البنية الأساسية للمفتاح العام (PKI): شرح شامل

مقدمة: لماذا PKI في قلب الثقة الرقمية

في عالم يتم فيه توقيع ملايين العقود إلكترونياً كل يوم، يطرح سؤال أساسي: كيف يمكن التأكد من أن الشخص الذي يوقع هو بالفعل من يدعي أنه، وأن الوثيقة لم تتم تعديلها بعد التوقيع؟ الإجابة تكمن في ثلاثة أحرف: PKI (Public Key Infrastructure، أو البنية الأساسية للمفتاح العام بالفرنسية). يشكل هذا الجهاز التشفيري الأساس التقني لكل توقيع إلكتروني مؤهل يتوافق مع لائحة eIDAS. في هذه المقالة، نشرح بالتفصيل كيفية عمل PKI ومكوناتها الأساسية — بما فيها شهادات X.509 — والطريقة التي تضمن بها الحقيقية والتكامل وعدم الإنكار لأفعالك القانونية الرقمية.

---

ما هي PKI؟ التعريف والمبادئ الأساسية

PKI (البنية الأساسية للمفتاح العام) تعني مجموعة من السياسات والإجراءات والأجهزة والبرامج والأشخاص اللازمين لإنشاء وإدارة وتوزيع واستخدام وتخزين وإلغاء الشهادات الرقمية. تعتمد على التشفير غير المتماثل، أي استخدام زوج من المفاتيح المرتبطة رياضياً: مفتاح خاص (سري) ومفتاح عام (قابل للمشاركة بحرية).

مبدأ زوج المفاتيح غير المتماثلة

عندما يضع الموقّع توقيعه الإلكتروني على وثيقة، يستخدم مفتاحه الخاص لإنشاء بصمة تشفيرية فريدة للملف (hash). هذه البصمة، المشفرة بالمفتاح الخاص، تشكل التوقيع الرقمي. يمكن لأي طرف ثالث التحقق من صحة هذا التوقيع بعد ذلك باستخدام المفتاح العام المقابل للموقّع. إذا نجحت عملية التحقق، يتم إنشاء ضمانتان:

• الحقيقية: فقط صاحب المفتاح الخاص كان يمكنه إنتاج هذا التوقيع.
• التكامل: لم يتم تعديل الوثيقة منذ التوقيع.

تبقى خوارزمية RSA (Rivest-Shamir-Adleman) الأكثر انتشاراً، بمفاتيح بحجم 2048 أو 4096 بت. تكتسب الخوارزميات ذات المنحنيات الإهليلجية (ECDSA) أرضية لأدائها العالي عند مستويات الأمان المكافئة.

مشكلة الثقة والحل الذي توفره PKI

يحل التشفير غير المتماثل مشكلة التكامل لكنه يثير على الفور سؤالاً آخر: كيف نعرف أن المفتاح العام ينتمي فعلاً للشخص الذي يدعي تمثيله؟ هذا هو بالضبط حيث تتدخل PKI. تقدم طرفاً ثالثاً للثقة — سلطة التصديق (AC) — التي تتحقق من هوية صاحب المفتاح العام وتصدر شهادة رقمية تضمن هذه الارتباط.

---

المكونات الأساسية لـ PKI

تتمحور البنية الأساسية للمفتاح العام الفعالة حول عدة مكونات مترابطة. فهم دورها الفردي ضروري لتقييم قوة حل التوقيع الإلكتروني.

سلطة التصديق (AC أو CA)

سلطة التصديق هي الكيان المركزي في PKI. تقوم بالتوقيع الرقمي على الشهادات التي تصدرها، وبالتالي ربط هوية موثوقة بمفتاح عام. في أوروبا، تظهر سلطات التصديق المؤهلة على القوائم الوطنية للثقة (Trusted Lists)، منشورة وفقاً للمادة 22 من لائحة eIDAS. في فرنسا، ANSSI هي التي تحتفظ بهذه القائمة. موردون مثل CertEurope و Certinomis و Certigna يظهرون فيها.

