องค์กรออกใบรับรองอิเล็กทรอนิกส์ Certificate Authority
จุดอ่อนของเทคโนโลยี PKI เทคโนโลยี PKI คือเทคโนโลยีที่ใช้สร้างกุญแจคู่ โดยผู้สร้างจะเก็บกุญแจส่วนตัวไว้ และส่งกุญแจสาธารณะไปให้กับคนที่ต้องการติดต่อด้วย ซึ่งคำว่าสาธารณะนี้ใครก็สามารถล่วงรู้และนำไปใช้ได้ ทำให้เป็นจุดอ่อนของ PKI กล่าวคือถ้ามีบุคคลอื่นดักจับกุญแจสาธารณะก่อนที่จะถึงมือผู้รับตัวจริง จะทำอย่างไร กรณีศึกษา : การติดต่อสื่อสารระหว่างนายดำ กับนายแดง นายดำ และ นายแดง ต่างก็สร้างกุญแจคู่ นายดำ ส่งกุญแจสาธารณะให้กับนายแดง เพื่อให้นายแดง สามารถสร้างข้อความและใช้กุญแจสาธารณะของนายดำ เข้ารหัสเพื่อส่งข้อความมาให้นายดำ จากนั้น นายดำ ก็จะใช้กุญแจส่วนตัวถอดรหัสข้อความของนายแดงก็สามารถอ่านข้อความที่นายแดง ส่งมาให้ได้ ถ้านายดำ ต้องการส่งข้อความให้นายแดง ก็ต้องใช้กุญแจสาธารณะของนายแดง เข้ารหัส แล้วจึงส่งไปให้นายแดง ซึ่งจะให้กุญแจส่วนตัวถอดรหัสเช่นเดียวกัน ถ้านายเหลืองดักจับกุญแจสาธารณะของนายดำและนายแดง นายเหลือง ก็จะสร้างกุญแจคู่ของตนขึ้นมา 2 คู่ เช่นกัน
จากรูป สมมุติถ้านายดำต้องการติดต่อกับนายแดงเพื่อทำธุรกรรมทางอิเล็กทรอนิกส์ ทั้งนายดำและนายแดงต่างตกลงกันว่าจะมีแค่เราสองคนเท่านั้นที่อ่านข้อมูลที่รับส่งกันได้ แต่นายเหลืองต้องการที่จะรู้ว่าข้อความที่นายดำและนายแดงติดต่อกันคืออะไร ก่อนอื่นนายดำจะต้องส่งกุญแจสาธารณะของตนไปให้กับนายแดงก่อน เพื่อที่จะให้นายแดงใช้กุญแจนี้ทำการเข้ารหัสข้อมูลของตนเอง ก่อนที่จะส่งไปให้นายดำ นายเหลือง คนที่จ้องจะเข้ามาแอบอ่านข้อมูลที่ติดต่อกันระหว่างนายดำกับนายแดง รู้ว่านายดำจะต้องส่งกุญแจสาธารณะของตนให้กับนายแดง และนายแดงก็ต้องกุญแจสาธารณะของตนให้กับนายดำด้วย (นายเหลืองรู้จุดอ่อนของเทคโนโลยี Public Key คือไม่มีหน่วยงานรับรอง ที่ใครก็ได้จะไปตรวจสอบว่าใครคือเจ้าของกุญแจสาธารณะ) นายเหลืองจึงจ้องดักจับกุญแจสาธารณะของทั้งนายดำและนายแดงเอาไว้ก่อน
หลังจากที่นายเหลืองดักจับกุญแจสาธารณะของนายดำได้แล้ว นายเหลืองก็สร้างกุญแจคู่ใหม่ขึ้นมา 1 คู่ สมมุติว่าชื่อเหลืองดำ (ประกอบด้วยกุญแจส่วนตัวเหลืองดำ และกุญแจสาธารณะเหลืองดำ) เพื่อเอาไว้ใช้งานแทนกุญแจคู่จริงของนายดำ ดังนั้น ขณะนี้ กุญแจสาธารณะอันจริงของนายดำ ถูกนายเหลืองเก็บไว้แล้ว นายเหลืองส่งกุญแจสาธารณะเหลืองดำไปให้นายแดง นายแดง เมื่อได้รับกุญแจสาธารณะเหลืองดำจากนายเหลือง ก็คิดว่ากุญแจสาธารณะที่ได้รับมานี้เป็นกุญแจสาธารณะของนายดำจริง ๆ นายเหลือง ซึ่งคอยดักจับกุญแจสาธารณะของนายแดงเอาไว้ด้วย สร้างกุญแจคู่ใหม่อีก 1 คู่ สมมุติชื่อ เหลืองแดง (ประกอบด้วยกุญแจส่วนตัวเหลืองแดง และกุญแจสาธารณะเหลืองแดง) เหมือนเดิม คือนายเหลืองส่งกุญแจสาธารณะเหลืองแดงไปให้นายดำ นายดำ เมื่อได้รับกุญแจสาธารณะเหลืองแดงจากนายเหลือง ก็คิดว่ากุญแจสาธารณะที่ได้รับมานี้เป็นกุญแจสาธารณะของนายแดงจริง ๆ
