Home » บทความ » ความน่าเชื่อถือ e-Signature

ความน่าเชื่อถือ e-Signature

ลายมือชื่ออิเล็กทรอนิกส์ e-Signature ในพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ได้ให้นิยามของลายเซ็นดิจิตอล หมายถึง อักษร อักขระ ตัวเลข เสียง หรือสัญลักษณ์อื่นใด ที่สร้างขึ้นให้อยู่ในรูปแบบอิเล็กทรอนิกส์ ซึ่งนำมาใช้ประกอบกับข้อมูลอิเล็กทรอนิกส์ เพื่อแสดงความสัมพันธ์ระหว่างบุคคลกับข้อมูลอิเล็กทรอนิกส์

โดยมีวัตถุประสงค์เพื่อระบุตัวบุคคลผู้เป็นเจ้าของลายมือชื่ออิเล็กทรอนิกส์ ที่เกี่ยวข้องกับข้อมูลอิเล็กทรอนิกส์นั้น เช่น การสร้างลายเซ็นอิเล็กทรอนิกส์โดยใช้เทคโนโลยี Public Key Infrastructure (KPI) ซึ่งใช้หลักการเข้ารหัส / ถอดรหัส (Encryption) โดยผู้สร้างลายมือชื่อจะนำข้อมูลไปแปลงให้อยู่ในรูปแบบข้อความเข้ารหัส และหากคู่สัญญาอีกฝ่ายจะเข้าถึงข้อความดังกล่าว ก็จำเป็นต้องถอดรหัสด้วยกุญแจคู่รหัสเช่นกัน

ดังนั้น e-Signature คือ การใช้เทคโนโลยีในการสร้างเครื่องยืนยันตัวตนของบุคคลในรูปแบบดิจิตอล ซึ่งให้ผลไม่ต่างจากการยืนยันตัวบุคคลโดยการจับปากกาลงมาเซ็นลงบนกระดาษ

เอกสารมากมายให้โปรแกรมจัดเก็บเอกสาร BeeECM จัดการให้คุณ โทร.062-461-5593 ทดลองใช้ระบบฟรีได้แล้ววันนี้ !!!

ความน่าเชื่อถือของ e-Signature เป็นอย่างไร

กฏหมายจะรองรับว่า e-Signature เป็นไปตามมาตรฐาน เมื่อมีองค์ประกอบสำคัญต่าง ๆ ดังนี้

  1. สามารถพิสูจน์และยืนยันตัวตนเจ้าของลายมือชื่อได้ กล่าวคือ ความน่าเชื่อถือของ e-Signature ต้องพิจารณาคู่กับระดับความน่าเชื่อถือในการพิสูจน์ตัวตน (IAL) และระดับความน่าเชื่อถือของสิ่งที่ใช้ยืนยันตัวตน (AAL) เพื่อแสดงความสัมพันธ์ระหว่าง เจ้าของ e-Signature กับข้อมูลอิเล็กทรอนิกส์
  2. เจตนาในการลงลายมือชื่อ กล่าวคือ ต้องแสดงได้ว่าเจ้าของ e-Signature เป็นผู้ลงลายมือชื่อเกี่ยวกับข้อความไว้เอง โดยผู้สร้าง e-Signature อาจกำหนดรายละเอียด วัตถุประสงค์ และเหตุผลในการลงลายมือชื่อไว้ในแบบฟอร์มให้ชัดเจนเพื่อให้เจ้าของ e-Signature เข้าใจและยอมรับในการลงลายมือชื่อนั้น
  3. ครบถ้วนและไม่เปลี่ยนแปลง กล่าวคือ ในกระบวนการเก็บรักษา e-Signature ผู้เก็บต้องประกันได้ว่า ข้อมูลอิเล็กทรอนิกส์ต่าง ๆ เกี่ยวกับ e-Signature มีความครบถ้วนเหมือนตอนแรกสร้าง และไม่ถูกเปลี่ยนแปลงระหว่างทาง

สนใจระบบ Workflow ติดต่อเรา ..

เราจะรู้ได้ยังไงว่า e-Signature นี้มาจากตัวจริง

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA กระทรวงดิจิตอลเพื่อเศรษฐกิจ และสังคมได้พัฒนาการใช้งานธุรกรรมทางอิเล็กทรอนิกส์ กล่าวถึงประเภทของ e-Signature และองค์ประกอบของ e-Signature ดังนี้

  1. การพิสูจน์และการยืนยันตัวตน

          การพิสูจน์ตัวตนในลายเซ็น e-Signature และลายเซ็นดิจิตอลของไทยนั้น มี 2 วิธี คือ

– การพิสูจน์ตัวตน IAL (Identity Assurance Level) แบ่งเป็น 3 ระดับ คือ

  • IAL 1 หรือระดับเริ่มต้น หลักฐานที่ต้องใช้แสดงตน คือ เอกสารตัวจริง หรือสำเนาบัตรประชาชน และ Passport
  • IAL 2 หรือการเพิ่มระดับการพิสูจน์ตัวตน จะต้องแสดงตนต่อหน้า หรือผ่าน Application ก็ได้ โดยขั้นที่หนึ่งเอกสารบัตรประชาชน หรือ Passport จากนั้นนำชิฟการ์ดในบัตรไปตรวจสอบข้อมูลเพิ่มเติมด้วย เช่น ข้อมูลลายนิ้วมือ ข้อมูลใบหน้า เป็นต้น
  • IAL 3 หรือ การพิสูจน์ตัวตนระดับสูงสุด จะต้องแสดงตนต่อหน้า หรือ VDO Call กับเจ้าหน้าที่โดยตรง และต้องใช้บัตรประชาชน กับ Passport คู่กัน จากนั้นชิฟการ์ดในบัตรไปตรวจสอบข้อมูลเพิ่มเติมด้วย เช่น ข้อมูลลายนิ้วมือ ข้อมูลใบหน้า รูปถ่าย เป็นต้น

