حماية خصوصية الفرد الإلكترونية
حماية خصوصية الفرد الإلكترونية
يسمح ابتكار تعموي cryptographic، يعرف باسم التوقيع الأعمى
blind signature، للأرقام بأن تُستخدم كنقود إلكترونية أو أن تحل
محل البطاقة الشخصية (المدنية). ويأمل المؤلف بأن يؤدي هذا
إلى تمكين الفرد من استعادة سيطرته على معلوماته الشخصية.
<D .شوم>
في كل مرة تُجري فيها مكالمة هاتفية، أو تشتري بضاعة بوساطة بطاقة ائتمان (تسليف) مصرفية credit card، أو تشترك في مجلة، أو تدفع ضرائبك، فإن هذه المعلومات تذهب جميعا إلى قاعدة بيانات (معطيات) data base ما. فضلا عن ذلك، فمن الممكن ربط جميع سجلات المعلومات هذه لجمع ملف عن حياتك الشخصية ـ ليس فقط عن تاريخك الطبي أو المالي ولكن أيضا حول ما تشتريه وإلى أين تسافر ومع من تتصل. ولعل من شبه المستحيل إدراك حجم ملفات المعلومات التي تحتفظ بها مؤسسات متنوعة عنك، وبدرجة أقل من ذلك ضمان دقة هذه الملفات أو تحديد من يحق له الاطلاع عليها.
تربط المؤسساتُ سجلات المعلومات المتاحة من مصادر مختلفة من أجل حماية مصالحها. فمن المؤكد مثلا، أن من مصلحة مصرف ينظر في طلب قرض معين لشخص يدعى <جون دو> أن يعرف أن هذا الشخص قد استنكف عن سداد أربعة قروض مماثلة في العامين الأخيرين. إن حصول المصرف على هذه المعلومة يحمي أيضا زبائنه الذين يتحملون عبء تكاليف قروضه السيئة. إضافة إلى ذلك، تمكِّن سجلات المعلومات هذه سيدة تدعى <جين رو> مثلا، تتمتع بسجل مصرفي ممتاز، من فتح حساب دائن لدى محل تجاري لم يسبق أن سمع عنها أو عرفها سابقا.
وبالمقابل، فإن وقوع هذه المعلومات في أيد غريبة يسبب عدم توفير الحماية للمؤسسات التجارية وعدم تأديتها إلى خدمة أفضل لزبائنها. يتصرف اللصوص عادة ببطاقات الائتمان التي يسرقونها بشكل يسيء إلى سجلات ضحاياهم المصرفية الجيدة. كذلك يحصل القتلة على عناوين ضحاياهم بالرجوع إلى السجلات المحفوظة لدى الدوائر الحكومية. وعلى صعيد آخر قام مركز العائدات الداخلية الأمريكي ذات مرة بانتقاء بعض دافعي الضرائب للتحقق من صحة تصريحاتهم، وذلك بالاعتماد على تقديرات لدخلهم تبعا لمعلومات جمعتها شركات تستخدم البريد لتسويق بضائعها.
إن الكم المتزايد من المعلومات التي تجمعها مؤسسات مختلفة حول أحد الأفراد، يمكن ربط بعضه ببعض لأنه يستخدم جميعا المفتاح key نفسه ـ رقم الضمان الاجتماعي في الولايات المتحدة ـ لتعرُّف الفرد المذكور. إن هذا التوجه في جمع المعلومات المبني على تعرف ذاتية الفرد يؤدي إلى مقايضة الحريات الفردية بأمن وسلامة المؤسسات. وكلما زادت المعلومات التي تمتلكها المؤسسات (سواء كان ذلك بهدف حماية نفسها من الاحتيال أو لمجرد رغبتها في دفع جهود التسويق) تراجعت قدرة الأفراد في الحفاظ على خصوصياتهم والتحكم فيها.
خلال الأعوام الثمانية الماضية قمت مع زملائي في مركز أمستردام للرياضيات وعلم الحاسوب (CWI) بتطوير توجه جديد لاستقصاء المعلومات مبني على التطورات الأساسية النظرية والتطبيقية التي حصلت في مجال التعمية encryption، التي تجعل المقايضة السالفة الذكر غير ضرورية. إن المبادلات (المعاملات) المالية التي تستخدم هذه التقنيات تتجنب إمكانية الاحتيال في حين تحافظ على خصوصية الأفراد.
وفي النظام الذي طورناه، يقوم الأفراد في الواقع بتقديم اسم وهميpseudonym مختلف (يمكن التحقق منه بكل تأكيد) إلى كل مؤسسة يمارسون أعمالا معها، مما يجعل إعداد ملفات عنهم عملية مستحيلة. فهم يستطيعون دفع ثمن مشترياتهم بوساطة نقود إلكترونية electronic cash لا يمكن تتبع مصدرها، أو تقديم اعتمادات رقمية digital credentials يمكن أن تستخدم كبطاقة تأهيل مصرفية banking passbook، أو تقديم رخصة قيادة، أو بطاقة تسجيل انتخابية دون كشف هوياتهم. وفي الوقت نفسه، تحقق المؤسسات عبر هذا النظام مزيدا من الحماية وتكلفة أقل لحفظ سجلاتها.
