خدمات السلطة القومية للمصادقة الإلكترونية

تقدم السلطة القومية للمصادقة الإلكترونية منظومة متكاملة لإدارة البنية التحتية للمفاتيح العامة، والتي هي عبارة عن منظومة أمنية متكاملة لإدارة المفاتيح االإلكترونية المستخدمة في الحفاظ على سرية المعلومات والتثبت من هوية المتعاملين، إلى جانب الحفاظ على سلامة البيانات من العبث والتغيير، والقيام بإجراء التوقيعات الإلكترونية. وهذه الخصائص تقوم عليها كافة الأعمال الإلكترونية كالحكومة الإلكترونية والتجارة الالكترونية وأي معاملة إلكترونية، وغيرها من التطبيقات الإلكترونية الشبكية. وتمكّن هذه البنية الأمنية المتعاملين عن طريق شبكة الإنترنت بمختلف فئاتهم من إجراء الأعمال والعمليات الإلكترونية بأمن وموثوقية وسلامة تامة.
الشهادات الإلكترونية:-
الشهادات الإلكترونية / الرقمية هي عبارة عن وثيقة إلكترونية تربط كيان معين (شركة / مؤسسة أو خادم أو شخص ما) بمفتاح عام لحل مشكلة انتحال الشخصية.
وتثبت هذه الشهادة هوية الشخص مثلها مثل جواز السفر. لكن الاختلاف هنا أن جواز السفر لا يمكن عمل نسخ منه ونشره للملأ، بعكس الشهادة الرقمية التي يمكن عمل نسخ منها ونشرها، والسبب في ذلك أنها لا تحتوي على معلومات سرية ونشرها لا يؤدي إلى مخاطر أمنية، لأن المفتاح العام المصدّق من قبل المانح (مراكز التصديق الإلكتروني) سيعمل مع المفتاح الخاص المرافق له و المملوك من قبل الكائن المعرف بالشهادة.
يلزم الحصول على شهادة الإلكترونية عند استخدام موقع إلكتروني آمن مثلا عند شراء شيئا من موقع إلكتروني أو عند إجراء معاملة إلكترونية. وأيضاً تستخدم عند إرسال الرسائل البريدية لإثبات الشخصية.
مكونات الشهادة الرقمية:
لقد قام قطاع التوحيد القياسي لاتحاد الاتصالات العالمي بنشر معيار X.509  الذي يعرف مكونات الشهادة الرقمية والمستخدم من البنية التحتية بحيث تحتوي الشهادة على المعلومات التالية:
الرقم التسلسلي: وهو رقم فريد لتمييز الشهادة عن غيرها من الشهادات.
اسم الكيان التي أصدرت من أجله الشهادة مثلا اسم شخص أو مؤسسة أو خادم.
التوقيع الإلكتروني: وهو عبارة عن تعريف يثبت للمستخدمين أن الشهادة  قد أتت من الجهة التي يثقون بها وليس من جهة مزيفة.
الخوارزمية المستخدمة لإنشاء التوقيع: لتوقيع الشهادة رقمياً تستخدم هيئة التوثيق خوارزمية لحساب الهاشhash ، مع ملاحظة أن جهة التوثيق تقوم بتوقيع كل شهادة تصدرها.
اسم الجهة المصدرة للشهادة (مراكز التصديق الإلكتروني).
تاريخ بداية صلاحية الشهادة.
تاريخ انتهاء صلاحية الشهادة.
المفتاح العام لتشفير الرسالة لكائن معين: هو أهم مكونات الشهادة الرقمية، ويحسب طوله بالبت Bit ، ويجب أن يكون بنفس طول المفتاح الخاص بحيث كلما زاد طوله، كلما كان أكثر أماناً، ولكن سيلزمه معالجة أكثر عند عملية التشفير وفك التشفير.
الغرض من استخدام المفتاح العام.
الإصدار: وهو إصدار معيارX.509  حيث يوجد 3 إصدارات:
الإصدار الأول X.509v1  و الإصدار الثاني X.509v2  و الإصدار الثالث X.509v3  وهو المستخدم حالياً.
خوارزمية التوقيع الرقمي Thumbprint Algorithm : وهي الخوارزمية التي تستخدم لتجزئة الرسالة.
بصمة التوقيع الرقمي  Thumbprint  : للتأكد من أن الشهادة لم يعبث فيها. 

