ความเชื่อถือ e-Signature
ลายมือชื่ออิเล็กทรอนิกส์ (e-Signature) ในพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็คทรอนิกส์ พ.ศ. 2544 ได้ให้นิยามของลายเซ็นดิจิทัลว่า หมายถึง อักษร อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์ โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น เช่น การสร้างลายเซ็นอิเล็กทรอนิกส์โดยใช้เทคโนโลยี Public Key Infrastructure (KPI) ซึ่งใช้หลักการเข้ารหัส/ถอดรหัส (Encryption) โดยผู้สร้างลายมือชื่อจะนำข้อมูลของตนไปแปลงให้อยู่ ในรูปแบบข้อความเข้ารหัส และหากคู่สัญญาอีกฝ่ายจะเข้าถึงข้อความดังกล่าว ก็จำเป็นต้องถอดรหัสด้วยกุญแจคู่รหัสเช่นกัน ดังนั้น e-Signature คือ การใช้เทคโนโลยีในการสร้างเครื่องยืนยันตัวตนของบุคคลในรูปแบบดิจิทัล ซึ่งให้ผลไม่ต่างจากการยืนยันตัวบุคคลโดยการจับปากกาลงมาเซ็นในกระดาษ
*********************************************************************************************************************************
ความเชื่อถือ e-Signature เป็นอย่างไร
กฏหมายจะรองรับว่า e-Signature เป็นไปตามมาตรฐาน เมื่อมีองค์ประกอบสำคัญต่างๆ ดังนี้
- สามารถพิสูจน์และยืนยันตัวตนเจ้าของลายมือชื่อได้ กล่าวคือ ความน่าเชื่อถือของ e-Signature ต้องพิจารณาคู่กับระดับความน่าเชื่อถือในการพิสูจน์ตัวตน (IAL) และระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (AAL) เพื่อแสดงความสัมพันธ์ระหว่าง “เจ้าของ e-Signature” กับ “ข้อมูลอิเล็กทรอนิกส์”
- เจตนาในการลงลายมือชื่อ กล่าวคือ ต้องแสดงได้ว่าเจ้าของ e-Signature เป็นผู้ลงลายมือชื่อเกี่ยวกับข้อความนั้นไว้เอง โดยผู้สร้าง e-Signature อาจกำหนดรายละเอียด วัตถุประสงค์ และเหตุผลในการลงลายมือชื่อไว้ในแบบฟอร์มให้ชัดเจนเพื่อให้เจ้าของ e-Signature เข้าใจและยอมรับในการลงลายมือชื่อนั้น
- ครบถ้วนและไม่เปลี่ยนแปลง กล่าวคือ ในกระบวนการเก็บรักษา e-Signature ผู้เก็บต้องประกันได้ว่า ข้อมูลอิเล็กทรอนิกส์ต่างๆ เกี่ยวกับ e-Signature มีความครบถ้วนเหมือนตอนแรกสร้างและไม่ถูกเปลี่ยนแปลงระหว่างทาง
*********************************************************************************************************************************
เรารู้ได้ยังไงว่า E-Signature นี้มาจากตัวจริง
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้พัฒนาการใช้งานธุรกรรมออนไลน์ให้มีประสิทธิภาพและความปลอดภัยมากยิ่งขึ้น โดยได้กำหนดมาตรฐานและแนวทางการลงลายมือชื่ออิเล็กทรอนิกส์ (Electronic Signature Guideline) กล่าวถึงประเภทของ E-Signature และองค์ประกอบของ E-Signature ดังต่อไปนี้
- การพิสูจน์และยืนยันตัวตน
การพิสูจน์ตัวตนในลายเซ็น E-Signature และลายเซ็นดิจิทัลของไทยนั้น มี 2 วิธี คือ
- การพิสูจน์ตัวตน IAL (Identity Assurance Level) แบ่งเป็น 3 ระดับ คือ
- IAL 1 หรือ ระดับเริ่มต้น หลักฐานที่ต้องใช้แสดงตน คือ เอกสารตัวจริง หรือ สำเนาบัตรประชาชน และ Passport
