सभी लेख
दस्तावेज़ की अखंडता9 जुलाई 2026 8 मिनट पढ़ने का समय

दस्तावेज़ों की क्रिप्टोग्राफ़ी — हैश, डिजिटल हस्ताक्षर और टाइमस्टैम्प (हर एक क्या साबित करता है)

इन भाषाओं में भी उपलब्ध:中文РусскийBahasa IndonesiaFrançaisEspañolEnglishPortuguêsবাংলাالعربية

"क्या इस दस्तावेज़ की क़ानूनी वैधता है?" — PDF के साथ काम करने वाले हर दफ़्तर में यह सवाल हर हफ़्ते उठता है। और सही जवाब तीन अलग-अलग क्रिप्टोग्राफ़िक तंत्रों को समझने पर टिका है, जिन्हें लोग हर वक़्त आपस में गड्डमड्ड करते हैं: हैश, डिजिटल हस्ताक्षर और टाइमस्टैम्प

हर एक अलग चीज़ साबित करता है। ग़लत तंत्र इस्तेमाल करना — या यह मानना कि एक दूसरे की जगह ले सकता है — ऐसी चूक है जो तभी उजागर होती है जब दस्तावेज़ पर सवाल उठता है। यह गाइड तीनों को बिना तकनीकी शब्दजाल के समझाती है, बताती है कि हर एक क्या साबित करता है (और क्या नहीं), और उन व्यावहारिक ग़लतियों की सूची देती है जो किसी की नज़र में आए बिना डिजिटल हस्ताक्षर अमान्य कर देती हैं।

तीन सवाल जिनका जवाब हर डिजिटल दस्तावेज़ को देना होता है

जब कोई दस्तावेज़ सबूत बनता है — किसी सौदेबाज़ी, ऑडिट या मुक़दमे में — उस पर उठने वाले संदेह हमेशा तीन सवालों के रूप होते हैं:

  1. अखंडता — क्या यह फ़ाइल बिल्कुल वही है, बिना किसी बदलाव के?
  2. लेखक — यह सामग्री किसने बनाई या स्वीकार की?
  3. पूर्व-अस्तित्व — क्या यह सामग्री किसी निश्चित तारीख़ को पहले से मौजूद थी?

आधुनिक क्रिप्टोग्राफ़ी के पास हर सवाल के लिए एक औज़ार है। चलिए एक-एक करके देखते हैं।

औज़ार 1 — हैश: अखंडता का प्रमाण

SHA-256 हैश फ़ाइल का गणितीय "फ़िंगरप्रिंट" है: सामग्री से निकाली गई 64 अक्षरों की शृंखला। दस्तावेज़ में कोई भी बदलाव — एक अल्पविराम — बिल्कुल अलग हैश पैदा करता है। हमने SHA-256 हैश और अखंडता सत्यापन पर संपूर्ण गाइड प्रकाशित की है; सार यह है:

हैश बाक़ी दोनों तंत्रों की नींव है: डिजिटल हस्ताक्षर और टाइमस्टैम्प, दोनों भीतर से दस्तावेज़ के हैश पर ही हस्ताक्षर या तारीख़ लगाते हैं।

औज़ार 2 — डिजिटल हस्ताक्षर: लेखक का प्रमाण

यहाँ असममित क्रिप्टोग्राफ़ी (पब्लिक-की क्रिप्टोग्राफ़ी) आती है, और इसका विचार समझने लायक़ है क्योंकि यह सुरुचिपूर्ण है:

हर व्यक्ति के पास गणितीय रूप से जुड़ी चाबियों की एक जोड़ी होती है: एक निजी कुंजी, जो सिर्फ़ उसके पास है, और एक सार्वजनिक कुंजी, जिसे कोई भी जान सकता है। जो एक कुंजी एन्क्रिप्ट करती है, उसे सिर्फ़ दूसरी खोल सकती है।

डिजिटल हस्ताक्षर इसका चतुराई से इस्तेमाल करता है:

