חתימה דיגיטלית, אבטחה ופתרונות חלק II

byAlex R.

פרק 1: חתימה בכתב יד מול חתימה דיגיטלית
פרק 2: מהות הפעולה של החתימה הדיגיטלית
פרק 3: אבטחת החתימה הדיגיטלית.
פרק 4: החתימה הביומטרית
פרק 5: תוכנות חתימה

כבר דיברנו על הבעיות הכרוכות בחתימה בכתב יד, אך ראוי להזכיר גם היבט נוסף. חתימה בכתב יד אומנם מופיעה על מסמך נייר, אך כיצד נמנע מהזייפן הפוטנציאלי להוסיף מלל נוסף? האם המעבדה הפלילית מסוגלת לספק קביעה חד משמעית באם הוסף מידע בפרק זמן של דקות לאחר חתימתו על ידי אחד הצדדים?
כיצד נוכל לדעת מתי בדיוק נחתם המסמך והאם התאריך הנקוב (אם בכלל) ליד החתימה אמין?
כשאנחנו חותמים בבנק או במקום אחר, למעשה אפשר להשתמש בחתימות שונות, לכל מטרה ואף אחד לא בודק את מורכבות החתימה, למעשה יש כאלה שחותמים עם שני קווים מאונכים זה לזה בשירבוט מהיר כי אינם יודעים קרוא וכתוב.
החותם יכול להתכחש לחתימתו בבוא העת מכיוון שלא ניתן יהיה לעשות עם כך הרבה.
חיתום דיגיטלי על מסמכים נותן מענה גם לבעיות אלו:
כאשר יש לנו שני מסמכים, אנחנו יכולים לבדוק דיגיטלית אם הם זהים, על ידי השוואת המידע אחד לאחד (ביט אחרי ביט). כמו כן אנחנו יכולים לבצע השוואה באמצעות התמצות של המסמכים.
תמצות המסמך הוא פונקציה מתמטית המייצרת מחרוזת קטנה יחסית שקיימת סבירות אפסית שניתן לייצר מסמך נוסף בזמן ריאלי שהתמצות יתן את אותה התוצאה.

לכן בהשוואת מסמכים, נייצר תמצות של מסמך A ו B ונשווה בינהם. החיתום הדיגיטלי מתבצע על התמצות ולא על המידע המקורי, מכיוון שזה לא פרקטי לייצר חתימה בגודל של המסמך.

שינוי אפילו מזערי כמו אות אחת במסמך המקורי, יתן תמצות שונה לחלוטין.
על התמצות מתבצעת החתימה הדיגיטלית שמייצרת גם כן מחרוזת. התוצאה יכולה להשתנות בכל חתימה חדשה. ניתן לייצר המון חתימות שונות לאותו מסמך וכולן תהיינה תקפות.(לעומת זאת לא ניתן לתמצת מסמך באופן שונה אם משתמשים באותו אלגוריתם תמצות).
החתימה הדיגיטלית יכולה להתבצע על התמצות ובנוסף צמוד אליה יכולה לשבת חתימה על הזמן שבו התבצע התהליך.
כמו שיש רשויות של גורמים מאשרים, יש גם רשויות האחריות לספק זמן אמין והן חותמות על כך שהזמן הנוכחי הוא אכן כזה. גם על הרשויות הללו צריכים לסמוך.

ישנם סוגי מסמכים עם תוכנות עריכה שיש בהם אפשרות לראות את החתימות באופן מובנה. כלומר אם חתמת על מסמך מסויים ב PDF אז תוכל ב Acrobat Reader לראות את החתימה באופן ויזואלי, ללחוץ עליה ולראות את פרטי החתימה ואפילו Acrobat Reader יבדוק בשבילנו האם התעודה תקפה, האם החתימה תקינה, האם גורם המאשר את הזמן אמין וכו’.

תוכנה ישראלית טובה היודעת לייצר חתימות דיגיטליות היא ComsignTrust Desktop.
תוכנה זאת יודעת לחתום על קבצי PDF, WORD, EXCEL והגירסה החדשה שלה אפילו תומכת במסמכי OpenOffice, מסמכי  DWFX של Autocad , קבצי XML ו XPS.
בפרק הבאים נסביר עליה יותר וההבדלים אל מול האחרות.
Tags

3 Comments

  1. Yuval ShiboliAug 28, 2011, 9:51:00 AM

    מוצר ישראלי שחשוב להכיר - CoSign
    מדובר במערכת חתימות דיגיטליות של ARX
    מחקר אלגוריתמים.
    המערכת מבוססת שרת חתימות מאובטח ותוכנה שמאפשרת לחתום על כל סוגי הקבצים.

    ReplyDelete
  2. Alex R.Aug 28, 2011, 1:36:00 PM

    CoSign די מוגבל ביכולות שלו, הוא דורש הקמת שרת אירגוני, והוא לא חותם על כל הקבצים אלא הוא ממיר אותם בעיקר לPDF ואז חותם.
    הייתי נמנע מלהשתמש בתוכנה שקשורה בתבור לאמצעי החתימה (במיוחד כשהעלות מטפסת בהתאם).

    ComsignTrust Destkop ותוכנות דומות לה מאפשרות חיתום עם כרטיסים חכמים, בפורמט הטבעי של קבצים הרלוונטיים, בממשקים שונים ועם יכולות התאמה מהירות לצרכים של כל אירגון. כרטיסים חכמים יש לכל בית עסק היום עם מחזור מעל סכום מסויים (נדרש להגיש דוחו"ת למע"מ) כך שכל מה שחסר להם זה תוכנה פשוטה ולא שרתים בומבסטיים.

    ReplyDelete
  3. מערכת דנה סלבסOct 19, 2011, 6:58:00 AM

    בלוג לעניין אהבתי
    תמשיך כך

    http://anna-rich-anna.blogspot.com/

    ReplyDelete
Previous Post Next Post
Share to other apps
Copy Post Link