مدیرعامل ایران ساین: تعارض حاکمیتی موجب توسعه کُند امضای دیجیتالی شده است

سید امیر اصغری، مدیرعامل ایران ساین در گفت‌وگو با پیوست می‌گوید: پذیرش و استفاده از امضای دیجیتالی در کشور امری تدریجی است اما تعارض‌های حاکمیتی موجب شده تا توسعه تدریجی امضای  دیجیتالی به طور محسوسی کند شود.

نیمه دهه ۸۰ آغازگر توسعه و برنامه‌ریزی برای امضای دیجیتالی بود اما با وجود گذشت بیش از ۲ دهه هنوز امضای دیجیتالی به صورت کامل در کشور توسعه پیدا نکرده است. بسیاری معتقدند با کاربردی شدن امضای الکترونیکی در سرویس‌های مختلف دولتی، امکان توسعه و همه‌گیر شدن امضای الکترونیکی در کشور فراهم خواهد شد.

از نظر اصغری اگرچه الزام به‌کار بردن امضا در سامانه‌های دولتی مانند سامانه تدارکات الکترونیکی دولت، سامانه جامع تجارت، سامانه مودیان مالیاتی آغازگر این مسیر است اما آغاز فرآیند کارسازی امضای دیجیتالی، جهت الکترونیکی کردن کل چرخه فرآیند از طریق توکن سخت‌افزاری بوده است. آنچه که اکنون به دلیل بلوغ دانش و پختگی بخش خصوصی در کنار همراهی تنظیم‌­گران مرتبط مشاهده‌ می‌کنیم، استفاده از گوشی تلفن همراه به مثابه توکن سخت‌­ا­فزاری است.

با وجود کاربردی شدن امضای الکترونیکی در کشور، طبق آخرین ‌آماری که مرکز توسعه تجارت الکترونیکی اعلام کرده طی ۳ ماه ابتدایی امسال تقریبا یک میلیون امضای الکترونیکی صادر شده و تعداد کل امضاهای صادر شده به بیش از ۹ میلیون امضا می‌رسد. با وجود این، مدیرعامل ایران ساین آن را قدمی مثبتی قلمداد می‌کند و توسعه این میزان امضای الکترونیکی را نیز مدیون توسعه آن از طریق گوشی‌های تلفن همراه می‌داند.

قرارگیری امضای الکترونیکی روی Secure Element موبایل موجب تسهیل و افزایش استفاده از امضای دیجیتالی شده‌ است.

اصغری، گم، خراب شدن و هزینه­‌زا بودن توکن سخت‌افزاری را یکی از چالش‌­های مهم کاربرناپسند بودن فرآیند امضا در گذشته عنوان کرد و در رابطه با افزایش صدور و بهره‌برداری از امضای دیجیتالی گفت:« در سال‌های اخیر عاملی که باعث وفور کاربرد امضا شده، مهاجرت کاربری امضا از پلتفرم و کانتینر توکن سخت‌افزاری به گوشی همراه است. قبلا ما از امضای دیجیتالی مبتنی بر توکن سخت‌افزاری استفاده می‌کردیم اما اکنون از امضای دیجیتالی روی Secure Element موبایل یا المان­‌های امنیتی سخت­‌افزاری موجود روی گوشی استفاده می‌کنیم. یعنی گوشی‌ها به یک توکن سخت‌افزاری تبدیل شده است. صدور تسهیلات غیرحضوری اعم از چک، سفته و برات الکترونیکی از سمت بانک‌ها همگی از این طریق امضای دیجیتالی انجام می‌­شود. نظیر آنچه که در صدور وام‌­های خرد و خدمات لندتک‌­ها همانند BNPLها می‌بینیم.»

