گواهی‌های صادره فاقد اعتبار است

مطابق با برنامه پنجم توسعه، سازمان ثبت احوال مکلف شده است مطابق با قوانین موجود اقدام به ایجاد مرکز صدور گواهی الکترونیکی و تامین و صدور کارت ملی هوشمند برای آحاد مردم کند. یکی از کارکردهای این کارت، امضای مبتنی بر گواهی الکترونیکی خواهد بود. از آنجایی که قرار است امضای الکترونیکی و احراز هویت مبتنی بر آن، کلید تحقق دولت الکترونیکی قرار گیرد، موضوعات مطرح در این حوزه دارای اهمیت و حساسیت بسیار بالایی است. اخیرا به طور مرتب شاهد اظهارات مسوولان محترم سازمان ثبت احوال مبنی بر ادعای نیاز به ایجاد یک مرکز صدور گواهی الکترونیکی ریشه مجزا به عنوان «مرکز ریشه هویتی» هستیم. در ادامه سعی شده است موضوعات و چالش‌های پیرامون امضای الکترونیکی و کارت ملی هوشمند از سه منظر حقوقی، فنی و فرآیندی مورد بررسی قرار گیرد و راهکارهای مناسب در این خصوص ارائه شود.
از منظر حقوقی، مطابق با «بند الف ماده 48 برنامه پنجم توسعه»، وزارت صنعت، معدن و تجارت موظف شد نسبت به توسعه مراکز صدور گواهی الکترونیکی و کاربرد امضای الکترونیکی به نحوی اقدام کند که تا پایان سال سوم برنامه، سامانه‌های خدماتی و تجاری الکترونیکی، بتوانند از این ابزار استفاده کنند. علاوه بر آن، طبق «آیین‌نامه اجرایی ماده 32 قانون تجارت الکترونیکی» مصوب سال 86، ساختار اجرایی و مدیریتی زیرساخت کلید عمومی کشور به صورت دقیق تعریف و شورای سیاستگذاری گواهی الکترونیکی به عنوان یک نهاد فرابخشی به منظور سیاستگذاری و حفظ یکپارچگی در ارتباط بین ارکان اصلی زیرساخت کلید عمومی کشور تشکیل شد و مرکز دولتی صدور گواهی الکترونیکی ریشه، وابسته به مرکز توسعه تجارت الکترونیکی، به عنوان مرجع اعتماد در زیرساخت کلید عمومی کشور موظف به اجرای سیاست‌ها و دستورالعمل‌های تصویب‌شده توسط شورا و پیشنهاد این سیاست‌ها و دستورالعمل‌ها و همچنین حصول اطمینان از صحت عملکرد مولفه‌های مختلف زیرساخت کلید عمومی کشور شد. همچنین در این آیین‌نامه آمده است مراکز صدور گواهی الکترونیکی میانی با کسب مجوز از مرکز دولتی ریشه مبادرت به صدور گواهی الکترونیکی برای کاربران کرده‌ و سایر خدمات امضای دیجیتال را انجام می دهند.
مطابق «بند د ماده 46 قانون برنامه پنجم توسعه»، سازمان ثبت احوال به نیابت از وزارت کشور مکلف شده است با همکاری دستگاه‌های ذی‌ربط همراه با تکمیل و اصلاح پایگاه اطلاعات هویتی به صورتی که شامل کلیه وقایع حیاتی نظیر تولد، ازدواج، طلاق، فوت و تغییرات مشخصات هویتی و صدور گواهی (امضای الکترونیکی) و سایر کاربردها باشد، تا پایان برنامه نسبت به تامین و صدور کارت ملی هوشمند چندمنظوره برای آحاد مردم اقدام کند.
در روند تصویب آیین‌نامه ماده مذکور، سازمان ثبت احوال طی جلسات مکرر، تلاش خود را برای درج ماده‌ای در آیین‌نامه، مبنی بر تاسیس یک مرکز ریشه مجزا کرد اما به‌رغم تمام این تلاش‌ها، پیشنهاد این سازمان مورد قبول واقع نشد و «آیین‌نامه اجرایی بند د ماده 46 برنامه پنجم توسعه» در سال 91 به تصویب هیات ‌وزیران رسید و به موجب آن سازمان ثبت احوال موظف به ایجاد مرکز صدور گواهی الکترونیکی مطابق با قوانین و مقررات جاری شد. از آنجایی که تنها قانون مربوط به صدور امضای الکترونیکی مطمئن، ماده 32 قانون تجارت الکترونیکی است و به‌‏رغم شفاف بودن قوانین مزبور و نقش شورای سیاستگذاری گواهی الکترونیکی به عنوان یک نهاد فرابخشی ناظر بر زیرساخت کلید عمومی کشور و الزام اخذ مجوز کلیه مراکز صدور گواهی از این شورا، متاسفانه تاکنون سازمان ثبت احوال کشور اقدامی در جهت اخذ مجوز مرکز صدور گواهی الکترونیکی میانی از شورا نکرده است.
