PKI: البنية الأساسية للمفتاح العام موضحة

المقدمة: لماذا PKI هو قلب الثقة الرقمية

في عالم يتم فيه توقيع ملايين العقود يومياً عبر الإنترنت، يطرح سؤال أساسي: كيف يمكن التأكد من أن الشخص الذي يوقع هو فعلاً من يدّعي أنه، وأن المستند لم يتم تعديله بعد التوقيع؟ الإجابة تتلخص في ثلاثة أحرف: PKI (Public Key Infrastructure، أو البنية الأساسية للمفتاح العام بالعربية). هذا الجهاز التشفيري يشكل الأساس التقني لأي توقيع إلكتروني مؤهل يتوافق مع لائحة eIDAS. في هذا المقال، نشرح بالتفصيل كيفية عمل PKI ومكوناتها الأساسية — بما فيها شهادات X.509 — والطريقة التي تضمن من خلالها الأصالة والسلامة وعدم الإنكار لأفعالك القانونية الرقمية.

---

ما هي PKI؟ التعريف والمبادئ الأساسية

PKI (البنية الأساسية للمفتاح العام) تشير إلى مجموعة من السياسات والإجراءات والأجهزة والبرامج والأشخاص الضروريين لإنشاء وإدارة وتوزيع واستخدام وتخزين وإلغاء الشهادات الرقمية. تعتمد على التشفير غير المتماثل، أي استخدام زوج من المفاتيح المرتبطة رياضياً: مفتاح خاص (سري) ومفتاح عام (قابل للمشاركة بحرية).

مبدأ زوج المفاتيح غير المتماثلة

عندما يضع الموقِّع توقيعه الإلكتروني على مستند، يستخدم مفتاحه الخاص لإنشاء بصمة تشفيرية فريدة للملف (وهي hash). هذه البصمة، المشفرة بالمفتاح الخاص، تشكل التوقيع الرقمي. يمكن لأي طرف ثالث التحقق لاحقاً من أصالة هذا التوقيع باستخدام المفتاح العام المقابل للموقِّع. إذا نجحت المراجعة، يتم إنشاء ضمانتين:

• الأصالة: فقط صاحب المفتاح الخاص كان بإمكانه إنتاج هذا التوقيع.
• السلامة: المستند لم يتم تعديله منذ التوقيع.

تبقى خوارزمية RSA (Rivest-Shamir-Adleman) الأكثر انتشاراً، بمفاتيح بحجم 2048 أو 4096 بت. خوارزميات المنحنيات الإهليلجية (ECDSA) تكسب أرضاً لأدائها المتفوق مع مستوى أمان معادل.

مشكلة الثقة والحل الذي توفره PKI

التشفير غير المتماثل يحل مشكلة السلامة لكنه يثير على الفور سؤالاً آخر: كيف نعرف أن المفتاح العام ينتمي فعلاً إلى الشخص الذي يدّعيه؟ هذا بالضبط حيث تتدخل PKI. تُدخل طرفاً موثوقاً ثالثاً — جهة إصدار الشهادات (AC) — التي تتحقق من هوية صاحب المفتاح العام وتصدر شهادة رقمية تضمن هذا الربط.

---

المكونات الأساسية لـ PKI

تتمحور البنية الأساسية للمفتاح العام العاملة حول عدة مكونات مترابطة. فهم دورها الفردي ضروري لتقييم متانة حل التوقيع الإلكتروني.

جهة إصدار الشهادات (AC أو CA)

جهة إصدار الشهادات هي الكيان المركزي في PKI. تتوقيع رقمياً على الشهادات التي تصدرها، وبالتالي تربط هوية مؤكدة بمفتاح عام. في أوروبا، توجد جهات الإصدار المؤهلة على القوائم الوطنية للثقة (Trusted Lists)، المنشورة وفقاً للمادة 22 من لائحة eIDAS. في فرنسا، هي ANSSI التي تحتفظ بهذه القائمة. مقدمو الخدمات مثل CertEurope و Certinomis و Certigna مدرجة هناك.