จากรูปต่อไปนี้ จะเห็นว่าตอนนี้กุญแจสาธารณะของทั้งนายดำและนายแดง ถูกดักจับเอาไว้อยู่ที่นายเหลืองคนเดียว ส่วนนายดำก็จะมีกุญแจสาธารณะเหลืองแดงที่นายเหลืองสร้างขึ้น ซึ่งนายดำก็ไม่รู้ว่าจะไปตรวจสอบได้ที่ใดว่ากุญแจสาธารณะที่ตนถืออยู่นี้ เป็นของนายแดงจริง ๆ หรือไม่ ส่วนนายแดงเองก็จะมีกุญแจสาธารณะเหลืองดำที่นายเหลืองสร้างขึ้น ซึ่งนายแดงก็ไม่รู้ว่าจะไปตรวจสอบได้ที่ใดว่า กุญแจสาธารณะที่ตนถืออยู่นี้ เป็นของนายดำจริง ๆ หรือไม่ จากรูป เรามาดูกันว่า นายเหลืองสามารถแอบอ่านข้อมูลลับที่ติดต่อกันระหว่างนายดำกับนายแดงได้อย่างไร
นายดำส่งข้อมูล HELLO ไปให้นายแดง โดยก่อนส่ง นายดำได้ทำการเข้ารหัสข้อมูลเพื่อป้องกันไม่ให้คนอื่นดักรับและแอบอ่านข้อมูลระหว่างทางได้ นายดำจึงเอากุญแจสาธารณะเหลืองแดง (ซึ่งนายดำคิดว่ากุญแจสาธารณะเหลืองแดง เป็นกุญแจสาธารณะของนายแดง) สมมุติว่า HELLO เมื่อเข้ารหัสแล้ว ได้คำว่า XY#Z@ ออกมาแทน นายดำส่งข้อมูลที่เข้ารหัสแล้วไปให้นายแดง นายเหลืองซึ่งคอยดักรับข้อมูลของนายดำกับนายแดงอยู่ก่อนหน้านี้แล้ว ก็ดักจับข้อมูลที่เข้ารหัสไว้ได้ และใช้กุญแจส่วนตัวเหลืองแดงที่ตัวเองสร้างขึ้นถอดรหัส XY#Z@ ออกมาเป็นคำว่า HELLO หลังจากที่นายเหลืองรู้แล้วว่าข้อมูลลับที่นายดำต้องการส่งให้นายแดงคือคำว่า HELLO นายเหลืองก็จะส่งข้อมูลนี้ไปให้นายแดงต่อไป โดยก่อนที่จะส่ง นายเหลืองต้องเข้ารหัสข้อมูลนี้เสียก่อนด้วยกุญแจส่วนตัวเหลืองดำที่ตนได้สร้างไว้ก่อนหน้านี้ (สมมุติว่า HELLO เมื่อถูกเข้ารหัสด้วยกุญแจส่วนตัวเหลืองดำแล้ว ได้คำว่า 28G$@ ออกมา)
นายเหลืองส่งข้อมูลที่เข้ารหัสแล้วไปให้นายแดง นายแดงเมื่อได้รับข้อมูลที่ถูกเข้ารหัสไว้จากนายเหลือง ก็คิดว่าข้อมูลนี้ถูกส่งมาจากนายดำ นายแดงจึงใช้กุญแจสาธารณะเหลืองดำถอดรหัสข้อมูล (นายแดงคิดว่ากุญแจสาธารณะเหลืองดำคือกุญแจสาธารณะของนายดำที่นายดำส่งมาให้) นายแดงก็จะถอดรหัส 28G$@ ออกมาเป็น HELLO
ทำไมนายเหลืองถึงสามารถแอบอ่านข้อมูลความลับที่ใช้ติดต่อกันระหว่างนายดำกับนายแดง โดยที่ทั้งสองคนนั้นไม่ทราบเลยว่าข้อมูลความลับของตนเองได้ถูกนายเหลืองเข้ามาแอบอ่าน และทำอย่างไร เราจึงสามารถป้องกันนายเหลืองได้ วิธีแก้ไข คือจะต้องทำให้กุญแจสาธารณะทั้งของนายดำและนายแดง สามารถพิสูจน์ได้ว่าเป็นของนายดำและนายแดงจริง กล่าวคือหากนายแดงได้รับกุญแจสาธารณะมาจากนายดำ นายแดงต้องพิสูจน์ได้ว่ากุญแจสาธารณะที่ได้มานั้นเป็นกุญแจสาธารณะของนายดำจริง ๆ ไม่ได้เป็นของนายเหลืองที่ทำหลอกขึ้นมา วิธีที่ใช้สำหรับตรวจสอบกุญแจสาธารณะนั้น จะต้องตั้งองค์กรหนึ่งขึ้นมาเพื่อทำหน้าที่รับรองกุญแจสาธารณะให้กับนายดำและนายแดง โดยองค์กรที่ทำหน้าที่ลักษณะนี้จะถูกรู้จักในนามว่าองค์กรให้บริการออกใบรับรอง (Certification Authority) หรือ CA เมื่อมีองค์กรนี้ขึ้นมา นายแดงก็สามารถพิสูจน์ได้ว่ากุญแจสาธารณะของนายดำเป็นของนายดำจริง ๆ โดยการสอบถามมาที่องค์กร CA นี้ได้โดยตรง
