ใบรับรองอิเล็กทรอนิกส์ และลายเซ็นดิจิตอล

ใบรับรองอิเล็กทรอนิกส์ และลายเซ็นดิจิตอล

Digital Signature

            ในการทำสัญญา ข้อตกลง หรือธุรกรรมต่าง ๆ ล้วนเกิดขึ้นจากการกระทำของบุคคลอย่างน้อย 2 ฝ่าย สิ่งที่เป็นสัญลักษณ์ในการยืนยันว่าสัญญาฉบับนั้นมีผลกับแต่ละบุคคลคือ ลายเซ็น (Signature) ซึ่งทุกฝ่ายที่เกี่ยวข้องจะลงลายเซ็นในเอกสารทุกครั้งจึงถือว่าสัญญานั้นสมบูรณ์และมีผลถูกต้องตามกฎหมาย ใช้ในการเอาความฟ้องร้องต่อคู่สัญญาได้

            แต่การที่จะทำสัญญา หรือธุรกรรม ที่ต้องลงลายเซ็นบนกระดาษเริ่มกลายเป็นส่วนที่ทำให้ธุรกิจดำเนินการไปได้ช้า และมีค่าใช้จ่ายสำหรับในการดำเนินการหลายขั้นตอน จึงทำให้มีผู้คิดนำลายเซ็นดิจิตอลมาใช้ โดยธรรมชาติแล้วการลงลายเซ็นด้วยปากกาจะมีเอกลักษณ์เฉพาะตัว ต้องมีการลงน้ำหนักบนกระดาษ การเซ็นชื่อต้องผ่านการไตร่ตรองก่อน จึงเป็นการแสดงเจตนาโดยแท้จริง แล้วลายเซ็นดิจิตอลจะเข้ามายืนยันในส่วนนี้ได้อย่างไร

            ลายเซ็นดิจิตอล (Digital Signature) เป็นสิ่งที่ใช้ยืนยันตัวบุคคล ถ้าลงลายเซ็นดิจิตอลที่เอกสาร จะถือว่าเอกสารนั้นถูกเซ็นจากบุคคลนั้นจริง และเอกสารนั้นไม่ได้ถูกเปลี่ยนแปลงและแก้ไข โดยผู้รับเอกสารสามารถตรวจสอบความถูกต้องของลายเซ็นได้ การจะมีลายเซ็นดิจิตอลได้นั้น เราจะต้องใช้ใบรับรองอิเล็กทรอนิกส์เป็นหลัก แล้วต่อมาก็จะต้องรู้ว่ากำลังลงลายเซ็นดิจิตอลที่เอกสารประเภทไหน ถ้าเป็นไฟล์ PDF เรามักจะใช้รูปลายเซ็นประกอบลงไปในเอกสารด้วย แต่ถ้าเป็นลงลายเซ็นดิจิตอลที่ไฟล์ XML เราก็ไม่จำเป็นต้องใช้รูปลายเซ็น เป็นต้น

วิธีการทำงานของลายเซ็นดิจิตอล

digital signature creation

รูปขั้นตอนการสร้างลายเซ็นดิจิตอลบนเอกสารอิเล็กทรอนิกส์

            จากรูปขออธิบายขั้นตอนที่การะเกดต้องการส่งเอกสารอิเล็กทรอนิกส์ (เช่น PDF, MS Word) ที่ทำการลงลายเซ็นดิจิตอลแล้ว ส่งไปให้กับพี่หมื่น ดังนี้

