مرکز دانلود خلاصه کتاب و جزوات دانشگاهی

فهرست مطالب

عنوان صفحه

امضاهاي ديجيتالي، گواهي‌نامه‌ها و تجارت الكترونيكي.. 1

مقدمه. 1

امضاهاي ديجيتالي.. 2

تشخيص هويت صاحب رمز. 3

گواهي‌هاي ديجيتالي.. 4

انواع گواهي‌هاي ديجيتالي.. 7

اشخاص مربوط به گواهي ديجيتالي.. 9

گواهي‌نامه‌هاي ديجيتالي باز و بسته. 11

اعتماد به گواهي‌ها و امضاي ديجيتالي.. 12

اعتماد در امضاء. 17

گواهي‌ها و امضاهاي ديجيتالي در تجارت الكتريكي.. 19

1. انتظارات و موارد مورد توجه مصرف كننده. 20

2. گروه‌هاي مورد اعتماد. 22

3. ضمانت‌نامه‌هاي مالي.. 23

4. 24

5. شناسنامه.................................................................................................................................. 25

6. ويژگي‌هاي گواهي‌هاي ديجيتالي امضاء. 25

گواهي اختيارات امضاي ديجيتالي شخص ثالث... 28

استانداردهاي فني براي امضاهاي ديجيتالي و گواهي‌نامه‌ها30

تحقيق گواهي‌نامه‌ي جديد. 34

نتيجه‌گيري‌ها35

 

امضاهاي ديجيتالي، گواهي‌نامه‌ها و تجارت الكترونيكي

 

مقدمه

رمز‌نويسي به مدت 3500 سال تا قبل از اواسط دهه‌ي 1970 تنها از يك رمز استفاده مي‌كرد كه توسط دو گروه رمزگذاران و رمزگشاها شناخته شده بوده است. هركسي كه داراي آن رمز بود (يعني كليد) به طرز كار آن نيز آشنايي داشت.

در رمزنويسي عمومي دو امضاء موجود است: يكي براي رمزگذاري اطلاعات و ديگري براي رمزگشايي آن بكار گرفته مي‌شده است.

وقتي كه يكي از اين رمزها محرمانه مي‌شد ديگري به صورت عمومي در مي‌آمد و سيستم طوري طراحي مي‌شد كه آگاهي از رمز عمومي اجازه به فاش شدن ارزش رمز محرمانه را ندهد. معمولاً فرض بر اين گرفته مي‌شد كه رمز محرمانه تنها توسط يك شخص اداره مي‌شد كه به او صاحب امضاء مي‌گفتند.

رمزنويسي عمومي هم به منظور بدست آوردن محرمانه بودن و هم امضاي ديجيتالي مي‌تواند بكار گرفته شود. محرمانه بودن هنگامي به دست مي‌آيد كه رمزگشايي محرمانه نگه داشته شود و رمزگذاري عمومي شود تا هر شخصي به وسيله رمز عمومي بتواند پيغامي را رمزگشايي كند كه فقط دارنده‌ي رمز مي‌تواند رمز بگذارد.

امضاهاي ديجيتالي موقعي فراهم مي‌شود كه رمزگذاري محرمانه شده و رمزگشايي عمومي شود تا هركس با رمز عمومي بتواند پيغامي را رمزگشايي كند كه فقط صاحب امضاء رمزگذاري كرده است. به وسيله امضاي ديجيتالي تأييد شده ما متوجه مي‌شويم كه از زماني كه امضاء شكل گرفته، شي نشانه‌گذاري شده تغيير نيافته و همين‌طور اين عمل توسط رمز محرمانه انجام گرفته است.

امضاهاي ديجيتالي

يك رمز جفتي براي امضاي ديجيتالي وجود دارد: يك رمز امضاي محرمانه ديجيتالي كه براي امضاي آيتم‌هاي اطلاعاتي است و يك رمز تصديق امضاي ديجيتالي كه توسط ديگران استفاده مي‌شود تا كنترل كنند كه آيا امضاء با رمز امضاي مربوطه انجام گرفته يا خير.

اگرچه واژه‌ي امضاء براي هر دو بكار مي‌رود اما در عمل امضاي ديجيتالي و امضاهاي مكتوب داراي ويژگي‌هاي كاملاً متفاوتي هستند. اگر يك مدرك امضاء شده‌ي ديجيتالي به هر طريقي دست كاري شود امضاي ديجيتالي آن تصديق نخواهد كرد. هرچند رمز محرمانه‌اي كه بوجود آورنده امضاء است مي‌تواند توسط هر شخصي كه دسترسي به ارزش آن را دارد مورد استفاده قرار گيرد. از طرف ديگر يك امضاي مكتوب از طريق بيومتريك[1] به صاحب آن وصل مي‌شود. اما استفاده آن روي مدرك از تغييرات كشف نشده بعدي جلوگيري نمي‌كند.

يك امضاي مكتوب نشانه‌گر امضاي يك شخص روي مدرك است حال آن‌كه يك امضاي ديجيتالي نشانگر يك رمز محرمانه داده شده روي مدرك مي‌باشد. يك امضاي ديجيتالي به ما مي‌گويد كه يك مدرك از زماني‌كه امضاء صورت گرفته تغيير نيافته است. در مورد اطلاعات بيشتر، يك امضاي ديجيتالي خطور هيچ شخص خاصي را نشان نمي‌دهد.

اگر رمز امضاي محرمانه تحت كنترل يك فرد باشد پس آن امضاء نماينده‌ي آن فرد است. و ممكن است شخصي فرض كند كه مدارك امضاء شده با رمز توسط همان شخص صورت گرفته است. در حقيقت اين شبيه به ماشين كنترل مطالب است. مادامي كه ماشين به خوبي تحت كنترل بوده و دسترسي به آن فقط توسط امضاكنندگان مجاز بوده امضاي ماشيني مي‌تواند نماينده‌ي امضاي شخصي كه جايگزين مي‌كند باشد. اگرچه اثبات اين امر كه امضاء تحت كنترل يك شخص خاص در زمان امضاي ويژه بوده و هم‌چنين آن فرد طبيعتاً مي‌دانسته كه چه چيزي را امضاء مي‌كرده مرحله‌ي بسيار پيچيده‌اي مي‌باشد.

 

تشخيص هويت صاحب رمز

اگر شخصي كه ما مي‌شناسيم و به او اعتماد داريم رمز مورد تأييدشان را به ما بدهد ما مي‌توانيم در اين رمز شريك باشيم به شرطي كه مطمئن باشيم تنها آنها به ارزش امضاء مربوطه دسترسي دارند. تحت چنين شرايطي ما مي‌توانيم اسامي آنان را(يا بعضي اطلاعاتي كه هويت آنان را براي اهدافمان تعيين مي‌كند) به رمز تأييد يا تصديق‌شان به منظور يادآوري اين شراكت متصل كنيم. با اين عمل ما اطلاعات زيادي را توسط رمز مورد تأييدي كه بعداً به ما اجازه‌ي شراكت امضاي تأييد شده با دوستمان يعني صاحب رمز را مي‌دهد فراهم كرده‌ايم. هم‌چنين ما اطلاعات را به رمز تأييدي كه توصيف‌گر ويژگي رمز محرمانه مربوطه مي‌باشد وصل كرده‌ايم كه در اين صورت اين اطلاعات به دوستمان نيز تعلق خواهد يافت. بعد خواهيم ديد كه ما خواهيم توانست ويژگي‌هاي مختلفي را به رمزهاي امضاي محرمانه به اين روش مربوط كنيم.