تشكل هرمية التصديق سلسلة ثقة: سلطة تصديق جذر (Root CA) توقع على سلطات تصديق وسيطة، والتي بدورها توقع على شهادات المستخدمين النهائيين. تسمح هذه الهندسة بتحديد التعرض للمفتاح الجذري (المخزن دون الاتصال في HSM) وإدارة الإلغاءات بطريقة حبيبية.

سلطة التسجيل (AE أو RA)

سلطة التسجيل مسؤولة عن التحقق من هوية الطالبين قبل أن تصدر سلطة التصديق شهادة. يمكن أن يكون هذا التحقق:

• وجهاً لوجه (مطلوب لشهادات مؤهلة وفقاً لـ eIDAS).
• عن بعد عبر فيديو تحديد الهوية يتوافق مع معايير ETSI EN 319 401.
• عبر عملية eKYC (التعرف على العميل الإلكتروني) لمستويات الثقة المتوسطة.

الشهادات الرقمية X.509

صيغة X.509 هي المعيار الدولي الذي يحدد هيكل الشهادات الرقمية في PKI. تم تعريفه من قبل ITU-T وتبنيه من قبل IETF عبر RFC 5280، وتحتوي شهادة X.509 على:

• هوية المستحوذ (الاسم والمنظمة والبريد الإلكتروني).
• المفتاح العام للمستحوذ.
• هوية وتوقيع سلطة التصديق المصدرة.
• فترة صحة الشهادة.
• رقم مسلسل فريد.
• الامتدادات: الاستخدامات المصرح بها (توقيع الكود والمصادقة وتوقيع الوثيقة)، نقاط توزيع CRL، عنوان URL OCSP.

في سياق التوقيع الإلكتروني المؤهل eIDAS، يجب إصدار شهادات X.509 المؤهلة على جهاز إنشاء توقيع مؤهل (QSCD)، عادة بطاقة ذكية أو HSM (وحدة أمان الأجهزة).

آلية الإلغاء: CRL و OCSP

يمكن أن تصبح الشهادة غير صالحة قبل انتهاء صلاحيتها: فقدان المفتاح الخاص أو الاختراق أو تغيير حالة المستحوذ. تسمح آليتان بالتحقق من الصحة في الوقت الفعلي:

• CRL (قائمة إلغاء الشهادات): قائمة تنشرها سلطة التصديق بشكل دوري وتسرد الشهادات الملغاة.
• OCSP (بروتوكول حالة الشهادة عبر الإنترنت, RFC 6960): بروتوكول يسمح بالتحقق الفوري من حالة الشهادة. الأفضل في البيئات عالية التردد للمعاملات.

تدمج حلول التوقيع الإلكتروني الجادة، مثل تلك الموصوفة في مقارن حلول التوقيع الإلكتروني، هذه التحققات بشكل منهجي في سير عملها.

---

كيف تأمن PKI التوقيع الإلكتروني بشكل ملموس

يسمح فهم المسار التقني للتوقيع الإلكتروني المدعوم بـ PKI بقياس مستوى الضمان المقدم.

عملية التوقيع خطوة بخطوة

1. حساب الوثيقة: تنتج خوارزمية الحساب (SHA-256 أو SHA-3 وفقاً لتوصيات ANSSI 2026) بصمة رقمية فريدة للوثيقة.
2. تشفير البصمة: يقوم الموقّع بتشفير هذه البصمة بمفتاحه الخاص (المخزن في QSCD الخاص به). لا تغادر هذه العملية أبداً الجهاز الآمن.
3. إنشاء حزمة التوقيع: يتم ربط التوقيع المشفر بالوثيقة، مصحوباً بشهادة X.509 للموقّع وطابع زمني مؤهل.
4. التحقق من جانب المستقبل: يقوم المستقبل (أو حله البرمجي) بفك تشفير البصمة بالمفتاح العام للموقّع وإعادة حساب hash الوثيقة المستلمة والمقارنة. إذا كانت البصمات متطابقة، يكون التوقيع صحيحاً.

