সব লেখা
নথির অখণ্ডতা৯ জুলাই, ২০২৬ 6 মিনিট পড়া

নথির ক্রিপ্টোগ্রাফি — হ্যাশ, ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প (কোনটি কী প্রমাণ করে)

এছাড়াও উপলব্ধ:中文РусскийBahasa Indonesiaहिन्दीFrançaisEspañolEnglishPortuguêsالعربية

"এই নথির কি আইনি বৈধতা আছে?" — PDF নিয়ে কাজ করা যেকোনো অফিসে প্রশ্নটি প্রতি সপ্তাহে ওঠে। আর সঠিক উত্তর নির্ভর করে তিনটি ভিন্ন ক্রিপ্টোগ্রাফিক ব্যবস্থা বোঝার ওপর, যেগুলো মানুষ সারাক্ষণ গুলিয়ে ফেলে: হ্যাশ, ডিজিটাল স্বাক্ষরটাইমস্ট্যাম্প

প্রতিটি ভিন্ন জিনিস প্রমাণ করে। ভুলটি ব্যবহার করা — বা একটিকে অন্যটির বিকল্প ভাবা — এমন অসাবধানতা, যা নথি নিয়ে প্রশ্ন উঠলে তবেই ধরা পড়ে। এই গাইড তিনটিকেই পরিভাষা ছাড়া ব্যাখ্যা করে, দেখায় প্রতিটি কী প্রমাণ করে (আর কী করে না), এবং সেই ব্যবহারিক ভুলগুলোর তালিকা দেয় যা কারও চোখে না পড়েই ডিজিটাল স্বাক্ষর বাতিল করে।

একটি ডিজিটাল নথিকে যে তিনটি প্রশ্নের জবাব দিতে হয়

নথি যখন প্রমাণ হয়ে ওঠে — দর-কষাকষিতে, নিরীক্ষায়, মামলায় — তখন তা নিয়ে সংশয়গুলো সবসময় তিনটি প্রশ্নেরই রূপভেদ:

  1. অখণ্ডতা — এই ফাইলটি কি হুবহু একই, কোনো পরিবর্তন ছাড়া?
  2. রচয়িতা — এই বিষয়বস্তু কে তৈরি করেছে বা অনুমোদন করেছে?
  3. পূর্ব-অস্তিত্ব — নির্দিষ্ট কোনো তারিখে এই বিষয়বস্তু কি আগেই ছিল?

আধুনিক ক্রিপ্টোগ্রাফির প্রতিটি প্রশ্নের জন্য একটি করে হাতিয়ার আছে। একে একে দেখি।

হাতিয়ার ১ — হ্যাশ: অখণ্ডতার প্রমাণ

SHA-256 হ্যাশ ফাইলের গাণিতিক "আঙুলের ছাপ": বিষয়বস্তু থেকে হিসাব করা ৬৪ অক্ষরের একটি ধারা। নথিতে যেকোনো পরিবর্তন — একটি কমা — সম্পূর্ণ ভিন্ন হ্যাশ তৈরি করে। আমরা SHA-256 হ্যাশ ও অখণ্ডতা যাচাই নিয়ে পূর্ণাঙ্গ গাইড প্রকাশ করেছি; সারকথা:

হ্যাশ বাকি দুটি ব্যবস্থার ভিত্তি: ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প — দুটিই ভেতরে ভেতরে নথির হ্যাশে স্বাক্ষর বা তারিখ বসায়।

হাতিয়ার ২ — ডিজিটাল স্বাক্ষর: রচয়িতার প্রমাণ

এখানে আসে অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফি (পাবলিক-কি ক্রিপ্টোগ্রাফি), আর ধারণাটি বোঝার মতো, কারণ এটি অপূর্ব:

প্রত্যেকের কাছে থাকে গাণিতিকভাবে সংযুক্ত এক জোড়া চাবি: একটি প্রাইভেট কি, যা কেবল তার কাছে, আর একটি পাবলিক কি, যা যে-কেউ জানতে পারে। এক চাবি যা এনক্রিপ্ট করে, শুধু অন্যটিই তা খোলে।

ডিজিটাল স্বাক্ষর এর চতুর ব্যবহার করে:

  1. সফটওয়্যার নথির হ্যাশ বের করে;
  2. সেই হ্যাশ স্বাক্ষরকারীর প্রাইভেট কি দিয়ে এনক্রিপ্ট হয় — এটিই স্বাক্ষর;
  3. নথি প্রাপক স্বাক্ষরটি স্বাক্ষরকারীর পাবলিক কি দিয়ে খুলে ফাইলের নতুন করে বের করা হ্যাশের সঙ্গে মেলান।

মিললে দুটি জিনিস একসঙ্গে প্রমাণ হয়: স্বাক্ষরের পর নথি বদলানো হয়নি (অখণ্ডতা), এবং স্বাক্ষরটি কেবল প্রাইভেট কি-র মালিকই করতে পেরেছেন (রচয়িতা)।

একটি সংযোগ বাকি: ওই পাবলিক কি সত্যিই ওই ব্যক্তির — জানব কীভাবে? এখানেই ডিজিটাল সার্টিফিকেট-এর ভূমিকা — সার্টিফাইং অথরিটির জারি করা ইলেকট্রনিক নথি, যা পাবলিক কি-কে মালিকের পরিচয়ের সঙ্গে বাঁধে। আইনি কাঠামো দেশে দেশে ভিন্ন: বাংলাদেশে ICT আইন, ২০০৬-এর অধীনে CCA (Controller of Certifying Authorities)-অনুমোদিত সংস্থার সার্টিফিকেটসহ ডিজিটাল স্বাক্ষর আইনত স্বীকৃত; ইউরোপীয় ইউনিয়নে আছে eIDAS-এর কোয়ালিফায়েড ইলেকট্রনিক সিগনেচার; বহু দেশে নিজস্ব জাতীয় PKI ব্যবস্থা। নিচের ক্রিপ্টোগ্রাফি সর্বত্র একই।

  • প্রমাণ করে: রচয়িতা/সম্মতি + স্বাক্ষরের মুহূর্ত থেকে অখণ্ডতা;
  • প্রমাণ করে না: বিষয়বস্তু স্বাক্ষরের আগে ছিল, বা স্বাধীন জোরে তারিখ (স্বাক্ষরকারীর কম্পিউটারের ঘড়ি দুর্বল প্রমাণ);
  • খরচ: কোয়ালিফায়েড সার্টিফিকেট সাধারণত সশুল্ক; অনেক দেশে বিনামূল্যের বা কম খরচের সরকারি ব্যবস্থাও আছে।

হাতিয়ার ৩ — বিশ্বস্ত টাইমস্ট্যাম্প: পূর্ব-অস্তিত্বের প্রমাণ

টাইমস্ট্যাম্প সেই প্রশ্নের জবাব দেয় যা বাকি দুটি পারে না: "এই নথি কি এই তারিখে আগে থেকেই ছিল?"

কাজ করে এভাবে: নথির হ্যাশ পাঠানো হয় একটি টাইমস্ট্যাম্পিং অথরিটির (TSA) কাছে — নিরীক্ষিত, বিশ্বস্ত ঘড়িওয়ালা সেবা, RFC 3161 মান অনুসারে — যারা হ্যাশটি সরকারি তারিখ-সময়সহ স্বাক্ষর করে ফেরত দেয়। গোপনীয়তার জন্য গুরুত্বপূর্ণ খুঁটিনাটিতে খেয়াল করুন: শুধু হ্যাশই যাতায়াত করে, নথি কখনও নয়। কর্তৃপক্ষ বিষয়বস্তু না দেখেই আঙুলের ছাপে সিলমোহর দেয়।

  • প্রমাণ করে: ওই নির্দিষ্ট বিষয়বস্তু বড়জোর ওই তারিখ-সময়ে বিদ্যমান ছিল;
  • প্রমাণ করে না: রচয়িতা;
  • খরচ: সাধারণত সশুল্ক সেবা, বিশ্বজুড়ে টাইমস্ট্যাম্পিং অথরিটি দেয়।

