فهرست مطالب
عنوان صفحه
امضاهاي ديجيتالي، گواهينامهها و تجارت الكترونيكي.. 1
مقدمه. 1
امضاهاي ديجيتالي.. 2
تشخيص هويت صاحب رمز. 3
گواهيهاي ديجيتالي.. 4
انواع گواهيهاي ديجيتالي.. 7
اشخاص مربوط به گواهي ديجيتالي.. 9
گواهينامههاي ديجيتالي باز و بسته. 11
اعتماد به گواهيها و امضاي ديجيتالي.. 12
اعتماد در امضاء. 17
گواهيها و امضاهاي ديجيتالي در تجارت الكتريكي.. 19
1. انتظارات و موارد مورد توجه مصرف كننده. 20
2. گروههاي مورد اعتماد. 22
3. ضمانتنامههاي مالي.. 23
5. شناسنامه.................................................................................................................................. 25
6. ويژگيهاي گواهيهاي ديجيتالي امضاء. 25
گواهي اختيارات امضاي ديجيتالي شخص ثالث... 28
استانداردهاي فني براي امضاهاي ديجيتالي و گواهينامهها30
تحقيق گواهينامهي جديد. 34
نتيجهگيريها35
امضاهاي ديجيتالي، گواهينامهها و تجارت الكترونيكي
مقدمه
رمزنويسي به مدت 3500 سال تا قبل از اواسط دههي 1970 تنها از يك رمز استفاده ميكرد كه توسط دو گروه رمزگذاران و رمزگشاها شناخته شده بوده است. هركسي كه داراي آن رمز بود (يعني كليد) به طرز كار آن نيز آشنايي داشت.
در رمزنويسي عمومي دو امضاء موجود است: يكي براي رمزگذاري اطلاعات و ديگري براي رمزگشايي آن بكار گرفته ميشده است.
وقتي كه يكي از اين رمزها محرمانه ميشد ديگري به صورت عمومي در ميآمد و سيستم طوري طراحي ميشد كه آگاهي از رمز عمومي اجازه به فاش شدن ارزش رمز محرمانه را ندهد. معمولاً فرض بر اين گرفته ميشد كه رمز محرمانه تنها توسط يك شخص اداره ميشد كه به او صاحب امضاء ميگفتند.
رمزنويسي عمومي هم به منظور بدست آوردن محرمانه بودن و هم امضاي ديجيتالي ميتواند بكار گرفته شود. محرمانه بودن هنگامي به دست ميآيد كه رمزگشايي محرمانه نگه داشته شود و رمزگذاري عمومي شود تا هر شخصي به وسيله رمز عمومي بتواند پيغامي را رمزگشايي كند كه فقط دارندهي رمز ميتواند رمز بگذارد.
امضاهاي ديجيتالي موقعي فراهم ميشود كه رمزگذاري محرمانه شده و رمزگشايي عمومي شود تا هركس با رمز عمومي بتواند پيغامي را رمزگشايي كند كه فقط صاحب امضاء رمزگذاري كرده است. به وسيله امضاي ديجيتالي تأييد شده ما متوجه ميشويم كه از زماني كه امضاء شكل گرفته، شي نشانهگذاري شده تغيير نيافته و همينطور اين عمل توسط رمز محرمانه انجام گرفته است.
امضاهاي ديجيتالي
يك رمز جفتي براي امضاي ديجيتالي وجود دارد: يك رمز امضاي محرمانه ديجيتالي كه براي امضاي آيتمهاي اطلاعاتي است و يك رمز تصديق امضاي ديجيتالي كه توسط ديگران استفاده ميشود تا كنترل كنند كه آيا امضاء با رمز امضاي مربوطه انجام گرفته يا خير.
اگرچه واژهي امضاء براي هر دو بكار ميرود اما در عمل امضاي ديجيتالي و امضاهاي مكتوب داراي ويژگيهاي كاملاً متفاوتي هستند. اگر يك مدرك امضاء شدهي ديجيتالي به هر طريقي دست كاري شود امضاي ديجيتالي آن تصديق نخواهد كرد. هرچند رمز محرمانهاي كه بوجود آورنده امضاء است ميتواند توسط هر شخصي كه دسترسي به ارزش آن را دارد مورد استفاده قرار گيرد. از طرف ديگر يك امضاي مكتوب از طريق بيومتريك[1] به صاحب آن وصل ميشود. اما استفاده آن روي مدرك از تغييرات كشف نشده بعدي جلوگيري نميكند.
يك امضاي مكتوب نشانهگر امضاي يك شخص روي مدرك است حال آنكه يك امضاي ديجيتالي نشانگر يك رمز محرمانه داده شده روي مدرك ميباشد. يك امضاي ديجيتالي به ما ميگويد كه يك مدرك از زمانيكه امضاء صورت گرفته تغيير نيافته است. در مورد اطلاعات بيشتر، يك امضاي ديجيتالي خطور هيچ شخص خاصي را نشان نميدهد.
اگر رمز امضاي محرمانه تحت كنترل يك فرد باشد پس آن امضاء نمايندهي آن فرد است. و ممكن است شخصي فرض كند كه مدارك امضاء شده با رمز توسط همان شخص صورت گرفته است. در حقيقت اين شبيه به ماشين كنترل مطالب است. مادامي كه ماشين به خوبي تحت كنترل بوده و دسترسي به آن فقط توسط امضاكنندگان مجاز بوده امضاي ماشيني ميتواند نمايندهي امضاي شخصي كه جايگزين ميكند باشد. اگرچه اثبات اين امر كه امضاء تحت كنترل يك شخص خاص در زمان امضاي ويژه بوده و همچنين آن فرد طبيعتاً ميدانسته كه چه چيزي را امضاء ميكرده مرحلهي بسيار پيچيدهاي ميباشد.
تشخيص هويت صاحب رمز
اگر شخصي كه ما ميشناسيم و به او اعتماد داريم رمز مورد تأييدشان را به ما بدهد ما ميتوانيم در اين رمز شريك باشيم به شرطي كه مطمئن باشيم تنها آنها به ارزش امضاء مربوطه دسترسي دارند. تحت چنين شرايطي ما ميتوانيم اسامي آنان را(يا بعضي اطلاعاتي كه هويت آنان را براي اهدافمان تعيين ميكند) به رمز تأييد يا تصديقشان به منظور يادآوري اين شراكت متصل كنيم. با اين عمل ما اطلاعات زيادي را توسط رمز مورد تأييدي كه بعداً به ما اجازهي شراكت امضاي تأييد شده با دوستمان يعني صاحب رمز را ميدهد فراهم كردهايم. همچنين ما اطلاعات را به رمز تأييدي كه توصيفگر ويژگي رمز محرمانه مربوطه ميباشد وصل كردهايم كه در اين صورت اين اطلاعات به دوستمان نيز تعلق خواهد يافت. بعد خواهيم ديد كه ما خواهيم توانست ويژگيهاي مختلفي را به رمزهاي امضاي محرمانه به اين روش مربوط كنيم.
