กรุงเทพฯ--10 ส.ค.--เอเซอร์ คลับ
เนื่องจากในการทำความเข้าใจเรื่องลายมือชื่อดิจิตอล (Digital Signature) นั้นจำเป็นที่จะต้องมีความรู้ทางเทคนิคเป็นพื้นฐานก่อน ดังนั้นจึงจะได้อธิบายถึงภาพรวมโดยทั่วไปของลายมือชื่อดิจิตอล (Digital Signature)
1. ลายมือชื่อดิจิตอล (Digital Signature)
ลายมือชื่อดิจิตอล (Digital Signature) เป็นเทคนิคที่ใช้ในการรักษาความปลอดภัยของข้อมูลอิเล็กทรอนิกส์ ที่ผู้จัดทำข้อมูลและความสมบูรณ์ของข้อมูลสามารถตรวจสอบและพิสูจน์ความถูกต้องแทัจริงได้ กระบวนการที่ทำให้เกิดความเชื่อมั่นในแหล่งกำเนิดและความสมบูรณ์ของข้อมูลดังกล่าวนี้เรียกว่า “การพิสูจน์ความถูกต้องแท้จริง” (Authentication)
ลายมือชื่อดิจิตอล (Digital Signature) จะใช้เทคนิคที่เรียกว่า การเข้ารหัส (Cryptography) โดยใช้ลายมือชื่อดิจิตอล (Digital Signature) ผู้เขียนข้อมูลอิเล็กทรอนิกส์สามารถลงนามในข้อมูลดังกล่าวโดยใช้รหัส หรือกุญแจลับ (Secret Cryptography Key/Private Key) ซึ่งรหัสดังกล่าวนี้ต้องรักษาไว้เป็นความลับอยู่เสมอ ลายมือชื่อ (ซึ่งอยู่ในรูปของรหัส) สามารถที่จะตรวจสอบความถูกต้องโดยใช้รหัส หรือกุญแจสาธารณะ (Public Key) ซึ่งเป็นรหัสที่มีหน้าที่ตรวจสอบความถูกต้องของรหัสลับเท่านั้น ไม่สามารถใช้เป็นรหัสลับไปทำหน้าที่เป็นลายมือชื่อของเจ้าของรหัสได้ รหัสดังกล่าวจึงสามารถประกาศให้สาธรณชนโดยทั่วไปรับทราบได้
แนวความคิดเบื้องหลังการตรวจสอบความถูกต้องแท้จริง (Authentication) นี้คือ การยืนยันว่าลายมือชื่อที่ลงโดยใช้รหัสลับ (Secret Key/Private Key) นั้นเป็นของเจ้าของผู้ใช้จริง โดยผู้ลงลายมือชื่อจะทำการเข้ารหัส (Encrypt) ข้อมูลให้เป็นส่วนหนึ่งของรหัสลับ ซึ่งผู้ที่รับเอกสารสามารถตรวจสอบว่าผู้ใดเป็นเจ้าของลายมือชื่อโดยถอดรหัส (Decrypt) ด้วยการใช้รหัสสาธารณะ (Public Key) ของผู้ลงนามส่งมาหากถอดรหัสโดยใช้รหัสสาธารณะนี้ไม่สามารถทำได้ ก็จะแสดงว่าลายมือชื่อนี้เป็นลายมือชื่อที่ไม่ถูกต้องแท้จริง หรือข้อมูลที่ส่งมามีการแก้ไขเปลี่ยนแปลงก่อนที่จะส่งมาถึงผู้รับ
ลายมือชื่อดิจิตอล (Digital Signature) เป็นส่วนหนึ่งของข้อมูลที่สกัดมาจากข้อมูลที่เป็นเนื้อหา และทำให้ไม่สามารถถูกปลอมแปลงได้โดยใช้เทคโนโลยีการเข้ารหัสแบบที่เรียกว่า การเข้ารหัสแบบกุญแจสาธารณะ (Public Key Cryptography) และใช้ติดผนึกแนบไปกับข้อความที่ต้องการส่ง ดังนั้นทุกลายมือชื่อจะเป็นหนึ่งเดียวกับข้อความที่ส่ง กล่าวคือ หากข้อความที่ส่งถูกแก้ไขเปลี่ยนแปลงจะส่งผลให้ไม่สามารถใช้กุญแจสาธารณะ (Public Key) ถอดรหัสเพื่อเปิดดูข้อมูลดังกล่าวได้เลย ก็จะสามารถรู้ได้ทันทีว่าข้อมุลที่ลงลายมือชื่อดิจิตอลดังกล่าวถูกเปลี่ยนแปลงแก้ไข หรือมีปัญหาอย่างหนึ่งอย่างใดอย่างแน่นอน
