עד כמה הכרטיס החכם של קומסיין – Comsign מאובטח?

הכרטיס החכם של קומסיין תקף למגוון צרכים כולל עבודה מול פורטלי ממשלה כגון נט המשפט, מערכת שע"מ, משרד הבטחון, רשם החברות, רשות האוכלוסין וההגירה, רשות המיסים ועוד. הכרטיס מאפשר לא רק זיהוי של בעליו בפני רשויות המדינה אלא גם חיתום בחתימה אלקטרונית מאושרת ומאומתת על גבי מסמכים. אך האם הכרטיס החכם של קומסיין מאובטח? האם זהות בעל הכרטיס וודאית?

מהו כרטיס חכם? כיצד מונפק כרטיס חכם?

כרטיס חכם הוא כרטיס פיזי (דומה לכרטיס אשראי) הנושא תעודה אלקטרונית לתיקוף זהותו של בעל הכרטיס. הכרטיס מונפק על ידי גורם מאשר, במקרה דנן קומסיין, המאשר את זהות בעל הכרטיס. הכרטיס משמש להזדהות מול גורמים רשמיים כגון משרדי ממשלה שונים ובעזרת תוכנה ייעודית גם לחיתום מסמכים בחתימה דיגיטלית מאומתת. הכרטיס החכם של קומסיין מונפק במשרדי החברה בלבד. הכרטיס הוא אישי לכל חותם, כלומר נושא את פרטיו האישיים והוא שווה לתעודה רשמית המונפקת על ידי רשות שלטונית בדומה לדרכון או רישיון נהיגה. על מנת לוודא את זהות החותם עליו להגיע אל משרדי החברה ולהזדהות בשני אמצעי זיהוי רשמיים כגון תעודת זהות ודרכון.

מהו "גורם מאשר"  (CA – certified Authority)?

גורם מאשר הוא גוף המאושר על ידי משרד המשפטים לאימות, אישור והנפקת תעודות אלקטרוניות על פי חוק חתימה אלקטרונית, תשס"א-2001. על מנת להיות גורם מאשר על החברה לעמוד בכל הקריטריונים המחמירים של משרד המשפטים,  החוק והתקנות הנלוות אליו. רק גורם שאושר על ידי משרד המשפטים רשאי להנפיק כרטיסים חכמים הנושאים תעודה אלקטרונית מאומתת ומאושרת.  יש לציים כי קומסיין הינה החברה היחידה בישראל המוכרת כגורם מאשר לפי eIDAS, התקינה האירופאית המחמירה והמתקדמת בעולם. המשמעות היא שהתעודות של קומסיין תקפות בכל מדינות אירופה ולא רק בגבולות ישראל.

כיצד מבטיחים כי החתימה אכן מאושרת ומאובטחת?

חתימה מאושרת מוגדרת בחוק ונבדלת מחתימה אלקטרונית (שרבוט, תמונה של חתימה וכד'). על מנת שחתימה תחשב כמאושרת עליה לעמוד במספר קריטריונים:

• היא חייבת להיות ייחודי לבעל החתימה
• חייבת לאפשר זיהוי לכאורה של בעל החתימה
• חייבת להיות מונפקת באמצעות חתימה הנתון לשליטה בלעדית של בעל החתימה
• חייבת לאפשר שינוי שבוצע במסמך לאחר החתימה

אמנם חתימה בדרך זו אמינה יותר מחתימה אלקטרונית פשוטה אך מקבל המסמך החתום עדיין לא יכול להיות סמוך ובטוח כי האדם החתום על המסמך הוא בעל החתימה במאת האחוזים. הפתרון של המחוקק לבעיה זו היא תעודה אלקטרונית (סרטיפיקציה) המתלווה למסמך. התעודה האלקטרונית כוללת פרטים אודות בעל החתימה, תאריך החתימה ומאשרת כי לא נעשה שינוי במסמך לאחר החיתום. אך אם החותם הוא זה שמנפיק לעצמו את הכרטיס והחתימה עדיין לא ניתן לדעת בוודאות גמורה שהוא אכן מי שהוא טוען שהוא.

כיצד הכרטיס החכם של Comsign פותר את בעיית זהות החותם והאבטחה?

מכיוון שקומסיין היא גורם שאינו קשור לבעל הכרטיס/החותם היא נטולת אינטרנס, היא גורם ניטרלי המאושר על ידי משרד המשפטים לאשר את זהותו של אדם ולהנפיק עבורו כרטיס חכם. קומסיין מנפיקה כרטיסים חכמים אך ורק לאחר תהליך זיהוי קפדני הנעשה באופן אישי. בנוסף, לכל כרטיס שם משתמש וסיסמה ייחודיים. הכרטיס אינו ניתן להעברה ממחשב למחשב ללא מרכז התמיכה של קומסיין וללא אישור מבעל הכרטיס. התעודה האלקטרונית של קומסיין המתלווה לכל מסמך חתום מבוססת על שימוש באלגוריתם ומפתחות ארוכים בטכנולוגיות מתקדמות שאינן מאפשרות שינוי במסמך ללא ידיעת מקבל המסמך.

מאמרים נוספים שכדאי לכם לקרוא:

• הסוד מאחורי אימות דו שלבי (2FA)
• חמישה אמצעי הגנה דיגיטליים שכל ארגון חייב לאמץ
• חתימה דיגיטלית למחשב
• חתימה דיגיטלית על מסמך word