كيفية عمل التوقيع الإلكتروني في 2026

المقدمة

التوقيع الإلكتروني اليوم في قلب التحول الرقمي للمؤسسات: في عام 2025، قامت أكثر من 70% من المنظمات الأوروبية الكبرى بدمجه في عملية عقد واحدة على الأقل (المصدر: Gartner, Digital Process Automation Survey 2025). ومع ذلك، نادراً ما يفهم صناع القرار بدقة الآليات التي تجعله صحيحاً من الناحية القانونية وغير قابل للتزييف من الناحية التقنية. إن فهم كيفية عمل التوقيع الإلكتروني من الناحية التقنية — التشفير وPKI والشهادات — يسمح باختيار الحل الصحيح وتقليل المخاطر القانونية وتسريع التبني الداخلي. يرشدك هذا المقال، خطوة بخطوة، من خلال البنية التقنية والمعايير التي تحكم التوقيع الإلكتروني في عام 2026.

---

الأساسات التشفيرية للتوقيع الإلكتروني

يعتمد التوقيع الإلكتروني على بدايات تشفيرية مثبتة. فهم الآليات يعني فهم لماذا هو أكثر موثوقية من التوقيع اليدوي الممسوح ضوئياً.

التشفير غير المتماثل: المفتاح العام والمفتاح الخاص

المبدأ الأساسي هو التشفير غير المتماثل، الذي تم اختراعه في السبعينيات وتم توحيده بواسطة خوارزميات مثل RSA (Rivest–Shamir–Adleman) أو المنحنيات الإهليلجية (ECDSA). يتمتع كل موقّع بمفتاحين مرتبطين رياضياً:

• المفتاح الخاص: يحتفظ به الموقّع سراً، على جهاز آمن (بطاقة ذكية، رمز HSM، أو وحدة برمجية محمية). يُستخدم لـ إنشاء التوقيع.
• المفتاح العام: موزّع بحرية، مضمّن في شهادة رقمية. يُستخدم لـ التحقق من التوقيع.

يعتمد مبدأ الأمان على عدم تناسق حسابي: من السهل رياضياً التحقق من التوقيع باستخدام المفتاح العام، لكن من المستحيل عملياً إعادة تكوين المفتاح الخاص من المفتاح العام (مشكلة اللوغاريتم المنفصل أو تحليل الأعداد الكبيرة).

وظائف التجزئة: بصمة الوثيقة الرقمية

قبل التوقيع، يحسب النظام بصمة تشفيرية للوثيقة باستخدام دالة تجزئة (SHA-256 أو SHA-3 في عام 2026). هذه البصمة، المسماة hash أو condensat، عبارة عن سلسلة أحرف بحجم ثابت (256 بت لـ SHA-256) تمثل محتوى الوثيقة بشكل فريد.

الخاصية الأساسية: تعديل حرف واحد فقط من الوثيقة ينتج hash مختلفاً تماماً. هذا يضمن سلامة الوثيقة الموقّعة: أي تعديل لاحق يكون قابلاً للكشف فوراً.

التوقيع الإلكتروني الفعلي هو بالتالي تشفير هذا التجزئة بالمفتاح الخاص للموقّع. عند التحقق، يقوم المستقبل بـ:

1. فك تشفير التوقيع باستخدام المفتاح العام للعثور على التجزئة الأصلية؛
2. إعادة حساب التجزئة الخاصة به للوثيقة المستلمة؛
3. مقارنة الاثنين: إن تطابقا، التوقيع صحيح.

---

البنية التحتية للمفاتيح العامة (PKI): سلسلة الثقة

التشفير وحده لا يكفي: يجب أيضاً إثبات أن المفتاح العام ينتمي فعلاً للشخص الذي يدعي استخدامه. هذا هو دور PKI (البنية التحتية للمفاتيح العامة).

سلطات إصدار الشهادات (CA)

سلطة إصدار الشهادات (AC أو CA) هي طرف ثالث موثوق معتمد يصدر شهادات رقمية. الشهادة الرقمية هي ملف موحد (تنسيق X.509) يحتوي على:

• هوية المالك (الاسم، المنظمة، البريد الإلكتروني)؛
• مفتاحه العام؛
• فترة الصلاحية؛
• التوقيع الرقمي للسلطة نفسها.

في أوروبا، يتم الاعتراف بسلطات الإصدار المؤهلة في القوائم الموثوقة التي تنشرها كل دولة عضو في الاتحاد الأوروبي وفقاً لنظام eIDAS. في فرنسا، تنشر ANSSI وتحافظ على هذه القائمة. يخضع مقدمو خدمات الثقة المؤهلون (QTSP) — مثل CertSign أو Certigna أو Universign — لعمليات تدقيق منتظمة وفقاً لمعيار ETSI EN 319 401.