2. ความจำเป็นของใช้ลายมือชื่อดิจิตอล (Digital Signature)
ในโลกของดิจิตอล การตรวจสอบความถูกต้องแท้จริงของข้อมูลอิเล็กทรอนิกส์เป็นเรื่องที่มีความสำคัญอย่างมาก หากเราไม่แน่ใจว่าข้อมูลที่ส่งมานั้นมาจากใคร และมีความสมบูรณ์หรือไม่ ความไว้วางใจในการติดต่อสื่อสารก็จะไม่มี โดยเฉพาะอย่างยิ่งในระบบเปิด (Open Environment) ที่คู่ค้าอาจเป็นคนที่เราไม่เคยพบมาก่อน ตัวอย่างของระบบเปิด เช่น บนเครือข่ายอินเทอร์เน็ต ความไว้วางใจมีความจำเป็นอย่างมากที่จะส่งเสริมให้มีผู้ใช้เครือข่ายดังกล่าวเพื่อประกอบพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce) เทคโนโลยีลายมือชื่อดิจิตอล (Digital Signature) ช่วยให้ระบบการตรวจสอบความถูกต้องแท้จริงมีประสิทธิภาพอย่างมาก เพราะหากไม่เคยพบคู่ค้าอีกฝ่ายหนึ่งมาก่อน ก็สามารถตรวจสอบได้ว่าผู้ที่ส่งข้อมูลนั้นเป็นใครได้อย่างแน่นอน ลายมือชื่อดิจิตอล (Digital Signature) สามารถใช้ตรวจสอบความถูกต้องแท้จริงกับข้อมูลอิเล็กทรอนิกส์ทุกประเภท ไม่ว่าจะเป็น Electronic Mail โปรแกรมคอมพิวเตอร์ หรือ Web Pages เป็นต้น ดังนั้นจึงสามารถใช้โดยบุคคลธรรมดาแทนลายมือชื่อ (Hand-written) เพื่อลงนามเอกสารทางอิเล็กทรอนิกส์หรือใช้โดยนิติบุคคลแทนการใช้ตราประทับ หรือหัวจดหมายแบบเดิมได้
3. ลายมือชื่อดิจิตอล (Digital Signature) และลายมือชื่อแบบเดิม (Hand-written Signature)
ลายมือชื่อดิจิตอล (Digital Signature) เป็นเพียงเทคนิคที่สามารถใช้เพื่อวัตถุประสงค์ในการตรวจสอบความถูกต้องแท้จริงต่าง ๆ อย่างไรก็ดี ในบางกรณี เช่น การทำสัญญาทางอิเล็กทรอนิกส์ (Electronic Contract) การใช้ลายมือชื่อดิจิตอล (Digital Signature) จะมีหน้าที่คล้ายกับการลงลายมือชื่อในแบบเดิม (Traditional Hand-written Signature) เช่นเดียวกับลายมือขื่อที่เราใช้ลงนามในเอกสาร ลายมือขื่อดิจิตอล (Digital Signature) สามารถใช้เป็นตัวแทนสัญลักษณ์ของผู้ลงลายมือชื่อได้
ลายมือชื่อดิจิตอล (Digital Signature) สามารถทำหน้าที่เช่นเดียวกับลายมือชื่อแบบเดิม คือ