تشكل هرمية الشهادات سلسلة ثقة: جهة إصدار جذر (Root CA) توقع على جهات إصدار وسيطة، والتي بدورها توقع على شهادات المستخدمين النهائيين. هذا الهيكل يسمح بتحديد التعرض للمفتاح الجذر (المخزن خارج الإنترنت في HSM) وإدارة الإلغاءات بطريقة حبيبية.

جهة التسجيل (AE أو RA)

جهة التسجيل مسؤولة عن التحقق من هوية المتقدمين قبل أن تصدر AC شهادة. يمكن أن يكون التحقق:

• وجهاً لوجه (مطلوب للشهادات المؤهلة وفقاً لـ eIDAS).
• عن بعد عبر تحديد الهوية بالفيديو يتوافق مع معايير ETSI EN 319 401.
• عبر عملية eKYC (التحقق الإلكتروني من الهوية) لمستويات الثقة المتوسطة.

الشهادات الرقمية X.509

الصيغة X.509 هي المعيار الدولي الذي يحدد هيكل الشهادات الرقمية في PKI. المحددة من قبل ITU-T والمعتمدة من قبل IETF عبر RFC 5280، تحتوي شهادة X.509 على:

• هوية الحامل (الاسم، المنظمة، البريد الإلكتروني).
• المفتاح العام للحامل.
• هوية وتوقيع جهة الإصدار.
• فترة صلاحية الشهادة.
• رقم سري فريد.
• الامتدادات: الاستخدامات المسموحة (توقيع الكود، المصادقة، توقيع المستند)، نقاط توزيع CRL، عنوان URL للـ OCSP.

في سياق التوقيع الإلكتروني المؤهل eIDAS، يجب أن تُصدر الشهادات المؤهلة على جهاز إنشاء التوقيع المؤهل (QSCD)، عادة ما تكون بطاقة ذكية أو HSM (وحدة الأمان الصلبة).

آلية الإلغاء: CRL و OCSP

قد تصبح الشهادة غير صالحة قبل انتهاء صلاحيتها: فقدان المفتاح الخاص، الاختراق، تغيير حالة الحامل. آليتان تسمحان بالتحقق من الصلاحية في الوقت الفعلي:

• CRL (قائمة إلغاء الشهادات): قائمة ينشرها AC بشكل دوري تضم الشهادات الملغاة.
• OCSP (بروتوكول حالة الشهادة عبر الإنترنت، RFC 6960): بروتوكول يسمح بالتحقق الفوري من حالة الشهادة. مفضل في البيئات ذات تكرار عالي للمعاملات.

الحلول الجادة للتوقيع الإلكتروني، مثل تلك الموصوفة في مقارنة حلول التوقيع الإلكتروني، تدمج هذه التحقيقات بشكل منهجي في مسار التوقيع.

---

كيف تأمن PKI التوقيع الإلكتروني بشكل ملموس

فهم رحلة التوقيع الإلكتروني المدعوم بـ PKI يسمح بقياس مستوى الضمان المقدم.

عملية التوقيع خطوة بخطوة

1. تجزئة المستند: تنتج خوارزمية التجزئة (SHA-256 أو SHA-3 وفقاً لتوصيات ANSSI 2026) بصمة رقمية فريدة للمستند.
2. تشفير البصمة: يشفر الموقِّع هذه البصمة بمفتاحه الخاص (المخزن في QSCD الخاص به). لا تترك هذه العملية مطلقاً الجهاز الآمن.
3. إنشاء حزمة التوقيع: التوقيع المشفر مرتبط بالمستند، مصحوباً بشهادة X.509 للموقِّع والطابع الزمني المؤهل.
4. التحقق من جانب المستلم: يفك المستلم (أو حلول البرامج الخاصة به) تشفير البصمة بالمفتاح العام للموقِّع، يعيد حساب التجزئة للمستند المستلم ويقارن. إذا كانت البصمتان متطابقتين، يكون التوقيع صحيحاً.

