PKI: شرح البنية الأساسية للمفتاح العام

المقدمة: لماذا PKI في قلب الثقة الرقمية

في عالم يتم فيه توقيع ملايين العقود يومياً عبر الإنترنت، يطرح سؤال أساسي نفسه: كيف يمكن التأكد من أن الشخص الذي يوقع هو فعلاً من يدعي أنه، وأن المستند لم يتم تعديله بعد التوقيع؟ الإجابة تكمن في ثلاثة أحرف: PKI (Public Key Infrastructure، أو البنية الأساسية للمفتاح العام). هذا الجهاز التشفيري يشكل الأساس التقني لأي توقيع إلكتروني مؤهل متوافق مع تنظيم eIDAS. في هذا المقال، نشرح بالتفصيل آلية عمل PKI ومكوناتها الأساسية — بما في ذلك شهادات X.509 — والطريقة التي تضمن بها أصالة وسلامة وعدم إنكار أعمالك القانونية الرقمية.

---

ما هي PKI؟ التعريف والمبادئ الأساسية

PKI (Public Key Infrastructure) تشير إلى مجموعة من السياسات والإجراءات والمعدات والبرامج والأشخاص اللازمين لإنشاء وإدارة وتوزيع واستخدام وتخزين وإلغاء الشهادات الرقمية. تستند على التشفير غير المتماثل، أي استخدام زوج من المفاتيح المرتبطة رياضياً: مفتاح خاص (سري) ومفتاح عام (قابل للمشاركة بحرية).

مبدأ زوج المفاتيح غير المتماثلة

عندما يضع الموقّع توقيعه الإلكتروني على مستند، يستخدم مفتاحه الخاص لإنشاء بصمة تشفيرية فريدة للملف (هاش). هذه البصمة، المشفرة بالمفتاح الخاص، تشكل التوقيع الرقمي. يمكن لأي طرف ثالث التحقق لاحقاً من أصالة هذا التوقيع باستخدام المفتاح العام المقابل للموقّع. إذا كان التحقق ناجحاً، يتم إنشاء ضمانتين:

• الأصالة: فقط حامل المفتاح الخاص يمكنه إنتاج هذا التوقيع.
• السلامة: لم يتم تعديل المستند منذ التوقيع.

خوارزمية RSA (Rivest-Shamir-Adleman) تبقى الأكثر شيوعاً، بمفاتيح بطول 2048 أو 4096 بت. تحظى الخوارزميات الموجودة على منحنيات بيضاوية (ECDSA) بقبول متزايد لأدائها عند مستوى أمان مكافئ.

مشكلة الثقة والرد من PKI

التشفير غير المتماثل يحل مشكلة السلامة لكنه يثير على الفور سؤالاً آخر: كيف نعرف أن المفتاح العام يتعلق فعلاً بالشخص الذي يدعيه؟ هذا بالضبط حيث تتدخل PKI. تقدم جهة ثالثة موثوقة — سلطة التصديق (AC) — التي تتحقق من هوية حامل المفتاح العام وتصدر شهادة رقمية تضمن هذا الارتباط.

---

المكونات الأساسية لـ PKI

تستند البنية الأساسية للمفتاح العام الفعالة على عدة مكونات متعاضدة. فهم دورها الفردي ضروري لتقييم قوة حل التوقيع الإلكتروني.

سلطة التصديق (AC أو CA)

سلطة التصديق هي الكيان المركزي في PKI. توقع رقمياً الشهادات التي تصدرها، وبالتالي تربط بين هوية موثوقة ومفتاح عام. في أوروبا، تظهر سلطات التصديق المؤهلة في قوائم الثقة الوطنية (Trusted Lists)، المنشورة وفقاً للمادة 22 من تنظيم eIDAS. في فرنسا، الـ ANSSI هي التي تحتفظ بهذه القائمة. موفرون مثل CertEurope و Certinomis و Certigna يظهرون فيها.