วิธีการที่ใช้ในการตรวจสอบกุญแจสาธารณะ คือการตั้งองค์กรขึ้นมาทำหน้าที่รับรองกุญแจสาธารณะให้กับคู่กรณี โดยองค์กรที่ทำหน้าที่ลักษณะนี้ รู้จักกันในนามว่า องค์กรให้บริการออกใบรับรอง (Certification Authority) หรือ CA ซึ่งทำหน้าที่เก็บกุญแจสาธารณะไว้ในฐานข้อมูล และเปิดเผยกุญแจสาธารณะต่อสาธารณะชนเพื่อเข้ามาตรวจสอบว่าใครเป็นเจ้าของกุญแจได้ สรุปได้ว่า โครงสร้างของเทคโนโลยีกุญแจสาธารณะ (PKI) ที่จะนำมาใช้ในการทำธุรกรรมอิเล็กทรอนิกส์ได้นั้น จะต้องมีบุคคลที่เกี่ยวข้องประกอบไปด้วย ลายมือชื่อดิจิทัล ซึ่งได้มาจากการนำเอาเทคโนโลยีการเข้ารหัสแบบ Public Key กับเทคโนโลยี Message Digest มาใช้ร่วมกัน จากนั้นต้องมีองค์กรให้บริการออกใบรับรองหรือ CA มาใช้เพื่อรับรองความสัมพันธ์ของผู้ลงลายมือชื่อกับเจ้าของตัวจริง และสุดท้ายก็คือคู่กรณีที่เกี่ยวข้อง (Relaying Party) ในการทำธุรกรรมอิเล็กทรอนิกส์ด้วย สรุปสิ่งที่เกี่ยวข้องกัน ดังรูปต่อไปนี้
รูปตัวอย่างสิ่งที่เกี่ยวข้องกับเทคโนโลยี่กุญแจสาธารณะ (PKI) ที่จะต้องมีองค์กรรับรองกุญแจสาธารณะ องค์กรรับรอง (Certification Authority) Internet คู่กรณี (Relaying Party) Digital Signature
เทคโนโลยี PKI และผู้ประกอบการออกใบรับรอง ในการตรวจสอบลายมือชื่อดิจิทัลนั้น ผู้ตรวจสอบต้องสามารถเข้าถึงกุญแจสาธารณะของผู้ลงลายมือชื่อ และจะต้องมั่นใจได้ว่ากุญแจสาธารณะนั้นสัมพันธ์กับกุญแจส่วนตัวของผู้ลงลายมือชื่อ เนื่องจากกุญแจส่วนตัวและกุญแจสาธารณะนั้น ไม่มีความสัมพันธ์ใดๆ กับบุคคล เพราะกุญแจส่วนตัวและกุญแจสาธารณะเป็นเพียงตัวเลขที่ถูกสร้างขึ้นมาเท่านั้น ด้วยเหตุนี้กลไกการทำงานจึงต้องสร้างความน่าเชื่อถือระหว่างบุคคลกับกุญแจคู่ และเพื่อให้กุญแจสาธารณะบรรลุวัตถุประสงค์ของการใช้งานจึงจำเป็นที่จะต้องทำให้บุคคลอื่น สามารถหาหรือเข้าถึงกุญแจสาธารณะได้โดยง่าย แม้ว่าบุคคลเหล่านั้นจะไม่เคยรู้จักผู้สร้างลายมือชื่อมาก่อน ด้วยเหตุดังกล่าวคู่สัญญาจึงจำเป็นต้องให้ความเชื่อถือในกุญแจคู่ที่ถูกสร้างขึ้นมา โดยการใช้บุคคลที่สามในการกำหนดความเชื่อมโยงระหว่างผู้ลงลายมือชื่อกับกุญแจสาธารณะ โดยบุคคลที่สามนี้ โดยทั่วไปเรียกกันว่า “ผู้ประกอบใบรับรอง” (Certification Authority หรือ Certification service provider)
ใบรับรอง (Certificate) ลายมือชื่อที่สร้างจากเทคโนโลยีการเข้ารหัสแบบอสมมาตรโดยอาศัยโครงสร้างพื้นฐานของกุญแจสาธาณะ (PKI) ที่เรียกว่าลายมือชื่อดิจิทัล เมื่อส่งข้อความที่อยู่ในรูปข้อมูลอิเล็กทรอนิกส์พร้อมลายมือชื่อดิจิทัลไปยังผู้รับซี่งสามารถตรวจสอบความถูกต้อง โดยใช้กุญแจสาธารณะของผู้ส่งซึ่งแสดงอยู่ในใบรับรอง (Certificate) ซึ่งจะเก็บไว้ในฐานข้อมูลของผู้ประกอบการรับรอง (Repository) และเปิดเผยเพื่อให้ประชาชนทั่วไปสามารถนำกุญแจสาธารณะนั้นไปตรวจสอบได้ รูปแบบใบรับรองซึ่งเป็นที่ยอมรับโดยทั่วไปในปัจจุบัน ได้แก่รูปแบบใบรับรองที่กำหนดมาตรฐานไว้โดย International Telecommunication Union : ITU) คือมาตรฐาน X.509 Version 3
