رفتن به محتوای اصلی
Certyneo
X.509 · PKI · گواهی واجد‌شرایط eIDAS

گواهی امضای دیجیتال و مرجع تصدیق

در پشت هر امضای دیجیتالی قابل اعتماد، یک گواهی الکترونیکی پنهان است: فایلی که به طور قابل تأیید هویت (یک فرد، یک شرکت) را به یک کلید عمومی مرتبط می‌کند. این گواهی، که توسط یک مرجع صدور گواهی (AC) معتبر صادر می‌شود، به هر کسی اجازه می‌دهد تا صحت امضا را تأیید کند و کوچک‌ترین تغییر در سند را شناسایی کند. این راهنما توضیح می‌دهد که گواهی امضای دیجیتالی چیست، زنجیره اعتماد چگونه کار می‌کند (PKI، مرجع صدور گواهی، گواهی ریشه)، چه چیزی یک گواهی واجد شرایط eIDAS را از یک گواهی معمولی متمایز می‌کند، و چگونه امضا حتی بعد از لغو یا انقضای گواهی قابل تأیید باقی می‌ماند.

گواهی امضای دیجیتالی چیست؟

گواهی امضای دیجیتالی (یا گواهی الکترونیکی) فایلی است که توسط یک مرجع صدور گواهی صادر می‌شود و یک کلید عمومی را با هویت دارنده آن مرتبط می‌کند. عملاً، هنگامی که امضاکننده امضای خود را اعمال می‌کند، سند با کلید خصوصی او مهر شده است؛ هر کسی که گواهی مربوطه را دارد، می‌تواند با استفاده از کلید عمومی موجود در آن دو چیز را تأیید کند: اینکه امضا واقعاً از دارنده شناخته شده آمده است و اینکه سند از زمان امضا تغییری نکرده است.

یک گواهی از استاندارد X.509 پیروی می‌کند و حاوی هویت دارنده، کلید عمومی او، هویت مرجع صدور گواهی صادرکننده، دوره اعتبار، و امضای AC که همه موارد را تضمین می‌کند. اعتماد‌پذیری آن نه تنها بر گواهی بلکه بر زنجیره اعتماد که تا یک مرجع ریشه معتبر امتداد یافته است بستگی دارد. این زنجیره — PKI (Public Key Infrastructure یا IGC به فرانسوی) — یک فایل ساده را به اثبات هویت قابل اعتراض تبدیل می‌کند.

پنج مفهوم کلیدی اعتماد دیجیتالی

یک گواهی هرگز به تنهایی کار نمی‌کند: بخشی از زیرساختی است که اجزای ضروری آن را در اینجا توضیح می‌دهیم.

گواهی X.509

X.509 فرمت استاندارد گواهی الکترونیکی است. ساختار فایل را توصیف می‌کند: شماره سریال، هویت دارنده (موضوع)، کلید عمومی، هویت صادرکننده، تاریخ‌های اعتبار، کاربردهای مجاز، و امضای AC. این فرمت جهانی برای امضا، رمزگذاری و گواهی‌های TLS وب‌سایت‌ها استفاده می‌شود.

مرجع صدور گواهی (AC)

مرجع صدور گواهی (AC یا CA — Certificate Authority) سازمانی معتبر است که گواهی‌ها را صادر می‌کند و پس از تأیید، دارنده آنها را تضمین می‌کند. AC‌های واجد شرایط توسط مراجع ملی (ANSSI در فرانسه) نظارت می‌شوند و در فهرست اعتماد اتحادیه اروپا قرار دارند. یک AC می‌تواند ریشه، میانی یا صادرکننده باشد.

PKI (زیرساخت کلید عمومی)

PKI (Public Key Infrastructure یا IGC — Infrastructure de Gestion de Clés) مجموعه سخت‌افزار، نرم‌افزار، روش‌ها و مراجعی است که چرخه عمر گواهی‌ها را مدیریت می‌کند: صدور، تجدید، لغو، انتشار. این نهاد زنجیره اعتماد را از مرجع ریشه تا گواهی کاربر نهایی سازماندهی می‌کند.

گواهی واجد شرایط eIDAS

گواهی واجد شرایط توسط ارائه‌دهنده خدمات اعتماد واجد شرایط (QTSP) ثبت‌شده در فهرست اعتماد یک کشور عضو اتحادیه اروپا صادر می‌شود. بالاترین سطح اطمینان شناخته‌شده در اروپا را فراهم می‌کند و شرط لازم برای صدور امضای واجد شرایط (QES) است، تنها امضای الکترونیکی که به لحاظ قانونی معادل امضای دستی محض است.

