איך תכיר חתימה אלקטרונית כשתראה כזאת?

מאז שנכנס לתוקף חוק חתימה אלקטרונית, התשס"א-2001, ב- 4 באוקטובר אשתקד, רבו הקולות המאוכזבים: מה שהתקבל בקול תרועה רמה בכנסת, והוצג כחוק הראשון שיתאים את דיני ישראל לעידן המידע, לא הניב עניין ציבורי כלשהו, הם אומרים. איש עוד לא המיר את חתימתו הפיסית בתחליף הדיגיטלי; החתימה האלקטרונית לא הצדיקה את הציפיות שתלו בה.

האמנם? הטמעת חתימה אלקטרונית היא תהליך מורכב, הכורך בחובו הבטים שונים -

  • תרבותיים-פסיכולוגיים (אלפי שנים חתמנו על ניר - פתאום זה לא טוב?)
  • תקציביים-עסקיים (בתוך כמה זמן אחזיר את ההשקעה וארוויח - או, במלים אחרות, האם אני בכלל צריך את זה?)
  • טכנולוגיים (האם הארגון שלי בשל לשנות תהליכים עיקריים - לעבור מניר לאלקטרוניקה? מה תשתית המחשוב העומדת לרשות המהלך?)
  • ארגוניים (באיזו מידה יתמכו העובדים במהלך? איך יסתגלו העובדים לשיטות עבודה חדשניות?) משפטיים (ולהבט אחד שלהם נייחד את עיקר השורות הבאות).

בהתחשב בכל אלה, היה זה מפליא אם החתימה אלקטרונית היתה מתפשטת כאש בשדה קוצים. אין חולק על כך שבחתימה אלקטרונית גלומים יתרונות מובהקים - זיהוי ודאי של צדדים שלא נפגשו מעולם זה עם זה; זיהוי שינויים לא מאושרים במסמך; אלקטרוניזציה של תהליכים מוטי-ניר; פיתוח אפשרויות עסקיות חדשות ועוד. אבל יישומה מותנה באימוץ הטכנולוגיה על ידי גורמים רבי-כוח - הממשלה, הבנקים, חברות הביטוח וגורמים אחרים כדוגמתם. ואלה, זהיר זהיר, מגששים את דרכם לכיוון החתימה האלקטרונית. שורה של מהלכים ציבוריים ועסקיים מלמדים שעתיד החתימה עוד לפניה. הנה רק שתיים מהיוזמות שזכו לפרסום פומבי -

  • ב- 2.12.2001 פרסם משרד האוצר את מכרז תמו"ז (תעודה ממוחשבת לגישה וזיהוי). המכרז מיועד למצוא ספק ל- 150,000 כרטיסים חכמים לעובדי המדינה. בכרטיסים יכללו תעודות אלקטרוניות ומפתחות חתימה שיאפשרו לעובדים להזדהות זה מול זה, בין השאר, בתווך אלקטרוני ולהחליף מסמכים ביניהם בתווך זה.
  • ב- 9.1.2002 פרסם האוצר את מכרז תל"ם (תעוד לאומי ממוחשב), הקורא להחלפת תעודות הזהות של אזרחי המדינה בתעודת זיהוי מבוססת כרטיס חכם. כרטיסים חכמים אלה ישאו בשבב המוטבע בהם גם תעודת זיהוי אלקטרונית ומפתחות חתימה על-פי תוכניות האוצר, עוד השנה ייערך ניסוי ('פיילוט') מוגבל ל- 50,000 כרטיסים ו- 10,000 קוראים ועד ל- 2006 תושלם הנפקת התעודה החדשה לכלל אזרחי המדינה. הנה כי כן, עד ל- 2006 אמור כל אזרח במדינה להחזיק בחתימה אלקטרונית שתאפשר לו הזדהות מרחוק וקבלת שירותים מרשויות המדינה. אם וכאשר תתממש התוכנית, תהיה לכך השלכה ישירה על יכולתם של עסקים שונים לנצל טכנולוגיות של חתימה אלקטרונית בעבודתם עם לקוחותיהם. בעיה קשה לפתרון (הקצאת מפתחות חתימה לכל לקוח) תפתר באדיבותה של הממשלה.

מי ראה חתימה אלקטרונית?

