تشفير المستندات — الهاش والتوقيع الرقمي والختم الزمني (ماذا يثبت كل منها)
متوفر أيضًا بـ:中文РусскийBahasa Indonesiaहिन्दीFrançaisEspañolEnglishPortuguêsবাংলা
«هل لهذا المستند حجية قانونية؟» — سؤال يتكرر كل أسبوع في أي مكتب يتعامل مع ملفات PDF. والإجابة الصحيحة تتوقف على فهم ثلاث آليات تشفيرية مختلفة يخلط الناس بينها طوال الوقت: الهاش، والتوقيع الرقمي، والختم الزمني.
كل واحدة تثبت شيئًا مختلفًا. استخدام الآلية الخطأ — أو الظن أن إحداها تُغني عن الأخرى — نوعٌ من الإهمال لا يظهر إلا عندما يُطعن في المستند. يشرح هذا الدليل الآليات الثلاث دون تعقيد، ويبيّن ما تثبته كل منها (وما لا تثبته)، ويسرد الأخطاء العملية التي تُبطل التوقيع الرقمي دون أن ينتبه أحد.
الأسئلة الثلاثة التي يجب أن يجيب عنها المستند الرقمي
عندما يتحول مستند إلى دليل — في تفاوض، تدقيق، نزاع قضائي — تكون الشكوك حوله دائمًا صيغًا مختلفة لثلاثة أسئلة:
- السلامة — هل هذا الملف هو نفسه تمامًا، دون أي تعديل؟
- التأليف — من أنشأ هذا المحتوى أو وافق عليه؟
- الأسبقية الزمنية — هل كان هذا المحتوى موجودًا في تاريخ معيّن؟
لدى التشفير الحديث أداة لكل سؤال. لنستعرضها.
الأداة 1 — الهاش: دليل السلامة
هاش SHA-256 هو «بصمة رقمية» رياضية للملف: سلسلة من 64 حرفًا تُحسب من المحتوى. أي تعديل في المستند — فاصلة واحدة — ينتج هاشًا مختلفًا كليًا. نشرنا دليلًا كاملًا عن هاش SHA-256 والتحقق من السلامة؛ وخلاصته:
- يثبت: أن المحتوى مطابق، بِتًا بِبِت، لما كان موجودًا عند تسجيل الهاش؛
- لا يثبت: من أنشأ الملف ولا متى؛
- التكلفة: صفر — يمكنك حساب هاش أي ملف في المتصفح في ثوانٍ، دون إرسال المستند إلى أي مكان.
الهاش هو أساس الآليتين الأخريين: فالتوقيع الرقمي والختم الزمني يعملان، من الداخل، بتوقيع هاش المستند أو تأريخه.
الأداة 2 — التوقيع الرقمي: دليل التأليف
هنا يدخل التشفير غير المتماثل (تشفير المفتاح العام)، وفكرته تستحق الفهم لأنها أنيقة:
كل شخص يملك زوجًا من المفاتيح المترابطة رياضيًا: مفتاح خاص لا يملكه سواه، ومفتاح عام يمكن لأي أحد معرفته. ما يشفّره أحد المفتاحين، لا يفكّه إلا الآخر.
يستخدم التوقيع الرقمي هذا ببراعة:
- يحسب البرنامج هاش المستند؛
- يُشفَّر هذا الهاش بـالمفتاح الخاص للموقِّع — هذا هو التوقيع؛
- يفكّ مستلم المستند التوقيع بـالمفتاح العام للموقِّع ويقارنه بالهاش المُعاد حسابه للملف.
إذا تطابقا، ثبت أمران دفعة واحدة: المستند لم يُعدَّل منذ التوقيع (السلامة)، والتوقيع لا يمكن أن يصدر إلا عن حائز المفتاح الخاص (التأليف).
تبقى حلقة واحدة: كيف نعرف أن ذلك المفتاح العام يخص فعلًا ذلك الشخص؟ هذا دور الشهادة الرقمية — مستند إلكتروني تصدره جهة تصديق معتمدة، يربط المفتاح العام بهوية صاحبه. يختلف الإطار القانوني من بلد إلى آخر: في الاتحاد الأوروبي تحدد لائحة eIDAS التوقيع الإلكتروني المؤهَّل؛ وفي معظم الدول العربية توجد قوانين للتعاملات الإلكترونية وجهات تصديق وطنية معتمدة. أما التشفير في الأساس فهو واحد في كل مكان.
