بانک‌ها هنوز برای استفاده از نماد اعلام آمادگی نکرده‌اند/اما و اگرهای یک امضای ساده

کلیه مراکز صدور گواهی الکترونیکی لازم است برای مدیریت و صدورگواهی نسبت به دریافت مجوز از شورا اقدام کنند. عدم اقدام بانک مرکزی برای دریافت تاییدیه و اخذ مجوز از شورای سیاستگذاری گواهی الکترونیکی، منجر به عدم اعتباربخشی سیاست‌ها و دستورالعمل اجرایی مرکز صدور گواهی راه‌اندازی‌شده توسط بانک مرکزی از طریق شورا شده و در نتیجه پیاده‌سازی‌های صورت گرفته‌شده بر اساس سیاست‌ها و دستورالعمل مزبور (شامل کلیه سخت‌افزار‌ها، نرم‌افزارها و فرآیندهای به‌کارگرفته‌شده) منطبق با روال‌های مورد تایید شورا، اعتبارسنجی و اعتباربخشی نشده‌اند؛ بنابراین در صورت بروز مشکلات محتمل، گواهی‌های صادره فاقد وجاهت قانونی بوده و قابل پیگرد قانونی نیستند.

بر اساس بند ب ماده 49 برنامه پنجم توسعه مصوب سال 1389، بانک مرکزی موظف شد جهت توسعه و تقویت نظام بانکداری و با همکاری مرکز صدور گواهی الکترونیکی کشور (که بر اساس آیین‌نامه ماده 32 قانون تجارت الکترونیکی، مرکز دولتی صدور گواهی الکترونیکی کشور است)، اقدام به ایجاد و بهره‌برداری از مرکز صدور گواهی الکترونیکی بانکی کند. همچنین در ماده20 بسته سیاستی نظارتی بانک مرکزی سال 1390 نیز بر این امر تاکید شده است. بر اساس این ماده:
«بانک مرکزی با استفاده از ریشه الکترونیکی کشور مستقر در وزارت بازرگانی نظام مدیریت امضای دیجیتال (نماد) بانکی و پایگاه داده اطلاعات جامع هویتی را به منظور ایجاد هویت دیجیتالی برای مشتریان، کارکنان و سامانه‌های بانکی تا پایان خرداد سال1390 راه‌اندازی خواهد کرد. تمامی موسسات اعتباری کشور مکلفند برنامه‌های اجرایی برای صدورگواهینامه امضای دیجیتال، تطبیق و ثبت‌نامه سامانه‌ها و درج اطلاعات مربوط به مشتریان و کارکنان خود را مطابق با زمانبندی بانک مرکزی به اجرا درآورند.»
وزارت صنعت، معدن و تجارت (بازرگانی سابق) از زمان تصویب مصوبات فوق آمادگی خود را جهت همکاری‌های لازم با بانک مرکزی طی نامه‌هایی اعلام کرده است. همچنین در هفدهمین جلسه شورای سیاستگذاری گواهی الکترونیکی مورخ 11/05/1391 و با امضای نماینده بانک مرکزی به عنوان عضو شورای سیاستگذاری گواهی الکترونیکی، مقرر شد بانک مرکزی سند دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی شبکه بانکی را جهت تصویب به شورا ارائه کند که تاکنون این اقدام صورت نپذیرفته است.

نماد و چالش‌های فنی و فرآیندی

برخی چالش‌های فنی و فرآیندی مرتبط با سامانه نماد بانکی، بر اساس مندرجات مستندات «خط مشی گواهی» ویرایش 2.2 اردیبهشت‌ماه 1392 و «دستورالعمل اجرایی مرکز گواهی» ویرایش 2.2.1 اردیبهشت‌ماه 1392منتشرشده توسط بانک مرکزی، به شرح ذیل است:
ارگان تایید و تصویب‌کننده سند، بانک مرکزی قید شده که این برخلاف آیین‌نامه ماده 32 قانون تجارت الکترونیکی است.
با عنایت به نقش شورای سیاستگذاری گواهی الکترونیکی به عنوان مرجع هماهنگ‌کننده و جهت هماهنگی فعالیت حوزه‌های مختلف زیرساخت کلید عمومی در کشور، این شورا در خصوص پروفایل‌های گواهی الکترونیکی در کشور، سطوح اطمینان زیرساخت کلید عمومی، دستورالعمل ساماندهی گواهی الکترونیکی، استانداردهای زیرساخت کلید عمومی و… مستندات و مصوباتی را از طریق وب‌سایت مرکز دولتی صدور گواهی الکترونیکی ریشه، منتشر کرده است. به عنوان نمونه، عدم به‌کارگیری سند جامع پروفایل‌های زیرساخت کلید عمومی کشور3 ، خط مشی‌های مرکز صدور گواهی الکترونیکی بانکی را به لحاظ فنی تحت‌الشعاع خود قرار می‌دهد و طول کلید در نظر گرفته‌شده متناسب با بازه اعتبار گواهی و مدت‌زمان بایگانی کلید خصوصی نیست.