مستويات التوقيع الثلاثة في eIDAS وعلاقتها بـ PKI

يميز نظام eIDAS بين ثلاثة مستويات من التوقيع الإلكتروني، يتضمن كل منها استخداماً أكثر أو أقل عمقاً لـ PKI:

• التوقيع الإلكتروني البسيط (SES): ليس بالضرورة مدعوماً بـ PKI. قيمة إثباتية محدودة.
• التوقيع الإلكتروني المتقدم (AdES): يعتمد إلزامياً على زوج مفاتيح وشهادة مرتبطة بالموقِّع. صيغ تقنية معيارية من قبل ETSI: XAdES و PAdES و CAdES.
• التوقيع الإلكتروني المؤهل (QES): المستوى الأعلى، معادل قانوني للتوقيع بخط اليد في كل الاتحاد الأوروبي. يتطلب شهادة مؤهلة صادرة عن جهة إصدار موثوقة مسجلة على قائمة الثقة و QSCD. هذا هو النشر الكامل لـ PKI المؤهلة.

بالنسبة للمؤسسات التي تريد نشر التوقيع المؤهل على نطاق واسع، يوضح دليلنا حول التوقيع الإلكتروني في المؤسسة خطوات التنفيذ التشغيلي.

الطابع الزمني المؤهل: البعد الزمني لـ PKI

لا تقتصر PKI على الهوية: كما تضمن البعد الزمني للأفعال عبر الطابع الزمني المؤهل (RFC 3161). تصدر خدمة طابع زمني موثوقة (TSA) رمزاً تشفيرياً يشهد على أن المستند كان موجوداً في شكله الحالي في لحظة دقيقة معينة. هذا حاسم لحفظ الأدلة على المدى الطويل والامتثال للالتزامات القانونية بحفظ الوثائق (المادة L.110-4 من قانون التجارة: 5 سنوات للأعمال التجارية؛ المادة 2224 من القانون المدني: 5 سنوات للالتزامات التعاقدية بموجب القانون العام).

---

PKI والثقة على المدى الطويل: قضية حفظ الأدلة

قد يكون التوقيع الصحيح اليوم غير قابل للتحقق خلال 10 سنوات إذا أصبحت الخوارزميات التشفيرية المستخدمة عتيقة أو إذا انتهت صلاحية الشهادات. تأخذ PKI هذه القضية في الاعتبار عبر صيغ توقيع ذات قيمة إثباتية طويلة الأجل.

صيغ AdES طويلة الأمد

عرفت ETSI ملفات توقيع موسعة — XAdES-LTA و PAdES-LTA و CAdES-LTA — التي تضمن في الملف الموقع كل الأدلة الضرورية للتحقق المستقبلي: سلاسل شهادات كاملة، ردود OCSP المؤرشفة، طوابع زمنية متعددة. هذه الصيغ متوافقة مع المعيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES).

الهجرة التشفيرية في مواجهة الحوسبة الكمية

يمثل ظهور الحوسبة الكمية تهديداً متوسطة الأجل لخوارزميات RSA و ECDSA الحالية. أنهى NIST الأمريكي في 2024 معاييره الأولى للتشفير ما بعد الكم (CRYSTALS-Dilithium للتوقيعات). تعمل ANSSI و ENISA على خرائط طريق الهجرة التي يجب أن تتجسد في تنقيحات معيار eIDAS بحلول 2028-2030. ستكون المؤسسات التي تعتمد على PKI معدارة بشكل جيد لهذا الانتقال، لأن تحديث جهات الإصدار أسهل من إعادة صياغة الأنظمة التشفيرية المخصصة.

لمن يقيم حلهم الحالي، تسمح حاسبة العائد على الاستثمار للتوقيع الإلكتروني من Certyneo بتوضيح المكاسب المرتبطة بـ PKI صناعية منظمة.

الإطار القانوني المطبق على PKI والتوقيع الإلكتروني

PKI ليست مجرد جهاز تقني: فهي تندرج ضمن إطار قانوني أوروبي ووطني كثيف، ضرورية إتقان كل منظمة تريد الاعتماد على التوقيع الإلكتروني في أفعالها القانونية.

