|
כאשר הוחלט במדינת ישראל כי יש להתחיל להשתמש בחתימה אלקטרונית בעקבות המסחר האלקטרוני המתפתח נקבע כי בנוסף, לעניין המשפטי שהיה צורך להסדיר, יש צורך בהסדרים טכנולוגיים. כלומר, אמצעים טכנולוגיים מאובטחים ואמינים על פי דרישות החוק בהם ישתמשו הגורמים המאשרים ויפקח עליהם הרשם.
בפרק זה אדון בגורמים המאשרים הקיימים היום במדינת ישראל, מי הם? כיצד הוסמכו להיות גורם מאשר? ועל ידי מי?, דרכי פעילותם מבחינה טכנולוגית, הפיקוח עליהם וכד'.
לאחר סיום חקיקת חוק חתימה אלקטרונית, התשס"א-2001, מונה רשם גורמים מאשרים שתפקידו לבדוק את הבקשות של גורמים שונים להיות גורם מאשר ולאשרם במידה ועומדים בתנאי החוק והתקנות. עד היום נרשמו אצל הרשם שתי חברות אשר הוסמכו להיות גורם מאשר בארץ:
- חברת סקיורנט (securenet)
- חברת קומסיין (comsign)
שתי החברות נרשמו כגורם מאשר על ידי הרשם על פי חוק במהלך שנת 2003.
תפקידי הרשם מלבד אישור הגורמים המאשרים זה פיקוח כי עומדים בתנאי החוק והתקנות, מהבחינה הטכנולוגית ואבטחת מידע, תפקיד הרשם הוא לוודא כי אמצעי החתימה והמכשירים העומדים מאחוריו תקינים, מאובטחים ותואמים את הפרמטרים הנדרשים בחוק ובתקנות חתימה אלקטרונית.
חברות אלו שנרשמו מורשות על פי חוק להנפיק תעודות דיגיטליות (מדובר במסמך אלקטרוני חתום דיגיטלית המכיל - פרטים מזהים של הגורם המעוניין בתעודה, מפתח ציבורי השייך לבעל הזהות, חתימה אלקטרונית של הגורם המאשר שהנפיק את התעודה, על ידי בדיקות זהות של גורם המאשר נוצרת בעצם תעודה דיגיטלית המספקת וודאות גבוהה לגבי בעלי התעודה והתוקף שלה) הנדרשות ליצירת חתימה אלקטרונית מאושרת. בעקבות אישורן כגורמים מאשרים, הן החלו בהנפקת תעודות אלקטרוניות עבור מערכת מגנ"א (מערכת גילוי נאות אלקטרוני) של הרשות לניירות ערך (אדון בכך בהרחבה בפרק 4).
שתי החברות שציינתי לעיל הוסמכו על ידי הרשם הממונה על פי חוק, לאחר שנבדק כי הן עומדות בדרישות החוק והתקנות, כעת ארחיב לגבי כל אחת מהחברות, מי היא? מה דרכי פעולתה מבחינה טכנולוגית? וכד'.
1. חברת סקיורנט (Securenet), היא החברה הראשונה בארץ שאושרה כגורם מאשר על ידי הרשם (בתאריך 09.02.2003 - נספח א', הודעה לעיתונות של חברת Securenet).
פרופיל החברה (כפי שהחברה עצמה מציגה): סקיורנט פועלת כגורם המאשר (CA =Certification Authority) הוותיק בישראל לחתימות דיגיטליות, בפעילות מיושמים אמצעים ונהלים מחמירים ביותר על פי דרישות החוק הישראלי ותקנים בינלאומיים.
מנגנון הגורם המאשר נבנה בסקיורנט על בסיס המקצוענות המוכחת של החברה בתחום אבטחת המידע ויישום מערכות PKI (public key infrastructure = תשתית מפתח ציבורי), הוא מספק את מכלול השירותים המוגדרים במסגרת חוק החתימה האלקטרונית ואלה הנדרשים לצורך יישום הטכנולוגיה בארגון.
סקיורנט מספקת שירותים מתקדמים וחדשניים, המכסים את מכלול צרכי אבטחת המידע בארגונים: סקירה, תכנון יישום ותחזוקה של מערכות אבטחת מידע. החברה מתמחה בתחומי התקשורת וזיהוי חד-ערכי של משתמשים, כולל זיהוי במערכות האינטרנט, בסביבת מיקרוסופט ובמערכות תקשוב בכלל.
2. חברת קומסיין (Comsign), הינה החברה השנייה שאושרה כגורם מאשר על ידי הרשם (רישום חברה) (בתאריך 16.02.2003 - נספח ב', הודעה על קבלת האישור של חברת Comsign).
פרופיל החברה (כפי שהחברה עצמה מציגה): קומסיין חברת הבת של Comda, היא הנציגה הרשמית של VeriSign בישראל (VeriSign - היא החברה הגדולה ביותר בעולם בתחום תעודות דיגיטליות ומערכות PKI). קומסיין אושרה על ידי משרד המשפטים - רשם הגורמים המאשרים, לשמש כגורם מאשר על פי חוק חתימה אלקטרונית.