หน้าที่หลักของ CA คือออกใบรับรองดิจิทัล (Digital Certificate) ซึ่งในใบรับรองดิจิทัลจะมีกุญแจสาธารณะของผู้ส่งเก็บอยู่ในนี้ด้วย ทำให้ผู้รับสามารถที่จะตรวจสอบกุญแจสาธารณะที่อยู่ในใบรับรองดิจิทัลอันนี้กลับไปยังองค์กรที่ออกใบรับรองฉบับนี้ ก็จะทำให้ผู้รับ ทราบได้ทันทีว่ากุญแจสาธารณะนี้เป็นของบุคคลคนนั้นจริงๆ นอกเหนือจากกุญแจสาธารณะ ใบรับรองดิจิทัลยังเก็บข้อมูลอื่น ๆ ตามมาตรฐาน X.509 version 3
หมายเลขของใบรับรอง (serial number) ต้องไม่ซ้ำกัน ใบรับรองดิจิทัลตามมาตรฐาน X.509 version 3 อย่างน้อยจะต้องมีข้อมูลดังต่อไปนี้ หมายเลขของใบรับรอง (serial number) ต้องไม่ซ้ำกัน วิธีการที่ใช้ในการสร้างลายมือชื่อดิจิทัล และมาตรฐานที่ใช้ในการเข้ารหัสข้อมูล หน่วยงานที่ออกใบรับรองฉบับนี้ เพื่อเอาไว้ใช้ตรวจสอบองค์กรที่ออกใบรับรองนี้ (Issuer) วันเวลาเริ่มใช้ใบรับรอง (starting time and time) วันเวลาที่ใบรับรองหมดอายุ (expiring date and time) ชื่อของผู้ถือใบรับรอง ในส่วนนี้รวมถึง e-mail address ของผู้ถือใบรับรองด้วย (Subject) กุญแจสาธารณะของผู้ถือใบรับรอง (subject ' s public key) ลายมือชื่อดิจิทัลของหน่วยงานที่ออกใบรับรอง เพื่อเป็นการยืนยันว่าใบรับรองฉบับนี้ได้ออกโดยองค์กรหรือหน่วยงานนี้จริง ๆ (CA signature)
ประเภทของใบรับรองที่ออกโดย CA ใบรับรองบุคคล (Personal Certificate) ใบรับรองเครื่องแม่ข่าย (Server Certificate) ใบรับรองสำหรับองค์กรออกใบรับรอง (Certification Authority Certificate)
นอกจากนี้ยังสามารถใช้รับประกันช่องทางสื่อสารแบบปลอดภัยระหว่างเว็บไซต์กับบุคคลทั่วไปด้วย
หรือเครื่องแม่ข่ายได้ ในใบรับรองดิจิทัลตามมาตรฐาน X.509 เวอร์ชั่น 3 หนึ่งในข้อมูลที่จะต้องมีคือ ลายมือชื่อดิจิทัล และชื่อหน่วยงานที่ออกใบรับรองซึ่งจากข้อมูลตรงนี้จะถูกนำไปใช้ในการตรวจสอบว่าใบรับรองที่ออกโดยองค์กรนี้เป็นใบรับรองที่ออกมาจากองค์กรนี้จริง ๆ
ผู้ประกอบการรับรอง (Certification Authority) ผู้ประกอบการรับรอง เป็นบุคคลฝ่ายที่สามทำหน้าที่ 1. สร้างกุญแจคู่ตามคำขอของผู้ขอใช้บริการออกใบรับรองยืนยันตัวบุคคลผู้ขอใช้บริการ 2. จัดเก็บกุญแจสาธารณะในฐานข้อมูล เพื่อเปิดเผยกุญแจสาธารณะต่อสาธารณะชนที่ต้องการตรวจสอบผู้ที่เป็นเจ้าขอกุญแจสาธารณะว่าเป็นของใคร 3. ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะตามคำขอของบุคคลทั่วไปที่ต้องการเข้ามาตรวจสอบ 4. ให้บริการอื่น ๆ ที่เกี่ยวข้อง เช่น เพิกถอนใบรับรอง ต่ออายุใบรับรอง เป็นต้น
ขั้นตอนการขอ และออกใบรับรอง
การให้บริการของหน่วยงานออกใบรับรอง (Services provided by CA) บริการที่เกี่ยวข้องกับการออกใบรับรอง (Certification Management Service) บริการเสริมต่างๆ (Ancillary Services)
