبيك المعروفة بالإنترنت Internet (Internetworking Network)1، أصبحنا نسمع البعض يتحدثون حول التوقيع الإلكتروني ويحدث خلط كبير بين التوقيع الإلكتروني Electronic Signature والتوقيع الرقمي Digital Signature . هذا الخلط واقع ليس فقط عند غير المختصين ولكنه موجود أيضا بين كثير ممن ينتمون لتخصص علم الحاسبات الآلية وهذا الخلط والخطأ موجود ليس فقط في بيئتنا العربية بل موجود أيضا عند الدول المتقدمة في مجال التقنية المعلوماتية Information Technology والمتقدمة في هندسة وعلوم الحاسبات الآلية، ولكن يضاف في منطقتنا العربية خطأ لغوي إضافي ألا وهو أن الكثيرين يشيرون على Digital Signature بأنه التوقيع الإلكتروني.

ودعونا نتفق أولا على أن التوقيع الإلكتروني Electronic Signature ليس هو التوقيع الرقمي Digital Signature .
إذن من البداهة الآن أن تطرح هذه الأسئلة: ما هو التوقيع الإلكتروني؟ وما هو التوقيع الرقمي؟ ولما يحدث هذا الخلط بينهما؟
ولكي أجيب عن هذه الأسئلة بسهولة، سوف أقوم بإعادة ترتيبهم عند الإجابة، فاسمحوا لي...
1- لماذا يحدث الخلط بينهم (بين التوقيعين الإلكتروني والرقمي)؟
الإجابة: التوقيع الرقمي نوع من أنواع التوقيع الإلكتروني. التوقيع الرقمي يعتبر فئة جزئية من مجال التوقيع الإلكتروني .

2- ما هو التوقيع الإلكتروني؟
التوقيع الإلكتروني هو صورة من صور التوقيعات والتعريف بشخص أو بجهة الموقع وهو يحمل كما التوقيع المتعارف عليه (توقيع القلم والورقة) مميزات تظهر لكل من يطلع عليه أن هذا المستند الموقع بهذا التوقيع يرجع لصاحب التوقيع ويوثق أو يضمن محتوى هذا المستند بما يعرف بعملية التوثيق Authentication.

التوقيع الإلكتروني يشمل عدة أنواع منها ما هو بسيط ولا يحمل أي نوع من أنواع الضمانات ولكنه يظل توقيعا إلكترونيا في معناه الظاهري، ومنها ما هو معقد ويحمل كافة الضمانات ليصبح توقيعا معتمدا لمحتوى الوثيقة التي تحمله وله كافة الامتيازات القانونية للتعامل به.
ومن هذه الأنواع ما يلي:
أ- صورة من توقيعك اليدوي Scanned handwritten signature
نوع بسيط وهو عبارة عن عمل مسح ضوئي بواسطة جهاز الماسح الضوئي Scanner لتوقيعك العادي المكتوب على ورقة ثم يتم حفظة على هيئة صورة تضاف إلى الملف أو المستند المراد التوقيع عليه.
هذا النوع من التوقيعات ليست له أي ضمانات وقد يتعرض للتزوير وقد يسرق من على المستند الموقع عليه بهذا النوع ويضاف على مستندات أخرى وكأنها موقعة من نفس الشخص .
يستخدم هذا النوع في العادة كشكل من أشكال إستكمال الهيئة الرسمية للمستند، مثال على ذلك توقيع رئيس مجلس إدارة شركة على كلمة الترحيب لزوار موقع الشركة على الإنترنت.
هذا التوقيع ليس له أي صفة قانونية في العالم الرقمي وليس هناك من يؤكد أن هذا التوقيع فعلا هو توقيع هذا الشخص أو ذاك.

ب – التوقيع اليدوي الرقمي Handwritten Digital Signature
في الواقع هذا النوع يعتبر من أنواع تطبيقات Biometric Security في مجال أمن البيانات، وهي متعددة الأنواع مثل بصمة الصوت Voice fingerprint وبصمة الإبهام fingerprint thumb stamp وبصمة قرنية العين IRIS systems وكذلك التعرف على خط يد إنسان والتمييز بين خط يد إنسان وخط يد إنسان آخر Handwritten Recognition .

وبهذا يمكن أخذ عينة التوقيع المكتوبة بخط اليد وتحويل Digitize خصائصها Features إلى خصائص منفردة لصاحب التوقيع وحفظها بطريقة مؤمنة Secured وليكن على بطاقة ذكيةSmart Card ومن ثم أصبح هذا التوقيع يعبر عن صاحبه وله الصفة القانونية لتوثيق (توقيع) Authenticate مستند ما.
عادة يستخدم هذا النوع مصحوبا بالبيانات الأساسية لصاحب التوقيع مثل الاسم، تاريخ الميلاد، الجنس، عنوان السكن، ويستخدم في عمل بطاقات تعريف ذكيةSmart Identification Cards وكذلك بطاقات المرور من بوابات المطارات وغيرها.

