חתימה אלקטרונית - מאובטחת?

בניגוד לסברה המקובלת, חתימה אלקטרונית מאובטחת ניתנת לפיצוח או לחשיפה בקלות יחסית. כך התריעו מומחי טכנולוגיה בפגישה של הפורום למשפט וטכנולוגיה באוניברסיטת חיפה, שהתקיימה בשבוע שעבר ועסקה בתזכיר חוק חתימה אלקטרונית שמציע משרד המשפטים. ד"ר אמיר הרצברג ממעבדת המחקר של יבמ בחיפה הזהיר, כי לנוכח החזקות בחוק המוצע, יקשה מאד על אדם להוכיח שהשליטה בחתימתו אבדה לו למרות שנקט אמצעים לשומרה וכי לא הוא החותם על גבי מסמך שנחזה להיות חתום על ידו.

חוק חתימה אלקטרונית עוסק בחתימה על גבי מסמכים הטעונים חתימה על פי חיקוק - אף שאין בו כדי לחסום, כמובן, שימוש בחתימה אלקטרונית ביחס לכל מסמך. עו"ד ליהי פלדמן ממשרד המשפטים בירושלים, שריכזה את הכנת החוק, הסבירה, כי החוק המוצע מכיר בשלושה סוגי חתימות -

  • חתימה אלקטרונית - מידע או סימן אלקטרוניים שהוצמדו או יוחסו למסר אלקטרוני תוך כוונה לחתום עליו. דברי ההסבר לתזכיר אומרים כי זוהי חתימה פשוטה, כדוגמת זו המופיעה בסוף הודעת דואר אלקטרוני, אשר אין לה נפקויות מיוחדות. ראוי לדייק: הדפסת פרטיו של אדם בסוף מסמך אינה מהווה כשלעצמה חתימה בגלל סיבות אחדות, ובראשן העובדה כי היא קלה לזיוף ואינה מזהה התערבות אסורה בתוכן המסר.

החוק המוצע מבקש להבהיר כי אין מניעה להשתמש בחתימה האלקטרונית הפשוטה אלא שהיא לא תהנה מההקלות הראייתיות שמעניק החוק. בפורום נמתחה ביקורת על הדרישה כי המידע הוצמד למסר תוך כוונה לחתום עליו. הדוברים העירו כי הכוונה להתקשר ביחסים משפטיים מחייבים היא ממילא אחד מהתנאים על פי דין לכריתת חוזה וכי הכנסתה כרכיב בהגדרת החתימה מעוררת בעיות. כך לדוגמה, אם פלוני יתכחש לעובדה שחתם בחתימה אלקטרונית על גבי מסמך, יצטרך בעל הדין שמולו להוכיח בין השאר את כוונתו בעת שהצמיד למסמך מידע אלקטרוני והאם עלתה כדי כוונה לחתום.

  • חתימה אלקטרונית מאובטחת - זוהי חתימה אלקטרונית, כהגדרתה לעיל, שמתקיימים בה ארבעה תנאים נוספים - היא ייחודית לחותם, המאפשרת את זיהויו, הופקה באמצעי חתימה הניתן לשליטה בלעדית של החותם ומאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה. טכנולוגית, החתימה האלקטרונית המאובטחת היא התוצאה המתקבלת מהפעלת מפתח הצפנה ייחודי לחותם על גבי מסמך.

החוק החדש מבקש להקנות להשוות את מעמדה של חתימה זו לחתימה רגילה. לפיכך הוא מורה, כי מסר אלקטרוני הנושא חתימה אלקטרונית מאובטחת, יהיה ראיה קבילה להוכחת אמיתות תוכנו בכל הליך משפטי. זאת ועוד, כדי להשוות את מעמדו של מסמך שנחתם בחתימה מאובטחת למעמדה של רשומה בפקודת הראיות, מתיר התזכיר להגיש לבית המשפט פלט של המסמך בקובעו שייראו את הפלט כמקור. באופן זה לא ניתן יהיה לחסום את הגשתו מכוח כלל הראיה הטובה ביותר. אלא שפלט של מסמך שנחתם בחתימה אלקטרונית מאובטחת ייראה כמסמך שאינו נושא כל חתימה?החתימה האלקטרונית היא קובץ מחשב נפרד, שלעתים לא ניתן כלל להדפיסו.

  • חתימה אלקטרונית מאובטחת המאומתת בתעודה אלקטרונית - התעודה האלקטרונית מאמתת שחתימה מסוימת שייכת אמנם לאדם מסוים. היא קושרת בין החתימה לחותם ובכך מאפשרת לצדדים שלישיים שאינם מכירים את החותם לדעת בביטחה שהחותם הוא אמנם מי שהוא טוען שהינו. חוק חתימה אלקטרונית קובע כי במקום שהדין מחייב חתימה על גבי מסמך, ניתן לקיים את הדרישה באמצעות חתימה אלקטרונית מאובטחת המאומתת בתעודה אלקטרונית. הוא אינו עוסק בשאלה כיצד יש לחתום על גבי מסמך שהדין אינו דורש כי ייחתם. ניתן איפוא לחתום על מסמך כזה הן בחתימה המאומתת בתעודה והן בחתימה מאובטחת רגילה. אלא שחתימה בלא תעודה לא תזכה את החותם בחזקות העומדות לימינו של מי שהזדהה באמצעות תעודה אלקטרונית.

דומה כי בתנאים מסוימים מעניק נוסח החוק המוצע לחתימה האלקטרונית המאובטחת מעמד עדיף על פני זה של חתימה רגילה. כך לדוגמה, אם חתם אדם בחתימה אלקטרונית מאובטחת שאומתה בתעודה אלקטרונית, חזקה היא, בין השאר, שתוכן המסר האלקטרוני החתום מאושר על ידי החותם.

ד"ר אמיר הרצברג הזהיר בפורום, כי החתימה האלקטרונית אינה בטוחה דיה בשל סיבות אחדות-

  • "שבירה קריפטוגרפית" - חולשה של פונקציות מסוימות המשמשות בביצוע הפעולה, או של גודל המפתח, מאפשרים לפצח את מפתח ההצפנה, האמור להיות ייחודי לכל אדם ואדם.
  • חשיפת המפתח על-ידי התקפה על מערכת המחשב המחזיקה בו - זוהי הסכנה המוחשית יותר, ולדעת ד"ר הרצברג הצטרף בענין זה גם ינקי מרגלית, מנכ"ל חב' אלאדין. לדברי השניים, תוכנות זדוניות מאפשרות לחדור למחשב המשתמש ולחשוף את מפתח החתימה.

הדוברים היו מאוחדים בדעה שהחוק צריך להיות כללי, ולא לשקף טכנולוגיה רווחת כדי שלא להתיישן במהירות. על אף זאת העיר גם מנכ"ל חב' קומדע, זאב שטח, כי רצוי לדרוש בהגדרת "אמצעי חתימה" בחוק ("תוכנה, חפץ או מידע הדרושים... להפקת חתימה אלקטרונית מאובטחת") שהאמצעי יעמוד בסטנדרטים בינלאומיים מקובלים.

נראה כי משרד המשפטים יבקש להביא את חוק החתימה האלקטרונית לאישור הכנסת בהקדם, ואפשר שעוד במושב הנוכחי של הבית.

הערה: המאמר מתייחס לנוסח מוקדם של הצעת החוק. בנוסח הסופי של החוק, כפי שאושר במליאת הכנסת במרץ 2001, חלו שינויים לעומת הכתוב.