احتمال اين امر خيلي كم است كه اگر يك غريبه رمز تصديقي را به ما بدهد كه ادعا كند كه اين (غريبهها) براي امضايش است. ما ميتوانيم چيزي را به آنها دهيم كه امضاء كنند و اگر امضاي بدست آمده قابل اطمينان بود ما متوجه ميشويم كه آنها به امضاء مربوطه دسترسي دارند. بنابراين ما نميدانيم كه آيا ديگران هم اين رمز را دارند پس نميتوانيم اطمينان حاصل كنيم كه فقط آنها ميتوانند از رمز استفاه كنند. علاوه بر اين تا زماني كه ما آنها را نميشناسيم ميتوانند ادعا كنند كه هركسي به غير از خودشان هستند و ما هم متوجه نخواهيم شد (مگر اينكه خيلي بدشانس باشند و شخصي را انتخاب كنند كه ما ميشناسيم). بنابراين در كل اگر ما رمزهاي مورد تأييد امضاء را به طور مستقيم از افرادي كه ميشناسيم و اطمينان داريم بدست آورده باشيم باز هم كسب اطمينان از هويت صاحبان رمز كار بسيار مشكلي خواهد بود.
گواهيهاي ديجيتالي
همانطور كه قبلاً اشاره شد اگر دوستي رمز مورد تأييد امضايشان را به ما داد ما بايد اسم طرف را همراه رمز داشته باشيم تا اينكه فراموش نكنيم آنها داراي رمز امضاء مربوطه نيز هستند. دوست ما ميتواند مدارك را با امضاهايي براي ما بفرستد كه ما قادر به كنترل استفاده از رمز مورد تأييدي باشيم كه با آنها شريك هستيم. همچنين ما ميتوانيم اين كليد (رمز) را به همراه اسم دوستمان براي ديگر دوستان بفرستيم تا اينكه آنها هم بتوانند اين امضاء را كنترل كنند. به علاوه به منظور جلوگيري از دستكاري شدن اشتراك اين اسم با رمز موردنظر و همينطور ثبت منشأ اصلي آن ميتوانيم به صورت ديجيتالي اين تركيب اسم و رمز را امضاء كنيم. در اصل ما تأكيد ميكنيم كه شخص نامبرده براي رمز در تركيب (اسم و رمزي) كه ما امضاء كردهايم دارنده رمز ميباشد. به شرط اينكه دوستان ما از همان اسمي كه ما با شخص اصلي شريك هستيم استفاده كنند. سپس آنها ميتوانند امضاء را كنترل كنند حتي اگر رمز تأييد را به طور مستقيم دريافت نكرده باشند.
تركيب امضاء شده به صورت ديجيتالي يك رمز مورد تأييد امضاء با ديگر اطلاعات كه بيانگر ويژگي رمز محرمانه مربوطه است به عنوان گواهي شناخته ميشود. شخصي كه يك چنين گواهياي را امضاء ميكند تأكيد بر ويژگي مشخص شده رمز امضايي دارد كه با رمز مورد تأييد در گواهي مشاركت دارد. وقتي كه ما اسم دوستمان را به رمز مورد تأييدشان الصاق ميكنيم و تركيب را امضاء ميكنيم در حقيقت بيان ميكنيم كه ما از اسم در گواهي براي تعيين هويت رمز امضاي مربوطه استفاده ميكنيم. اين مثالي است براي شناسنامه. شخصي كه اين گواهي را دريافت و يا از آن استفاده ميكند ممكن است بخواهد بداند كه صاحب رمز نامبرده كنترل منحصري روي رمز امضاي شخصي مشابه دارد اما در كل ما به عنوان صادر كننده شناسنامه هيچ كنترلي روي حفاظت و استفاده از آن رمز شخصي را نداريم. و هيچ تأكيدي هم نميكنيم. اين امر بسيار مهم است كه ما بين اطمينان در امضاء و اطمينان به صاحب امضاء را فرق بگذاريم. تحت شرايط مناسبي امضاهاي ديجيتالي ميتوانند اين اطمينان را فراهم كنند كه يك شخص آيتم اطلاعات را امضاء كرده ولي هنوز چيزي در مورد قابل اطمينان بودن شخص موردنظر نگفته است. همانند امضاهاي معمولي اين امر ممكن است كه خود امضاء مورد اطمينان باشد ولي صاحب آن نه.
نظر به اينكه يك امضاي معمولي كاملاً به صاحب امضاء ربط دارد و نه به مدرك امضاء شده، يك امضاي رمزدار (رمزنويسي) داراي ويژگيهاي متفاوتي ميباشد. به تنهايي يك امضاي ديجيتالي رابطهي خيلي ضعيفي با صاحب آن دارد پس خيلي راحت ميتوان رمز تأييد امضايي را بوجود آوريم. با اين ادعا كه متعلق به شخص ديگريست. همچنين اين امر براي كامپيوتر امكانپذير است كه رمز امضاء را در اختيار ديگري يا حتي در اختيار نرمافزار همان كامپيوتر قرار دهد تا بتواند برخلاف تمايلات شخصي دارندهي امضاء عمل كند.
استفاده از رمزهايي به نام تصديق امضاء در امضاي ديجيتالي نقطه قوت گوهي است.
به عنوان مثال ممكن است ما فقط به رمزهايي اعتماد كنيم كه مستقيماً از افراد شناخته شده و قابل اطمينان گرفتهايم. با اين وصف ممكن است نه تنها ما به رمزها اطمينان كنيم بلكه به هر رمزي كه آنها امضاء كنند اطمينان ميكنيم. اين نوع از توافق اغلب «شبكه اعتماد» ناميده ميشود، اما اين امر كاملاً اين مشكل را حل نميكند چون ممكن است ما رمزي را دريافت كنيم كه توسط شخص غيرقابل اعتماد و ناآشنا تصديق شده باشد، ما ميتوانيم روي اين مسئله تأكيد كنيم كه امضاهاي دوم خودشان امضاء ميشوند. اما اين روند بايد جايي متوقف شود و تنها يك رمز تأييد امضاء نشده بايد در انتهاي اين زنجيره ميتواند باشد. اين رمز آخر معمولاً به عنوان رمز اصلي ناميده ميشود و راه ديگر براي كسب اطمينان از قابل اطمينان بودن آن بايد پيدا شود.
