با توجه به گسترش تعاملات از طریق فضای مجازی و همچنین گسترش کسب و کارهای آنلاین، شناخت هویت واقعی افراد در این فضا ضروری است و استفاده از گواهی الکترونیکی به عنوان تنها راهکار موجود امری اجتناب ناپذیر است.
منبع : نشریه سما(شرکت امن افزار)
با توجه به گسترش تعاملات از طریق فضای مجازی و همچنین گسترش کسب و کارهای آنلاین، شناخت هویت واقعی افراد در این فضا ضروری است و استفاده از گواهی الکترونیکی به عنوان تنها راهکار موجود امری اجتناب ناپذیر است.
از آنجا که مرکز ریشه گواهی الکترونیک به عنوان مرجع اصلی در این حوزه است، گفتگویی داشتیم با فرانک رازقی اسکویی قائم مقام مرکز ریشه و رئیس مرکز دولتی صدور گواهی الکترونیک که شرح آنرا در ادامه میخوانید.
نقش مركز ريشه در کشور چيست و چه مسئوليتها و اختياراتي دارد؟ مرکز ریشه طبق ماده ۳۲ قانون تجارت الکترونیک در سال ۸۶ افتتاح شده است در کشور ما ساختار زیر ساخت کلید عمومی به صورت سلسله مراتبی است و در راس آن شورای سیاست گذاری شامل معاونین وزرا و روسای چند مرکز قرار دارد و پس از آن مرکز ریشه و در مرحله بعد مراکز میانی و مراکز صدور گواهی الکترونیکی قرار دارند.
در سایر کشورهای جهان با توجه به گسترش استفاده از فضای آنلاین و نیاز آنها به استفاده از گواهی الکترونیک در مرحله اول مراکز صدور گواهی شکل گرفتند اما پس از توسعه کاربردها و ایجاد تشتت حاصل از نبود مرکزی برای انسجام بخشیدن به فعالیتها، متوجه شدند که حتما باید مرکز ریشه وجود داشته باشد و در بعضی کشورها چند مرکز ریشه نیز ایجاد شد. اما تجربه جهانی ثابت کرده است که وجود یک مرکز ریشه واحد، منطقی و ضروری است. در واقع مرکز ریشه وظیفه یکپارچه سازی و ایجاد همبستگی در بین مراکز صدور گواهی را بر عهده دارد.
در حال حاضر با توجه به گسترش تعاملات در فضای مجازی و پیچیدگی روابط در این فضا استفاده از خدمات بانکداری الکترونیک امری ضروری است و در چنین شرایطی امنیت و شناخت هویت افراد مهم ترین نکته است. بنابراین با توجه به حساسیت مسئله امنیت استفاده از گواهی الکترونیکی به عنوان راهکاری برای شناسایی هویت افراد، عدم دستکاری اطلاعات و حفظ محرمانگی اطلاعات در تمام دنیا و از جمله ایران مورد توجه قرار گرفت.
تدوین استانداردها نیز یکی از وظایف مرکز ریشه است تمام عملیاتی که در مرکز صدور گواهی الکترونیک انجام می شود باید شامل یک سری استانداردها و فرآیندهای داخلی باشد. پس از آن گواهی الکترونیکی در قالب سخت افزار (توکن و کارت) ارائه میشود که این سخت افزارها نیز باید دارای استانداردهای خاصی باشند. سپس این سخت افزار در سیستمی مورد استفاده قرار میگیرد که این سیستم نیز باید استانداردهايي جهت شناسایی درست و دریافت صحیح اطلاعات دارا باشد. در نتیجه مرکز ریشه در سه بخش صدور، حامل و استفاده، استانداردهایی را تدوین می نماید.
