تستلم PDF يحمل في رأسه «موقَّع رقميًا». لكن كيف تعرف أن هذا التوقيع صحيح فعلًا؟ وما الفرق بين مستند يحمل توقيعًا رقميًا وآخر يحمل صورة التوقيع الخطي الملصقة؟ تظهر هذه الأسئلة كل أسبوع في المكاتب القانونية والمحاسبية وإدارات الموارد البشرية — والالتباس له ثمن: مستندات بلا صحة تُعامَل معاملة الصحيحة، ومستندات صحيحة تُرفض لأن جهة التحقق لا تفهم آليتها.
يشرح هذا الدليل، دون تقنية زائدة عن الحاجة، كيف يعمل التوقيع الرقمي، وكيف تتحقق من توقيع PDF بصورة صحيحة، وما المعايير المعتمدة، وماذا تفعل حين تكون نتيجة التحقق سلبية.
الفرق الذي يحدد كل شيء: التوقيع الرقمي مقابل صورة التوقيع
قبل أي تحقق، من الضروري تبديد أكثر الالتباسات شيوعًا:
صورة التوقيع (المعروفة أيضًا بالتوقيع الممسوح أو الرقمي الممسوح) هي صورة أو ماسح ضوئي للتوقيع الخطي تُدرج كعنصر رسومي في PDF. تبدو توقيعًا، لكنها تقنيًا مجرد مستطيل من البكسلات — يمكن نسخها من مستند إلى آخر، وليست مرتبطة رياضيًا بالمحتوى، ولا تضمن شيئًا عن السلامة أو الهوية.
التوقيع الرقمي آلية تشفير: يُحسب التوقيع انطلاقًا من محتوى المستند والمفتاح الخاص للموقِّع، وهو قابل للتحقق رياضيًا من أي شخص يملك المفتاح العام المقابل. يُثبت شيئين في آنٍ معًا: أن الموقِّع وقَّع فعلًا (الهوية) وأن المستند لم يُعدَّل منذ ذلك الحين (السلامة).
كيف يعمل التوقيع الرقمي من الداخل
الآلية أنيقة وتستحق الفهم لأنها كثيرًا ما تُوصف بطريقة خاطئة:
لكل موقِّع زوج من المفاتيح التشفيرية: مفتاح خاص يبقى تحت حراسة صاحبه حصرًا (في مفتاح USB مادي، أو شهادة A1 محمية بكلمة مرور، أو وحدة أمان مادية)، ومفتاح عام يمكن توزيعه بحرية.
حين يوقِّع أحدهم رقميًا على PDF يحدث ما يلي:
- يحسب البرنامج هاش SHA-256 للمستند (سلسلة من 64 حرفًا تُعبّر بشكل فريد عن ذلك المحتوى — ما هو الهاش، مشروحًا بالتفصيل)؛
- يُشفَّر هذا الهاش بـالمفتاح الخاص للموقِّع — النتيجة هي التوقيع؛
- يُدمج التوقيع مع الشهادة الرقمية للموقِّع (التي تحتوي المفتاح العام وبيانات الهوية) في ملف PDF.
للتحقق من التوقيع، يسير المدقق في الاتجاه المعاكس:
- يفكّ تشفير التوقيع بـالمفتاح العام للموقِّع (المأخوذ من الشهادة المدمجة)؛
- يحصل على قيمة الهاش الأصلية التي وُقِّع عليها؛
- يُعيد حساب هاش المستند الحالي؛
- يقارن الهاشين: إذا تطابقا، التوقيع صحيح — المستند لم يتغير منذ التوقيع. إذا اختلفا، عُدِّل المستند بعده.
شهادات رقمية في البرازيل: ICP-Brasil وgov.br
التوقيع الرقمي لا يُثبت الهوية إلا إذا كانت الشهادة المرافقة له موثوقة — أي إذا أكدت جهة تصديق معترف بها أن ذلك المفتاح العام ينتمي إلى ذلك الشخص أو تلك الشركة.
ICP-Brasil هي البنية التحتية للمفاتيح العامة البرازيلية، ينظّمها المعهد الوطني لتقنية المعلومات (ITI). أشهر شهادات ICP-Brasil:
- A1 (برمجية): تُثبَّت مباشرة في الحاسوب أو المتصفح، صالحة سنة، محمية بكلمة مرور. أكثر ملاءمة، لكن بمستوى أمان أدنى إذ المفتاح الخاص في ملف على القرص؛
- A3 (مادية): مُخزَّنة في مفتاح USB أو بطاقة ذكية، صالحة حتى 3 سنوات. المفتاح الخاص لا يغادر الجهاز المادي — هذا هو المعيار المطلوب للتصرفات القانونية الأكثر أثرًا؛
- e-CPF وe-CNPJ: الأسماء الشائعة لشهادات الأفراد والشركات بمعيار ICP-Brasil.
توقيع gov.br خدمة التوقيع الرقمي التي تقدمها الحكومة الفيدرالية مرتبطة بحساب gov.br. ثلاثة مستويات موثوقية (برونز، فضة، ذهب)، مع المستوى الذهبي الذي يتطلب التحقق البيومتري. قانونيًا، يُقبل توقيع gov.br لمعظم التصرفات مع الجهات الحكومية، وقبوله في القطاع الخاص يتوسع باستمرار.
DocuSign وClickSign ومنصات مماثلة منصات توقيع إلكتروني. قد تعمل بشهادات ICP-Brasil، أو بتوقيع gov.br، أو بآليات خاصة ذات قوة إثباتية أقل. تعتمد الصحة القانونية على الآلية المستخدمة وما يشترطه العقد أو التنظيم المعمول به.