إن الاكتشافات التي تمت حديثا في مجال الإلكترونيات المكروية تجعل هذه الفكرة واقعا ملموسا من خلال توفير «وسائط تمثيل» شخصية personalrepresentatives للأفراد تخزن وتدير أسماءهم الوهمية واعتماداتهم ونقودهم. لقد تم دمج معالجات مكروية تنفذ خوارزميات algorithms مناسبة في حواسيب جيب من مقاس وسماكة بطاقة الائتمان المصرفية. وقد جُربت مثل هذه الأنظمة على نطاق ضيق، ويمكن أن يصبح استخدامها واسع الانتشار في أواسط هذا العقد.
إن نقطة الانطلاق لهذا التوجه هي التوقيع الرقمي digital signature الذي طرحه <W .ديفي> عام 1976، وكان وقتها في جامعة ستانفورد. إن باستطاعة توقيع رقمي أن يحول الرسالة الموقعة بحيث يمكن لأي شخص يقرأها أن يتأكد من هوية مرسلها. [انظر: “The Mathematics of
Bublic-Key Cryptography by Mantin E. Hellman;, Scientific American, August 1979].
تستخدم هذه التواقيع مفتاحا سريا لتوقيع الرسائل وآخر عموميا للتحقق منها أو فحصها. ولا يمكن التحقق بوساطة المفتاح العمومي سوى من رسالة تم توقيعها بوساطة المفتاح الخاص السري. فإذا أرادت <أليس> Alice مثلا إرسال رسالة موقعة إلى <بوب> Bob (إن هاتين الشخصيتين الرمزيتين هما الأكثر شعبية في قاموس علم التعمية)، فإنها تقوم بتبديل الرسالة بوساطة مفتاحها الخاص ويقوم هو باستخدام مفتاحها العمومي عند تلقي الرسالة الرقمية للتأكد من أنها هي نفسها التي أرسلت الرسالة. إن أفضل الطرق المعروفة لتوليد تواقيع رقمية مزورة تتطلب عدة سنوات حتى لو تم ذلك باستخدام حواسيب أسرع ببلايين المرات من تلك المتوافرة حاليا.
ولمعرفة كيف توفر التواقيع الرقمية مستندات غير قابلة للتزوير وخدمات عديدة أخرى، سنتعرف كيفية استخدامها كبديل إلكتروني للنقود. يقوم مصرف فيرست ديجيتال، مثلا، بإصدار أوراق نقدية إلكترونية: عبارة عن رسائل (أوراق) رقمية، موقّعة بوساطة مفتاح (رمز) خاص. يمكن أن تساوي جميع الرسائل الحاملة للمفتاح نفسه دولارا واحدا، على سبيل المثال، وتلك التي تحمل مفتاحا مختلفا خمسة دولارات وهكذا دواليك. ثم تُصدَّق (تؤصل) authenticated الأوراق النقدية هذه بوساطة مفتاح عمومي مناسب يحتفظ به المصرف كمرجع مدون. ويقوم المصرف نفسه أيضا بتعميم مفتاح لتصديق المستندات الإلكترونية التي يرسلها إلى زبائنه.
 |
| يتدفق المال الرقمي في مسار غير قابل للمتابعة من المصرف عبر المستهلك والتاجر قبل العودة إلى المصرف من جديد. وباستخدام مندوب حاسوبي صغير، يقوم المستهلك (صاحب المندوب) باختيار رقم عشوائي (قيد رقمي) لاستخدامه كورقة نقدية رقمية، ويرسله عبر الشبكة إلى المصرف الذي يسحب قيمة الورقة من الحساب المناسب ويوقع القيد توقيعا رقميا غير قابل للتزوير يدل على قيمته المالية. وبمجرد تقديم القيد للدفع، يودع المصرف قيمته في حساب التاجر. تحول تقنية التواقيع المعماة دون رؤية المصرف لرقم القيد، وبذلك لن يكون المصرف قادرا على ربط السحوبات الجارية من أحد الحسابات بالودائع التي تضاف إلى حساب آخر. |
فمن أجل سحب دولار واحد من المصرف مثلا تقوم أليس بتوليد رقم قيد يمثل الورقة النقدية (كل قيد يحمل رقما مختلفا كما هي الحال بالنسبة للأرقام التسلسلية على الأوراق النقدية). تختار أليس رقما عشوائيا مؤلفا من 100 خانة عشرية لكي تجعل احتمال اختيار الرقم نفسه من قبل أي شخص آخر احتمالا ضعيفا. وتوقِّعُ أليس الرقم المختار باستخدام المفتاح الخاص المطابق «لاسمها الرقمي الوهمي»، وهو عمليا المفتاح العمومي الذي سبق لها واعتمدته من أجل حسابها في المصرف. يستقبل المصرف الرقم الموقع (عن طريق شبكة تراسل بيانات) ويتحقق من توقيع أليس ويزيله عن رقم قيدها الأصلي الذي اختارته ثم يُوقِّعُ رقم القيد باستخدام توقيعه (مفتاحه) المتناسب مع قيمة دولار واحد، ويسحب هذه القيمة من حساب أليس. ومن ثم يعيد القيد الموقع رقميا مع إيصالٍ موقعٍ رقميا أيضا من أجل سجلات أليس الخاصة. وهكذا يصبح القيد الرقمي الذي يعيده المصرف إلى أليس بمثابة ورقة نقدية قيمتها دولار واحد. تتم عملية توليد وتوقيع وإرسال أرقام قيود تحاكي الأوراق النقدية بوساطة بطاقة أليس الحاسوبية، لكن ميزة وقوة بروتوكولات التعمية، بالمقابل، هي كونها أمينة بغض النظر عن الوسيط الفيزيائي المستخدم، فيمكن أن تتم العمليات نفسها وكذلك المبادلات نفسها باستخدام ورقة وقلم فقط.