در حقیقت مرکز ریشه نقطه اتکا و اعتماد از نظر تدوین و نظارت بر سیاست ها و استانداردها است. در حال حاضر چهار سطح وجود دارد که این سطوح مطابق با استانداردها تعیین میشوند. در صورتی که مراکز صدور گواهی به صورت مستقل عمل کنند، در تعیین سطوح و میزان اعتماد به آنها شبهاتی به وجود خواهد آمد و این امر در آینده مشکل ساز میشود. در حال حاضر به علت استقبال کم از گواهی الکترونیک، ترویج و فرهنگ سازی این مقوله نیز جزء برنامه های مرکز ریشه است.
مرکز ریشه علاوه بر بخش توسعه کاربردها و سرعت بخشیدن به توسعه آن اقدام به برگزاری کلاس های آموزشی جهت اگاهی رسانی به کارگاه های فنی نموده است.
کاربردهای گواهی الکترونیک چیست؟ موارد استفاده از گواهی الکترونیک در کشور در مرحله اول بنگاه های املاک است که تمام مراحل مبایعه نامه و اجاره نامه باید ثبت شوند و هویت فردی که اقدام به ورود اطلاعات مینماید باید حتما از طریق گواهی الکترونیکی احراز شود. مورد دوم بازرگانان هستند که برای سیستم ثبت سفارش (یا همان ثبتارش) نیازمند گواهی الکترونیکی هستند. و اخیرا سازمان امور مالیاتی برای مودیان مالیاتی خود از گواهی الکترونیکی استفاده میکند و تعداد زیادی از گواهیها به این منظور صادر شدهاند. و تعداد گواهیهایی که برای ایمیل صادر شده اند چندان قابل توجه نیستند.
جایگاه مرکز ریشه در فرهنگ سازی برای استفاده از گواهی دیجیتال کجاست؟ سیاستهای کلان را شورای سیاست گذاری تعیین میکند و اجرای این سیاست ها و نظارت بر فعالیت های مراکز میانی که مطابق با استانداردها عمل نمایند، بازبینی استانداردها و بازبینی از مراکز میانی و بخش فرهنگ سازی و آموزش نیز جزء وظایف مرکز ریشه است. البته گواهی الکترونیکی به اندازهای که از سنش گذشته جا نیفتاده است. هم اکنون راهکارهای توسعه کاربردها استخراج شده و در حال الویت بندی سازمان ها برای آغاز فعالیت هستیم.
تا زمانی که فرهنگ استفاده از گواهی و کاربردهای آن مشخص نباشد نمیتوان انتظار پیشرفت در این زمینه را داشت. و همچنین تا زمانی که کاربردها عملیاتی نشده باشد، نمیتوان انتظار توسعه داشت. مثلا گواهی الکترنیکی را میتوان از طریق نرمافزارهای اتوماسیون اداری گسترش داد اما تقاضا برای آن هنوز رایج نشده است زیرا یا بخش دولتی هنوز از آن مطلع نیست و یا در اولویتهای آنها قرار نگرفته است.
چرا قيمت گواهي در ايران به نسبت جهان بسيار پايين تر است؟ گواهي ۶۰ دلاري در ايران ۱۱هزار تومان به فروش مي رسد. فكر مي كنيد با اين قيمت گواهي و با اين هزينه هاي سرسام آور براي راه اندازي مركز صدور، آيا براي مراكز خصوصي صرفه اقتصادي خواهد داشت كه مركز صدور راه اندازي كنند؟ در تعیین قیمت ها از آغاز نیز بحث های زیادی وجود داشته است. در واقع افزایش قیمت گواهی الکترونیکی به نوعی دافع درخواست کنندگان خواهد بود به طور مثال دستگاه های دولتی که تمایل به دریافت گواهی الکترونیکی در حجم بالا و تعداد انبوه دارند مجبور به صرف هزینه زیادی خواهند شد. برای افراد عادی نیز با توجه به اینکه این گواهی هر سال باید تمدید شود و هزینه توکن هم هست، موجب انصراف افراد و سازمان ها از دریافت گواهی الکترونیکی خواهد شد.