كيف تتحقق من توقيع PDF — خطوة بخطوة
في Adobe Acrobat Reader (مجاني)
يعرض Adobe Acrobat Reader لوحة التوقيعات، وهي الطريقة الأكثر إمكانية لمعظم المستخدمين:
- افتح PDF في Adobe Acrobat Reader؛
- إذا كان المستند موقَّعًا رقميًا، ستظهر لوحة التوقيعات في الشريط الجانبي الأيسر أو شريط بالألوان في أعلى الشاشة؛
- انقر عليها لرؤية التفاصيل: اسم الموقِّع، تاريخ ووقت التوقيع، جهة الإصدار، حالة الصحة؛
- الأيقونة الخضراء ✓ تعني أن التوقيع صحيح رياضيًا والمستند لم يُعدَّل؛ أيقونة التنبيه تعني وجود مشكلة (انظر القسم أدناه).
في أداة التحقق ITI (المرجع الرسمي البرازيلي)
يتيح المعهد الوطني لتقنية المعلومات (ITI) أداة التحقق من التوقيعات على validar.iti.gov.br — المرجع الرسمي للتحقق من توقيعات ICP-Brasil:
- زر البوابة وارفع الملف؛
- يوضح التقرير: من وقَّع، متى، أي جهة أصدرت الشهادة، هل كانت الشهادة صالحة عند التوقيع، وهل لم يُعدَّل المستند بعده.
للتحقق من سلامة الملف دون الاعتماد على التوقيعات، أداة التحقق من السلامة في RoseLab تحسب هاش SHA-256 محليًا دون إرسال الملف إلى أي خادم.
ماذا تعني تنبيهات التوقيع
ليس كل تنبيه «توقيع غير صحيح» دليل تزوير. الحالات الأكثر شيوعًا لها تفسيرات تقنية:
«تم تعديل المستند بعد التوقيع» هذا أخطر التنبيهات: الملف تغيَّر بعد توقيعه. قد يدل على تلاعب، لكنه قد يكون أيضًا نتيجة ضغط PDF، أو تقسيمه، أو إزالة صفحات، أو حتى إعادة تصدير غير مقصودة. قبل الحكم بالتزوير، تحقق من سجل الملف. إن أردت تحديد ما الذي تغيَّر عن النسخة الأصلية الموقَّعة، افتح النسختين في أداة مقارنة PDF مع تفعيل إبراز الاختلافات.
«شهادة غير معروفة» أو «شهادة غير موثوقة» لم يتمكن قارئ PDF من التحقق من سلسلة الشهادة — أي لم يتأكد أن شهادة الموقِّع صادرة عن جهة معترف بها. يحدث هذا كثيرًا مع شهادات ICP-Brasil حين لا تكون جذور السلسلة مثبتة في الحاسوب. الحل: ثبِّت شهادات جذر ICP-Brasil المتاحة على موقع ITI وأعد التحقق.
«شهادة ملغاة» شهادة الموقِّع أُلغيت قبل التوقيع أو بعده. إن أُلغيت قبله، التوقيع غير صحيح. إن أُلغيت بعده، قد يظل التوقيع صحيحًا — المهم حالتها يوم التوقيع، والطابع الزمني الموثوق هو الدليل. المزيد في دليل تشفير المستندات.
«شهادة منتهية» مثل الإلغاء: المهم هل كانت الشهادة صالحة لحظة التوقيع، لا يوم التحقق. عقد وُقِّع عام 2022 بشهادة صالحة آنذاك لا يزال توقيعًا من 2022، حتى لو انتهت الشهادة عام 2023.
أسئلة شائعة
هل للتوقيع الرقمي صحة قانونية في البرازيل دون ICP-Brasil؟ القانون رقم 14.063/2020 يؤكد أن المستندات الإلكترونية صحيحة كدليل، وتُقيَّم حالة بحالة. توقيع ICP-Brasil له افتراض قانوني بالأصالة؛ التوقيعات بآليات أخرى لها صحة تعاقدية بين الأطراف التي قبلتها.
هل يمكنني التوقيع على PDF مجانًا؟ توقيع gov.br مجاني ومعترف به قانونيًا لكثير من التصرفات. شهادة ICP-Brasil لها تكلفة إصدار (تتراوح بحسب جهة الإصدار، عادةً 150-400 ريال للشخص الطبيعي).
كيف أعرف أن ملف PDF يحمل توقيعًا رقميًا لا مجرد صورة توقيع؟ الطريقة الأبسط: افتح PDF في Adobe Acrobat Reader. إن لم تظهر لوحة التوقيعات أو شريط حالة التوقيع، ما تراه مجرد صورة — بلا أي قيمة تشفيرية.
هل يمكنني التحقق دون تثبيت أي برنامج؟ للتحقق الأساسي من السلامة، أداة التحقق في RoseLab تعمل مباشرة في المتصفح دون تثبيت، وتحسب الهاش محليًا. للتحقق الرسمي من توقيع ICP-Brasil، أداة ITI على validar.iti.gov.br هي المرجع الرسمي وتعمل في المتصفح أيضًا.
كم شخصًا يمكنه توقيع PDF واحد؟ يمكن دمج توقيعات رقمية متعددة في PDF واحد — كل موقِّع يوقِّع المستند كما كان لحظة توقيعه. إن عُدِّل المستند بعد التوقيع الأول، تُبطَل فقط التوقيعات السابقة للتعديل.
هل أنت مستعد للتطبيق العملي؟
مجاني، بدون تسجيل — وملفاتك لا تغادر جهازك أبدًا.
التحقق من سلامة مستندي — مجانًا