عندما ترغب أليس في دفع ثمن مشتريات في محل تجاري يملكه بوب، تقوم «بوصل» بطاقتها الحاسوبية الذكية بقارئ بطاقات card reader المتجر وتحويل أحد أرقام القيود الموقعة التي أعادها المصرف إليها. بعد التحقق من توقيع المصرف الرقمي في قارئ البطاقات، يقوم بوب بتحويل رقم القيد هذا إلى المصرف بالطريقة نفسها التي يتحقق فيها التاجر اليوم أثناء التعامل ببطاقات الائتمان. يعمل المصرف لدى تلقيه القيد على التحقق من توقيعه مجددا ويفحص القيد مقارنة بقائمة القيود الممثلة للأوراق النقدية التي أنفقتها أليس، ثم يودع قيمة القيد في حساب بوب. بعد ذلك يرسل المصرف إلى بوب إشعارا بإيداع القيمة في حسابه، فيقوم بوب بتسليم السلع المشتراة إلى أليس مع إيصال بتوقيعه الرقمي الخاص وبذلك تتم عملية الشراء.
إن هذا النظام يوفر الأمن للأطراف الثلاثة. فالتواقيع الرقمية في كل مرحلة تمنع أيًا منهم من محاولة غش أي من الطرفين الآخرين. فالمحل التجاري لا يمكنه إنكار تلقي الدفعة المالية، والمصرف لا يستطيع إنكار أنه أصدر القيود وأنه قبلها من المحل التجاري لإيداعها في حسابه، والزبونة لا تستطيع إنكار سحب القيود من حسابها ولا استخدام القيود نفسها للدفع مرتين في حال قيامها بذلك.
كيف يتم توليد أسماء وهمية مأمونة
 |
إن هذا النظام مأمون، لكنه لا يضمن خصوصية الفرد. إذا قام المصرف بمتابعة مسار أرقام القيود، فإن باستطاعته ربط إيداعات المحلات التجارية بالسحوبات المقابلة لها وتحديد أين ومتى قامت أليس (أو أي صاحب حساب آخر) بصرف مالها. إن الملف الناتج في هذه الحالة أكثر تدخلا في خصوصياتها من جميع الملفات التي يمكن تجميعها اليوم. فضلا عن ذلك، فإن السجلات المبنية على التواقيع الرقمية هي أكثر عرضة للتطفل المسيء من الملفات التقليدية. فهي ليست فقط ذاتية التوثيق self-authenticating (حتى لو تم نسخها، فإن بالإمكان التحقق من المعلومات التي تحويها من قِبل أيٍّ كان)، ولكنها تمكِّن أيضا أي شخص يملك معلومة ذات طابع معين من إثبات وجودها من دون كشف المعلومة أو تحديد مصدرها؛ إذ يستطيع شخص ما أن يثبت مثلا أن بوب قد اتصل بأليس في اثنتي عشرة مناسبة مختلفة من دون أن يضطر لكشف توقيت أو مكان إجراء أي من هذه المكالمات.
لقد قمت بتطوير تواقيع تؤمن خصوصية الفرد تدعى التواقيع المعماة، وتشكل امتدادا للتواقيع الرقمية. فقبل إرسال رقم القيد الممثل للورقة النقدية إلى المصرف لتوقيعه، تقوم أليس بضرب هذا الرقم بعامل عشوائي random factor.وبالتالي لن يعرف المصدر أي شيء عن ماهية ما يوقعه سوى أنه يحمل توقيع أليس الرقمي. بعد استلام رقم القيد المعمّى الذي وقعه المصرف، تقوم أليس بتقسيم الرقم على عامل التعمية العشوائي وتستخدم القيد الرقمي كالسابق.
إن ملاحقة مسار أرقام القيود المعماة غير ممكنة إطلاقا. ونعني بذلك أنه حتى لو اتفق المصرف والمحل التجاري فليس باستطاعتهما تحديد من الذي أنفق وأي قيود استخدم. ولأن المصرف لا يعرف عامل التعمية الذي يستخدمه الزبون فهو غير قادر بأي شكل على الربط بين أرقام القيود التي يقوم بوب بإيداعها والسحوبات المصرفية التي تجريها أليس. وفي حين يعتمد الأمن الذي توفره التواقيع الرقمية على صعوبة الحسابات الخاصة بكشف هذه الأرقام، فإن سرية القيود المعماة لا تحدها سوى إمكانية التنبؤ بأرقام أليس العشوائية (عوامل التعمية).
إن الأوراق النقدية الإلكترونية المعماة تحمي خصوصية الفرد، إلا أن الورقة النقدية، ببساطة، هي رقم قابل للنسخ وتكرار الاستخدام بسهولة. ومن أجل منع استخدام الورقة نفسها للدفع مرتين، ينبغي مقارنتها بقائمة مركزية من الأوراق النقدية لحظة صرفها. إن عملية التحقق هذه يمكن قبولها عندما تكون كمية كبيرة من الأموال عرضة للخطر، لكنها تصبح بالغة الكلفة إذا كان الأمر يتعلق بشراء صحيفة مثلا. لحل هذه المسألة قمت مع زميليّ <A .فيات> و<M.ناور> باقتراح طريقة، لإصدار أوراق نقدية معماة، تتطلب من مستخدمها (صارفها) الإجابة عن استفسار عددي عشوائي من أجل كل ورقة نقدية يصرفها. إن صرف مثل هذه الورقة مرة واحدة لا يعني أنه لا يمكن تتبعها، أما صرفها مرتين، فيكشف معلومات كافية لملاحقة وكشف حساب الشخص المخالف، بل ويمكن أن يؤدي في الحقيقة إلى اعتراف (موقع رقميا) يتعذر حتى على المصرف تزويره.