بنابراین شرکت های خصوصی که تمایل به ورود به این بازار را دارند نباید به این مقوله به عنوان تجارت بنگرند بلکه میتوانند از طریق مذاکره با سازمان ها و PKE کردن آنها وارد بخش کاربردها شوند تا با منافعی که در این بخش به دست میآورند و ارائه سرویس هایی دیگری از قبیل فروش توکن و خدمات پشتیبانی سود مورد نظر را کسب نمایند.
طبق قانون مقرر شده است که كاربردهاي غيردولتي از مركز مياني عام گواهي نگيرند و از مراكز خصوصي استفاده كنند. آیا اکنون وضعيت همينگونه است؟ اگر نه، دليل آن چيست؟ طبق قانون ساماندهی مراکز صدور گواهی، اگر سیستمی دولتی باشد، باید حتما گواهی خود را از مرکز صدور دولتی دریافت نماید مگر اینکه یک مرکز خصوصی با ارتقاء توانمندیها، خود را به سطح مراکز بیرونی برساند و با انعقاد قرارداد با بخش دولتی و پذیرش از طرف سازمانهای دولتی اقدام به صدور گواهی برای بخش دولتی نماید.
همچنین در صورتی که یک مرکز بیرونی برای بخش خصوصی نیز گواهی صادر کند آنها میتوانند در بخش دولتی نیز از این گواهی استفاده نمایند. به طور مثال یک مرکز میانی خصوصی میتواند از طریق مذاکره با سازمان امور مالیاتی برای مودیان مالیاتی گواهی صادر نماید.
زمانی که یک بازرگان میخواهد وارد سیستم دولتی شود باید حتما گواهی خود را از مراکز صدور گواهی دولتی دریافت کرده باشد البته در خصوص بنگاه های املاک هنوز وضعیت آنها از نظر دولتی یا خصوصی بودن مشخص نشده است. بنابراین کسانی که از سیستم های دولتی استفاده میکنند باید حتما از سیستم های دولتی گواهی دریافت کنند.
اجازه دهید مقداری هم از دیدگاه فنی صحبت کنیم. به طور كلي یک مركز مياني چه استانداردهايي بايد داشته باشد؟ اساسیترین سندی که یک مرکز صدور گواهی الکترونیک باید دریافت کند سند CPS است که توسط مرکز ریشه تهیه و به تایید شورای سیاست گذاری رسیده است.
طبق این سند تمام مراحل اجرایی و عملیاتی صدور گواهی الکترونیک از جمله شناسایی هویت افراد، مدارک مورد نیاز، نحوه صدور گواهی و امکانات فیزیکی از جمله مکان و نرمافزارها و سختافزارهای مورد استفاده باید طبق سیاست های این سند باشد، که استانداردهای درج شده در این سند جهت دسترسی در سایت مرکز ریشه منتشر شده است. پس ازاینکه شرایط موجود این مرکز به تایید توسط شورای سیاست گذاری رسید و مجوز تاسیس مرکز را دریافت نمود مرکز مورد نظر میتواند اقدام به خرید مکان و تجهیز نرم افزارها نموده و مرکز میانی تاسیس نماید.
در بسیاری از موارد به علت عدم آگاهی کافی از فعالیت های مراکز صدور، سازمان ها جهت دریافت مجوز تاسیس مرکز میانی مراجعه مینمایند در صورتی که میتوانند برای دریافت گواهی الکترونیک به مراکز صدور مراجعه کنند و به جای درگیر کردن خود با مدیریت یک مرکز میانی حداکثر یک دفتر ثبت نام در سازمان متبوع راه اندازی کنندو از امکانات مراکز میانی موجود استفاده نمایند.
پیشنهادی نیز از سوی مرکز ریشه به سازمان ها و وزارتخانه ها ارائه شد که به جای اینکه هر سازمان به تنهایی مرکز صدور گواهی داشته باشد سازمان های فعال در یک حوزه مانند بورس، گمرک و وزارت اقتصاد مرکز واحدی تاسیس نمایند و از طریق دفاتر صدور گواهی اقدام کنند. البته در کشورهای دیگر دنیا نیز روال به همین گونه است و بیش از ده مرکز میانی وجود ندارد.