التوقيع الإلكتروني:-
 وظيفة التوقيع الأساسية هي تحديد هوية المُوقع وتؤكد التعبير عن إرادته، بإعتبار أن التوقيع يعبر عن إرادة صاحبه، ولذلك يجب ان يصدر من شخص كامل الأهلية. ولا تعد  المستندات المكتوبة معتمدة أو دليلاً كاملاً إلا إذا كانت مُوقعه، فالتوقيع يعد العنصر الثاني من عناصر الدليل الكتابي المعد للإثبات هوية صاحبة، ودون التوقيع يفقد الدليل الكتابي حجيته، فالتوقيع هو الذي ينسب الورقة إلى من وقعها حتى ولو كانت مكتوبة بحط غيره.
وقد كان التوقيع في بدايته يتم عن طريق الختم، ثم أصبح يتم عن طريق الإمضاء بخط اليد، ثم توسع ليشمل بصمة الإصبع لما لها من قدرة على تحديد هوية المُوقع نظراً لما أثبته العلم من قدرة بصمة الإصبع على التحقق من الاتي  (تحديد هوية الشخص،توفير ما يؤكد يقيناً مشاركة ذلك الشخص بعينه في عملية التوقيع، والربط بين ذلك الشخص ومضمون المستند) وعدم إمكانية التشابة بين البصمات حتى في الأنسان نفسه.
لقد تطورت وسائل الإتصال وبظهور تكنولوجيا المعلومات التي دخلت في مختلف نواحي الحياة. وظهور التجارة الإلكترونية التي كانت بحاجة إلى تواقيع تتلاءم مع طبيعتها، حيث ظهر ما عرف بالتوقيع الإلكتروني. ولم يقتصر هذا التوقيع على شكل واحد، وإنما اتخذ عدة أشكال بدءاً بالتوقيع عن طريق الرقم السري وأنتهت الأن بالتوقيع الرقمي الذي أخذ حيزاً واسعاً في مجال المعاملات الإلكترونية ونال الأعتراف القانوني به. وفي البيئة الإلكترونية، لا يمكن التمييز بين الرسالة الأصلية ونسخة منها.
تم تعريف التوقيع الإلكتروني في القانون النموذجي بشأن التوقيعات الإلكترونية الذي وضعته لجنة الأمم المتحدة للقانون التجاري الدولي (الأونسيترال) سنة 2001م حيث جاء تعريفه كما يلي "يعني(اي) بيانات في شكل إلكتروني مدرجة في رسالة بيانات، أو مضافة إليها أو مرتبطة بها منطقياً، يجوز أن تستخدم لتعين هوية المُوقع بالنسبة إلى رسالة البيانات، ولبيان موفق المُوقع على المعلومات الواردة في سالة البيانات".
وجاء تعريف التوقيع الرقمي في قانون العاملات الإلكترونية في السودان لسنة 2007 تعديل 2015 كما يلي "يقصد به التوقيع الذي يتم إنشاؤه أو إرساله أو استقباله أو تخزينه بوسلية إلكترونية ويتخذ شكل حروف أو أرقام أو رموز أو إشارات يكون لها طابع متفرد ويسمح بتحديد هوية وتمييز شخصية المُوقع عن غيره".

الضبواط الفنية للتوقيع الإلكتروني :
-          أن يكون التوقيع مرتبطاً بشهادة تصديق إلكتروني صادرة من مزود خدمات تصديق مرخص له ويجب ان يتوفر في التوقيع الإلكتروني  كحد أدنى العناصر التالية:
أ‌.         جهة إصدار شهادة التصديق الإلكتروني، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مزود خدمات التصديق الإلكتروني، وتوقيعه الإلكتروني حسب المعيار x.509 v3 .
ب‌.    نوع التوقيع، ورقمه التسلسلي، ونطاق عمله.
ت‌.    تاريخ صلاحية وسريان الشهادة الإلكترونية.
ث‌.    نوع خوارزمية التشفير المستخدم بالمفتاح العام وفقاً لسياسة الشهادة الإلكترونية وإجراءات التصديق الإلكتروني بمزود التصديق.
ج‌.      نطاق إستخدام التوقيع وحدود مسؤولية النظامية، وكذلك شروط حماية سرية المعلومات وبيانات هوية المُوقع، والتي تشمل اسمه وعنوانه كاملاً.
