הצפנה ומסחר אלקטרוני

חתימות אלקטרוניות
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 3 דקות
שמור ב"תכנים שלי"

הצפנת המידע היא תנאי הכרחי לניהול פעילות מסחרית מאובטחת באינטרנט: מנגנוני הצפנה משמשים בפרוטוקולי-תקשורת מתוחכמים, כדוגמת SSL) Secure Socket layer) ו- SET) Secure Electronic Transaction) ומאפשרים למסור פרטי כרטיס אשראי ברשת לצורך ביצוע קניות בלא חשש שיגיעו לידיים בלתי מורשות. הצפנה היא חלק בלתי נפרד ממערכות לתשלום אלקטרוני, להנפקת כסף דיגיטלי (e-cash) ולהעברת כספים בין-בנקאית. לבד מהסתרה לשמה (כדוגמת הצפנה של ממסרי דואר אלקטרוני וקבצי מחשב אחרים) משמשת ההצפנה גם בתהליך של חתימה באמצעות מחשב, הידוע כחתימה דיגיטלית ("משפט באינטרנט", 4 ו- 16 במאי 97').

במקביל להתפתחויות אלה מתעוררת דאגה חמורה אצל ממשלות וארגוני ביון: השתכללות טכניקות ההצפנה וזמינותן מאפשרת לטרוריסטים וארגוני-פשע לתקשר ביניהם בבטחה. אם הממסרים המוצפנים ייורטו, ייארך פענוחם, במקרה הטוב, חודשים ושנים. הסברה המקובלת ביחס לפיצוח צופן הכולל 200 ספרות היא שיידרשו 8 חודשי עבודה של מחשב על כדי לפצחו. מחד גיסא, זוהי מחשבה מעודדת מבחינתם של אירגונים מסחריים ויחידים, שכן פיצוחם של נתוני אשראי, לדוגמה, הופך בלתי כלכלי ומתרחק מהשג ידם של פורצי-מחשב ('האקרים'). מאידך גיסא, אלה נתונים המעוררים חשש כבד אצל רשויות אכיפת החוק. התוצאה הבלתי נמנעת היא מתח בין האיסורים המסורתיים הקבועים בחוק על פיתוח ההצפנה והשימוש בה לבין העובדה שמידי יום ביומו משתמשים בה מיליונים, אפילו מבלי לדעת זאת, לצרכי מסחר מקוון. מתגבש והולך אפוא צורך בשינוי הדינים המסורתיים העוסקים בהצפנה.

ההצפנה המסורתית מכונה "הצפנה סימטרית" או "הצפנה במפתח סודי": קוד אחד משמש להצפנת המסר ולפענוחו. עובדה זו מחייבת תיאום מוקדם של צפנים. היא אינה מאפשרת לשניים שנפגשו בלא היכרות מוקדמת (לדוגמה, סוחר ולקוח באינטרנט) להעביר ביניהם נתונים מוצפנים (פרטי עיסקאות מקווונות וכרטיסי אשראי). אם התפתחות ההצפנה היתה עוצרת בטכניקה זו, ספק אם ניתן היה לבצע פעילות מסחרית מאובטחת באינטרנט.

שיטות ההצפנה המודרניות עושות שימוש במפתח כפול והן ידועות כ"הצפנה א-סימטרית": קוד אחד משמש להצפנת המסר, וקוד אחר לגמרי לפענוחו. הפרוטוקול, שבייסוד הטכנולוגיה, פותח בשנת 1976 על-ידי Diffie ו- Hellman ויושם לראשונה על ידי Shamir (פרופ' עדי שמיר ממכון ויצמן בישראל), Rivest ו- Adellman זמן קצר לאחר מכן. שלושה אלה אחראים לסטנדטרט דה-פקטו של ההצפנה הא-סימטרית היום, המכונה על שמם RSA.

השיטה מתבססת על שני מפתחות משלימים, המסורים לכל משתמש - קוד אחד גלוי וידוע לכל ("מפתח ציבורי") וקוד אחר חשאי ("מפתח פרטי"). מה שהוצפן בעזרת הקוד האחד ניתן לפענוח בעזרת הקוד האחר בלבד, ולהפך. כך, לדוגמה, נראת שורת קוד אחת מתוך 24 (!) במפתח ציבור שמפיקה הגירסה החדשה של תוכנת ההצפנה הנפוצה Good Privacy PGP) Pretty) (באתר האינטרנט http://www.pgpi.com נמצאת גירסת התוכנה המותרת בייצוא אל מחוץ לגבולות ארצות הברית):

/tbxo2v6AXbGw28X/cmK8lH7ckj mQGiBDTs+rERBADpQR+UubAL1uEq8jdJ8sxpe

עוצמת ההצפנה נבחנת לפי אורך המפתחות ששימשו ביצירתה. PGP יכולה לייצר מפתחות הצפנה של 2048 - 128 ביט. זו נחשבת הצפנה חזקה מאד. הממשל האמריקני מתיר כיום לייצא הצפנה בעוצמה של 40 ביט בלבד, ולעתים 56 ביט. חברות התוכנה טוענות שעוצמה זו אינה מבטיחה פרטיות מספקת. ב- 26 בפברואר דיווחה RSA.com שקוד של 56 ביט, בשיטת (Data Encryption Standard (DES שאימץ הממשל בארה"ב, פוענח ב- 39 ימי עבודה בלבד, באמצעות עשרות אלפי מחשבים המחוברים לאינטרנט שבעליהם אפשרו לצוות המפצחים גישה למעבד המחשב שלהם בעת שהוא היה בלתי-פעיל.

המשתמש רשאי ומעוניין להפיץ את המפתח הציבורי שלו בפומבי. הוא יכול לעשות זאת כחלק מכל הודעת דואר אלקטרוני שלו, להציב את המפתח באינטרנט, או למסור אותו לפרסום באתרים שזו תכליתם והתמחותם. המשתמש מעוניין בכל זה מפני שאז יכול כל אדם לשגר אליו מסר שיוצפן באמצעות המפתח הציבורי. מרגע שהמסר הוצפן, אפילו המפתח הציבורי שיצר אותו לא יכול לפענחו. רק בעל המפתח הפרטי (הווה אומר, רק הנמען של המסר) יוכל לפצח את ההצפנה ולקרוא את הדברים שיועדו אליו.

באופן דומה מוצפנים פרטי כרטיס האשראי בדרכם ממחשב המשתמש לחנות הווירטואלית שבה קנה זה עתה ספר או תקליט. גם החתימה הדיגיטלית מתבצעת באמצעות הצפנה. אלא שכאן חותם אדם על מסמך באמצעות המפתח הפרטי, הייחודי, שלו (אם היה חותם באמצעות המפתח הציבורי יכול היה כל אחד לחתום על המסמך בשמו). החתימה מזהה את חותמה בוודאות גמורה. כך ניתן לחתום באמצעות האינטרנט על חוזים מסחריים מבלי להיטלטל למפגשי חתימה ברחבי תבל, ומבלי לשלוח את המסמכים בדואר פיסי מיבשת אחת לשניה. כאשר יגיע המסמך החתום לנמענו, תופיע על מסך המחשב הודעה המאשרת את זהות החותם. פונקציה מתוחכמת (Hush function) תאשר גם שאיש לא שינה את המסמך מרגע שנחתם. מדינות רבות בארה"ב חוקקו כבר חוקים המסדירים את הפעלתה של החתימה הדיגיטלית ומעגנים את מעמדה המשפטי. החוק המתקדם ביותר הוא ה- Signature Act Digital של מדינת יוטה, שנכנס לתוקף ב- 1 במאי 1995.