নথির ক্রিপ্টোগ্রাফি — হ্যাশ, ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প (কোনটি কী প্রমাণ করে)
এছাড়াও উপলব্ধ:中文РусскийBahasa Indonesiaहिन्दीFrançaisEspañolEnglishPortuguêsالعربية
"এই নথির কি আইনি বৈধতা আছে?" — PDF নিয়ে কাজ করা যেকোনো অফিসে প্রশ্নটি প্রতি সপ্তাহে ওঠে। আর সঠিক উত্তর নির্ভর করে তিনটি ভিন্ন ক্রিপ্টোগ্রাফিক ব্যবস্থা বোঝার ওপর, যেগুলো মানুষ সারাক্ষণ গুলিয়ে ফেলে: হ্যাশ, ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প।
প্রতিটি ভিন্ন জিনিস প্রমাণ করে। ভুলটি ব্যবহার করা — বা একটিকে অন্যটির বিকল্প ভাবা — এমন অসাবধানতা, যা নথি নিয়ে প্রশ্ন উঠলে তবেই ধরা পড়ে। এই গাইড তিনটিকেই পরিভাষা ছাড়া ব্যাখ্যা করে, দেখায় প্রতিটি কী প্রমাণ করে (আর কী করে না), এবং সেই ব্যবহারিক ভুলগুলোর তালিকা দেয় যা কারও চোখে না পড়েই ডিজিটাল স্বাক্ষর বাতিল করে।
একটি ডিজিটাল নথিকে যে তিনটি প্রশ্নের জবাব দিতে হয়
নথি যখন প্রমাণ হয়ে ওঠে — দর-কষাকষিতে, নিরীক্ষায়, মামলায় — তখন তা নিয়ে সংশয়গুলো সবসময় তিনটি প্রশ্নেরই রূপভেদ:
- অখণ্ডতা — এই ফাইলটি কি হুবহু একই, কোনো পরিবর্তন ছাড়া?
- রচয়িতা — এই বিষয়বস্তু কে তৈরি করেছে বা অনুমোদন করেছে?
- পূর্ব-অস্তিত্ব — নির্দিষ্ট কোনো তারিখে এই বিষয়বস্তু কি আগেই ছিল?
আধুনিক ক্রিপ্টোগ্রাফির প্রতিটি প্রশ্নের জন্য একটি করে হাতিয়ার আছে। একে একে দেখি।
হাতিয়ার ১ — হ্যাশ: অখণ্ডতার প্রমাণ
SHA-256 হ্যাশ ফাইলের গাণিতিক "আঙুলের ছাপ": বিষয়বস্তু থেকে হিসাব করা ৬৪ অক্ষরের একটি ধারা। নথিতে যেকোনো পরিবর্তন — একটি কমা — সম্পূর্ণ ভিন্ন হ্যাশ তৈরি করে। আমরা SHA-256 হ্যাশ ও অখণ্ডতা যাচাই নিয়ে পূর্ণাঙ্গ গাইড প্রকাশ করেছি; সারকথা:
- প্রমাণ করে: বিষয়বস্তু বিট-বাই-বিট সেটিই, যা হ্যাশ নথিভুক্তের সময় ছিল;
- প্রমাণ করে না: ফাইল কে বানিয়েছে, কবে;
- খরচ: শূন্য — ব্রাউজারেই যেকোনো ফাইলের হ্যাশ বের করা যায়, সেকেন্ডে, নথি কোথাও না পাঠিয়ে।
হ্যাশ বাকি দুটি ব্যবস্থার ভিত্তি: ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প — দুটিই ভেতরে ভেতরে নথির হ্যাশে স্বাক্ষর বা তারিখ বসায়।
হাতিয়ার ২ — ডিজিটাল স্বাক্ষর: রচয়িতার প্রমাণ
এখানে আসে অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফি (পাবলিক-কি ক্রিপ্টোগ্রাফি), আর ধারণাটি বোঝার মতো, কারণ এটি অপূর্ব:
প্রত্যেকের কাছে থাকে গাণিতিকভাবে সংযুক্ত এক জোড়া চাবি: একটি প্রাইভেট কি, যা কেবল তার কাছে, আর একটি পাবলিক কি, যা যে-কেউ জানতে পারে। এক চাবি যা এনক্রিপ্ট করে, শুধু অন্যটিই তা খোলে।
