มาตรา 26 + 28 E-SIGNATURE

“ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ซึ่งใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง” เป็นลายมือชื่ออิเล็กทรอนิกส์ซึ่งมีลักษณะตามที่กำหนดในมาตรา 26 และอาศัยใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรองเพื่อสนับสนุนลายมือชื่ออิเล็กทรอนิกส์ตามที่กำหนดในมาตรา 28 ของ พ.ร.บ. ว่าด้วยธุรกรรม ทางอิเล็กทรอนิกส์ พ.ศ.2544 ( มาตรา 26 + 28 E-SIGNATURE ) ตัวอย่างของรูปแบบของลายมือชื่ออิเล็กทรอนิกส์ประเภทนี้ เช่น ลายมือชื่อดิจิทัลที่อาศัยโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) และใช้ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรอง ทดสอบ e-Signature

โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI) เป็นเทคโนโลยีที่อาศัยระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography) ที่ประกอบด้วยกุญแจส่วนตัว (Private key) และกุญแจสาธารณะ (Public key) เนื่องจากด้วยตัวของเทคโนโลยีเพียงอย่างเดียวนั้น ไม่สามารถระบุได้ว่าบุคคลนั้นเป็นเจ้าของกุญแจซึ่งอ้างถึงจริงหรือไม่ ดังนั้น โครงสร้างพื้นฐานกุญแจสาธารณะจึงเป็นโครงสร้างที่ก่อให้เกิดความน่าเชื่อถือในการระบุถึงความเป็นเจ้าของกุญแจสาธารณะว่าเป็นของบุคคลนั้นจริง โครงสร้างดังกล่าวใช้ในการพิสูจน์ตัวจริง (Authentication) รวมทั้งการรักษาความลับของข้อมูล (Data Confidentiality) ความครบถ้วนของข้อมูล (Data Integrity) และการห้ามปฏิเสธความรับผิด (Non-repudiation) ซึ่งประกอบด้วย 4 องค์ประกอบที่สำคัญ ได้แก่

  1. ผู้ใช้บริการ (End Entity) เป็นผู้ซึ่งประสงค์จะขอใช้บริการใบรับรองอิเล็กทรอนิกส์ โดยยื่นคำขอผ่านทางเจ้าหน้าที่รับลงทะเบียน
  2. เจ้าหน้าที่รับลงทะเบียน (Registration Authority) เป็นผู้ซึ่งทำหน้าที่รับลงทะเบียน เมื่อมีการยื่นขอใบรับรองอิเล็กทรอนิกส์ แจ้งเพิกถอนใบรับรองอิเล็กทรอนิกส์ หรือ ต่ออายุใบรับรองอิเล็กทรอนิกส์ โดยการตรวจสอบ และยืนยันความถูกต้องของข้อมูลที่ผู้ใช้บริการให้ไว้ตามแบบคำขอที่ผู้ให้บริการกำหนดขึ้น
  3. ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA) เป็นองค์กรซึ่งทำหน้าที่ในการให้บริการเกี่ยวกับการออกใบรับรองอิเล็กทรอนิกส์ เพื่อรับรองตัวตนที่แท้จริงของบุคคล นิติบุคคล หรือ ผู้ใช้บริการใดๆ เนื่องจากเทคโนโลยีระบบรหัสแบบกุญแจสาธารณะเป็นเพียงกลไกในการทำให้เกิดความปลอดภัยในตัวข้อมูล แต่สิ่งที่ต้องคำนึงถึงในการใช้เทคโนโลยีดังกล่าว คือ ความน่าเชื่อถือของกุญแจสาธารณะของเจ้าของกุญแจว่าเป็นของบุคคลซึ่งอ้างถึงจริงหรือไม่ เพื่อให้บุคคลที่ต้องการติดต่อสามารถมั่นใจได้ถึงความเป็นเจ้าของกุญแจสาธารณะที่แท้จริง เนื่องจากในการติดต่อสื่อสารนั้นคู่สื่อสารอาจจะไม่เคยมีความสัมพันธ์หรือรู้จักกันมาก่อน ดังนั้น การสร้างความน่าเชื่อถือของกุญแจสาธารณะจึงจำเป็นที่จะต้องมีหน่วยงานที่มีความน่าเชื่อถือ เพื่อทำหน้าที่ในการรับรองกุญแจสาธารณะว่าเป็นของบุคคลซึ่งอ้างถึงจริง ซึ่งหน่วยงานดังกล่าว ก็คือ ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

ตัวอย่างเช่น นาย A ต้องการส่งข้อความซึ่งเป็นความลับให้กับนาย B  นาย A จึงจำเป็นที่จะต้องใช้กุญแจสาธารณะของนาย B มาทำการเข้ารหัสลับ เพื่อที่นาย B เพียงบุคคลเดียวเท่านั้น ที่จะสามารถทำการอ่านข้อความดังกล่าวได้ แต่นาย A จะมั่นใจได้อย่างไรว่ากุญแจสาธารณะที่จะนำมาใช้ในการเข้ารหัสลับนั้น เป็นของนาย B จริง ดังนั้น เพื่อก่อให้เกิดความน่าเชื่อถือว่า กุญแจสาธารณะดังกล่าวเป็นของนาย B จริง ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ จึงทำหน้าที่รับรองกุญแจสาธารณะของบุคคลทั้งสอง เพื่อสร้างความน่าเชื่อถือของกุญแจสาธารณะที่นำมาใช้ในการติดต่อสื่อสารระหว่างกัน

4. ที่บันทึกข้อมูล (Repository) เป็นระบบคอมพิวเตอร์ที่เปิดให้บุคคลอื่นสามารถสืบค้นใบรับรองอิเล็กทรอนิกส์ของผู้ใช้บริการเพื่อใช้ในการติดต่อสื่อสารอย่าง