آیا رابطه متقابلی بین مراکز میانی و مرکز ریشه وجود دارد؟ در درجه اول نقش مرکز ریشه تدوین استانداردها است و سطح بندیهایی که به آنها اشاره شد. در واقع اگر چنین سطح بندی هایی معین نمی شد و هر مرکزی راسا اقدام به صدور گواهی می کرد نوعی بی اعتمادی در طرف مصرفکننده گواهی ایجاد میشد. در واقع پس از تاسیس یک مرکز میانی غیر از نظارت و بازبینی تعاملات دیگری بین مرکز ریشه و مراکز میانی وجود ندارد.
اگر كسي شكايتي نسبت به مراكز مياني يا مركز ريشه داشته باشد، آیا مكانيزم اعلام شكايت مشخص است؟ از آنجا که تاکنون شکایتی نرسیده است این مسئله توجه مسئولان را جلب نکرده است. البته کمیته نظارتی که شامل ۵ نفر از اعضاء شورای سیاست گذاری است و بازوی فنی شورای سیاست گذاری است بر اعمال مرکز ریشه نظارت میکند. اما مکانیزم مشخصی برای اعلام شکایت از مرکز ریشه، مراکز میانی و یا مراکز صدور گواهی وجود ندارد و این مسئله خلاء قابل توجهی است که باید توجه بیشتری به آن شود و ممکن است این مسئله که شکایتی تاکنون دریافت نشده است به علت همین خلاء باشد و مسلما وجود مکانیزم اعلام شکایت امری ضروری خواهد بود.
به نظر شما موانع موجود در راه گسترش استفاده از گواهی الکترونیک چیست؟ مشکل اصلی عدم اطلاع رسانی کافی و فرهنگ سازی ضعیف در این مقوله است. بر همین اساس مرکز ریشه فعالیتی در خصوص آگاهی رسانی کامل به سازمان های کشور به ترتیب اولویت آنها آغاز کرده است که با ارائه مشاوره به مسئولان مربوطه و همراهی آنها تا آخرین مرحله دریافت گواهی الکترونیک این سازمان ها را به ورود به این مقوله ترغیب مینماید. زیرا با توجه به آغاز بهکار شش ساله گواهی الکترونیک از طریق اطلاع رسانی عمومی و در سطح کلان نتیجه مطلوبی حاصل نشده است.
انتظار ما از دولت جدید این است که به تعاملات مجازی و الکترونیکی و تجارت خارجی و به صورت عام بیش از پیش توجه شود.
با توجه به گسترش موبايل و تبلت، چه راهكاري براي مباحث mobile PKI وجود دارد؟ پروژه امکان سنجی استفاده از اهراز هویت در موبایل با جدیت در حال پیگیری و مستندات آن در حال تهیه و بررسی است که پس از مشخص شدن سطوح مختلف و رویههای لازم و مشخصات فنی و الگوریتم های مورد نیاز و تایید شورای سیاست گذاری ظرف مدت یک ماه آینده این پروژه نهایی خواهد شد.
در خصوص مشکلات موجود در خصوص گواهی SSL نیز اشاره مختصری نمایید. برای همگام شدن با پیشرفت های دنیای امروز باید توسط کشورهای دیگر نیز پذیرفته شویم. اما از آنجا که گواهی الکترونیک یکی از موارد تحریمی است، گواهیهای SSL خارجی با محدودیت مواجه هستند. در خصوص گواهیهای داخلی نیز هنگام مراجعه کاربران پیغام خطا ارسال میشود. بنابراین لازم است ارائه دهندگان گواهی، اطلاع رسانی کافی را در مورد عکس العمل لازم در این مواقع ارائه دهند تا مشتریان دچار خطا نشوند.