احتمال اين امر خيلي كم است كه اگر يك غريبه رمز تصديقي را به ما بدهد كه ادعا كند كه اين (غريبه‌ها) براي امضايش است. ما مي‌توانيم چيزي را به آنها دهيم كه امضاء كنند و اگر امضاي بدست آمده قابل اطمينان بود ما متوجه مي‌شويم كه آنها به امضاء مربوطه دسترسي دارند. بنابراين ما نمي‌دانيم كه آيا ديگران هم اين رمز را دارند پس نمي‌توانيم اطمينان حاصل كنيم كه فقط آنها مي‌توانند از رمز استفاه كنند. علاوه بر اين تا زماني كه ما آنها را نمي‌شناسيم مي‌توانند ادعا كنند كه هركسي به غير از خودشان هستند و ما هم متوجه نخواهيم شد (مگر اين‌كه خيلي بدشانس باشند و شخصي را انتخاب كنند كه ما مي‌شناسيم). بنابراين در كل اگر ما رمزهاي مورد تأييد امضاء را به طور مستقيم از افرادي كه مي‌شناسيم و اطمينان داريم بدست آورده باشيم باز هم كسب اطمينان از هويت صاحبان رمز كار بسيار مشكلي خواهد بود.

 

گواهي‌هاي ديجيتالي

همان‌طور كه قبلاً اشاره شد اگر دوستي رمز مورد تأييد امضايشان را به ما داد ما بايد اسم طرف را همراه رمز داشته باشيم تا اين‌كه فراموش نكنيم آنها داراي رمز امضاء مربوطه نيز هستند. دوست ما مي‌تواند مدارك را با امضاهايي براي ما بفرستد كه ما قادر به كنترل استفاده از رمز مورد تأييدي باشيم كه با آنها شريك هستيم. هم‌چنين ما مي‌توانيم اين كليد (رمز) را به همراه اسم دوستمان براي ديگر دوستان بفرستيم تا اين‌كه آنها هم بتوانند اين امضاء را كنترل كنند. به علاوه به منظور جلوگيري از دست‌كاري شدن اشتراك اين اسم با رمز موردنظر و همين‌طور ثبت منشأ اصلي آن مي‌توانيم به صورت ديجيتالي اين تركيب اسم و رمز را امضاء كنيم. در اصل ما تأكيد مي‌كنيم كه شخص نامبرده براي رمز در تركيب (اسم و رمزي) كه ما امضاء كرده‌ايم دارنده رمز مي‌باشد. به شرط اين‌كه دوستان ما از همان اسمي كه ما با شخص اصلي شريك هستيم استفاده كنند. سپس آنها مي‌توانند امضاء را كنترل كنند حتي اگر رمز تأييد را به طور مستقيم دريافت نكرده باشند.

تركيب امضاء شده به صورت ديجيتالي يك رمز مورد تأييد امضاء با ديگر اطلاعات كه بيانگر ويژگي رمز محرمانه مربوطه است به عنوان گواهي شناخته مي‌شود. شخصي كه يك چنين گواهي‌اي را امضاء مي‌كند تأكيد بر ويژگي مشخص شده رمز امضايي دارد كه با رمز مورد تأييد در گواهي مشاركت دارد. وقتي كه ما اسم دوستمان را به رمز مورد تأييدشان الصاق مي‌كنيم و تركيب را امضاء مي‌كنيم در حقيقت بيان مي‌كنيم كه ما از اسم در گواهي براي تعيين هويت رمز امضاي مربوطه استفاده مي‌كنيم. اين مثالي است براي شناسنامه. شخصي كه اين گواهي را دريافت و يا از آن استفاده مي‌كند ممكن است بخواهد بداند كه صاحب رمز نامبرده كنترل منحصري روي رمز امضاي شخصي مشابه دارد اما در كل ما به عنوان صادر كننده شناسنامه هيچ كنترلي روي حفاظت و استفاده از آن رمز شخصي را نداريم. و هيچ تأكيدي هم نمي‌كنيم. اين امر بسيار مهم است كه ما بين اطمينان در امضاء و اطمينان به صاحب امضاء را فرق بگذاريم. تحت شرايط مناسبي امضاهاي ديجيتالي مي‌توانند اين اطمينان را فراهم كنند كه يك شخص آيتم اطلاعات را امضاء كرده ولي هنوز چيزي در مورد قابل اطمينان بودن شخص موردنظر نگفته است. همانند امضاهاي معمولي اين امر ممكن است كه خود امضاء مورد اطمينان باشد ولي صاحب آن نه.

نظر به اين‌كه يك امضاي معمولي كاملاً به صاحب امضاء ربط دارد و نه به مدرك امضاء شده، يك امضاي رمزدار (رمزنويسي) داراي ويژگي‌هاي متفاوتي مي‌باشد. به تنهايي يك امضاي ديجيتالي رابطه‌ي خيلي ضعيفي با صاحب آن دارد پس خيلي راحت مي‌توان رمز تأييد امضايي را بوجود آوريم. با اين ادعا كه متعلق به شخص ديگريست. هم‌چنين اين امر براي كامپيوتر امكان‌پذير است كه رمز امضاء را در اختيار ديگري يا حتي در اختيار نرم‌افزار همان كامپيوتر قرار دهد تا بتواند برخلاف تمايلات شخصي دارنده‌ي امضاء عمل كند.

استفاده از رمزهايي به نام تصديق امضاء در امضاي ديجيتالي نقطه قوت گوهي است.

به عنوان مثال ممكن است ما فقط به رمزهايي اعتماد كنيم كه مستقيماً از افراد شناخته شده و قابل اطمينان گرفته‌ايم. با اين وصف ممكن است نه تنها ما به رمزها اطمينان كنيم بلكه به هر رمزي كه آنها امضاء كنند اطمينان مي‌كنيم. اين نوع از توافق اغلب «شبكه اعتماد» ناميده مي‌شود، اما اين امر كاملاً اين مشكل را حل نمي‌كند چون ممكن است ما رمزي را دريافت كنيم كه توسط شخص غيرقابل اعتماد و ناآشنا تصديق شده باشد، ما مي‌توانيم روي اين مسئله تأكيد كنيم كه امضاهاي دوم خودشان امضاء مي‌شوند. اما اين روند بايد جايي متوقف شود و تنها يك رمز تأييد امضاء نشده بايد در انتهاي اين زنجيره مي‌تواند باشد. اين رمز آخر معمولاً به عنوان رمز اصلي ناميده مي‌شود و راه ديگر براي كسب اطمينان از قابل اطمينان بودن آن بايد پيدا شود.

