הצפנה וחתימות דיגיטליות, פסק-דין דיגיטלי

חתימות אלקטרוניות
מאת‏ עו"ד חיים רביה

שותף בכיר וראש קבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

מאמר זה נערך ופורסם ע"י קבוצת האינטרנט, הסייבר וזכויות היוצרים בפרל כהן בראשות חיים רביה
זמן קריאה: 8 דקות
שמור ב"תכנים שלי"

בלא הצפנה לא יכולה להתנהל פעילות מסחרית מאובטחת באינטרנט. מנגנוני הצפנה משמשים בפרוטוקולי-תקשורת מתוחכמים, כדוגמת SSL) Secure Socket Layer) ו- Secure Electronic Transaction) SET), המאפשרים למסור פרטי כרטיס אשראי ברשת לצורך ביצוע קניות בלא חשש שיגיעו לידיים בלתי מורשות. הצפנה היא חלק בלתי נפרד ממנגנונים לתשלום אלקטרוני ולהנפקת כסף דיגיטלי (e-cash) ולהעברת כספים בין-בנקאית, ולבד מהסתרה לשמה (כדוגמת הצפנה של ממסרי דואר אלקטרוני) היא משמשת גם בתהליך של חתימה באמצעות מחשב, הידוע כחתימה דיגיטלית. חתימה זו היא המקבילה של האלף החדש לחתימה באמצעות ניר על גבי מסמך מודפס: החתימה הדיגיטלית מזהה את החותם ומגלה את גמירות דעתו להתקשר ביחסים משפטיים מחייבים. לנוכח חשיבותה הבלתי-מעורערת של ההצפנה, מפתיע לגלות שהשימוש בה בלא רישיון מהווה בישראל עבירה פלילית שעונשה שלוש שנות מאסר.

שיטות ההצפנה המודרניות עושות שימוש בקוד אחד לצורך הצפנת המסר, ובקוד אחר לשם פענוחו. שיטות אלה קרויות בשם הכולל "הצפנה א-סימטרית". הן מתבססות על שני מפתחות משלימים, המסורים לכל משתמש - קוד אחד גלוי וידוע לכל ("מפתח ציבורי") וקוד אחר חשאי ("מפתח פרטי"). מה שהוצפן בעזרת הקוד האחד ניתן לפענוח בעזרת הקוד האחר בלבד, ולהפך. כך, לדוגמה, נראות שתיים מתוך שורות הקוד במפתח ציבור שמפיקה הגירסה החדישה של תוכנת ההצפנה הנפוצה - PGB - Prety Good Privacy:

U+rpcKO6zUCMy81YE+KhHbjvtp/uznWUSnBu5NN+MZw9b56I
mQGiBDTs+rERBADpQRv6AXbGw28X/cmK8lH7ckj rXkIJYlWH

זו איננה טעות הגהה? ועוד 24 שורות כדוגמת אלה מרכיבות את המפתח הציבורי השלם (!).

המשתמש רשאי ומעוניין להפיץ את המפתח הציבורי שלו בפומבי. הוא יכול לעשות זאת כחלק מכל הודעת דואר אלקטרוני שלו, להציב את המפתח באינטרנט, או למסור אותו לפירסום באתרים שזו תכליתם והתמחותם. המשתמש מעוניין בכל זה מפני שאז יכול כל אדם לשגר אליו מסר שיוצפן באמצעות המפתח הציבורי. כך מתבצע תהליך ההצפנה הנפוץ ביותר (משלוח דואר אלקטרוני):

השולח, לדוגמה עו"ד, מבקש לשגר הודעת דואר אלקטרוני ללקוחו. אלא שמחמת החסיון המקצועי הוא רוצה להצפין תחילה את המסר.

 

עורך-הדין מברר אפוא מהו המפתח הציבורי של לקוחו ומצפין את המסר באמצעותו. בתוכנות הדואר האלקטרוני המודרניות, כדוגמת Eudora Pro 4.0, ההצפנה היא תהליך פשוט ביותר הכרוך בלחיצת כפתור אחת.