לאחר שהכרנו את החברות הפועלות כגורמים מאשרים בארץ, אנסה להראות את הדרישות הטכנולוגיות הנדרשות על פי חוק. כמובן שמומלץ בכל מקרה להתייעץ עם עורכי דין בנושא.
מיד לאחר אישור החוק, נכתבו ואושרו תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), תקנות אלה עוסקות בהסדרת דרכי הפעולה של הגורם המאשר מהבחינה הטכנולוגית - באילו אמצעי חתימה ישתמש, דרישות אבטחת מידע וכד'.
על מנת לקבל אישור טכנולוגי להפקת חתימה אלקטרונית מאובטחת על הגורם המאשר להמציא אישור של מעבדה מוסמכת (מעבדה שהוסמכה על ידי הרשות או רשות מקבילה מוכרת בחו"ל לבצע בדיקות התאמה לתקן הרלוונטי וכד') בדבר עמידה בדרישות התקנים האמורים.
חתימה אלקטרונית מאושרת באה בעצם לפתור בעיה של התקשרות בין צדדים זרים שלא יכולים להיפגש ומעוניינים להתקשר בדרך אלקטרונית, על מנת להבטיח וודאות כי הצד השני הוא אכן הצד שעימו אני מעוניין להתקשר מלבד הגורם המאשר שמפקח יש את העניין הטכנולוגי וזה ההצפנה הא-סימטרית המכונה PKI. בטכנולוגיה זו יש לכל צד שני מפתחות הצפנה:
1. "מפתח פרטי" - המצוי בשליטתו הבלעדית של בעל החתימה.
2. "מפתח ציבורי" - מופץ בגלוי לכל מי שאמור לקבל את המסר האלקטרוני החתום.
השגת צמד המפתחות נעשית בעצם על ידי פניה לגורם המאשר, עמידה בתנאים הרשומים בחוק ואישור של הגורם המאשר לכך שאכן יש עמידה כראוי בתנאים.
החתימה האלקטרונית שנחתמת על מסר אלקטרוני היא ייחודית למסר הספציפי ולבעל חתימה מסוים, לאחר שליחת המסר הנמען זקוק למפתח הציבורי המתאים על מנת לפענח את המסר שהגיע אליו, קבלת המפתח הציבורי תעשה באמצעים מקוונים (הפעלת תכנת החתימה הדיגיטלית), מרגע זה מתבצעות שתי פעולות במקביל:
1. פענוח של ה"מפתח הציבורי" את מה שהוצפן ב"מפתח הפרטי" - הצלחה בפענוח מעידה על זהות החותם.
2. התוכנה בודקת את "טביעת האצבע" שנתגלתה לאחר פענוח החתימה הדיגיטלית באמצעות ה"מפתח הציבורי", במידה והתוצאה הראתה כי "טביעת האצבע" שהתקבלה שונה מזו של המסר המקורי שנשלח הרי שניתן לדעת כי בוצע שינוי במסר שנשלח לאחר ביצוע החתימה.
בכדי שתהיה וודאות כי מדובר באדם איתו מעוניינים להתקשר בעזרת מסרים אלקטרונים אין זה מספיק כי יש חתימה אלקטרונית מאובטחת ומדובר בטכנולוגית PKI, יש צורך לוודא כי מדובר בחתימה אלקטרונית מאושרת, כלומר, שאותו אדם קיבל תעודה דיגיטלית הכוללת את כל פרטיו ומשייכת אותו ל"מפתח הציבורי" שלו.
אם הגורם המאשר מהימן ומוכר יסתמך הנמען על התעודה האלקטרונית שהנפיק אותו גורם מאשר, במידה והנמען אינו מכיר את הגורם המאשר הוא יכול לבדוק את אמינותו ואת התעודה שניתנה על ידי בדיקת התעודה האלקטרונית של הגורם המאשר עצמו שהרי המפתח הציבורי של הגורם המאשר מצורף לתעודה האלקטרונית שהנפיק, " על מנת שחתימה דיגיטלית תקבל את אותו מעמד משפטי נכסף של חתימה רגילה חייבת להיות מצורפת אליה תעודה אלקטרונית של גורם מאשר העומד בתנאי הפעולה שנקבעו בחוק, היות והגורם המאשר הוא המאמת את הקשר בין המפתח לבין זהות המחזיק בו".
חתימה אלקטרונית מאושרת בעצם מאפשרת זיהוי של הצד השני בוודאות ומניעה של התחזות על ידי הצפנה א-סימטרית של החתימה האלקטרונית ובנוסף, מאפשרת לנו הטכנולוגיה לדעת אם בוצע איזה שהוא שינוי במסר לאחר שנחתם.
