كيف تعمل التوقيع الإلكتروني؟
آلية التشفير، المصادقة، الطابع الزمني، سجل التدقيق: شرح خطوة بخطوة لكيفية عمل التوقيع الإلكتروني.
فريق Certyneo
محرر — Certyneo · عن Certyneo
المبدأ العام
التوقيع الإلكتروني ليس صورة. إنه إجراء تشفيري يربط أربعة عناصر لا تنفصل: المستند وهوية الموقع ووقت التوقيع وإثبات تقني بأن لا شيء تم تعديله بعد ذلك.
يعتمد هذا الإجراء على ركيزتين: مصادقة الموقع وسلامة المستند.
الخطوة 1: مصادقة الموقع
تتمثل المصادقة في إنشاء رابط بين الشخص الذي يضع توقيعه وهوية قابلة للتحقق. توجد عدة تقنيات، يمكن دمجها:
- عنوان بريد إلكتروني موثوق: يتم إرسال رابط فريد. فقط مالك البريد الإلكتروني يمكنه النقر والتوقيع.
- رمز OTP (كلمة المرور لمرة واحدة): يتم إرسال رمز لمرة واحدة عبر الرسائل القصيرة. يدخل الموقع الرمز لإثبات أنه يمتلك رقم الهاتف المرتبط.
- شهادة شخصية: للتوقيع المؤهل، تثبت شهادة صادرة عن مزود الخدمات المؤهل هوية الموقع.
يختلف مستوى المتطلبات حسب مستوى التوقيع المستهدف — انظر الفروقات بين المستويات.
الخطوة 2: حساب البصمة التشفيرية
قبل التوقيع، تحسب المنصة بصمة (hash) للمستند. إنها سلسلة فريدة من الأحرف تمثل محتوى الملف. أي تعديل، حتى حرف واحد، ينتج بصمة مختلفة تماماً.
البصمة مثل التوقيع الرقمي للملف: إنها صغيرة (بضع عشرات من البايتات) لكنها تضمن السلامة. إذا عدل شخص ما المستند بعد التوقيع، فإن البصمة لا تعود متطابقة — يتم إلغاء التوقيع.
الخطوة 3: ربط الهوية والبصمة
تشفر المنصة البصمة بـ مفتاح تشفيري مرتبط بهوية الموقع (عبر PKI للتوقيع المؤهل، أو عبر المنصة للتوقيع الإلكتروني البسيط/المتقدم). النتيجة هي رمز التوقيع: كائن رقمي يحتوي على:
- بصمة المستند
- معرف الموقع
- الطابع الزمني الدقيق
- التوقيع التشفيري نفسه
يتم دمج هذا الرمز في ملف PDF النهائي وفقاً لصيغة PAdES (التوقيعات الإلكترونية المتقدمة للـ PDF)، وهي معيار أوروبي. في الواقع، عند فتح ملف PDF موقع في Adobe Acrobat Reader، يتحقق القارئ تلقائياً من الرمز ويعرض "التوقيع صحيح" إذا تطابق كل شيء.
الخطوة 4: الطابع الزمني
الطابع الزمني يربط التوقيع بلحظة دقيقة وقابلة للتحقق. يوفر طابع زمني مؤهل صادر عن مزود خدمات موثوق إثباتاً قانونياً بأن المستند كان موجوداً فعلاً في هذا التاريخ — حجة حاسمة في حالة النزاع على تاريخ الالتزام.
انظر الطابع الزمني الإلكتروني لفهم الدور والمستويات.
الخطوة 5: التسجيل في سجل التدقيق
في كل خطوة من خطوات دورة التوقيع، تسجل المنصة حدثاً مطبوعاً بالوقت:
- إرسال المغلف
- الفتح من قبل الموقع (مع IP و user-agent)
- إدخال OTP
- التوقيع الفعلي
- الرفض المحتمل
- الانتهاء الصلاحية
المجموع يشكل سجل التدقيق (audit trail). إنه الإثبات التشغيلي للعملية. يتم دمجه في ملف PDF النهائي والاحتفاظ به لمدة 10 سنوات. انظر إثبات التوقيع الإلكتروني.
ما يحدث فعلياً من جانب الموقع
من وجهة نظر الموقع، التجربة بسيطة جداً:
- يتلقى بريداً إلكترونياً برابط.
- ينقر ويفتح المستند في متصفحه.
- يقرأ، ثم ينقر على "التوقيع".
- للتوقيع الإلكتروني المتقدم: يدخل رمز الرسائل القصيرة المستقبل على هاتفه.
- اكتمل. يتلقى نسخة من ملف PDF الموقع.
لا حاجة لإنشاء حساب، لا تطبيق لتثبيته، لا شهادة لتوليدها (إلا للتوقيع المؤهل). كل شيء يتم في 1 إلى 3 دقائق.
