ป้องกันเอกสาร E-SIGNATURE
เมื่อมีเทคโนโลยีเข้ามาเกี่ยวข้องในการทำงานแบบ New Normal ยุคปัจจุบัน แน่นอนว่าต้องมีทั้งผลดี และผลเสียตามมา หนึ่งในเทคโนโลยีที่นิยม นั่นก็คือ ลายมือชื่ออิเล็กทรอนิกส์ (e-Signature) ที่ใช้เทคโนโลยีในการสร้างเครื่องยืนยันตัวตนของบุคคลในรูปแบบดิจิทัล ซึ่งให้ผลไม่ต่างจากการยืนยันตัวบุคคลโดยการจับปากกาลงมาเซ็นในกระดาษ ผลเสียที่พบบ่อยคือ เราจะมั่นใจได้อย่างไรว่าลายเซ็นนั้นๆ ถูกเซ็นจากเจ้าของลายเซ็นจริงๆ ไม่ได้มีการปลอมแปลงเกิดขึ้น
จากเหตุการณ์ดังกล่าวข้างต้น จึงเกิดวิธีการ ป้องกันเอกสาร E-SIGNATURE เพื่อแก้ไขปัญหาเรื่องการปลอมแปลงลายเซ็น โดยใช้เทคโนโลยีการเข้ารหัส และการยืนยันตัวตนของผู้เซ็น ทำให้มั่นใจ และตรวจสอบได้ว่าลายเซ็นอิเล็กทรอนิกส์นี้ถูกเซ็นจากเจ้าของลายเซ็นจริงๆ
จะรู้ได้อย่างไรว่าเป็น Signature จากตัวจริง
การลงนามแบบดิจิทัล (Digital Signature) ต้องใช้ Public Key Infrastructure (PKI) โดยลายเซ็นดิจิทัลแต่ละรายการจะมีคู่ของคีย์ ทั้ง Private Key ที่หมายถึง การเซ็นเอกสารอิเล็กทรอนิกส์จะถูกใช้โดยผู้ลงนามเท่านั้น และจะไม่ถูกแชร์ออกไปภายนอกโดยไม่ได้รับอนุญาต ส่วน Public Key จะหมายถึง ลายเซ็นอิเล็กทรอนิกส์ที่พร้อมใช้งาน และเผยแพร่สู่ภายนอกได้ โดยต้องมีใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) ในการยืนยันตัวตนของผู้ลงนาม ซึ่งการลงนามดังกล่าวนี้ จะมีความปลอดภัยมากกว่าการลงนามด้วยปากกาบนกระดาษ เพราะสามารถพิสูจน์การแก้ไขเอกสารอิเล็กทรอนิกส์ได้ในทันที
ชนิดของใบรับรองอิเล็กทรอนิกส์ ที่ออกโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แบ่งออกเป็น 4 ชนิด
- Personal Certificate คือ ใบรับรองอิเล็กทรอนิกส์ที่ออกให้บุคคล หรือ ประชาชนทั่วไป เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์ โดยใบรับรองอิเล็กทรอนิกส์ประเภทนี้ จะมีอายุการใช้งานทั้งแบบ 1 ปี 2 ปี และ 3 ปี
- Enterprise Certificate คือ ใบรับรองอิเล็กทรอนิกส์ที่ออกให้กับนิติบุคคล ซึ่งอาจเป็น หน่วยงาน หรือ องค์กรภาครัฐ และเอกชน ที่มีความต้องการใช้งานใบรับรองอิเล็กทรอนิกส์เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์โดยใบรับรองอิเล็กทรอนิกส์ประเภทนี้ จะมีอายุการใช้งานทั้งแบบ 1 ปี 2 ปี และ 3 ปี
- Computer/ Equipment Certificate คือ ใบรับรองอิเล็กทรอนิกส์ที่ออกให้เครื่องคอมพิวเตอร์ และอุปกรณ์ที่ใช้ในการติดต่อสื่อสารทางเครือข่าย เช่น เราท์เตอร์ (Router) เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์ โดยใบรับรองอิเล็กทรอนิกส์ประเภทนี้ จะมีอายุการใช้งานทั้งแบบ 1 ปี 2 ปี และ 3 ปี