• بین دوره ‌اعتبار در نظر گرفته‌شده برای گواهی‌های الکترونیکی با طول کلید‌های رمزنگاری مرتبط، تناظری وجود ندارد که این مورد به لحاظ امنیت، تهدیدات و آسیب‌پذیری‌های متعددی را ایجاد می‌کند.
• محل انتشار گواهی‌های صادرشده نامشخص بوده و نحوه دسترسی به مخزن مرکز صدور گواهی کاملا مبهم است. مخزن گواهی‌های الکترونیکی و لیست(های) گواهی‌های باطله که جهت پیاده‌سازی آن، به طور معمول از پروتکل LDAP استفاده می‌شود، سهولت دسترسی و تعیین آدرس دسترسی به آن در سند دستورالعمل اجرایی مراکز صدور گواهی، در زمره رایج‌ترین قابلیت‌ها و الزامات مربوط به مراکز صدور گواهی قرار می‌گیرد.
• در بخش‌های مختلف خط مشی گواهی الکترونیکی بانک مرکزی بر به‌کارگیری و پیاده‌سازی استانداردهایی تاکید شده اما نام و مرجع آن آورده نشده است. ارجاعاتی مانند استاندارد روند ثبت‌نام، استانداردهای بین‌المللی و… از این دست به شمار می‌روند و در نهایت اینکه موارد مزبور بر اساس کدام استاندارد پیاده‌سازی شده است، در هاله‌ای از ابهام قرار دارد.
• به‌رغم اشاره به بایگانی کلید خصوصی کاربران توسط مرکز صدور گواهی در سند خط مشی، با توجه به حساسیت بسیار بالای این فرآیند، سیاست‌ها و دستورالعمل‌اجرایی بازیابی کلید جهت ایجاد شفافیت و ابهام‌زدایی کاربران منتشر نشده یا موجود نیست.
• در بخش‌های مرتبط با الزامات دوره‌های زمانی، از درج تاریخ دقیق و تعیین دوره‌های زمانی خودداری شده است. بخش‌هایی مانند زمان پردازش درخواست گواهی، حداکثر زمان درج گواهی در فهرست گواهی‌های ابطال‌شده، تولید زوج کلید و… نمونه‌هایی از این دست هستند.
• در بخش‌های مختلف از خط مشی بانک مرکزی، نقش‌ها و مسوولیت‌های شورای سیاستگذاری نادیده گرفته و به بانک تفویض شده است که این با قوانین جاری کاملا در تناقض است.

موارد فوق‌الذکر، برخی از ناهمگونی‌ها و چالش‌های فنی و فرآیندی موجود در خط مشی و دستورالعمل اجرایی نماد بانکی هستند و شرح بیشتر در مجال این مقاله نمی‌گنجد. استفاده و به‌کارگیری گواهی‌ها و سیاست‌های خارج از چارچوب تعریف‌شده شورا به ‌عنوان مرجع اعتماد و اطمینان در زیرساخت کلید عمومی کشور، صرف نظر از صرف هزینه‌های کلان و بی‌مورد از بیت‌المال، منجر به از میان رفتن قابلیت تعاملی میان نرم‌افزارها و سخت‌افزارهای توسعه‌یافته زیرساخت کلید عمومی و عدم اعتماد می‌شود و کاربران زیرساخت کلید عمومی کشور را با یک کلاف سردرگم مواجه می‌کن

پی‌نوشت:

http://www.cbi.ir/showitem/11321.aspx1-

2- اعضای شورای سیاستگذاری گواهی الکترونیکی به شرح ذیل هستند:
وزیربازگانی یا معاون ذی‌ربط وی (رئیس)، معاون ذی‌ربط وزیردادگستری، معاون ذی‌ربط وزیراطلاعات، معاون ذی‌ربط وزیر ارتباطات و فناوری اطلاعات، معاون ذی‌ربط وزیر امور اقتصاد و دارایی، معاون ذی‌ربط وزیربهداشت، درمان و آموزش پزشکی، معاون ذی‌ربط معاونت برنامه‌ریزی و نظارت راهبردی رئیس‌جمهور، معاون ذی‌ربط رئیس کل بانک مرکزی، رئیس اتاق بازرگانی و صنایع و معادن ایران، رئیس سازمان ثبت اسناد و املاک کشور، رئیس سازمان نظام صنفی رایانه‌ای، دبیر شورای عالی انفورماتیک، دبیر شورای عالی فناوری اطلاعات، رئیس مرکز توسعه تجارت الکترونیکی وزارت بازرگانی به عنوان دبیر شورا (بدون حق رای)، 1 تا 3 نفر مشاور خبره با پیشنهاد رئیس و تایید اکثریت سایر اعضای شورا.
3- مصوب شورای سیاستگذاری گواهی الکترونیکی

منبع:ماهنامه پیوست