در كل يك گواهي ديجيتالي مجموعهاي است از اطلاعات كه توسط يك رمز امضاي ديجيتاي امضاء شده است. صاحب رمز امضاء در يك گواهي تأكيديست بر اعتبار محتواي گواهي، جايي كه يك امضايي با تأييد رمز ضميمه آن گواهي است و به ويژه كه رمز امضاء داراي خاصيت رمز تأييد شده نيز باشد.
در عمل به كار گرفته شدن گواهيها نشانهي ضعف امضاي ديجيتاليست(و در سيستمهايي كه در آنها استفاده ميشود) و اين امر بايد در طرح سيستمهايي كه از آنها استفاده ميشود مدّنظر قرار گيرد.
يكي از موارد استفاده از گواهيها كه قبلاً درباره آن بحث كرديم تأييد يك اسم براي رمز داده شده است. در اينجا گواهي داراي رمز تأييد شدهايست كه همراه اطلاعاتي از هويت صاحب رمز ميباشد. شخصي كه چنين گواهي را امضاء ميكند ممكن است تأييد كند كه فرد شناخته شده به رمزي كه همراه رمز مورد تأييد عمومي در گواهيست دسترسي دارد. شخص امضاء كننده ممكن است ادعا كند كه شخص شناخته شده به تنهايي به رمز محرمانه دسترسي دارد. جزئيات درباره ادعاهاي يك گواهي به اطلاعات بيرون از گواهي بستگي دارد.
به منظور كنترل اعتبار يك امضاي ديجيتالي بايد رمز مورد تأييد قابل اطمينان آن را بايد داشته باشيم.
يك چنين رمزي ممكن است قبلاً در موردي قابل دسترس باشد كه بتوان امضاء را به سرعت تأييد كرد. اگر رمز مورد تأييد به شكل يك گواهي باشد پس امضاء گواهي بايد كنترل شود. اين روند ممكن است خودش تكرار شود چون ممكن است ما به گواهي ديگري براي اين امضاء نياز داشته باشيم. سرانجام ما بايد به رمزي برسيم كه ميدانيم بايد اعتماد كنيم يا يكي كه امضاء مورد تأييد قرار نگرفته است. در مورد بعدي يكي از روشهاي كنترل رمز نگاه كردن به ارزش آن در كتاب به وفور چاپ شده است. اخيراً كتابي با عنوان ثبت اعتبار جهاني به منظور اين هدف پايهگذاري شده است.
انواع گواهيهاي ديجيتالي
1. شناسنامهها: يك شناسنامه شامل يك رمز مورد تأييد امضائيست كه با اطلاعات كافي براي شناخت هويت صاحب رمز همراه شده است. اين نوع از گواهي از آن چيزي كه در اول تصور ميشد ماهرانهتر است و به جزئيات بعداً خواهيم پرداخت.
2. گواهيهاي جواز:اين گواهي است كه هويت صاحب رمز را به عنوان يكي از اعضاي گروه يا سازمان خاص بدون شناسايي هويت ديگر افراد مشخص ميكند. به عنوان مثال چنين گواهياي ميتواند نشانگر اين امر باشد كه صاحب امضاء يك دكتر است يا يك وكيل. در بسياري از موارد يك امضاي خاص براي تصويب كار يا معاملهاي صورت ميگيرد ولي هويت صاحب آن مطرح نيست. به عنوان مثال داروخانهها ممكن است كه احتياج داشته باشند كه بدانند و مطمئن شوند كه نسخهها توسط دكتر تجويز شده و هيچ لزومي به شناخت هويت دكتر موردنظر ندارند.
در اينجا گواهي اعلام ميكند كه صاحب امضاء (هركس كه ميخواهد باشد) حق نوشتن نسخههاي پزشكي را دارد. گواهيهاي جواز در حقيقت به عنوان گواهيهاي تصويب يا اجازه تلقي ميشوند. ممكن است اينطور تصور شود كه امضاي دكتر بدون هويت داراي هيچ ارزشي در صدور يك نسخه نيست. يا اين وصف وقتي چنين گواهي شامل مشخصات فردي صاحب امضاء نباشد صادركننده گواهي ميداند. در مواقع لزوم چنين چيزي بسيار مورد احتياج قرار ميگيرد.
3. گواهيهاي اجازه يا جازهنامهها: در اين نوع از گواهيها امضاء در حقيقت نشانهي اجازهايست براي انجام كاري. به عنوان مثال يك بانك جوازي را براي مشترياش صادر ميكند با اين مضمون كه: امضاء در اين گواهي نشانهي اجازه برداشت پول از شماره حساب 271828 ميباشد.
در كل صاحب هر منبعي كه داراي دسترسي به منابع الكترونيكي باشد ميتواند از اجازهنامه براي كنترل دسترسي به آن استفاده كند. كنترل دسترسي براي تأمين و فراهم كردن تسهيلات كامپيوتري و صفحات اينترنتي مثال ديگري ميباشد.
اگرچه اجازهنامهها ممكن است شامل اطلاعاتي مربوط به هويت فرد باشد اما به طور كلي مورد نياز نبوده و اغلب نامطلوب ميباشد. به عنوان مثال در استفاده از گواهيهاي ديجيتالي براي برداشت پول از طريق الكتريكي، اگر شبيه به برداشت معمولي پول از بانك باشد اين كار فردي بايد بدون امضاء و نام باشد و اين بدان معناست كه گواهيهاي موردنظر اجازهنامههايي خواهد بود بدون اطلاعات فردي.
در سيستمهاي بانكي شناسنامه براي باز كردن حساب مورد نياز است اما اجازه نامه براي باز كردن حساب به شخصه شامل اطلاعات فردي نيست. براي شناخت صاحب حساب يا گواهي، بانك به رابطه بين ارقام حساب و صاحبان در دادگان داخلي خودش مراجعه ميكند. قرار دادن چنين اطلاعاتي در يك اجازه نامه طبيعتاً نامطلوب است چون ممكن است بانك و مشتريهايش را در معرض خطرات بيشتري قرار دهد.