  1. सॉफ़्टवेयर दस्तावेज़ का हैश निकालता है;
  2. वह हैश हस्ताक्षरकर्ता की निजी कुंजी से एन्क्रिप्ट होता है — यही हस्ताक्षर है;
  3. दस्तावेज़ पाने वाला हस्ताक्षर को हस्ताक्षरकर्ता की सार्वजनिक कुंजी से खोलता है और फ़ाइल के नए निकाले हैश से मिलाता है।

मेल खा जाए, तो दो बातें एक साथ साबित होती हैं: हस्ताक्षर के बाद से दस्तावेज़ बदला नहीं गया (अखंडता), और हस्ताक्षर सिर्फ़ निजी कुंजी के धारक ने ही किया हो सकता है (लेखक)।

एक कड़ी बाक़ी है: कैसे पता कि वह सार्वजनिक कुंजी सचमुच उसी व्यक्ति की है? यही डिजिटल प्रमाणपत्र की भूमिका है — प्रमाणन प्राधिकरण द्वारा जारी इलेक्ट्रॉनिक दस्तावेज़, जो सार्वजनिक कुंजी को धारक की पहचान से बाँधता है। क़ानूनी ढाँचा देश-दर-देश अलग है: भारत में IT Act, 2000 के अंतर्गत लाइसेंसशुदा Certifying Authorities द्वारा जारी Digital Signature Certificate (DSC) और Aadhaar eSign मान्य हैं; यूरोपीय संघ में eIDAS की qualified electronic signature है; कई देशों की अपनी राष्ट्रीय PKI व्यवस्थाएँ हैं। नीचे की क्रिप्टोग्राफ़ी हर जगह एक ही है।

  • साबित करता है: लेखक/सहमति + हस्ताक्षर के क्षण से अखंडता;
  • साबित नहीं करता: कि सामग्री हस्ताक्षर से पहले मौजूद थी, न ही स्वतंत्र बल से तारीख़ (हस्ताक्षरकर्ता के कंप्यूटर की घड़ी कमज़ोर सबूत है);
  • लागत: qualified प्रमाणपत्र सामान्यतः सशुल्क होते हैं; कई देशों में मुफ़्त या कम लागत वाली सरकारी योजनाएँ भी हैं (जैसे Aadhaar eSign)।

औज़ार 3 — विश्वसनीय टाइमस्टैम्प: पूर्व-अस्तित्व का प्रमाण

टाइमस्टैम्प उस सवाल का जवाब देता है जो बाक़ी दोनों नहीं दे पाते: "क्या यह दस्तावेज़ इस तारीख़ को पहले से मौजूद था?"

यह ऐसे काम करता है: दस्तावेज़ का हैश एक टाइमस्टैम्पिंग अथॉरिटी (TSA) को भेजा जाता है — ऑडिट की हुई, भरोसेमंद घड़ी वाली सेवा, RFC 3161 मानक के अनुसार — जो हैश को आधिकारिक तारीख़ और समय के साथ हस्ताक्षरित कर लौटाती है। गोपनीयता के लिहाज़ से अहम बारीक़ी पर ग़ौर करें: सिर्फ़ हैश सफ़र करता है, दस्तावेज़ कभी नहीं। अथॉरिटी सामग्री देखे बिना फ़िंगरप्रिंट पर मुहर लगाती है।

  • साबित करता है: वह सटीक सामग्री अधिक-से-अधिक उस तारीख़ और समय पर मौजूद थी;
  • साबित नहीं करता: लेखक;
  • लागत: सामान्यतः सशुल्क सेवा, दुनिया भर की टाइमस्टैम्पिंग अथॉरिटीज़ देती हैं।