-           أن تكون شهادة التصديق المرتبطة بالتوقيع سارية المفعول وقت إجراء التوقيع.
-          الحفاظ على سلامة بيانات هوية المُوقع، وتوافقها مع شهادة التصديق الإلكتروني.
-          إذا تم التوقيع بالأشتراك مع منظومة بيانات إلكترونية لدى المُوقع، فيشترط سلامة الأرتباط المنطقي والفني بين منظومة التوقيع الإلكتروني، ومنظومة البيانات الإلكترونية، وخلوهما من العيوب الفنية التي تؤثر في صحة أنعقاد التوقيع وإرساله.
-           توفير الحد الأدنى من البنية الفنية والإدارية، والموارد ذات الصلة التي تتحقق بهما السيطرة على إجراءات التوقيع، وضمان سرية البيانات حسب الشروط الفنية والواردة في إجراءات التصديق الإلكتروني الخاصة بمزود خدمات التصديق.
-          إلتزام المُوقع بجميع الشروط الواردة في إجراءات التصديق الإلكتروني الخاصة بمزود خدمات التصديق فيما يتعلق بإجراء التوقيع الإلكتروني، بما لا يتعارض مع الأنظمة واللوائح الصادرة من السلطة القومية.
الإحتياطات اللازمة لتلافي الاستعمال غير المشروع للتوقيع الإلكتروني :
يتعين عند إجراء توقيع إلكتروني اتخاذ الإحتياطات اللازمة لتلافي أي إستعمال غير مشروع لبيانات إنشاء التوقيع وللمعدات الشخصية المتعلقة بتوقيعه، وتشمل تلك الأحتياطات ما يلي:
1-       الحفاظ على شهادة التصديق الإكتروني ووثائق التوقيع الإلكتروني الصادرة من مزود خدمات التصديق التي لها طابع السرية، وعدم تمكين غير المصرح لهم بالإطلاع عليها.
2-       تطبيق حلول وتقنيات مناسبة وآمنة وغير قابلة للعبث، وفق أحكام مزاولة خدمات التصديق الإلكتروني التي تصدرها السلطة القومية.
3-       يجوز للمُوقع الأستعانة بجهات فنية متخصصة للمراجعة والتدقيق بما يدعم جودة عملية التوقيع وسريته، مع عدم الإخلال بأي ضوابط، أو شروط نظامية، أو تعاقدية بين أطراف التعامل.
يجب على صاحب التوقيع الإلكتروني إبلاغ مزود خدمات التصديق فور علمه بوجود إستعمال غير المشروع لتوقيعه، على أن يتم توثيق البيانات المتعلقة بالإستعمال غير المشروع.
إجراءات التحقق من التوقيع الإلكتروني :
يجب على من يعتمد على التوقيع الإلكتروني لطرف آخر أن يبذل العناية اللازمة للتحقق من صحة التوقيع، وذلك بإستخدام بيانات التحقق من التوقيع الإلكتروني، وفق الإجراءات التالية:
1-       التأكد من منشأ شهادة مرسل الرسالة، وأنها صادرة من مزود خدمات التصديق مصدق له وفق أحكام هذه اللئحة والتحقق من صلاحيتها، وأنها سارية.
2-       التأكد من أن البيانات المرفقة مع التوقيع الإلكتروني مطابقة لبيانات صاحب التوقيع من واقع الشهادة الصادرة له.
عدم ظهور رسائل تنبية أو تحزير تفيد عدم المطابقة الآلية للتوقيع أو أي خلل آخر ذي صلة بالمنئأ أو المحتوى، وذلك ضمن الرسالة والتوقيع الواردين.


يعتبر التوقيع الإلكتروني ومعتمداً إذا تحقق مايلي:
-          إذا كانت أداة إنشاء التوقيع المستخدمة مقصورة على المُوقع دون غيره.
-          إذا كانت أداة إنشاء وقت التوقيع تحت سيطرة المُوقع دون غيره.
-           إذا كان ممكناً كشف أي تغيير للتوقيع الإلكتروني يحدث بعد وقت التوقيع.
-           إذا كان ممكناً كشف أي تغيير في المعلومات المرتبطة بالتوقع يحدث بعد وقت التوقيع.
-          إذا كان لا يمكن نسخة من الدعامة الإلكترونية التي أنشيء بها.