در كل يك گواهي ديجيتالي مجموعه‌اي است از اطلاعات كه توسط يك رمز امضاي ديجيتاي امضاء شده است. صاحب رمز امضاء در يك گواهي تأكيديست بر اعتبار محتواي گواهي، جايي كه يك امضايي با تأييد رمز ضميمه آن گواهي است و به ويژه كه رمز امضاء داراي خاصيت رمز تأييد شده نيز باشد.

در عمل به كار گرفته شدن گواهي‌ها نشانه‌ي ضعف امضاي ديجيتالي‌ست(و در سيستم‌هايي كه در آنها استفاده مي‌شود) و اين امر بايد در طرح سيستم‌هايي كه از آنها استفاده مي‌شود مدّنظر قرار گيرد.

يكي از موارد استفاده از گواهي‌ها كه قبلاً درباره آن بحث كرديم تأييد يك اسم براي رمز داده شده است. در اين‌جا گواهي داراي رمز تأييد شده‌اي‌ست كه همراه اطلاعاتي از هويت صاحب رمز مي‌باشد. شخصي كه چنين گواهي را امضاء مي‌كند ممكن است تأييد كند كه فرد شناخته شده به رمزي كه همراه رمز مورد تأييد عمومي در گواهي‌ست دسترسي دارد. شخص امضاء كننده ممكن است ادعا كند كه شخص شناخته شده به تنهايي به رمز محرمانه دسترسي دارد. جزئيات درباره ادعاهاي يك گواهي به اطلاعات بيرون از گواهي بستگي دارد.

به منظور كنترل اعتبار يك امضاي ديجيتالي بايد رمز مورد تأييد قابل اطمينان آن را بايد داشته باشيم.

يك چنين رمزي ممكن است قبلاً در موردي قابل دسترس باشد كه بتوان امضاء را به سرعت تأييد كرد. اگر رمز مورد تأييد به شكل يك گواهي باشد پس امضاء گواهي بايد كنترل شود. اين روند ممكن است خودش تكرار شود چون ممكن است ما به گواهي ديگري براي اين امضاء نياز داشته باشيم. سرانجام ما بايد به رمزي برسيم كه مي‌دانيم بايد اعتماد كنيم يا يكي كه امضاء مورد تأييد قرار نگرفته است. در مورد بعدي يكي از روش‌هاي كنترل رمز نگاه كردن به ارزش آن در كتاب به وفور چاپ شده است. اخيراً كتابي با عنوان ثبت اعتبار جهاني به منظور اين هدف پايه‌گذاري شده است.

 

انواع گواهي‌هاي ديجيتالي

1. شناسنامه‌ها: يك شناسنامه شامل يك رمز مورد تأييد امضائيست كه با اطلاعات كافي براي شناخت هويت صاحب رمز همراه شده است. اين نوع از گواهي از آن چيزي كه در اول تصور مي‌شد ماهرانه‌تر است و به جزئيات بعداً خواهيم پرداخت.

2. گواهي‌هاي جواز:اين گواهي است كه هويت صاحب رمز را به عنوان يكي از اعضاي گروه يا سازمان خاص بدون شناسايي هويت ديگر افراد مشخص مي‌كند. به عنوان مثال چنين گواهي‌اي مي‌تواند نشانگر اين امر باشد كه صاحب امضاء يك دكتر است يا يك وكيل. در بسياري از موارد يك امضاي خاص براي تصويب كار يا معامله‌اي صورت مي‌گيرد ولي هويت صاحب آن مطرح نيست. به عنوان مثال داروخانه‌ها ممكن است كه احتياج داشته باشند كه بدانند و مطمئن شوند كه نسخه‌ها توسط دكتر تجويز شده و هيچ لزومي به شناخت هويت دكتر موردنظر ندارند.

در اين‌جا گواهي اعلام مي‌كند كه صاحب امضاء (هركس كه مي‌خواهد باشد) حق نوشتن نسخه‌هاي پزشكي را دارد. گواهي‌هاي جواز در حقيقت به عنوان گواهي‌هاي تصويب يا اجازه تلقي مي‌شوند. ممكن است اين‌طور تصور شود كه امضاي دكتر بدون هويت داراي هيچ ارزشي در صدور يك نسخه نيست. يا اين وصف وقتي چنين گواهي شامل مشخصات فردي صاحب امضاء نباشد صادركننده گواهي مي‌داند. در مواقع لزوم چنين چيزي بسيار مورد احتياج قرار مي‌گيرد.

3. گواهي‌هاي اجازه يا جازه‌نامه‌ها: در اين نوع از گواهي‌ها امضاء در حقيقت نشانه‌ي اجازه‌ايست براي انجام كاري. به عنوان مثال يك بانك جوازي را براي مشتري‌اش صادر مي‌كند با اين مضمون كه: امضاء در اين گواهي نشانه‌ي اجازه برداشت پول از شماره حساب 271828 مي‌باشد.

در كل صاحب هر منبعي كه داراي دسترسي به منابع الكترونيكي باشد مي‌تواند از اجازه‌نامه براي كنترل دسترسي به آن استفاده كند. كنترل دسترسي براي تأمين و فراهم كردن تسهيلات كامپيوتري و صفحات اينترنتي مثال ديگري مي‌باشد.

اگرچه اجازه‌نامه‌ها ممكن است شامل اطلاعاتي مربوط به هويت فرد باشد اما به طور كلي مورد نياز نبوده و اغلب نامطلوب مي‌باشد. به عنوان مثال در استفاده از گواهي‌هاي ديجيتالي براي برداشت پول از طريق الكتريكي، اگر شبيه به برداشت معمولي پول از بانك باشد اين كار فردي بايد بدون امضاء و نام باشد و اين بدان معناست كه گواهي‌هاي موردنظر اجازه‌نامه‌هايي خواهد بود بدون اطلاعات فردي.

در سيستم‌هاي بانكي شناسنامه براي باز كردن حساب مورد نياز است اما اجازه نامه براي باز كردن حساب به شخصه شامل اطلاعات فردي نيست. براي شناخت صاحب حساب يا گواهي، بانك به رابطه بين ارقام حساب و صاحبان در دادگان داخلي خودش مراجعه مي‌كند. قرار دادن چنين اطلاعاتي در يك اجازه نامه طبيعتاً نامطلوب است چون ممكن است بانك و مشتري‌هايش را در معرض خطرات بيشتري قرار دهد.

به عنوان مثال اگر چنين اطلاعاتي در اجازه نامه‌ها درج شود به رقباي بانك اين اجازه را مي‌دهد كه ليستي از مراجعين را به عنوان گواهي تهيه كند كه براحتي بتوانند از سيستم بانكي عبور كنند. اين امر به هركسي كه اين گواهي را در دست دارد اجازه مي‌دهد كه از اطلاعات فردي آن براي اهداف ناخواسته كه ممكن است مشتري را به خطر بيندازد استفاده كند. علاوه بر آن قوانين خصوصي مي‌توانند اين چنين اعمالي را غيرقانوني كنند چون‌كه بانك ممكن است اطلاعات فردي مربوط به مشتري را در نزد شخص ثالث فاش كنند.

