صلة حالة الاستخدامالسجلات وحدها لا تكفيالتقدّم بطلب الوصول
التقدّم بطلب الوصولصلة حالة الاستخدامالسجلات وحدها لا تكفيحولاتصل بنا

تبعية التحقق

ليس الخطر الخفي في غياب السجلات، بل في أن يظل التحقق اللاحق معتمدًا على بقاء النظام الأصلي متاحًا وموثوقًا وفي حال تشغيل.

تبعية التحقق هي الشرط الهيكلي الذي لا يمكن فيه تقييم قيمة شهادة أو سجل أو رسالة أو قرار لاحقًا دون الاعتماد على الأنظمة الحية للجهة المُصدِرة. وُجدت ‎CERTCRYPT‎ لجعل هذه التبعية اختيارية.

التبعية الخفية

تظن معظم المؤسسات أنها تحتفظ بسجلات أو لوغات أو شهادات أو طوابع زمنية توثّق ما جرى. وهي تفعل ذلك.

ما يُهمل غالبًا أن التحقق اللاحق من تلك السجلات يبقى معتمدًا على بقاء النظام الأصلي متاحًا، وعلى استمرار تعاون المُزوّد الأصلي، وعلى بقاء البنية الأصلية حية، وعلى صلاحية الاعتمادات الأصلية.

تظل هذه التبعية غير مرئية ما دام كل شيء يعمل، وتتحوّل إلى المشكلة المركزية في اللحظة التي يُشكَّك فيها بشيء أو يُدقَّق أو يُنازَع فيه أو يُراجَع في ظروف مستقلة.

السجلات واللوغات والإيصالات والإرساء لا تكفي

تضيف السجلات واللوغات وقواعد البيانات الداخلية ومسارات التدقيق والتوقيعات وإيصالات البلوكشين وإرساء الهاش إشارات سلامة مفيدة.

لا يُلغي أيٌ منها بمفرده التبعيةَ للجهة المُصدِرة في التحقق اللاحق. فهي تُظهر أن شيئًا ما كان موجودًا في لحظة معينة، أو أنه يمكن إعادة بناء سجل بالاستعلام من النظام الأصلي. لكنها بذاتها لا تجعل الشهادةَ قابلةً للتحقق المستقل وفق قواعد عامة دون الاعتماد على البنية الحية للجهة المُصدِرة.

نتناول هذا التمييز صراحةً في السجلات وحدها لا تكفي.

استمرارية الجهة المُصدِرة خطرٌ في ذاتها

التحقق المعتمد على الجهة المُصدِرة وضعٌ معرَّض للتغيرات التشغيلية والتنظيمية والتعاقدية.

  • تُهاجَر الأنظمة أو تُستبدَل أو تُتقاعَد.
  • يُستحوَذ على المزوّدين أو يُعاد هيكلتهم أو يُصفَّون.
  • تُدوَّر قواعد البيانات الداخلية أو تُقسَّم أو تُؤرشَف خلف ضوابط وصول.
  • يتراجع التعاون بين الأطراف المقابلة مع الوقت.
  • تنتهي الاعتمادات والعقود والسياسات الناظمة للوصول.
  • تبقى الالتزامات والنزاعات أطول من الأنظمة التي أنتجتها.

كلٌ من ذلك أمر طبيعي، ولا شيء منه استثنائي. ومجتمعةً تجعل استمرارية الجهة المُصدِرة أساسًا غير موثوق للتحقق الطويل الأمد.

الانتقال إلى ⁦`‎Independent‎`⁩

تُدخِل ‎CERTCRYPT‎ تمييزًا بين حالتين رسميتين للشهادة.

⁦`‎Issued‎`⁩ تعني أن الجهة المُصدِرة أنتجت الشهادة. الشهادة موجودة، ويمكن الاستعلام عنها وتقديمها والإشارة إليها عبر أنظمة الجهة المُصدِرة.

⁦`‎Independent‎`⁩ تعني أن التحقق اللاحق لم يعد معتمدًا على الأنظمة الحية للجهة المُصدِرة. بلغت الشهادة الشروط الهيكلية المطلوبة للتحقق المستقل وفق قواعد عامة.

⁦`‎Issued‎`⁩ ليست ⁦`‎Independent‎`⁩. يمكن إصدار شهادة دون أن تبلغ ⁦`‎Independent‎`⁩ أبدًا. ‎CERTCRYPT‎ هي البنية التحتية التي تتيح لشهادات مختارة بلوغ ⁦`‎Independent‎`⁩ عند الإصدار، بحيث تُحلّ تبعية التحقق لحظة إنشاء الشهادة، لا تُعاد بناؤها لاحقًا.

النموذج المعماري الأساسي موصوف في هندسة الاعتماد.

مجالات معرَّضة لتبعية التحقق

تتحول تبعية التحقق إلى خطر هيكلي قابل للتمييز في البيئات التي تكون فيها تكلفة فشل التحقق المستقبلي أعلى من تكلفة الاعتماد المستقل عند الإصدار.

  • الخدمات المصرفية والمالية والتدقيق، حيث قد تطلب الجهات التنظيمية والمحاكم والأطراف المقابلة لاحقًا أدلةً في ظروف مستقلة.
  • حوكمة الذكاء الاصطناعي، حيث قد يلزم لاحقًا مراجعة قرارات مؤتمتة أو الدفاع عنها أو الطعن فيها بعد تغيّر النموذج والنظام.
  • مسارات قانونية ومتعلقة بالامتثال، حيث يجب أن تظل نسخة أو حالة أو لحظة بعينها قابلةً للنسبة سنواتٍ لاحقًا.
  • التعليم والاعتماد، حيث يجب أن تبقى الشهادات قابلة للتحقق فيما يتجاوز فترة التشغيل لدى المؤسسة المُصدِرة.
  • الاتصالات والإشعارات ذات الأثر القانوني أو التعاقدي اللاحق.
  • الأصول المرمَّزة والرقمية، حيث يجب أن تظل تحولات الحالة قابلة للتقييم باستقلال عن المنصة التي سجّلتها.
  • المسارات التشغيلية الحرجة، حيث لا تكفي اللوغات وحدها لدعم التحقق المستقل اللاحق.

الخطوة التالية

إذا كانت بيئتكم تحمل تبعية تحقق تجاه أنظمة أو مزودين أو مؤسسات لا يُضمن توفّرها على المدى البعيد، فالسؤال هو ما إذا كان ينبغي لشهادات أو سجلات أو قرارات مختارة بلوغ ⁦`‎Independent‎`⁩ عند الإصدار.

أرسلوا حالة استخدام →

إذا احتجتم أولًا إلى الإطار المفهومي، راجعوا أطروحة ‎CERTCRYPT.

إذا احتجتم إلى التحقق من ملاءمة وضعكم، راجعوا ملاءمة حالة الاستخدام.