ج - التوقيع الرقمي Digital Signature
وهذا النوع هو رقمي بحت فهو ليس ترقيم Digitize لتوقيع يدوي أو أخذ بصمة وترقيمها وإنما ينشئ رقميا ويظل رقميا وهو سهل الاستخدام إذا ما تعلم الشخص استخدامه ولكنه من النوع المعقد هندسيا والآمن جداً ويضمن هذا النوع موثقية المستند وأن من أرسله هو فعلا صاحب التوقيع بلا شك.
هذا النوع يستحيل تزويرة أو تقليده أو كسره (حتى هذه اللحظة يحتاج لأكثر من مليون سنة) وهو أكثر الأنواع أمانا Full Secured .
ولهذا سوف أتحدث عنه بتفصيل أكثر في الرد على السؤال الأخير (ما هو التوقيع الرقمي؟) وسيكون الحديث عن فكرته وعن كيفية استخدامه، أما لماذا "يستحيل" تزويره ولماذا كل هذه الثقة في أمانه، فهذا حديث يطول شرحه ويمكن الرجوع للمراجع والمواقع على الإنترنت المذكورة في نهاية المقال.

ما سبق كان الرد على سؤالين من الثلاثة أسئلة التي تبادرت إلى أذهاننا وكانت تحديدا النقطة الأخيرة بها إجابة ضمنيه على السؤال الأخير ولكنها إجابة مختصرة لتعريف الفارق الظاهري بين التوقيع الإلكتروني والرقمي.

يجب علينا أن نقف للنظر أين نحن وما الحاجة لكل هذه الأنواع وما فائدتها لنا كأفراد مختلفي الأنشطة والمجالات ومن مهن مختلفة وأعمار مختلفة ومن دول وأعراق مختلفة ولغات وديانات وثقافات مختلفة ولكن يجمعنا زمن واحد وعالم رقمي واحد وهو عالم ضخم حيث يوجد ملايين بل بلايين البشر يعملون Online أو يعيشون Live معا على شبكة واحدة في نفس اللحظة والوقت، تصل بينهم أطراف من أسلاك بالكاد يلحظها الجالسون أمام الحاسبات الآلية ويمر عبرها كم هائل من البيانات إلى ومن الملايين لبعضهم البعض وهذا الكم الضخم من البيانات تختلف درجات خصوصيته وأهميته لمرسل البيانات أو مستقبلها.

ولكن بلا أدنى شك نحن كمهندسين متخصصين في مجال تقنية المعلومات يشغلنا ويهمنا تأمين البيانات والحفاظ عليها وعلى سريتها وخصوصيتها والحفاظ على خصوصية صاحب البيانات Privacy كمنطلق طبيعي للحفاظ على الإنجازات في العالم الرقمي، بدون هذه الضمانات سوف يضعُف وينهار ولهذا فإن علم أمن البيانات والشبكات Data and Network Security يسعى لتأمين البيانات أينما كانت ويعمل على تأمين ستة خدمات رئيسية وهي الحفاظ على الخصوصية Confidentiality privacy وتأكيد التوثيق بأن مرسل الرسالة موثوق به Authentication والحفاظ على البيانات سليمه لا تعدل ولا تمس Data Integrity والحفاظ على أن لا ينكر سواء الراسل أو المستقبل إرساله أو إستقباله للرسالة Non-repudiations والحفاظ على الأجهزة والبرامج تعمل خلال خط التوصيل Access Control وأخيرا القدرة على منع فقد أو سقوط أي من عناصر منظومة الاتصال بين المرسل والمستقبل Availability .

ولكن هذا العلم لابد أن يساعده على الجانب الآخر المستخدمين لأجهزة الحاسب والشبكات وقد يتعرض من لا يسعى لمعرفة بعض الأسس لكثير من المشاكل والخاصة بفقد البيانات واختراق الدخلاء Intruders سواء لأجهزتهم الشخصية أو شبكاتهم المحلية (LANs Local Area Networks ).

ولهذا أدعو كل من يقرأ هذا المقال أن يقوم بمحاولة التعرف على بعض المواضيع الهامة وذلك بالبحث والقراءة عن ما قد تتعرض له أجهزة الحاسب الخاصة بهم وبياناتهم مثل الفيروسات Viruses، الديدان Worms ، أحصنة طروادة Trojans Horses ، الدخلاء Intruders ، طرق كسر كلمات المرور مثل Brute-Force وغيرها وأيضا معرفة كيفية حماية أجهزتهم وبياناتهم مما سبق وأيضا أوجه الدعوة لقراءة مقال سابق عن كلمات المرور وكان بعنوان "افتح يا سمسم" على الموقع .
                                                                                                                                  وللحديث بقية إذا كان في العمر بقية

المراجع:
1- Denning, D. “An Intrusion- Detection Model.” IEEE Introductions on Software Engineering, Feb., 1987.
2- Diffie, W., and Hellman, M. “Privacy and Authentication: An Introduction to Cryptography.” Proceeding of the IEEE, March 1979.
3- Meinel, C. “Code Red for the Web.” Scientific American, October 2001.
4- Schneir, B. Applied Cryptography. New York : Wiley, 1996.

مواقع مفيدة:
1- www.itl.nist.gov
2- www.gnupg.org
3- www.schneier.com

ملاحظات:
(1) تسمى الإنترنت خطأ بالشبكة العالمية على أنها اختصار International Network ولكن الاسم الحقيقي هو شبكة التشبيك Internetworking Network .
(2) جميع حقوق الملكية و الملكية الفكرية للعلامات التجارية والمسجلة التي ذكرت في المقال ملك لأصحابها .
(3) الحقوق الفكرية للمقالة لكاتبها وتحت ترخيص GPL General Public License. يمكن استخدمها للأغراض غير التجارية مع ذكر اسم كاتبها والموقع www.magnin.com

30/9/2007