- يثبت: التأليف/الموافقة + السلامة منذ لحظة التوقيع؛
- لا يثبت: أن المحتوى كان موجودًا قبل التوقيع، ولا التاريخ بقوة مستقلة (ساعة حاسوب الموقِّع دليل ضعيف)؛
- التكلفة: الشهادات المؤهَّلة مدفوعة عادةً؛ وتوفر دول عديدة أنظمة حكومية مجانية أو منخفضة التكلفة.
الأداة 3 — الختم الزمني الموثوق: دليل الأسبقية
الختم الزمني (timestamp) يجيب عن السؤال الذي تعجز عنه الأداتان الأخريان: «هل كان هذا المستند موجودًا في هذا التاريخ؟»
يعمل هكذا: يُرسل هاش المستند إلى هيئة ختم زمني (TSA) — خدمة ذات ساعة مدقَّقة وموثوقة، وفق معيار RFC 3161 — فتعيد الهاش موقَّعًا مع التاريخ والوقت الرسميين. لاحظ التفصيل المهم للخصوصية: الهاش وحده هو الذي يسافر، لا المستند أبدًا. تختم الهيئة البصمة دون أن ترى المحتوى قط.
- يثبت: أن هذا المحتوى بعينه كان موجودًا، على أقصى تقدير، في ذلك التاريخ والوقت؛
- لا يثبت: التأليف؛
- التكلفة: خدمة مدفوعة عادةً، تقدمها هيئات ختم زمني حول العالم.
خلاصة عملية: أي أداة لأي حاجة
- «أريد إثبات أن الملف لم يتغيّر» → هاش SHA-256. سجّله مبكرًا في مكان يصعب إنكاره (بريد للطرف الآخر، تقرير مشترك)، وطابقه لاحقًا في مدقّق السلامة.
- «أريد إثبات أن فلانًا وافق على هذا المحتوى» → توقيع رقمي (مؤهَّل أو معترف به قانونًا في بلدك).
- «أريد إثبات أن هذا المحتوى كان موجودًا قبل تاريخ معيّن» → ختم زمني.
- «أريدها كلها» → الثلاثة تتكامل: عقد موقَّع رقميًا مع ختم زمني يحمل التأليف والسلامة والتاريخ.
الخطأ الذي يُبطل التواقيع الرقمية (ولا يكاد أحد ينتبه له)
إليك أثمن تحذير في هذا المقال ليوميات المكتب:
أي تعديل على ملف PDF موقَّع رقميًا يكسر التوقيع. تذكّر آلية عمله: التوقيع هو هاش المستند مشفَّرًا. إذا تغيّر المستند تغيّر الهاش، فيفشل التحقق من التوقيع. هذا يعني، في ملف PDF موقَّع سلفًا:
- دمجه مع ملفات PDF أخرى — يكسر التوقيع؛
- تقسيمه إلى أجزاء — يكسر التوقيع؛
- ضغطه لتقليل الحجم — يكسر التوقيع؛
- حذف صفحات أو استخراجها — يكسر التوقيع؛
- حتى «حفظ باسم» في بعض قارئات PDF قد يعيد كتابة الملف ويُبطل التحقق.
القاعدة الذهبية: كل التعديلات تسبق التوقيع. جهّز المستند النهائي — ادمج المرفقات، حوّل الصور إلى PDF، اضغط، رتّب الصفحات — ثم اجمع التواقيع الرقمية بعد ذلك فقط. إن لزم تعديل شيء لاحقًا، فلا بد من التوقيع من جديد.
والنتيجة المنطقية: إذا استلمت ملف PDF موقَّعًا واحتجت نسخة أصغر أو جزئية للعمل، فاحتفظ بالأصل دون مساس (سجّل هاشه في المدقّق) وعدّل نسخ العمل فقط.
تشفير السرية: كلمة مرور PDF
إلى جانب السلامة والتأليف والتاريخ، هناك حاجة رابعة — السرية — يلبيها التشفير المتماثل: تشفير ملف PDF بكلمة مرور (معيار AES-256)، بحيث لا يفتح المحتوى إلا من يملك كلمة المرور.
