ایالات متحده آمریکا

در آمریکا، مرجع صدور گواهی نهادی است که گواهی های الکترونیکی را برای متقاضیان آنها صادر می کند. این گواهی ها شامل کلید عمومی متقاض و مشخصات متقاضی و مرکز صادر کننده گواهی است. در واقع این گواهی هویت دارنده آن را با کلید عمومی مزبور پیوند می زند. این مرکز به صورت مستمر بر گواهی های صادر شده نظارت دارد و به محض خدشه دار شدن هویت دارنده آنها با انقضای مدت گواهی مزبور، برای لغو اعتبار آنها اقدام کرده و آنها را در فهرست گواهی های باطل[1] شده قرار می دهد.[2]

مراجع گواهی دارای سلسله مراتبی هستند که در راس آن مرکز گواهی ریشه قرار دارد. این مرکز وظیفه تصدیق مراجع گواهی فرعی تر و پایین تر از خود و صدور گواهی برای مراکز صدور گواهی میانی را بر عهده دارد.

در آمریکا هر ایالت دارای یک مرکز ریشه فعال است. با وجود این، به دلیل ایجاد اعتماد ملی، این مراکز به یکدیگر مرتبط و با یک قانون و نظارت ملی رهبری می شوند. پس از مراکز گواهی ریشه، مراکز صدور گواهی میانی قرار دارند، وظیفه این مراکز، صدور گواهی برای متقاضیانی است که هویت آنها مورد تایید دفاتر ثبت نام قرار گرفته است. به عبارت دیگر آنها به تایید این می پردازند که دارنده کلید عمومی همان دارنده کلید خصوصی است و تحریف یا تغییری در آن رخ نداده است.

این سلسله مراتب به طرف های اعتماد کننده، این اطمینان را می دهد که تصدیق گواهی توسط مرحع معتبری صورت گرفته و به این ترتیب مانع از تشکیل مراجعی می شود که به راحتی و به نحو غیر قانونی خود را به عنوان مراجع مجاز معرفی کرده و اعتماد میان طرفین را مخدوش می کنند.[3]

مراجع گواهی که با درخواست مشتریان مواجه می شوند، از هویت آنها آگاه نیستند و نیازمند شخص مطمئنی هستند که هویت آنها را تایید کند و به عنوان رابطی میان مرجع گواهی و مشتریان عمل کند. این وظیفه ای که دفتر ثبت نام برعهده دارد. به این ترتیب، دفتر ثبت نام، اطلاعات لازم را در اختیار مرجع گواهی قرار می دهد تا آن مرجع بتواند خدمات خود را به مشتریان ارائه دهد.

دفتر ثبت نام که مسئول شناسایی و تصدیق شخص پیش از صدور گواهی است. وظایف اداری مربوط به ثبت نام، مشخصات و اظهارات متقاضیان را برعهده دارد و تایید می کند که شخص متقاضی شرایط لازم را برای دریافت گواهی دارد.

مراجعه متقاضی به دفتر ثبت نام، جنبه فیزیکی و مادی دارد، زیرا دفتر ثبت نام برای احراز مواردی چون اهلیت و هویت شخص، باید از نزدیک وضعیت او را مورد بررسی قرار دهد.[4]

در ایالات متحده، مراجع صدور گواهی الکترونیکی باید مسایل مسایل زیر را برای ایجاد اطمینان برای دایره صدور مجوز رعایت کنند:

  • کارکنانی را استخدام کنند که سوءسابقه کیفری در رابطه با جنایات، کلاهبرداری، شهادت دروغ و تدلیس نداشته باشند.
  • کارکنانی را استخدام کنند که تجربه و اطلاعات کافی در زمینه های مرتبط با کا این دفاتر داشته باشند.
  • باید یک وثیقه مناسب بسپارند، مگر اینکه یک مرجع دولتی باشند.
  • باید دارای یک سیستم امن شامل رویه های مطمئن برای کنترل استفاده از کلیدهای خصوصی آن مرکز باشند.
  • باید دلایل کافی که نشان دهنده وجود سرمایه کافی نزد آنها برای انجام کسب و کار به عنوان مرجع گواهی است را اداره نمایند.
  • باید یک دفتر یا نمایندگی در ایالتی که می خواهند در آن به انجام فعالیت بپردازند، تاسیس کرده باشند.
  • باید کلیه مقرراتی را که از جانب مقامات صالح ایالتی مقرر می گردد را رعایت کنند.
  • باید از سیستم های امن برای صدور، تعلیق یا ابطال گواهی های صادره توسط خود و همچنین اطلاع رسانی این مسایل در اختیار داشته باشند.
  • باید کلیه دستورالعمل های خود و همچنین کلیه مسایل و اطلاعات مربوط به گواهی ها را به اطلاع عموم برسانند.

مشابه همین استانداردها در مواد 9 و 10 قانون نمونه امضای الکترونیکی آنسیترال[5] نیز وجود دارد و در بسیاری از کشورهای نیز اعمال می شود.