إن البطاقات القادرة على تأمين دفعات مالية مغفلة الاسم (سرية) أصبحت موجودة. وبالفعل فإن شركة ديجيكاش، قامت بتركيب تجهيزات لبناءين في أمستردام تسمح لآلات النسخ وأجهزة الفاكس وصناديق المحاسبة وحتى أجهزة بيع القهوة الآلية بتقبل الأوراق النقدية الرقمية. وقمنا، أيضا، بعرض نظام تحصيل تعرفة استخدام الطرقات السريعة، تُزود السيارات من خلاله ببطاقات تستجيب لطلبات دفع راديوية حتى عندما تكون مندفعة بسرعة في هذه الطرقات.
لقد أطلقنا (أنا وزملائي) على الحاسوب الذي ينفذ مثل هذه المبادلات التعموية اسم «المندوب» representative. ويستطيع أي شخص استخدام حواسيب مختلفة «كمندوبين» له تبعا لما يلائمه: يستطيع بوب شراء برامجياتsoftware (تُنقَل إلى حاسوبه بوساطة شبكة تراسل بيانات) باستخدام حاسوبه المنزلي لتوليد التواقيع الرقمية المطلوبة، في حين يستخدم هو نفسه «حاسوبا كفّيّا» palm-top computer للتسوق، ويكتفي ببطاقة ائتمان ذكية على الشاطيء لشراء شراب أو فطيرة. يمكن أن «تُمثِّل» جميع هذه الآلات بوب أو أن تكون «مندوبته» في مبادلة مادام أي من التواقيع الرقمية التي تولدها يقع تحت سيطرته.
وبالفعل تستطيع هذه الحواسيب أن تقوم بدورها كمندوبة لأصحابها في أي نوع مفترض من المبادلات. ويستطيع بوب الوثوق بمندوبه، وكذلك أليس بمندوبها، لأنهما اختارا هذه الآلة ويمكنهما إعادة برمجتها وفق رغبتهما (أو حتى إعادة بنائها من لاشيء). أما المؤسسات فحمايتها مؤمنة بفضل بروتوكولات التعمية وبذلك فهي ليست مضطرة لوضع ثقتها بهؤلاء «المندوبين».
إن «المندوب» النموذجي هو حاسوب ذكي بحجم بطاقة الائتمان المعروفة يحتوي على ذاكرة وعلى معالج مكروي. كما يضم لوحة مفاتيح وشاشة إظهار خاصه به وبذلك يستطيع صاحبه التحكم في البيانات المخزنة والمتبادلة. فلو أن المتجر هو الذي زود الزبون بلوحة المفاتيح وشاشة الإظهار لتمكَّن (صاحب المتجر) من اعتراض كلمات السر وهي في طريقها إلى البطاقة الحاسوبية أو من إظهار سعر ما للزبون وسعر آخر في البطاقة. ومن أجل استثمار أمثل، يُفترض في البطاقة الحاسوبية أن تتصل بالطرفيات terminals الموجودة في المصارف والمتاجر بوساطة خطوط اتصال قصيرة المدى مثل المرسلات ـ المستقبلات transceivers تحت الحمراء، وبذلك لا تفارق البطاقة يد صاحبها أبدا.
عندما يُطلب إلى «المندوب» الحاسوبي القيام بعملية دفع، يقوم بعرض ملخص لتفاصيل العملية المالية وينتظر الموافقة عليها قبل الشروع في صرفها. كذلك فإن على «المندوب» الإصرار من أجل الحصول على إيصالات إلكترونية من المؤسسات في كل مرحلة من المبادلات لتدعيم موقف صاحبه في حالات النزاع. إن مطالبة «المندوب» من مستخدمه، إدخال كلمة سر شبيهة بأرقام التعريف الشخصي (personal identifying numbers (PIN المستعملة اليوم في البطاقات المصرفية، تجعله بمنأى عن أذى اللصوص. وبالفعل، سيعمل معظم الناس على حفظ نسخ مساندة (احتياطية) لمفاتيحهم وأوراقهم النقدية الإلكترونية وللبيانات الأخرى، وذلك لاستعادة أموالهم عند فقدان أو سرقة «مندوبهم».
يؤمن المندوبون الشخصيون حماية ممتازة لخصوصية الأفراد، غير أن المؤسسات قد تفضل إيجاد آلية أخرى تحمي مصالحها على أفضل صورة ممكنة. وكمثال على ذلك، قد يرغب مصرف في تفادي الوقوع في مطب دفع الأوراق النقدية مرتين بدلا من اكتشاف الخطأ بعد فوات الأوان. وقد ترغب بعض المؤسسات أيضا في ضمان أن تكون بعض التواقيع الرقمية مبعثرة وغير قابلة للنسخ (بدلا من كشف مخالفة النسخ في وقت لاحق).
وقد بدأت بعض المؤسسات فعلا بإصدار بطاقات منيعة ضد العبث (هي في الحقيقة مندوباتها) مبرمجة لمنع أي سلوك غير مرغوب فيه.