لغو (CRL و OCSP)

یک گواهی می‌تواند قبل از انقضای آن لغو شود (کلید مخطر، ترک شرکت توسط کارمند، خطای صدور). دو مکانیزم امکان بررسی اینکه یک گواهی هنوز معتبر است را فراهم می‌کند: CRL (فهرست گواهی‌های لغو‌شده منتشر‌شده توسط AC) و پروتکل OCSP (پرس‌وجوی بلادرنگ وضعیت یک گواهی).

چگونه زنجیره اعتماد نظارت می‌شود

یک گواهی تنها به اندازه اعتماد داده‌شده به مرجعی که آن را صادر کرده است ارزش دارد. چهار ستون این اعتماد را در اروپا تضمین می‌کند.

زنجیره تصدیق

هر گواهی توسط یک CA صادرکننده امضا می‌شود که خود توسط یک CA میانی تصدیق شده است، تا زمانی که به یک CA ریشه‌ای برسیم که گواهی آن خود‌امضا شده و توسط سیستم‌عامل‌ها و مرورگرها شناخته‌شده است. تأیید امضا شامل بررسی این زنجیره تا رسیدن به یک ریشه قابل اعتماد است.

فهرست معتبر eIDAS اتحادیه اروپا

هر کشور عضو فهرستی از اعتماد (Trusted List) منتشر می‌کند که ارائه‌دهندگان شاخص‌شده و خدماتی را که آنها فراهم می‌کنند، فهرست می‌کند. کمیسیون اروپایی این فهرست‌ها را یکپارچه می‌کند. گواهی صادرشده توسط یک QTSP در این فهرست، به‌طور کامل در سراسر اتحادیه اروپا شناخته‌شده است.

ANSSI و RGS (فرانسه)

در فرانسه، ANSSI بر ارائه‌دهندگان شاخص‌شده نظارت می‌کند و Référentiel Général de Sécurité (RGS) را منتشر می‌کند، که الزامات قابل اجرا برای گواهی‌هایی را که در مبادلات با دولت استفاده می‌شوند، تعریف می‌کند. این سازمان صلاحیت‌هایی را صادر می‌کند که مطابقت CA با این مرجع‌ها را تصدیق می‌کند.

استانداردهای ETSI EN 319 411

استانداردهای اروپایی ETSI EN 319 411 سیاست‌ها و الزامات امنیتی را تعریف می‌کنند که یک مرجع تصدیق باید رعایت کند تا گواهی‌هایی را صادر کند که شاخص‌شده یا غیرشاخص‌شده باشند. یک سازمان اعتبار‌بخشی با توجه به این استانداردها یک QTSP را قبل از ثبت آن در فهرست معتبر بازرسی می‌کند.

گواهی ساده، پیشرفته یا شاخص‌شده: تفاوت‌های چیست؟

سطح گواهی، سطح امضای قابل‌دستیابی و ارزش حقوقی آن را تعیین می‌کند. در اینجا شش بعد است که آنها را متمایز می‌کند.

بعدگواهی سادهگواهی پیشرفتهگواهی شاخص‌شده
صادرکنندههر CA بدون نظارت خاصی.CA که الزامات امنیتی تقویت‌شده (ETSI) را رعایت می‌کند.ارائه‌دهنده شاخص‌شده (QTSP) ثبت‌شده در فهرست معتبر eIDAS.
تأیید هویتضعیف — اغلب تنها تأیید ساده آدرس پست الکترونیکی.تأیید هویت تقویت‌شده دارنده گواهی.تأیید حضوری یا معادل آن (شناسایی ویدیویی تصدیق‌شده).
سطح امضای مجازامضای ساده (SES).امضای پیشرفته (AES).امضای واجد‌شرایط (QES).
ارزش حقوقیقابل‌پذیری، اما بار اثبات بر عهده صادرکننده است.پیش‌فرض قوی برای قابلیت‌اطمینان.برابری کامل با امضای دستنویس.
شناخت اتحادیه اروپاهیچ شناخت هماهنگ‌شده‌ای وجود ندارد.شناخت‌شده، تحت شرایطی.به‌طور کامل در سراسر اتحادیه اروپا شناخت‌شده است.
کاربرد معمولتأیید داخلی، رسید‌های تحویل.قراردادهای تجاری، منابع انسانی، پیش‌فاکتورها.اسناد دفاتر، مناقصات دولتی، اسناد وکلا.