لائحة eIDAS رقم 910/2014 وتطورها

المعتمدة في 23 يوليو 2014 والمطبقة منذ 1 يوليو 2016، اللائحة (EU) 910/2014 (eIDAS) تشكل النص التأسيسي للثقة الرقمية في أوروبا. تحدد المتطلبات المعمول بها على مقدمي خدمات الثقة المؤهلة (PSCQ) والشهادات المؤهلة وأجهزة QSCD. تحدد المادة 26 شروط التوقيع المتقدم؛ المادة 28 تحدد الشهادات المؤهلة للتوقيع الإلكتروني؛ الملحق الأول يفصل متطلبات هذه الشهادات — المشتقة مباشرة من صيغة X.509.

لائحة eIDAS 2.0 (لائحة الاتحاد الأوروبي رقم 1183/2024، منشورة في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024) تعزز هذا الإطار بفرضها على الدول الأعضاء الاعتراف بـ محفظة الهوية الرقمية الأوروبية (EUDIW) وتوسيع التزامات الاعتراف على مقدمي الخدمات الخاصين في القطاعات المحددة.

القانون المدني الفرنسي: القيمة الإثباتية للتوقيع الإلكتروني

بموجب القانون الفرنسي، المواد 1366 و 1367 من القانون المدني (الناشئة عن الأمر رقم 2016-131 من 10 فبراير 2016) تمنح التوقيع الإلكتروني نفس قيمة التوقيع بخط اليد، شريطة أن يستوفي متطلبات تحديد الموقِّع وسلامة المستند. تنطبق افتراضية الموثوقية عند إنشاء التوقيع وفقاً لإجراء مؤهل بموجب eIDAS — أي يعتمد على PKI مؤهلة.

تنص المادة 1368 على أن طرائق إقامة هذه الموثوقية تحددها مرسوم بقرار مجلس الدولة، وهو المرسوم رقم 2017-1416 من 28 سبتمبر 2017 المتعلق بالتوقيع الإلكتروني.

معايير ETSI المعمول بها على PKI

• ETSI EN 319 401: المتطلبات العامة لمقدمي خدمات الثقة.
• ETSI EN 319 411-1 و -2: المتطلبات لـ AC الذي يصدر شهادات مؤهلة.
• ETSI EN 319 132: المواصفات XAdES للتوقيعات المتقدمة XML.
• ETSI EN 319 122: مواصفات CAdES.
• ETSI EN 319 162: خدمات الحفظ والطابع الزمني.

RGPD والبيانات الشخصية في PKI

تحتوي شهادات X.509 على بيانات شخصية (الاسم والعائلة والبريد الإلكتروني وأحياناً رقم السجل الوطني). يخضع معالجتها للائحة (الاتحاد الأوروبي) 2016/679 (RGPD). يجب على AC على وجه الخصوص تحديد فترة الاحتفاظ المتوافقة وإعلام الحاملين وضمان ممارسة حقوقهم. يشكل إلغاء الشهادة بناءً على طلب الحامل طريقة عملية لممارسة الحق في الحذف (ضمن حدود التزام حفظ الأدلة).

المسؤولية والمخاطر القانونية

إدارة PKI سيئة تعرض المؤسسة لمخاطر جادة: طعن في القيمة الإثباتية للتوقيعات في حالة انتهاء صلاحية الشهادات أو إلغاؤها، عدم القدرة على التحقق من التوقيع على المدى الطويل في غياب صيغ LTA، وربما مسؤولية مدنية محتملة في حالة اختراق المفاتيح الخاصة. توضح المادة 13 من eIDAS أن مسؤولية PSCQ المؤهلة منشغلة ما لم يتم إثبات خلاف ذلك في حالة عدم الامتثال لالتزاماتها.