- IAL 2 หรือ การเพิ่มระดับการพิสูจน์ตัวตน จะแสดงตนต่อหน้า หรือ ผ่าน Application ก็ได้ โดยขั้นที่หนึ่งใช้เอกสารบัตรประชาชน หรือ Passport จากนั้นนำชิฟการ์ดในบัตรไปตรวจสอบข้อมูลเพิ่มเติมด้วย เช่น ข้อมูลลายนิ้วมือ ข้อมูลใบหน้า เป็นต้น
- IAL 3 หรือ การพิสูจน์ตัวตนระดับสูงสุด จะต้องแสดงตนต่อหน้า หรือ VDO Call กับเจ้าหน้าที่โดยตรง และต้องใช้บัตรประชาชน กับ Passport คู่กัน จากนั้นนำชิฟการ์ดในบัตรไปตรวจสอบข้อมูลเพิ่มเติมด้วย เช่น ข้อมูลลายนิ้วมือ ข้อมูลใบหน้า รูปถ่าย เป็นต้น
- การยืนยันตัวตน AAL (Authenticator Assurance Level) แบ่งเป็น 3 ระดับ คือ
- AAL 1 หรือ การยืนยันตัวตนแบบ Single-Factor Authentication เพื่อป้องกันการดักจับรหัสผ่าน หรือ ข้อมูล เช่น การใช้รหัสผ่านหรือถามคำถามที่คำตอบเป็นความลับเฉพาะบุคคล (Memorized Secret), การส่ง SMS รหัส OTP เพื่อยืนยันตัวตน เป็นต้น
- AAL 2 หรือ การยืนยันตัวตนแบบ Multi-Factor Authentication ด้วยการใช้ Memorize Secret ร่วมกับวิธีอื่น ๆ เช่น OTP Device วิธีนี้นอกจากจะป้องกันการดักจับรหัสผ่าน หรือ ข้อมูลแล้ว ยังป้องกัน Replay Attack หรือ การนำข้อมูลที่ได้ไปกระทำการเลียนแบบ เช่น Login ซ้ำจาก Username และ Password ที่ได้มาด้วย
- AAL 3 หรือ การยืนยันตัวตนระดับสูงสุด การยืนยันตัวแบบ Multi-Factor Authentication และมี Factor หนึ่งเป็น Cryptographic Key ซึ่งการยืนยันตัวตนระดับนี้จะมีความซับซ้อน ป้องกันทั้ง MitM Attack ของช่องทางที่รับส่งข้อมูล, ป้องกัน Replay Attack และป้องกัน IdP Impersonation Attack ร่วมด้วย
2. เจตนาในการลงลายมือชื่อ
- มีกระบวนการหรือหลักฐานที่แสดงได้ว่าบุคคลได้ยอมรับการแสดงเจตนาที่ตนได้ลงลายมือชื่ออย่างชัดเจน
- ใช้ลายมือชื่อดิจิทัลในการลงลายมือชื่อต่อข้อความที่ตนแสดงเจตนา
- ใช้ลายมือชื่อดิจิทัลซึ่งใช้ใบรับรองที่ออกโดย CAในการลงลายมือชื่อต่อข้อความที่ตนแสดงเจตนา
3. การรักษาความครบถ้วนของข้อมูล
- ใช้หลักฐานหรือบุคคลที่สามที่เชื่อถือได้เพื่อแสดงว่าไม่มีการเปลี่ยนแปลงความหมายของข้อความที่ลงลายมือชื่อ และรับรองความครบถ้วนของข้อมูล
- ใช้ลายมือชื่อดิจิทัลในการลงลายมือชื่อต่อข้อความ
- ใช้ลายมือชื่อดิจิทัลซึ่งใช้ใบรับรองที่ออกโดย CAในการลงลายมือชื่อต่อข้อความ
*********************************************************************************************************************************
ใครเป็นผู้รับรอง E-Signature
องค์กรออกใบรับรอง (Certification Authority: CA) เป็นหน่วยงานที่เชื่อถือได้ ในการออกใบรับรองดิจิตอลให้ผู้ใช้บริการทำธุรกรรมทางอิเล็กทรอนิกส์ CA ให้บริการเทคโนโลยีการเข้ารหัสโดยอาศัยเทคโนโลยีที่เรียกว่า เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) โดยมีบริการต่างๆ ดังนี้
- บริการเทคโนโลยีเข้ารหัส ประกอบด้วย การผลิตกุญแจส่วนตัว (generation of private key) การส่งมอบกุญแจส่วนตัว (distribution of private key) การผลิตกุญแจสาธารณะ และกุญแจส่วนตัว (generation of public/private key) การผลิตลายมือชื่อดิจิตอล (generation of digital signature) และการรับรองลายมือชื่อดิจิตอล (validation of digital signature)