لقد قمنا بتطوير نظام يرضي الطرفين: «المراقب» observer ـ وهو شيبة حاسوبية مقاومة للعبث ـ تصدره جهة تثق بها المؤسسات، ويؤدي «المراقب» هنا دور كاتب العدل في التصديق على «سلوك المندوب» المبيتَّ فيه [انظر الشكل في هذه الصفحة]. لقد انتجت شركة فيليبس، حديثا، شيبة مقاومة للعبث تملك قدرة حاسوبية كافية لتوليد التواقيع الرقمية والتحقق منها. ومنذ ذلك الحين، أعلنت شركات سيمنز، وتومسون CSF، وموتورولا عن خطط لتصنيع دارات مماثلة يمكن أن تؤدي أي منها وظيفة «المراقب».
تكمن الفكرة الرئيسية لتصميم بروتوكول «المراقب» في عدم «الثقة المتبادلة» بينه وبين «المندوب» المرافق له. وبالفعل فإن على المندوب أن يكون قادرا على التحكم في جميع البيانات التي تمر قاصدة المراقب أو مغادرة إياه، وإلا فإن الشيبة المقاومة للعبث ستتمكن من تسريب المعلومات إلى المحيط الخارجي.
عندما تحصل أليس في البداية على «مراقب» ستودعه في «مندوبها»، أي في بطاقتها الإلكترونية الذكية، ثم تأخذ البطاقة إلى هيئة مخولة بالتصديق عليها. يقوم المراقب عندها بتوليد دفعة من أزواج المفاتيح العمومية والخاصة انطلاقا من أرقام عشوائية صادرة عنه ومن أرقام صادرة عن البطاقة. ولا يكشف الرقيب أرقامه لكنه يكشف معلومات كافية عنها بحيث تتمكن البطاقة في وقت لاحق من التأكد إن كانت هذه الأرقام قد استخدمت في الواقع لتوليد المفاتيح الناتجة. كذلك تقوم البطاقة بإنتاج بيانات عشوائية، يستخدمها المراقب لتعمية جميع المفاتيح.
ثم يقوم المراقب بتعمية المفاتيح العمومية، ويوقعها بوساطة مفتاح خاص مبيّت فيه ويقدمها إلى البطاقة. تتحقق البطاقة من التعمية ومن التوقيع وتفحص المفاتيح للتأكد من أن توليدها قد تم بشكل سليم، ثم تُسلِّم المفاتيح المعماة والموقعة إلى هيئة التصديق التي تتعرف بدورها توقيعَ المراقب المبيت وتحذفه ثم توقع المفاتيح المعماة بوساطة مفتاحها الذاتي. تعيد هيئة التصديق هذه المفاتيح التي تحمل توقيعها إلى البطاقة، فتستخدمها هذه كاسم وهمي من أجل المبادلات المستقبلية. تستطيع أليس بعد هذه المرحلة، إجراء سحوباتها المالية بوساطة البطاقة وفق الحاجة.
يستطيع المراقب بسهولة منع (عوضا عن كشف) صرف الأوراق النقدية الإلكترونية مرتين. فعندما تسحب أليس المال من مصرفها، يلاحظ المراقب عملية السحب هذه ويتعرف بذلك الأوراق النقدية التي استلمتها. وعندما تقوم أليس بتسليم ورقة من أوراق المصرف إلى مخزن بوب، تقدم أيضا اسما وهميا مُوقَّعا من هيئة التصديق. بعدها يوقِّع المراقب تصريحا، باستخدام مفتاح سري متناسب مع الاسم الوهمي المصدّق، يشهد بأن الورقة النقدية ستصرف مرة واحدة، أي في المكان والزمان المحددين. تتحقق بطاقة أليس من التصريح الموقع للتأكد من أن المراقب لم يسرب أي معلومات ثم تعيده إلى بوب. يبرمَج المراقب لتوقيع تصريح واحد من هذا النوع لأي ورقة نقدية معينة.
لا يتطلب الكثير من المبادلات تحويل الأموال فقط، بل تقديم بعض المستندات ـ وهي معلومات عن علاقة فرد ما بإحدى المؤسسات. وفي عالم اليوم القائم على معرفة هوية (ذاتية) الأفراد، تكون جميع المستندات المتعلقة بالفرد قابلة للربط والتجميع. فإذا ما قررت أليس بيع بوب بوليصة تأمين مثلا، فستتمكن من استخدام اسمه وتاريخ ميلاده للولوج إلى معلومات عن وضعه كدائن وعن ملفاته الصحية وملف سيارته وملفه الإجرامي إن وجد.
 |
| تضع المستندات الرقمية المعلومات الشخصية تحت سيطرة «مندوب» الفرد ومراقبه. عندما تنتهي أليس (إحدى الشخصيتين الفرضيتين المستخدمتين من قبل كاتب المقال) من دراستها الجامعية الأولى تمنحها الجامعة شهادة موقعة رقميا. في وقت لاحق يستطيع مراقبها استخدام معرفته بشهادتها للإجابة عن أسئلة حول مؤهلاتها من دون كشف أي معلومات إضافية عنها غير المعلومات الضرورية. |
أما باستخدام «المندوب» فإن بوب يستطيع بالمقابل إقامة علاقات مع مؤسسات مختلفة مستعملا أسماء وهمية رقمية مختلفة. وتستطيع هذه المؤسسات تعرُّف بوب من خلال اسمه الوهمي من دون التباس، لكن سجلاتها عنه تبقى غير قابلة للربط أو التجميع.