تشكل الهرمية التصديقية سلسلة ثقة: سلطة تصديق جذرية (Root CA) توقع على سلطات تصديق وسيطة، والتي بدورها توقع على شهادات المستخدمين النهائيين. تسمح هذه البنية بتحديد تعريض المفتاح الجذري (المخزن بدون اتصال في HSM) وإدارة الإلغاءات بطريقة حبيبية.

سلطة التسجيل (AE أو RA)

سلطة التسجيل مسؤولة عن التحقق من هوية المتقدمين قبل إصدار سلطة التصديق شهادة. يمكن أن يكون هذا التحقق:

• وجهاً لوجه (مطلوب لشهادات مؤهلة وفقاً لـ eIDAS).
• عن بُعد عبر تحديد هوية بالفيديو متوافق مع معايير ETSI EN 319 401.
• عبر عملية eKYC (التحقق الإلكتروني من العميل) لمستويات الثقة الوسيطة.

الشهادات الرقمية X.509

X.509 هو المعيار الدولي الذي يحدد بنية الشهادات الرقمية في PKI. معرّف من قبل ITU-T واعتمد من قبل IETF عبر RFC 5280، تحتوي شهادة X.509 على ما يلي بشكل خاص:

• هوية الحامل (الاسم والمؤسسة والبريد الإلكتروني).
• المفتاح العام للحامل.
• هوية وتوقيع سلطة التصديق المصدرة.
• فترة صحة الشهادة.
• الرقم المسلسل الفريد.
• التمديدات: الاستخدامات المسموح بها (توقيع الكود والمصادقة وتوقيع المستند) وعناوين توزيع CRL و URL OCSP.

في سياق التوقيع الإلكتروني المؤهل eIDAS، يجب إصدار شهادات X.509 المؤهلة على جهاز إنشاء التوقيع المؤهل (QSCD)، عادة بطاقة ذكية أو HSM (Hardware Security Module).

آلية الإلغاء: CRL و OCSP

قد تصبح الشهادة غير صالحة قبل انتهاء صلاحيتها: فقدان المفتاح الخاص أو اختراقه أو تغيير حالة الحامل. تسمح آليتان بالتحقق من الصحة في الوقت الفعلي:

• CRL (Certificate Revocation List): قائمة منشورة دورياً من قبل AC تسرد الشهادات الملغاة.
• OCSP (Online Certificate Status Protocol، RFC 6960): بروتوكول يسمح بالتحقق الفوري من حالة الشهادة. يفضل في البيئات عالية التكرار للمعاملات.

الحلول الجادة للتوقيع الإلكتروني، مثل تلك الموصوفة في مقارنة حلول التوقيع الإلكتروني، تدمج بشكل منتظم هذه التحققات في تدفق التوقيع الخاص بها.

---

كيفية تأمين PKI للتوقيع الإلكتروني بشكل ملموس

فهم المسار التقني للتوقيع الإلكتروني المدعوم بـ PKI يسمح بقياس مستوى الضمان المقدم.

عملية التوقيع خطوة بخطوة

1. هاش المستند: خوارزمية هاش (SHA-256 أو SHA-3 وفقاً لتوصيات ANSSI 2026) تنتج بصمة رقمية فريدة للمستند.
2. تشفير البصمة: الموقّع يشفر هذه البصمة بمفتاحه الخاص (المخزن في QSCD الخاص به). لا تترك هذه العملية أبداً الجهاز الآمن.
3. إنشاء حزمة التوقيع: التوقيع المشفر يرتبط بالمستند، مصحوباً بشهادة X.509 للموقّع وطابع زمني مؤهل.
4. التحقق من جانب المستقبل: المستقبل (أو حله البرمجي) يفك تشفير البصمة بالمفتاح العام للموقّع، ويعيد حساب هاش المستند المستلم ويقارن. إذا تطابقت البصمتان، يكون التوقيع صحيحاً.

