Digital Signature အကြောင်းသိကောင်းစရာများ လေ့လာခြင်း


Blogs

ယနေ့ခေတ်တွင် ကျွန်ုပ်တို့သည် Digital Society တွင် နေထိုင်ခြင်းဖြင့် ကျွန်ုပ်တို့၏လုပ်ငန်းဆောင်တာများကို digital နည်းပညာအသုံးချ၍ စီမံခန့်ခွဲခြင်းဖြင့် အချိန်ကုန်သက်သာစေသည့်အပြင် ပိုမိုထိရောက်သော လုပ်ငန်းဆောင်တာများကို ဖြစ်စေသည်။ ကျွန်ုပ်တို့သည် လက်မှတ်ထိုးခြင်း (သို့မဟုတ်) လက်မှတ်အတည်ပြုခြင်း ကဲ့သို့သော လုပ်ငန်းများကို ဆောင်ရွက်ရန်အတွက် “print-sign-scan-send” လုပ်ငန်းအဆင့်ဆင့်ကို ဖြတ်သန်းရသည်။ ၄င်းအဆင့်များသည် printer/scannerများကို အသုံးပြုရန်လိုအပ်ပြီး လုပ်ငန်းအသွားအလာကို ကြန့်ကြာစေနိုင်သည်။ Digital Society တွင် digital signature သည် အဆိုပါအခက်အခဲများကို ဖြေရှင်းပေးနိုင်သော စစ်မှန်သောနည်းလမ်းတစ်ခုဖြစ်လာခဲ့သည်။ E-services များဖွံ့ဖြိုးလာသည်နှင့်အမျှ digital signing သည် နိုင်ငံအများစုတွင် norm တစ်ခု ဖြစ်လာသည်။ Digital Signature (သို့မဟုတ်) e-signature ဝန်ဆောင်မှုကို ပိုမိုအသုံးပြုလာကြသည်။ အွန်လိုင်းပေါ်တွင် လုပ်ဆောင်မှုများအတွက် ခိုင်မာသော အထောက်အထား (သက်သေ)အဖြစ် လက်မှတ်ရေးထိုးဖို့ လိုပါသည်။ အထူးသဖြင့် ယခုလို COVID-19 အခက်အခဲကာလတွင် e-signature (သို့မဟုတ်) digital signature အသုံးပြု၍ လက်မှတ်ထိုးခြင်းသည် ပိုမိုလွယ်ကူအဆင်ပြေစေသည့် အထောက်အထားသက်သေတစ်ခုဖြစ်သည်။

Digital signature ဆိုသည်မှာ

Digital Signature သည် ပေးပို့သောဒေတာအချက်အလက်မှန်ကန်ကြောင်းအတည်ပြုနိုင်ရန် နှင့် စာရွက်စာတမ်း (သို့မဟုတ်) မက်ဆေ့ချ်ပါဝင်သောအကြာင်းအရာများ ပြောင်းလဲမှုမရှိကြောင်း သေချာစေရန်အတွက် အသုံးပြုသည့် Electronic Signature (အီလက်ထရောနစ်လက်မှတ်) အမျိုးအစားတစ်ခုဖြစ်သည်။ Electronic Signature (e-signature) သည် စာရွက်စာတမ်းပေါ်တွင် လက်ရေးဖြင့်လက်မှတ်ရေးထိုးခြင်းကို အီလက်ထရောနစ် ဖိုင်အမျိုးအစားအားလုံး (ဥပမာ − word document ၊ pdf) တွင် အီလက်ထရောနစ်လက်မှတ်(သို့) အမှတ်အသားရေးထိုးခြင်းဖြစ်သည်။ ထို့နောက် တစ်နေရာမှတစ်နေရာသို့ ပေးပို့သည့်အခါ ကြားလူ (third party) မှ ပေးပို့သောအချက်အလက်ကို နားမလည်နိုင်အောင် အချက်အလက်ကို symmetric cryptography ဟု ခေါ်သည့်နည်းဖြင့် ပေးပို့သည်။ Symmetric Cryptography ဆိုသည်မှာ secret key တစ်ခုဖြင့် ပေးပို့သူမှ ဒေတာကို encrypt ပြုလုပ်ပြီး၊ လက်ခံသူမှ ၄င်း secret key ကိုသုံး၍ decrypt ပြန်လုပ်ကာ ဒေတာ ရယူခြင်းဖြစ်သည်။ သို့ရာတွင် အရေးကြီးသည့် စာချုပ် (သို့မဟုတ်) အခွန်ကောက်ခံခြင်း အတွက် e-signature ကို အသုံးပြုပါက biometric signature သို့မဟုတ် digital signature အမျိုးအစားကို အသုံးပြုခြင်းသည် ပိုမိုလုံခြုံမှုရှိပြီး ၄င်းစာရွက်စာတမ်းကို ယုံကြည်ရန် ပိုသင့်လျော်ပေလိမ့်မည်။