سيناريوهات الاستخدام: PKI قيد التنفيذ في المؤسسات

السيناريو 1 — مكتب محاماة متخصص في القانون التجاري يضم 25 متعاوناً

مكتب متخصص في عمليات الاندماج والاستحواذ يدير في المتوسط 150 عملية منظمة كل عام، تتطلب كل واحدة توقيع عشرات المستندات (البروتوكولات وميثاق المساهمين وضمانات الأصول والخصوم). في السابق، كانت تأخير جمع التوقيعات الفيزيائية تطيل موعد الإغلاق من 5 إلى 8 أيام عمل في المتوسط.

بنشر حل توقيع مؤهل مدعوم بـ PKI مؤهلة، ينسب المكتب لكل شريك وموظف مخول شهادة X.509 مؤهلة على QSCD. يتم التحقق من كل توقيع تلقائياً (OCSP) وطابعه الزمني وحفظه في صيغة PAdES-LTA. النتيجة: ينخفض تأخير الإغلاق إلى أقل من 24 ساعة لمرحلة التوقيع، والقيمة الإثباتية القصوى مضمونة بدون خطوات إضافية. تبلغ مكاتب المحاماة بهذا الحجم عن انخفاض متوسط بنسبة 70% من الوقت الإداري المرتبط بالتوقيعات، وفقاً لمعايير القطاع (الاتحاد الوطني لمحامي القانون التجاري، 2025).

السيناريو 2 — شركة صناعية صغيرة ومتوسطة تدير 300 عقد مورّد سنوياً

تدير شركة التصنيع ذات الحجم المتوسط (حوالي 250 موظفاً) عقود إطار وتعديلات وأوامر شراء ملزمة مع حوالي مائة مورّد أوروبي. جعلت التشتت الجغرافي والحواجز اللغوية الإدارة الوثائقية ثقيلة بشكل خاص.

بدمج سير عمل التوقيع الإلكتروني المتقدم (AdES) عبر API متصلة بـ ERP الخاصة بها، تدير PKI التحقق التلقائي من شهادات الموقعين من جانب المورّد (عبر قوائم الثقة eIDAS لكل دولة عضو)، والطابع الزمني ومؤلفات ملفات الأدلة. يلاحظ الخدمة القانونية انخفاضاً بنسبة 60% في المتابعات لجمع التوقيعات وانخفاضاً في النزاعات التعاقدية المتعلقة بالخلافات حول النسخة الموقعة من المستند. تنخفض التكلفة لكل توقيع من 12 يورو (الطباعة والإرسال والحفظ الفيزيائي) إلى أقل من 1.50 يورو في التدفق الرقمي، وفقاً للنطاقات المنشورة من قبل Markess by Exaegis في بانوراما 2025 لإدارة الوثائق.

السيناريو 3 — مجمع مستشفيات عام يضم حوالي 1200 سرير

في قطاع الصحة العامة، يجب أن تستوفي الأعمال الإدارية والعطاءات العامة متطلبات قانون العطاءات العامة وتوصيات ANSSI فيما يتعلق بأمان IS الحساس. يجب على مجمع المستشفيات الذي يدير عدة مؤسسات توقيع مئات العطاءات والتعديلات والعقود كل سنة.

يسمح اعتماد PKI داخلية (CA مخصصة لموظفي الوكالات وشهادات على بطاقات CPS للموظفين الطبيين) مقترنة بحل SaaS للتوقيع على الأعمال الإدارية بتلبية متطلبات التوجيه NIS2 (المنقول إلى القانون الفرنسي بموجب القانون رقم 2024-449 من 21 مايو 2024) الذي يفرض تدابير إدارة خطر الأمن السيبراني. تقلل القابلية الكاملة لتتبع التوقيعات والتحقق في الوقت الفعلي من الشهادات والحفظ LTA للمستندات الموقعة من خطر الطعن في الأعمال الإدارية وتيسر عمليات التدقيق من المحكمة الإقليمية للحسابات. تلاحظ المؤسسات في القطاع عموماً انخفاضاً بنسبة 40 إلى 50% من حجم الورق