در حالي كه ممكن است اين‌گونه دلالت شود كه استرس به چنين اطلاعاتي قابل كنترل شدن باشد چنان‌چه نياز نباشد احتياجي به استفاده از بهترين ابزار براي كنترل استفاده شود.

اين نشانگر يك اصل كلي براي گواهي‌هاست: آنها بايد در جهت اهداف ويژه امضاء شوند و اطلاعاتي كه در آنها درج شده فقط بايد در حدّ نياز خود گواهي باشد نه بيشتر.

هم‌چنين گواهي‌هاي كلي كه زياد در دسترس هستند و به وفور مورد استفاده قرار مي‌گيرند احتمالاً نسبت به آنهايي كه براي اهداف ويژه امضاء مي‌شوند كمتر مؤثر مي‌باشند.

 

اشخاص مربوط به گواهي ديجيتالي

در اصل سه گروه مختلف با گواهي ديجيتالي همكاري مي‌كنند:

شخص متقاضي:شخصي كه به گواهي احتياج دارد و در اختيار ديگران قرار مي‌دهد تا استفاده كنند آنها به طور كلي مقداري يا تمام اطلاعاتي را كه آن شامل مي‌شود فراهم مي‌كنند.

شخص صادركننده: اين شخص به طور ديجيتالي بعد از اين‌كه اطلاعات را در گواهي ثبت كرد و صحت آن را بررسي كرد آن را امضاء مي‌كند.

شخص تأييد كننده: اين شخص امضاء را در گواهي تصديق كرده و بعد به مطالب آن به منظور بعضي از اهداف ويژه تكيه مي‌كنند.

به عنوان مثال يك شخص- شخص كه درخواست كننده- يك سري مدارك را به يك اداره دولتي ارايه مي‌دهد كه داراي هويت است- شخص صادر كننده- كسي كه شناسنامه‌اي را فراهم مي‌كند كه مي‌تواند توسط بانك مورد استفاده قرار گيرد- شخص تأييد كننده- هنگامي كه شخص درخواست كننده يك حساب بانكي باز مي‌كند.

واژه شخص اطمينان كننده، گاهي اوقات به جاي شخص تأييدكننده بكار مي‌رود. اما مي‌تواند گمراه كننده باشد زيرا اهدف اصلي شناخت شخصي است كه گواهي را قبل از اعتماد به آن كنترل مي‌كند. در عمليات يك كارت اعتباري بسياري از افراد از يك گواهي استفاده مي‌كنند و از اين رو به آن اعتماد مي‌كنند اما تنها تعدادي از اين‌ها يعني افراد ممكن است اعتبار اين گواهي را كنترل مي‌كنند. از اين رو يك شخص تأييد كننده شخصي است كه اول كنترل مي‌كند و بعد به محتواي گواهي اعتماد مي‌كند نه مثل شخصي كه بدون كنترل اعتبار آن به گواهي اعتماد مي‌كند. برحسب نوع گواهي افرادي كه از آن استفاده مي‌كنند متفاوت هستند.

جدول زير مثالي براي اين نمونه است:

نوع گواهي	شخص متقاضي	شخص صادركننده
هويت	شخص موردنظر	اداره دولتي مناسب
مجوز	يك شخص با صلاحيت از يك حرفه يا شغل	عضو حرفه‌اي
اعطاي امتياز	مشتري كه خواهان دسترسي به منبع است	صاحب منبع

 

معمولاً يك شخص متقاضي و يك شخص صادركننده وجود دارد اما وجود اشخاص تأييدكننده بيشتر از اين‌ها خواهد بود. در بعضي موارد اين اشخاص نبايد از هم جدا باشند. در آخرين مثال بالا يعني شخص صادركننده و شخص تأييدكننده مثل هم هستند. اين اغلب براي گواهي‌هاي اعطاي اختيار مورد استفاده قرار مي‌گيرد.

گواهي‌نامه‌هاي ديجيتالي باز و بسته

در بسياري از موارد اشخاصي كه با يك گواهي ديجيتالي سروكار دارند در روابط قراردادي وسيع‌تر خود از آن استفاده خواهند كرد. به عنوان مثال وقتي كه يك فرد يا حساب بانكي باز مي‌كند يك قراردادي وجود خواهد داشت كه در آن شرايطي تنظيم مي‌شود كه تحت آن شرايط بانك و شخص موردنظر حساب را باز مي‌كنند.

وقتي كه يك گواهي ديجيتالي در اين موقعيت استفاده مي‌شود قراردادي كه بين اشخاص هست براي تنظيم شرايط به منظور استفاده از آن گواهي مورد استفاده قرار مي‌گيرد البته با ذكر تعهدات اگر مشكلي بوجود آيد. اين مثالي هست براي گواهي ديجيتالي بسته: گواهي كه براي آن تمام اشخاص بدان رضايت دارند و محدود به رابطه قراردادي مي‌شوند.

متقابلاً در يك گواهي ديجيتالي باز گواهي است كه در آن اشخاص ذي‌نفع (معمولاً شخص اعتماد كننده) هيچ يك از توافق‌نامه‌هايي كه استفاده از آن گواهي را مجاز مي‌كند دخالت ندارد. به عنوان مثال يك دكتر و يك هيأت پزشكي حرفه‌اي كه گواهي جواز او را صادر مي‌كنند داراي توافقي دو طرفه هستند كه روابطشان را تحت‌تأثير قرار مي‌دهد. اگرچه يك بيمار ممكن است در اين توافق دخالتي نداشته باشد اما اگر گواهي اشتباه باشد آنها ممكن است در خطر بيافتند. اين مثالي است براي وقتي كه يك شخص كه به گواهي اعتماد مي‌كند مي‌تواند در معرض خطر قرار گيرد اما در صورت بروز مشكلي هيچ پايه و اساس توافق شده‌اي براي تاوان گرفتن ندارد.

يك فردي كه يك گواهي ديجيتالي open (باز) را تأكيد مي‌كند داراي مشكلات فراواني است.

اول؛ ممكن است آنها فرصت كافي نداشته باشند كه بفهمند كه آيا گواهي قابل اطمينان هست يا نه و براي چه هدفي تنظيم شده است. در حالي كه ممكن است آنها هويت سازماني را كه گواهي را امضا كرده بشناسند آنها متوجه اين امر نمي‌شوند كه بايد در صدور گواهي يا به محتواي (هدف) اصلي آن بسيار دقت كنند.

دوم اين‌كه زيرا آنها در هيچ تعهدي كه روي استفاده از آن صورت گرفته دخالت ندارند نمي‌دانند كه آيا اگر مشكلي بوجود آمد اين امر باعث ايجاد محدوديت روي فعاليت آن مي‌شود و يا خير. اگرچه بعضي از اين مسائل در گواهي ذكر مي‌شود اما بايد براي فهم معاني دقيق آن موضوعات تحقيق و بررسي كامل انجام شود.