အဘယ်ကြောင့်ဆိုသော် Digital Signature သည် asymmetric cryptography နည်းလမ်းကို အသုံးပြုသည်။ Asymmetric Cryptography ကို public key cryptography ဟုလည်းခေါ်ဆိုပြီး ၄င်းတွင် secret key နှစ်ခု ပါရှိသည်။ Digital Signature ၏အခြေခံသဘောတရားမှာ ပုံ(၁)တွင်ပြထားသည့်အတိုင်း signing algorithm/verifying algorithm ကို အသုံးပြုခြင်း၊ private key/public key တစ်ခုစီဖြင့် encrypt/decrypt ပြုလုပ်ခြင်း၊ ပေးပို့သောဒေတာ မှန်/မမှန် စစ်ဆေးအတည်ပြုခြင်းစသည့်နည်းလမ်းဖြစ်သည်။ လက်ခံသူအနေဖြင့် လက်ခံရရှိမည့် အချက်အလက်၊ မက်ဆေ့ချ်ကို စစ်မှန်ကြောင်းအတည်ပြုနိုင်ရန်နှင့် ပေးပို့သူဟုပြောလာသူကို မှန်ကန်ကြောင်းသေချာစေရန်ဖြစ်သည်။

Digital signature techniques

(Algorithm) တွေမှာ ၁၉၇၆ခုနှစ်တွင် Stanford University မှ Whitfield Diffie နှင့် Artin E.Hellman ဆိုသူ နှစ်ဦးသည် secret key cryptography (symmetric algorithm system) ကိုအသုံးပြုကာ အပြန်အလှန် key များဖလှယ်၍ ပိုမိုလုံခြုံသောအချက်အလက်ပေးပို့ဆက်သွယ်သည့်စနစ်သစ်တစ်ခုကို စတင်ခဲ့သည်။ ၁၉၇၇ခုနှစ်တွင် *Rivest ၊ *Shamir နှင့် *Adleman ဆိုသူတို့မှ RSA algorithm ကို ဖန်တီးခဲ့သည်။ RSA algorithm သည် encryption/decryption အတွက်သာမက digital signature အတွက်ပါ အသုံးပြုနိုင်သည်။ နောက်ပိုင်းတွင် Digital signature ဖန်တီးရန် ElGamal algorithm ၊ Digital Signature Algorithm (DSA) ၊ Elliptic Curve Digital Signature Algorithm (ECDSA) စသည်တို့ ပေါ်ပေါက်လာသည်။ အသုံးပြုသူအနေဖြင့် Algorithm ၏ အားနည်းချက်၊ အားသာချက်များ၊ private keys များလုံခြုံအောင် ထိန်းသိမ်းရန်တို့ကို သိရှိနားလည်ပါက ပိုမိုကောင်းမွန်သည်။