سؤالات متداول — گواهی امضای دیجیتال

تفاوت بین گواهی الکترونیکی و امضای دیجیتال چیست؟
امضای دیجیتالی نتیجه یک عملیات رمزنگاری است که بر روی یک سند اعمال می‌شود؛ گواهی الکترونیکی فایلی است که مالکیت کلید مورد استفاده برای امضا را اثبات می‌کند. بدون گواهی، امضای دیجیتالی تنها دنباله‌ای از بایت‌های غیرقابل تایید است: گواهی‌نامه، که توسط یک مرجع تأیید هویت صادر می‌شود، این امضا را به یک هویت واقعی متصل می‌کند و امکان تایید آن را فراهم می‌کند.
مرجع تأیید هویت چیست؟
مرجع تأیید هویت (AC یا CA به انگلیسی) طرف ثالث قابل اعتماد است که هویت درخواست‌کننده را تأیید می‌کند، یک گواهی الکترونیکی صادر می‌کند که هویت او را به کلید عمومی‌اش متصل می‌کند، و اطلاعاتی را منتشر می‌کند که امکان تایید و لغو این گواهی را فراهم می‌کند. مراجع تأیید هویت واجد شرایط تحت نظارت مراجع ملی (ANSSI در فرانسه) هستند و در فهرست اعتماد اتحادیه اروپا ثبت شده‌اند.
گواهی واجد شرایط چیست؟
گواهی واجد شرایط یک گواهی الکترونیکی است که توسط یک ارائه‌دهنده خدمات اعتماد واجد شرایط (QTSP) صادر شده و در فهرست اعتماد یک کشور عضو اتحادیه اروپا ثبت شده باشد. این بالاترین سطح اطمینان شناخته‌شده در اروپا است و شرط صدور امضای واجد شرایط (QES)، تنها امضای الکترونیکی است که خودکار معادل امضای دست‌خط است طبق مقررات eIDAS.
PKI چیست؟
PKI (Public Key Infrastructure یا IGC — Infrastructure de Gestion de Clés به فرانسوی) مجموعه‌ای از مراجع، تجهیزات، نرم‌افزارها و روش‌های کاری است که چرخه حیات گواهی‌های الکترونیکی را مدیریت می‌کند: صدور، تمدید، انتشار، لغو. این مجموعه زنجیره اعتماد را سازماندهی می‌کند که گواهی یک کاربر نهایی را به مرجع اصلی شناخته‌شده متصل می‌کند.
چگونه می‌توان تأیید کرد که یک گواهی هنوز معتبر است؟
فراتر از دوره اعتبار آن، یک گواهی ممکن است لغو شده باشد (کلید سازش‌خورده، خطا در صدور). دو مکانیزم امکان تایید این را فراهم می‌کند: CRL (Certificate Revocation List)، فهرستی از گواهی‌های لغو‌شده که به‌طور منظم توسط AC منتشر می‌شود، و پروتکل OCSP (Online Certificate Status Protocol)، که وضعیت یک گواهی معین را در زمان واقعی بررسی می‌کند. امضاهای فرمت PAdES B-LT/B-LTA این داده‌ها را درون‌تان می‌کنند تا در طول زمان قابل تایید بمانند.
آیا برای امضای الکترونیکی باید گواهی خرید؟
برای اکثر موارد استفاده نه. برای یک امضای ساده (SES) یا پیشرفته (AES)، خود پلتفرم امضا گواهی‌ها را مدیریت می‌کند — شما نیازی به خریدن یا نصب هیچ چیز ندارید. یک گواهی واجد شرایط فردی تنها زمانی ضروری است که بخواهید خود امضاهای واجد شرایط (QES) را به‌طور مستقل صادر کنید؛ در غیر این صورت، گواهی واجد شرایط توسط QTSP شریک در لحظه امضا و پس از تأیید هویت شما ارائه می‌شود.
گواهی X.509 چیست؟
X.509 استانداردی بین‌المللی است که ساختار یک گواهی الکترونیکی را تعریف می‌کند. یک گواهی X.509 شامل مواردی است نظیر: هویت دارنده («موضوع»)، کلید عمومی او، هویت مرجع صادرکننده، شماره سریال، دوره اعتبار، استفادهای مجاز کلید، و امضای AC که کل را مهر می‌زند. این فرمت هم برای امضای اسناد و هم برای گواهی‌های TLS که وب‌سایت‌ها را ایمن می‌کنند استفاده می‌شود.

برای اطلاعات بیشتر

مقالات پیشنهادی

با زنجیره اعتماد شناخته‌شده eIDAS امضا کنید

Certyneo بر گواهی‌های صادر‌شده توسط ارائه‌دهندگان خدمات اعتماد واجد شرایط موجود در فهرست اعتماد اروپایی تکیه دارد. SES و AES شامل هستند، QES به قیمت 9,90 €/عمل.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.