ينبغي أن يؤدي المستند الرقمي الوظيفة نفسها للمستند الورقي لكي يكون قابلا للاستخدام كما هي الحال في رخصة القيادة أو تقرير مصرفي. وعلى هذا المستند أن يقنع أيا كان بأن صاحبه (مالكه) على صلة معينة بهيئة تصدر المستندات. فمعلومات كالاسم والصورة والعنوان والوصف الفيزيائي ورقم الترميز الموجودة على رخصة قيادة مثلا تفيد في ربط الرخصة بشخص معين وبسجل خاص به في قاعدة بيانات. ومثلما يستطيع المصرف إصدار نقود إلكترونية غير قابلة للتزوير أو التتبع، كذلك تستطيع جامعة ما إصدار شهادات رقمية موقعة، ويستطيع مكتب مراقبة مالية إصدار تواقيع تشير إلى إمكانية شخص ما على سداد دين معين.
عندما يتخرج بوب في الجامعة بمرتبة الشرف في مجال آداب القرون الوسطى مثلا، يعطي مدير التسجيل في الجامعة «لمندوب» بوب رسالة موقعة رقميا تؤكد مستنداته الأكاديمية. لكن بوب لا يظهر هذه الرسالة للجنة القبول عندما يتقدم بطلب تسجيل لمرحلة التخصص العالي، بل يطلب مندوبه إلى «المراقب» الخاص به توقيع تصريح يفيد بأنه يحمل إجازة جامعية بدرجة الشرف، وأنه مؤهل للحصول على مساعدة مالية بالنظر إلى تحقيقه لأحد الشروط التي تفرضها الجامعة (لكن من دون تحديد الشروط). يقوم «المراقب»، الذي يكون قد تحقق وخزّن جميع مستندات بوب عند ورودها، بمراجعة ذاكرته ثم يوقع التصريح بعد التأكد من صحته.
إن المستندات الرقمية، إضافة إلى كونها تجيب حصرا عن السؤال المحدد وأنها أكثر وثوقية من المستندات الورقية، فهي في الوقت نفسه مخزنة في حاسوب وبالتالي أسهل منالا وأرخص كلفة للمؤسسات التي تصدرها. ولا يحتاج الناس بعد الآن إلى ملء استمارات طويلة ومعبرة، بل يتكفل «مندوبوهم» بإقناع المؤسسات التي يتعاملون معها بأنهم يحققون متطلباتها من دون كشف معلومات أكثر مما هو مطلوب. ولأن المستندات الرقمية لا تكشف أي معلومات غير مطلوبة، فإن الناس سيُقْبِلون على استخدامها حتى في الحالات التي يلجأون فيها ـ من دون قصد ـ إلى كشف هوياتهم، وذلك من أجل تعزيز الأمن وتقديم معلومات إلى المؤسسات أكثر فائدة من تلك التي يمكن أن تحصل عليها بأساليب أخرى.
لا يحصل الناس عادة على مستندات إيجابية (جيدة) فقط، بل من الممكن أيضا أن يحصلوا على مستندات سلبية يفضلون إخفاءها: كإدانة جنائية أو سحب رخصة أو إعلان إفلاس. وفي كثير من الحالات، يسمح الأفراد للمؤسسات بتزويدهم بمستندات سلبية مقابل الحصول على خدمة معينة. فعلى سبيل المثال، عندما تستعير أليس كتابا من مكتبة، يُوعَز إلى «مراقبها» تسجيل مستند سلبي ـ هو عبارة عن إشعار بتجاوز مدة الإعارة ـ إذا لم تقم أليس بإعادة الكتاب في الزمن المحدد.
وبمجرد تسجيل المراقب لمستند سلبي، تستطيع أي مؤسسة أن تكتشف وجوده من خلال توجيه سؤال بسيط إليه (عبر المندوب) تطلب فيه توقيع رسالة تؤكد وجود مستند سلبي أو عدم وجوده. وعلى الرغم من أن المندوب يستطيع إخفاء مضمون الرسالة الصادرة عن المراقب فإنه لن يتمكن من تزوير أي تأكيد حول وضع المستندات. وفي ظروف أخرى مماثلة يمكن للمؤسسات اعتبار عدم وجود مستند إيجابي مستنَدا سلبيا بحد ذاته. إذا وقّع بوب مثلا طلبا لتلقي دروس في التحليق الشراعي، فيمكن للمدربين أن يفترضوا أنه غير لائق طبيًا ما لم يطلعوا على مستند يثبت عكس ذلك.
ومن أجل معظم المستندات، يكون التوقيع الرقمي للمراقب كافيا لإقناع أي شخص بأصالة هذه المستندات. وفي بعض الحالات، تستطيع مؤسسة ما الإصرار على أن يقوم المراقب بتقديم برهان فعلي على وجود المستند. فقد يتمكن عدد من الأفراد (عند طلب عضوية لنادٍ رياضي مثلا) من الولوج إلى مستندات الآخرين بوساطة «مندوبيهم» المتصلين عبر خطوط اتصال مخفية (لاسلكية) مع «مندوب» يمتلك المستند المطلوب.