– การยืนยันตัวตน AAL (Authenticator Assurance Level) แบ่งออกเป็น 3 ระดับ

  • AAL 1 หรือ การยืนยันตัวตนแบบ Single-Factor Authentication เพื่อป้องกันการดักจับรหัสผ่าน หรือข้อมูล เช่น การใช้รหัสผ่าน หรือตอบคำถามที่คำตอบเป็นความลับเฉพาะบุคคล (Memorized Secret) การส่ง SMS รหัส OTP เพื่อยืนยันตัวตน เป็นต้น
  • AAL 2 หรือ การยืนยันตัวตนแบบ Multi-Factor Authentication ด้วยการใช้ Memorize Secret ร่วมกับวิธีอื่น ๆ เช่น OTP Device วิธีนี้นอกจากจะป้องกันการดักจับรหัสผ่าน หรือข้อมูลแล้วยังป้องกัน Reply Attack หรือการนำข้อมูลที่ได้ไปกระทำการเลียนแบบ เช่น Login ซ้ำจาก Username และ Password ที่ได้มาด้วย
  • AAL 3 หรือ การยืนยันตัวตนระดับสูง การยืนยันตัวตนแบบ Multi-Factor Authentication และมี Factor หนึ่งเป็น Cryptographic Key ซึ่งการยืนยันตัวตนระดับนี้จะมีความซับซ้อน ป้องกันทั้ง MitM Attack ของช่องทางที่รับส่งข้อมูล ป้องกัน Replay Attack และป้องกัน IdP Impersonation Attack ร่วมด้วย
  1. เจตนาในการลงลายมือชื่อ
  • มีกระบวนการหรือหลักฐานที่แสดงได้ว่าบุคลได้ยอมรับการแสดงเจตนาที่ตนได้ลงลายมือชื่ออย่างชัดเจน
  • ใช้ลายมือชื่อดิจิตอลในการลงลายมือชื่อต่อข้อความที่ตนแสดงเจตนา
  • ใช้ลายมือชื่อดิจิตอลซึ่งใช้ใบรับรองที่ออกโดย CA ในการลงลายมือชื่อต่อข้อความที่ตนแสดงเจตนา
  1. การรักษาความครบถ้วนของข้อมูล
  • ใช้หลักฐานหรือบุคคลที่สามที่เชื่อถือได้เพื่อแสดงว่าไม่มีการเปลี่ยนแปลงความหมายของข้อความที่ลงลายมือชื่อ และรับรองความครบถ้วนของข้อมูล
  • ใช้ลายมือชื่อดิจิตอลในการลงลายมือชื่อต่อข้อความ
  • ใช้ลายมือชื่อดิจิตอลซึ่งใช้ใบรับรองที่ออกโดย CA ในการลงลายมือชื่อต่อข้อความ

สนใจบริการสแกนเอกสารเป็นไฟล์ดิจิตอล และระบบจัดการเอกสาร

โทร.02-551-2097 กด 601 หรือ 062-461-5593

ผู้รับรอง e-Signature

องค์กรออกใบรับรอง (Certification Authority : CA) เป็นหน่วยงานที่เชื่อถือได้ ในการออกใบรับรองดิจิตอลให้ผู้ใช้บริการทำธุรกรรมทางอิเล็กทรอนิกส์ CA ให้บริการเทคโนโลยีการเข้ารหัสโดยอาศัยเทคโนโลยีที่เรียกว่า เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) โดยมีบริการต่าง ๆ ดังนี้

  • บริการเทคโนโลยีเข้ารหัส ประกอบด้วย การผลิตกุญแจส่วนตัว การส่งมอบกุญแจส่วนตัว การผลิตกุญแจสาธารณะ และกุญแจส่วนตัว การผลิตลายมือชื่อดิจิตอล และการรับรองลายมือชื่อดิจิตอล
  • บริการที่เกี่ยวข้องกับการออกใบรับรอง ประกอบด้วย การออกใบรับรอง การตีพิมพ์ ใบรับรองเพื่อเผยแพร่แก่บุคคลทั่วไป การเก็บต้นฉบับใบรับรอง และการกำหนดนโยบายการออก และอนุมัติใบรับรอง
  • บริการเสริมต่าง ๆ เช่น การลงทะเบียน การตรวจสอบสัญญาต่าง ๆ การกู้กุญแจ เป็นต้น

CA เกี่ยวอะไรกับ e-Signature

Digital Signature จำเป็นต้องมี Digital Certificate หรือใบรับรองอิเล็กทรอนิกส์ ในการเข้ารหัส และลงลายเซ็นในเอกสารต่าง ๆ สามารถรักษาความลับ ความถูกต้องของข้อมูลได้ และช่วยเพิ่มความน่าเชื่อถือให้เอกสารนั้นอีกด้วย

          Digital Certification แบ่งเป็น 2 ประเภท

  • ประเภทนิติบุคคล (Enterprise Certificate) ออกให้องค์กร หรือหน่วยงานนิติบุคคล ทั้งภาครัฐ และเอกชน ที่ต้องการใช้งานใบรับรองอิเล็กทรอนิกส์ เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์
  • ประเภทบุคคล (Personal Certificate) ออกให้บุคคล หรือประชาชนทั่วไป เพื่อรักษาความมั่นคงปลอดภัยให้กับธุรกรรมอิเล็กทรอนิกส์

ขอบคุณข้อมูลจาก : www.fusionsol.com

สอบถามเพิ่มเติมได้ที่ ..