سلسلة الشهادات والإلغاء

تعمل البنية التحتية على نموذج هرمي:

• سلطة جذر (Root CA) موقّعة ذاتياً، محفوظة بدون اتصال في ظروف أمان فيزيائي قصوى؛
• سلطات وسيطة تصدر شهادات المستخدمين النهائيين.

إلغاء الشهادات هو آلية حاسمة: إذا تم اختراق مفتاح خاص، تنشر السلطة إلغاؤه عبر قائمة إلغاء الشهادات (CRL) أو عبر بروتوكول OCSP (Online Certificate Status Protocol)، مما يسمح بالتحقق في الوقت الفعلي.

بالنسبة للتوقيع الإلكتروني المؤهل بموجب eIDAS، يجب إنشاء المفتاح الخاص والاحتفاظ به في QSCD (جهاز إنشاء التوقيع المؤهل) — أجهزة معتمدة CC EAL4+ أو أعلى، مثل بطاقة ذكية أو وحدة HSM.

---

المستويات الثلاثة للتوقيع وفقاً لـ eIDAS

يعرّف النظام الأوروبي eIDAS رقم 910/2014 (وتطوره eIDAS 2.0 قيد النشر) ثلاثة مستويات من التوقيع، لكل منها ضمانات تقنية متزايدة. لفهم هذا الإطار التنظيمي بشكل أعمق، راجع دليلنا الشامل حول نظام eIDAS.

التوقيع الإلكتروني البسيط (SES)

التوقيع البسيط هو الشكل الأقل إلزاماً من الناحية التقنية. قد يكون بسيطاً مثل خانة اختيار، أو رمز OTP (كلمة مرور لمرة واحدة) مرسل عبر SMS، أو صورة توقيع يدوي. لا يتضمن بالضرورة شهادة مؤهلة.

الاستخدام النموذجي: التحقق من العروض، موافقات التسويق، العقود منخفضة المخاطر.

المخاطر: قيمة إثباتية محدودة في حالة النزاع القضائي. عبء الإثبات يقع على من يطالب بالتوقيع.

التوقيع الإلكتروني المتقدم (AdES)

التوقيع المتقدم يلبي أربع متطلبات تقنية دقيقة (المادة 26 من eIDAS):

1. مرتبط بالموقّع بطريقة فريدة؛
2. يسمح بتحديد هوية الموقّع؛
3. تم إنشاؤه من بيانات تحت السيطرة الحصرية للموقّع؛
4. يسمح بكشف أي تعديل لاحق للوثيقة.

عملياً، يتطلب استخدام شهادة رقمية شخصية وآلية مصادقة قوية. يتم تحديد التنسيقات الموحدة بواسطة ETSI: PAdES (لـ PDF)، XAdES (XML)، CAdES (البيانات الثنائية) و JAdES (JSON)، الكل موحد في سلسلة ETSI EN 319 100.

التوقيع الإلكتروني المؤهل (QES)

التوقيع المؤهل هو المستوى الأعلى. يتطلب:

• شهادة مؤهلة صادرة عن QTSP معتمد من eIDAS؛
• QSCD لإنشاء التوقيع.

يستفيد من افتراض قانوني للموثوقية والتكافؤ القانوني مع التوقيع اليدوي في جميع أنحاء الاتحاد الأوروبي (المادة 25 من eIDAS). هذا هو المستوى المطلوب للعقود الإلكترونية المصرح بها، بعض العقود الموثقة، أو المشتريات الحكومية الحساسة.

يحلل مقارنتنا لحلول التوقيع الإلكتروني الاختلافات العملية بين هذه المستويات لمساعدتك في الاختيار.

---

العملية الكاملة للتوقيع الإلكتروني خطوة بخطوة

إليك كيفية حدوث معاملة التوقيع الإلكتروني بالفعل على منصة SaaS مثل Certyneo:

الخطوة 1: إعداد وإرسال الوثيقة

يقوم منسق التوقيع بتحميل الوثيقة (عقد، تعديل، أمر شراء) على المنصة. يولد النظام فوراً hash SHA-256 للملف الأصلي، مع طابع زمني، ومحفوظ بطريقة ثابتة. ستخدم هذه البصمة كمرجع للتحقق المستقبلي.

الخطوة 2: مصادقة الموقّع

يختلف التحقق حسب مستوى التوقيع المختار:

• SES: بريد إلكتروني + رابط توقيع؛
• AdES: مصادقة قوية (OTP SMS، تطبيق جوال FIDO2)؛
• QES: التحقق من الهوية المسبق (وجهاً لوجه أو عبر فيديو IDV)، إصدار شهادة مؤهلة للاستخدام الفردي أو المستمر.

