ישראל: על חלם וחתימה אלקטרונית

תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"א - 2001 קובעות מה ייחשב לחתימה אלקטרונית מאובטחת (המקבילה האלקטרונית לחתימה ידנית, בתיאור פשטני). הן דורשות שאמצעי חתימה יעמוד בכמה תנאים כדי שייחשב כמפיק חתימה מאובטחת. בין השאר - לקחת אוויר - כך: "להפעלת אמצעי החתימה, או לגישה אליו, נדרש שימוש באמצעים פיזיים או הצפנתיים ... ייחודיים, העומדים ברמת אבטחה של תקן FIPS 140-2 רמה 1, ברמת בטחון של תקן common criteria EAL2 לפחות". זוהי דרישת פלא, מופת חקיקתי, מפני ש- א. איש אינו מבין אותה, ובשל כך - ב. היא מייצרת פרנסה למעט עורכי הדין שמבינים בכלל מהי חתימה אלקטרונית. הסיבה למבוכה נובעת מכך ששני התקנים הנזכרים בתקנה - FIPS ו- Common Criteria (להלן: "CC") - לא ממש עולים בקנה אחד זה עם זה.  FIPS הוא תקן פדראלי אמריקאי הקובע דרישות אבטחה לרכיבים קריפטוגרפיים. ה- CC כשלעצמו איננו תקן, המכתיב דרישות נוקשות שכנגדן ייבחנו מוצרים, אלא מתודולוגיה המיועדת להבטיח שמוצר עונה על רמת האבטחה המוצהרת והמתועדת שלו ("Security Target"). ההבדלים בין FIPS ל- CC, רבים ומהותיים. בהתחשב במהותם השונה של FIPS וה- CC, כוונתן של התקנות הישראליות היא מעורפלת, במקרה הטוב-יותר, וסתומה, במקרה הטוב-פחות. התוצאה היא שנמנעה הכרה באמצעי חתימה ככאלה המפיקים חתימה מאובטחת. כל מי שעוסקים בחתימה האלקטרונית בישראל, יודעים זאת. גם רשם גורמים מאשרים במשרד המשפטים בירושלים, שתפקידו הוא להכיר בעמידתם של אמצעי חתימה בדרישות התקנה המסתורית. גם מחלקת ייעוץ וחקיקה במשרד המשפטים האחראית לחוק חתימה אלקטרונית ותקנותיו. חלפו כחמש שנים ממועד שהתקנות תוקנו. היתה הזדמנות נאותה לסלק מהן את אי-הבהירות אבל הן לא תוקנו. למה? לא ברור. לעומת זאת, כעת תוקנו תקנות אחרות באופן שהדרישה לעמידה ב- Common Criteria נגנזה מהן נפש. אלה תקנות שירותי נתוני אשראי. אולי אם נחכה עוד חמש שנים יתקנו גם את תקנות חתימה אלקטרונית. בינתיים נתפרנס מחוות דעת שמנסות לפצח את כוונתן.