فضلا عن ذلك، ينبغي على المراقب أن يكون قادرا على تقديم البرهان المطلوب على الرغم من أن وسائل الدخل والخرج المخصصة له تقع تحت سيطرة المندوب الذي يحويه. عندما تذهب أليس إلى الصالة الرياضية، يقوم قارئ البطاقات المثبت عند باب الدخول بإرسال جملة من التساؤلات إلى المراقب ـ هي عبارة عن سلسلة من البتات الأحادية single-bit. يجيب المراقب عن كل من هذه التساؤلات فوريا بوساطة بتة عشوائية يتم ترميزها في البطاقة خلال عودتها إلى قارئ البطاقات. تدل سرعة استجابة المراقب على أن المستند المطلوب موجود فعلا داخل البطاقة (نظرا لأن معالجة بتة واحدة لا تسبب تأخيرا يُذكر مقارنة بالتأخير الذي يتطلبه انتقال الإشارة عبر الأسلاك). بعد تكرار هذه العمليات بضع عشرات من المرات، تبوح البطاقة للمراقب بالطريقة التي استخدمتها لتكويد الإجابات، ويوقِّع المراقب تصريحا يتضمن جملة التساؤلات والإجابات التي كان طرفا فيها. إن هذا الإجراء يقنع المؤسسة بوجود المراقب من دون أن يتيح الفرصة له لتسريب أي معلومات.
 |
| طورت شركتا توشيبا وڤيزا انترناشيونال بطاقة ائتمان حاسوبية تحتوي على معالج مكروي وذاكرة ولوحة مفاتيح ولوحة إظهار. وعلى الرغم من أن هذه البطاقة تتعرف مستخدمها خلال المبادلات المالية فإنه بالإمكان إعادة برمجة مكوناتها المادية لتصبح مندوبا شخصيا مخولا بصرف النقود الرقمية. |
تستطيع المؤسسات أيضا استصدار مستندات باتباع طرق تعتمد على التعمية وحدها عوضا عن المراقبين. وعلى الرغم من أن التوجهات الواقعية الحالية تتيح التعامل مع التساؤلات البسيطة فقط، فقد استطعْتُ بالتعاون مع <G.براسار> (من جامعة مونتريال) و < C. كريپو> (من مدرسة المعلمين العليا في فرنسا) إظهار إمكانية الإجابة عن مجموعة كيفية من الأسئلة حول أكثر المستندات تعقيدا مع المحافظة على عدم ترابط المعلومات. إن عملية إخفاء مستندات سلبية معماة يمكن كشفها باستخدام التقنيات نفسها المعتمدة لكشف صرف الأوراق النقدية الإلكترونية نفسها مرتين. ويؤدي استخدام مزيج من تقنيات التعمية هذه مع المراقبين إلى التبليغ عن الحدث بعد وقوعه حتى لو تعرضت شيبة المراقب للعبث.
إن تطوير الأمان والخصوصية للأسماء الوهمية الرقمية له ثمن محدد: هو المسؤولية. يستطيع الناس ـ مثلا، في الوقت الحاضر ـ أن يتنصلوا من مشتريات بطاقات الائتمان التي تتم عبر الهاتف أو من سحوبات الأموال من آلات التوزيع المؤتمتة (ATM). ويقع على المصرف عبء إثبات أنه لا يمكن لأحد آخر أن يكون قد قام بهذا الشراء أو هذا السحب. وإذا أصبح استخدام المندوبين الحاسوبيين واسع الانتشار، فإن أصحابهم يصيغون كلمات السر الخاصة بهم ويتحكمون بالتالي في الولوج إلى مندوبيهم، وبذلك سيكونون غير قادرين على إنكار العمليات التي يقوم بها هؤلاء المندوبون.
إن الأنظمة الحالية المقاومة للعبث، مثل آلات توزيع النقود المؤتمتة والبطاقات المرتبطة بها، تعتمد عادة على إجراءات أمان ضعيفة وغير مرنة، لأنها تُستخدم عادة من قبل أشخاص ليسوا على درجة عالية من الكفاءة أو غير مهتمين كثيرا بعامل الأمان. وإذا تركت للأشخاص إمكانية توريد مندوبيهم فباستطاعتهم برمجة المندوبين بمستويات أمان متفاوتة وفق ما يرونه مناسبًا (الذين يرغبون في وضع أملاكهم كافة بعهدة كود وحيد مؤلف من أربع خانات عشرية هم أحرار في ذلك بالطبع). قد يستخدم بوب رقم تعريفه الشخصي (PIN)الصغير (أو لا شيء على الإطلاق) للسماح بالمبادلات البسيطة، ويمكن أن يستخدم كلمة سر أطول من أجل المبادلات المهمة. ومن أجل حماية نفسه من لص قد يجبره على البوح بكلمة سره، بوساطة فوهة مسدس مصوب نحوه، فقد يستخدم أيضا كودا يدل على الإكراه، يجعل البطاقة توحي بأنها تعمل بشكل طبيعي، في حين أنها تخفي الممتلكات والمستندات الأكثر أهمية أو ربما تبلغ السلطات بحدوث سرقة.
يستطيع المندوب الشخصي تعرف صاحبه أيضا بطرق يعتبرها أكثر الناس تطفلا على خصوصياتهم، في نظام قائم على التعريف بالذات، كحاسوب مفكرةnotebook يستطيع التحقق مثلا من صوت صاحبه أو حتى من بصمات أصابعه. كذلك فإن ماسح الصورة scanner، المكلف بمراقبة خروج الناس من مخزن وتعرف بصمات إبهامهم من أجل إجراء سحب من مدخراتهم يتناسب مع قيمة مشترياتهم، يبقى جهازا غير واقعي في أحسن الأحوال. على نقيض ذلك، فإن بطاقة ائتمان ذكية تتعرَّفُ ملمسَ صاحبها وتصدِّر أوراق نقد إلكترونية تبقى مُغْفَلة وأمينة أكثر من النقود. كذلك فإن تضمين جزء رئيسي من تقانات التعرف هذه في تصميم مراقب غير قابل للعبث يجعل البطاقة التي تحمله صالحة للاستخدام حتى في التطبيقات التي تتطلب أمانا كبيرا.