1. บริการที่เกี่ยวข้องกับการออกใบรับรอง (Certification Management Service) 1.1 การออกใบรับรอง (Certificate Issuance) คือบริการที่ CA ทำการออกใบรับรองให้กับบุคคลทั่วไป หรือองค์กรต่าง ๆ 1.2 การยกเลิกใบรับรอง (Certificate Revocation) คือบริการที่ CA ทำการระงับหรือยกเลิกใบรับรองที่ออกให้ไปแล้ว ซึ่งอาจมีสาเหตุจากมีผู้อื่นล่วงรู้รหัสกุญแจส่วนตัว ดังนั้นบุคคลที่ถือใบรับรองจึงร้องขอให้ CA ทำการยกเลิกใบรับรองของตัวเองเสียก่อนเพื่อป้องกันไม่ให้บุคคลอื่นแอบอ้างเอากุญแจส่วนตัวนี้ไปใช้ 1.3 เผยแพร่ใบรับรองให้กับบุคคลทั่วไป (Certificate Publishing) คือบริการที่ CA ทำการเก็บใบรับรองที่ออกให้กับบุคคลทั่วไปทั้งหมดไว้ที่ส่วนกลางของ CA เพื่อให้บุคคลทั่วไปสามารถเข้ามาตรวจสอบข้อมูลใบรับรองของบุคคลที่กำลังทำธุรกรรมทางอิเล็กทรอนิกส์อยู่ด้วยได้
1.4 การเก็บต้นฉบับใบรับรอง(Certificate Archiving) คือบริการที่ CA ทำการเก็บต้นฉบับของใบรับรองทั้งหมดของบุคคลทั่วไป เพราะใบรับรองของแต่ละบุคคลจะมีวันหมดอายุด้วย ดังนั้นกรณีที่ใบรับรองหมดอายุ บุคคลที่ต้องการจะใช้ใบรับรองของตนต่อไป จะต้องทำการต่ออายุใบรับรองใหม่ ซึ่ง CA จะต้องการเก็บข้อมูลของใบรับรองเดิมและใบรับรองใหม่ด้วย เพื่อให้เอกสารที่เคยลงลายมือชื่อดิจิทัลกำกับอยู่ซึ่งใช้ใบรับรองเดิมที่หมดอายุไปแล้ว ยังสามารถเชื่อถือได้อยู่เหมือนเดิม 1.5 กำหนดนโยบายการออกและอนุมัติใบรับรอง(Policy Creation/Approval) คือบริการที่ CA ทำการกำหนดนโยบายหรือกฎเกณฑ์ต่างๆว่าในการออกหรือการอนุมัติใบรับรอง เพื่อให้ใบรับรองที่ตรงตามมาตรฐานและเป็นที่น่าเชื่อถือ
2. บริการเสริมต่าง ๆ (Ancillary Services) 2.1 การบันทึกข้อมูลการเปลี่ยนแปลงของบุคคลที่เป็นเจ้าของใบรับรอง (Registration) เช่น ขอเปลี่ยนแปลงแก้ไขเบอร์โทรศัพท์ เป็นต้น 2.2 การเก็บต้นฉบับข้อมูล (Data Archiving) เป็นบริการที่ CA ทำการเก็บข้อมูลของใบรับรองโดยสำรองข้อมูลของใบรับรองทั้งหมดที่มี เพื่อรับประกันว่าข้อมูลของใบรับรองจะยังคงอยู่สามารถเข้ามาตรวจสอบข้อมูลเหล่านี้ได้ตลอดเวลา 2.3 การกู้กุญแจ (Key Recovery) เป็นบริการที่ CA ทำการสำเนากุญแจส่วนตัวเก็บไว้ด้วยเพื่อสามารถกู้คืนกุญแจให้กับบุคคลเจ้าของใบรับรอง ในกรณีที่เจ้าของใบรับรองลืมรหัสผ่านที่ใช้ป้องกันกุญแจส่วนตัว 2.4 การทำทะเบียนของผู้ใช้บริการ (Directory) เป็นบริการที่ CA ทำการเก็บบันทึกข้อมูลต่างๆ ของผู้ขอใช้บริการ โดยข้อมูลที่ว่านี้ ไม่ได้เป็นข้อมูลที่อยู่ในใบรับรอง แต่เป็นข้อมูลต่างๆของผู้ใช้บริการ เช่น e-mail address เป็นต้น