هم‌چنين مهم است كه بدانيم آيا شروط ذكر شده در موضوع گواهي در حوزه‌ي استفاده از آن بكار گرفته مي‌شود يا خير. اگر كاملاً اين مسائل حل نشود ارزش گواهي‌هاي ديجيتالي open به شدت كم مي‌شود، گواهي اختيارات (A) قصد دارند كه به وسيله يك نظام قابل فهم و شكل يافته بر اين مشكلات غلبه كنند. با اين وصف اين يك مفهوم جديد و ناآشنايي است كه براي پايه‌ريزي شدن زمان زيادي مورد نياز مي‌باشد. علاوه بر اين، گواهي‌هاي ديجيتالي open براي تجارت الكترونيكي لازم نيستند كه اكثراً استفاده از گواهي‌هاي بسته را قبول مي‌كنند.

 

اعتماد به گواهي‌ها و امضاي ديجيتالي

1. اعتماد به گواهي‌ها:بايد ميان اعتبار يك گواهي و اعتبار اطلاعات امضاء شده درون آن فرق قائل شد. حقيقت اين است كه يك امضاء در يك گواهي بايد فراهم كننده اعتباري بر صحت مطالب باشد اما بدان معني نيست كه اين اطلاعات بدون استثناء درست باشند.

اول، يك امضاءكننده گواهي ممكن است اشتباه كند و كنترل كافي روي مطالب گواهي نداشته باشد. يك شناسنامه ديجيتالي ممكن است براساس يك پاسپورت بنا شده باشد اما ممكن است دومي جعل شود و احتمال دارد تغييرات زيادي با دقت فراواني كه در موقع كنترل آن بوده وجود داشته باشد.

دوم، ممكن است روش صدور يك گواهي غلط باشد. آنها مي‌توانند براحتي در صدور آن دچار اشتباه بشوند يا ممكن است به منظور صدور گواهي‌هاي به ظاهر معتبر با محتواي غلط دخالت داشته باشند.

سوم، خيلي راحت است كه فراموش كنيم كجا يك گواهي شامل يك رمز مورد تأييد امضاء است، اعتماد به اين رمز نه تنها به اعتماد به گواهي بستگي دارد بلكه بر اعتماد در روشي كه رمز امضاء ذخيره و استفاده شده بستگي دارد. تعيين چه نوع هويت و چگونگي تثبيت آن از جمله مشكلات مربوط به شناسنامه‌هاست، در بيشتر شناسنامه‌هاي رايج، يك رمز به وسيله‌ي استفاده از يك اسم (يك سلسله از اشخاص) به يك شخص يا شي‌اي مربوط مي‌شود و اين امر باعث بروز مشكلاتي مي‌شود. اگر اسامي واحد نباشند و يا اين‌كه يك گواهي معتبر باشد لزوماً بدين معنا نيست كه با رمز امضاء مشترك باشد به خاطر اين‌كه ممكن است با يك شخص ديگري (غير از شخص اصلي) مشترك باشد.

در عمل صادركننده گواهي و يك تأييدكننده هر دو اسامي را شناخته و از آنها استفاده مي‌كنند اما هيچ ضمانتي وجود ندارد كه اين اسامي با افراد مشابه مشترك باشد. مثلاً جان اسميت كه براي صادركننده آشنا است ممكن است با جان اسميت كه تأييدكننده مي‌شناسد يكي نباشند، از اين بدتر، اطلاعات اضافي كه صادركننده براي نوشتن اسامي واحد بكار مي‌برد. مثلاً يك اسم با تاريخ تولد. ممكن است در دسترس شخص تأييدكننده نباشد. بنابراين وقتي كه يك شخص تأييدكنده براي تأييد امضاي جان اسميت احتياج به يك گواهي پيدا مي‌كند ممكن است گواهي‌هاي كاملاً قابل اطميناني بدست آورد كه به هيچ كدامشان نمي‌شود اطمينان كرد زيرا آنها نمي‌دانند كه از كدامشان استفاده كنند، اگر آنها اقدام به استفاده از گواهي‌اي بكنند كه به درستي آنها ايمان دارند آنها حدس و گمان خود را به سمت چيزي سوق دادند كه روند رمزنگاري قلمداد شده و به آن اطمينان شده است.

گواهي‌هاي رمز با اطلاعات بيومتريك مي‌توانند بر اين مشكلات غلبه كنند اما زيربنايي كه براي بوجود آوردن و كنترل كردن اين اطلاعات مورد نياز قرار مي‌گيرد قابل توجه است و اين بدين معناست كه استفاده گسترده از اين دستاوردها هنوز به اين زودي امكان‌پذير نيست.

هم‌چنين كنترل هويت از آنچه كه در اول تصور مي‌شد سخت‌تر است. هرچند تجزيه تحليل دقيق نشان مي‌دهد كه معمولاً در بسياري از شرايط يعني جايي كه ما انتظار داريم كه مورد نياز قرار مي‌گيرد احتياج نيست.

البته يكي از اهداف گواهي قوي‌تر كردن روابط مي‌باشد، همان‌طور كه قبلاً ذكر شد گواهي به تنهايي نمي‌توانند اين وظيفه را انجام دهند. علاوه بر اين اگر ما با يك رمز مالكيت ناآشنا روبرو شويم بايد براي فهم بيشتر اين مالكيت به زيربناي گواهي دسترسي داشته باشيم. اما يكبار كه ما اين‌كار را انجام داديم نه تنها بايد به چيزهايي كه برايمان آشناست بلكه به طرح، عملي ساختن و عملكرد اين زيربنا اعتماد كنيم. اعتماد به مالك به تنهايي و اعتماد به يك زيربناي احتمالي و اعتمادي كه ضعف امنيتي را بوجود مي‌آورد قدم بزرگي است. بسيار جاي تعجب است كه متخصصان به دنبال جزئيات در كاربردها مي‌گردند تا ببينند كه آيا مي‌توانند به نحوي اين كار را به مرحله اجرا در آورند كه احتياجي به زير بنا نداشته باشند يا نه. بسياري از كاربردهاي امضاي ديجيتالي بدون اين تسهيلات به طور موفقيت‌آميزي قابل اجرا هستند.