المستويات الثلاثة للتوقيع eIDAS وعلاقتها بـ PKI

يميز نظام eIDAS بين ثلاثة مستويات من التوقيع الإلكتروني، كل منها يتضمن استخدام أعمق أو أقل للـ PKI:

• التوقيع الإلكتروني البسيط (SES): ليس بالضرورة مدعوماً بـ PKI. قيمة إثباتية محدودة.
• التوقيع الإلكتروني المتقدم (AdES): يعتمد بالضرورة على زوج مفاتيح وشهادة مرتبطة بالموقّع. الصيغ التقنية الموحدة من قبل ETSI: XAdES و PAdES و CAdES.
• التوقيع الإلكتروني المؤهل (QES): أعلى مستوى، معادل قانوني للتوقيع اليدوي في جميع أنحاء الاتحاد الأوروبي. يتطلب شهادة مؤهلة صادرة عن سلطة تصديق موثوقة مسجلة في قائمة الثقة و QSCD. هذا هو النشر الكامل لـ PKI المؤهلة.

بالنسبة للشركات التي تسعى إلى نشر التوقيع المؤهل على نطاق واسع، يوضح دليلنا بشأن التوقيع الإلكتروني في الشركة خطوات التنفيذ التشغيلي.

الطابع الزمني المؤهل: البعد الزمني لـ PKI

لا تقتصر PKI على الهوية: تضمن أيضاً البعد الزمني للأفعال عبر الطابع الزمني المؤهل (RFC 3161). توفر خدمة طابع زمني للثقة (TSA) علامة تشفيرية تشهد على أن الوثيقة كانت موجودة بشكلها الحالي في لحظة دقيقة معينة. هذا حاسم للحفظ طويل الأجل للأدلة والامتثال لالتزامات الحفاظ على الوثائق (المادة L.110-4 من قانون التجارة: 5 سنوات للأفعال التجارية؛ المادة 2224 من القانون المدني: 5 سنوات للالتزامات التعاقدية بموجب القانون العام).

---

PKI والثقة طويلة الأجل: تحدي الحفاظ على الأدلة

قد يصبح التوقيع الصحيح اليوم غير قابل للتحقق خلال 10 سنوات إذا أصبحت الخوارزميات التشفيرية المستخدمة قديمة أو انتهت صلاحية الشهادات. تأخذ PKI بعين الاعتبار هذا التحدي عبر صيغ التوقيع ذات القيمة الإثباتية طويلة الأجل.

صيغ AdES طويلة العمر

حددت ETSI ملفات توقيع موسعة — XAdES-LTA و PAdES-LTA و CAdES-LTA — التي تضمن في الملف الموقع كل الأدلة اللازمة للتحقق المستقبلي: سلاسل شهادات كاملة وردود OCSP المؤرشفة وطوابع زمنية متعددة. هذه الصيغ متوافقة مع معيار ETSI EN 319 132 (XAdES) و ETSI EN 319 122 (CAdES).

الهجرة التشفيرية في مواجهة الحوسبة الكمية

يمثل ظهور الحوسبة الكمية تهديداً على المدى المتوسط لخوارزميات RSA و ECDSA الحالية. أنهى NIST الأمريكي معاييره الأولى للتشفير ما بعد الكمي في 2024 (CRYSTALS-Dilithium للتوقيعات). تعمل ANSSI و ENISA على خرائط طريق الهجرة التي يجب أن تتحقق في تنقيحات معيار eIDAS في الأفق 2028-2030. ستكون الشركات التي تعتمد على PKI المدارة بشكل جيد في وضع أفضل لهذا الانتقال، لأن تحديث سلطات التصديق أسهل من إعادة صياغة الأنظمة التشفيرية المخصصة.

بالنسبة لمن يقيمون حلهم الحالي، حاسبة العائد على الاستثمار للتوقيع الإلكتروني من Certyneo تسمح بقياس المكاسب المرتبطة بالبنية الأساسية PKI الصناعية.