แนวปฏิบัติตามมาตรา 27 และมาตรา 28 บทบัญญัติในมาตรา 27, 28, 29, และ มาตรา 30 เป็นการวางกฎเกณฑ์เกี่ยวกับหน้าที่และความรับผิดชอบของคู่สัญญาฝ่ายต่าง ๆ ที่เกี่ยวข้อง เช่น เจ้าของลายมือชื่อ คู่กรณีที่เกี่ยวข้อง และผู้ให้บริการออกใบรับรอง “เจ้าของลายมือชื่อ” บทบัญญัติมาตรา 27 วางหลักการพื้นฐานว่า เจ้าของลายมือชื่อจะต้องใช้ความระมัดระวังแบบสมเหตุสมผล (Reasonable care) เพื่อมิให้มีการใช้ข้อมลสำหรับใช้สร้างลายมือชื่ออิเล็กทรอนิกส์โดยไม่ได้รับอนุญาติ และในกรณีที่รู้หรือควรจะได้รู้ว่าข้อมูลนั้นได้ถูกล่วงรู้โดยผู้อื่น เจ้าของลายมือชื่อจะต้องแจ้งให้บุคคลที่เกี่ยวข้องหรือผู้ให้บริการใบรับรองทราบโดยไม่ชักช้า และผู้สร้างลายมือชื่อต้องกระทำการด้วยความระมัดระวังเพื่อให้ข้อความที่ปรากฏในใบรับรองถูกต้องครบถ้วนตลอดเวลา แนวปฏิบัติของ “ผู้ให้บริการออกใบรับรอง” บัญญัติในมาตรา 28 เป็นหลักพื้นฐานเกี่ยวกับการให้บริการในการรับรองลายมือชื่อ การรับรองความถูกต้องและครบถ้วนของข้อมูลที่แสดงในใบรับรอง วิธีการที่ใช้ในการระบุหรือยืนยันตัวผู้ลงลายมือชื่อ ระบุวิธีการเข้าถึงเพื่อให้สาธารณะชนทั่วไปสามารถตรวจสอบข้อมูลที่ปรากฏในใบรับรองได้
แนวปฏิบัติตามมาตรา 29 บทบัญญัติในมตรา 29 กำหนดเกี่ยวกับระบบ วิธีการ และบุคคลากรที่เชื่อถือได้ขององค์กรที่ทำหน้าที่ออกใบรับรอง ทั้งนี้ มาตรา 29 ได้บัญญัติหลักเกณฑ์ที่ใช้ในการพิจารณาความน่าเชื่อถือ (Trustworthiness) ของผู้ประกอบการออกใบรับรอง ดังรายการต่อไปนี้ สถานภาพทางการเงิน บุคคลากร และสินทรัพย์ที่มีอยู่ คุณภาพของฮาร์ดแวร์ และซอฟต์แวร์ที่ใช้ วิธีการออกใบรับรอง การขอใบรับรอง และการเก็บรักษาข้อมูลของผู้ขอใช้บริการ การจัดให้มีข้อมูลเกี่ยวกับเจ้าของลายมือชื่อที่ปรากฏในใบรับรอง ของคู่กรณีทั้ง 2 ฝ่าย การบริการเสริม ที่ผู้ประกอบการออกใบรับรองต้องจัดให้มี เช่นวิธีการต่ออายุใบรับรอง การยกเลิกใบรับรอง เป็นต้น
แนวปฏิบัติตามมาตรา 30 บทบัญญัติในมาตรา 30 กำหนดเกี่ยวกับแนวปฏิบัติของคู่กรณี โดยมีหลักการสำคัญที่ว่า คู่กรณีต้องใช้ความระมัดระวังตามสมควรในการตรวจสอบความน่าเชื่อถือของลายมือชื่ออิเล็กทรอนิกส์ เช่นการตรวจสอบความสมบูรณ์ การพักใช้ หรือการเพิกถอนใบรับรอง (กล่าวคือ คู่กรณีสามารถตรวจสอบรายละเอียดอะไรได้บ้าง และควรจะต้องตรวจสอบด้วย)
การรับรองใบรับรอง และลายมือชื่ออิเล็กทรอนิกส์ต่างประเทศ (มาตรา 31) บทบัญญัติตามมาตรา 31 “พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔” เป็นการวางกฎเกณฑ์เกี่ยวกับใบรับรอง และการรับรองลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นที่ต่างประเทศ โดยมาตรา 31 ได้กำหนดหลักการที่ว่าไม่ให้นำประเด็นเกี่ยวกับสถานที่ออกใบรับรองหรือสถานที่ที่สร้างหรือใช้ลายมือชื่ออิเล็กทรอนิกส์ ซึ่งหลักการดังกล่าวนี้วางอยู่บนพื้นฐานของการไม่เลือกปฏิบัติ (Non-discrimination) กล่าวคือ ผลทางกฎหมายของใบรับรองและลายมือชื่ออิเล็กทรอนิกส์ไม่ได้พิจารณาจากประเด็นที่ว่าใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ถูกสร้างขึ้นที่ใด ทั้งนี้ การพิจารณาผลทางกฎหมายของใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในต่างประเทศนั้น ได้มีการกำหนดหลักเกณฑ์ไว้ในมาตราที่ 31 ว่า “ใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในต่างประเทศ ให้มีผลทางกฎหมายเช่นเดียวกับใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในประเทศ” หากใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์นั้น ได้ใช้ระบบที่เชื่อถือได้ไม่น้อยไปกว่าระบบที่เชื่อถือได้ตามพระราชบัญญัตินี้