 

2. اعتماد در رمزهاي امضاي محرمانه: با تمام مزيت‌هاي مراجع گواهي و شخص ثالث قابل اعتماد، امضاهاي ديجيتالي بيشتر از يك گواهي مي‌باشند. گواهي‌ها تنها با اعتماد به جزئيات عمومي رمز جفتي خصوصي و عمومي سروكار دارند و در مورد رمز امضاي محرمانه هيچ اطميناني را به ما نمي‌دهد. داشتن زيربناي (A) كامل امكان‌پذير است اما هيچ ارزشي ندارد به خاطر اين‌كه هيچ ضمانت‌نامه معادلي در مورد فضايي كه در آن رمزهاي امضاي محرمانه مشترك نگهداري و استفاده مي‌شوند وجود ندارد. به منظور اعتماد به يك امضاي ديجيتالي تنها ما بايد در مورد مالكيت رمز تأييد اعتماد بلكه به اين‌كه صاحب رمز تنها شخصي‌ست كه مي‌تواند از رمز امضاي محرمانه مربوطه استفاده كند ايمان داشته باشيم به عنوان نمونه به موارد زير توجه كنيد:

• اگر صاحب امضاء نسبت به رمز امضاء بي‌دقتي كند اين رمز بر همه آشكار مي‌شود.
• ممكن است كامپيوترشان زياد ايمن نباشد و ممكن است حتي با دقت زياد نيز رمز توسط ديگران ربوده شود.
• كامپيوتر ممكن است شامل نرم‌افزاري باشد كه با رمز كاربرد امضاء خواهد كرد اما تحت كنترل شخص ديگر و بدون اطلاع كاربر.
• بعد از اين‌كه كاربر امكان رمز امضاء را فراهم كرد ممكن است كامپيوتر به دست شخص ديگري قرار بگيرد نه شخص موردنظر.
• ممكن است كاربر چيزي را امضاء را فراهم كند و بعد فراموش كند سپس آنها مي‌توانند توسط انتشار رمز امضاي محرمانه آنها به طور عمدي امضايشان را از اعتبار ساقط كنند. اين نمي‌تواند از يك نمونه سرقت رمز امضاي محرمانه مجزا شود و كاربر نبايد به خاطر چيزي كه نتوانسته از آن جلوگيري كند مجازات شود.
• احتمال دارد امضاهاي ديجيتالي بدون دسترسي به رمزهاي امضاي محرمانه قابل جعل باشند.

اين مقتضيات در جمع و تركيب، ايرادهاي فراواني را بوجود مي‌آورند.

نرم‌افزاري كه كار آن براي ذخيره رمز است كار حفاظت را انجام نمي‌دهد و اين بدان معناست كه بايد از نمونه‌هاي سخت‌افزاري كمك گرفت. اگرچه كارت‌هاي هوشمند روي كار آمدند اما هنوز قدرت كافي براي حمايت از توليد رمز روي كارت و در معرض خطر قرار گرفتن فاش شدن رمز ندارند. حقيقت محض اين است كه اين ارزش‌ها كه در بيشتر از يك محل وجود دارند امكان المثني غيرقانوني و جعل امضاء را فراهم مي‌كنند.

در يك موقعيت ايده‌آل رمز جفتي امضاء روي كارت سخت‌افزار بوجود مي‌آيد و جزء عمومي به طور ظاهري از طريق كارت ميانجي قابل دسترس مي‌شود. رمز امضاي محرمانه در منبع محافظت شده‌اي روي كارت باقي مي‌ماند و از آن جدا نمي‌شود تا اين‌كه حتي خود صاحب امضاء همه از ارزش آن باخبر نمي‌شود. وقتي كه امضاء مورد احتياج قرار گرفت اطلاعات امضاء شده براي امضاء به منظور پيشگيري از نياز به رمز محرمانه براي خارج شدن از كارت به كارت منتقل مي‌شوند.

متأسفانه اين بدان معني است كه پردازشگر كارت بايد كاملاً ماهر باشد و هم‌چنين به يك كارت ميانجي‌اي احتياج دارد كه از اطلاعات زياد طوري حمايت كند كه امضاها روي آيتم‌هاي بزرگ اطلاعات بتوانند بدون وقفه بدست آورده شوند. تركيب اين خصوصيات براي كارت‌هاي هوشمند كنوني بسيار دشوار است. فرمت‌هاي تازه مثل كارت‌هاي PCMCTA مي‌توانند اين مقتضيات را حمايت كنند اما نسبتاً گران هستند به ويژه وقتي كه تمام زيربنا به منظور بكارگيري آنها احتياج به تغيير داشته باشد.

جلوگيري از شخص در انكار رمزهاي شخصي فرد يكي از مقتضيات به ويژه بحث‌انگيز است كه احتمالاً در برخي موارد امكان‌پذير و عملي نمي‌باشد. نتيجتاً، مي‌بايست كاربردهاي عملي امضاهاي ديجيتالي در صورت وجود اعتبار و ارزش امضاها مؤثر واقع شود. بي‌اعتبار شناخت شخص نسبت به امضاها دلالت بر اين دارد كه اين امضاهايي استفاده و بدون كاربردند. صاحبان كارت اعتباري از اين شانس برخوردارند كه در خصوص صورت حساب‌هاي ماهانه برخي آيتم‌هاي نوشتاري را نپذيرند اما اين بدان معنا نيست كه كارت اعتباري بي استفاده است. علاوه بر اين كليد خانه و يا كليد ماشين هيچ مفهومي از بي‌اعتبار خوانده شدنشان از سوي شخص به دنبال ندارند اما به عنوان ابزار كنترل و هدايت كاملاً مفيد باقي مي‌مانند.

 

اعتماد در امضاء

شخص در يك امضاي متداول با مداركي روبرو است كه بايد آنها را امضاء كند و در امضاء كردن آنها از خودكار استفاده مي‌كنند. در صورت امضاهاي ديجيتالي اين روند بسيار پيچيده‌تر است. شخص استفاده كننده به شكل ديگري مثلاً يك كارت هوشمند از كارآيي‌هاي امضاي خود برخوردار است و مي‌بايست آن را در مورد اطلاعات ديجيتالي‌اي از اين نوع به كار گيرد. آنها مي‌بايست يك سند الكترونيكي را روي يك صفحه به نمايش بگذارند و بعد از آنها خواسته مي‌شود تا كارت خود را وارد كنند به طوري كه اين سند بتواند امضاء شود. اما آنها چگونه مي‌دانند كه هستيم، امضاهاي آنها را در خصوص سند روي صفحه نمايش استفاده كرده نه در خصوص يك سند ديگر. چگونه مي‌دانند كه رمز امضاي سكرت آنها ذخيره نشده بوده به طوري كه امضاهاشان بعداً توسط ديگران بتواند جعل شود؟ و چنانچه اين يك ’ترمينال زمان و مكان فروش‘ باشد چگونه مصرف كننده و تاجر مي‌داند كه پايانه در كلاه‌برداري از يكي يا هر دو آنها تغيير نكرده و يا در مورد اين‌كار برنامه‌ريزي نشده است. روند امضاي ديجيتالي يك چيز در مقايسه با امضاهاي دستي قابل اطمينان، كاملاً پيچيده است و اين بدان معناست كه بدست آوردن اعتماد در اين روند بسيار بسيار مشكل‌تر خواهد بود. موضوع مشابه ديگري كه شامل اثبات كردن اعتبار اين روند در يك دادگاه است مي‌بايست اتفاقاتي باشد كه همواره پديد مي‌آيند.

چك كردن امضاهاي گواهي‌ها بخش مهمي در هرگونه روند تأييد امضاء و اين بدان معناست كه ’ترمينال‌هاي تأييد امضاء‘نيازمند دستيابي به برخي از رمزهاي تأييد امضاء مي‌باشند. همان‌گونه كه قبلاً ذكر شد، هميشه در آخر يك مجموعه‌اي از گواهي‌ها يك رمزي وجود دارد كه نمي‌تواند امضاء شود و از اين رو حداقل يك رمز وجود دارد كه مي‌بايست به روشي ديگر به طور قابل اطميناني ايجاد شود. بنابراين مراكز تأييد امضاء تمامي به طور كلي حداقل شامل يك رمز قابل اطمينانند كه در تكميل حلقه‌هاي آخر در زنجيره اين تأييد مورد استفاده قرار مي‌گيرند.

