פרק 1: חתימה בכתב יד מול חתימה דיגיטלית
פרק 2: מהות הפעולה של החתימה הדיגיטלית
פרק 3: אבטחת החתימה הדיגיטלית.
פרק 4: החתימה הביומטרית
פרק 5: תוכנות חתימה
אבטחת החתימה הדיגיטלית
השימושים בחתימה דיגיטלית מבטיחים יכולות זיהוי מדהימות, אפשרויות שימוש נרחבות אך נוצרת הבעיה של אבטחת החתימה לשימוש בלעדי על ידי החותם.החתימה הדיגיטלית מורכבת משני חלקים: המפתח הפומבי והמפתח הפרטי.
המפתח הפומבי נועד בשביל לבדוק את החתימה והוא זמין לכולם והמפתח הפרטי נועד לחולל את החתימה והגישה אליו צריכה להינתן אך ורק לחותם.
חשיפת המפתח הפרטי ברבים או חשד לכזאת חשיפה, חייבת להיות מדווחת מיד לגורם המאשר שחתם על התעודה עם המפתח הפומבי המתאים. אחרת גם אחרים יוכלו לעשות בה שימוש והיא תהיה אוטנתית לחלוטין.
ישנן דרכים לשמור את החתימה באמצעות קובץ המוצפן עם סיסמא. קבצים אלו נושאים את הסיומת PFX וקיימות היום דרכים לפרוץ את הקבצים הללו וגם אם מדובר בלעבור על כל האפשרויות בד”כ זה לא בעיה מכיוון שאנשים לא ממציאים סיסמאות מורכבות וארוכות והגישה לקובץ מאד מהירה.
חתימות כאלה בד”כ לא מתקבלות יפה בעין משפטית בגלל הסיכוי הרב לפריצה ושימוש לא תקין.
הדרך הטובה יותר לאבטח חתימה היא באמצעות התקנים קריפטוגרפיים חיצוניים. למשל כרטיסים חכמים או התקני USB קטנים שהיתרון המשמעותי בהם הוא שמפתח הפרטי הסודי לא יוצא אף פעם מההתקן ולא ניתן להגיע אליו באמצעות תוכנה כלשהי.
כדי לגשת למפתח הפרטי צריך להקיש סיסמא, אך כל הפעולות הקריפטגורפיות של החתימה מתבצעות על ההתקן עצמו ולכן אם הוא מוצא מהממחשב, אז אין כל סכנה לשימוש לא תקין. כלומר בעל החתימה מקבל שליטה מלאה על החתימה שלו. בד”כ גם מספר נסיונות כושל להקיש סיסמא גורם לכרטיס להינעל – בכך לא מתאפשרת פריצה באמצעות בדיקת כל האפשרויות.
צריך לשים לב שאנחנו למעשה מביעים אמון בהרבה גורמים וסומכים עליהם שהם אכן מאבטחים את החתימה שלנו ונמצאים תחת ביקורת מתמדת.
יצרני הכרטיסים – האם הם אכן מספקים הגנה מספקת כפי שהם מבטיחים על הנייר,
מערכת ההפעלה – האם היא שומרת על הפרטיות שלנו, האם יש דרך לפורץ מומחה, לנטר ולחפש פגיעות בזמן העברת הסיסמא לכרטיס החכם באמצעות התוכנה
תוכנת החתימה – האם היא מאבטחת את השימוש בסיסמא, האם היא שומרת אותה בקובץ, בזכרון בכל מקום אחר?
הגורם המאשר – האם אכן אני סומך על הגורם המאשר עד כדי כך שאני מאמין שמי שהגיש לי את המסמך החתום אכן שייך למי שהוא מצהיר שהוא.
ועוד.
Tags
חתימה דיגיטלית
בלוג יפה המשך כך
ReplyDelete