מהי חתימה דיגיטלית?

חתימה אלקטרונית היא מידע או סימן אלקטרוני שהוצמד או נקשר למסר אלקטרוני. חתימה אלקטרונית מאובטחת צריכה שיתקיימו בה התנאים הבאים: היא ייחודית לבעל אמצעי החתימה, היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה והיא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה.

חתימה אלקטרונית מאושרת היא חתימה אלקטרונית מאובטחת אשר גורם מאשר הנפיק תעודה אלקטרונית בדבר אמצעי אימות התחימה המזהה אותה. תעודה דיגיטלית (Digital Certificate) משמשת מעין אישור נוטריון ( CA ( Certificate Authority שהמפתח הציבורי ‘המוצמד’ לתעודה שייך לבעל התעודה. תעודה זו מופצת לנמען.

חתימה דיגיטלית מאושרת

מוצר החיתום הדיגיטאלי של חברת קומסיין הוא המוצר המתקדם ביותר מסוגו והוא מאפשר לחתום על כל סוגי הפלטים המוכרים במהירות וביעילות. החתימה האלקטרונית המאושרת של קומסיין מוכרת ע"י כל הדפדפנים ומערכות ההפעלה, כך שכל מסמך חתום שישלח לכל מקום בעולם, יזוהה מיידית ע"י מקבל המסמך כמסמך מהימן! כאשר בחרתם להשתמש בחתימה המאושרת של קומסיין, זהות החותם ידועה בוודאות, המסמך מאובטח ברמה הכי גבוהה שיש ואין אפשרות לזייפו, המסמך נעול ומוגן ולא ניתן לערוך בו שינויים. חתימת מסמכים אלקטרונית, הינה חלק ממהפכת "עולם ירוק ללא נייר" או "משרד ללא נייר" (Paperless). החתימה הדיגיטלית מהווה תחליף יעיל המאפשר לחסוך זמן רב ועלויות.

שירות החיתום הדיגיטלי המאושר של חברת "קומסיין" מאפשר ללקוח להתייעל, לחסוך שמירת ואחסון מסמכי נייר (התופסים שטח גדול ויקר במשרדי הארגון) ולאפשר חיפוש יעיל של מסמכים ישנים שעברו תהליך סריקה ושולבו במערכת ניהול מסמכים במחשבי הארגון. מערכת חיתום דיגיטלי מאפשרת ללקוח להעביר מסמכים חדשים וכן מסמכי ארכיון לפורמט סרוק דיגיטלית – מאושר, מגובה אוטומאטית בשרתי החברה, מאובטח וכן קביל משפטית. השירות החדש מבטל את הצורך בשמירת מסמכי נייר ומאפשר שמירת מסמכים בארכיון אלקטרוני.

מסמכים סרוקים במערכת חיתום דיגיטלית וחתומים בחתימה מאושרת, הם בעלי תוקף משפטי לכל דבר, זהות החותם ידועה בוודאות ואין אפשרות לזייף את המסמך, משמע, המסמך נעול, מאובטח ומוגן ולא ניתן לערוך בו שינויים. היתרונות הנוספים בשימוש במערכת הם חיסכון גדול בנייר והקלה משמעותית בתהליכי העבודה. המערכת של קומסיין (ComSignTrust) אינטואיטיביות ומתממשקת לכל מערכת ארגונית.

חוק העדות מחייב לשמור מסמכים בעותק מודפס לתקופה של שבע שנים לפחות. בתיקון שיצא לחוק נתבשרנו כי כיום ניתן לסרוק מסמכים ולאחר מכן, לבער אותם (כמובן בהתאם לעמידה בסעיפי אבטחת המידע הכתובים בו). מערכת החיתום ComsignTrust עומדת בסעיפי אבטחת המידע אלו ובכך מאפשרת לסרוק כל מסמך, לשמור אותו במחשב , לחתום עליו אלקטרונית ולבער את המקור. פתרונות הארכיב הדיגיטלי מאפשרות חיסכון עצום בנייר, מקום אחסון, זמן וכסף – מדובר על פתרונות ירוקים שמשרתים הן את טובת הארגון והן את הסביבה.