مدیرعامل ایران‌ ساین این شرایط را نسبت به سال‌های قبل از شیوع کرونا و ماقبل آن آسان توصیف کرد و گفت:« قبلا برای دریافت گواهی امضای دیجیتالی باید به دفاتر میز خدمت حضوری مثل دفاتر پیشخوان دولت یا دفاتر اسناد رسمی مراجعه می‌­شد و سپس مراحل احراز هویت متقاضی به شکل حضوری صورت می‌گرفت. سپس با خرید یک توکن سخت‌افزاری، متصدی پشت باجه در توکن سخت­‌افزاری که متقاضی خریداری کرده یک گواهی امضای دیجیتالی قرار می‌داد. این رویه­ اکنون به فرآیندی تبدیل شده است که نیازی به هیچ مراجعه حضوری ندارد و به صورت غیرحضوری فرآیند احراز هویت انجام می‌شود و به‌ طور خودکار از وزارت صمت به عنوان ریشه معتبر کشور یک گواهی امضای دیجیتالی روی گوشی قرار می­‌گیرد.»

گام‌هایی برای تائید هویت

سید امیر اصغری، مدیرعامل شرکت دانش‌بنیان ایران‌ ساین در رابطه با سطوح احراز هویت گفت:« امضای دیجیتالی یکی از ابزارهای احراز هویت قوی است. احراز هویت را می‌­توان در چندین سطح انجام داد. آنچه که فرد دارد همانند کارت ­ملی یا کارت‌­های عضویت سازمانی، آنچه که فرد می­‌داند نظیر رمز ورود، کد پین توکن‌های سخت­‌افزاری و در آخر مشخصات بیومتریک فرد مانند الگوهای اثرانگشت، عنبیه و غیره. در کشور ما، ساده‌ترین سطح احراز هویت، شناسایی فرد از طریق انطباق شماره ملی و سیم‌کارت به واسطه سامانه شاهکار (شبکه احراز هویت کاربران ارتباطی) و ارسال OTP است. این سطح نسبت به سطوح دیگر سهل و آسان است اما در سطوح بالاتر، احراز هویت سخت­گیرانه‌­تر انجام می‌شود تا جایی که در مواردی احراز هویت قوی بر مبنای پارامترهای بیومتریک صورت می‌گیرد.»

اکتفا به یک روش برای همه کاربران و کاربردها

اصغری یکی از چالش‌های موجود در حوزه احراز هویت در کشور را سطح‌بندی نکردن احراز هویت متناسب با کاربر و کاربرد دانست. هم‌اکنون برای تمامی کاربرها و تمامی کابردها از یک سطح احراز هویت یکسان با زنده‌سنجی برابر استفاده می­‌شود. او به این موضوع پرداخت که در برخی موارد، جهت احراز هویت، مطالبه OTP کفایت می‌کند، برخی جاها باید اطلاعات ثبت‌ احوالی را در اختیار داشت و گاهی نیز اتخاذ روشی برای ارتقای شیوه احراز هویت مانند مطالبه مشخصه‌­های بیومتریک، ضروری است. مدیرعامل ایران ساین معتقد است نیازی نیست در روندهای ساده و غیرضروری از روش‌های پیچیده امنیتی برای احراز هویت کاربران استفاده کرد. برای مثال، اگر ثبت‌­نام خدمت سربازی غیرحضوری باشد، استفاده از امکان شاهکار کفایت می‌کند؛ چرا که بعید است شخص غیر به‌ جای متقاضی ثبت‌نام کند.

شیوه‌های دیجیتالی و نوین احراز هویت موجب تسریع انجام بسیاری از عملیات‌ و روندها شده و مدت زمان به نتیجه رسیدن یک کار را به حداقل رسانده است. اقداماتی که نهایی شدن آنها تا پیش از این، روزها یا هفته‌ها به طول می‌انجامید اکنون با احراز هویت دیجیتالی و مواردی از این دست در عرض چند دقیقه به سرانجام می‌رسد.

مدیرعامل ایران‌ ساین شیوه‌های دیجیتالی و نوین احراز هویت را موثر و کاربردی خواند و به اهمیت کاربرپسند بودن شیوه احراز هویت تاکید کرد. او در ارتباط با مزایا و معایب این روش برای گروه‌های سنی و طیف‌های مختلف کاربران گفت:« کاربرپسند بودن فرآیند احراز هویت نکته بسیار مهمی است. انجام فرآیند زنده‌سنجی برای دوستداران فناوری طی ۱  تا ۲ دقیقه انجام خواهد شد اما برای افراد دیگر که با این ساز و کار آشنا نیستند، نیاز و احتمال تکرار فرآیند وجود دارد. کاربرپسند بودن و سهولت انجام فرآیند، ویژگی‌ای است که در این مسیر تاثیر بسیاری در ادامه دادن آنها به صورت دیجیتالی دارد. افرادی که بارها و بارها نتوانند این روند را به صورت آنلاین انجام دهند یا به ناچار احساس کنند باید به شعب حضوری مراجعه کنند، عملیات برای آنها سخت شده و در مواردی حتی از ادامه روند منصرف می‌شوند.»