 

מרגע שהמסר הוצפן, אפילו המפתח הציבורי שיצר אותה לא יכול לפענחו! השולח שהצפין את המסר חייב לשמור אצלו העתק בלתי-מוצפן, מפני שאחרת לא יוכל להבין מה שיגר? ההערכה המקובלת היא כי נדרשים חודשי-עבודה ממושכים של מחשבי-על יקרים כדי לפענח את ההצפנה הא-סימטרית המקובלת עתה, וכי היות שכך אין זה כלכלי להתמודד עמה. עוצמת ההצפנה נבחנת לפי אורך המפתחות ששימשו ביצירתה. PGP יכולה לייצר מפתחות הצפ נה של 2048 - 128 ביט. זו נחשבת הצפנה חזקה מאד. האמת ניתנת להיאמר, שהרוב המכריע של משתמשי המחשב אינם זקוקים להצפנה כה-חזקה.

 

כשמתקבל המסר המוצפן אצל הנמען, הוא מפענח אותו באמצעות המפתח הפרטי שברשותו (בן-זוגו של המפתח הציבורי ששימש בהצפנה). אם המשתמש מאבד את המתפתח הפרטי שלו (כגון שמסר אותו לידי צד שלישי, או שהכונן הקשיח במחשבו קרס מבלי שגיבה קודם את המפתח), לא יוכל עוד לעולם להבין מה נשלח אליו.

באופן דומה מוצפנים פרטי כרטיס האשראי בדרכם ממחשב המשתמש לחנות הווירטואלית שבה קנה זה עתה ספר או תקליט. גם החתימה הדיגיטלית מתבצעת באמצעות הצפנה. אלא שכאן חותם אדם על מסמך באמצעות המפתח הפרטי, הייחודי, שלו (אם היה חותם באמצעות המפתח הציבורי יכול היה כל אחד לחתום על המסמך בשמו). החתימה מזהה את חותמה בוודאות גמורה. כך ניתן לחתום באמצעות האינטרנט על חוזים מסחריים מבלי להיטלטל למפגשי חתימה ברחבי תבל, ומבלי לשלוח את המסמכים בדואר פיסי מיבשת אחת לשניה. כאשר יגיע המסמך החתום לנמענו, תופיע על מסך המחשב הודעה המאשרת את זהות החותם וכן העובדה שאיש לא התערב במסמך מאז שנחתם. מדינות רבות בארה"ב חוקקו כבר חוקים המסדירים את הפעלתה של החתימה הדיגיטלית ומעגנים את מעמדה המשפטי. החוק המתקדם ביותר הוא ה-Digital Signature Act של מדינת יוטה, שנכנס לתוקף כבר ב- 1 במאי 1995.

ישראל מצויה בחזית הפיתוח באינטרנט, ויש בה גם חברות העוסקות בהצפנה (מחקר אלגוריתמים בע"מ, אליראו בע"מ ואחרות). הדין הישראלי מציע לכאורה תשתית משפטית נוחה להצפנה, שכן הוא שם דגש הולך וגובר על הגנת הפרטיות. בהרצאה, שנשא ב- 7 בינואר השנה בפני כנס השנתי של איגוד האינטרנט הישראלי, ציין עו"ד ירון להמן כי למעלה ממאה הוראות שונות המחייבות הגנה על סודיות המידע מצויות בדין הישראלי. הבולטות שבהן - חוק יסוד: כבוד אדם וחירותו, האוסר פגיעה בסוד שיחו של אדם, בכתביו או ברשומותיו; חוק הגנת הפרטיות, התשמ"א-1981 המחייב מנהלי מאגרי מידע לנקוט אמצעים לאבטחת המידע שברשותם; סעיף 19 לכללי לשכת עורכי הדין (אתיקה מקצועית), התשמ"ו-1986 הקובע כי "עורך דין ישמור בסוד כל דבר שיובא לידיעתו בידי לקוח או מטעמו, תוך כדי מילוי תפקידיו" ועוד.

מפתיע אפוא להיווכח כי העיסוק בהצפנה הוא בלתי חוקי בישראל: ההצפנה הוכרזה בספטמבר 74' כמוצר בר פיקוח מכוח חוק הפיקוח על מצרכים ושירותים, תשי"ח- 1957. בצו שהוצא מכוח החוק נקבע שהעיסוק ב"בפיתוח, בייצור, בהחזקה, בשימוש, ביבוא, ביצוא, בהובלה, בהעברה ממקום למקום או מיד ליד, בהפצה, במכירה או ברכישה של אמצעי הצפנה, של שיטת הצפנה, של מפתח הצפנה, או של רשומה המתייחסת להצפנה.." טעון היתר מכוח החוק. והחוק מורה כי "מי שפעל בעניין הטעון רשיון או היתר על פי חוק זה, ללא רשיון או היתר בני תוקף; דינו מאסר שלוש שנים". למעשה, הצפנה היא מוצר בר-פיקוח לצד מערכות נשק כדוגמת טילים. שורשי ההוראה בשימוש בה לצרכים צבאיים. החשש הרווח כיום הוא מפני שימוש בדואר אלקטרוני מוצפן לשם תיאום, תכנון ופיקוד על פעולות טרור.