قوانین موجود، سازمان ثبت احوال را ملزم به توسعه کاربرد گواهی الکترونیکی در قالب کارت ملی هوشمند کرده است و به هیچ‌ عنوان از این قوانین و آیین‌نامه‌ها، موضوع ایجاد یک زیرساخت و مرکز ریشه مجزا قابل برداشت نیست. علی‌رغم این موضوع همچنان شاهد ادامه رویکرد این سازمان مبنی بر تاسیس مرکز ریشه مجزا و صدور گواهی‏های الکترونیکی در یک زیرساخت غیرمعتبر و بدون در نظر گرفتن مخاطرات و آسیب‏پذیری‏های ملی و امنیتی این اقدام هستیم.
از سویی دیگر، مطابق با ماده 11 آیین‌نامه اجرایی ماده 32 قانون تجارت الکترونیکی،
«کلیه موسسات اعم از دولتی یا غیردولتی می‌توانند در حوزه فعالیت داخلی خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدور گواهی کنند. گواهی‌هایی که به این صورت صادر می‌شود خارج از شمول مقررات این آیین‌نامه بوده و امضاهایی که به وسیله این گواهی‌ها تایید می‌شوند خارج از موضوع ماده 10 قانون و صرفا قابل استفاده در همان موسسات خواهد بود.»
در واقع امضاهای الکترونیکی‌ای که توسط گواهی‏های مزبور تایید می‏شوند فاقد اصلی‏ترین سرویس امنیتی امضای الکترونیکی، یعنی اصل انکارناپذیری، خواهند بود. سازمان ثبت احوال تا به حال در خصوص تاسیس مرکز میانی هیچ تعاملی با شورای سیاستگذاری نداشته است. حال سوالی که مطرح می‌شود این است که گواهی الکترونیکی‌ای که روی کارت هوشمند ملی قرار می‌گیرد و بیانگر هویت ملی مالک کارت است و به طور مشخص در کاربردهای برون‌سازمانی مورد استفاده قرار می‏گیرد، قرار است از یک مرکز صدور گواهی درون‌سازمانی صادر شود؟!
از منظر فنی و فرآیندی، تجربه بسیاری از کشورهای توسعه‌یافته (به عنوان مثال کشور کره جنوبی) مبین این موضوع است که وجود چند مرکز ریشه یا نقطه اعتماد زیرساخت کلید عمومی در یک کشور، خصوصا در حوزه دولت الکترونیکی که هدف آن ارائه خدمات الکترونیکی به آحاد شهروندان است، نه‌تنها در تعاملات بین‌المللی – که به واسطه اعتبار نقطه اطمینان آن کشور انجام می‌شود – ایجاد اختلال و ناسازگاری می‌کند، بلکه به دلیل عدم یکپارچگی در سیاستگذاری، استانداردسازی و اجرا موجب به وجود آمدن اختلال در تعاملات داخلی، ایجاد مخاطرات امنیتی بسیار جدی و جبران‌ناپذیر و صرف هزینه‌های بسیار زیاد و بی‌مورد از بیت‌المال خواهد شد.
مسوولان و دست‌اندرکاران پروژه کارت ملی هوشمند، اخیرا به صورت مکرر در اظهارات خود بر این مساله تاکید دارند که از آنجایی که سازمان ثبت احوال متولی احراز هویت اشخاص است، این سازمان باید به صورت مجزا اقدام به راه‌اندازی «مرکز ریشه هویتی» کند. با چنین منطقی، هر سازمانی که به نوعی با احراز هویت سر و کار دارد یا اصالت یک سند را احراز می‌کند، نیاز به راه‌اندازی یک مرکز ریشه جهت صدور گواهی حوزه کاربردی خواهد داشت!
مقوله هویت‌شناسی کاربران، مرتبط با مراکز میانی صدور گواهی است و از مولفه‌های قابل طرح در مرکز صدور گواهی الکترونیکی ریشه نیست. در واقع مرکز دولتی صدور گواهی الکترونیکی ریشه متولی ارائه خدمات سیاستگذاری، استانداردسازی، اعتبارسنجی و اعتباربخشی در زیرساخت کلید عمومی بوده و به هیچ عنوان وظیفه هویت‌شناسی افراد را بر عهده ندارد و به اطلاعات هویتی افراد دسترسی نخواهد داشت