การรับรองใบรับรอง และลายมือชื่ออิเล็กทรอนิกส์ต่างประเทศ (มาตรา 31) บทบัญญัติตามมาตรา 31 “พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔” เป็นการวางกฎเกณฑ์เกี่ยวกับใบรับรอง และการรับรองลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นที่ต่างประเทศ โดยมาตรา 31 ได้กำหนดหลักการที่ว่าไม่ให้นำประเด็นเกี่ยวกับสถานที่ออกใบรับรองหรือสถานที่ที่สร้างหรือใช้ลายมือชื่ออิเล็กทรอนิกส์ ซึ่งหลักการดังกล่าวนี้วางอยู่บนพื้นฐานของการไม่เลือกปฏิบัติ (Non-discrimination) กล่าวคือ ผลทางกฎหมายของใบรับรองและลายมือชื่ออิเล็กทรอนิกส์ไม่ได้พิจารณาจากประเด็นที่ว่าใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ถูกสร้างขึ้นที่ใด ทั้งนี้ การพิจารณาผลทางกฎหมายของใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในต่างประเทศนั้น ได้มีการกำหนดหลักเกณฑ์ไว้ในมาตราที่ 31 ว่า “ใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในต่างประเทศ ให้มีผลทางกฎหมายเช่นเดียวกับใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์ที่สร้างขึ้นในประเทศ” หากใบรับรองหรือลายมือชื่ออิเล็กทรอนิกส์นั้น ได้ใช้ระบบที่เชื่อถือได้ไม่น้อยไปกว่าระบบที่เชื่อถือได้ตามพระราชบัญญัตินี้
สรุปคำอธิบายการให้บริการออกใบรับรองอิเล็กทรอนิกส์ การให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority หรือ CA) คือการออกใบรับรองอิเล็กทรอนิกส์โดยการประยุกต์ใช้เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure หรือ PKI) ซึ่งสามารถนำไปใช้ในการระบุและตรวจสอบตัวบุคคลได้อย่างมีประสิทธิภาพด้วยกลไกที่น่าเชื่อถือ เพราะสามารถนำไปใช้ในการสร้างลายมือชื่อดิจิทัลอันเป็นลายมือชื่ออิเล็กทรอนิกส์ที่เชื่อถือได้ประเภทหนึ่งซึ่งสามารถระบุตัวบุคคล อีกทั้งยังสามารถตรวจสอบตัวบุคคลที่สร้างลายมือชื่อดังกล่าวได้ด้วย นอกจากนั้นยังสามารถนำไปเข้ารหัสลับเพื่อรักษาความลับของธุรกรรมที่ทำขึ้นนั้นได้ด้วย
ก่อนการให้บริการ ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำหน้าที่ตรวจสอบตัวตนของผู้ใช้บริการเสียก่อนว่าเป็นบุคคลนั้นจริงหรือไม่ จากนั้นจึงให้ผู้ใช้บริการสร้างข้อมูลอิเล็กทรอนิกส์ด้วยเทคโนโลยี PKI ขึ้นมาชุดหนึ่ง เรียกว่ากุญแจคู่ ประกอบด้วย “กุญแจส่วนตัว” ซึ่งผู้ใช้บริการต้องเก็บรักษาไว้เป็นความลับเพื่อใช้ในการสร้างลายมือชื่อดิจิทัล หรือนำไปใช้ถอดรหัสข้อความใดก็ตามที่มีการเข้ารหัสเพื่อรักษาความลับของข้อความนั้นไว้ “กุญแจสาธารณะ” ซึ่งสามารถนำไปใช้ในการตรวจสอบลายมือชื่อดิจิทัล หรือนำไปใช้ในการเข้ารหัสข้อความที่ต้องการรักษาความลับ หลังจากนั้น ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ก็จะนำข้อมูลส่วนบุคคลเท่าที่สามารถเปิดเผยได้ และกุญแจสาธารณะของผู้ใช้บริการไปบันทึกไว้ในใบรับรองอิเล็กทรอนิกส์และออกให้กับผู้ใช้บริการเพื่อใช้ในการยืนยันตัวตน
