מהי חתימה אלקטרונית מאושרת?

תעודה אלקטרונית היא סוג של אישור (אלקטרוני) לתיקוף זהותו של בעל התעודה. חתימה אלקטרונית (חתימה דיגיטלית)  מאושרת  דומה לרישיון נהיגה, לתעודת עובד או לרישיון עסק והיא מונפקת על ידי צד שלישי מהימן שקיבל אישור מטעם המדינה להנפיק את אותן חתימות אלקטרוניות מאושרות. הצד השלישי אשר מנפיק את התעודה האלקטרונית נקרא "גורם מאשר" (CA – ‏Certification Authority), בניגוד לחתימה אלקטרונית שלא הונפקה ע"י גורם מאשר  ואינה תקפה משפטית .
בנוסף להיותה גורם מאשר לחתימות דיגיטליות בישראל, חברת Comsign הינה החברה היחידה בישראל המוכרת כגורם מאשר לפי  eIDAS , התקינה האירופית המחמירה והמתקדמת בעולם. משמעות הדבר היא שהתעודות דיגיטליות המאושרות של Comsign קבילות בכל מדינות אירופה.

מהי חתימה אלקטרונית מאובטחת?

חתימה אלקטרונית מאובטחת היא קוד ייחודי לבעל אמצעי החתימה אשר חותם על קובץ מוצפן (HASH FILE) המצורף למסמך המקורי.  כך מתאפשר זיהוי של שולח המסמך ושלמות התוכן המקורי של המסמך מובטחת.

מדוע נחקק חוק החתימה האלקטרונית?  

השימוש הגובר באינטרנט ובאמצעים אחרים של תקשורת אלקטרונית מחייב להתאים את ספר החוקים למציאות החדשה. אחד התנאים המרכזיים להצלחה במשימה זו הנו הסדרת מעמדה ותוקפה של החתימה האלקטרונית. הכנסת נענתה לאתגר ע"י חקיקת חוק חתימה אלקטרונית התשס"א – 2001 (להלן: "החוק") אשר נכנס לתוקפו ביום 4 אוקטובר 2001. מטרתו העיקרית של החוק הנה להגביר את הוודאות ביחס לתוקפם ומעמדם של מסרים החתומים באופן אלקטרוני.

הצורך בחתימה דיגיטלית (חתימה אלקטרונית)

בעשור האחרון חלה התפתחות עצומה ביכולת העברת מידע באמצעים אלקטרוניים. אחת הבעיות מרכזיות היא זיהוי ודאי של מוסר המידע או של שולח הנתונים – לא ניתן לדעת בוודאות מיהו האדם הספציפי שביצע את הפעולה באינטרנט וישנן תופעות של התחזות.
היעדר יכולת זיהוי ודאי מונעת מגופים רבים לספק שירותים באמצעות האינטרנט. בנוסף לכך, גופים המספקים שירותים אלקטרוניים באינטרנט חשופים לבעיה של התכחשות לקבלת השירות מצד מקבלי השירות. כך ירדה רמת הוודאות ואיתה רמת האמון ביחס לשירותים הניתנים באינטרנט. בשנת 2001, כדי להקדים ולטפל בבעיות צפויות מסוג זה, חוקקה הכנסת את "חוק חתימה אלקטרונית".
החוק מגדיר מהי חתימה מאובטחת וכיצד מזהים שחתימה היא מאובטחת באמצעות תעודה שמנפיק גורם מאשר לאותה חתימה, על מנת שמקבל החתימה לא יצטרך "לשבור את הראש" וידע מייד עם קבלת אישור (התעודה) שהחתימה מאובטחת.
חתימה אלקטרונית מאובטחת כוללת את המסמך המקורי וכן קובץ מוצפן אשר מצורף להודעה או למסמך המקורי המאפשר זיהוי של שולח ההודעה או המסמך ומבטיח שהתוכן המקורי של ההודעה או המסמך לא שונה לאחר החתימה. במידה ששונה, יקבל קורא המסמך התראה בדבר אי-שלמות המסמך לעומת המסמך אשר נחתם במקור. חתימה אלקטרונית מבוססת על תיאוריה מתמטית ועל ידי שימוש באלגוריתם ומפתחות ארוכים מספיק , ואינה מאפשרת שינוי במסמך ללא ידיעת קורא המסמך.

מטרת התעודה האלקטרונית

לקשר בצורה אמינה בין זוג מפתחות פרטי/ציבורי לבין הבעלים שלו. כאשר גורם מאשר כגון  Comsign  מנפיקה תעודות אלקטרוניות, היא מוודאת שהבעלים אינו טוען לבעלות מזויפת. בדומה לרשות שלטון אשר מנפקת לך דרכון ומוודאת מעל לכל ספק כי אתה מי שאתה טוען שאתה, כאשר גורם מאשר מנפיק לך תעודה אלקטרונית, הוא מתחייב בשמו כי אתה הבעלים האמיתיים של זוג המפתחות הציבורי/פרטי שברשותך.

יתרונות החתימה האלקטרונית

• ביטול הצורך בניירת ובחתימות ידניות על ניירת.
• חיתום על חשבוניות ומסמכים המחייבים חיתום ושליחתם חתומים באינטרנט.
• יעילות וחסכון במשאבים כסף וזמן.
• מניעת הסבך הבירוקרטי, צורך לעמוד בתורים לצורך חתימה וכיוצ"ב, המאפיין תהליכי חיתום ידני.
• על ידי חיתום אלקטרוני, ניתן להגיש באמצעות האינטרנט טפסים לביטוח לאומי, דוחות למס הכנסה, תיקים לבתי משפט, מסמכים למכס ומע"מ והעברות בנקאיות – ברמת ודאות מוחלטת באשר לזהות החותם.
• לחיתום אלקטרוני תרומה משמעותית לאיכות הסביבה.
• מניעת מצב בו לקוח מתכחש לחתימתו האלקטרונית.