طبق گفته او برآیند کل فرآیند، موجب حس مطلوبیت و رضایتمندی برای کاربران نهایی بوده است و این موارد را می‌­توان در افتتاح حساب غیرحضوری، دریافت سفته و برات الکترونیکی، دریافت تسهیلات و خرده‌ ­وام‌­های الکترونیکی غیرحضوری به‌ طور ملموس مشاهده کرد.

او به این مورد نیز اشاره کرد که در برخی از زمینه‌ها مانند افتتاح حساب غیرحضوری بانکی از کاربر پارامترهای بیومتریک و زنده‌سنجی را می‌خواهند که انجام این فرآیندها ممکن است برای افراد کهنسال و کسانی که آشنایی چندانی از کار با تکنولوژی ندارند سخت باشد.

احراز هویت دیجیتالی، فرآیندی است که طی آن هویت فرد یا دستگاه برای ورود به سامانه، انجام تراکنش مالی یا دسترسی به انواع خدمات آنلاین تائید می‌شود. احراز هویت مبتنی بر دانش(Knowledge-based)، مبتنی بر دارایی (Possession-based)و احراز هویت مبتنی بر ویژگی(Inherent-based) سطوح مختلف احراز هویت است که متناسب با لایه امنیتی و متاثر از عوامل مختلف انتخاب می‌شود.

هوشمندسازی انعقاد قراردادها و الزام استفاده از امضای دیجیتالی در سازمان‌ها

کاربردهای احراز هویت دیجیتالی به افتتاح حساب و ورود به حساب‌های کاربری محدود نمی‌ماند. در حال حاضر قرادادها در بسیاری از شرکت‌ها به صورت الکترونیکی و هوشمند منعقد می‌شود.

اصغری روش هوشمند انعقاد قرارداد را با شیوه سنتی آن مورد مقایسه قرار داد و گفت:« تا پیش از این قراردادها روی نسخه کاغذی انجام می‌شد و افراد باید به صورت حضوری به شرکت یا سازمان مراجعه می‌کردند و هزینه رفت و آمد و هزینه زمانی را متحمل می‌شدند. به عبارتی در دنیای سنتی جهت انجام و انعقاد قرارداد، دریافت احکام پرسنلی، مجوزهای معتبر، گواهی­نامه‌­های معتبر، نسخ الکترونیکی پزشکی، سفته، برات، چک و دیگر اوراق بهادار، حضور فیزیکی متقاضی مطالبه می­‌شد؛ اما اکنون افرادی که با روندهای دیجیتالی آشنا هستند به صورت غیرحضوری احراز هویت شده و از طریق دریافت یک گواهی امضای دیجیتالی، تمامی اوراق، اسناد، مدارک، فایل­‌ها و قراردادهای خود را امضا می‌کنند.

امضای دیجیتالی، بدیل امضای گرم و کاغذی و یک ابزار مستند برای اعتباربخشی، استنادبخشی، انکارناپذیری و جعل­‌ناپذیری هویت‌های الکترونیکی است»

نقطه پایان برای جعل و انکار؛ امضای دیجیتالی ابزار از بین بردن شبهه‌ها

اصغری اشاره کرد به‌ طور کلی دیجیتالی شدن فرآیند احراز هویت برای کشور مفید بوده است. او همچنین گفت:« با وجود تسهیل این روش برای بسیاری از افراد به‌ویژه کم سن و سالان و دوستداران فناوری، کماکان تعدادی نیز که غالبا کهنسال و با فناوری آشنا نیستند این مسیر ممکن است دشوار باشد که البته با همراهی، این دشواری نیز مرتفع خواهد شد. نکته دیگر این است که در فرآیند سنتی و احراز هویت حضوری، خطای سهوی یا تعمدی عامل انسانی، می­‌توانست خطای احراز هویت کل سیستم را موجب شود. در حالی که در احراز هویت­‌های غیرحضوری، فارغ­ از رخنه‌­های جعل عمیق، نرخ خطا بسیار کمینه است.»

