חוק חתימה דיגיטלית שנחקק בשנת 2001 מגדיר מהי חתימה אלקטרונית, מהי חתימה דיגיטלית מאובטחת ומהי חתימה דיגיטלית מאושרת. מערכת EasyDoc מספקת לכם חתימות דיגיטליות מאובטחות העומדות בכל תקנות רשות המיסים וגורמי הממשל האחרים, ובשורות הבאות נסביר מה ההבדל בינה לבין חתימה דיגיטלית מאושרת.
אז מהי חתימה דיגיטלית?
קודם כל, נסביר כי חתימה אלקטרונית היא פשוט סימן או מידע מכל סוג שמצמידים למסרים אלקטרוניים (כאלו שנשלחים, נקראים ונשמרים באמצעים אלקטרוניים). למשל, הסימן יכול להיות חתימה באמצעות האצבע על מסך הנייד או העכבר, לוגו של חברה, תוכנה, סריקת חתימה ידנית ועוד. אמנם מדובר באמצעים התורמים במידת מה לזיהוי האדם החותם על המסמך, אך הלכה למעשה ברור שאין בהם די. כל אחד יכול להוסיף כמעט כל סימן או מידע על מסמך אלקטרוני, ולעולם לא נדע האם הוא מי שטוען שהוא. מצד שני, גם הוא וגם אנחנו לא נדע אם לאחר שחתם על המסמך יכול לתפוס אותו צד שלישי ולבצע בו שינויים מבלי שנדע זאת.
לכן באה לעולם החתימה הדיגיטלית המאובטחת, שהינה אמצעי חתימה שאנו יכולים לדעת בוודאות כי הוא נתון בשליטה הבלעדית של החותם, מה שמאפשר לכאורה לזהותו וכמו כן מאפשר לדעת אם שונו פרטים במסמך או בתוכן לאחר החתימה. במילים פשוטות, מדובר בצופן מתמטי קשה מאוד עד בלתי אפשרי לפיצוח, המוצמד למסמכים שמנפיק החותם. במילים יותר מורכבות, לפי חוק חתימה אלקטרונית צריכה לעמוד חתימה דיגיטלית מאובטחת בלפחות אחת מתוך מספר דרישות, הקשורות לאימות חתימה. הדרישה הראשונה היא שהחתימה מופקת עם מפתח המבוסס על תקן מקובל, תוך שימוש מפתח elliptic curve DSA באורך 160 סיביות לפחות, או שימוש מפתח RSA או DSA באורך 1,024 סיביות לפחות. לחילופין, הדרישה היא שלצורך הפעלה או גישה לאמצעי החתימה יהיה צורך להשתמש באמצעי קריפטולוגיה או באמצעים פיזיים מיוחדים, אשר עומדים בדרישות הביטחון של תקן common criteria EAL2וכן בתקן אבטחה FIPS 140-2 רמה 1. לחילופין, אם משתמשים בסיסמא יש לעמוד בדרישות האבטחה לפי חלק 3 של תקן 1495.
ומה זו חתימה דיגיטלית מאושרת
על קצה המזלג, חתימה דיגיטלית מאושרת היא רמה אחת גבוהה יותר של אבטחה בתחום החתימות האלקטרונית. מדובר באותה חתימה דיגיטלית מאובטחת שעליה דובר לעיל, אלא שכאן מצטרפת תעודה אלקטרונית שמנפיק "גורם מאשר", כלומר צד שלישי שתפקידו לאמת שהחתימה אכן תקפה. מדוע הדבר דרוש? מפני שקיימים מסמכים מסוגים מסוימים שבהם נדרשת יכולת אימות יותר גבוהה של זהות החותם, באופן כזה שלא יוכל לבוא לאחר מכן ולטעון שלמעשה לא חתם על המסמך. יש לציין כי מדובר בחתימות המצריכות קבלת שירות מטעם חברה המתמחה בתחום וכרוך בעלויות נוספות.
מבחינת רשות המיסים וגורמי הממשל, במרבית סוגי הפעולות והמסמכים אין צורך בחתימה דיגיטלית מאושרת, והחתימה המאובטחת בהחלט מתקבלת. יחד עם זאת, אם להביא דוגמא לצורך בחתימות מאושרות, מס הכנסה קובע שכדי לקיים ביעור מסמכים שהוכרו על ידי הרשות לצורך הוצאה מוכרת, עליהם להיות חתומים בחתימה דיגיטלית מאושרת.