- Web Server Certificate (SSL Certificate) คือ ใบรับรองอิเล็กทรอนิกส์ที่ออกสำหรับใช้ยืนยันตัวตนของ Web Server โดยใบรับรองอิเล็กทรอนิกส์ประเภทนี้ จะมีอายุการใช้งานทั้งแบบ 1 ปี 2 ปี และ 3 ปี
การป้องกันไฟล์ Digital ให้น่าเชื่อถือ
เอกสารอิเล็กทรอนิกส์ และลายเซ็นดิจิตอล ต้องใช้ Public Key Infrastructure (PKI) ในการตรวจสอบ เนื่องจากกุญแจเหล่านี้ ใช้เพื่อปกป้องความปลอดภัย และหลีกเลี่ยงการปลอมแปลง หรือ การใช้งานที่เป็นอันตรายต่อข้อมูล เมื่อคุณส่ง หรือ ลงนามในเอกสาร คุณต้องมั่นใจว่าเอกสาร และคีย์นั้นถูกสร้างขึ้นมาอย่างปลอดภัย Certificate Authority (CA) จึงเป็นองค์กรผู้ให้บริการความน่าเชื่อถือของลายเซ็น และให้การรับรองลายเซ็นดิจิทัล ซึ่งทั้งผู้รับ และผู้ส่งเอกสารต้องตกลงใช้ CA ตามที่กำหนดร่วมกัน ไม่เพียงเท่านั้น เพื่อให้ลายเซ็นอิเล็กทรอนิกส์มีความน่าเชื่อถือมากยิ่งขึ้น ต้องมีคุณสมบัติด้านความปลอดภัย ประกอบด้วย
- Signer Authentication เพื่อพิสูจน์ว่าใครเป็นผู้เซ็นเอกสาร เนื่องจากลายเซ็นสามารถเชื่อมต่อไปยังบุคคลที่เซ็นเอกสารได้
- Data Integrity เพื่อตรวจสอบว่าภายหลังจากที่เอกสารได้ทำการลงนามแล้ว มีการแก้ไขเอกสารเพิ่มเติมหรือไม่
- Non-repudiation เพื่อป้องกันการปฏิเสธความรับผิดชอบทางกฏหมาย เนื่องจากลายเซ็นดังกล่าวมีเอกลักษณ์ สามารถพิสูจน์ได้ในชั้นศาล
ทำไม E-Signature ถึงป้องกันการแก้ไขได้
เมื่อการลงนามเอกสารเสร็จสมบูรณ์ เอกสารทั้งหมดจะถูกประทับตราด้วยเทคโนโลยีมาตรฐาน Public Key Infrastructure (PKI) ที่ได้รับการยอมรับ ตราประทับนี้จะสามารถระบุได้ว่า ลายเซ็นอิเล็กทรอนิกส์มีความถูกต้อง และเอกสารไม่ได้ถูกดัดแปลง หรือเปลี่ยนแปลงภายหลังวันที่ลงนาม หากเอกสารที่ประทับตราแล้วถูกแก้ไข เอกสารอิเล็กทรอนิกส์นี้จะแสดงข้อความแจ้งผู้เปิดเอกสารให้เห็นว่าเอกสารนี้ถูกแก้ไขหลังการประทับตรา
โดยขั้นตอนหลักๆ ที่สำคัญในการลงนามลายเซ็นอิเล็กทรอนิกส์ มักจะประกอบด้วยขั้นตอน ดังต่อไปนี้
- ขั้นตอนการส่งข้อมูล
- มีการอัดโหลดเอกสารที่ต้องการลงในระบบ
- กำหนดส่วนที่ต้องกรอกข้อมูลให้ครบถ้วน เช่น จุดที่ต้องเซ็น ชื่อเอกสาร วันที่จัดทำ เป็นต้น
- ส่งต่อไฟล์ผ่านระบบ ไปยังอีเมลของผู้รับที่ถูกกำหนดไว้
- ขั้นตอนการลงนาม
- ผู้ลงนามได้รับอีเมลแจ้งตรวจสอบข้อมูล และลงนามในเอกสาร
- มีระบบยืนยันตัวตนก่อนการลงนาม
- กรอกข้อมูลตามช่องที่กำหนด พร้อมตรวจสอบความถูกต้องของข้อมูลอีกครั้ง
- เลือกรูปแบบลายเซ็นอิเล็กทรอนิกส์ที่ตั้งค่าไว้
- ทำการยืนยันการลงนามในเอกสาร
เมื่อเอกสารได้รับการลงนามครบถ้วน ผู้เกี่ยวข้องทุกคน จะได้รับแจ้งทางอีเมล และเอกสารเหล่านั้นจะถูกจัดเก็บแบบอิเล็กทรอนิกส์ สามารถเรียกดู หรือ ดาวโหลดไฟล์ข้อมูลภายหลังได้