ما يحدث من جانب المرسل
يتحكم المرسل في العملية من لوحة التحكم الخاصة به:
- رفع المستند (PDF، تحويل تلقائي إذا كان Word)
- إضافة المستقبلين وتحديد موضع حقول التوقيع
- اختيار مستوى التوقيع والترتيب (متوازي أو متسلسل)
- تكوين إعادات المحاولة التلقائية وتاريخ انتهاء الصلاحية
- الإرسال
في الوقت الفعلي، يرى كل مغلف ينتقل من حالة "تم الإرسال" إلى "مفتوح" إلى "موقع". يمكن لـ webhooks أو إخطارات الدفع إرسال هذه الأحداث إلى CRM أو نظام إدارة الموارد البشرية.
لماذا يصعب تزييف التوقيع الإلكتروني
- البصمة التشفيرية: أي تعديل يلغي التوقيع
- المصادقة القوية: بدون الوصول إلى البريد الإلكتروني والهاتف (للتوقيع الإلكتروني المتقدم)، من المستحيل الادعاء بأنك الموقع
- سجل تدقيق مختوم بالوقت: كل خطوة متتبعة مع IP و user-agent
- المفاتيح التشفيرية: لا يترك المفتاح الخاص للموقع (للتوقيع المؤهل) جهازه أبداً
- الأرشفة 10 سنوات: يبقى الإثبات قابلاً للاستخدام لفترة طويلة بعد التوقيع
كيف يساعدك Certyneo
في Certyneo، يعمل خط أنابيب التشفير بالكامل في الخلفية على خوادم أوروبية (ألمانيا، IONOS): رفع PDF، حساب hash SHA-256، دمج رمز PAdES، الطابع الزمني، حفظ سجل التدقيق في قاعدة بيانات PostgreSQL مشفرة. تستفيد من عملية توقيع إلكترونية متوافقة مع eIDAS دون الحاجة إلى فهم التفاصيل التقنية.
اكتشف حل التوقيع الإلكتروني من Certyneo
الأسئلة الشائعة
هل يمكنني التحقق من التوقيع دون المنصة التي أصدرته؟
نعم. ملف PDF موقع بصيغة PAdES يمكن التحقق منه بواسطة أي قارئ PDF متوافق (Adobe Reader، pdfsig، إلخ). حتى لو اختفت المنصة الأصلية، يبقى التوقيع قابلاً للتحقق.
ماذا يحدث إذا عدلت ملف PDF بعد التوقيع؟
يصبح التوقيع غير صحيح. يعرض قارئ PDF تحذيراً "تم تعديل المستند منذ التوقيع" ولا تعود البصمة متطابقة.
ما هي مدة صلاحية التوقيع الإلكتروني؟
يبقى التوقيع صحيحاً طالما خوارزميات التشفير المستخدمة صحيحة. لضمان صلاحية طويلة الأجل، نستخدم صيغ PAdES-LTA (أرشيف طويل الأجل) التي تدمج طوابع زمنية مؤهلة يتم تجديدها بشكل دوري.
هل يمكن توقيع عدة مستندات مرة واحدة؟
نعم. يمكن لمغلف Certyneo أن يحتوي على عدة مستندات تم توقيعها جميعاً بنقرة واحدة. يحتفظ كل مستند ببصمته الخاصة لكن سجل التدقيق مشترك.
هل تكشف البصمة محتوى المستند؟
لا. البصمة اتجاه واحد: يمكنك حساب البصمة من المستند، لكن لا يمكنك استرجاع المستند من البصمة. هذه إحدى الخصائص الأساسية لدوال التجزئة التشفيرية.
الخلاصة
التوقيع الإلكتروني هو إجراء تشفيري يربط بطريقة قابلة للتحقق موقعاً ومستنداً وتاريخاً وموافقة. الموقع لا يحتاج أن يفهم أي شيء من كل هذا — بالنسبة له، إنه نقرة ورمز رسالة قصيرة. بالنسبة لك، إنه إثبات قوي وموثق ويمكن استخدامه.
جرب Certyneo لإرسال وتوقيع ومتابعة مستنداتك عبر الإنترنت بكل بساطة وسرعة وأمان.
جرّبوا Certyneo مجاناً
أرسلوا مظروف التوقيع الأول في أقل من 5 دقائق. 5 مظاريف مجانية شهرياً، بدون بطاقة ائتمان.
تعمقوا في الموضوع
مقالات مرجعية حول هذا الموضوع.
مقالات موصى بها
عمقوا معرفتكم بهذه المقالات ذات الصلة بالموضوع.
تكلفة التوقيع الإلكتروني مقابل الورقي: المقارنة 2026
دارة الورق تكلف أكثر بكثير مما يبدو عليه الحال. مقارنة مرقمة بين التوقيع الورقي والتوقيع الإلكتروني لتوجيه قراراتك.
التوقيع الإلكتروني للعاملين بالعمل الحر
عقود الخدمات والاتفاقيات السرية والعروض: كيف يوفر العاملون بالعمل الحر الوقت ويطمئنون عملاءهم بالتوقيع الإلكتروني.
مصادقة الموقّع: الطرق والتحديات
كيفية مصادقة الموقّع في التوقيع الإلكتروني: الطرق والمستويات والمخاطر وأفضل الممارسات.