مدیرعامل ایران‌ ساین به عنوان یک مثال در ارتباط با دو سبک پیشین و نوین احراز هویت گفت:« تشخیص دوقلوهای همسان از یکدیگر برای کارمندان بانک نیز بسیار دشوار و در مواردی حتی غیرممکن است و موجب بروز خطای سهوی در مرحله احراز هویت می‌شود. اکنون فرآیند به گونه‌ای است که در مورد دوقلوهای همسان نیز مرزبندی‌­ها مبتنی بر روش­‌های تلفیقی رمزنگاری متقارن و نامتقارن به درستی انجام می­‌شود. احراز هویت‌هایی که مبتنی بر بیومتریک ذاتی فرد است و امضای دیجیتال مبتنی بر زوج کلیدهایی است که از آن بین، کلید خصوصی تنها و تنها در اختیار متقاضی و صاحب امضاست.»

اصغری مهم‌ترین ویژگی‌های احراز هویت دیجیتالی را انکارناپذیری، جعل‌ناپذیری و استنادپذیری برشمرد و این مولفه‌ها را از لحاظ استحکام و تحکم در این جریان، قوی خواند.

اصغری رسالت امضای دیجیتالی را جعل‌ناپذیری و انکارناپذیری دانست و در این باره گفت:« متناظر امضای کاغذی در دنیای دیجیتال، امضای دیجیتالی است. همانگونه که در گذشته امضای یک نفر پای برگه باعث می‌شد فردا روزی آن فرد و افراد دیگر ادعایی نداشته باشند و صاحب امضا نتواند آن را رد و انکار کنند، امضای دیجیتالی هم به همین شکل است.»

او همچنین افزود:« اگرچه یکی از کارکردهای جنبی امضای دیجیتالی، ارتقای امنیت اسناد است اما شاید این ادبیات کاملا درست نباشد که بگوییم امضای دیجیتالی ارائه شد تا امنیت بهبود پیدا کند. هیچ وقت از امضا به‌ طور خاص برای افزایش امنیت استفاده نمی­‌شود، اگرچه استفاده از امضای دیجیتالی برای افزایش امنیت نیز میسر است؛ نظیر فرآیندهای رمزنگاری که از زوج کلیدهایی که برای کاربری امضا صادر شده­‌اند، استفاده می­‌شود.»

اصغری اهمیت انکارناپذیری امضای دیجیتالی را با ذکر نمونه از حوزه سلامت اینچنین شرح داد:« از سال ۱۴۰۰ پزشکان مکلف به صدور نسخه الکترونیکی شدند. نسخه الکترونیکی تجویز شده پزشک می‌­تواند محل سوءاستفاده و انکار قرار بگیرد. به عبارتی، پزشک ممکن است در صورتی که به هر نحوی، فرآیند پزشکی به دعاوی قضایی منجر شود، نسخه تجویز شده خود را انکار کند. البته به لحاظ فنی این که هنوز سامانه‌­های نسخه­‌ساز به نیابت از پزشک و بدون اذن او، نسخه‌­ای را تجویز کنند، وجود دارد. امضای دیجیتال، یک ابزار مطمئن برای این دسته از کاربردهاست. به عبارتی پس از تجهیز نسخ الکترونیکی پزشکان به امضای دیجیتالی، نه پزشک می‌­توان نسخه تجویز شده خود را انکار کند و نه هیچ واسطه‌­ای می­‌تواند به جای پزشک نسخه تجویز کند.»

اهتمام به امضای دیجیتالی امری است که توسعه احراز هویت و انجام عملیات مختلف در سامانه‌ها و بسترهای الکترونیکی متعدد را تسریع می‌کند. با قرارگیری این نوع از امضا روی المان‌های امنیتی موبایل، استفاده از آن گسترش یافته و موجب روی آورن کاربران جهت به‌کارگیری آن شده است.