סוגי חתימות אלקטרוניות:

חתימה אלקטרונית מוגדרת ע"י החוק כ-"חתימה שהנה מידע אלקטרוני או סימן אלקטרוני, שהוצמד או שנקשר למסר אלקטרוני".  בתחומי הגדרה זו נכללות צורות רבות ומגוונות של חתימות אלקטרוניות שאינן מספקות בהכרח אפשרות לזיהוי החותם או לווידוא שלמותו של המסר החתום ולכן לא נקבעו בחוק תוצאות משפטיות לשימוש בחתימה מסוג זה.
סוג בטוח יותר של חתימה אלקטרונית הנו חתימה אלקטרונית מאובטחת המופקת ע"י אמצעי חתימה וניתנת לאימות ע"י   אמצעי לאימות חתימה . בתמצית, אלו הם צמד מפתחות שקיים ביניהם קשר ייחודי, כאשר אמצעי החתימה הנו מפתח פרטי אשר אמור להישמר בסוד ע"י בעליו ואילו האמצעי לאימות חתימה הנו מפתח ציבורי אשר ניתן לפרסמו ברבים.
על מנת שחתימה אלקטרונית תוכל להיחשב כחתימה מאובטחת עליה לעמוד בתנאים שנקבעו בסעיף 1 לחוק והמפורטים להלן:

• היא ייחודית לבעל אמצעי החתימה.
• היא מאפשרת זיהוי לכאורה של בעל אמצעי החתימה.
• היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה.
• היא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה.

תנאים אלו נועדו להבטיח את אפשרותו של מקבל המסר החתום לזהות את החותם מתוך החתימה, לקשור בין החותם ובין האמצעי לאימות החתימה ולוודא את שלמותו של המסר החתום בעזרת האמצעי לאימות חתימה. כפועל יוצא מרמת הוודאות המשופרת של החתימה המאובטחת, נקבע בסעיף 3 לחוק כי חתימה זו תהיה קבילה בכל הליך משפטי כראיה לכאורה שהחתימה היא של בעל אמצעי החתימה והמסר האלקטרוני הוא זה שנחתם ע"י בעל אמצעי החתימה.
חסרונה של החתימה המאובטחת טמון בחוסר האפשרות של מקבל המסר החתום לדעת כי אכן החתימה היא מאובטחת. לפיכך החוק מציע לצרף לחתימה זו אישור כי היא מאובטחת ומגדיר סוג נוסף של חתימה אלקטרונית הקרוי חתימה אלקטרונית מאושרת.

החתימה המאושרת

חתימה מאובטחת שאליה ניתן לצרף תעודה אלקטרונית שהונפקה ע"י גורם מאשר- גורם מהימן שנרשם לפי החוק – מאפשרת לאמת בעזרתה לדעת כי החתימה מאובטחת.
החוק מטיל על הגורמים המאשרים דרישות קפדניות על מנת להבטיח את מהימנותם ואת אמינות התעודות המונפקות על ידם. הודות לוודאות הגבוהה שמספקת החתימה המאשרת, נקבע בסעיף 2 לחוק כי סוג זה של חתימה אלקטרונית כשר למילוי דרישת חתימה לפי חיקוק פרט לדרישות מסוימות שהוחרגו בתוספת הראשונה לחוק.  

שימוש בחתימה דיגיטלית / חתימה אלקטרונית מאושרת מספקת ללקוח אחריות משפטית מלאה שהחתימה המתקבלת היא מאובטחת ומבטיחה שאדם שמשתמש בחתימה זו מעברו השני של המסך זוהה בוודאות על ידי גורם מוסמך (גורם מאשר).

תוקף התעודה האלקטרונית

תעודה אלקטרונית תקפה רק לפרק הזמן שצוין בה. המזהה מכיל פרטים אודות תאריך ההתחלה והתפוגה. בנוסף, Comsign  כגורם מאשר רשאית לבטל כל תעודה אלקטרונית אותה היא ניפקה והחברה שומרת  רשימה של תעודות אלקטרוניות מבוטלות​ . Comsign למשל מפרסמת באתר את רשימת התעודות המבוטלות, אשר נקראת רשימת תעודות פסולות (CRL – ‏Certificate Revocation List), כדי לאפשר לכל אדם לאמת את התקפות של כל תעודה אלקטרונית.

גורם מאשר  (CA – certified Authority)

גורם מאשר הינו גוף אשר קיבל את אישור משרד המשפטים להנפיק תעודות אלקטרוניות מאושרות לחתימות אלקטרוניות. 
גורם מאשר – סעיף 1 לחוק חתימה אלקטרונית – "גורם מאשר רשאי להנפיק לאדם מסוים, לפי בקשתו, תעודה אלקטרונית, המאשרת כי אמצעי  אימות חתימה  מסוים הוא שלו". תעודה אלקטרונית – מסר אלקטרוני שהנפיק גורם מאשר…. המאשר כי אמצעי אימות חתימה מסוים הוא של אדם מסוים.
על מנת שגוף כלשהו יחשב לגורם מאשר, עליו לעמוד בסטנדרטים ובתקנים המחמירים של חוק חתימה אלקטרונית, תקנות נילוות, נהלים קפדניים והוראות  רשם הגורמים המאשרים  במשרד המשפטים.

Comsign הינה הגורם המאשר המוביל בישראל המנפיק חתימה אלקטרונית מאושרת לאזרחי המדינה ובעלי זכות חתימה במאות אלפי ארגונים ועסקים בישראל.