  1. การะเกดจะต้องไปขอใบรับรองอิเล็กทรอนิกส์ (Electronic Certification) จากผู้ให้บริการออกใบรับรอง (Certification Authority – CA) โดยในใบรับรองอิเล็กทรอนิกส์จะมีข้อมูลส่วนตัวของการะเกด และมีกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) ของการะเกด กุญแจ 2 ชนิดนี้มีไว้ใช้เข้ารหัสข้อมูล
  2. เมื่อได้ใบรับรองอิเล็กทรอนิกส์แล้ว ก็จะถึงกระบวนการลงลายเซ็นดิจิตอล ส่วนใหญ่แล้วเราจะทำเองไม่ได้ จะต้องใช้ซอฟต์แวร์ในการช่วยทำ โดยมีขั้นตอนดังนี้
    1. นำเอกสารอิเล็กทรอนิกส์ไปเข้ากระบวนการคำนวนโดยใช้ Hash Algorithm (SHA-256, SHA-512, MD5) เพื่อให้ได้ข้อมูลมา 1 ชุด เรียกว่า Hash Value
    2. นำกุญแจส่วนตัวที่ได้จากใบรับรองอิเล็กทรอนิกส์ มาเข้ารหัส Hash Value ที่ได้จากขั้นตอนที่แล้ว เพื่อให้ได้เป็นลายเซ็นดิจิตอล ซึ่งจะเป็นข้อมูล 1 ชุดที่คนแปลความหมายไม่ออก
    3. นำลายเซ็นดิจิตอลบันทึกไว้ในเอกสารอิเล็กทรอนิกส์
  3. เอกสารอิเล็กทรอนิกส์ที่ได้ลงลายเซ็นดิจิตอลก็จะพร้อมส่งต่อไปให้พี่หมื่นต่อไป
digital signature verification

รูปขั้นตอนการตรวจสอบความถูกต้องของเอกสารอิเล็กทรอนิกส์ที่ลงลายเซ็นดิจิตอล

            เมื่อพี่หมื่นได้รับเอกสารอิเล็กทรอนิกส์ที่ลงลายเซ็นดิจิตอลจากการะเกดแล้ว พี่หมื่นก็ควรจะตรวจสอบได้ว่าเอกสารนี้ได้ลงลายเซ็นและไม่ถูกแก้ไข แต่การตรวจสอบพี่หมื่นไม่สามารถทำเองได้ ต้องอาศัยซอฟต์แวร์ในการทำ โดยมีขั้นตอนดังนี้

  1. นำเอกสารอิเล็กทรอนิกส์ที่ลงลายเซ็นดิจิตอลแล้ว (Digitally signed Document) แยกออกเป็น 2 ส่วนคือ ลายเซ็นดิจิตอล และเอกสารอิเล็กทรอนิกส์ต้นฉบับ
  2. นำลายเซ็นดิจิตอลไปถอดรหัสด้วยกุญแจสาธารณะของการะเกด ซึ่งจะได้ออกมาเป็น Hash Value
  3. นำเอกสารอิเล็กทรอนิกส์ไปเข้ากระบวนการคำนวนโดยใช้ Hash Algorithm (SHA-256, SHA-512, MD5) เพื่อให้ได้ Hash Value
  4. นำ Hash Value จากขั้นตอนที่ 2 และ 3 มาเปรียบเทียบกัน ถ้าตรงกันแสดงว่าเอกสารนี้ลงลายเซ็นถูกต้องและไม่ถูกแก้ไขหลังจากลงลายเซ็น
e-tax invoice

รูปตัวอย่างใบกำกับภาษีที่ลงลายเซ็นดิจิตอลถูกต้องและไม่ถูกแก้ไขข้อมูล

invalid signature

รูปตัวอย่างใบกำกับภาษีที่ลงลายเซ็นดิจิตอลถูกต้องแล้วเอกสารมีการแก้ไขข้อมูลหลังจากลงลายเซ็น

คุณสมบัติของกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) คือ

  1. นำข้อมูลเข้ารหัสด้วยกุญแจส่วนตัว จะต้องใช้กุญแจสาธารณะในการถอดรหัสข้อมูล เพื่อเป็นการยืนยันว่า ข้อมูลนี้ส่งมาจากผู้ส่งจริง เช่น การะเกดเข้ารหัสข้อมูลด้วยกุญแจส่วนตัวของการะเกด เมื่อส่งข้อมูลให้พี่หมื่น ถ้าพี่หมื่นใช้กุญแจสาธารณะของการะเกดแล้วอ่านข้อมูลได้แสดงว่าถูกต้อง แต่ถ้าใช้กุญแจสาธารณะของแม่หญิงจันทร์วาดมาถอด ก็จะได้ข้อมูลที่อ่านไม่ออก หรือไม่ถูกต้อง
  2. นำข้อมูลเข้ารหัสด้วยกุญแจสาธารณะ จะต้องใช้กุญแจส่วนตัวในการถอดรหัสข้อมูล เพื่อต้องการให้ผู้รับสามารถถอดรหัสข้อมูลได้เท่านั้น ผู้อื่นได้ข้อมูลไปก็จะไม่สามารถถอดรหัสได้ เช่น การะเกดเข้ารหัสข้อมูลด้วยกุญแจสาธารณะของพี่หมื่น ข้อมูลนี้จะถูกถอดรหัสได้เฉพาะพี่หมื่นเท่านั้น โดยการใช้กุญแจส่วนตัวของพี่หมื่นในการถอด ถ้าแม่หญิงจันทร์วาดได้ข้อมูลนี้ไปก็จะถอดรหัสข้อมูลที่ถูกต้องไม่ได้ เพราะแม่หญิงจันทร์วาดไม่มีกุญแจส่วนตัวของพี่หมื่น

ดังนั้น กุญแจส่วนตัว(Private Key) จะต้องเก็บรักษาไว้เป็นอย่างดี

            โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) เป็นเทคโนโลยีที่อาศัยระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography) ที่ประกอบด้วยกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) ซึ่งโครงสร้างดังกล่าวใช้ในการพิสูจน์ตัวจริง (Authentication) รวมทั้งการรักษาความลับของข้อมูล (Data Confidentiality) ความครบถ้วนของข้อมูล (Data Integrity) และการห้ามปฏิเสธความรับผิด (Non-repudiation)

            โครงสร้างพื้นฐานกุญแจสาธารณะประกอบด้วยผู้ให้บริการออกใบรับรอง (Certification Authority – CA) เจ้าหน้าที่รับลงทะเบียน (Registration Authority – RA) ระบบบริการไดเรกทอรี (Directory service) และผู้ขอใช้บริการ (Subscriber)

            ใบรับรองอิเล็กทรอนิกส์ คือ ข้อมูลอิเล็กทรอนิกส์หรือการบันทึกอื่นใด ซึ่งยืนยันความเชื่อมโยงระหว่างเจ้าของลายเซ็นดิจิตอล (Digital Signature) กับข้อมูลสำหรับใช้สร้าง 
ลายเซ็นดิจิตอล ที่ออกโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority – CA) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกแห่งอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองจะทำการรับรองข้อมูลต่าง ๆ ซึ่งรวมถึงกุญแจสาธารณะที่ปรากฏในใบรับรองอิเล็กทรอนิกส์ว่าเป็นของบุคคลนั้นจริง โดยอาศัยเทคโนโลยีความปลอดภัยของข้อมูล ที่เรียกว่า เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI)

electronic certificate

รูปตัวอย่างใบรับรองอิเล็กทรอนิกส์ที่ออกโดย Thai Digital ID

การใช้ใบรับรองอิเล็กทรอนิกส์มาทำลายเซ็นดิจิตอล มีประโยชน์ดังนี้

  1. ความลับของข้อมูล (Data Confidentiality) เพื่อป้องกันไม่ให้ผู้อื่นที่มิได้รับอนุญาตหรือไม่มีสิทธิมาอ่านข้อมูลอิเล็กทรอนิกส์
  2. ความครบถ้วนของข้อมูล (Data Integrity) สามารถตรวจสอบได้ว่า ข้อมูลที่ได้รับมีความถูกต้องครบถ้วน และไม่ถูกเปลี่ยนแปลงแก้ไข
  3. การพิสูจน์ตัวจริง (Authentication) เป็นการยืนยันตัวบุคคลผู้ส่งข้อมูลอิเล็กทรอนิกส์
  4. การห้ามปฏิเสธความรับผิด (Non-repudiation) เป็นการป้องกันไม่ให้บุคคลผู้ส่งปฏิเสธว่าตนไม่ได้ส่งข้อมูลอิเล็กทรอนิกส์