Digital Signature မှာ signing and verification ပြုလုပ်သည်မှာ

ယနေ့ခေတ်တွင် e-commerce ၊ online payments ၊ e-services ၊ electronic voting စသည့် digital platform များတွင် digital signature ပြုလုပ်ခြင်းသည် အရေးပါသောအပိုင်းဖြစ်လာသည်။ Digital Signature ပြုလုပ်ရန် Asymmetric cryptography ကိုသုံး၍ ဒေတာကို encrypt လုပ်မည်။ ၄င်းအဆင့်တွင် မူလဒေတာ၏ plain text မှ hexadecimal value ဖြစ်သော hashed text သို့ ပထမအဆင့်ပြောင်းမည်။ hashing algorithms များမှာ MD5 ၊ SHA-1 ၊ SHA-2 ၊ SHA-3 စသည်တို့ကို အသုံးပြုမည်။ Hashed text များကို Message digest ဟုလည်း ခေါ်ဆိုသည်။ ထို့နောက် ၄င်း hashed text ကို private key ဖြင့်ထပ်မံ၍ encrypt ပြုလုပ်မည်။ အဆိုပါ encrypted hash (သို့မဟုတ်) encrypted information ကို digital signature ဟုခေါ်ဆိုခြင်းဖြစ်ပြီး အီလက်ထရောနစ်စာရွက်စာတမ်းတွင် ပူးတွဲခြင်းဖြင့် digitally signed data အဖြစ်သို့ ပြောင်းလဲ ပေးပို့ခြင်းဖြစ်သည်။ လက်ခံသူမှ အဆိုပါဒေတာကို verification ပြုလုပ်ရာတွင် ပုံ(၂)တွင် ပြထားသည့်အတိုင်း ဒေတာ၏ hash value နှင့် digital signature ကို public key သုံး၍ decrypt လုပ်ကာရရှိမည့် hash value နှစ်ခုကို တူ/မတူစစ်ဆေးကာ စာရွက်စာတမ်း၏မှန်ကန်မှု၊ ယုံကြည်စိတ်ချနိုင်မှုကို အတည်ပြုခြင်းဖြစ်သည်။

Public keys များအပေါ်ယုံကြည်မှု ဒေတာပေးပို့သူ၏ public key အပေါ်ယုံကြည်မှုတွင် တစ်ခါတစ်ရံ လှည့်ဖျားခံရတတ်သည်။ ဥပမာအနေဖြင့် ကုမ္ပဏီတစ်ခုတွင် Accounting မန်နေဂျာ သည် ကုမ္ပဏီဒါရိုက်တာ၏ ဒစ်ဂျစ်တယ်လက်မှတ်ရေးထိုးထားသော ငွေတောင်းခံလွှာတစ်စောင် (encrypted invoice) ကို email လက်ခံရရှိခဲ့သည်။ မန်နေဂျာသည် ဒါရိုက်တာပေးပို့သောဖိုင်ကို decrypt လုပ်ရန် ကုမ္ပဏီ၏ key server ပေါ်မှ ဒါရိုက်တာ၏ public key ကို download ပြုလုပ်၍ ငွေတောင်းခံလွှာပေါ်တွင် လက်မှတ်ရေးထိုးထားသော ဒစ်ဂျစ်တယ်လက်မှတ်ကို စိစစ်အတည်ပြုရာ တူညီနေကြောင်းတွေ့ရသဖြင့် မန်နေဂျာမှ ငွေလွှဲပေးလိုက်သည်။ ငွေလွှဲပြီးသည့်နောက်မှ အဆိုပါငွေတောင်းခံလွှာသည် လိမ်လည်မှုဖြစ်ကြောင်းတွေ့ရှိခဲ့သည်။ ကုမ္ပဏီမှ အခြားဝန်ထမ်းတစ်ယောက်သည် ဒါရိုက်တာ၏ ကိုယ်ရေးအချက်အလက်အားလုံးကို အသုံးပြု၍ public key/private key အသစ်တစ်စုံ ပြုလုပ်ကာ key server ပေါ်တွင် public key copy ကို သိမ်းထားလိုက်သည်။ ထို့နောက် ငွေတောင်းခံလွှာအတုကိုဖန်တီး၍ အသစ်ပြုလုပ်ထားသော private key ဖြင့် ငွေတောင်းခံလွှာတွင် ဒစ်ဂျစ်တယ်လက်မှတ်ပြုလုပ်ကာ Accounting မန်နေဂျာသို့ မေးလ်ပို့ခဲ့သည်။ မန်နေဂျာသည် ထုံးစံအတိုင်း document မှာရှိသော hash value နှင့် server ပေါ်မှယူထားသော public key ဖြင့် decrypt လုပ်ခဲ့သော signed document ၏ hash value ကို တိုက်ကြည့်သည့်အခါ တူနေသည်ကိုတွေ့ရှိ၍ ငွေတောင်းခံလွှာလက်မှတ်ကို အစစ်ဟု ယုံကြည်ကာ ငွေပေးခဲ့ခြင်းဖြစ်သည်။ Digital Signature ကို အသုံးပြုခြင်းတွင် အကျိုးကျေးဇူးများရှိသကဲ့သို့ security နှင့်ပတ်သက်၍ စိမ်ခေါ်မှုများလည်း အများအပြားရှိသည်။ ထို့ကြောင့် Digital certificate ထပ်မံပေါ်ပေါက်လာသည်။