סקאנבוק עובדת בתחום החתימה האלקטרונית דיגיטלית עם חברת Comsign, שהיא גוף המאשר ומנפיק חתימה אלקטרונית מאושרת לאזרחי המדינה ובעלי זכות חתימה במאות אלפי ארגונים ועסקים בישראל. החברה מאושרת ע"י משרד המשפטים לשמש כגורם מאשר להנפקת חתימות אלקטרוניות מאושרות ע"פ החוק, והיא החברה המובילה בתחום זה. Comsign משרתת עשרות אלפי לקוחות המשתמשים מידי יום בחתימה האלקטרונית: רופאים, עו"ד, יועצי מס, רואי חשבון, מנהלי חשבונות, שופטים, בעלי חברות ועצמאים, עובדי מדינה, בעלי עסקים, נציגי חברות ציבוריות, ועוסקים גדולים וקטנים

מתוך ויקיפדיה:

חתימה דיגיטלית היא תת-קבוצה של מושג כללי הנקרא חתימה אלקטרונית. מקובל לראות בחתימה אלקטרונית שם כללי לאמצעי אלקטרוני מסוים המפיק מידע כגון: סמלים (תווים או מספרים), צלילים או תמונות, משויך למדיה אלקטרונית כלשהי ומאפשר אימות המידע או זיהוי בעל האמצעי. חתימה אלקטרונית מקבילה במובנים מסוימים לחתימה פיזית כגון חתימה ידנית בכלי כתיבה או באמצעים פיזיים אחרים. חתימה דיגיטלית מתפרשת לעתים ככלי קריפטוגרפי המספק אמצעי חיבור מתמטי של פיסת מידע דיגיטלי לזהות כלשהי. לרוב מייחסים לביטויים אלו משמעות זהה. לפרשנויות השונות ישנן השלכות חוקיות, חוק החתימה האלקטרונית בישראל מגדיר את החתימה האלקטרונית כתוכנה, חפץ או מידע ייחודיים שנועדו ליצירת חתימה או סימן אלקטרוני המקושרים או מוצמדים למסר אלקטרוני ומאפשרים זיהוי של בעל אמצעי החתימה. ערך זה מתייחס לחתימה דיגיטלית בהיבט קריפטוגרפי.

באנלוגיה לחתימה הקונבנציונלית, החתימה הנה סימן היכר ייחודי לחותם ונפרדת מהמידע החתום. למשל אדם חותם בחתימת ידו על גבי המחאה, חוזה מכירה או מסמך כלשהו. חתימת ידו משמשת גם לזיהויו וגם להתחייבותו לתוכן המסמך, כאשר בטיחותה נשענת על הקושי הטכני שבזיוף החתימה. בחתימה דיגיטלית בניגוד לחתימה רגילה, אין די בכך שתהיה ייחודית לחותם ונפרדת מהמידע, מאחר שהעתקה והדבקה של מידע דיגיטלי קלה למדי ואין דרך להבחין בין מקור המידע לבין עותקים שלו. חתימה דיגיטלית חייבת אם כן, להיות ייחודית ושונה עבור כל מסמך, באופן שלא יהיה ניתן להעתיק חתימה דיגיטלית שנעשתה על מסמך אחד ולהדביקה למסמך אחר.

לחתימה הדיגיטלית שימושים רבים באבטחת מידע: בראשן אימות זהות מקור מסמך דיגיטלי וכן אמצעי הבטחת שלמות מסמך דיגיטלי, אמצעי מניעת התכחשות וחותם-זמן נוטריוני. דוגמה לחתימה דיגיטלית נפוצה היא DSA שהוכרה לראשונה מבחינה חוקית על ידי ממשלת ארצות הברית ומשמשת כיום כחתימה דיגיטלית תקנית במדינות רבות ביניהן בישראל.

חתימה דיגיטלית מיושמת לרוב באמצעות הצפנה אסימטרית. למעשה כל מערכת מפתח פומבי יכולה לשמש לצורך חתימה דיגיטלית. כאשר המפתח הפרטי משמש לחתימה ואילו המפתח הפומבי משמש לאימות החתימה. כיוון שקיימת התאמה חד חד ערכית בין המפתח הפרטי למפתח הפומבי, המאמת יכול להיות משוכנע מעל לכל ספק, כי המסמך נחתם אך ורק על ידי מי שמחזיק במפתח הפרטי המתאים. כמו כן אם שונה המסמך בדרך כלשהי בידי צד-שלישי, שינוי זה יגרום לכך שתוצאת פונקציית האימות תחזיר ערך שונה והחתימה תדחה. רצוי שמפתח האימות יהיה משויך לזהות החותם, בדרך שתבטיח את אמינותו בפני כל גורם, כגון באמצעות תעודה דיגיטלית המונפקת ומאומתת על ידי רשות מאשרת ידועה ומהימנה או באמצעות רשת אמון.