ব্যবহারিক সারসংক্ষেপ: কোন প্রয়োজনে কোন হাতিয়ার

  • "প্রমাণ করতে চাই ফাইল বদলায়নি" → SHA-256 হ্যাশ। তাড়াতাড়ি নথিভুক্ত করুন, অস্বীকার করা কঠিন এমন জায়গায় (অন্য পক্ষকে ই-মেইল, শেয়ার করা প্রতিবেদন), পরে অখণ্ডতা যাচাইকারীতে মেলান।
  • "প্রমাণ করতে চাই অমুক এই বিষয়বস্তুতে সম্মত" → ডিজিটাল স্বাক্ষর (আপনার দেশে আইনত স্বীকৃত)।
  • "প্রমাণ করতে চাই এই বিষয়বস্তু নির্দিষ্ট তারিখের আগে ছিল" → টাইমস্ট্যাম্প।
  • "সবকটাই চাই" → তিনটি মেলে: টাইমস্ট্যাম্পসহ ডিজিটাল স্বাক্ষরিত চুক্তিতে রচয়িতা, অখণ্ডতা ও তারিখ — সব আছে।

যে ভুল ডিজিটাল স্বাক্ষর বাতিল করে (আর প্রায় কেউ টের পায় না)

অফিসের দৈনন্দিন কাজের জন্য এই লেখার সবচেয়ে মূল্যবান সতর্কবার্তা:

ডিজিটাল স্বাক্ষরিত PDF-এ যেকোনো হস্তক্ষেপ স্বাক্ষর ভেঙে দেয়। মনে করুন এটি কীভাবে কাজ করে: স্বাক্ষর মানে নথির এনক্রিপ্ট করা হ্যাশ। নথি বদলালে হ্যাশ বদলায়, স্বাক্ষরের মিল আর হয় না। অর্থাৎ, আগে থেকে স্বাক্ষরিত PDF-এ:

সোনালি নিয়ম: সব হস্তক্ষেপ স্বাক্ষরের আগে। চূড়ান্ত নথি সাজান — সংযুক্তি জুড়ুন, ছবি PDF-এ বদলান, সংকুচিত করুন, পৃষ্ঠা সাজান — তারপরেই ডিজিটাল স্বাক্ষর নিন। পরে কিছু বদলাতে হলে আবার স্বাক্ষর করতে হবে।

আর অনুসিদ্ধান্ত: স্বাক্ষরিত PDF পেয়েছেন এবং কাজের জন্য ছোট বা আংশিক সংস্করণ দরকার — মূলটি অক্ষত রাখুন (এর হ্যাশ যাচাইকারীতে নথিভুক্ত করুন) এবং কেবল কাজের কপিতে হাত দিন।

গোপনীয়তার ক্রিপ্টোগ্রাফি: PDF-এর পাসওয়ার্ড

অখণ্ডতা, রচয়িতা ও তারিখের বাইরে চতুর্থ একটি প্রয়োজন আছে — গোপনীয়তা — যা মেটায় সিমেট্রিক এনক্রিপশন: পাসওয়ার্ড দিয়ে PDF এনক্রিপ্ট করা (AES-256 মান), যাতে পাসওয়ার্ডধারী ছাড়া কেউ বিষয়বস্তু খুলতে না পারে।

দুটি ব্যবহারিক পর্যবেক্ষণ:

  1. পাসওয়ার্ড গোপনীয়তা রক্ষা করে, অখণ্ডতা বা রচয়িতা নয় — পাসওয়ার্ডযুক্ত ফাইলও একই পাসওয়ার্ডের অন্য ফাইল দিয়ে বদলে ফেলা সম্ভব;
  2. সুরক্ষার শক্তি মানে পাসওয়ার্ডের শক্তি। AES-256-এ "1234" তবুও "1234"-ই।

ব্যক্তিগত তথ্যসংবলিত নথির জন্য গোপনীয়তার আইনি ওজনও আছে: বিশ্বজুড়ে ডেটা সুরক্ষা আইন একে বাধ্যবাধকতা হিসেবে দেখে, সৌজন্য নয়। গোপনীয়তার সবচেয়ে শক্ত ব্যবস্থা স্থাপত্যগত: নথি আপনার যন্ত্র থেকে আদৌ বাইরে না যাওয়া

RoseLab এই ধারণাগুলো কীভাবে প্রয়োগ করে

RoseLab এখানে আলোচিত দুটি ক্রিপ্টোগ্রাফিক নীতির ওপর দাঁড়িয়ে:

বাস্তবে একটি মজবুত পর্যালোচনা-প্রবাহ এমন: নথির দুটি সংস্করণ নিন → হ্যাশ নথিভুক্ত করুন → স্বয়ংক্রিয় পার্থক্য-হাইলাইটে তুলনা করুন → হ্যাশ ছাপা প্রতিবেদন বানান → প্রতিবেদন + মূল সংরক্ষণ করুন। পর্যালোচনায় আপত্তিকারী পুরোটা একাই আবার করে দেখতে পারবেন — পূর্ণ পদ্ধতি নথি তুলনার সম্পূর্ণ কর্মপ্রবাহে

সচরাচর জিজ্ঞাসা

স্বাক্ষরহীন ডিজিটাল নথির কি বৈধতা আছে? বেশিরভাগ আইনি ব্যবস্থায়, অধিকাংশ ব্যক্তিগত লেনদেনের বৈধতা নির্দিষ্ট রূপের ওপর নির্ভর করে না — ই-মেইল, PDF এমনকি বার্তাও প্রমাণ হিসেবে গণ্য, সামগ্রিক বিবেচনায়। ডিজিটাল স্বাক্ষর ও টাইমস্ট্যাম্প প্রমাণকে জোরদার করে; না থাকা মানেই বাতিল নয়। নির্দিষ্ট কিছু কাজে আইন কোয়ালিফায়েড স্বাক্ষর চাইতে পারে — আপনার ক্ষেত্রে প্রযোজ্য বিধি দেখে নিন।

কাগজের স্বাক্ষরের স্ক্যান করা ছবি কি ডিজিটাল স্বাক্ষর? না। PDF-এ সাঁটা স্বাক্ষরের ছবি নিছক একটি চিত্র, কোনো ক্রিপ্টোগ্রাফিক গুণ নেই — এক নথি থেকে আরেকটিতে কপি করা যায়। ডিজিটাল স্বাক্ষর হলো ওপরে বর্ণিত গাণিতিক ব্যবস্থা, সার্টিফিকেটসহ।

ই-মেইলে নথিভুক্ত হ্যাশ কি প্রমাণ হিসেবে চলে? অখণ্ডতার জোরালো আলামত হিসেবে চলে: ই-মেইলের তারিখ আছে, প্রাপক আছে, তৃতীয় পক্ষের সার্ভারে (মেইল প্রদানকারী) নথিভুক্ত থাকে। পরে হাজির করা ফাইলের হ্যাশ তখনকার পাঠানো হ্যাশের সঙ্গে মিললে জালিয়াতির অভিযোগ টেকানো ভীষণ কঠিন। যাচাইকারীতে মেলাতে সেকেন্ড লাগে।

PDF সংকুচিত করলে হ্যাশ বদলায়? হ্যাঁ — সংকোচন ফাইল নতুন করে লেখে, তাই হ্যাশ বদলায় (ডিজিটাল স্বাক্ষরও ভাঙে)। তাই চূড়ান্ত ফাইলের হ্যাশ নথিভুক্ত করুন, সব কাজের পরে — বা মূল ও সংকুচিত সংস্করণ দুটিই রাখুন, দুই হ্যাশ টুকে।

সিমেট্রিক আর অ্যাসিমেট্রিক ক্রিপ্টোগ্রাফির পার্থক্য কী? সিমেট্রিক: একই পাসওয়ার্ড এনক্রিপ্ট ও ডিক্রিপ্ট করে (PDF-এর পাসওয়ার্ড, AES-256)। অ্যাসিমেট্রিক: এক জোড়া চাবি, একটি পাবলিক একটি প্রাইভেট — ডিজিটাল স্বাক্ষর ও সার্টিফিকেটের ভিত্তি। হ্যাশ কোনোটিই নয়: এটি একমুখী সারাংশ-ফাংশন, দুটিরই নির্মাণ-উপাদান।

প্রয়োগ করতে প্রস্তুত?

বিনামূল্যে, নিবন্ধন ছাড়াই — আপনার ফাইল কখনও আপনার কম্পিউটার ছেড়ে যায় না।

এখনই নথির অখণ্ডতা যাচাই করুন — বিনামূল্যে