الخطوة 3: إنشاء التوقيع التشفيري

يقوم الموقّع بتفعيل عملية التوقيع. تقوم المنصة (أو QSCD) بـ:

1. حساب hash الوثيقة؛
2. تشفير هذا التجزئة بالمفتاح الخاص للموقّع؛
3. دمج التوقيع والشهادة في الوثيقة (ملف PDF موقّع بتنسيق PAdES-LTV للحفظ طويل الأجل).

الخطوة 4: الطابع الزمني المؤهل

تفرض خدمة طابع زمني مؤهل (TSA) متوافقة مع معيار RFC 3161 timestamp تشفيري، مما يثبت وجود التوقيع في لحظة دقيقة. هذا يحمي من تزييف التاريخ ويضمن القيمة الإثباتية بمرور الوقت — حتى لو انقضت صحة شهادة الموقّع لاحقاً.

الخطوة 5: الأرشفة الإثباتية

يتم أرشفة الوثيقة الموقّعة مع مسار التدقيق الكامل: هوية الموقّع، عنوان IP، الطابع الزمني، hash الوثيقة، الشهادات المستخدمة. هذا ملف الإثبات (audit trail) ضروري في حالة النزاع القضائي. تحتفظ الحلول المتوافقة مع eIDAS بهذه الأدلة بتنسيق PAdES-LTV (Long-Term Validation) الذي يدمج بيانات التحقق للسماح بالتحقق سنوات بعد التوقيع.

لفهم كيفية دمج هذه العملية في تدفقات الموارد البشرية الخاصة بك، اكتشف حل التوقيع الإلكتروني للموارد البشرية و نماذج العقود القابلة للتحميل.

الإطار القانوني المعمول به للتوقيع الإلكتروني

ينتج التوقيع الإلكتروني عن إطار معياري متعدد الطبقات، يربط بين القانون المدني الوطني والقانون الأوروبي المنسق.

القانون المدني الفرنسي

تضع المادة 1366 من القانون المدني المبدأ الأساسي: "الكتابة الإلكترونية لها نفس قوة الإثبات مثل الكتابة على دعم ورقي، بشرط أن يكون بالإمكان تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن تكون مؤسسة ومحفوظة بطريقة تضمن سلامتها". توضح المادة 1367 أن التوقيع الإلكتروني "يتكون من استخدام وسيلة موثوقة للتحقق من الهوية تضمن ارتباطه بالعمل الذي يلحق به".

يحدد المرسوم رقم 2017-1416 الصادر في 28 سبتمبر 2017 افتراض الموثوقية للتوقيعات المؤهلة والمتقدمة المتوافقة مع eIDAS.

نظام eIDAS رقم 910/2014

الحجر الأساسي للقانون الأوروبي للثقة الرقمية، نظام eIDAS (التحديد الإلكتروني والمصادقة وخدمات الثقة) ينشئ إطاراً قانونياً موحداً للتوقيعات الإلكترونية والأختام الإلكترونية والطوابع الزمنية المؤهلة وخدمات الإرسال الموصى به وشهادات تصديق موقع الويب. تمنح المادة 25، الفقرة 2، للتوقيع المؤهل افتراضاً قانونياً للتكافؤ مع التوقيع اليدوي في جميع أنحاء الاتحاد الأوروبي.

يعزز نظام eIDAS 2.0 (قيد النقل في الربع الأول من عام 2026) هذه الأحكام بحافظة الهوية الرقمية الأوروبية (EUDIW) وتوسيع الالتزامات على أسواق الخدمات المالية والصحية.

معايير ETSI

يتم توحيد تنسيقات التوقيع بواسطة ETSI:

• ETSI EN 319 132 (XAdES)، EN 319 122 (CAdES)، EN 319 102 (PAdES) تحدد الملفات التقنية للتوقيعات المتقدمة والمؤهلة؛
• ETSI EN 319 421 تنظم سياسات خدمات الطوابع الزمنية المؤهلة.

GDPR وحماية البيانات

معالجة بيانات الهوية في سياق التوقيع الإلكتروني (الاسم والبريد الإلكتروني والبيانات البيومترية للتحقق من الهوية) تخضع لـ GDPR رقم 2016/679. يجب على المتحكمين بالبيانات: امتلاك أساس قانوني (مصلحة مشروعة أو تنفيذ عقد)، تطبيق مبدأ تقليل البيانات، وضمان الأمان من خلال تدابير تقنية مناسبة (التشفير، إخفاء الهوية).