به عنوان مثال اگر چنين اطلاعاتي در اجازه نامهها درج شود به رقباي بانك اين اجازه را ميدهد كه ليستي از مراجعين را به عنوان گواهي تهيه كند كه براحتي بتوانند از سيستم بانكي عبور كنند. اين امر به هركسي كه اين گواهي را در دست دارد اجازه ميدهد كه از اطلاعات فردي آن براي اهداف ناخواسته كه ممكن است مشتري را به خطر بيندازد استفاده كند. علاوه بر آن قوانين خصوصي ميتوانند اين چنين اعمالي را غيرقانوني كنند چونكه بانك ممكن است اطلاعات فردي مربوط به مشتري را در نزد شخص ثالث فاش كنند.
در حالي كه ممكن است اينگونه دلالت شود كه استرس به چنين اطلاعاتي قابل كنترل شدن باشد چنانچه نياز نباشد احتياجي به استفاده از بهترين ابزار براي كنترل استفاده شود.
اين نشانگر يك اصل كلي براي گواهيهاست: آنها بايد در جهت اهداف ويژه امضاء شوند و اطلاعاتي كه در آنها درج شده فقط بايد در حدّ نياز خود گواهي باشد نه بيشتر.
همچنين گواهيهاي كلي كه زياد در دسترس هستند و به وفور مورد استفاده قرار ميگيرند احتمالاً نسبت به آنهايي كه براي اهداف ويژه امضاء ميشوند كمتر مؤثر ميباشند.
اشخاص مربوط به گواهي ديجيتالي
در اصل سه گروه مختلف با گواهي ديجيتالي همكاري ميكنند:
شخص متقاضي:شخصي كه به گواهي احتياج دارد و در اختيار ديگران قرار ميدهد تا استفاده كنند آنها به طور كلي مقداري يا تمام اطلاعاتي را كه آن شامل ميشود فراهم ميكنند.
شخص صادركننده: اين شخص به طور ديجيتالي بعد از اينكه اطلاعات را در گواهي ثبت كرد و صحت آن را بررسي كرد آن را امضاء ميكند.
شخص تأييد كننده: اين شخص امضاء را در گواهي تصديق كرده و بعد به مطالب آن به منظور بعضي از اهداف ويژه تكيه ميكنند.
به عنوان مثال يك شخص- شخص كه درخواست كننده- يك سري مدارك را به يك اداره دولتي ارايه ميدهد كه داراي هويت است- شخص صادر كننده- كسي كه شناسنامهاي را فراهم ميكند كه ميتواند توسط بانك مورد استفاده قرار گيرد- شخص تأييد كننده- هنگامي كه شخص درخواست كننده يك حساب بانكي باز ميكند.
واژه شخص اطمينان كننده، گاهي اوقات به جاي شخص تأييدكننده بكار ميرود. اما ميتواند گمراه كننده باشد زيرا اهدف اصلي شناخت شخصي است كه گواهي را قبل از اعتماد به آن كنترل ميكند. در عمليات يك كارت اعتباري بسياري از افراد از يك گواهي استفاده ميكنند و از اين رو به آن اعتماد ميكنند اما تنها تعدادي از اينها يعني افراد ممكن است اعتبار اين گواهي را كنترل ميكنند. از اين رو يك شخص تأييد كننده شخصي است كه اول كنترل ميكند و بعد به محتواي گواهي اعتماد ميكند نه مثل شخصي كه بدون كنترل اعتبار آن به گواهي اعتماد ميكند. برحسب نوع گواهي افرادي كه از آن استفاده ميكنند متفاوت هستند.
جدول زير مثالي براي اين نمونه است:
نوع گواهي |
شخص متقاضي |
شخص صادركننده |
هويت |
شخص موردنظر |
اداره دولتي مناسب |
مجوز |
يك شخص با صلاحيت از يك حرفه يا شغل |
عضو حرفهاي |
اعطاي امتياز |
مشتري كه خواهان دسترسي به منبع است |
صاحب منبع |
معمولاً يك شخص متقاضي و يك شخص صادركننده وجود دارد اما وجود اشخاص تأييدكننده بيشتر از اينها خواهد بود. در بعضي موارد اين اشخاص نبايد از هم جدا باشند. در آخرين مثال بالا يعني شخص صادركننده و شخص تأييدكننده مثل هم هستند. اين اغلب براي گواهيهاي اعطاي اختيار مورد استفاده قرار ميگيرد.
گواهينامههاي ديجيتالي باز و بسته
در بسياري از موارد اشخاصي كه با يك گواهي ديجيتالي سروكار دارند در روابط قراردادي وسيعتر خود از آن استفاده خواهند كرد. به عنوان مثال وقتي كه يك فرد يا حساب بانكي باز ميكند يك قراردادي وجود خواهد داشت كه در آن شرايطي تنظيم ميشود كه تحت آن شرايط بانك و شخص موردنظر حساب را باز ميكنند.
وقتي كه يك گواهي ديجيتالي در اين موقعيت استفاده ميشود قراردادي كه بين اشخاص هست براي تنظيم شرايط به منظور استفاده از آن گواهي مورد استفاده قرار ميگيرد البته با ذكر تعهدات اگر مشكلي بوجود آيد. اين مثالي هست براي گواهي ديجيتالي بسته: گواهي كه براي آن تمام اشخاص بدان رضايت دارند و محدود به رابطه قراردادي ميشوند.
متقابلاً در يك گواهي ديجيتالي باز گواهي است كه در آن اشخاص ذينفع (معمولاً شخص اعتماد كننده) هيچ يك از توافقنامههايي كه استفاده از آن گواهي را مجاز ميكند دخالت ندارد. به عنوان مثال يك دكتر و يك هيأت پزشكي حرفهاي كه گواهي جواز او را صادر ميكنند داراي توافقي دو طرفه هستند كه روابطشان را تحتتأثير قرار ميدهد. اگرچه يك بيمار ممكن است در اين توافق دخالتي نداشته باشد اما اگر گواهي اشتباه باشد آنها ممكن است در خطر بيافتند. اين مثالي است براي وقتي كه يك شخص كه به گواهي اعتماد ميكند ميتواند در معرض خطر قرار گيرد اما در صورت بروز مشكلي هيچ پايه و اساس توافق شدهاي براي تاوان گرفتن ندارد.
يك فردي كه يك گواهي ديجيتالي open (باز) را تأكيد ميكند داراي مشكلات فراواني است.
اول؛ ممكن است آنها فرصت كافي نداشته باشند كه بفهمند كه آيا گواهي قابل اطمينان هست يا نه و براي چه هدفي تنظيم شده است. در حالي كه ممكن است آنها هويت سازماني را كه گواهي را امضا كرده بشناسند آنها متوجه اين امر نميشوند كه بايد در صدور گواهي يا به محتواي (هدف) اصلي آن بسيار دقت كنند.