به عنوان مثال ترمينال’مكان و زمان فروش‘ ممكن است رمزهاي اصلي تأييد امضاء را براي شركت‌هاي كارت اعتباري‌اي به ثبت برساند كه كارت‌هاي آنها را تشخيص مي‌دهد و مي‌شناسد. چنين رمزهايي را مي‌توان مستقيماً از شركت‌هاي كارت اعتباري بدست آورد. بنابراين ما مي‌دانيم كه آنها حقيقي واصل هستند، اما چگونه ما مي‌دانيم كه زماني كه ترمينال جعل شده است.

برخي افراد اعتبار خود را تغيير نداده‌اند؟ جعل‌كنندگان پايانه مي‌توانند اين رمزها را امضاء كنند و يك رمز تأييد امضاء در اين پايانه داشته باشند كه در تأييد آنها مورد استفاده قرار مي‌گيرد اما الان لازم است بدانيم كه رمز تأييد امضاي آنان تغيير پيدا نكرده است.

اين بدين معناست كه حداقل مي‌بايست يك رمز مورد تأييد در خصوص اين برنامه وجود داشته باشد كه ما بدان اعتماد داشته باشيم و از زمان ايجاد تغيير نكرده و در ترمينال، پشتوانه‌اي براي اعتماد كردن باشد. از آن‌جايي كه اين امر بسيار با ارزش تلقي مي‌شود پس مي‌بايست در پايانه‌اي و به طريقي صورت گيرد كه ارزش و اعتبارش را نتوان به آساني تغيير داد.

حتي اگر ما به ترمينال‌هايي كه به كنترل تأييد امضاء مي‌پردازند اعتماد داشته باشيم موارد بسيار زياد ديگري وجود دارند كه ما بايد به آنها نيز اعتماد كامل داشته باشيم. همان‌گونه كه قبلاً گفته شد لازم است از اين مطمئن باشيم چيزي كه در صفحه نمايش است در واقع چيزي است كه امضاء شده هم‌چنين لازم است مطمئن باشيم كه به هيچ وجه رمزهاي سكرت امضاء از اعتبار خود ساقط نمي‌شوند. از اين رو بيشتر، توجه بسيار زيادي به تخمين و اطمينان از اين ترمينال‌ها است تا صرفاً به گواهي‌ها به ويژه مي‌بايست از اين مطمئن باشيم كه سخت‌افزار و نرم‌افزار دقيقاً و صرفاً در مسيري كه ما از آن انتظار داريم عمل كنند و اين‌كه اين بعد از چنين اعتباري كه بدست آورده تغيير نكرده است.

هم‌چنين لازم است بدانيم كه كاربر ماهري خصوصاً زمان امضاء از كامپويتر استفاده مي‌كرده و نرم‌افزار آن تنها چيز مورد تأييد و تمام قطعات در رابطه با آن نيز قابل اعتماد بوده و تغيير نكرده است. در مقايسه با ’خودكار يا كاغذ‘ امضاهاي كامپيوتري در برگيرنده‌ي روندهاي پيچيده‌ي امضايي هستند كه دست‌يابي به اعتماد در آن امري به مراتب مشكل‌تر است. تنها به اين دليل به نظر مي‌رسد كه احتمالاً افراد در يك سطح مصرف كننده يا اختصاصي از چنين امضاهايي استفاده خواهند كرد اما مگر اين‌كه شخص ديگري بسياري از ريسك‌هاي موردنظر را متعهد شود.

 

گواهي‌ها و امضاهاي ديجيتالي در تجارت الكتريكي

رشد و توسعه تجارت الكتريكي به عوامل متعددي بستگي دارد كه اعتماد و اطمينان از زيربناهاي جانبي تنها يكي از آنهاست. با اين حال در حالي فراهم آوردن يك طرح امنيتي يك قدم مورد نياز در توسعه اين بازار است، اما براي آن كافي نيست. با وجود اين هدف ما در اين‌جا به تنهايي بررسي اين جنبه است، تأييد اين مطلب كه اين فقط يك بخش كوچك از بخش‌هاي بسيار بزرگ‌تر است.

1. انتظارات و موارد مورد توجه مصرف كننده

نگرش مصرف كننده نسبت به اعتماد به تجارت الكتريكي تا حد بسيار زيادي توسط پوشش خبري در رسانه‌ها تعيين مي‌گردد. تجارت الكتريكي به كاربرد شبكه‌هاي الكترونيكي نظير اينترنت متكي بوده و در اين‌جا تقريباً تمام تبليغات در خصوص اين اعتماد منفي است. اين مطلب باعث اين پندار مي‌شود كه چنان‌چه مصرف‌كنندگان آن را در عمليات الكترونيكي به كار گيرند خطرات بسيار زيادي براي آنها به دنبال خواهد داشت. واقعيت با ميليون‌ها عملياتي كه هر روزه صورت مي‌گيرد فرق دارد و فقط يك بخش بسيار كوچكي بدون هيچ‌گونه مشكل عمليات خود را انجام مي‌دهند. عملاً به مراتب بيشترين خطرات امنيتي در استفاده از اينترنت در خصوص تجارت الكترونيكي ميزان اعتمادي است كه مي‌توان آن را در شخص (يا اشخاص) ديگري با هرگونه عمليات به حساب آورد. در مقايسه، ريسك‌هايي كه از كاربرد تأسيسات بنيادين در همان حين منشأ مي‌گيرند بسيار اندك بوده و با استفاده از پروتكل‌هاي پيشرفته‌ي رمزنويسي كه در پايه‌ي انتها به انتها (end to end ) عمل مي‌كنند آنها را مي‌توان مرتفع كرد. در استفاده از كارت‌هاي اعتباري، افراد نسبت به امضاهاي مصرف‌كنندگان آن‌چنان نگران نيستند چرا كه اعتماد آنها در اين عمليات بيشتر براساس استفاده از كارت اعتباري ايجاد مي‌شود تا بر پايه‌ي شناسايي شخص مقابل. اگرچه مصرف‌كننده از يك ضمانت‌نامه در برابر ضررهاي مالي نفع مي‌برد، اما اغلب آنها خواهان تجارت با يك شركت معروف هستند نه ظاهرسازي و مزيت ديگري در موقعيت خود.