 

ใบรับรอง (Certification)  คือ ข้อมูลอิเล็กทรอนิกส์หรือการบันทึกอื่นใด ซึ่งยืนยันความเชื่อมโยงระหว่างเจ้าของลายมือชื่อดิจิตอล (Digital Signature) กับข้อมูลสำหรับใช้สร้างลายมือชื่อดิจิทัล ที่ออกโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority – CA) เพื่อใช้บ่งบอกถึงความมีตัวตนที่แท้จริงในโลกแห่งอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองจะทำการรับรองข้อมูลต่าง ๆ ซึ่งรวมถึงกุญแจสาธารณะที่ปรากฏในใบรับรองอิเล็กทรอนิกส์ ว่าเป็นของบุคคลนั้นจริง โดยอาศัยเทคโนโลยีความปลอดภัยของข้อมูล ที่เรียกว่าเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure – PKI)

ใบรับรองอิเล็กทรอนิกส์ เป็นข้อมูลอิเล็กทรอนิกส์ที่ประกอบไปด้วยข้อมูลส่วนบุคคลและกุญแจสาธารณะ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองข้อมูลดังกล่าวด้วยการลงลายมือชื่อดิจิทัลกำกับ เปรียบเสมือนเป็นการออกใบรับรองอิเล็กทรอนิกส์เพื่อเป็นการรับรองตัวตนของบุคคลในโลกอิเล็กทรอนิกส์ ซึ่งเปรียบได้กับบัตรประจำตัวประชาชน หรือหนังสือเดินทาง ที่เป็นตัวอย่างของใบรับรองประเภทต่างๆ ที่ใช้รับรองสถานะของบุคคลในชีวิตประจำวัน เพื่อเป็นการยืนยันตรวจสอบสถานะของบุคคลที่ต้องการติดต่อ ใบรับรองอิเล็กทรอนิกส์เป็นสิ่งหนึ่งที่ใช้ในการยืนยันตัวตนสำหรับการเข้าใช้งานระบบต่างๆ นอกเหนือจากรหัสผ่าน (Password) ซึ่งการใช้รหัสผ่านในการยืนยันตัวตนนั้นเป็นแค่เพียงสิ่งที่ผู้ใช้งานรู้ (Something you know) เท่านั้น

หากบุคคลอื่นล่วงรู้ก็จะสามารถเข้าใช้งานระบบได้เช่นกัน ซึ่งต่างจากการใช้ใบรับรองอิเล็กทรอนิกส์ที่ใช้ปัจจัยในการยืนยันตัวบุคคล 2 ปัจจัยร่วมกัน (2-Factor Authentication) นั่นคือ ผู้ใช้จำเป็นต้องรู้รหัสผ่านในการใช้งานใบรับรองอิเล็กทรอนิกส์ (Something you know) รวมทั้งผู้ใช้จะต้องมีกุญแจส่วนตัวที่ใช้คู่กับใบรับรองอิเล็กทรอนิกส์ (Something you have) ด้วย ผู้ใช้จึงจะสามารถเข้าใช้งานระบบได้

ดังนั้น จะเห็นว่าการยืนยันตัวตนโดยใช้ใบรับรองอิเล็กทรอนิกส์นั้นประกอบด้วยสองสิ่ง คือ ใบรับรองอิเล็กทรอนิกส์ และรหัสผ่าน ซึ่งเป็นสิ่งที่ผู้ใช้มีและรู้ ซึ่งหากมีบุคคลอื่นล่วงรู้รหัสผ่าน แต่ไม่มีใบรับรองอิเล็กทรอนิกส์ ก็ไม่สามารถเข้าใช้งานระบบได้ ซึ่งเป็นการเพิ่มระดับความปลอดภัยอีกระดับจากเดิม ที่มีแต่การใช้รหัสผ่านเท่านั้น โดยใบรับรองอิเล็กทรอนิกส์ประกอบไปด้วยข้อมูลหลัก 3 ส่วน คือ

  1. ข้อมูลของเจ้าของใบรับรองอิเล็กทรอนิกส์
  2. กุญแจสาธารณะ (Public Key) ของเจ้าของใบรับรองอิเล็กทรอนิกส์
  3. ลายมือชื่อดิจิทัลของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ โดยลายมือชื่อดิจิทัลดังกล่าวจะรับรองข้อมูลในส่วนที่ 1. และ 2. ว่าเป็นของผู้ถือใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัวจริง

วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ ประกอบด้วย

  1. การสร้างกุญแจคู่โดยผู้ขอใช้บริการ ซึ่งประกอบไปด้วยกุญแจส่วนตัวและกุญแจสาธารณะ
  2. การออกใบรับรองอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองกุญแจสาธารณะและข้อมูลของเจ้าของกุญแจสาธารณะ
  3. การใช้งานใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัว ในกรณีที่มีผู้อื่นล่วงรู้กุญแจส่วนตัว ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอเพิกถอนใบรับรองอิเล็กทรอนิกส์ โดยใบรับรองอิเล็กทรอนิกส์ที่ถูกเพิกถอนนั้นจะปรากฏอยู่ในรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หลังจากนั้นผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่
  4. เมื่อใบรับรองอิเล็กทรอนิกส์หมดอายุ ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์ดังกล่าวจะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่

Reference

https://www.krisdika.go.th/librarian/get?sysid=570721&ext=pdf https://standard.etda.or.th/wp-content/uploads/2020/06/20200529-ER-E-Signature-Guideline-V08-36F.pdf https://standard.etda.or.th/wp-content/uploads/2020/07/20200708-e-Signature-V05.pdf https://www.nrca.go.th/content/02-2.html