הלכה למעשה, הצו הוא אות מתה. לפחות בכל הנוגע לשימוש בהצפנה, לא ניתן לאכוף עוד את הוראותיו. אולם פירושו המעשי הוא שבעוד אגודות עורכי הדין בארה"ב עוסקות בכובד-ראש בשאלה אם עו"ד חייב להצפין ממסרי דואר אלקטרוני ללקוחותיו כחלק מחובת החיסיון המקצועי (הנטיה היא להשיב על כך בשלילה), עו"ד ישראלי שיעשה זאת עלול להחשב כעבריין ולא כמי שממלא אחר חובותיו המקצועיות. חמור מכך, אפילו מי שמבצע רכישת מוצר באמצעות כרטיס אשראי באינטרנט מבצע "שימוש באמצעי הצפנה" בלשון הצו, ופעולתו בלא רשיון היא אפוא עבירה פלילית. עו"ד להמן ציין אפוא בהרצאתו, בצדק, כי הגיעה העת לשנות את הדין בעניין זה.

ואמנם, מסמך שנמצא לאחרונה לעיון בתאר של ועדת האינטרנט הממשלתית, ואשר חובר, בין השאר, על ידי עו"ד בראיין נייגן, יועצה המשפטי של הוועדה, ממליץ להתיר באופן גורף שימוש בכל עוצמת הצפנה שהיא לצורך זיהוי. הוא מסתמך על הטענה הרווחת שיכולת זיהוי חזקה, היא תנאי הכרחי בל-יעבור לכל תשתית תקשורת כלשהי באינטרנט. אשר להצפנת מידע - כאן המחברים זהירים יותר: "הגורמים המוסמכים צריכים לשקול את שיקולי הבטחון, מול שיקולי קיום מסחר ושימוש אמין ברשת, אל מול חרותו של האדם להגן על צנעתו", הם קובעים. "ניתן לקבוע אורך תקני למפתח הצפנה, שעבור שימוש בו, יפורסם היתר גורף. את האורך יש לעדכן מפעם לפעם. לחילופין, ניתן לפרסם תקופתית רשימת תוכנות לשימוש ביתי, שההצפנה בהן מותרת. הממשל האמריקאי, מתיר לאחרונה יצוא של 128 ביט לשימושם של מוסדות פיננסיים (בנקים) במדינות מערביות."

פסק-דין דיגיטלי

ב- 24 בפברואר השנה גזר כב' השופט יצחק כהן מבית משפט השלום בחיפה את דינו של גיל פז, מי שהיה מנהל מערכות התיב"ם (תכנון באמצעות מחשב) ברשות לפיתוח אמצעי לחימה (רפא"ל), והורשע בעבירות לפי סעיף 6(ב) לחוק המחשבים, תשנ"ה-1995 לאחר שהחדיר וירוס למחשבי רפא"ל. ככל הידוע, זוהי ההכרעה השיפוטית הראשונה בישראל המתייחסת לפשע מסוג זה, והיא משקפת גישה מחמירה עם העבריינים מתוך הכרה בתפקידן המרכזי של מערכות מחשב בחיים המודרניים.

השופט כהן הוא בעל ידע רחב במחשבים בכלל ובאינטרנט בפרט. אשר על כן לא הסתפק בהכרעת דין מודפסת, אלא הכין גם גרסת HTML לגזר הדין. HTML היא השפה שבה נכתבים עמודים ב- WEB (הממשק הגרפי של האינטרנט). ההחלטה ניתנת לפיכך לפרסום ברשת. גירסה מלאה שלה אמנם פורסמה במלואה בכתובת http://www.law.co.il/judgment.htm.

זוהי ההחלטה הראשונה שזוכה לגירסה כזו בעברית על-ידי הערכאה הפוסקת. היא באה בעקבות פסק-דינו של השופט דיוויד א. בייקר מבית משפט באורלנדו, פלורידה, אשר בספטמבר 97' מסר לצדדים פסק-דין על גבי דיסקט של מחשב ובו אלמנטים של היפרטקסט (קישורים המובילים בנקישה של עכבר-מחשב מתוך פסק-הדין למסמכים אחרים). פסק דינו של השופט בייקר התפרסם באתר של ה- Magistrate Judges האמריקניים, בכתובת http://www.fedjudge.org/96-929.htm. הקישורים הוליכו אל האסמכתאות שעליהן התבסס בית המשפט, אל מסמכי-פטנטים שהיו נשוא הסכסוך, לאתרי החברות המעורבות במחלוקת ולהערות שוליים שבפסק הדין גופו.