व्यावहारिक सारांश: किस ज़रूरत के लिए कौन-सा औज़ार

  • "साबित करना है कि फ़ाइल नहीं बदली" → SHA-256 हैश। जल्दी दर्ज करें, झुठलाने में मुश्किल जगह पर (दूसरे पक्ष को ई-मेल, साझा रिपोर्ट), और बाद में अखंडता जाँचक में मिलाएँ।
  • "साबित करना है कि अमुक ने इस सामग्री को स्वीकारा" → डिजिटल हस्ताक्षर (आपके क्षेत्राधिकार में मान्य)।
  • "साबित करना है कि यह सामग्री अमुक तारीख़ से पहले मौजूद थी" → टाइमस्टैम्प।
  • "सब कुछ चाहिए" → तीनों जुड़ते हैं: टाइमस्टैम्प के साथ डिजिटली हस्ताक्षरित अनुबंध में लेखक, अखंडता और तारीख़ तीनों हैं।

वह ग़लती जो डिजिटल हस्ताक्षरों को अमान्य कर देती है (और लगभग किसी को पता नहीं चलता)

दफ़्तर के रोज़मर्रा के लिए इस लेख की सबसे क़ीमती चेतावनी:

डिजिटली हस्ताक्षरित PDF में कोई भी हेरफेर हस्ताक्षर तोड़ देता है। याद करें यह कैसे काम करता है: हस्ताक्षर दस्तावेज़ का एन्क्रिप्ट किया हुआ हैश है। दस्तावेज़ बदला, हैश बदला, और हस्ताक्षर का मिलान विफल। इसका मतलब, पहले से हस्ताक्षरित PDF पर:

सुनहरा नियम: हर हेरफेर हस्ताक्षर से पहले। अंतिम दस्तावेज़ तैयार करें — अनुलग्नक जोड़ें, इमेज को PDF में बदलें, संपीड़ित करें, पृष्ठ क्रम में लगाएँ — और तभी डिजिटल हस्ताक्षर लें। बाद में कुछ बदलना पड़े, तो दोबारा हस्ताक्षर करने होंगे।

और उपसिद्धांत: हस्ताक्षरित PDF मिली है और काम के लिए छोटा या आंशिक संस्करण चाहिए, तो मूल को अछूता रखें (उसका हैश जाँचक में दर्ज करें) और सिर्फ़ कार्य-प्रतियों पर हेरफेर करें।

गोपनीयता की क्रिप्टोग्राफ़ी: PDF का पासवर्ड

अखंडता, लेखक और तारीख़ के अलावा एक चौथी ज़रूरत है — गोपनीयता — जिसे सममित एन्क्रिप्शन पूरा करता है: PDF को पासवर्ड से एन्क्रिप्ट करना (AES-256 मानक), ताकि सामग्री सिर्फ़ पासवर्ड वाला ही खोल सके।

दो व्यावहारिक बातें:

  1. पासवर्ड राज़ की रक्षा करता है, अखंडता या लेखक की नहीं — पासवर्ड वाली फ़ाइल को उसी पासवर्ड वाली दूसरी फ़ाइल से बदला जा सकता है;
  2. सुरक्षा की ताक़त पासवर्ड की ताक़त है। AES-256 में "1234" फिर भी "1234" ही है।

निजी डेटा वाले दस्तावेज़ों के लिए गोपनीयता का क़ानूनी वज़न भी है: भारत का DPDP Act, 2023 और दुनिया भर के समान क़ानून डेटा संरक्षण को बाध्यता मानते हैं, शिष्टाचार नहीं। गोपनीयता का सबसे मज़बूत तंत्र आर्किटेक्चर के स्तर का है: दस्तावेज़ का आपकी मशीन से कभी बाहर न जाना

RoseLab इन अवधारणाओं को कैसे लागू करता है

RoseLab यहाँ चर्चित दो क्रिप्टोग्राफ़िक सिद्धांतों पर बना है:

  • 100% स्थानीय प्रोसेसिंग: दो PDF की तुलना, जोड़ना, बाँटना, संपीड़न और हैश सत्यापन — सब आपके ब्राउज़र के भीतर होता है। कोई दस्तावेज़ सर्वर पर नहीं जाता — गोपनीयता वादे से नहीं, आर्किटेक्चर से;
  • सत्यापन-योग्यता: तुलना रिपोर्ट दोनों तुलना किए गए संस्करणों का SHA-256 हैश छापती है, और कोई भी उन हैशों को सार्वजनिक जाँचक में स्वतंत्र रूप से दोबारा निकाल सकता है। किसी पर भरोसे की ज़रूरत नहीं: गणित अपना हिसाब ख़ुद करता है।

