مشاريع البنية التحتية للمفاتيح العمومية تعكس تطور التعاملات الإلكترونية الحكومية
مشاريع البنية التحتية للمفاتيح العمومية تعكس تطور التعاملات الإلكترونية الحكومية
سعياً إلى تأسيس منظومة مترابطة لتطبيق مفاهيم التعاملات الإلكترونية الحكومية، واستناداً إلى تجارب الدول المتقدمة في مجال التعاملات الإلكترونية الحكومية، فقد اتضح لوزارة الاتصالات وتقنية المعلومات أهمية تأسيس مركز يوفر خدمات المفاتيح العامة على مستويات مختلفة. ما سيسهم في تسريع تطبيق تلك المفاهيم. وقد ظهرت الحاجة إلى توفير هذه البنية نظراً للانتشار السريع للإنترنت والتوسع في استخدامها في شتى المجالات.
فالإنترنت تستخدم حالياً للتراسل والتخاطب بين عامة الناس، ولإجراء الصفقات التجارية المختلفة، علاوة على استخداماتها المتعددة في المنشآت الحكومية المدنية منها والعسكرية، التي تحتاج إلى قدر كبير من السرية والموثوقية حسب طبيعتها. وهناك ما يعرف بالشبكات الافتراضية الخاصة (Virtual Private Networks) والتي تستفيد من انتشار شبكة الإنترنت، وانخفاض تكلفة الارتباط عن طريقها، لتمنح المنشأة إمكانية إنشاء شبكتها الخاصة، باستخدام خطوط الإنترنت ذات التكلفة المتدنية، مع ضمان سرية وموثوقية البيانات المتبادلة بواسطة تلك الشبكة العامة.
وهناك عدد من القضايا والتساؤلات المهمة التي تمس المتعاملين عن طريق الإنترنت، والتي تبين من خلال الأبحاث والتجارب العالمية في السنوات الماضية أن تقنية البنية التحتية للمفاتيح العامة تقدم أفضل الحلول بشأنها. ومن تلك التساؤلات، كيف يمكن لشخصين التراسل فيما بينهما بعيداً عن أعين المتطفلين والعابثين؟ وكيف يستطيع من يستقبل رسالة إلكترونية التأكد من أن المرسل هو الشخص المتوقع وليس شخصاً آخر انتحل شخصيته؟ وكيف يتأكد المصرف من أن الشخص الذي يود الدخول إلى حسابه الشخصي هو في الواقع صاحب الحساب وليس شخصاً آخر؟ أو كيف لإدارة المرور التأكد من أن من يطلب تجديد رخصة القيادة هو بالفعل صاحبها؟ أو كيف لمدرسة أو جامعة التأكد من أن من يود الدخول إلى سجلاته الدراسية هو الطالب المعني وليس شخصاً غيره؟ وكيف يستطيع وسيط الأسهم منع زبون من إنكار قيامه بإدخال طلب الشراء لعدد من الأسهم، عندما يكون الزبون بالفعل قد أدخل الأمر لشرائها؟ وكيف يمكن لطرفين التوقيع على عقد تجاري فيما بينهما عن طريق الإنترنت، دون الحاجة إلى وجودهما معاً في المكان نفسه؟ وكيف يمكن للمرسل التأكد من استلام المرسل إليه للرسالة؟ وكيف يلزمه قانونياً بذلك؟ وكيف للمرسل إليه إثبات قيام المرسل بإرسال الرسالة؟ إن الأجوبة عن جميع تلك الأسئلة وغيرها نجدها فيما يعرف بالبنية التحتية للمفاتيح العامة، والتي تشكل منظومة أمنية متكاملة لإدارة المفاتيح الرقمية المستخدمة في الحفاظ على سرية المعلومات، والتثبت من هوية المتعاملين، والحفاظ على سلامة البيانات من العبث والتغيير، والقيام بإجراء التوقيعات الإلكترونية.
وتهدف البنية التحتية من خلال وظائفها إلى سرية المعلومات Confidentlity، وتعني تمكين المتعاملين من تبادل المعلومات فيما بينهم بحيث لا يمكن للآخرين معرفة طبيعة تلك المعلومات. وتأتي الوظيفة الثانية هي التثبت من الهوية Authentication وتعني تمكين المتعاملين من معرفة هوية بعضهم البعض بشكل قاطع. والوظيفة الثالثة هي سلامة البيانات Data lntegrity وتعني اكتشاف أي تغيير في شكل البيانات أو محتواها، أو حذف جزء منها، أو الإضافة إليها، أو تعديلها بعد الإرسال. وتأتي الوظيفة الأخيرة في التوقيع الإلكتروني Electronic Signature وتعني قدرة المستخدم على إجراء عملية التوقيع بصيغة إلكترونية. وقدرة المستلم على التحقق من صحة هذا التوقيع.