"תשתית רשת מפתחות ציבוריים (PKI) הינה שילוב של חומרה, תוכנה, מדיניות ונהלים. מערכות מסוג זה מספקות את האבטחה הבסיסית הדרושה למסחר והעברת מידע אלקטרוני, כך שמשתמשים במערכת שאינם מכירים באופן אישי ו/או נמצאים במרחק רב זה מזה יוכלו לתקשר באופן בטוח, בהתבסס על זהות שאימת צד שלישי אמין. טכנולוגיית PKI מבוססת על הצפנה המורכבת משימוש בשני מפתחות לכל משתמש: מפתח ציבורי ומפתח פרטי, הקשורים ביניהם בקשר מתמטי חד ערכי. קוד זה מבוסס על רעיון כי המפתח הפרטי של אדם, גוף או מכונה נשמר תמיד בסוד ואינו נחשף ו/או נחלק עם כל גורם אחר והמפתח הציבורי גלוי וידוע לכל, ובעזרתו ניתן יהיה לוודא את זהותו ותקפותו.
מערכות צופן ציבוריות מאפשרות ניהול מפתחות ושמירת סודיותם באופן יעיל ועונות על צרכי אבטחה מגוונים ברשת:
חשאיות (Confidentiality) - לשמירת פרטיות המידע
שלמותIntegrity) - ) להוכחת שלמות המידע המועבר ומניעת ביצוע מניפולציה
אימות הזהות (Authentication) - להוכחת זהות הפרט או האפליקציה
אי התכחשות (Non Repudiation) - להבטיח כי לא ניתן להתכחש למידע שהועבר
שיוך צמד מפתחות לבעליו מצריך מנגנון PKI המנפיק "תעודות דיגיטליות" מבוססות תקן בינלאומי X.509. במידה ותעודות אלה הופקו ע"י גורם אמון צד שלישי ("גורם מאשר") למשתמשים השונים ברשת - הן יוכלו לשמש לזיהוי חד ערכי של כל פרט או ארגון".
תעודה אלקטרונית שערוכה על פי התקן שציינתי לעיל בדרך כלל תכלול את שם בעל התעודה, כתובת E-mail, מפתח ציבורי של בעל התעודה, שם מנפיק התעודה, מפתח ציבורי של מנפיק התעודה, האלגוריתמים ששימשו ליצירת זוג המפתחות, השימושים המותרים בתעודה, תוקף התעודה, מגבלות השימוש בתעודה וכד', פרטים אלו חייבים להופיע בתעודה ועל כן, זהו התקן הנדרש.
כרגע שתי החברות הללו הן היחידות בארץ המשמשות כגורם מאשר, הרשם עורך מכרזים, מקבל בקשות מגורמים שונים המעוניינים להיות גורם מאשר וכד', הרשם בודק אילו עוד חברות מעוניינות ורשאיות לקבל אישור להירשם במרשם של הגורמים המאשרים. המטרה היא שיהיו לפחות חמישה גורמים מאשרים כדי שתיווצר תחרות מועילה שחשובה.
בהתחלה נאמר כי הגורם המאשר השלישי יהיו בזק זהב, חברת בת של בזק (בזק מחזיקה ברוב המניות של החברה), אולם נראה כי זה לא התבצע עדיין בעקבות ההתנגדות של שאר הגורמים המאשרים שחוששים מיצירת מונופול בתחום הגורמים המאשרים, וזאת בעקבות הכח שיש לבזק בשוק. אבל אין זה וודאי כי ביום מן הימים במידה וחברת בזק זהב תעמוד בתנאי החוק והתקנות היא וודאי תקבל אישור להיכנס למרשם הגורמים המאשרים למרות התנגדותם של הגורמים המאשרים האחרים.
וועדה מייעצת לרשם (קיימת מאוגוסט 2003), בעקבות הטכנולוגיה שהולכת ומתפתחת, הוחלט להקים וועדה בה חברים נציגי ציבור ואנשי אקדמיה ותפקידיהם לזהות התפתחויות טכנולוגיות בתחום החתימה האלקטרונית ולהציע עדכוני חקיקה בהתאם, להעלות ולהמליץ על הסדרים טכנולוגים נוספים (ארכיונים וכד') וכן, לייעץ לרשם בדבר המדיניות הטכנולוגית הראויה לצורך יישום החוק. המטרה היא בעצם כל הזמן להתעדכן בהתפתחויות ולהתארגן אליהם בהתאם, על מנת לשמור על רמת אבטחה גבוהה וודאות כי החתימה המאושרת מאובטחת ואינה ניתנת לפריצה, להעתקה וכד'. באמצעות הוועדה יהיה ניתן כל הזמן להתעדכן בהתפתחויות הטכנולוגיות והמשפטיות בארץ ובעולם בכל הנוגע לנושא החתימה האלקטרונית.
למאמרים נוספים באתר:
תמ"א 38
מס שבח
מס רכישה
|
Signed by