Digital Certificates ဆိုသည်မှာ

Digital Certificate သုံးခြင်းသည် Public key ကို ထပ်မံအတည်ပြုသည့် public-key certificates ဖြစ်သည်။ Digital Certificate သည် public keys နှင့်ဒစ်ဂျစ်တယ်လက်မှတ်များကို certificate authority ဖြင့် ထပ်မံမှန်ကန်ကြောင်း အတည်ပြုနိုင်ရန်ဖြစ်သည်။ ဒေတာပေးပို့သူ၏ identity ကို ထပ်မံအတည်ပြုရန် certificate အသုံးပြုခြင်းဖြစ်သည်။ Digital Certificate အသုံးပြုထားလျှင် certificate authority ဖြစ်သောသူ၏ information ကို အတုပြုလုပ်ရန် ခက်ခဲပေမည်။ Digital Certificate များကို Certifying Authorities (CA) ဖြစ်သော Verisign ၊ Globalsign နှင့် Symantec စသည့် ယုံကြည်စိတ်ချနိုင်သော ကုမ္ပဏီများထံမှ လျှောက်ထားရယူနိုင်သည်။ အဆိုပါ trusted certifying company များသို့ မိမိ၏ public key နှင့် personal identity အပြည့်အစုံပေးပို့ကာ certifying authority မှ trusted digital certificate ကို ထုတ်ပေးမည်။ ဒေတာ decrypt လုပ်သည့်အခါ certificate ကို အရင်စစ်ဆေးပြီး certificate အတွင်းရှိ certifying authority မှအတည်ပြုထားသော public Key ကိုယုံကြည်စွာဖြင့် အသုံးပြုသည်။ Digital certificate တစ်ခုတွင် public key နှင့်တကွ အခြားအချက်အလက်များ ဥပမာ (၁)A version number (၂)A unique serial number (၃)Issuer information (၄)Date information (၅)Subject information (၆)Public key information (၇)digital signature information and Thumbprint (fingerprint) အစရှိသည့် information များပါဝင်သည်။