در مورد محوه صدور گواهی های الکترونیکی در آمریکا، باید گفت که به طور معمول مراجع صدور گواهی، ساز و کاری برای احراز هویت اشخاص ندارند. به این ترتیب آنها باید به اطلاعاتی که دفاتر ثبت نام در اختیار آنها می گذارند، اکتفا کنند. بنابراین نقش دفاتر ثبت نام برای صدور گواهی ها بررسی هویت اشخاص و صلاحیت آنهاست. در واقع آنها با استفاده از ابزاری که در اختیار دارند بررسی می کنند چه کسی می تواند گواهی دریافت کند و چه کسی نمی تواند.

احراز هویت اشخاص از طریق اسنادی انجام می گیرد که از جانب متقاضی صدور گواهی الکترونیکی در اختیار دفاتر ثبت نام قرار گرفته است. منتها نوع مدرکی که برای شناسایی اشخاص اعم از حقیقی یا حقوقی باید ارائه گردد، بسته به سطح گواهی صادر متفاوت خواهد بود. برای گواهی های سطح پایین مدارک شناسایی ساده ای مورد پذیرش قرار می گیرد نظیر کارت اعتباری و … ولی برای گواهی های با سطح امنیت بالاتر، مدارک محکم تری باید ارائه گردد.

مرجع صدور گواهی، پس از دریافت تقاضا از جانب صاحب امضای آینده و دریافت گزارش دفاتر ثبت نام، نسبت به صدور گواهی دیجیتالی اقدام می کند. مرجع گواهی با صدور این گواهی تایید می کند که صاحب امضا همان شخصی است که در گواهی نامه آمده است و کلید عمومی متعلق به اوست. همچنین تصدیق می کند که کلیه اطلاعات مندرج در گواهی نامه، صحیح است و تمام شرایط قانونی در صدور آن گواهی رعایت گردیده و مرجع مزبور در حدود صلاحیت خود، اقدام کرده است.

 

 

112 Certification Revocation List (CRL).

[2] زرگر، محمود، امنیت در تجارت الکترونیکی ، مجله مجلس و پژوهش، شماره 55، تابستان 86، ص 112.

[3] مظاهری کوهانستانی رسول، ویژگی های قراردادهای الکترونیکی از دیدکاه حقوقی مدنی ایران، پایان نامه برای دریافت درجه دکترا، استاد راهنما سید حسین صفایی، دانشگاه تربیت مدرس، 1386، صص 160-161.

[4] مظاهری کوهانستانی رسول، پیشین، صص 156-157

[5] Article 9. Conduct of the certification service provider

  1. Where a certification service provider provides services to support an electronic signature that may be used for legal effect as a signature, that certification service provider shall:

(a) Act in accordance with representations made by it with respect to its policies and practices;

(b) Exercise reasonable care to ensure the accuracy and completeness of all material representations made by it that are relevant to the certificate throughout its life cycle or that are included in the certificate;

(c) Provide reasonably accessible means that enable a relying party to ascertain from the certificate:

(i) The identity of the certification service provider;

(ii) That the signatory that is identified in the certificate had control of the signature creation data at the time when the certificate was issued;

(iii) That signature creation data were valid at or before the time when the certificate was issued;

(d) Provide reasonably accessible means that enable a relying party to ascertain, where relevant, from the certificate or otherwise:

(i) The method used to identify the signatory;

(ii) Any limitation on the purpose or value for which the signature creation data or the certificate may be used;

(iii) That the signature creation data are valid and have not been compromised;

(iv) Any limitation on the scope or extent of liability stipulated by the certification service provider;

(v) Whether means exist for the signatory to give notice pursuant to article 8, paragraph 1 (b), of this Law;

(vi) Whether a timely revocation service is offered;

(e) Where services under subparagraph (d) (v) are offered, provide a means for a signatory to give notice pursuant to article 8, paragraph 1 (b), of this Law and, where services under subparagraph (d) (vi) are offered, ensure the availability of a timely revocation service;

(f) Utilize trustworthy systems, procedures and human resources in performing its services.

  1. A certification service provider shall bear the legal consequences of its failure to satisfy the requirements of paragraph

 

Article 10. Trustworthiness

For the purposes of article 9, paragraph 1 (f), of this Law in determining whether, or to what extent, any systems, procedures and human resources utilized by a certification service provider are trustworthy, regard

may be had to the following factors:

(a) Financial and human resources, including existence of assets;

(b) Quality of hardware and software systems;

(c) Procedures for processing of certificates and applications for certificates and retention of records;

(d) Availability of information to signatories identified in certificates and to potential relying parties;

(e) Regularity and extent of audit by an independent body;

(f) The existence of a declaration by the State, an accreditation body or the certification service provider regarding compliance with or existence of the foregoing; or

(g) Any other relevant factor.

لینک جزییات بیشتر و دانلود این پایان نامه:

مطالعه تطبیقی امضای الکترونیکیدر حقوق ایران با سیستم های حقوقی کامن لا و رومی – ژرمنی