מה זה "גורם מאשר" לחתימה אלקטרונית

ComSign הינה החברה המובילה בישראל, המאושרת להנפיק חתימות אלקטרונית מאושרות לפי חוק!

 מה זה "גורם מאשר"  (CA – certified Authority)?

 גורם מאשר הינו גוף המאפשר למבקש החתימה להנפיק חתימות אלקטרוניות מאושרות עפ"י חוק.

על מנת שגוף כלשהו יחשב לגורם מאשר, עליו לעמוד בסטנדרטים ובתקנים המחמירים של חוק חתימה אלקטרונית, תקנות נילוות, נהלים קפדניים והוראות רשם הגורמים המאשרים במשרד המשפטים.

בנוסף להיותה גורם מאשר לחתימות דיגיטליות בישראל, חברת Comsign הינה החברה היחידה בישראל המוכרת כגורם מאשר לפי eIDAS, התקינה האירופית המחמירה והמתקדמת בעולם. משמעות הדבר היא שהתעודות דיגיטליות המאושרות של Comsign קבילות בכל מדינות אירופה.

קומסיין רשומה כגורם מאשר המורשה להנפיק לכל אזרח חתימות אלקטרוניות מאושרות (חתימות דיגטיליות מאושרות).

על מנת שחתימה אלקטרונית תיקרא "מאובטחת" להבדיל מסתם חתימה אלקטרונית (שרבוט כלשהו על לוח אלקטרוני למשל), נדרשת לקיים כמה יסודות:

• חייבת להיות ייחודית לבעל אמצעי החתימה.
• חייבת לאפשר זיהוי לכאורה של בעל אמצעי החתימה.
• חייבת להיות מונפקת באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה (החל מרגע ההנפקה).
• חייבת לאפשר זיהוי של שינוי אשר בוצע, אם וככל שבוצע, במסר אלקטרוני לאחר החתימה על המסר.

אולם איך נדע שאכן מה שרכשנו או מה שקיבלנו מפלוני אכן עומד בקריטריונים הנ"ל והחתימה שקיבלנו אכן מאובטחת? איך ידע הרוכש את החתימה, מקבל החתימה והמסתמך עליה שאכן היא מאובטחת ולא נפל קורבן למעשה מרמה או הטעיה?

כאן מסייע המחוקק ומציע פתרון פשוט – סרטיפיקציה (תעודה המתלווה לחתימה והמעידה כי אכן החתימה היא מאובטחת ומקיימת את היסודות הנדרשים מחתימה מאובטחת).

מהי אותה תעודה אלקטרונית (סרטיפיקציה) המתלווה לחתימה דיגיטלית?

חוק חתימה אלקטרונית התשס"א 2001, קובע כי גורם מאשר לא ינפיק תעודה לחתימה אלקטרונית אשר אינה מאובטחת אלא אך ורק לאחר שוידא כי החתימה האלקטרונית היא אכן מאובטחת. כלומר כאשר גורם מאשר הנפיק תעודה אלקטרונית לגבי חתימה מאובטחת, המחוקק ובית משפט יקבלו אותה כחתימה מאובטחת.

לעומת זאת אם גוף כשלהו ינפיק לעצמו תעודה שאמורה להעיד כי אמצעי חתימה שברשותו הוא מאובטח, ספק אם בית המשפט יקבל זאת, וחובת ההוכחה אל מול ההתנגדויות שיצוצו על ידי הצד השני היא על הגוף הטוען טענה כי האמצעי שלו הוא מאובטח, כנגד הצד הטוען כי נגרם לו עוול ונזק עקב כך שנפגעה שליטתו באמצעי החתימה ברשותו.

רבים המקימים מערכות PKI בארגונים מנפיקים לעצמם תעודות אך טועים בחשיבה שהם יכולים להנפיק תעודות, לתעודות אלה שמנפיקים גופים לעצמם ולאמצעים האלקטרוניים שרכשו אין שום זכר בחוק ואין שום מעמד בחוק.

על פי החוק – אין גוף כלשהו יכול להנפיק לעצמו תעודה חוקית ובה לציין שהחתימה שבידו היא אכן מאובטחת על פי דרישות החוק, גם אם הוא משוכנע בכך.

שורה תחתונה:

שימוש בחתימה דיגיטלית / חתימה אלקטרונית מאושרת מספקת ללקוח אחריות משפטית מלאה שהחתימה המתקבלת היא מאובטחת ומבטיחה שאדם שמשתמש בחתימה זו מעברו השני של המסך זוהה בוודאות על ידי גורם מוסמך (גורם מאשר).