בדרך כלל מקובל ליישם את פונקציית החתימה על ערך מגובב של המסמך במקום על המסמך עצמו. כלומר תחילה מפיקים מהמסמך ערך ייחודי קטן באמצעות פונקציית גיבוב בטוחה ועל ערך זה חותמים. בתהליך בדיקת החתימה הבודק מפיק תחילה ערך מגובב מהמסמך באמצעות אותה פונקציית גיבוב ולאחר מכן מפעיל את פונקציית האימות. זאת משתי סיבות. ראשית עניין של יעילות. חתימה על מסמך גדול קשה יותר מחתימה על ערך מגובב שבדרך כלל קצר יותר מהמסמך ופונקציית הגיבוב מהירה יותר מתהליך החתימה. שנית, כדי לחתום על מסמך גדול יש צורך לחלק את המסמך לחלקים הקטנים ממפתח החתימה ולחתום על כל חלק בנפרד, עובדה זו יוצרת בעיה, כיוון שאין דרך להבטיח בעזרת החתימה לבדה, כי לא נמחקו כליל חלקים שלמים מן המסמך. פונקציית גיבוב מפיקה ערך ייחודי ושונה עבור כל המסמך. כל שינוי ולו הקל ביותר בחלק כלשהו של המסמך (כגון מחיקת או הוספת רווח), יגרום לפונקציה להפיק ערך אחר לגמרי. פונקציית הגיבוב אם כן מספקת הגנה על המסמך כולו מפני שינויים ואילו החתימה על ערך הגיבוב מבטיחה את זהות החותם. בדרך זו, אין צורך שהמסמך החתום יהיה מוצפן, המסמך יכול להיות במצב קריא כדי לאפשר לאחרים לקרוא את תוכנו ולא ניתן לבצע בו כל שינוי מבלי שיורגש.

לעתים יש צורך לחתום על מסמך וגם להצפינו. כיוון שמפתחות החתימה והאימות זהים למפתחות ההצפנה והפענוח, עקרונית ניתן למעשה להשתמש באותם מפתחות גם להצפנה וגם לחתימה. אולם מקובל להפריד הפרדה מלאה בין תהליך החתימה לבין תהליך ההצפנה, כלומר להשתמש בסט מפתחות שונה. ראשית משום שלעתים יש מגבלות (חוקיות ואחרות) על ההצפנה שאינן חלות על החתימה, כך שייתכן ולא תמיד נוכל להצפין את המסמך אולם עדיין נרצה לאמת את מקורו. שנית מטעמי בטיחות, באלגוריתמים אסימטריים רבים קיימת חולשה לשימוש כפול במפתחות הן להצפנה והן לחתימה, מה שיוצר פרצת אבטחה מסוימת.

רשות מאשרת (Certification Authority)

כדי לדעת שהחתימה הדיגיטלית היא אותנטית, יש לשייכה לבעליה בדרך בטוחה כלשהי, כגון באמצעות תעודה דיגיטלית המונפקת על ידי צד שלישי – רשות מאשרת, המוכרת כאמינה. גורם מאשר יכול להיות ישות מסחרית או פרטית שאליו פונים כאשר רוצים לאמת את זהות החותם. ביישומים מעשיים תהליך הפנייה אל הגורם המאשר הוא בדרך כלל שקוף למשתמש ומבוצע כחלק מתהליך ממוחשב. השיטה המקובלת היא התקנת "תעודת שורש" (Root Certificate) של הגורם המאשר בדפדפן המשתמש, שבאמצעותה ניתן לוודא שהחתימה של ישות כלשהי (כגון אדם או מחשב) אכן נחתמה על ידי מי שמתיימר להחזיק במפתח החתימה. שרשרת פעולות זו היא אנלוגית לשימוש בכרטיס אשראי, שם הגורם המאשר הוא חברת האשראי המנפיקה תעודה אלקטרונית בצורת כרטיס חכם או כרטיס מגנטי לאדם מסוים הכוללת את פרטיו האישיים ומונפקת באופן המקשה על זיופה. כאשר אותו אדם מבצע עסקה מסוימת, חברת האשראי (כמו גורם מאשר) יודעת לזהות כלפי המסתמך על התעודה, האם התעודה היא אותנטית ולפיכך בעליה הוא מי שהוא מתיימר להיות.