การตรวจสอบความถูกต้องแท้จริงของต้นกำเนิดของเอกสาร (Origin Authentication) : สามารถใช้ตรวจสอบสัญลักษณ์แทนตัวบุคคลผู้ที่ได้ลงนามได้ ซึ่งจะส่งผลให้เราทราบว่าเรากำลังติดต่อกับใครอยู่ การตรวจสอบความสมบูรณ์ของข้อมูลที่ส่งมา (Integrity) : เพื่อตรวจสอบความสมบูรณ์ของข้อมูลที่ส่งมา เราสามารถทราบได้ว่าข้อมูลที่เรากำลังอ่านไม่ได้ถูกแก้ไขเปลี่ยนแปลงหลังจากที่ได้มีการลงลายมือชื่อ การตรวจสอบว่าผู้ที่ส่งข้อมูลมาได้แสดงเจตนาผูกพันจริง (Non-repudiation) : เพื่อที่จะใช้เป็นหลักฐานยืนยันได้ว่าบุคคลใดได้รับหรือส่งข้อมูลดังกล่าวแล้ว รวมทั้งเป็นหลักฐานว่าบุคคลดังกล่าวได้แสดงเจตนาตามที่ลงลายมือชื่อดิจิตอลจริง
4. การเข้ารหัส (Cryptography)
การเข้ารหัส ถือเป็นเครื่องมือที่มีความสำคัญอย่างมากในการที่จะทำให้เกิดความปลอดภัยในการทำพาณิชย์อิเล็กทรอนิกส์ ข้อมูลทางอิเล็กทรอนิกส์ดังกล่าวจะได้รับการป้องกันจากการเปิดเผย หรือเปลี่ยนแปลงแก้ไข การเข้ารหัส หรือถอดรหัสข้อมูล จะทำได้โดยการใช้รหัสซึ่งรู้เพียงระหว่างฝ่ายผู้ที่ทำการติดต่อกันเท่านั้น ข้อดีของการเข้ารหัสคือ ระหว่างฝ่ายผู้ติดต่อ สามารถมั่นใจได้ว่าจะไม่มีใครอ่านข้อมูลดังกล่าวเข้าใจ นอกจากนี้ เนื่องจากคู่สัญญาต่างรู้รหัสลับ (Secret Key) ทุก ๆ ครั้งที่ข้อมูลเข้ารหัสที่สามารถถูกถอดรหัสโดยใช้รหัสลับ (Secret Key) จึงสามารถรู้ได้ว่าเป็นข้อมูลที่ส่งมาจากอีกฝ่ายหนึ่ง และสามารถพิสูจน์ความถูกต้องแท้จริงได้ ระบบที่มีการแลกเปลี่ยนรหัสลับอันเดียวกันร่วมกันนี้ เรียกว่า “การเข้ารหัสแบบสมมาตร” (Symmetric or secret key cryptography)
โดยการเข้ารหัสแบบสมมาตร (Symmetric Cryptography) ก่อนที่จะเริ่มติดต่อสื่อสารกัน จะต้องมีการแลกเปลี่ยนรหัสลับกันก่อน เพื่อใช้ในการตรวจสอบความถูกต้องแท้จริง ซึ่งในการแลกเปลี่ยนรหัสลับกันนั้น รหัสอาจถูกขโมย หรือถูกสกัด (intercept) ในระหว่างการส่งผ่านได้ ยิ่งกว่านั้นเนื่องจากต้องมีการแลกเปลี่ยนรหัสลับกันจึงอาจทำให้ต่างฝ่ายต่างเอารหัสลับไปใช้ในทางที่มิชอบได้ เช่น บนเครือข่ายอินเทอร์เน็ต การทำธุรกรรมส่วนใหญ่จะทำกับบุคคลที่ไม่เคยรู้จักกัน หรือพบปะกันมาก่อน การแลกเปลี่ยนรหัสลับกันจึงทำได้ยากและไม่ใคร่ปลอดภัย
อย่างไรก็ดี ระบบการเข้ารหัสแบบสมมาตร เป็นเพียงเทคนิคการเข้ารหัสอย่างหนึ่งเท่านั้น การเข้ารหัสและการถอดรหัสสามารถทำโดยวิธีการใช้รหัสที่แตกต่างกันสองรหัสก็ได้ (Two Keys) ซึ่งรหัสอันแรกเรียกว่า รหัส หรือกุญแจสาธารณะ (Public Key) เป็นรหัส หรือกุญแจที่เป็นที่ทราบกันโดยทั่วไปต่อสาธารณะ อีกรหัสหนึ่งเรียกว่ารหัสลับ หรือกุญแจลับ (Private Key) ซึ่งผู้เป็นเจ้าของต้องเก็บรักษาไว้อย่างปลอดภัย เทคนิคการเข้ารหัสแบบนี้เรียกว่า “การเข้ารหัสแบบอสมมาตร” (Asymmetric or Public Key Cryptography) ดังนั้นถ้าทั้งสองฝ่ายต้องการส่งข้อมูลถึงกัน จะมีการแลกเปลี่ยนรหัสสาธารณะถึงกันได้ตามฐานข้อมูลสาธารณะต่าง ๆ โดยไม่จำเป็นที่จะต้องแลกเปลี่ยนกุญแจลับ หรือรหัสลับ