- บริการที่เกี่ยวข้องกับการออกใบรับรอง ประกอบด้วย การออกใบรับรอง (certificate Issuance) การตีพิมพ์ใบรับรองเพื่อเผยแพร่แก่บุคคลทั่วไป (certificate publishing) การเก็บต้นฉบับใบรับรอง (Certificate archiving) และการกำหนดนโยบายการออก และอนุมัติใบรับรอง (Policy creation/approval)
- บริการเสริมต่าง ๆ เช่น การลงทะเบียน (registration) การตรวจสอบสัญญาต่าง ๆ (not aerial authentication) การกู้กุญแจ (key recovery) เป็นต้น
*********************************************************************************************************************************
CA เกี่ยวอะไรกับ E-Signature
Digital Signature จำเป็นต้องมี Digital Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” ในการเข้ารหัสและลงลายเซ็นในเอกสารต่างๆ สามารถรักษาความลับ, ความถูกต้องของข้อมูลได้ และช่วยเพิ่มความน่าเชื่อถือให้เอกสารนั้นอีกด้วย
Digital Certificate แบ่งเป็น 2 ประเภท
- ประเภทนิติบุคคล (Enterprise Certificate) ออกให้องค์กร หรือ หน่วยงานนิติบุคคล ทั้งภาครัฐ และเอกชน ที่ต้องการใช้งานใบรับรองอิเล็กทรอนิกส์เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์
- ประเภทบุคคล (Personal Certificate) ออกให้บุคคล หรือ ประชาชนทั่วไป เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์
*********************************************************************************************************************************
ใครเป็นผู้รับรอง CA (certificate authority)
Digital Certificate ออกโดยองค์กรกลางที่มีความน่าเชื่อถือ ซึ่งทำหน้าที่เป็นบุคคลที่สาม เรียกว่า องค์กรออกใบรับรองอิเล็กทรอนิกส์ (CA หรือ Certificate Authority) เช่น TOT CA ของ บมจ.ทีโอที, CAT CA ของ บมจ.กสท โทรคมนาคม เป็นต้น
ใครเป็นผู้ออก CA ในประเทศไทย
- ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NATIONAL ROOT CERTIFICATION AUTHORITY OF THAILAND: NRCA) ให้บริการทั้งการออกใบรับรองลายเซ็นอิเล็กทรอนิกส์ และตรวจสอบสถานะใบรับรองอิเล็กทรอนิกส์ออนไลน์ (ผ่านโปรแกรม OpenSSL)
- บริษัท ไทยดิจิทัล ไอดี จำกัด (Thai Digital ID: TDID) ให้บริการออกใบรับรองอิเล็กทรอนิกส์ประเภทบุคคล (Personal Certificate) ใบรับรองอิเล็กทรอนิกส์ประเภทนิติบุคคล (Enterprise Certificate) ใบรับรองอิเล็กทรอนิกส์ประเภทเจ้าหน้าที่นิติบุคคล (Enterprise User Certificate) รวมถึงใบรับรองอิเล็กทรอนิกส์ประเภทเว็บไซต์ (SSL Certificate) และคอมพิวเตอร์ หรือ อุปกรณ์ (Computer/Equipment Certificate)
- บริษัท อินเทอร์เน็ตประเทศไทย จำกัด (มหาชน) (INET CA) ให้บริการออกใบรับรองอิเล็กทรอนิกส์ประเภทบุคคล (Personal Certificate) และประเภทนิติบุคคล (Enterprise Certificate) เพื่อรับรองตัวตนของผู้ใช้บริการ