Digital Certificate เก็บข้อมูลอะไรบ้าง
- รูปแบบของใบรับรองอิเล็กทรอนิกส์ (Certificate Profile)
- Serial Number: หมายเลขของใบรับรองอิเล็กทรอนิกส์
- Signature Algorithm: วิธีการที่ใช้ในการสร้างลายมือชื่อดิจิทัล
- Issuer: ชื่อของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
- Validity: วันเวลาที่เริ่ม และสิ้นสุดการใช้ใบรับรองอิเล็กทรอนิกส์
- Subject: เลขบัตรประจำตัวประชาชนหรือเลขประจำตัวผู้เสียภาษีขององค์กร
- Subject Public Key Information: กุญแจสาธารณะของผู้ใช้บริการ และวิธีการที่ใช้ในการสร้าง
- ข้อมูลเพิ่มเติมของใบรับรอง (Certificate Extension)
- Authority Key Identifier: ระบุถึงกุญแจสาธารณะของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
- Key Usage: วัตถุประสงค์ในการนำกุญแจไปใช้งาน
- Extended Key Usage: วัตถุประสงค์เพิ่มเติมในการนำกุญแจไปใช้งาน
- CRL Distribution Points: ระบุถึงที่อยู่ของรายการเพิกถอนใบรับรองอิเล็กทรอนิกส์ เพื่อใช้ตรวจสอบสถานะของใบรับรองอิเล็กทรอนิกส์
- Basic Constraints: ระบุถึงประเภทของใบรับรองอิเล็กทรอนิกส์ว่าเป็นของผู้ใช้บริการ หรือผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ และจำนวนชั้นสูงสุดของห่วงโซ่ใบรับรองอิเล็กทรอนิกส์ (Certificate Chain) ที่ถูกทำการรับรองต่อ
กันเป็นทอดๆ - Certificate Policies: ระบุถึงข้อมูลเพื่อใช้อ้างอิงไปยังเอกสารแนวนโยบายใบรับรองอิเล็กทรอนิกส์โดยระบุในรูปของ Object Identifier (OID)
- อัลกอริธึมสำหรับการสร้างคู่คีย์ (Algorithm object identifiers)
- รูปแบบของชื่อ (Name Forms)
- ข้อจำกัดของชื่อ (Name constraints)
- OID ของนโยบายใบรับรองอิเล็กทริกนิกส์ (Certificate policy object identifier)
- นโยบายเรื่องข้อจำกัดของการใช้ส่วนขยาย (Usage of Policy Constraints extension)
- นโยบายในการระบุรูปแบบและความหมาย (Policy qualifiers syntax and semantics)
- การดำเนินการในส่วนของความหมายสำหรับนโยบายเพิ่มเติมของใบรับรองอิเล็กทรอนิกส์ (Processing semantics for the critical Certificate Policies extension)
สรุปข้อดี และข้อเสียของการใช้ Digital Signature
ข้อดี
- เมื่อเอกสารผ่านขั้นตอนการลงนามทั้งหมดเรียบร้อยแล้ว จะไม่สามารถแก้ไขได้ ยกเว้นหากมีการแก้ไขก็จะสามารถตรวจสอบได้ และส่งผลให้ลายเซ็นหมดสภาพไป
- ผู้เซ็นเอกสารสามารถกำหนดระดับความน่าเชื่อถือได้
- ผู้เซ็นเอกสารจะไม่สามารถปฏิเสธความรับผิดชอบได้
- สามารถใช้เป็นหลักฐานในชั้นศาลได้เทียบเท่ากับการเซ็นเอกสารในกระดาษด้วยหมึกปากกา
ข้อเสีย
- มีความยุ่งยาก ตรวจสอบหลายขั้นตอนในการเข้ารหัสลับ มากกว่าลายเซ็นบนกระดาษ