الإطار القانوني المنطبق على PKI والتوقيع الإلكتروني

البنية الأساسية للمفتاح العام ليست مجرد جهاز تقني: فهي تندرج في إطار قانوني أوروبي ووطني كثيف، والتعامل معه ضروري لأي منظمة تسعى للاعتماد على التوقيع الإلكتروني في أفعالها القانونية.

لائحة eIDAS رقم 910/2014 وتطورها

تم اعتماده في 23 يوليو 2014 وأصبح ساري المفعول منذ 1 يوليو 2016، لائحة (الاتحاد الأوروبي) رقم 910/2014 (eIDAS) تشكل النص المؤسس للثقة الرقمية في أوروبا. يحدد المتطلبات المنطبقة على موفري خدمات الثقة المؤهلة (PSCQ) والشهادات المؤهلة وأجهزة QSCD. تحدد المادة 26 شروط التوقيع المتقدم؛ المادة 28 تعرف الشهادات المؤهلة للتوقيع الإلكتروني؛ يوضح الملحق الأول متطلباتها — مستمدة مباشرة من صيغة X.509.

لائحة eIDAS 2.0 (لائحة الاتحاد الأوروبي رقم 1183/2024، المنشورة في JOUE في 30 أبريل 2024) تعزز هذا الإطار بفرض على الدول الأعضاء الاعتراف بـ المحفظة الأوروبية للهوية الرقمية (EUDIW) وتوسيع التزامات الاعتراف إلى موفري الخدمات الخاصة في القطاعات المحددة.

القانون المدني الفرنسي: القيمة الإثباتية للتوقيع الإلكتروني

بموجب القانون الفرنسي، المادتان 1366 و 1367 من القانون المدني (مستمدة من الأمر رقم 2016-131 الصادر في 10 فبراير 2016) تمنح التوقيع الإلكتروني نفس القيمة مثل التوقيع اليدوي، بشرط أن يفي بمتطلبات تحديد الموقّع وتكامل الوثيقة. تنطبق الافتراضية من الموثوقية عندما يتم إنشاء التوقيع وفقاً لعملية مؤهلة بالمعنى المقصود بـ eIDAS — أي بناءً على PKI مؤهلة.

تنص المادة 1368 على أن طرق إثبات هذه الموثوقية تحددها مرسوم من مجلس الدولة، أي المرسوم رقم 2017-1416 الصادر في 28 سبتمبر 2017 المتعلق بالتوقيع الإلكتروني.

معايير ETSI المنطبقة على PKI

• ETSI EN 319 401: متطلبات عامة لموفري خدمات الثقة.
• ETSI EN 319 411-1 و -2: متطلبات لسلطات التصديق التي تصدر شهادات مؤهلة.
• ETSI EN 319 132: مواصفات XAdES للتوقيعات المتقدمة XML.
• ETSI EN 319 122: مواصفات CAdES.
• ETSI EN 319 162: خدمات الحفاظ والطابع الزمني.

RGPD والبيانات الشخصية في PKI

تحتوي شهادات X.509 على بيانات شخصية (الاسم والاسم الأول والبريد الإلكتروني وأحياناً رقم السجل الوطني). يخضع معالجتها لللائحة (الاتحاد الأوروبي) رقم 2016/679 (RGPD). يجب على سلطات التصديق بشكل خاص تحديد مدة الحفظ المتوافقة والإبلاغ عن المستحوذين وضمان ممارسة حقوقهم. يشكل إلغاء الشهادة بناءً على طلب المستحوذ وسيلة عملية لممارسة الحق في النسيان (ضمن حدود التزام الحفاظ على الأدلة).

المسؤولية والمخاطر القانونية

تعرض PKI التي تتم إدارتها بشكل سيء الشركة لمخاطر خطيرة: الطعن في القيمة الإثباتية للتوقيعات في حالة انتهاء صلاحية الشهادات أو إلغاءها وعدم القدرة على التحقق من التوقيع على المدى الطويل في غياب صيغ LTA والمسؤولية المدنية المحتملة في حالة اختراق المفاتيح الخاصة. توضح المادة 13 من eIDAS أن مسؤولية PSCQ المؤهلة مشمولة إلا إذا قدمت دليلاً معاكساً في حالة عدم الامتثال لالتزاماتها.