توجيه NIS2

تفرض توجيهات NIS2 (2022/2555/UE)، المنقولة للقانون الفرنسي منذ أكتوبر 2024، على مشغلي الخدمات الأساسية ومزودي الخدمات الرقمية (بما فيهم مقدمو خدمات التوقيع الإلكتروني) التزامات معززة بشأن الأمن السيبراني وإدارة المخاطر وإخطار الحوادث خلال 24 ساعة. قد يعرّض عدم الامتثال لعقوبات تصل إلى 10 ملايين يورو أو 2٪ من معدل الإيرادات العالمية.

سيناريوهات الاستخدام الملموسة للتوقيع الإلكتروني

السيناريو 1: مكتب محاماة متخصص يؤتمت توقيع التفويضات

كان مكتب محاماة متخصص يضم اثني عشر محامياً يعالج في المتوسط 120 توكيل تمثيل شهرياً. كانت الإجراءات الورقية تتضمن الطباعة والإرسال البريدي أو التسليم باليد، ثم مسح الوثائق المعادة — مما يسبب تأخيراً متوسطاً قدره 4.5 أيام عمل لكل ملف ومعدل فقدان للوثائق يقدر بـ 8٪.

بنشر التوقيع الإلكتروني المتقدم (AdES) مع مصادقة OTP، قلل المكتب متوسط تأخير التوقيع إلى أقل من 4 ساعات، وقلل معدل الشذوذ الموثوقي إلى أقل من 1٪، وحقق توفيراً بحوالي 2200 يورو سنوياً في نفقات البريد والطباعة. كما ساعد مسار التدقيق المُنتج تلقائياً في حل نزاعي توكيل، بتوفير إثبات طابع زمني لا يمكن عكسه. اكتشف حل مخصص للمكاتب القانونية.

السيناريو 2: شركة صناعية صغيرة تضع عقود الموردين في شكل رقمي

كانت شركة صناعية صغيرة تدير حوالي 200 عقد موردين سنوياً (شروط الشراء العامة والتعديلات التسعيرية والاتفاقيات السرية) تعاني من تأخيرات التوقيع التي قد تتجاوز ثلاثة أسابيع للعقود عبر الحدود مع شركاء ألمان وإسبان. كانت الفروقات في الأنظمة القانونية وعدم الاعتراف المتبادل تبطئ التفاوضات.

بتبني التوقيع المؤهل (QES) الصادر عن QTSP معتمد من eIDAS، المعترف به في جميع أنحاء الاتحاد الأوروبي، استفادت الشركة من الاعتراف القانوني التلقائي في البلدان الثلاث بدون أي تشرع إضافي. انخفض متوسط تأخير التوقيع عبر الحدود من 18 يوماً إلى 2.5 يوم. تفصل التوقيع الإلكتروني في المؤسسة هذه الفوائد لفرق الشراء.

السيناريو 3: مجموعة مستشفيات تؤمّن موافقة المرضى المستنيرة

كانت مجموعة مستشفيات بحوالي 800 سرير تحتاج إلى جمع موافقة مستنيرة للمرضى على بروتوكولات البحث السريري. كانت إدارة الأوراق تخلق مخاطر الامتثال GDPR (وثائق ضيعت بشكل سيء، تواريخ غير قابلة للتتبع) وتحتل موظفي الرعاية الصحية للقيام بمهام إدارية.

بدمج التوقيع الإلكتروني البسيط مع التحديد عبر رمز SMS — كافٍ للأعمال غير الخاضعة لمتطلب التأهيل — أتمتت المجموعة جمع وأرشفة وتتبع الموافقات. انخفض الوقت الإداري لكل مريض من 12 دقيقة إلى أقل من دقيقتين، مما حرر حوالي 800 ساعة رعاية صحية سنوياً. يتم أرشفة جميع الوثائق مع طابع زمني مؤهل، مما يحقق بالكامل متطلبات CNIL. استكشف حل التوقيع للصحة.

الخاتمة

فهم كيفية عمل التوقيع الإلكتروني من الناحية التقنية — من التشفير غير المتماثل إلى البنية التحتية للمفاتيح العامة وشهادات المفاتيح إلى الطوابع الزمنية الإثباتية — أمر لا غنى عنه لاتخاذ خيارات مستنيرة بشأن الامتثال والكفاءة التشغيلية. تلبي المستويات الثلاثة لـ eIDAS (بسيط ومتقدم ومؤهل) احتياجات مختلفة، ويجب دائماً توجيه الخيار من خلال تحليل المخاطر القانونية والقيمة الإثباتية المتوقعة.

يرافقك Certyneo في هذا الانتقال مع منصة SaaS متوافقة مع eIDAS وQTSP معتمدين وتكامل مبسط في عملياتك الموجودة. قدّر الفوائد المحتملة لمؤسستك باستخدام حاسبة ROI التوقيع الإلكتروني، أو ابدأ مباشرة بمراجعة عروضنا والأسعار. الامتثال والأداء لم تعد مقايضات.