Digital signature ကိုသုံးခြင်း၏ အကျိုးကျေးဇူးမှာ

Cost and Time Saving
Digital Signature သည် program ခလုတ်တစ်ချက်နှိပ်ပြီး စာရွက်စာတမ်းများနှင့် စာချုပ်များချုပ်ဆိုခြင်းဖြင့် အထူးသဖြင့် စီးပွားရေးလုပ်ငန်း၊ e-commerce တွင် အချိန်နှင့်ငွေကုန်ကျစရိတ်သက်သာစေသည်။ စာရွက်စာတမ်းများ print ထုတ်ရခြင်း၊ scan ဖတ်ရခြင်း၊ ပေးပို့ရသည့် ခရီးစရိတ် စသည့်တို့ကိုသက်သာစေသည်။ Security
နည်းပညာအရ asymmetric encryption ကို အသုံးပြုခြင်းဖြင့် Digital signature ၏ security သည် paper contract ပေါ်တွင် လက်မှတ်ထိုးခြင်းထက် security level မြင့်မားသည်။ Digital certificates သည် လက်မှတ်ထိုးသူများ မည်သူမည်ဝါဖြစ်ကြောင်းအတည်ပြုခြင်းနှင့် ၎င်းတို့၏လက်မှတ်များကို verification ဖြင့် အတည်ပြုခြင်း၊ Time stamping ဖြင့် ထိုလက်မှတ်၏နေ့စွဲနှင့်အချိန်ကို ဖော်ပြပေးခြင်းတို့ဖြင့် document security ကို မြင့်မားစေသည်။ သို့ရာတွင် private keys/certificate များနှင့်ပတ်သက်၍ လုံခြုံစွာထိန်းသိမ်းထားရှိရန်၊ အသုံပြုမည့် algorithm များ၏အားနည်းချက်စသည်တို့ကို သုံးစွဲသူမှ အသိပညာများသိရှိထားလျှင် ပိုမိုသင့်တော်ပါသည်။ Business efficiency
ကုမ္ပဏီ website ၊ အစိုးရ website ၊ စာရွက်စာတမ်းအချက်အလက် ၊ အီးလ်မေး စသည်တို့ကို digital signature/digital certificate များအသုံးပြုထားခြင်းဖြင့် သုံးစွဲသူကို ပိုမိုဆွဲဆောင်နိုင်မည်။ လက်မှတ်ထိုးရန် လိုအပ်သည့်ကိစ္စများတွင် စောင့်ဆိုင်းနေရခြင်းမျိုး မရှိတော့၍ workflow မြန်ဆန်စေပြီး business efficiency ဖြစ်လာမည်။ Scalability

Digital signature/digital certificate သည် third party software/ third party agency များကို အသုံးပြု၍ signature ရေးထိုးခြင်း၊ certificate အသစ်ထုတ်ပေးခြင်း၊ အသစ်ပြန်လည်လဲလှယ်ခြင်း၊ သက်တမ်းတိုးခြင်း စသည်တို့ကို အလွယ်တကူ ဆောင်ရွက်နိုင်သည်။Environmental sustainability

Digital signature ကိုအသုံးပြုခြင်းဖြင့် “print-sign-scan-send” စသည့် လုပ်ငန်းစဉ်များနည်းသည့်အပြင် စက္ကူဖိုင်များပျက်စီးဆုံးရှံးခြင်း လုပ်ငန်းခွင်တွင် waste များ လျော့နည်းစေနိုင်သည်။

