פרק 1: חתימה בכתב יד מול חתימה דיגיטלית
פרק 2: מהות הפעולה של החתימה הדיגיטלית
פרק 3: אבטחת החתימה הדיגיטלית.
פרק 4: החתימה הביומטרית
פרק 5: תוכנות חתימה
החתימה בכתב יד הידועה והמוכרת בעולם המשפטי מאפשרת זיהוי של החותם בוודאות סבירה אם כי דורשת לשם כך שירבוט מורכב ככל האפשר שיקשה על הזייפנים.
בעולם המסחרי והמשפטי במקרים מסויימים נדרש זיהוי נוסף במעמד החתימה באמצעות נוטריון או עדים (נישואים למשל).
דוגמה למימדי הזיוף ניתן למצוא למשל בחתימות של שחקנים אמריקאיים על כרטיסי הבייסבול: מוערך כי 80 אחוז מהם מזוייפים.
פתרונות האבטחה של העולם הממוחשב מציעים שימוש בחתימה דיגיטלית אך הקשיים העיקריים הם
א. להוכיח שהחתימה שייכת לבן אדם המסויים שהשתמש בה.
ב. לאפשר לאותו בן אדם גישה בלעדית לחתימה שלו, אם אחרים יכולים להשתמש בחתימתו בלי רשותו - אז אין כאן חתימה אמיתית - אלא חותמת גומי העוברת בין פקידי המשרד.
החתימה הדיגיטלית משתמשת במתמטיקה המגדירה בעיות שהן קשות לחישוב בזמן קצר ולכן מציגות הסתברות זעירה ביותר (אך מספקת מבחינת החוק) לזיוף/גניבת חתימה.
לבעיה הראשונה בשימוש בחתימה דיגיטלית קיימים שני פתרונות ידועים:
1. שימוש ב PGP, כלומר חבר סומך על חבר. כל אדם מגדיר אוסף של כללים, מתי הוא מוכן לקבל ולאשר את זהות החותם. לדוגמה: A מאשר שהחתימה של B היא אכן של B אך ורק אם עוד 10 אנשים ערבים לכך. שיטה זאת לא יכולה להיות כמובן מקובלת על הממסד המשפטי אך מאד יעילה כשמדובר על התארגנויות סודיות של קבוצות (מחתרתיות למשל) שלא רוצות להחשף אפילו בצורך שלהן בחתימה כזאת.
2. שימוש ברשויות סרטיפיקציה. כלומר רשת של גורמים מאשרים שכולנו סומכים עליהם. כמו שאנחנו סומכים על כך שכשמשרד הפנים מנפיק תעודת זהות, אז היא אכן מייצגת את הבן אדם. הגורמים המאשרים הללו מנפיקים תעודות דיגיטליות לאזרחים המעוניינים בכך.
תעודה דיגיטלית מורכבת משלושה מרכיבים עיקריים - החתימה הדיגיטלית של הבן אדם, פרטי הבן אדם וחתימה של הגורם המאשר שהפרטים הללו נכונים.
תעודה דיגיטלית מורכבת משלושה מרכיבים עיקריים - החתימה הדיגיטלית של הבן אדם, פרטי הבן אדם וחתימה של הגורם המאשר שהפרטים הללו נכונים.
כשאנו רוצים לבדוק את האותנטיות של החתימה הדיגיטלית של אזרח מסויים, אנחנו ניגש לתעודה הדיגיטלית שלו, נבדוק מול התעודת זהות שלו שהפרטים בתעודה תואמים, נבדוק שהתעודה נחתמה על ידי גורם מאשר מוכר ורק אז נאמין לו.
אז איך נראית תעודה דיגיטלית בפועל? תעודות של גורמים מאשרים גדולים ורציניים בד”כ מגיעות יחד עם מערכת ההפעלה או הדפדפן. כך הדפדפן כבר דואג לעדכן אותנו על מי אנחנו סומכים ועל מי לא.
כל מי שמוריד פיירפוקס למשל לוקח את הסיכון שפיירפוקס יגרום לנו להאמין שאתר קניות מסויים הוא אמין רק כי קיבל תעודה מגורם מאשר שפיירפוקס מכיר בו ככזה.
כדי לראות את התעודות הדיגיטליות של פיירפוקס נכנס למסך הבא:
כאן יש רשימה של גורמים מאשרים.
נלחץ על גורם מאשר ישראלי: Comsign ונראה את פרטי התעודה שלו:
כאן מוצגת החתימה הדיגיטלית של Comsign שכוללת את כל הפרטים.
פיירפוקס הוא דפדפן שפועל על כמה מערכות הפעלה ולכן צריך לשמור על צורת הצגה אחידה, לעומת זאת צורת הצגה של תעודה דיגיטלית בwindows תיראה כך:
כל מי שמוריד פיירפוקס למשל לוקח את הסיכון שפיירפוקס יגרום לנו להאמין שאתר קניות מסויים הוא אמין רק כי קיבל תעודה מגורם מאשר שפיירפוקס מכיר בו ככזה.
כדי לראות את התעודות הדיגיטליות של פיירפוקס נכנס למסך הבא:
כאן יש רשימה של גורמים מאשרים.
נלחץ על גורם מאשר ישראלי: Comsign ונראה את פרטי התעודה שלו:
כאן מוצגת החתימה הדיגיטלית של Comsign שכוללת את כל הפרטים.
פיירפוקס הוא דפדפן שפועל על כמה מערכות הפעלה ולכן צריך לשמור על צורת הצגה אחידה, לעומת זאת צורת הצגה של תעודה דיגיטלית בwindows תיראה כך:
כאמור, תעודה דיגיטלית יכולה לא רק לזהות אנשים, אלא גם אתרים. כשאתם גולשים לאתר קניות צריך לראות ששורת הכתובת של האתר צבועה בירוק, או שמופיע סימן ירוק ליד מפתח שמסמנים שאתם סומכים על האתר מכיוון שהדפדפן מכיר את הגורם המאשר שהנפיק את התעודה שלו.
שימו לב שצריך להיזהר מאד כשמתקינים תעודות דיגיטליות ממקורות לא ידועים, מכיוון שכך אתם נחשפים לאפשרויות תרמית רבות.
שימו לב שצריך להיזהר מאד כשמתקינים תעודות דיגיטליות ממקורות לא ידועים, מכיוון שכך אתם נחשפים לאפשרויות תרמית רבות.
אירגונים גדולים גם מניפקים תעודות בשביל צרכים פנימיים, אך כמובן כל מי שמחוץ לארגון לא יכול לסמוך ב 100 אחוזים על אותנטיות של התעודות הללו מכיוון שאלו לא גורמים מאשרים ידועים הנמצאים תחת ביקורת והשגחה מתמדת.
בפרק הבא נדבר יותר על איך חותמים על מסמכים.
Tags
חתימה דיגיטלית