مستويات التوقيع الثلاثة وفقاً لـ eIDAS وارتباطها بـ PKI

يميز تنظيم eIDAS بين ثلاثة مستويات من التوقيع الإلكتروني، كل منها ينطوي على استخدام أعمق أو أقل للـ PKI:

• التوقيع الإلكتروني البسيط (SES): لا يعتمد بالضرورة على PKI. قيمة إثباتية محدودة.
• التوقيع الإلكتروني المتقدم (AdES): يستند إلزامياً على زوج مفاتيح وشهادة مرتبطة بالموقّع. التنسيقات التقنية الموحدة من قبل ETSI: XAdES و PAdES و CAdES.
• التوقيع الإلكتروني المؤهل (QES): أعلى مستوى، معادل قانوني للتوقيع بخط اليد في جميع دول الاتحاد الأوروبي. يتطلب شهادة مؤهلة صادرة من سلطة تصديق موثوقة مدرجة في قائمة الثقة و QSCD. إنه النشر الكامل لـ PKI المؤهلة.

بالنسبة للمؤسسات التي تود نشر التوقيع المؤهل على نطاق واسع، يوضح دليلنا عن التوقيع الإلكتروني في المؤسسات خطوات التنفيذ التشغيلي.

الطابع الزمني المؤهل: البعد الزمني لـ PKI

PKI لا تقتصر على الهوية: تضمن أيضاً البعد الزمني للأعمال عبر الطوابع الزمنية المؤهلة (RFC 3161). تصدر خدمة الطابع الزمني الموثوقة (TSA) رمزاً تشفيرياً يشهد بوجود مستند بصيغته الحالية في لحظة محددة. هذا حاسم للحفظ على المدى الطويل للأدلة والامتثال لالتزامات الحفظ الوثائقي القانونية (المادة L.110-4 من قانون التجارة: 5 سنوات للأعمال التجارية؛ المادة 2224 من القانون المدني: 5 سنوات للالتزامات التعاقدية للقانون العام).

---

PKI والثقة على المدى الطويل: مسألة حفظ الأدلة

التوقيع الصالح اليوم قد يصبح غير قابل للتحقق في 10 سنوات إذا أصبحت الخوارزميات التشفيرية المستخدمة عتيقة أو انتهت صلاحية الشهادات. تأخذ PKI في الاعتبار هذا الاعتبار من خلال تنسيقات التوقيع بقيمة إثباتية طويلة الأجل.

تنسيقات AdES طويلة الأجل

عرّفت ETSI ملفات توقيع موسعة — XAdES-LTA و PAdES-LTA و CAdES-LTA — التي تغلف في الملف الموقع جميع الأدلة اللازمة للتحقق المستقبلي: سلاسل الشهادات الكاملة والردود OCSP المؤرشفة والطوابع الزمنية المتعددة. هذه التنسيقات متوافقة مع المعيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES).

الهجرة التشفيرية في مواجهة الحوسبة الكمية

يمثل ظهور الحوسبة الكمية تهديداً على المدى المتوسط لخوارزميات RSA و ECDSA الحالية. أنهى المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) في 2024 معاييره الأولى لتشفير ما بعد الكم (CRYSTALS-Dilithium للتوقيعات). تعمل ANSSI و ENISA على خرائط طريق الهجرة التي يجب أن تتحقق في التنقيحات المخطط لها من معايير eIDAS في الأفق 2028-2030. ستكون المؤسسات التي تستند إلى PKI المُدارة بشكل جيد في وضع أفضل لهذا الانتقال، لأن تحديث سلطات التصديق أسهل من إعادة هندسة الأنظمة التشفيرية المخصصة.

بالنسبة لمن يقيّمون حلهم الحالي، يسمح حاسبة العائد على الاستثمار للتوقيع الإلكتروني من Certyneo بموضوعية الفوائد المرتبطة بـ PKI مُصنّعة.

الإطار القانوني المعمول به على PKI والتوقيع الإلكتروني

البنية الأساسية للمفتاح العام ليست مجرد جهاز تقني: فهي متأصلة في إطار قانوني أوروبي ووطني كثيف، حيث يكون إتقان حكمه ضرورياً لأي منظمة تود الاعتماد على التوقيع الإلكتروني في أعمالها القانونية.