وتستخدم البنية التحتية للمفاتيح العامة في عدد من التطبيقات عبر البريد الإلكتروني الآمن، والذي يمكن عن طريقه تشفير الرسائل القصيرة منعاً لقراءتها من قبل المتطفلين والعابثين. وتستخدم أيضا في حماية مواقع الإنترنت خصوصاً تلك المعنية بالتجارة الإلكترونية، والتعاملات الإلكترونية الحكومية، للتأكد من هوية المستخدم وجعل التخاطب معه يتم بطريقة آمنة. وتستخدم أيضا في التوقيع الإلكتروني: والذي يجعل من الممكن تضمين التوقيع في الوثائق والخطابات والنماذج وغيرها. وأيضا لها استخدامات أخرى: مثل التوقيع على البرامج الحاسوبية ، بحيث يتمكن المستخدم من معرفة الجهة التي أصدرت البرنامج، منعاً لانتشار الفيروسات، أو استخدام برامج مقلدة أو رديئة المستوى. ولاشك أن من أهم الاستخدامات هي وضع الختم الزمني للمراسلات والوثائق: وهي طريقة يتم من خلالها إضافة الوقت الفعلي الرسمي الذي تمت فيه العملية الإلكترونية، ويستخدم في الإثباتات القانونية. وأحد استخداماتها الأخرى هي تصديق الخطابات التي تحتاج إلى مصادقة من جهة معينة: كما هو متبع في الطرق التقليدية كالحصول على مصادقة عمدة الحي، أو رئيس مركز الشرطة. وأخيرا تستخدم في التراسل الموثوق والآمن فيما بين أجهزة وخوادم الحاسبات من خلال إصدار شهادة رقمية لكل جهاز، مع مقدرة الجهاز على إجراء التوقيع الإلكتروني الخاص به.
التوقيع الإلكتروني
التوقيع الإلكتروني هو عبارة عن إجراء يقوم به المرسل بحيث يتم ربط هويته بالوثيقة الموقع عليها، وبحيث يمكن لمستلم الوثيقة التحقق من صحة التوقيع. ولا يعني التوقيع الإلكتروني "الإمضاء" التقليدي المعروف الذي يتم غالباً على الورق. بل إنه مجرد نص قصير يضاف إلى أول الوثيقة أو آخرها. أو أن يكون مفصولاً عنها تماماً، كأن يرسل في ملف مستقل. يبين الشكل رقم (1) مثالا لشكل التوقيع الإلكتروني عند ظهوره على الشاشة.
يختلف التوقيع الإلكتروني عن التوقيع على الورق في أنه يؤكد هوية المرسل بشكل قاطع، ويمنع حدوث أي تغيير أو عبث في الوثيقة الموقع عليها، وذلك بشرط أن تتم العملية بكاملها حسب قواعد وأسس البنية التحتية للمفاتيح العامة، أو ما يعادلها من تقنيات أخرى. فإن التوقيع على الورق قابل للتزييف بسهولة، على الرغم من تفاوت شكل التوقيع من شخص إلى آخر. كما أن عملية التحقق من صحة التوقيع اليدوي غير عملية، إذ تعتمد بشكل كبير على مهارة الشخص الذي يقوم بمطابقة التوقيع أو على معرفته السابقة بالشخص الموقع، وفي أحيان كثيرة لا تتم مطابقة التوقيع على الإطلاق! كذلك فإن الوثيقة الموقعة يدوياً قابلة للتغيير والعبث، وفي كثير من الأحيان يأتي التوقيع اليدوي في نهاية وثيقة مكونة من عدة صفحات، فيكون من السهل على أي عابث القيام بتغيير بعض صفحاتها دون أن يلحظ أحد ذلك. باختصار نقول إن التوقيع الإلكتروني يتجنب جميع المشكلات الناتجة عن التوقيع اليدوي متى تم إحداثه بطريقة صحيحة. ويوضح الشكل رقم (2) كيفية عمل التوقيع الإلكتروني، حيث إن مدير شؤون الموظفين في منشأة ما يود إرسال إعلان إلى جميع الموظفين لإعلامهم عن موعد يوم إجازة خاصة للموظفين. لاحظ أن المطلوب في هذه الحالة ليس تشفير الإعلان، الذي لا يعد سريا بحد ذاته، بل إن المطلوب فقط التأكد من أن الإعلان صادر بالفعل من مدير شؤون الموظفين، هنا نرى أن عملية إجراء التوقيع تتم حسب الخطوات التالية وفقاً للأرقام الموضحة في الشكل:
1- قيام المدير بإعداد الإعلان.
2- قيام جهاز المدير بإجراء العملية الحسابية التي تضمن سلامة المحتوى.
3- قيام جهاز المدير بتشفير المختصر الحسابي باستخدام مفتاح المدير الخاص. وذلك منعاً لقيام شخص آخر بتغيير الإعلان، وإعادة حساب المختصر الحسابي، وإرفاقه مع الإعلان.
4- المختصر الحسابي مع الوثيقة، وإرسال الملف الناتج إلى جميع الموظفين عن طريق البريد الإلكتروني.
عند تسلم أحد الموظفين للإعلان (كما في الشكل رقم 3)، يقوم جهازه بالتأكد من صحة التوقيع، وذلك باتباع الخطوات التالية، هنا نفترض أن جميع الموظفين لديهم المفتاح العام للمدير:
1- تسلم الإعلان من قبل أحد الموظفين.
2- قيام الجهاز بإجراء المختصر الحسابي للوثيقة باستخدام العملية الرياضية نفسها التي تمت في جهاز المدير، وذلك لاستخراج المختصر الحسابي الخاص بالرسالة.
3- استخدام المفتاح العام للمدير لفك التشفير عن المختصر الحسابي. واستخراج المختصر الحسابي الأصلي الذي تم إرساله من قبل المدير، هذه الخطوة تؤكد أن المرسل هو بالفعل مدير شؤون الموظفين، ولكنها لا تضمن سلامة النص من العبث أو التغيير أثناء الطريق، بل إن ذلك يتم في الخطوات التالية.
4- مقارنة الرقمين (من الخطوتين 2 و3)، لإثبات أن الرسالة جاءت بالفعل من المدير ولم يحدث عليها أي تغيير.