מערכות PKI מבוססות גורם מאשר

גורם מאשר?

לכל פתרונות ה-PKI שמפותחות ומשווקות ע"י קומדע ניתן לצרף חתימה אלקטרונית מאושרת. (חתימה אלקטרונית מאושרת = חתימה אלקטרונית שהונפקה ע"י "גורם מאשר".)

מה זה "גורם מאשר" ולמה צריך את זה בכלל?

גורם מאשר הינו גוף המנפיק חתימות אלקטרוניות אשר שוות ערך לחתימה ידנית עפ"י חוק. על מנת שגוף כלשהו יחשב לגורם מאשר, עליו לעמוד בסטנדרטים ובתקנים המחמירים של רשם הגורמים המאשרים במשרד המשפטים.
קומסיין חברת הבת של קומדע רשומה כגורם מאשר יחיד בישראל (נכון להיום) המורשה להנפיק חתימות אלקטרוניות מאושרות.

חתימה אלקטרונית, על מנת שתיקרא "מאובטחת" להבדיל מסתם חתימה אלקטרונית (שרבוט כלשהו על לוח אלקטרוני למשל), נדרשת לקיים כמה יסודות: 

חייבת להיות ייחודית לבעל אמצעי החתימה.
חייבת לאפשר זיהוי לכאורה של בעל אמצעי החתימה.
חייבת להיות מונפקת באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה (החל מרגע ההנפקה).
חייבת לאפשר זיהוי של שינוי אשר בוצע, אם וככל שבוצע, במסר אלקטרוני לאחר החתימה על המסר.

אולם איך נדע שאכן מה שרכשנו או מה שקיבלנו מפלוני אכן עומד בקריטריונים הנ"ל והחתימה שקיבלנו אכן מאובטחת? איך ידע הרוכש את החתימה, מקבל החתימה והמסתמך עליה שאכן היא מאובטחת ולא נפל קורבן למעשה מרמה או הטעיה?

כאן מסייע המחוקק ומציע פתרון פשוט – סרטיפיקציה (תעודה המתלווה לחתימה והמעידה כי אכן החתימה היא מאובטחת ומקיימת את היסודות הנדרשים מחתימה מאובטחת).
מהי אותה תעודה אלקטרונית (סרטיפיקציה) המתלווה לחתימה האלקטרונית? חוק חתימה אלקטרונית התשס"א 2001, קובע כי גורם מאשר לא ינפיק תעודה (סרטיפיקציה) לחתימה אלקטרונית אשר אינה מאובטחת, אלא אך ורק לאחר שוידא, כי החתימה האלקטרונית היא אכן מאובטחת. כלומר, אם וכאשר גורם מאשר הנפיק תעודה אלקטרונית לגבי חתימה מאובטחת – הרי המחוקק ובית משפט יקבלו אותה כחתימה מאובטחת בוודאות.

לעומת זאת אם גוף כשלהו ינפיק לעצמו תעודה (סרטיפיקציה) באמצעותה הוא מעיד, כי אמצעי חתימה שברשותו הוא אכן מאובטח – ספק אם בית המשפט יקבל זאת וחובת ההוכחה אל מול ההתנגדויות שיצוצו על ידי הצד השני, היא על הגוף הטוען טענה כי האמצעי שלו הוא מאובטח כנגד הצד הטוען כי נגרם לו עוול ונזק עקב כך שנפגעה שליטתו באמצעי החתימה ברשותו.

ראוי לציין, כי בפועל אין מערכת PKI סבירה אשר מייצרת זוג מפתחות (על פי החוק הם אמצעי החתימה ואמצעי אימות החתימה) ללא יצירת תעודה דיגיטלית המלווה את זוג המפתחות מאחר וגורם מאשר כלשהו (CA פנימי של הארגון או חיצוני של גורם מאשר) תמיד מייצר תעודה (בפורמט X509) בתגובה לבקשה של זוג המפתחות לאישור ולתעודה.

מסיבה זו רבים המקימים מערכות PKI בארגונים מנפיקים לעצמם סרטפיקציות בפורמט ומשתעשעים שהם יכולים להנפיק תעודות ככל שירצו מבוקר עד ערב, אבל לתעודות אלה שמנפיקים גופים שונים לעצמם ולאמצעים האלקטרוניים שרכשו אין שום זכר בחוק ואין שום מעמד בחוק.
על פי החוק – אין גוף כלשהו יכול להנפיק לעצמו תעודה חוקית ובה לציין שהחתימה שבידו היא אכן מאובטחת על פי דרישות החוק, גם אם הוא משוכנע בכך. אין בחוק כל אזכור לתעודה כזו שהנפיק גורם לעצמו.

שורה תחתונה: שימוש בחתימה אלקטרונית מאושרת מספקת ללקוח "ביטוח" ואחריות (משפטית)מלאה ומבטיחה שאדם שמשתמש בחתימה המאושרת מעברו השני של המסך זוהה בוודאות ומחויב למסמך זה כאילו חתם בחתימת ידו.