בגזר דינו מפנה בית משפט השלום בחיפה לשלושה אתרי-אינטרנט: האחד פורסם על-ידי אוניברסיטת חיפה והוא כולל את נוסחו המלא של חוק המחשבים בעברית; השני הוא האתר של הרשות לפיתוח אמצעי לחימה, והשלישי כולל מאמר משפטי שהתפרסם ב- CompLaw Papers אודות המאבק במפתחי וירוסים למחשבים. מהשוואה בין שתי הכרעות-הדין, זה של השופט בייקר וזה של השופט כהן, ניכרת בעליל העובדה שהחומר המשפטי בשפה האנגלית המצוי באינטרנט עשיר לאין שיעור מהמידע שבעברית.

הנוחות והפשטות שבפורמט הדיגיטלי, כובשים: אין צורך לטרוח ולדפדף בכרכי אסמכתאות אחדים בעת קריאת פסק הדין. כל מסמך רלבנטי מצוי במרחק של נקישת עכבר אחת ממחשב המשתמש. ביום שבו יתאפשר לעורכי דין להגיש את סיכומיהם ובקשותיהם במדיה דיגיטלית, ניתן יהיה להפנות באופן זה לא רק לאסמכתאות, אלא גם למוצגים וראיות שהוגשו לתיק בית המשפט, או אל הפרוטוקולים שנרשמו במהלך הדיון. כל אלה יסרקו ויהפכו לקובץ מחשב. עורך-הדין יצרף אותם לסיכומיו (לדוגמה, על גבי דיסקט) ויכלול בסיכומים קישורים המפנים במדויק אל העמוד בפרוטוקול, הקלטת-הקול, המסמך הכתוב או התמונה שעליהם הוא מבקש להסתמך. מעבדי תמלילים מודרניים, כדוגמת וורד 97, מאפשרים לבצע זאת כבר עתה בקלות יתרה. החסרון היחיד הוא הקושי לקרוא מסמכים ארוכים ממסך מחשב.

שני בתי המשפט, הן זה שבפלורידה והן זה שבחיפה, התמודדו עם הוראות חוק החייבות כי פסקי דין יינתנו בכתב וייחתם. תקנה 190(א) לתקנות סדר הדין האזרחי, התשמ"ד-1984 מורה כי "כתום הדיון בכל הליך, או לאחר מכן, בהקדם ככל האפשר לפי הנסיבות, ייתן בית המשפט פסק דין או החלטה אחרת, לפי העניין; ההחלטה תהיה בכתב ותיחתם בידי השופטים שישבו לדין". סעיף 182 לחוק סדר הדין הפלילי (נוסח משולב), תשמ"ב-1982 (הוא החוק הרלבנטי לפסק דינו של כב' השופט כהן) קובע הסדר דומה לגבי פסקי דין בפלילים ודורש החלטה מנומקת בכתב וחתומה בידי בית המשפט. שני בתי המשפט נתנו אפוא את פסק הדין בצורתו המסורתית, כמסמך מודפס החתום בחתימת-יד על ידי השופטים, אולם במקביל פרסמו גם גרסת HTML שלו.

החיוב שפסק-דין יינתן ב"כתב" סובל בהחלט, לדעת הח"מ, שיינתן גם במדיה דיגיטלית, המציגה סימני דפוס על-גבי מסך של מחשב. על סף שנות ה- 2000, "כתב" איננו מקביל בהכרח ל"דפוס". הדרישה כי פסק הדין ייחתם בידי בית המשפט נראית לכאורה בעייתית יותר. חשיבותה ברורה: מסמך שנשמר במדיה דיגיטלית ניתן לשינוי פשוט. הדעת אינה מרשה שצד מעוניין כלשהו יוכל לשנות פסקי-דין לאחר נתינתם. כיצד אפוא ייחתם פסק-דין דיגטלי? התשובה פשוטה: הוא ייחתם בחתימה דיגיטלית, שתבטיח, כי זהו פסק הדין שניתן על-ידי בית המשפט וכי מאז נתינתו לא בוצעו בו שינויים כלשהם.