חוק חתימה אלקטרונית בישראל

להסדרת השימוש בחתימה אלקטרונית בישראל חוקקה הכנסת בשנת 2001 את חוק החתימה האלקטרונית. על מטרתו ועקרונותיו של חוק זה עומדים דברי ההסבר להצעת החוק: בעולם המשפט, מושג ה"חתימה" הוא מושג בעל משמעות מתחום דיני החוזים והראיות, אשר זכה לפרשנויות שונות. בעידן הטכנולוגי המתפתח, ניתן לבצע את החתימה בדרכים שונות מאשר בעבר, ולכן מתעורר צורך לעגן את האפשרויות הטכנולוגיות בחקיקה.

החתימה על מסמך נועדה להשיג כמה מטרות, אותן יש להבטיח גם כאשר החתימה מתבצעת באמצעים אלקטרוניים. מטרה אחת היא מתן ביטוי לכוונתו של החותם ולגמירות דעתו, וזאת על ידי גילוי אובייקטיבי לכך שאכן התכוון לחתום על המסמך הנדון ולאשר את תוכנו. מטרה נוספת היא זיהוי החותם עצמו, על ידי שיוך חתימה מסוימת לאדם מסוים.

מטרתו העיקרית של החוק המוצע היא להגביר את הוודאות לגבי פעולות המתבצעות באופן אלקטרוני על ידי הבטחת זהותם של החותמים באמצעים אלקטרוניים מסוימים, והכרה במעמדם הראייתי של חתימות אלה. חוסר הוודאות מתעורר במיוחד בהתקשרויות דרך רשת האינטרנט, שהיא רשת תקשורת פתוחה, המתאפיינת בהיעדר זיהוי הדדי ובהיעדר קשר ישיר בין הצדדים המתקשרים בעסקה.

החוק מבחין בין שני סוגי חתימה אלקטרונית, כפי שמבהירים דברי ההסבר להצעת החוק:

החוק המוצע מסדיר שני סוגים של חתימות אלקטרוניות – חתימה אלקטרונית מאובטחת וחתימה אלקטרונית מאובטחת המאומתת בתעודה אלקטרונית, שהיא בעלת דרגת אמינות גבוהה יותר, המושגת על ידי כך שבהליך החתימה נוסף גורם חיצוני – הגורם המאשר. החוק המוצע קובע נפקות שונה לכל אחת מן החתימות. כך, למשל, לצורך קבילות בבית המשפט, די בחתימה אלקטרונית מאובטחת, אך לצורך קיום דרישת חתימה לפי חיקוק, נדרשת חתימה אלקטרונית מאובטחת ומאומתת.

בהליך האישור של חתימה אלקטרונית מאובטחת ומאומתת מעורבים שלושה גורמים: בעל החתימה, הגורם המאשר והצד המסתמך על החתימה, המבקש לצורך ההתקשרות שהחתימה תהיה מאומתת. במטרה למנוע, במידת האפשר, שימוש לרעה בחתימה מאובטחת ומאומתת, מוטלות בהצעת החוק חובות הן על בעל החתימה (למשל – שמירה על אמצעי החתימה שבידיו) והן על הגורם המאשר (למשל – שימוש במערכות חומרה ותוכנה העונות על דרישות מסוימות).

סעיף 2(א) לחוק קובע את תוקפה של החתימה האלקטרונית:
נדרשה לפי חיקוק חתימתו של אדם על מסמך, ניתן לקיים דרישה זו, לגבי מסמך שהוא מסר אלקטרוני, באמצעות חתימה אלקטרונית, ובלבד שהיא חתימה אלקטרונית מאושרת.
סעיף 3 לחוק עוסק בקבילותה של החתימה האלקטרונית, וקובע:
מסר אלקטרוני החתום בחתימה אלקטרונית מאובטחת, יהיה קביל בכל הליך משפטי ויהווה ראיה לכאורה לכך –
(1) שהחתימה היא של בעל אמצעי החתימה;
(2) שהמסר האלקטרוני הוא זה שנחתם על ידי בעל אמצעי החתימה.

להצעת מחיר ולהזמנת שירותי סריקת או גריסת מסמכים מלאו את הטופס או חייגו 054-5880060

You are currently viewing מהי חתימה דיגיטלית?