ডিজিটাল স্বাক্ষর এর চতুর ব্যবহার করে:
- সফটওয়্যার নথির হ্যাশ বের করে;
- সেই হ্যাশ স্বাক্ষরকারীর প্রাইভেট কি দিয়ে এনক্রিপ্ট হয় — এটিই স্বাক্ষর;
- নথি প্রাপক স্বাক্ষরটি স্বাক্ষরকারীর পাবলিক কি দিয়ে খুলে ফাইলের নতুন করে বের করা হ্যাশের সঙ্গে মেলান।
মিললে দুটি জিনিস একসঙ্গে প্রমাণ হয়: স্বাক্ষরের পর নথি বদলানো হয়নি (অখণ্ডতা), এবং স্বাক্ষরটি কেবল প্রাইভেট কি-র মালিকই করতে পেরেছেন (রচয়িতা)।
একটি সংযোগ বাকি: ওই পাবলিক কি সত্যিই ওই ব্যক্তির — জানব কীভাবে? এখানেই ডিজিটাল সার্টিফিকেট-এর ভূমিকা — সার্টিফাইং অথরিটির জারি করা ইলেকট্রনিক নথি, যা পাবলিক কি-কে মালিকের পরিচয়ের সঙ্গে বাঁধে। আইনি কাঠামো দেশে দেশে ভিন্ন: বাংলাদেশে ICT আইন, ২০০৬-এর অধীনে CCA (Controller of Certifying Authorities)-অনুমোদিত সংস্থার সার্টিফিকেটসহ ডিজিটাল স্বাক্ষর আইনত স্বীকৃত; ইউরোপীয় ইউনিয়নে আছে eIDAS-এর কোয়ালিফায়েড ইলেকট্রনিক সিগনেচার; বহু দেশে নিজস্ব জাতীয় PKI ব্যবস্থা। নিচের ক্রিপ্টোগ্রাফি সর্বত্র একই।
- প্রমাণ করে: রচয়িতা/সম্মতি + স্বাক্ষরের মুহূর্ত থেকে অখণ্ডতা;
- প্রমাণ করে না: বিষয়বস্তু স্বাক্ষরের আগে ছিল, বা স্বাধীন জোরে তারিখ (স্বাক্ষরকারীর কম্পিউটারের ঘড়ি দুর্বল প্রমাণ);
- খরচ: কোয়ালিফায়েড সার্টিফিকেট সাধারণত সশুল্ক; অনেক দেশে বিনামূল্যের বা কম খরচের সরকারি ব্যবস্থাও আছে।
হাতিয়ার ৩ — বিশ্বস্ত টাইমস্ট্যাম্প: পূর্ব-অস্তিত্বের প্রমাণ
টাইমস্ট্যাম্প সেই প্রশ্নের জবাব দেয় যা বাকি দুটি পারে না: "এই নথি কি এই তারিখে আগে থেকেই ছিল?"
কাজ করে এভাবে: নথির হ্যাশ পাঠানো হয় একটি টাইমস্ট্যাম্পিং অথরিটির (TSA) কাছে — নিরীক্ষিত, বিশ্বস্ত ঘড়িওয়ালা সেবা, RFC 3161 মান অনুসারে — যারা হ্যাশটি সরকারি তারিখ-সময়সহ স্বাক্ষর করে ফেরত দেয়। গোপনীয়তার জন্য গুরুত্বপূর্ণ খুঁটিনাটিতে খেয়াল করুন: শুধু হ্যাশই যাতায়াত করে, নথি কখনও নয়। কর্তৃপক্ষ বিষয়বস্তু না দেখেই আঙুলের ছাপে সিলমোহর দেয়।
- প্রমাণ করে: ওই নির্দিষ্ট বিষয়বস্তু বড়জোর ওই তারিখ-সময়ে বিদ্যমান ছিল;
- প্রমাণ করে না: রচয়িতা;
- খরচ: সাধারণত সশুল্ক সেবা, বিশ্বজুড়ে টাইমস্ট্যাম্পিং অথরিটি দেয়।
ব্যবহারিক সারসংক্ষেপ: কোন প্রয়োজনে কোন হাতিয়ার
- "প্রমাণ করতে চাই ফাইল বদলায়নি" → SHA-256 হ্যাশ। তাড়াতাড়ি নথিভুক্ত করুন, অস্বীকার করা কঠিন এমন জায়গায় (অন্য পক্ষকে ই-মেইল, শেয়ার করা প্রতিবেদন), পরে অখণ্ডতা যাচাইকারীতে মেলান।
