این دو عبارت آن‌قدر کنار هم به کار می‌روند که بیشتر مردم آن‌ها را مترادف می‌دانند. اما از نظر حقوقی و فنی، «امضای الکترونیک» و «امضای دیجیتال» دو چیز متفاوت‌اند و این تفاوت در عمل اهمیت دارد.

پاسخ کوتاه

امضای الکترونیک یک دسته‌ی چتری و حقوقی است؛ امضای دیجیتال یک پیاده‌سازی فنیِ مشخص درون همان دسته. به بیان ساده: هر امضای دیجیتالی، الکترونیکی است؛ ولی بیشتر امضاهای الکترونیکی، دیجیتال (به معنای رمزنگاری‌شده) نیستند.

امضای الکترونیک: دسته‌ی گسترده

قانون تجارت الکترونیکی ایران در ماده ۲ تعریف عمدی و گسترده‌ای ارائه می‌دهد:

«امضای الکترونیکی» عبارت از هر نوع علامت منضم‌شده یا به نحو منطقی متصل‌شده به «داده‌پیام» است که برای شناسایی امضاءکننده‌ی «داده‌پیام» مورد استفاده قرار می‌گیرد.

این تعریف فناوری‌محور نیست؛ یعنی همه‌ی این‌ها می‌توانند امضای الکترونیک باشند:

  • تصویر اسکن‌شده‌ی یک امضای دستی

  • تایپ نام در پای یک ایمیل یا فرم

  • تیک‌زدن «می‌پذیرم» یا کلیک تأیید

  • رمز عبور، کد یک‌بارمصرف یا امضای بیومتریک

  • و حتی امضای دیجیتالِ رمزنگاری‌شده

امضای دیجیتال: تکنیک رمزنگاری

امضای دیجیتال یک «نوع علامت» نیست، بلکه یک فرایند ریاضی/رمزنگاری است که با استفاده از رمزنگاری نامتقارن (زوج کلید عمومی و خصوصی) و تابع هش، دو چیز را تضمین می‌کند: هویت امضاکننده و دست‌نخوردگیِ سند پس از امضا.

مکانیزم آن به‌زبان ساده:

  1. از کل سند یک «اثر انگشت» دیجیتال (هش) ساخته می‌شود.

  2. این هش با کلید خصوصیِ امضاکننده رمز می‌شود؛ همین مقدارِ رمزشده، خودِ امضای دیجیتال است.

  3. گیرنده با کلید عمومیِ امضاکننده آن را باز و سند را دوباره هش می‌کند؛ اگر دو هش یکی بود، امضا اصیل است و سند تغییر نکرده.

اگر حتی یک کاراکتر از سند بعد از امضا عوض شود، هش تغییر می‌کند و امضا نامعتبر می‌شود. این همان ویژگیِ «کشف تغییر» است.

گواهی دیجیتال و زنجیره‌ی اعتماد در ایران

امضای دیجیتال وقتی قابل‌اعتماد است که مطمئن باشیم کلید عمومی واقعاً متعلق به همان فرد است. این اعتماد را زیرساخت کلید عمومی (PKI) و سلسله‌مراتب مراکز صدور گواهی فراهم می‌کند: در رأس آن «مرکز دولتی صدور گواهی الکترونیکی ریشه» (rca.gov.ir) قرار دارد که گواهی مراکز میانی (مثل GICA) را امضا می‌کند و کلید خصوصی معمولاً روی یک توکن سخت‌افزاری نگه‌داری می‌شود.

جایگاه هرکدام در قانون ایران

قانون ایران به‌جای تقسیم‌بندی سه‌گانه‌ی اروپایی، یک تمایز دوگانه دارد: «امضای الکترونیکی (ساده)» و «امضای الکترونیکی مطمئن». امضای مطمئن طبق ماده ۱۰ باید چهار شرط داشته باشد: منحصربه‌فرد بودن نسبت به امضاکننده، شناسایی هویت او، صدور تحت اراده‌ی انحصاری وی، و اتصال به سند به‌نحوی که هر تغییر قابل‌کشف باشد. امضای دیجیتالِ مبتنی بر گواهی، نمونه‌ی بارز رسیدن به این سطح «مطمئن» است.

پس امضا با کد یک‌بارمصرف کدام است؟

صادقانه: امضای آنلاین با کد یک‌بارمصرف و احراز هویت (مثل آنچه ال‌امضا انجام می‌دهد) به‌معنای دقیقِ فنی، «امضای دیجیتال» نیست، چون به هر امضاکننده کلید خصوصی و گواهیِ مرکز مجاز داده نمی‌شود؛ کد یک‌بارمصرف یک عامل احراز هویت است، نه کلید امضا. اما این روش بسیار قوی‌تر از یک تصویر امضا یا تیک ساده است، چون هویتِ تأییدشده را به امضا اضافه می‌کند؛ بهترین توصیف برای آن «امضای الکترونیکی پیشرفته» است.

برای اینکه ببینید این تفاوت در عمل چه اهمیتی دارد، آیا امضای الکترونیک در دادگاه معتبر است؟ و آیا برای امضا به توکن نیاز دارم؟ را ببینید.