تنظيم eIDAS رقم 910/2014 وتطوره

اعتمد في 23 يوليو 2014 وقابل للتطبيق منذ 1 يوليو 2016، التنظيم (EU) رقم 910/2014 (eIDAS) يشكل النص المؤسس للثقة الرقمية في أوروبا. يحدد المتطلبات المعمول بها على موفري خدمات الثقة المؤهلين (PSCQ) والشهادات المؤهلة و QSCD. تحدد المادة 26 شروط التوقيع المتقدم؛ تحدد المادة 28 شهادات مؤهلة للتوقيع الإلكتروني؛ تفصل الملحقة الأولى متطلبات هذه الشهادات — مشتقة مباشرة من تنسيق X.509.

تنظيم eIDAS 2.0 (التنظيم EU رقم 1183/2024، المنشور في JOUE في 30 أبريل 2024) يعزز هذا الإطار بفرض على الدول الأعضاء الاعتراف بمحفظة الهوية الرقمية الأوروبية (EUDIW) وتوسيع التزامات الاعتراف على موفري الخدمات الخاصين في قطاعات محددة.

القانون المدني الفرنسي: القيمة الإثباتية للتوقيع الإلكتروني

بموجب القانون الفرنسي، المواد 1366 و 1367 من القانون المدني (الناشئة من الأمر رقم 2016-131 بتاريخ 10 فبراير 2016) تمنح التوقيع الإلكتروني نفس قيمة التوقيع بخط اليد، على أن يتم تلبية متطلبات تحديد الموقّع وسلامة المستند. يتم تطبيق افتراض الموثوقية عندما يتم إنشاء التوقيع وفقاً لإجراء مؤهل بمعنى eIDAS — أي القائم على PKI المؤهلة.

المادة 1368 توفر أن طرائق تحديد هذه الموثوقية يتم تحديدها بمرسوم من مجلس الدولة، وهي المرسوم رقم 2017-1416 بتاريخ 28 سبتمبر 2017 المتعلقة بالتوقيع الإلكتروني.

معايير ETSI المعمول بها على PKI

• ETSI EN 319 401: المتطلبات العامة لموفري خدمات الثقة.
• ETSI EN 319 411-1 و -2: متطلبات سلطات التصديق التي تصدر شهادات مؤهلة.
• ETSI EN 319 132: مواصفات XAdES للتوقيعات المتقدمة XML.
• ETSI EN 319 122: مواصفات CAdES.
• ETSI EN 319 162: خدمات الحفظ والطابع الزمني.

GDPR والبيانات الشخصية في PKI

تحتوي شهادات X.509 على بيانات شخصية (الاسم والاسم الأول والبريد الإلكتروني وأحياناً رقم السجل الوطني). معالجتها تخضع للتنظيم (EU) رقم 2016/679 (GDPR). يجب على سلطات التصديق بشكل خاص تحديد فترة احتفاظ متوافقة وإبلاغ الحاملين وضمان ممارسة حقوقهم. إلغاء الشهادة بناءً على طلب الحامل يشكل طريقة عملية لممارسة الحق في الحذف (في حدود التزام حفظ الأدلة).

المسؤولية والمخاطر القانونية

يعرض PKI المُدار بشكل سيء المؤسسة لمخاطر جادة: الطعن في القيمة الإثباتية للتوقيعات في حالة انتهاء صلاحية الشهادات أو إلغاؤها، عدم القدرة على التحقق من التوقيع على المدى الطويل في غياب تنسيقات LTA، والمسؤولية المدنية المحتملة في حالة اختراق المفاتيح الخاصة. تحدد المادة 13 من eIDAS أن مسؤولية PSCQ المؤهلة تنشأ بدون اعتراض، إلا إذا أثبتوا عكس ذلك في حالة الإخلال بالتزاماتهم.