ข้อดีของการเข้ารหัสแบบกุญแจสาธารณะ คือจะช่วยเพิ่มความปลอดภัยมากขึ้น รหัสลับไม่จำเป็นจะต้องส่ง หรือเปิดเผยให้ใคร ซึ่งถือว่าเป็นพื้นฐานของการประกอบพาณิชย์อิเล็กทรอนิกส์ (Electronic Commerce)
5. การสร้างรหัส หรือกุญแจ (Key)
ผู้ใช้สามารถสร้างรหัส หรือกุญแจคู่ (Key Pair) โดยใช้โปรแกรมการเข้ารหัส (Cryptography Software) ในปัจจุบันโปรแกรมการสื่อสารทางอินเทอร์เน็ต (Internet Communication Software) ที่เป็นที่นิยมใช้ อย่างเช่น Microsoft Internet Explorer และ Netscape Communicator ก็ได้มีโปรแกรมให้ผู้ใช้สามารถสร้างรหัส หรือกุญแจคู่ของตนเองได้
อย่างไรก็ดีรหัส หรือกุญแจดังกล่าวสามารถสร้างได้โดยบุคคลที่สาม ตัวอย่างเช่น ในภาคการธนาคารทางอิเล็กทรอนิกส์ (Electronic Banking Sector) ธนาคารส่วนใหญ่จะเป็นผู้สร้างกุญแจคู่ให้กับลูกค้า เพื่อเหตุผลทางด้านความปลอดภัย โดยส่วนใหญ่กุญแจลับมักถูกทำลายสำเนาโดยบุคคลที่สามทันทีเมื่อสร้างเสร็จ
6. การเก็บรักษากุญแจลับ (Private Key)
โดยปกติ ผู้ใช้สามารถเก็บกุญแจลับของตนไว้ชั่วคราวได้ใน Hard Disk ของตนเอง ซึ่งผู้ใช้สามารถเข้าใช้กุญแจลับของตนเองได้ต่อเมื่อใส่รหัสผ่านของตนเองก่อน การเก็บรูปแบบนี้ มีข้อเสียคือ ไม่สามารถนำกุญแจดังกล่าวติดตัวไปมาได้ ดังนั้นจึงมีการคิดค้นให้สามารถเก็บกุญแจลับได้ในสื่อที่สามารถนำติดตัวไปได้ เช่น บนบัตรอัจฉริยะ (Smart Card) ซึ่งการเก็บในรูปแบบดังกล่าวได้รับความนิยมมาก ผู้ใช้สามารถสอดบัตรดังกล่าวกับเครื่องอ่านข้อมูล และผู้ใช้ก็สามารถลงลายมือชื่อทางอิเล็กทรอนิกส์ได้ทันที
เมื่อได้สร้างกุญแจสาธารณะ (Public Key) และกุญแจลับ (Private Key) แล้ว ถือเป็นสิ่งที่มีความสำคัญอย่างยิ่งที่จะเก็บกุญแจลับให้ปลอดภัย หากมีบุคคลที่ไม่ประสงค์ดีนำกุญแจลับไป เขาสามารถนำไปปลอมเป็นลายมือชื่อของเจ้าของกุญแจดังกล่าวได้ การเก็บรักษากุญแจลับ จึงเป็นเรื่องราวของเจ้าของที่จะต้องมีมาตรการและระบบรักษาความปลอดภัยที่ดีเพียงพอ
7. การค้นหากุญแจสาธารณะ (Public Key) ของผู้ที่เราจะทำการติดต่อ