- "প্রমাণ করতে চাই অমুক এই বিষয়বস্তুতে সম্মত" → ডিজিটাল স্বাক্ষর (আপনার দেশে আইনত স্বীকৃত)।
- "প্রমাণ করতে চাই এই বিষয়বস্তু নির্দিষ্ট তারিখের আগে ছিল" → টাইমস্ট্যাম্প।
- "সবকটাই চাই" → তিনটি মেলে: টাইমস্ট্যাম্পসহ ডিজিটাল স্বাক্ষরিত চুক্তিতে রচয়িতা, অখণ্ডতা ও তারিখ — সব আছে।
যে ভুল ডিজিটাল স্বাক্ষর বাতিল করে (আর প্রায় কেউ টের পায় না)
অফিসের দৈনন্দিন কাজের জন্য এই লেখার সবচেয়ে মূল্যবান সতর্কবার্তা:
ডিজিটাল স্বাক্ষরিত PDF-এ যেকোনো হস্তক্ষেপ স্বাক্ষর ভেঙে দেয়। মনে করুন এটি কীভাবে কাজ করে: স্বাক্ষর মানে নথির এনক্রিপ্ট করা হ্যাশ। নথি বদলালে হ্যাশ বদলায়, স্বাক্ষরের মিল আর হয় না। অর্থাৎ, আগে থেকে স্বাক্ষরিত PDF-এ:
- অন্য PDF-এর সঙ্গে জোড়া — স্বাক্ষর ভাঙে;
- ভাগে ভাগ করা — স্বাক্ষর ভাঙে;
- আকার কমাতে সংকোচন — স্বাক্ষর ভাঙে;
- পৃষ্ঠা মুছে ফেলা বা বের করা — স্বাক্ষর ভাঙে;
- এমনকি কিছু PDF রিডারের "Save As"-ও ফাইল নতুন করে লিখে যাচাই বাতিল করতে পারে।
সোনালি নিয়ম: সব হস্তক্ষেপ স্বাক্ষরের আগে। চূড়ান্ত নথি সাজান — সংযুক্তি জুড়ুন, ছবি PDF-এ বদলান, সংকুচিত করুন, পৃষ্ঠা সাজান — তারপরেই ডিজিটাল স্বাক্ষর নিন। পরে কিছু বদলাতে হলে আবার স্বাক্ষর করতে হবে।
আর অনুসিদ্ধান্ত: স্বাক্ষরিত PDF পেয়েছেন এবং কাজের জন্য ছোট বা আংশিক সংস্করণ দরকার — মূলটি অক্ষত রাখুন (এর হ্যাশ যাচাইকারীতে নথিভুক্ত করুন) এবং কেবল কাজের কপিতে হাত দিন।
গোপনীয়তার ক্রিপ্টোগ্রাফি: PDF-এর পাসওয়ার্ড
অখণ্ডতা, রচয়িতা ও তারিখের বাইরে চতুর্থ একটি প্রয়োজন আছে — গোপনীয়তা — যা মেটায় সিমেট্রিক এনক্রিপশন: পাসওয়ার্ড দিয়ে PDF এনক্রিপ্ট করা (AES-256 মান), যাতে পাসওয়ার্ডধারী ছাড়া কেউ বিষয়বস্তু খুলতে না পারে।
দুটি ব্যবহারিক পর্যবেক্ষণ:
- পাসওয়ার্ড গোপনীয়তা রক্ষা করে, অখণ্ডতা বা রচয়িতা নয় — পাসওয়ার্ডযুক্ত ফাইলও একই পাসওয়ার্ডের অন্য ফাইল দিয়ে বদলে ফেলা সম্ভব;
- সুরক্ষার শক্তি মানে পাসওয়ার্ডের শক্তি। AES-256-এ "1234" তবুও "1234"-ই।
ব্যক্তিগত তথ্যসংবলিত নথির জন্য গোপনীয়তার আইনি ওজনও আছে: বিশ্বজুড়ে ডেটা সুরক্ষা আইন একে বাধ্যবাধকতা হিসেবে দেখে, সৌজন্য নয়। গোপনীয়তার সবচেয়ে শক্ত ব্যবস্থা স্থাপত্যগত: নথি আপনার যন্ত্র থেকে আদৌ বাইরে না যাওয়া।
RoseLab এই ধারণাগুলো কীভাবে প্রয়োগ করে
RoseLab এখানে আলোচিত দুটি ক্রিপ্টোগ্রাফিক নীতির ওপর দাঁড়িয়ে:
- ১০০% স্থানীয় প্রক্রিয়াকরণ: দুটি PDF তুলনা, জোড়া, ভাগ, সংকোচন ও হ্যাশ যাচাই — সব আপনার ব্রাউজারের ভেতরে ঘটে। কোনো নথি সার্ভারে যায় না — গোপনীয়তা প্রতিশ্রুতিতে নয়, স্থাপত্যে;
- যাচাইযোগ্যতা: তুলনা প্রতিবেদন তুলনা করা দুই সংস্করণের SHA-256 হ্যাশ ছাপে, আর যে-কেউ পাবলিক যাচাইকারীতে হ্যাশগুলো স্বাধীনভাবে আবার বের করতে পারে। কাউকে বিশ্বাস করতে হয় না: অঙ্ক নিজেই হিসাব মেলায়।
বাস্তবে একটি মজবুত পর্যালোচনা-প্রবাহ এমন: নথির দুটি সংস্করণ নিন → হ্যাশ নথিভুক্ত করুন → স্বয়ংক্রিয় পার্থক্য-হাইলাইটে তুলনা করুন → হ্যাশ ছাপা প্রতিবেদন বানান → প্রতিবেদন + মূল সংরক্ষণ করুন। পর্যালোচনায় আপত্তিকারী পুরোটা একাই আবার করে দেখতে পারবেন — পূর্ণ পদ্ধতি নথি তুলনার সম্পূর্ণ কর্মপ্রবাহে।
সচরাচর জিজ্ঞাসা
স্বাক্ষরহীন ডিজিটাল নথির কি বৈধতা আছে? বেশিরভাগ আইনি ব্যবস্থায়, অধিকাংশ ব্যক্তিগত লেনদেনের বৈধতা নির্দিষ্ট রূপের ওপর নির্ভর করে না — ই-মেইল, PDF এমনকি বার্তাও প্রমাণ হিসেবে গণ্য, সামগ্রিক বিবেচনায়। ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প প্রমাণকে জোরদার করে; না থাকা মানেই বাতিল নয়। নির্দিষ্ট কিছু কাজে আইন কোয়ালিফায়েড স্বাক্ষর চাইতে পারে — আপনার ক্ষেত্রে প্রযোজ্য বিধি দেখে নিন।
কাগজের স্বাক্ষরের স্ক্যান করা ছবি কি ডিজিটাল স্বাক্ষর? না। PDF-এ সাঁটা স্বাক্ষরের ছবি নিছক একটি চিত্র, কোনো ক্রিপ্টোগ্রাফিক গুণ নেই — এক নথি থেকে আরেকটিতে কপি করা যায়। ডিজিটাল স্বাক্ষর হলো ওপরে বর্ণিত গাণিতিক ব্যবস্থা, সার্টিফিকেটসহ।
ই-মেইলে নথিভুক্ত হ্যাশ কি প্রমাণ হিসেবে চলে? অখণ্ডতার জোরালো আলামত হিসেবে চলে: ই-মেইলের তারিখ আছে, প্রাপক আছে, তৃতীয় পক্ষের সার্ভারে (মেইল প্রদানকারী) নথিভুক্ত থাকে। পরে হাজির করা ফাইলের হ্যাশ তখনকার পাঠানো হ্যাশের সঙ্গে মিললে জালিয়াতির অভিযোগ টেকানো ভীষণ কঠিন। যাচাইকারীতে মেলাতে সেকেন্ড লাগে।
PDF সংকুচিত করলে হ্যাশ বদলায়? হ্যাঁ — সংকোচন ফাইল নতুন করে লেখে, তাই হ্যাশ বদলায় (ডিজিটাল স্বাক্ষরও ভাঙে)। তাই চূড়ান্ত ফাইলের হ্যাশ নথিভুক্ত করুন, সব কাজের পরে — বা মূল ও সংকুচিত সংস্করণ দুটিই রাখুন, দুই হ্যাশ টুকে।
সিমেট্রিক আর অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফির পার্থক্য কী? সিমেট্রিক: একই পাসওয়ার্ড এনক্রিপ্ট ও ডিক্রিপ্ট করে (PDF-এর পাসওয়ার্ড, AES-256)। অ্যাসিমেট্রিক: এক জোড়া চাবি, একটি পাবলিক একটি প্রাইভেট — ডিজিটাল স্বাক্ষর ও সার্টিফিকেটের ভিত্তি। হ্যাশ কোনোটিই নয়: এটি একমুখী সারাংশ-ফাংশন, দুটিরই নির্মাণ-উপাদান।