ملاحظتان عمليتان:
- كلمة المرور تحمي الكتمان، لا السلامة ولا التأليف — الملف المحمي بكلمة مرور يظل قابلًا للاستبدال بملف آخر بكلمة المرور نفسها؛
- قوة الحماية هي قوة كلمة المرور. «1234» في AES-256 تبقى «1234».
للمستندات المحتوية على بيانات شخصية، للكتمان وزن قانوني: قوانين حماية البيانات حول العالم — من اللائحة الأوروبية GDPR إلى الأنظمة الوطنية لحماية البيانات الشخصية — تعامل حماية البيانات كالتزام لا مجاملة. وأقوى آلية سرية هي المعمارية: ألا يغادر المستند جهازك أصلًا.
كيف يطبّق RoseLab هذه المفاهيم
بُني RoseLab على مبدأين تشفيريين نوقشا هنا:
- معالجة محلية 100%: مقارنة ملفي PDF، الدمج، التقسيم، الضغط والتحقق من الهاش — كلها تجري داخل متصفحك. لا يُرسل أي مستند إلى خوادم — سرية بالمعمارية، لا بالوعود؛
- قابلية التحقق: يطبع تقرير المقارنة هاش SHA-256 للنسختين المقارنتين، ويمكن لأي شخص إعادة حساب هذه الهاشات بشكل مستقل في المدقّق العام. لست بحاجة للثقة في أحد: الرياضيات تتحقق من نفسها.
عمليًا، يبدو مسار مراجعة متين هكذا: استلم نسختي المستند → سجّل الهاشات → قارنهما مع الإبراز التلقائي للاختلافات → أنشئ التقرير والهاشات مطبوعة فيه → أرشف التقرير + الأصول. من يطعن في المراجعة يمكنه إعادتها كاملة بمفرده — المنهجية الكاملة في المسار الكامل لمقارنة المستندات.
أسئلة شائعة
هل للمستند الرقمي غير الموقَّع حجية؟ في معظم الأنظمة القانونية، لا تتوقف الحجية على شكل محدد في أغلب التصرفات الخاصة — فرسائل البريد وملفات PDF وحتى الرسائل النصية تصلح أدلة، تُقيَّم مجتمعة. التوقيع الرقمي والختم الزمني يقوّيان الدليل؛ وغيابهما لا يُبطله تلقائيًا. لبعض التصرفات قد يشترط القانون توقيعًا مؤهَّلًا — راجع القواعد المطبَّقة عليك.
هل صورة التوقيع اليدوي الممسوحة ضوئيًا توقيع رقمي؟ لا. صورة التوقيع الملصقة في PDF مجرد رسم، بلا أي خاصية تشفيرية — يمكن نسخها من مستند إلى آخر. التوقيع الرقمي هو الآلية الرياضية الموصوفة أعلاه، مدعومة بشهادة.
هل الهاش المسجَّل في بريد إلكتروني يصلح دليلًا؟ يصلح قرينة قوية على السلامة: للبريد تاريخ ومستلم ويبقى مسجلًا على خوادم أطراف ثالثة (مزوّدي البريد). إذا تطابق هاش الملف المقدَّم لاحقًا مع الهاش المرسَل آنذاك، يصبح ادعاء التزوير بالغ الصعوبة. المطابقة تستغرق ثوانيَ في المدقّق.
هل يغيّر ضغط PDF قيمة الهاش؟ نعم — الضغط يعيد كتابة الملف فيتغيّر الهاش (وتنكسر التواقيع الرقمية). لذلك سجّل هاش الملف النهائي بعد كل التعديلات، أو احتفظ بالأصل والنسخة المضغوطة مع الهاشين مدوَّنين.
ما الفرق بين التشفير المتماثل وغير المتماثل؟ المتماثل: كلمة المرور نفسها تشفّر وتفكّ (كلمة مرور PDF، أي AES-256). غير المتماثل: زوج مفاتيح، عام وخاص — أساس التوقيع الرقمي والشهادات. والهاش ليس هذا ولا ذاك: إنه دالة تلخيص أحادية الاتجاه، تستخدمها الآليتان لبنةَ بناء.