ผู้ใช้จำเป็นที่จะต้องใช้กุญแจสาธารณะของผู้ที่เราจะติดต่อด้วย ก็เนื่องมาจากว่าจำเป็นต้องตรวจสอบความถูกต้องแท้จริงของลายมือชื่อดิจิตอลของผู้ที่เราทำการติดต่อ ว่าเป็นลายมือขื่อของเขาจริงหรือไม่ กุญแจสาธารณะสามารถขอได้จากเจ้าของกุญแจเอง หรืออาจได้จากฐานข้อมูลที่บุคคลทั่วไปสามาเข้าถึงได้อย่างเช่น สมุดโทรศัพท์ โดยปกติแล้วโปรแกรมการสื่อสาร (Communication Software) ของผู้ใช้จะทำการตรวจสอบลายมือชื่อดิจิตอลโดยอัตโนมัติ โดยนำเอากุญแจสาธารณะมาจากฐานข้อมูลสาธารณะที่มีอยู่ทั่วไป
8. ใบรับรองดิจิตอล (Digital Certification)
กระบวนการในการตรวจสอบความถูกต้องแท้จริงของลายมือชื่อดิจิตอลนั้นอยู่บนพื้นฐานทางความคิดที่ว่ากุญแจสาธารณะนั้นเป็ฯของผู้ที่ลงลายมือชื่อ อย่างไรก็ดีความเสี่ยงยังคงมีอยู่หากมีบุคคลที่ไม่ประสงค์ดีสร้างกุญแจคู่ขึ้นมา แล้วนำเอากุญแจสาธารณะไปใส่ไว้ในฐานข้อมุลและบอกว่าเป็นกุญแจของบุคคลอื่นที่ผู้สร้างกุญแจขึ้นมา ต้องการปลอมลายมือชื่อ เมื่อผู้ใช้มาตรวจสอบดูโดยใช้กุญแจสาธารณะดังกล่าว ก็จะเห็นว่าเป็นลายมือชื่อของบุคคลที่ปรากฏในฐานข้อมูลจริง แต่หารู้ไม่ว่าถูกหลอก
จากความเสี่ยงดังกล่าวนี้ มีความจำเป็นที่จะต้องอาศัยการยืนยันรับรองจากบุคคลที่สามารถไว้วางใจได้ (Trusted Third Party) บุคคลที่เป็นผู้น่าไว้วางใจดังกล่าวจะเป็นผู้ที่สามารถยืนยันว่ากุญแจสาธารณะนั้นสามารถตรวจสอบความถูกต้องของกุญแจลับได้ การยืนยันความสัมพันธ์ดังกล่าวจะทำโดยการออกใบรับรองดิจิตอล (Digital Certificate) โดยบุคคลที่สามที่น่าไว้วางใจนี้เรียกว่าหน่วยงานออกใบรับรอง (Certification Authority) ซึ่งต้องเป็นที่ยอมรับจากบุคคลที่เกี่ยวข้องว่ามีความเป็นกลางและไว้วางใจได้
9. การทำงานของหน่วยงานออกใบรับรอง (Certification Authority)
ใบรับรองบางประเภทออกให้ก็ต่อเมื่อได้ตรวจสอบเฉพาะกับ E-mail address เท่านั้น ซึ่งไม่ค่อยมีความปลอดภัยมากนัก เนื่องจาก E-mail address อาจไม่ใช่ของบุคคลตามที่เป็นจริงได้
ใบรับรองอีกประเภทคือจะออกให้หลังจากที่หน่วยงานออกใบรับรอง ได้ตรวจสอบชื่อ ที่อยู่ และข้อมูลอื่น ๆ ของเจ้าของลายมือชื่อในใบสมัคร หรือฐานข้อมูลอื่นๆ
การตรวจสอบที่ดีที่สุด หน่วยงานออกใบรับรอง จะต้องทราบและรู้จักว่าเจ้าของลายมือชื่อเป็นใครอย่างแน่นอน การออกใบรับรองที่ดีที่สุดจะทำโดยการที่หน่วยงานออกใบรับรอง กำหนดให้บุคคลที่ลงลายมือชื่อต้องแจ้งรายละเอียดกับหน่วยงานออกใบรับรองก่อน ซึ่งจะช่วยเพิ่มความน่าเชื่อถือให้กับใบรับรอง
โดยส่วนใหญ่แล้ว หน่วยงานออกใบรับรอง จะให้บริการออกหนังสือรับรองตามประเภทของบริการว่า ต้องการระบบรักษาความปลอดภัย และความน่าเชื่อถือมากน้อยเพียงใด
