در صورت موفقیت این پروژه، آن گونه که بعضی از کارشناسان عنوان میکنند، برای نخستین بار شاهد صدور گواهی امضای دیجیتال برای افراد خواهیم بود که در نوع خود پروژه بزرگی محسوب میشود؛ چراکه این افراد یک سال میتوانند علاوه بر نسخه الکترونیک، اسناد و موارد دیگر را هم امضا کند.
اگرچه بحث امضای دیجیتال یا امضای الکترونیک از مدتها پیش در کشور آغاز شده بود و سال گذشته هم شاهد صدور دیپلم الکترونیک با امضای دیجیتال بودیم، اما آنطور که حسین شهریاری، رئیس کمیسیون بهداشت و درمان مجلس عنوان میکند، مقاومت زیادی در حوزه نسخه نویسی الکترونیک و امضای دیجیتال وجود دارد. این در حالی است که چنانچه پروژه امضای دیجیتال نسخههای الکترونیک به درستی پیادهسازی شود، شاهد اعتباربخشی، استنادپذیری و انکارناپذیری این نسخهها خواهیم بود.
امضای دیجیتال با گوشی
سامانهای که برای امضای دیجیتال نسخه الکترونیک راهاندازی شده، یک نسخه موبایلی است. همچنین طراحی سرویسهای استعلام برخط هویتی و اصالتی، طراحی سامانههای ضروری و ارائه سرویسهای ضروری هم بر بستر سامانه دیتاس انجام شده است. اگرچه راهکارهای مختلفی برای امضای الکترونیک پزشکان در دنیا مانند استفاده از کارت هوشمند وجود دارد، اما در نهایت پیادهسازی امضای دیجیتال پزشکان بر بستر گوشیهای هوشمند تأیید و عملیاتی شد.
امضای دیجیتال چیست؟
رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات در گفتوگو با همشهری یادآوری میکند که یک سند الکترونیک در حالت کلی زمانی، قابلیت استناد و در عین حال انکارناپذیری دارد که امضای الکترونیک داشته باشد. باقری اصل در توضیح امضای الکترونیک به این موضوع اشاره میکند که در فناوریهای متمرکز، راهکار این است که مبتنی بر مجموعهای از قواعد حقوقی، روی یک سند کدگذاریهایی انجام میشود. او ویژگی این کدگذاری غیرهمزمان (asynchron) را امضای کل محتوا و مفاد سندی میداند که دیگر قابلیت تغییر نخواهد داشت.
در واقع امضای الکترونیکی یک هشکد یا نوعی کدگذاری محتوای سند است که به کل سند متصل میشود و هر تغییری در سند، باعث تغییر هشکد و ابطال آن سند میشود.
بهعنوان مثال، اگر تغییری (نام دارو، اعداد نسخه مانند دوز یا تعداد) در نسخهای که دارای امضای الکترونیک است ایجاد شود، درواقع آن نسخه که نوعی سند الکترونیک است تغییر میکند. به این ترتیب از آنجا که آن امضای الکترونیک براساس کدگذاری تمام اجزای سند مربوطه و منحصر به آن سند است، تمامیت آن مخدوش و امضا باطل میشود. این در حالی است که با یک بررسی ساده، باطل بودن امضا مشخص میشود.
تأیید اعتبار امضا
براساس قانون تجارت الکترونیک، امضای دیجیتال مطمئن، امضایی است که اعتبار آن از سوی یک «مرکز گواهی ریشه» تأیید شده باشد. یک فرد یا سازمان در مرکز گواهی ریشه، در واقع یک توکنِ امضا میگیرد و مبتنی بر آن کلید نرمافزاری یا سختافزاری، اسناد خود را امضا میکند. گاهی مواقع هم یک سیستم اسناد را امضا میکند. عبدالکریم مباشر جنت، مدیر مرکز آمار و فناوری اطلاعات سازمان نظام پزشکی، این سازمان را مکلف به احراز هویت و اصالت پزشکان و همچنین امضای الکترونیک آنها در همه فرایندهای الکترونیک خدمات سلامت میداند.
او با اشاره به اینکه امضای الکترونیک تعاریف و مصادیق متفاوتی ازجمله امضای بیتمپ، گذرواژه، بیومتریک، قلم نوری و امضای دیجیتال دارد، مقصود قانونگذار را با توجه به ضوابط و دستورالعملهای ابلاغی طرح نسخه الکترونیک، استفاده از امضای دیجیتال مبتنی بر زیرساخت کلید عمومی کشور ذیل «مرکز میانی وزارت بهداشت» عنوان میکند.
مباشر جنت به بررسی راهکارهای مختلف برای طراحی و پیادهسازی سامانه امضای دیجیتال اشاره میکند و میگوید: «این سامانه امکان دریافت گواهی امضای دیجیتال را به شکل برخط و در لحظه برای اعضای سازمان فراهم میکند و همه خدمات امضا در همه سامانهها با استفاده از آن صورت میگیرد.» بهگفته او، «این سامانه بهطور متوسط امکان امضای یک میلیون نسخه را خواهد داشت».
جزئیات فنی امضای دیجیتال
دبیر شورای اجرایی فناوری اطلاعات در تشریح جزئیات فنی فرایند امضای دیجیتال میگوید: «کلیدها مُهر زمانی دارند و اعتبار یک سند مبتنی بر اعتبار این کلیدهاست. بهعنوان مثال، اعتبار یک سند را با یک توکن نرمافزاری یا سختافزاری ۲سال تعیین میکنیم. بنابراین، این سند در این ۲ سال قابل استناد است و پس از این زمان، یا مُهر زمانی ابطال میشود یا امضا بهخاطر فرایند اخذ امضا غیرمعتبر میشود.» باقری اصل با اشاره به اینکه امضای الکترونیک مبتنی بر ۲زوج کلید(یک کلید عمومی و یک کلید اختصاصی) است، میگوید: «کلید عمومی منتشر میشود و کلید خصوصی نزد شخص امضاکننده محفوظ میماند.»
او تأکید میکند که همراه بودن این ۲ کلید و فرایندی که اعتبارسنجی آن در مرکز گواهی ریشه براساس تکنولوژیهای مختلف ازجمله CRL بررسی میشود، به این امضا اعتبار میدهد.
گزارش: عمادالدین قاسمیپناه