سيناريوهات الاستخدام: PKI قيد التطبيق في الشركات

السيناريو 1 — مكتب محاماة متخصص بـ 25 موظفاً

مكتب متخصص في عمليات الدمج والاستحواذ يدير في المتوسط 150 عملية منظمة سنوياً، تتطلب كل منها توقيع عشرات الوثائق (البروتوكولات وعقود الشراكة وضمانات الأصول والالتزامات). سابقاً، كانت تأخير جمع التوقيعات الفيزيائية تطيل إغلاق المعاملات من 5 إلى 8 أيام عمل في المتوسط.

من خلال نشر حل توقيع مؤهل مدعوم بـ PKI مؤهلة، ينسب المكتب إلى كل شريك و موظف مصرح شهادة X.509 مؤهلة على QSCD. يتم التحقق من كل توقيع تلقائياً (OCSP) وتطبيق الطابع الزمني والأرشفة بصيغة PAdES-LTA. النتيجة: ينخفض تأخير الإغلاق إلى أقل من 24 ساعة لمرحلة التوقيع، والقيمة الإثباتية القصوى مضمونة دون خطوة إضافية. تقارير مكاتب المحاماة من هذا الحجم عن انخفاض بنسبة 70٪ من الوقت الإداري المرتبط بالتوقيعات، وفقاً لمعايير القطاع (الاتحاد الوطني لمحامي الأعمال، 2025).

السيناريو 2 — شركة صناعية صغيرة متوسطة تدير 300 عقد مورد سنوياً

تُبرم شركة تصنيعية بحجم متوسط (حوالي 250 موظفاً) عقود إطار وتعديلات وأوامر شراء ملزمة مع مائة مورد أوروبي تقريباً. جعلت التشتت الجغرافي والحواجز اللغوية إدارة الوثائق ثقيلة بشكل خاص.

من خلال دمج سير عمل توقيع إلكتروني متقدم (AdES) عبر API متصل بـ ERP، تدير PKI تلقائياً التحقق من شهادات الموقعين من جانب الموردين (عبر قوائم الثقة eIDAS لكل دولة عضو) والطابع الزمني وتشكيل ملفات الأدلة. يلاحظ قسم الخدمات القانونية انخفاضاً بنسبة 60٪ من المتابعة لجمع التوقيعات وانخفاضاً في النزاعات التعاقدية المتعلقة بعدم الاتفاق على الإصدار الموقع للوثيقة. ينخفض التكلفة لكل توقيع من 12 € (الطباعة والإرسال والأرشفة الفيزيائية) إلى أقل من 1.50 € في التدفق الرقمي، وفقاً للنطاقات المنشورة من قبل Markess by Exaegis في نظرتها العامة 2025 لإدارة الوثائق.

السيناريو 3 — مجمع مستشفيات عام بحوالي 1200 سرير

في قطاع الصحة العامة، يجب أن تمتثل الأفعال الإدارية والمشتريات العامة لمتطلبات قانون المشتريات العامة وتوصيات ANSSI فيما يتعلق بأمان أنظمة المعلومات الحساسة. يجب على مجمع مستشفيات يدير عدة مؤسسات التوقيع على مئات العقود والتعديلات والعقود كل سنة.

يسمح اعتماد PKI داخلية (CA مخصصة لموظفي الوكالات وشهادات على بطاقات CPS لموظفي الفريق الطبي) مقترنة بحل SaaS للتوقيع على الأفعال الإدارية بالوفاء بمتطلبات توجيه NIS2 (المنقولة إلى القانون الفرنسي بموجب القانون رقم 2024-449 الصادر في 21 مايو 2024) المفروضة تدابير إدارة مخاطر الأمن السيبراني. يقلل التتبع الكامل للتوقيعات والتحقق في الوقت الفعلي من الشهادات والحفاظ على وثائق LTA من خطر الطعن في الأفعال الإ