10. เนื้อหาของใบรับรองดิจิตอล (Digital Certificate)
ใบรับรองดิจิตอลอาจมีข้อมูลหลากหลายที่จะยืนยันว่าลายมือชื่อดิจิตอลนั้นเป็นของผู้ลงนามจริง โดยปกติก็จะมีชื่อเจ้าของรหัส หรือกุญแจสาธารณะ วันหมดอายุของใบรับรอง ชื่อของหน่วยงานออกใบรับรอง ที่ออกใบรับรอง เลขลำดับเอกสาร หรือข้อมูลที่จำเป็นอื่น ๆ โดยหน่วยงานออกใบรับรองจะลงนามท้ายใบรับรองเพื่อความน่าเชื่อถือ และบุคคลที่ได้รับใบรับรองดังกล่าวก็สามารถตรวจสอบลายมือชื่อนั้นได้
ใบรับรองจะต้องทำเป็นแบบมาตรฐาน เพื่อสามารถตรวจสอบใบรับรองโดยอัตโนมัติได้ ดังนั้นมาตรฐานที่เป็นที่ยอมรับกันจึงมีความจำเป็นอย่างมาก มาตรฐานของใบรับรองที่รู้จักกันโดยทั่วไปก็ อย่างเช่น มาตรฐานใบรับรอง X.509 ซึ่งจัดทำโดย ITU-OSI
11. รายการเพิกถอนใบรับรอง (Certification Revocation List)
มีหลายกรณีที่ใบรับรองไม่สามารถใช้ได้ หรือเชื่อถือได้อีกต่อไป เช่น ลูกจ้างลาออก และขโมยกุญแจลับ หรือบัตรอัจฉริยะที่บรรจุกุญแจลับไปด้วย เมื่อกุญแจถูกขโมยไป ทางหนึ่งที่ต้องทำคือรีบแจ้งหน่วยงานออกใบรับรอง เพื่อแจ้งบอกเลิกการใช้กุญแจลับและกุญแจสาธารณะ ซึ่งเรียกว่า “รายการเพิกถอนใบรับรอง” (Certification Revocation List)
12. การรับรองข้ามระบบ (Cross-certification)
เมื่อกุญแจสาธารณะของผู้ใช้ถูกรับรองจากหน่วยงานออกใบรับรอง และผู้ใช้ต้องการที่จะติดต่อกับคู่ค้าที่กุญแจสาธารณะได้รับการรับรองจากหน่วยงานออกใบรับรองอีกรายหนึ่ง จะทำอย่างไร วิธีหนึ่งที่จะให้เกิดความเชื่อมั่นคือ การรับรองข้ามระบบ (Cross-certification) ซึ่งหมายความว่า หน่วยงานออกใบรับรองทั้งสอง จะต้องได้รับการรับรองจากหน่วยงานออกใบรับรองอีกรายหนึ่งที่มีลำดับศักดิ์ที่เหนือกว่า ในการจัดโครงสร้างหน่วยงานออกใบรับรองทีมีลำดับศักดิ์ (Hierarchical CA-structure) นี้หน่วยงานออกใบรับรองแต่ละรายจะต้องได้รับการรับรองจึงสามารถทำหน้าที่เป็นหน่วยงานออกใบรับรองที่เนื่อเชื่อถือได้
เพื่อสามารถประเมินความน่าเชื่อถือของหน่วยงานออกใบรับรอง หน่วยงานออกใบรับรองควรจะมีเทคโนโลยีที่น่าเชื่อถือ เช่น มาตรฐานด้านความปลอดภัย และระบบการเข้ารหัสและการส่งข้อมูลที่ปลอดภัย มีโครงสร้างพื้นฐานที่น่าเชื่อถือ การบริการลูกค้าอย่างต่อเนื่องและระบบสำรองต่าง ๆ และมีระเบียบปฏิบัติที่น่าเชื่อถือ โดยสรุป หน่วยงานออกใบรับรองควรที่จะให้บริการออนไลน์ตลอด 24 ชั่วโมง และมีขอบข่ายบริการกว้างขวางและเพียงพอ--จบ--
-สส-