تنتشر المبادلات المالية المحوسبة بجميع أنواعها أكثر فأكثر. فقد طورت بلدان عدة، أو هي بصدد اختبار، بطاقات مزودة بشيبات إلكترونية تحل مكان الأوراق النقدية. ففي الدانمارك، أعلنت مجموعة من المصارف ومن شركات الخدمات والنقل عن إصدار بطاقة تحل مكان العملة المعدنية والأوراق النقدية المحدودة القيمة؛ وفي فرنسا، طرحت مؤسسات الاتصالات بطاقات ذكية لدفع المكالمات الهاتفية. وقد تقدمت حكومة سنغافورة من جهتها بطلب عروض من أجل نظام يمكنه الاتصال بالسيارات وتحميل بطاقاتها الذكية كلفة استخدام طرق محددة، عند مرورها بنقاط مختلفة على هذا الطريق. (على عكس نظم تعرُّف العربات البسيطة التي تستخدم في الولايات المتحدة الأمريكية وغيرها). كما تقوم محطات البث السلكي أو عبر السواتل (الأقمار الصنعية) بتجارب على بطاقات ذكية تسمح بالدفع ـ عند ـ المشاهدة التلفزيونية. تُبنى كل هذه النظم مع ذلك على بطاقات تعرِّف عن نفسها لدى إجراء أي مبادلة أو عملية مالية.
إذا استمر التوجه نحو استخدام بطاقات ذكية مصممة على أساس التعريف عن نفسها، فإن خصوصية الفرد سوف تستمر بالتراجع بشكل متزايد. إن أي جانب في هذا النزاع القائم بين أمن المؤسسات وحرية الفرد لن ينتصر بشكل واضح في النهاية. ففي كل جولة تتطور فيها تقنياتُ تَعَرُّفِ الأفراد والكشف على هوياتهم والتحليل المتطور للبيانات وربطها بشكل أوسع، تجابه بكثير من الإحباط بسبب عدم تقيد الفرد أو حتى بسبب القوانين التشريعية، وهذا يؤدي بدوره إلى ظهور محاولات نحو تقييد أكبر لحرية الفرد وتعدٍّ على خصوصيته.
بالمقابل، فإن نظاما قائما على «المندوبين» و«المراقبين»، يمكِّن المؤسسات من كسب مزايا تنافسية وسياسية من جراء تزايد ثقة الجمهور بها (إضافة إلى الكلفة الأقل لحفظ سجلات بيانات الأسماء الوهمية). يُمكِّن مثل هذا النظام الأفراد أيضا من حماية خصوصياتهم من دون المساس بالاحتياجات الشرعية لأولئك الذين يتعاملون معهم، وذلك من خلال صون سجلات معلوماتهم الخاصة المضمونة بالتعمية، والسماح بكشف المعلومات الضرورية فقط لنيل ما يبتغون.
إن اتخاذ قرار حول الخيار القائم بين إبقاء المعلومات في حوزة الأفراد أو في حوزة المؤسسات يتم في كل مرة تقرر فيها حكومة أو شركة أتمتة مجموعة جديدة من المبادلات المالية. أما الخيار الأول فهو يؤدي إلى إحكام سيطرة لا سابق لها على حياة الأفراد، في حين يضمن الخيار الآخر تكافؤًا في الأمن بين الأفراد والمؤسسات. وقد يعتمد المجتمع الذي سيفرزه القرن المقبل على الخيار السائد آنئذ.
المؤلف
David Chaum
رئيس مجموعة التعمية في مركز الرياضيات وعلم الحاسوب (CWI) في أمستردام، وهو أيضا مؤسس شركة ديجيكاش المتخصصة في تطوير نظم دفع نقود إلكترونية. حصل شوم على الدكتوراه في علم الحاسوب من جامعة كاليفورنيا ببيركلي عام 1982 ثم التحق بالمركز CWI عام 1984. ساعد على تأسيس الجمعية الدولية لبحوث التعمية ومازال ناشطا في مجلس إدارتها، وهو أيضا مستشار على النطاق العالمي في مجال التعمية.
مراجع للاستزادة
SECURITY WITHOUT IDENTIFICATION: TRANSACTION SYSTEMS TO MAKE BIG BROTHER OBSOLETE. David Chaum in Communications of the ACM, Vol. 28, No. 10, pages 1030-1044; October 1985.
THE DINING CRYPTOGRAPHERS PROBLEM: UNCONDITIONAL SENDER AND RECIPIENT UNTRACTABILITY. David Chaum in Journal of Cryptology, Vol. 1, No. 1, pages 6S-75;1988.
MODERN CRYPTOLOGY: A TUTORIAL. Gilles Brassard in Lecture Notes in Computer Science, Vol. 325. Springer-Verlag, 1988.
PRIVACY PROTECTED PAYMENTS: UNCONDITIONAL PAYER AND / OR PAYEE UNTRACEABILITY. David Chaum in Smart Card 2000: The Future of IC Cards. Edited by David Chaum and Ingrid Schaumuller-Bichl. North-Holland, 1989.
Scientific American, August 1992