دوم اينكه زيرا آنها در هيچ تعهدي كه روي استفاده از آن صورت گرفته دخالت ندارند نميدانند كه آيا اگر مشكلي بوجود آمد اين امر باعث ايجاد محدوديت روي فعاليت آن ميشود و يا خير. اگرچه بعضي از اين مسائل در گواهي ذكر ميشود اما بايد براي فهم معاني دقيق آن موضوعات تحقيق و بررسي كامل انجام شود.
همچنين مهم است كه بدانيم آيا شروط ذكر شده در موضوع گواهي در حوزهي استفاده از آن بكار گرفته ميشود يا خير. اگر كاملاً اين مسائل حل نشود ارزش گواهيهاي ديجيتالي open به شدت كم ميشود، گواهي اختيارات (A) قصد دارند كه به وسيله يك نظام قابل فهم و شكل يافته بر اين مشكلات غلبه كنند. با اين وصف اين يك مفهوم جديد و ناآشنايي است كه براي پايهريزي شدن زمان زيادي مورد نياز ميباشد. علاوه بر اين، گواهيهاي ديجيتالي open براي تجارت الكترونيكي لازم نيستند كه اكثراً استفاده از گواهيهاي بسته را قبول ميكنند.
اعتماد به گواهيها و امضاي ديجيتالي
1. اعتماد به گواهيها:بايد ميان اعتبار يك گواهي و اعتبار اطلاعات امضاء شده درون آن فرق قائل شد. حقيقت اين است كه يك امضاء در يك گواهي بايد فراهم كننده اعتباري بر صحت مطالب باشد اما بدان معني نيست كه اين اطلاعات بدون استثناء درست باشند.
اول، يك امضاءكننده گواهي ممكن است اشتباه كند و كنترل كافي روي مطالب گواهي نداشته باشد. يك شناسنامه ديجيتالي ممكن است براساس يك پاسپورت بنا شده باشد اما ممكن است دومي جعل شود و احتمال دارد تغييرات زيادي با دقت فراواني كه در موقع كنترل آن بوده وجود داشته باشد.
دوم، ممكن است روش صدور يك گواهي غلط باشد. آنها ميتوانند براحتي در صدور آن دچار اشتباه بشوند يا ممكن است به منظور صدور گواهيهاي به ظاهر معتبر با محتواي غلط دخالت داشته باشند.
سوم، خيلي راحت است كه فراموش كنيم كجا يك گواهي شامل يك رمز مورد تأييد امضاء است، اعتماد به اين رمز نه تنها به اعتماد به گواهي بستگي دارد بلكه بر اعتماد در روشي كه رمز امضاء ذخيره و استفاده شده بستگي دارد. تعيين چه نوع هويت و چگونگي تثبيت آن از جمله مشكلات مربوط به شناسنامههاست، در بيشتر شناسنامههاي رايج، يك رمز به وسيلهي استفاده از يك اسم (يك سلسله از اشخاص) به يك شخص يا شياي مربوط ميشود و اين امر باعث بروز مشكلاتي ميشود. اگر اسامي واحد نباشند و يا اينكه يك گواهي معتبر باشد لزوماً بدين معنا نيست كه با رمز امضاء مشترك باشد به خاطر اينكه ممكن است با يك شخص ديگري (غير از شخص اصلي) مشترك باشد.
در عمل صادركننده گواهي و يك تأييدكننده هر دو اسامي را شناخته و از آنها استفاده ميكنند اما هيچ ضمانتي وجود ندارد كه اين اسامي با افراد مشابه مشترك باشد. مثلاً جان اسميت كه براي صادركننده آشنا است ممكن است با جان اسميت كه تأييدكننده ميشناسد يكي نباشند، از اين بدتر، اطلاعات اضافي كه صادركننده براي نوشتن اسامي واحد بكار ميبرد. مثلاً يك اسم با تاريخ تولد. ممكن است در دسترس شخص تأييدكننده نباشد. بنابراين وقتي كه يك شخص تأييدكنده براي تأييد امضاي جان اسميت احتياج به يك گواهي پيدا ميكند ممكن است گواهيهاي كاملاً قابل اطميناني بدست آورد كه به هيچ كدامشان نميشود اطمينان كرد زيرا آنها نميدانند كه از كدامشان استفاده كنند، اگر آنها اقدام به استفاده از گواهياي بكنند كه به درستي آنها ايمان دارند آنها حدس و گمان خود را به سمت چيزي سوق دادند كه روند رمزنگاري قلمداد شده و به آن اطمينان شده است.
گواهيهاي رمز با اطلاعات بيومتريك ميتوانند بر اين مشكلات غلبه كنند اما زيربنايي كه براي بوجود آوردن و كنترل كردن اين اطلاعات مورد نياز قرار ميگيرد قابل توجه است و اين بدين معناست كه استفاده گسترده از اين دستاوردها هنوز به اين زودي امكانپذير نيست.
همچنين كنترل هويت از آنچه كه در اول تصور ميشد سختتر است. هرچند تجزيه تحليل دقيق نشان ميدهد كه معمولاً در بسياري از شرايط يعني جايي كه ما انتظار داريم كه مورد نياز قرار ميگيرد احتياج نيست.
البته يكي از اهداف گواهي قويتر كردن روابط ميباشد، همانطور كه قبلاً ذكر شد گواهي به تنهايي نميتوانند اين وظيفه را انجام دهند. علاوه بر اين اگر ما با يك رمز مالكيت ناآشنا روبرو شويم بايد براي فهم بيشتر اين مالكيت به زيربناي گواهي دسترسي داشته باشيم. اما يكبار كه ما اينكار را انجام داديم نه تنها بايد به چيزهايي كه برايمان آشناست بلكه به طرح، عملي ساختن و عملكرد اين زيربنا اعتماد كنيم. اعتماد به مالك به تنهايي و اعتماد به يك زيربناي احتمالي و اعتمادي كه ضعف امنيتي را بوجود ميآورد قدم بزرگي است. بسيار جاي تعجب است كه متخصصان به دنبال جزئيات در كاربردها ميگردند تا ببينند كه آيا ميتوانند به نحوي اين كار را به مرحله اجرا در آورند كه احتياجي به زير بنا نداشته باشند يا نه. بسياري از كاربردهاي امضاي ديجيتالي بدون اين تسهيلات به طور موفقيتآميزي قابل اجرا هستند.