ด้วยเหตุนี้ ในการให้บริการของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ จึงต้องจัดทำแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) รวมทั้งมาตรการต่างๆ ไว้เป็นจำนวนมาก และเพื่อสร้างความน่าเชื่อถือยิ่งขึ้นให้กับการให้บริการออกใบรับรองอิเล็กทรอนิกส์
บทสรุป ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ เป็นบุคคลที่สาม ที่ทำหน้าที่ สร้างกุญแจคู่ตามคำขอของผู้ขอใช้บริการ ออกใบรับรองอิเล็กทรอนิกส์ ยืนยันตัวบุคคลของผู้ขอใช้บริการ จัดเก็บกุญแจสาธารณะในฐานข้อมูล เปิดเผยกุญแจสาธารณะต่อสาธารณชนที่ติดต่อทางเครือข่าย ยืนยันตัวบุคคลที่เป็นเจ้าของกุญแจสาธารณะตามคำขอของบุคคลทั่ว ๆ ไป ให้บริการอื่น
ตัวอย่าง ขั้นตอนการขอใบรับรองจาก CA เข้าไปในเว็บไซต์ของผู้ประกอบการออกใบรับรองอิเล็กทรอนิกส์ กรอกข้อมูลต่างๆ เช่น ชื่อ ที่อยู่ e-mail address วิธีการชำระเงิน ฯลฯ เมื่อกรอกข้อมูลเสร็จ ตอบตกลง ข้อมูลจะถูกส่งไปยังผู้ประกอบการออกใบรับรองอิเล็กทรอนิกส์ หน่วยงาน RA ขององค์กรผู้ประกอบการใบรับรองอิเล็กทรอนิกส์ ตรวจสอบข้อมูลของผู้ขอใบรับรอง ถ้าข้อมูลทุกอย่างถูกต้องครบถ้วน ผู้ประกอบการรับรองจะส่ง e-mail มายังผู้ขอตาม e-mail address ที่ผู้ขอได้แจ้งไว้ เพื่อแจ้งให้ทราบ PIN CODE ที่จะใช้ในการรับใบรับรองอิเล็กทรอนิกส์ผ่านทางเว็บไซต์ของผู้ประกอบการออกใบรับรองฯ
6. เมื่อผู้ขอใบรับรองเข้าไปในเว็บไซต์ตามที่ผู้ประกอบการแจ้งมา และใส่ PIN CODE แล้ว ซอฟต์แวร์จะทำการสร้าง กุญแจส่วนตัวและกุญแจสาธารณะ โดยก่อนทำการสร้าง ซอฟต์แวร์จะให้ผู้ใช้ใส่ password เพื่อใช้ในการป้องกันกุญแจส่วนตัว จากนั้นซอฟต์แวร์จะทำการส่งกุญแจสาธารณะไปยังผู้ประกอบการออกใบรับรองอิเล็กทรอนิกส์ เพื่อให้ผู้ประกอบการออกใบรับรองฯทำการรับรองกุญแจสาธารณะนั้น และออกใบรับรองให้แก่ผู้ขอ
การประกอบธุรกิจบริการ “ผู้ออกใบรับรอง” (Certificate Authority) การประกอบกิจการพาณิชย์อิเล็กทรอนิกส์ ก่อให้เกิดธุรกิจบริการในรูปแบบอื่น ๆ ที่เกี่ยวข้องขึ้นมามากมาย เช่น ธุรกิจบริการชำระเงิน ธุรกิจบริการผู้ประกอบการออกใบรับรอง ธุรกิจตรวจสอบระบบการจัดทำเอกสารภ่าพ เป็นต้น พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ มาตรา 32 – มาตรา 34 มีวัตถุประสงค์หลักเพื่อกำหนดหลักเกณฑ์การประกอบธุรกิจบริการที่เกิดขึ้นมาพร้อมๆกับพาณิชย์อิเล็กทรอนิกส์ เช่น ธุรกิจบริการผู้ออกใบรับรอง ธุรกิจบริการรับชำระเงิน เป็นต้น พร้อมทั้งการวางหลักเกณฑ์เกี่ยวกับการกำกับดูแลธุรกิจบริการเหล่านี้ด้วย เพราะหากปล่อยให้ดำเนินธุรกิจโดยไม่มีการกำกับดูแลจากภาครัฐ อาจส่งผลกระทบต่อความน่าเชื่อถือได้