חוק חתימה אלקטרונית, התשס"א-2001 איננו קל או פשוט להבנה. החוק מקנה הטבות שונות ל"חתימה אלקטרונית מאובטחת". לדוגמה, בכפוף לחריגים - מקורו של מסמך ייחשב לעולם לראיה הטובה ביותר, הוא ולא העתק שהופק מתוכו. אבל החוק מורה שפלט של מסמך שנחתם בחתימה מאובטחת ייחשב בהליך משפטי כמקור, ולא כהעתק. מכן שדי בתדפיס של מסמך כזה כדי שניתן יהיה להגישו כראיה, אפילו התדפיס כשלעצמו אינו נושא חתימה כלשהי.

מהי אותה "חתימה אלקטרונית מאובטחת", שביסוד החוק? מי שלא יודע אל נכון מהי חתימה אלקטרונית, יתקשה להבין מה טיבה כשייקרא את הגדרתה שבחוק. זוהי הגדרה רחבה, פתוחה במתכוון וניטרלית מבחינה טכנולוגית: חתימה אלקטרונית מאובטחת, לפי ההגדרה שבחוק, היא חתימה אלקטרונית שמתאפיינת בכל אלה - א. היא ייחודית לבעל אמצעי החתימה; ב. היא מאפשרת זיהוי לכאורה של בעל אמצעי החתימה; ג. היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה; ד. היא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה.

איך יודעים מהי חתימה אלקטרונית כשהחוק כה מעורפל בהגדרתו? הנה כמה אפשרויות -

  • לא יודעים. או, ליתר דיוק, לא יודעים מראש: במקרה של מחלוקת המתבררת בבית משפט, יעיד הטוען לקיומה של החתימה מומחים (יקרים) לקריפטולוגיה ואבטחת מידע שישכנעו את השופט (או לא....) שאמצעי החתימה של הטוען עומד באמות המידה הכלליות שבהגדרת "חתימה אלקטרונית מאובטחת". כשהוודאות כה רחוקה וההוצאה כה גדולה, ספק אם יטה מישהו לבטוח במערכי חתימה אלקטרונית. אלא שהאפשרויות אינן מצטמצמות בכך.
  • התקנות שמכוח חוק חתימה אלקטרונית מפרטות אילו חתימות ייהנו מהחזקה שהן-הן חתימות אלקטרוניות מאובטחות, והן מדברות באלגוריתמים מסוימים (ECDSA, RSA, DSA), באורכי מפתח מסוימים (160 ביט במקרה אחד ו- 1024 במקרים אחרים), במנגנוני הגנה העומדים בתקנים המזוהים לפרטיהם בשמם וכיו"ב. הטוען לקיומה של חתימה כמשמעה בחוק יתכבד להוכיח שהיא עומדת בדרישות התקנות. אם יוכיח זאת, תקום מניה וביה החזקה שהחתימה היא חתימה מאובטחת כמשמעה בחוק. ואיך יוכיח? שוב, יעיד מומחים. אפשר להניח שהפעם מלאכתם תהיה יקרה פחות ועדין, זולה לא תהיה. אדם פרטי לא ירצה ליטול על עצמו ביודעין סיכונים מסוג זה.
  • חוק חתימה אלקטרונית מורה, שחתימה המלווה בתעודה אלקטרונית (חתימה כזו קרויה חתימה מאושרת) - חזקה שהיא חתימה מאובטחת. תעודה אלקטרונית היא מעין תעודת זהות וירטואלית. היא מאשרת את העובדה שאדם מסוים, נאמר כותב שורות אלה, מחזיק במפתח הצפנה מסוים המאפשר לזהות את העובדה שהוא חתם בחתימה אלקטרונית על מסר. ומדוע חתימה המלווה בתעודה כזו חזקה שהיא חתימה מאובטחת כהגדרתה בחוק? מפני שאי אפשר להנפיק תעודה כזו לאדם מבלי לבדוק את אמצעי החתימה שהוא מחזיק ולוודא שהוא עומד בדרישות התקנות. במלים אחרות, הנטל לבדוק עובר מכתפו של המשתמש בחתימה האלקטרונית לכתפיו של מי שהנפיק לו את התעודה. זהו נטל סביר, שכל אחד יכול לעמוד בו. התוצאה היא, שביחסים בין צדדים זרים, קשה לראות הסתמכות כלשהי על חתימה אלקטרונית שאינה מלווה בתעודה אלקטרונית מזהה. חתימה עירומה מתעודה יכולה לפעול במערכות היחסים בין חותמים המכירים זה את זה וסומכים זה על חתימתו של השני.