2. اعتماد در رمزهاي امضاي محرمانه: با تمام مزيتهاي مراجع گواهي و شخص ثالث قابل اعتماد، امضاهاي ديجيتالي بيشتر از يك گواهي ميباشند. گواهيها تنها با اعتماد به جزئيات عمومي رمز جفتي خصوصي و عمومي سروكار دارند و در مورد رمز امضاي محرمانه هيچ اطميناني را به ما نميدهد. داشتن زيربناي (A) كامل امكانپذير است اما هيچ ارزشي ندارد به خاطر اينكه هيچ ضمانتنامه معادلي در مورد فضايي كه در آن رمزهاي امضاي محرمانه مشترك نگهداري و استفاده ميشوند وجود ندارد. به منظور اعتماد به يك امضاي ديجيتالي تنها ما بايد در مورد مالكيت رمز تأييد اعتماد بلكه به اينكه صاحب رمز تنها شخصيست كه ميتواند از رمز امضاي محرمانه مربوطه استفاده كند ايمان داشته باشيم به عنوان نمونه به موارد زير توجه كنيد:
اين مقتضيات در جمع و تركيب، ايرادهاي فراواني را بوجود ميآورند.
نرمافزاري كه كار آن براي ذخيره رمز است كار حفاظت را انجام نميدهد و اين بدان معناست كه بايد از نمونههاي سختافزاري كمك گرفت. اگرچه كارتهاي هوشمند روي كار آمدند اما هنوز قدرت كافي براي حمايت از توليد رمز روي كارت و در معرض خطر قرار گرفتن فاش شدن رمز ندارند. حقيقت محض اين است كه اين ارزشها كه در بيشتر از يك محل وجود دارند امكان المثني غيرقانوني و جعل امضاء را فراهم ميكنند.
در يك موقعيت ايدهآل رمز جفتي امضاء روي كارت سختافزار بوجود ميآيد و جزء عمومي به طور ظاهري از طريق كارت ميانجي قابل دسترس ميشود. رمز امضاي محرمانه در منبع محافظت شدهاي روي كارت باقي ميماند و از آن جدا نميشود تا اينكه حتي خود صاحب امضاء همه از ارزش آن باخبر نميشود. وقتي كه امضاء مورد احتياج قرار گرفت اطلاعات امضاء شده براي امضاء به منظور پيشگيري از نياز به رمز محرمانه براي خارج شدن از كارت به كارت منتقل ميشوند.
متأسفانه اين بدان معني است كه پردازشگر كارت بايد كاملاً ماهر باشد و همچنين به يك كارت ميانجياي احتياج دارد كه از اطلاعات زياد طوري حمايت كند كه امضاها روي آيتمهاي بزرگ اطلاعات بتوانند بدون وقفه بدست آورده شوند. تركيب اين خصوصيات براي كارتهاي هوشمند كنوني بسيار دشوار است. فرمتهاي تازه مثل كارتهاي PCMCTA ميتوانند اين مقتضيات را حمايت كنند اما نسبتاً گران هستند به ويژه وقتي كه تمام زيربنا به منظور بكارگيري آنها احتياج به تغيير داشته باشد.
جلوگيري از شخص در انكار رمزهاي شخصي فرد يكي از مقتضيات به ويژه بحثانگيز است كه احتمالاً در برخي موارد امكانپذير و عملي نميباشد. نتيجتاً، ميبايست كاربردهاي عملي امضاهاي ديجيتالي در صورت وجود اعتبار و ارزش امضاها مؤثر واقع شود. بياعتبار شناخت شخص نسبت به امضاها دلالت بر اين دارد كه اين امضاهايي استفاده و بدون كاربردند. صاحبان كارت اعتباري از اين شانس برخوردارند كه در خصوص صورت حسابهاي ماهانه برخي آيتمهاي نوشتاري را نپذيرند اما اين بدان معنا نيست كه كارت اعتباري بي استفاده است. علاوه بر اين كليد خانه و يا كليد ماشين هيچ مفهومي از بياعتبار خوانده شدنشان از سوي شخص به دنبال ندارند اما به عنوان ابزار كنترل و هدايت كاملاً مفيد باقي ميمانند.
اعتماد در امضاء
شخص در يك امضاي متداول با مداركي روبرو است كه بايد آنها را امضاء كند و در امضاء كردن آنها از خودكار استفاده ميكنند. در صورت امضاهاي ديجيتالي اين روند بسيار پيچيدهتر است. شخص استفاده كننده به شكل ديگري مثلاً يك كارت هوشمند از كارآييهاي امضاي خود برخوردار است و ميبايست آن را در مورد اطلاعات ديجيتالياي از اين نوع به كار گيرد. آنها ميبايست يك سند الكترونيكي را روي يك صفحه به نمايش بگذارند و بعد از آنها خواسته ميشود تا كارت خود را وارد كنند به طوري كه اين سند بتواند امضاء شود. اما آنها چگونه ميدانند كه هستيم، امضاهاي آنها را در خصوص سند روي صفحه نمايش استفاده كرده نه در خصوص يك سند ديگر. چگونه ميدانند كه رمز امضاي سكرت آنها ذخيره نشده بوده به طوري كه امضاهاشان بعداً توسط ديگران بتواند جعل شود؟ و چنانچه اين يك ’ترمينال زمان و مكان فروش‘ باشد چگونه مصرف كننده و تاجر ميداند كه پايانه در كلاهبرداري از يكي يا هر دو آنها تغيير نكرده و يا در مورد اينكار برنامهريزي نشده است. روند امضاي ديجيتالي يك چيز در مقايسه با امضاهاي دستي قابل اطمينان، كاملاً پيچيده است و اين بدان معناست كه بدست آوردن اعتماد در اين روند بسيار بسيار مشكلتر خواهد بود. موضوع مشابه ديگري كه شامل اثبات كردن اعتبار اين روند در يك دادگاه است ميبايست اتفاقاتي باشد كه همواره پديد ميآيند.
چك كردن امضاهاي گواهيها بخش مهمي در هرگونه روند تأييد امضاء و اين بدان معناست كه ’ترمينالهاي تأييد امضاء‘نيازمند دستيابي به برخي از رمزهاي تأييد امضاء ميباشند. همانگونه كه قبلاً ذكر شد، هميشه در آخر يك مجموعهاي از گواهيها يك رمزي وجود دارد كه نميتواند امضاء شود و از اين رو حداقل يك رمز وجود دارد كه ميبايست به روشي ديگر به طور قابل اطميناني ايجاد شود. بنابراين مراكز تأييد امضاء تمامي به طور كلي حداقل شامل يك رمز قابل اطمينانند كه در تكميل حلقههاي آخر در زنجيره اين تأييد مورد استفاده قرار ميگيرند.