السيناريوهات الاستخدام: PKI في العمل في المؤسسات

السيناريو 1 — مكتب محاماة متخصص في الصفقات يضم 25 متعاوناً

مكتب متخصص في عمليات الاندماج والاستحواذ يدير في المتوسط 150 عملية منظمة سنوياً، يتطلب كل منها توقيع عشرات المستندات (البروتوكولات وميثاق المساهمين وضمانات الأصول والالتزامات). كانت في السابق تأخر فترات جمع التوقيعات الفيزيائية تطول فترات الإغلاق بمتوسط 5 إلى 8 أيام عمل.

بنشر حل توقيع مؤهل يدعمه PKI مؤهلة، يُعطى لكل شريك ومتعاون مخول شهادة X.509 مؤهلة على QSCD. يتم التحقق من كل توقيع تلقائياً (OCSP) وطابع زمني وأرشفة بتنسيق PAdES-LTA. النتيجة: تنخفض فترة الإغلاق إلى أقل من 24 ساعة لمرحلة التوقيع، وأقصى قيمة إثباتية مضمونة دون خطوات إضافية. تفيد مكاتب قانونية من هذا الحجم بتخفيض متوسط 70٪ في الوقت الإداري المتعلق بالتوقيعات، وفقاً لمعايير القطاع (الاتحاد الوطني لمحامي الأعمال، 2025).

السيناريو 2 — شركة صناعية صغيرة ومتوسطة الحجم تدير 300 عقد موردين سنوياً

شركة تصنيعية بحجم متوسط (حوالي 250 موظفاً) تبرم عقود إطارية وتعديلات وأوامر شراء ملزمة مع حوالي مائة مورد أوروبي. جعلت التشتت الجغرافي والحواجز اللغوية إدارة المستندات ثقيلة بشكل خاص.

بدمج سير عمل للتوقيع الإلكتروني المتقدم (AdES) عبر API متصل بـ ERP الخاص بها، تدير PKI تلقائياً التحقق من شهادات الموقعين من جانب المورد (عبر قوائم الثقة eIDAS لكل دولة عضو) والطابع الزمني وتكوين ملفات الأدلة. يلاحظ القسم القانوني انخفاضاً بنسبة 60٪ في الرسائل المتكررة لجمع التوقيعات وانخفاض المنازعات التعاقدية المرتبطة بالخلافات حول الإصدار الموقع للمستند. تنخفض تكلفة التوقيع الواحد من 12 € (الطباعة والإرسال والأرشفة الفيزيائية) إلى أقل من 1.50 € في التدفق الرقمي، وفقاً للنطاقات المنشورة من قبل Markess بواسطة Exaegis في لمحتها الشاملة 2025 لإدارة المستندات.

السيناريو 3 — تجمع مستشفيات عام يضم حوالي 1200 سرير

في قطاع الصحة العامة، يجب أن تستجيب الأعمال الإدارية والتعاقدات العامة لمتطلبات قانون الشراء العام وتوصيات ANSSI فيما يتعلق بأمان تكنولوجيا المعلومات الحساسة. يجب على تجمع المستشفيات الذي يدير عدة مؤسسات توقيع مئات الصفقات والتعديلات والعقود كل سنة.

يسمح اعتماد PKI داخلي (CA مخصصة للعاملين والشهادات على بطاقات CPS للموظفين الطبيين) مقرونة بحل SaaS للتوقيع على الأعمال الإدارية بتلبية متطلبات توجيه NIS2 (المنقولة في القانون الفرنسي بموجب القانون رقم 2024-449 بتاريخ 21 مايو 2024) الذي يفرض تدابير إدارة مخاطر الأمن السيبراني. تقلل القابلية الكاملة للتتبع للتوقيعات والتحقق في الوقت الفعلي من الشهادات وحفظ المستندات الموقعة بتنسيق LTA من خطر الطعن في الأعمال الإدارية وتيسر عمليات التدقيق من قبل الغرفة الإقليمية للحسابات. تلاحظ المؤسسات في القطاع عموماً انخفاضاً بنسبة 40 إلى 50٪ في حجم الورق المعالج وحدها للموارد البشرية، وفقاً لبيانات