Certification Authority

ลายมือชื่อดิจิตอล (Digital Signature) เป็นลายมือชื่ออิเล็กทรอนิกส์ที่ใช้เทคโนโลยี โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure: PKI) ถือเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ ตามมาตรา 26 ของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ซึ่งเหมาะสำหรับใช้ทำธุรกรรมภายในองค์กร หรืออาจจะนำไปใช้กับองค์กรภายนอกที่มีความไว้วางใจ และให้การยอมรับลายมือชื่อดิจิตอล นั้น แต่หากจะนำลายมือชื่อดังกล่าวไปทำธุรกรรมกับองค์กรภายนอกที่ไม่เคยรู้จักหรือติดต่อกันมาก่อน ก็จะต้องมีองค์กรหรือบุคคลที่สาม ซึ่งน่าเชื่อถือมารับรองลายมือชื่อดิจิตอล ว่า ลายมือชื่อนี้ ได้มีการผูกไว้กับตัวของผู้ใช้เรียบร้อยแล้ว ซึ่งจะทำให้การทำธุรกรรมนั้นมีความน่าเชื่อถือมากยิ่งขึ้น ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA) เป็นองค์กร หรือหน่วยงานที่ทำหน้าที่ในการรับรองกุญแจสาธารณะให้กับผู้ใช้บริการโดยการออกใบรับรองให้กับผู้ใช้บริการ และยังมีหน้าที่บริหารจัดการใบรับรองของผู้ใช้บริการ เช่น เผยแพร่ใบรับรอง เพิกถอนใบรับรอง และเผยแพร่ข้อมูลสำหรับตรวจสอบสถานะใบรับรอง

  การใช้ใบรับรองอิเล็กทรอนิกส์ ผู้ใช้จะสามารถมั่นใจได้ว่า

* ข้อมูลต่างๆ ที่ได้รับมีความถูกต้อง ครบถ้วน ไม่ถูกเปลี่ยนแปลงแก้ไข

* สามารถพิสูจน์ และยืนยันตัวบุคคลได้ ว่าเป็นบุคคลผู้ที่เราติดต่อด้วยจริง

* สามารถรักษาความลับของข้อมูลได้ หากเป็นข้อมูลที่ต้องการให้ผู้รับเท่านั้นที่สามารถอ่านอีเมล์ฉบับนั้นๆ ได้ ซึ่งกรณีนี้จะต้องมีการใช้ใบรับรองอิเล็กทรอนิกส์ในการเข้ารหัสก่อนทำการส่งอีเมล์ไปยังผู้รับ

ใบรับรองถือเป็นส่วนประกอบสำคัญสำหรับการตรวจสอบลายมือชื่อดิจิทัล โดยในใบรับรองจะบันทึกข้อมูลอิเล็กทรอนิกส์ซึ่งยืนยันความเชื่อมโยง ระหว่างเจ้าของลายมือชื่อกับข้อมูลสำหรับใช้สร้างลายมือชื่อดิจิทัล ซึ่งหากผู้ให้บริการออกใบรับรองออกใบรับรองที่ไม่เหมาะสม เช่น กำหนดข้อมูลเจ้าของใบรับรองไม่ตรงตามนิยามของคุณลักษณะ (Attribute) หรือใช้งานคู่กุญแจที่มีขนาดไม่เหมาะสม ก็อาจก่อให้เกิดปัญหากับการใช้ลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้

ดังนั้น เพื่อแก้ไขปัญหาการออกใบรับรองที่ไม่เหมาะสม สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ในฐานะหน่วยงานที่ได้รับมอบหมายจากรัฐบาลให้เป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (Thailand National Root Certification Authority) จึงได้จัดทำข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศ และการสื่อสาร ที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยการกำหนดข้อมูลในใบรับรองและรายการเพิกถอนใบรับรอง CERTIFICATE AND CERTIFICATE REVOCATION LIST (CRL) PROFILE ขมธอ. 15-2560 ขึ้น ทั้งนี้ เพื่อให้การใช้งานใบรับรองมีความสอดคล้องกันระหว่างผู้ที่เกี่ยวข้อง และเป็นไปตามมาตรฐานสากล   ใบรับรองภายใต้ผู้ให้บริการออกใบรับรองในประเทศไทยสามารถแบ่งประเภทตามความสัมพันธ์ระหว่างผู้ให้บริการออกใบรับรอง และผู้ใช้บริการเป็น 3 ประเภท ดังนี้

1. ใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นบนสุด (Root CA Certificate)

• ใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นบนสุด คือ ใบรับรองของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (National Root CA Certificate) ซึ่งลงลายมือเพื่อรับรองตนเอง (Self-signed) ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ มีหน้าที่ออกใบรับรองให้กับผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา (Subordinate Certification Authority) และมีหน้าที่กำหนดนโยบายการให้บริการของผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา

2. ใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา (Subordinate CA Certificate)

• ใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา คือ ใบรับรองของผู้ให้บริการออกใบรับรองที่ออกให้โดยผู้ให้บริการออกใบรับรองลำดับชั้นบนสุด โดยผู้ให้บริการออกใบรับรองประเภทนี้สามารถออกใบรับรองให้กับผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา หรือใบรับรองของผู้ใช้บริการ ซึ่งผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (Thailand National Root Certification Authority) มีนโยบายให้มีใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา ได้ไม่เกิน 2 ชั้น คือ ใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมา ชั้นที่ 1 และใบรับรองของผู้ให้บริการออกใบรับรองลำดับชั้น ถัดลงมา ชั้นที่ 2

สำหรับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในประเทศไทย ปัจจุบันมีหลายหน่วยงาน ตัวอย่างเช่น

* บริษัท ทศท คอร์ปอเรชั่น จำกัด (มหาชน)

* บริษัท กสท โทรคมนาคม จำกัด (มหาชน)

* บริษัท ไทยดิจิทัล ไอดี จำกัด

* ธนาคารแห่งประเทศไทย

* สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.)

* สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.)  

3. ใบรับรองของผู้ใช้บริการ (Subscriber Certificate)

• ใบรับรองของผู้ใช้บริการ คือ ใบรับรองที่ออกโดยผู้ให้บริการออกใบรับรองลำดับชั้นถัดลงมาเพื่อรับรองข้อมูลตัวตน และความเป็นเจ้าของคู่กุญแจของเอนทิตีโดยใบรับรองของผู้ใช้บริการสามารถใช้งานได้ตามวัตถุประสงค์ที่กำหนดในใบรับรอง เช่น การลงลายมือชื่อดิจิทัล การเข้ารหัสลับ หรือการยืนยันตัวตน เป็นต้น

ใบรับรองของผู้ใช้บริการ แบ่งเป็น 4 ประเภท ได้แก่ ใบรับรองสำหรับบุคคลธรรมดา ใบรับรองสำหรับนิติบุคคล ใบรับรองสำหรับลงลายมือชื่อดิจิทัลโดยระบบให้บริการ และใบรับรองสำหรับโปรโตคอล SSL/TLS หรือโปรโตคอลอื่น ๆ

นอกจากนี้ ตามมาตรา 31 ของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ก็ได้บัญญัติว่า

ใบรับรองที่ออกในต่างประเทศ ให้มีผลตามกฎหมายเช่นเดียวกับใบรับรองที่ออกในประเทศ

หากได้ใช้ระบบที่เชื่อถือได้ไม่น้อยกว่าระบบที่เชื่อถือได้ตามที่กำหนดในพระราชบัญญัติฉบับนี้               

โดยให้คำนึงถึงมาตรฐานระหว่างประเทศและปัจจัยอื่น ๆ ที่เกี่ยวข้องประกอบด้วย

https://standard.etda.or.th/wp-content/uploads/2017/08/20170306-ER-CERTIFICATE-PROFILE-V08-21F-0816.pdf

https://www.krisdika.go.th/librarian/get?sysid=570721&ext=pdf

บทความที่เกี่ยวข้อง

• กฎหมาย E-SIGNATURE
• มาตรา 26 + 28 E-SIGNATURE
• มาตรา 26 E-SIGNATURE
• มาตรา 9 E-SIGNATURE