به عنوان مثال ترمينال’مكان و زمان فروش‘ ممكن است رمزهاي اصلي تأييد امضاء را براي شركتهاي كارت اعتبارياي به ثبت برساند كه كارتهاي آنها را تشخيص ميدهد و ميشناسد. چنين رمزهايي را ميتوان مستقيماً از شركتهاي كارت اعتباري بدست آورد. بنابراين ما ميدانيم كه آنها حقيقي واصل هستند، اما چگونه ما ميدانيم كه زماني كه ترمينال جعل شده است.
برخي افراد اعتبار خود را تغيير ندادهاند؟ جعلكنندگان پايانه ميتوانند اين رمزها را امضاء كنند و يك رمز تأييد امضاء در اين پايانه داشته باشند كه در تأييد آنها مورد استفاده قرار ميگيرد اما الان لازم است بدانيم كه رمز تأييد امضاي آنان تغيير پيدا نكرده است.
اين بدين معناست كه حداقل ميبايست يك رمز مورد تأييد در خصوص اين برنامه وجود داشته باشد كه ما بدان اعتماد داشته باشيم و از زمان ايجاد تغيير نكرده و در ترمينال، پشتوانهاي براي اعتماد كردن باشد. از آنجايي كه اين امر بسيار با ارزش تلقي ميشود پس ميبايست در پايانهاي و به طريقي صورت گيرد كه ارزش و اعتبارش را نتوان به آساني تغيير داد.
حتي اگر ما به ترمينالهايي كه به كنترل تأييد امضاء ميپردازند اعتماد داشته باشيم موارد بسيار زياد ديگري وجود دارند كه ما بايد به آنها نيز اعتماد كامل داشته باشيم. همانگونه كه قبلاً گفته شد لازم است از اين مطمئن باشيم چيزي كه در صفحه نمايش است در واقع چيزي است كه امضاء شده همچنين لازم است مطمئن باشيم كه به هيچ وجه رمزهاي سكرت امضاء از اعتبار خود ساقط نميشوند. از اين رو بيشتر، توجه بسيار زيادي به تخمين و اطمينان از اين ترمينالها است تا صرفاً به گواهيها به ويژه ميبايست از اين مطمئن باشيم كه سختافزار و نرمافزار دقيقاً و صرفاً در مسيري كه ما از آن انتظار داريم عمل كنند و اينكه اين بعد از چنين اعتباري كه بدست آورده تغيير نكرده است.
همچنين لازم است بدانيم كه كاربر ماهري خصوصاً زمان امضاء از كامپويتر استفاده ميكرده و نرمافزار آن تنها چيز مورد تأييد و تمام قطعات در رابطه با آن نيز قابل اعتماد بوده و تغيير نكرده است. در مقايسه با ’خودكار يا كاغذ‘ امضاهاي كامپيوتري در برگيرندهي روندهاي پيچيدهي امضايي هستند كه دستيابي به اعتماد در آن امري به مراتب مشكلتر است. تنها به اين دليل به نظر ميرسد كه احتمالاً افراد در يك سطح مصرف كننده يا اختصاصي از چنين امضاهايي استفاده خواهند كرد اما مگر اينكه شخص ديگري بسياري از ريسكهاي موردنظر را متعهد شود.
گواهيها و امضاهاي ديجيتالي در تجارت الكتريكي
رشد و توسعه تجارت الكتريكي به عوامل متعددي بستگي دارد كه اعتماد و اطمينان از زيربناهاي جانبي تنها يكي از آنهاست. با اين حال در حالي فراهم آوردن يك طرح امنيتي يك قدم مورد نياز در توسعه اين بازار است، اما براي آن كافي نيست. با وجود اين هدف ما در اينجا به تنهايي بررسي اين جنبه است، تأييد اين مطلب كه اين فقط يك بخش كوچك از بخشهاي بسيار بزرگتر است.
1. انتظارات و موارد مورد توجه مصرف كننده
نگرش مصرف كننده نسبت به اعتماد به تجارت الكتريكي تا حد بسيار زيادي توسط پوشش خبري در رسانهها تعيين ميگردد. تجارت الكتريكي به كاربرد شبكههاي الكترونيكي نظير اينترنت متكي بوده و در اينجا تقريباً تمام تبليغات در خصوص اين اعتماد منفي است. اين مطلب باعث اين پندار ميشود كه چنانچه مصرفكنندگان آن را در عمليات الكترونيكي به كار گيرند خطرات بسيار زيادي براي آنها به دنبال خواهد داشت. واقعيت با ميليونها عملياتي كه هر روزه صورت ميگيرد فرق دارد و فقط يك بخش بسيار كوچكي بدون هيچگونه مشكل عمليات خود را انجام ميدهند. عملاً به مراتب بيشترين خطرات امنيتي در استفاده از اينترنت در خصوص تجارت الكترونيكي ميزان اعتمادي است كه ميتوان آن را در شخص (يا اشخاص) ديگري با هرگونه عمليات به حساب آورد. در مقايسه، ريسكهايي كه از كاربرد تأسيسات بنيادين در همان حين منشأ ميگيرند بسيار اندك بوده و با استفاده از پروتكلهاي پيشرفتهي رمزنويسي كه در پايهي انتها به انتها (end to end ) عمل ميكنند آنها را ميتوان مرتفع كرد. در استفاده از كارتهاي اعتباري، افراد نسبت به امضاهاي مصرفكنندگان آنچنان نگران نيستند چرا كه اعتماد آنها در اين عمليات بيشتر براساس استفاده از كارت اعتباري ايجاد ميشود تا بر پايهي شناسايي شخص مقابل. اگرچه مصرفكننده از يك ضمانتنامه در برابر ضررهاي مالي نفع ميبرد، اما اغلب آنها خواهان تجارت با يك شركت معروف هستند نه ظاهرسازي و مزيت ديگري در موقعيت خود.