व्यवहार में, एक मज़बूत समीक्षा-प्रवाह ऐसा दिखता है: दस्तावेज़ के दोनों संस्करण प्राप्त करें → हैश दर्ज करें → स्वचालित अंतर-हाइलाइट से तुलना करें → हैश छपी रिपोर्ट बनाएँ → रिपोर्ट + मूल संग्रहित करें। समीक्षा पर सवाल उठाने वाला पूरा काम अकेले दोहराकर देख सकता है — पूरी विधि दस्तावेज़ तुलना का संपूर्ण प्रवाह में है।

अक्सर पूछे जाने वाले प्रश्न

बिना हस्ताक्षर का डिजिटल दस्तावेज़ मान्य है? अधिकांश क़ानूनी व्यवस्थाओं में, ज़्यादातर निजी लेन-देन की वैधता किसी ख़ास रूप पर निर्भर नहीं — ई-मेल, PDF और यहाँ तक कि संदेश भी सबूत माने जाते हैं, समग्र मूल्यांकन के साथ। डिजिटल हस्ताक्षर और टाइमस्टैम्प सबूत को मज़बूत करते हैं; उनकी अनुपस्थिति उसे अपने आप निरस्त नहीं करती। कुछ ख़ास कामों के लिए क़ानून qualified हस्ताक्षर माँग सकता है — अपने ऊपर लागू नियम जाँचें।

काग़ज़ के हस्ताक्षर की स्कैन की हुई तस्वीर डिजिटल हस्ताक्षर है? नहीं। PDF में चिपकाई गई हस्ताक्षर की तस्वीर महज़ एक चित्र है, बिना किसी क्रिप्टोग्राफ़िक गुण के — उसे एक दस्तावेज़ से दूसरे में कॉपी किया जा सकता है। डिजिटल हस्ताक्षर ऊपर वर्णित गणितीय तंत्र है, प्रमाणपत्र के साथ।

ई-मेल में दर्ज हैश सबूत के तौर पर चलेगा? अखंडता के मज़बूत संकेत के रूप में चलेगा: ई-मेल की तारीख़ है, प्राप्तकर्ता है, और वह तीसरे पक्ष के सर्वरों (ई-मेल प्रदाताओं) पर दर्ज रहता है। बाद में पेश फ़ाइल का हैश उस समय भेजे हैश से मिल जाए, तो छेड़छाड़ का आरोप टिकाना बहुत कठिन हो जाता है। जाँचक में मिलान सेकंडों का काम है।

PDF संपीड़ित करने से हैश बदलता है? हाँ — संपीड़न फ़ाइल को दोबारा लिखता है, इसलिए हैश बदल जाता है (और डिजिटल हस्ताक्षर टूट जाते हैं)। इसलिए अंतिम फ़ाइल का हैश दर्ज करें, सारे हेरफेर के बाद — या मूल और संपीड़ित संस्करण दोनों, दोनों हैशों के साथ संभालें।

सममित और असममित क्रिप्टोग्राफ़ी में क्या अंतर है? सममित: एक ही पासवर्ड एन्क्रिप्ट और डिक्रिप्ट करता है (PDF का पासवर्ड, AES-256)। असममित: चाबियों की जोड़ी, एक सार्वजनिक और एक निजी — डिजिटल हस्ताक्षर और प्रमाणपत्रों की बुनियाद। हैश दोनों में से कोई नहीं: वह एकतरफ़ा सार-फलन है, जिसे दोनों निर्माण-खंड की तरह इस्तेमाल करते हैं।

अभ्यास में लाने के लिए तैयार?

मुफ़्त, बिना पंजीकरण — और आपकी फ़ाइलें कभी आपके कंप्यूटर से बाहर नहीं जातीं।

अभी दस्तावेज़ की अखंडता जाँचें — मुफ़्त