اين بدان معناست كه مصرف‌كننده مي‌تواند از گواهي امضاي شخص ذي‌نفع باشد، اگرچه حتي در اين هنگام توجه اصلي احتمالاً به پرهيز از ضرر و زيان مالي در صورتي است كه مشكلاتي بر سر راه قرار مي‌گيرند. خصوصيت حائز اهميت گواهي‌هاي ديجيتالي اين است كه آنها ميان افراد اعتماد ايجاد مي‌كنند تا به استنباط و نتيجه‌گيري دست يابند اما زماني كه اين اعتماد از قبل وجود نداشته باشند آنها قادر به ايجاد يا ثبات آن نخواهند بود. به عنوان مثال چنان‌چه من به شركت دارويي بريتانيا(BMA) اعتماد داشته باشم و BMA هم اطمينان داشته باشد كه شخصx يك پزشك است. پس من مي‌توانم استنباط كنم كه من بايد كاملاً اطمينان داشته باشم كه شخصx يك پزشك است. هرچند اين رابطه ميان من و شخصx رابطه‌اي نيست كه هيچ‌گونه اطمينان تازه‌اي ايجاد كرده است، اين به سادگي تكرري از يك زنجيره‌ي اطمينان و اعتمادي است كه از قبل به شكل بسيار گسترده‌تري وجود دارد. عملاً اغلب اين روابط اعتمادآميز ميان افراد در اين‌جا ايجاد مي‌شوند و دليلش هم واضح و مرهن است چرا كه اعتماد يك خصوصيت و ويژگي از روابط ميان انسان‌ها بوده و مطلقاً اعتماد به شخصي كه كاملاً ناشناخته است عاقلانه نمي‌باشد. بنابراين زماني كه گروه‌هاي استاندارد كردن و دولت‌ها توجه خود را بر سلسله مراتب (top down) متمركز كنند تا افراد از رمزنويسي عمومي استفاده كنند، كاربرهاي خصوصي بسيار تمايل خواهند داشت تا به رمزهاي افراد ديگر در كتابچه‌هاي شخصي آنها دست يابند. به همين دلايل مشابه، اغلب روابط اعتمادآميز كه در تجارت حائز اهميت مي‌باشند در شكل بسته بيشتر از شكل باز ايجاد مي‌شوند. به نظر مي‌رسد روابط ميان بانك‌ها و مراجعين آنها اغلب به عنوان نمونه‌اي براي سرويس‌هاي (خدمات) شخص ثالث مورد اعتماد ديده مي‌شوند، اما احتمالاً مراجعين، اين روابط را به عنوان توافق‌هاي دو طرفه‌ي بسته فرض مي‌كنند كه در آن بانك‌ها تسهيلات بانكي را در اختيار آنها قرار مي‌دهند. اگرچه ممكن است امضاهاي ديجيتالي نهايتاً الگوهاي جديدي از اعتماد بوجود آرند اما تجربه‌ي بدست آمده از تكنولوژي حاكي از اين است كه از افزايش روابط اعتمادآميز فعلي و بهبود كارآيي و اثربخشي آنها مي‌توان به نحو مؤثري استفاده كرد.

2. گروه‌هاي مورد اعتماد

بهتر است عمليات الكترونيكي خاص كه از امضاهاي ديجيتالي استفاده مي‌كنند را فرا گيريم تا ببينيم كه شامل چه چيزهايي مي‌شود. اگر مراجعه‌كننده به دنبال كارت اعتباري است او از صادركننده كارت انتظار خواهد داشت قبل از اين‌كه آيا چك‌ها يك كارت در اختيار شخص قرار مي‌دهند او آنها را قبول كند. زماني كه يك كارت صادر مي‌شود، از مراجعه‌كننده انتظار مي‌رود كه آن را امضاء كند اما شركت در جستجوي اين گواهي خصوصي نيست كه اين امضاء واقعاً امضاي شخص موردنظر است يا خير؟ صادركنندگان كارت اين كار را براي امضاهاي معمولي و متداول انجام نمي‌دهند و هيچ دليل واضحي هم وجود ندارد كه چرا در خصوص امضاهاي ديجيتالي آنها مي‌بايست متفاوت عمل كنند. رابطه ميان مراجعه‌كننده و صادركننده‌ي كارت يك رابطه‌ي دو طرفه‌ي بسته(closed) است. از اين رو مي‌توان از طريق يك رابطه كه شامل شرايطي در خصوص استفاده از كارت يا هرگونه امضاهاي ديجيتالي مرتبط مي‌باشد آن را كنترل و هدايت كرد. به طريقي مشابه شركت كارت اعتباري نيز داراي يك رابطه دو طرفه‌ي بسته با تاجراني خواهد بود كه شرايطي و قوانيني براي جابجايي مبالغ كارت اعتباري مشخص مي‌كنند. هر چند مجدداً يك رابطه بسته نيز وجود دارد كه مي‌توان در بيان چگونگي به كارگيري امضاهاي ديجيتالي از آن استفاده كرد.

اين مثال نشان مي‌دهد كه مصرف‌كنندگان و تاجران يك رابطه سه طرفه‌ي باز با شركت كارت اعتباري ندارند اما در عوض رابطه‌ي دو طرفه را به شكل رابطه بسته (closed) متمايز مي‌كنند. از اين رو يك تأسيسات بازCA نيازي به استفاده از امضاهاي ديجيتالي در اين نوع عمليات ندارد، چرا كه تمام روابط دخيل جزء روابط بسته‌اند كه مي‌توان آنها را با شركت كارت اعتباري يا بانك‌هاي دخيل آنها را كنترل و هدايت كرد. در اين‌جا نقش اصلي شركت كارت اعتباري تأمين ضمانت‌نامه هم براي مصرف‌كننده و هم براي تاجر در رابطه با وظايف مالي يكديگر است. يك روش در عملكرد اين ضمانت‌نامه استفاده از يك گواهي ديجيتالي است كه از طريق شركت كارت اعتباري براي امضاهاي ديجيتالي تاجر و مصرف‌كننده صادر مي‌شود. زماني كه اين گروه‌ها به امضاهاي ديجيتالي طرف ديگر اطمينان كنند، گواهي آنها به گروه‌ها اين اطمينان را مي‌دهد كه منافع ماليشان تضمين شده است. اين يك كاربرد از گواهي براي تصويب ضمانت‌نامه به حساب مي‌آيد.

 

3. ضمانت‌نامه‌هاي مالي

به منظور ارتقاي تجارت الكترونيكي مي‌توان يك فرم جديد از ضمانت‌نامه را ايجاد كرد اما به شرطي كه شركت‌هاي كارت اعتباري براي امضاهاي ديجيتالي مشتريان خود گواهي صادر كرده باشند و بدين وسيله به آنها امكان دهند تا با سودي كه از ضمانت‌نامه‌ي مشابه پرداختي عايدشان مي‌شود. البته چنان‌چه از طريق يك كارت اعتباري در اختيار آنها قرار گرفته شود، كالا خريداري كنند. اين بسيار شبيه يك رابطه سه طرفه‌ي باز است، اما در واقع شامل دو رابطه‌ي دو طرفه‌ي بسته، متمايز مي‌شود. علاوه بر اين شخص ثالث امضاهاي ديجيتالي را در يك مفهوم ’شناختي‘ تضمين نمي‌كند در عوض آنها را به كار مي‌گيرد تا دارندگان رمز را قادر سازد تا ضامن‌ها را تضمين كنند. شايان ذكر است كه امضاهاي ديجيتالي مورد است