            ระบบการจัดทำและนำส่งข้อมูลใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ (e-Tax Invoice & e-Receipt) มีความจำเป็นต้องใช้งานร่วมกับ ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) เพื่อให้ผู้ใช้งานเกิดความมั่นใจปลอดภัยตามมาตรฐานสากล ดังนั้น ผู้ประกอบการจึงต้องจัดหาใบรับรองอิเล็กทรอนิกส์เพื่อใช้ในการลงลายเซ็นดิจิตอล (Digital Signature) ที่ข้อมูลใบกำกับภาษีอิเล็กทรอนิกส์หรือใบรับอิเล็กทรอนิกส์ รวมทั้งทำรายการต่าง ๆ เพื่อความมั่นใจในการทำธุรกรรมอิเล็กทรอนิกส์ซึ่งเป็นการยืนยันตัวตนและรับรองความถูกต้องของข้อมูล

ข้อกำหนดเกี่ยวกับใบรับรองอิเล็กทรอนิกส์

  1. ผู้ประกอบการต้องขอใบรับรองอิเล็กทรอนิกส์สำหรับนิติบุคคล (Enterprise Certificate) ตามมาตรฐาน PKCS#11 (Public key Cryptography Standards#11) จากผู้ให้บริการออกใบรับรองที่ได้มาตรฐาน และกรมสรรพากรเห็นชอบ
  2. ใบรับรองอิเล็กทรอนิกส์ ต้องเข้าชุดกับคู่กุญแจ (Key Pair) ซึ่งประกอบด้วยกุญแจส่วนตัว (Private Key) และกุญแจสาธารณะ (Public Key) ที่ถูกสร้างและจัดเก็บในอุปกรณ์ เพื่อใช้ในกระบวนการสร้างลายเซ็นดิจิตอล (Digital Signature) ทั้งนี้ อุปกรณ์จัดเก็บคู่กุญแจและใบรับรองอิเล็กทรอนิกส์ ควรมีมาตรฐานความปลอดภัย FIPS140-2 ระดับ 3 ขึ้นไป

ข้อแนะนำ : ใบรับรองอิเล็กทรอนิกส์มีอายุการใช้งาน เมื่อใกล้หมดอายุผู้เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์ต้องดำเนินการจัดหาใบรับรองอิเล็กทรอนิกส์ทดแทนเพื่อดำเนินการจัดทำเอกสารอิเล็กทรอนิกส์ได้อย่างต่อเนื่อง

กรมสรรพากรกำหนดให้ใช้ใบรับรองอิเล็กทรอนิกส์ในการลงลายเซ็นดิจิตอล (Digital Signature) ในขั้นตอนต่าง ๆ ดังนี้

  1. การยื่นคำขอตามแบบ บ.อ.01 ผ่านเว็บไซต์กรมสรรพากร
  2. การเปลี่ยนแปลงข้อมูล การขอรหัสผ่านใหม่ ตามแบบ บ.อ.09 ผ่านเว็บไซต์กรมสรรพากร
  3. การลงลายเซ็นดิจิตอลที่ใบกำกับภาษีอิเล็กทรอนิกส์และใบรับอิเล็กทรอนิกส์ 

ขอบคุณข้อมูลจาก

http://www.nrca.go.th

https://en.wikipedia.org/wiki/Electronic_signature

ใส่ความเห็น

Close Menu