လက်ရှိ Digital signature သုံးစွဲနိုင်မည့်အနေအထား

လက်ရှိ COVID-19 အခြေအနေနှင့် ခရီးသွားကန့်သတ်မှုများ ဖြစ်ပေါ်နေသည့် အခြေအနေတွင် electronic signature ၏အခန်းကဏ္ဍသည် အရေးပါလာသည်။ မြန်မာနိုင်ငံတွင် လက်ရှိ ဥပဒေအချို့အရ electronic signature နှင့် electronic record များကို အသုံးပြုနိုင်ရန် တရားဝင်အသိအမှတ်ပြုနိုင်သည့် ဥပဒေမူဘောင်များ ချမှတ်ထားပြီးဖြစ်သော်လည်း handwritten signature ကိုသာ အားထားအသုံးပြုနေရဆဲဖြစ်သည်။ The Myanmar Evidence Act (1872) သည် စာရွက်စာတမ်းများ သက်သေခံဝင်နိုင်မှုနှင့်ပတ်သက်သော ဥပဒေတစ်ရပ်ဖြစ်သည်။ ၂၀၁၅ ခုနှစ်တွင် electronic စာချုပ် ၊ electronic signatures နှင့်သက်ဆိုင်သောပြဌာန်းချက်များ ထည့်သွင်းနိုင်ရန် The Myanmar Evidence Act (1872) ဥပဒေ၏ ပုဒ်မ ၆၇(က) ကို ပြန်လည်ပြင်ဆင်ခဲ့သည်။ ပြင်ဆင်ချက်အရ “electronic signature” ၏အဓိပ္ပါယ်ကို အီလက်ထရောနစ်မှတ်တမ်း၏ပင်မစစ်မှန်ကြောင်းနှင့် ပြင်ဆင်မှု(သို့မဟုတ်) အစားထိုးမှုမရှိကြောင်းတို့ကို အတည်ပြုရန် အီလက်ထရောနစ်နည်းပညာဖြင့်ဖြစ်စေ၊ အခြားအလားတူနည်းပညာရပ်တစ်ရပ်ရပ်ဖြင့်ဖြစ်စေ ကိုယ်တိုင် (သို့မဟုတ်) ကိုယ်စားစီစဉ်ထားသည့် အမှတ်အသားဟု အဓိပ္ပါယ်ဖွင့်ထားသည်။ The Electronic Transactions Law (2004) တွင် အီလက်ထရောနစ်မှတ်တမ်း၊ အီလက်ထရောနစ် အချက်အလက်သတင်းလွှာနှင့် အီလက်ထရောနစ်ထိုးမြဲလက်မှတ်များသည် သက်ဆိုင်ရာဥပဒေအရ ပြုလုပ်သကဲ့သို့တရားဝင်စေမည်။ မူလပေးပို့သူနှင့် လက်ခံသူတို့သည် အီလက်ထရောနစ်ထိုးမြဲလက်မှတ်ပေးပို့ခြင်း၊ လက်ခံခြင်းနှင့်ထိန်းသိမ်းခြင်း တို့ကို သတ်မှတ်ထားသည့်နည်းလမ်းများနှင့်အညီဆောင်ရွက်ရမည်။ သို့ရာတွင် အချင်းချင်းသီးခြား သဘောတူညီချက်ရှိပါက ထိုသဘောတူညီသည့်နည်းလမ်းနှင့်အညီဆောင်ရွက်နိုင်သည်ဟု ပုဒ်မ(၁၉) အရ အီလက်ထရောနစ်အမှတ်အသားများတရားဝင်ပြုလုပ်နိုင်ကြောင်းနှင့် ဥပဒေအရအသိအမှတ်ပြုထားပြီ:ဖြစ်သည်။

Myanmar e-governance master plan တွင် Public Key Infrastructure (PKI) နှင့် Certification Authority (CA) ကိုတည်ဆောက်ရန်ပါရှိပြီးဖြစ်ပါသည်။ Personal Data Privacy Law အပါအဝင် Cyber Security Law ကိုလည်း အကောင်အထည်ဖော်ရေးဆွဲလျက်ရှိပါသည်။

သို့ဖြစ်၍ digital signature သုံးစွဲမှုပိုမိုတိုးတက်ဖွံ့ဖြိုးလာစေရန် အဖွဲ့အစည်းများတွင် e-signature/digital signature ရေးထိုးခြင်း၊ ရေးထိုးသော စာရွက်စာတမ်းများပေးပို့ပါက လက်ခံဆောင်ရွက်နိုင်ခြင်းစသည်တို့ကို လေ့ကျင့်ဆောင်ရွက်နိုင်ရန်မူဝါဒများချမှတ်သင့်ပြီလား။ Digital signature security ပိုမိုလုံခြုံရေး၊ digital signature သုံးစွဲမှုနှင့်ပတ်သက်၍ သုံးစွဲသူများ အသိပညာရရှိမှု တိုးတက်အောင်မူဝါဒများ မည်သို့ချမှတ်သင့်ပါသလဲ စသည့်မေးခွန်းများဖြင့် digital society ပိုမိုဖွံဖြိုးတိုးတက်လာစေရန် digital signature အကြောင်းသိကောင်းစရာအချို့ကို မျှဝေပေးလိုက်ပါသည်။

Reference:

https://www.myanmartradeportal.gov.mm/en/legal/216

http://www.myanmar-law-library.org/law-library/laws-and-regulations/laws

ပြည့်ဖြိုး

သင်တန်းကျောင်း