اين بدان معناست كه مصرفكننده ميتواند از گواهي امضاي شخص ذينفع باشد، اگرچه حتي در اين هنگام توجه اصلي احتمالاً به پرهيز از ضرر و زيان مالي در صورتي است كه مشكلاتي بر سر راه قرار ميگيرند. خصوصيت حائز اهميت گواهيهاي ديجيتالي اين است كه آنها ميان افراد اعتماد ايجاد ميكنند تا به استنباط و نتيجهگيري دست يابند اما زماني كه اين اعتماد از قبل وجود نداشته باشند آنها قادر به ايجاد يا ثبات آن نخواهند بود. به عنوان مثال چنانچه من به شركت دارويي بريتانيا(BMA) اعتماد داشته باشم و BMA هم اطمينان داشته باشد كه شخصx يك پزشك است. پس من ميتوانم استنباط كنم كه من بايد كاملاً اطمينان داشته باشم كه شخصx يك پزشك است. هرچند اين رابطه ميان من و شخصx رابطهاي نيست كه هيچگونه اطمينان تازهاي ايجاد كرده است، اين به سادگي تكرري از يك زنجيرهي اطمينان و اعتمادي است كه از قبل به شكل بسيار گستردهتري وجود دارد. عملاً اغلب اين روابط اعتمادآميز ميان افراد در اينجا ايجاد ميشوند و دليلش هم واضح و مرهن است چرا كه اعتماد يك خصوصيت و ويژگي از روابط ميان انسانها بوده و مطلقاً اعتماد به شخصي كه كاملاً ناشناخته است عاقلانه نميباشد. بنابراين زماني كه گروههاي استاندارد كردن و دولتها توجه خود را بر سلسله مراتب (top down) متمركز كنند تا افراد از رمزنويسي عمومي استفاده كنند، كاربرهاي خصوصي بسيار تمايل خواهند داشت تا به رمزهاي افراد ديگر در كتابچههاي شخصي آنها دست يابند. به همين دلايل مشابه، اغلب روابط اعتمادآميز كه در تجارت حائز اهميت ميباشند در شكل بسته بيشتر از شكل باز ايجاد ميشوند. به نظر ميرسد روابط ميان بانكها و مراجعين آنها اغلب به عنوان نمونهاي براي سرويسهاي (خدمات) شخص ثالث مورد اعتماد ديده ميشوند، اما احتمالاً مراجعين، اين روابط را به عنوان توافقهاي دو طرفهي بسته فرض ميكنند كه در آن بانكها تسهيلات بانكي را در اختيار آنها قرار ميدهند. اگرچه ممكن است امضاهاي ديجيتالي نهايتاً الگوهاي جديدي از اعتماد بوجود آرند اما تجربهي بدست آمده از تكنولوژي حاكي از اين است كه از افزايش روابط اعتمادآميز فعلي و بهبود كارآيي و اثربخشي آنها ميتوان به نحو مؤثري استفاده كرد.
2. گروههاي مورد اعتماد
بهتر است عمليات الكترونيكي خاص كه از امضاهاي ديجيتالي استفاده ميكنند را فرا گيريم تا ببينيم كه شامل چه چيزهايي ميشود. اگر مراجعهكننده به دنبال كارت اعتباري است او از صادركننده كارت انتظار خواهد داشت قبل از اينكه آيا چكها يك كارت در اختيار شخص قرار ميدهند او آنها را قبول كند. زماني كه يك كارت صادر ميشود، از مراجعهكننده انتظار ميرود كه آن را امضاء كند اما شركت در جستجوي اين گواهي خصوصي نيست كه اين امضاء واقعاً امضاي شخص موردنظر است يا خير؟ صادركنندگان كارت اين كار را براي امضاهاي معمولي و متداول انجام نميدهند و هيچ دليل واضحي هم وجود ندارد كه چرا در خصوص امضاهاي ديجيتالي آنها ميبايست متفاوت عمل كنند. رابطه ميان مراجعهكننده و صادركنندهي كارت يك رابطهي دو طرفهي بسته(closed) است. از اين رو ميتوان از طريق يك رابطه كه شامل شرايطي در خصوص استفاده از كارت يا هرگونه امضاهاي ديجيتالي مرتبط ميباشد آن را كنترل و هدايت كرد. به طريقي مشابه شركت كارت اعتباري نيز داراي يك رابطه دو طرفهي بسته با تاجراني خواهد بود كه شرايطي و قوانيني براي جابجايي مبالغ كارت اعتباري مشخص ميكنند. هر چند مجدداً يك رابطه بسته نيز وجود دارد كه ميتوان در بيان چگونگي به كارگيري امضاهاي ديجيتالي از آن استفاده كرد.
اين مثال نشان ميدهد كه مصرفكنندگان و تاجران يك رابطه سه طرفهي باز با شركت كارت اعتباري ندارند اما در عوض رابطهي دو طرفه را به شكل رابطه بسته (closed) متمايز ميكنند. از اين رو يك تأسيسات بازCA نيازي به استفاده از امضاهاي ديجيتالي در اين نوع عمليات ندارد، چرا كه تمام روابط دخيل جزء روابط بستهاند كه ميتوان آنها را با شركت كارت اعتباري يا بانكهاي دخيل آنها را كنترل و هدايت كرد. در اينجا نقش اصلي شركت كارت اعتباري تأمين ضمانتنامه هم براي مصرفكننده و هم براي تاجر در رابطه با وظايف مالي يكديگر است. يك روش در عملكرد اين ضمانتنامه استفاده از يك گواهي ديجيتالي است كه از طريق شركت كارت اعتباري براي امضاهاي ديجيتالي تاجر و مصرفكننده صادر ميشود. زماني كه اين گروهها به امضاهاي ديجيتالي طرف ديگر اطمينان كنند، گواهي آنها به گروهها اين اطمينان را ميدهد كه منافع ماليشان تضمين شده است. اين يك كاربرد از گواهي براي تصويب ضمانتنامه به حساب ميآيد.
3. ضمانتنامههاي مالي
به منظور ارتقاي تجارت الكترونيكي ميتوان يك فرم جديد از ضمانتنامه را ايجاد كرد اما به شرطي كه شركتهاي كارت اعتباري براي امضاهاي ديجيتالي مشتريان خود گواهي صادر كرده باشند و بدين وسيله به آنها امكان دهند تا با سودي كه از ضمانتنامهي مشابه پرداختي عايدشان ميشود. البته چنانچه از طريق يك كارت اعتباري در اختيار آنها قرار گرفته شود، كالا خريداري كنند. اين بسيار شبيه يك رابطه سه طرفهي باز است، اما در واقع شامل دو رابطهي دو طرفهي بسته، متمايز ميشود. علاوه بر اين شخص ثالث امضاهاي ديجيتالي را در يك مفهوم ’شناختي‘ تضمين نميكند در عوض آنها را به كار ميگيرد تا دارندگان رمز را قادر سازد تا ضامنها را تضمين كنند. شايان ذكر است كه امضاهاي ديجيتالي مورد است