הצאר של הטכנולוגיה

לרשם הגורמים המאשרים הוקנתה סמכות לקבוע שחתימה מסוימת עומדת בדרישות הללו ולפיכך היא חתימה מאובטחת - או שהיא מאובטחת למרות שאיננה עומדת בדרישות התקנות. במלים אחרות: מפתחיה השקיעו את הכספים הדרושים כדי להמציא לרשם חוות דעת של מומחים (יקרים) לקריפטולוגיה ואבטחת מידע אשר שכנעו אותו, שהחתימה עונה לדרישות החוק למרות שאינה עומדת בדרישות התקנות.

מי שעקב אחר האפשרויות הלא-פשוטות הללו עד כה, בוודאי הסיק שיישום חתימה אלקטרונית בישראל תלוי במידה מכרעת בהימצאם של גורמים מאשרים - מי שינפיקו את התעודות האלקטרוניות, אשר בלוותן את החתימות יעידו כי הן-הן החתימות המאובטחות שהחוק מדבר בהן. ודוק: חוק חתימה אלקטרונית מכיר בגורמים מאשרים שנרשמו אצל רשם הגורמים המאשרים. הוא אינו מחייב גורמים מאשרים להירשם - אבל אם לא נרשמו, לא ייחשבו התעודות שינפיקו כתעודות אלקטרוניות לענין החוק. מכאן ינבע, שחתימות שתהיינה מלוות בתעודות אלה לא תחשבנה כחתימות מאושרות לענין החוק ולא תהנינה ממעמד הבכורה הנתון לחתימות אלה. חתימות המלוות בתעודות כאלה אינן נהנות אפילו מהחזקה שהן חתימות מאובטחות.

היכן אפוא הגורמים המאשרים? התשובה היא שבעצם הימים האלה מצויות שתי חברות בהליכי רישום - קומסייגן מקבוצת קומדע היא נציגתה בישראל של חב' Verisign (החברה המובילה בהנפקת תעודות אלקטרוניות למערכות מחשב לסוגיהן); סקיורנט היא נציגתה בישראל של חב' Baltimore האירית (המובילה בהנפקת תעודות אלקטרוניות ליחידים). נראה שחברה שלישית, המסונפת לתאגיד תקשורת גדול, נושאת גם היא את עיניה למעמד הנכסף. יזמים וחברות אחרות ששקלו במרוצת הזמן לפעול בתחום, זנחו לפי שעה את תוכניותיהם. הם ממתינים להיווכח אם הנפקת תעודות אלקטרוניות היא business.... מוטב, אגב, שהליכי רישומם יסתיימו במהירות שאם לא כן, מתריעים במשרד האוצר, תפגענה תוכניות הממשלה בתחום החתימה האלקטרונית.

גורמים מאשרים יירשמו אצל רשם הגורמים המאשרים. על-פי חוק חתימה אלקטרונית, זהו תפקיד אדמיניסטרטיבי: עיקר פועלו הוא רישום הגורמים ופיקוח עליהם. הכשירות היחידה שהחוק מונה בו היא היותו עובד משרד המשפטים הראוי להתמנות שופט שלום. באו התקנות ושינו את התפקיד מקצה אל קצה. לרשם הגורמים המאשרים הוענקו סמכויות רחבות, נוספות - מעתה, לדוגמה, הוא בעל הסמכות לקבל החלטות הנוגעות לטכנולוגיה המאושרת בחתימה אלקטרונית; הוא גם רשאי להתיר לבצע את חלק מהפעילויות החיוניות להנפקת תעודה מחוץ לתחומי ישראל ועליו להגיש דו"ח שנתי לכנסת. התוצאה היא שרשם הגורמים המאשרים הפך לתפקיד רב-משמעות בתחום החתימה האלקטרונית.

סוף דבר: לחתימות אלקטרוניות יתרונות רבים. אימוצן כרוך באתגרים פסיכולוגיים, עסקיים, טכנולוגיים ומשפטיים. תפקיד מפתח שמור לפעילות הממשלה והגופים הגדולים במשק - וחשיבות יתרה יש לכוח ולסמכות שהופקדו בידי רשם הגורמים המאשרים. יישום נבון ומהיר של סמכויות הרשם, יתרום תרומה מכרעת לפיתוחה של תשתית לחתימות אלקטרוניות בישראל.