תוכן עניינים
טיוטת תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) (תיקון), התשפ"א-2021
בתוקף סמכותי לפי סעיפים 19(ב) ו-24(א) לחוק חתימה אלקטרונית, התשס"א-2001 (להלן - החוק), ובאישור ועדת המדע והטכנולוגיה של הכנסת לפי סעיף 24(ב)(2) לחוק, אני מתקין תקנות אלה:
1. תיקון סעיף 1
2. החלפת מונח
3. תיקון תקנה 4
4. תיקון תקנה 5
5. החלפת תקנה 14
6. תיקון התוספת
7. הוספת התוספת השנייה
תוספת שנייה
אישור כי תעודה אלקטרונית מאושרת הונפקה על ידי גורם מאשר
דברי הסבר
טיוטת תקנות מטעם משרד המשפטים:
בתוקף סמכותי לפי סעיפים 19(ב) ו-24(א) לחוק חתימה אלקטרונית, התשס"א-2001[1] (להלן - החוק), ובאישור ועדת המדע והטכנולוגיה של הכנסת לפי סעיף 24(ב)(2) לחוק, אני מתקין תקנות אלה:
|
|
|
|
|
|||||||
|
1. |
בתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001 (להלן – התקנות), בתקנה 1 - |
|||||||||
|
|
|
(1) בהגדרה "מסמך נהלים" במקום RFC 2527 יבוא RFC 3647; |
||||||||
|
|
|
(2) בהגדרה "RSA", "DSA", ו-"Elliptic Curve DSA" ובהגדרה "תקן מקובל" אחרי המילה בתוספת יבוא "הראשונה"; |
||||||||
|
|
|
(3) אחרי ההגדרה "תקן ISO/IEC 9594-8" יבוא: |
||||||||
|
|
|
"תעודת גורם מאשר" – כהגדרתה בסעיף 5 לחוק, שערוכה לפי הטופס שנקבע בתוספת השנייה.". |
||||||||
|
2. |
בתקנות, בכל מקום - |
|||||||||
|
|
|
|
(1) במקום "תעודה אלקטרונית" יבוא "תעודה אלקטרונית מאושרת". |
|||||||
|
|
|
|
(2) במקום "התעודה האלקטרונית" יבוא "התעודה האלקטרונית המאושרת". |
|||||||
|
3. |
בתקנה 4 בתקנת משנה (2)- (1) אחרי " FIPS140-2" יבוא " או FIPS140-3"; (2) במקום המילים "רמה 2" יבוא "רמה 3". |
|||||||||
|
תיקון תקנה 8 |
4.
5. |
בתקנה 5 בתקנת משנה (א) אחרי "common criteria EAL4" יבוא "לפחות".
בתקנה 8, במקום " תקן FIPS 140-2 רמה 1, ברמת ביטחון של תקן common criteria EAL2 לפחות" יבוא "תקן FIPS 140-2 או FIPS140-3 רמה 3, ברמת ביטחון של תקן common criteria EAL4 לפחות". |
||||||||
|
6. |
במקום תקנה 14 יבוא: |
|||||||||
|
|
|
פרטים בתעודה אלקטרונית |
14. |
(א) היה המבקש יחיד, תכלול התעודה האלקטרונית המאושרת שתונפק לו, לבחירת המבקש, את אחד מאלה – |
||||||
|
|
|
|
|
|
|
|
(1) מספר הזהות שלו לפי תקנה 10 (בתקנה זו – "מספר הזיהוי"), ואם היה המבקש תושב חוץ – גם את מקום הנפקת המסמך המזהה; |
|||
|
|
|
|
|
|
|
|
(2) מספר הזיהוי, המוצפן באמצעי הצפנה מקובלים שאישר הרשם, ואם היה המבקש תושב חוץ – גם את מקום הנפקת המסמך המזהה; |
|||
|
|
|
|
|
|
|
|
(3) מספר מזוהה של המבקש, שנרשם במרשם בעלי רישיון בישראל, ואשר רישיונו בתוקף. |
|||
|
|
|
|
|
|
|
(ב) היה המבקש תאגיד, תכלול התעודה האלקטרונית המאושרת שתונפק לו את שם התאגיד ומספרו הרשום, שמו ותוארו של מורשה החתימה מטעם המבקש, ואם היה תאגיד שאינו רשום בישראל – גם את מקום הרישום, ולפי בחירת מורשה החתימה מטעם המבקש, את אחד מאלה – |
||||
|
|
|
|
|
|
|
|
(1) מספר הזיהוי שעל פיו זוהה מורשה החתימה מטעם המבקש. |
|||
|
|
|
|
|
|
|
|
(2) מספר הזיהוי שעל פיו זוהה מורשה החתימה מטעם המבקש, המוצפן באמצעים הצפנתיים מקובלים שאישר הרשם. |
|||
|
|
|
|
|
|
|
|
(3) מספר מזוהה של מורשה החתימה מטעם המבקש, שנרשם במרשם בעלי רישיון בישראל, ואשר רישיונו בתוקף. |
|||
|
|
|
|
|
|
|
|
(4) מספר מזוהה של מורשה החתימה מטעם המבקש, כפי שרשום בתאגיד. |
|||
|
|
|
|
|
|
|
(ג) היה המבקש מוסד ציבורי, תכלול התעודה האלקטרונית המאושרת שתונפק לו את שם המוסד, וכן את שמו ותוארו של מורשה החתימה מטעם המבקש, ולפי בחירת מורשה החתימה מטעם המבקש, את אחד מאלה – |
||||
|
|
|
|
|
|
|
|
(1) מספר הזיהוי שעל פיו זוהה מורשה החתימה מטעם המבקש; |
|||
|
|
|
|
|
|
|
|
(2) מספר הזיהוי שעל פיו זוהה מורשה החתימה מטעם המבקש, המוצפן באמצעים הצפנתיים מקובלים שאישר הרשם; |
|||
|
|
|
|
|
|
|
|
(3) מספר מזוהה של מורשה החתימה מטעם המבקש, שנרשם במרשם בעלי רישיון בישראל, ואשר רישיונו בתוקף. |
|||
|
|
|
|
|
|
|
|
(4) מספר מזוהה של מורשה החתימה מטעם המבקש, כפי שרשום במוסד הציבורי. |
|||
|
7. |
בתוספת, במקום "תוספת" יבוא "התוספת הראשונה". |
|||||||||
|
8. |
אחרי התוספת הראשונה יבוא - |
|||||||||
|
|
|
|||||||||
|
|
|
|||||||||
|
|
|
אני, ____________ (שם ושם משפחה של מנהל הגורם המאשר), מאשר כי תעודה שמספרה הסידורי (serial number) הוא _________________ (להלן – התעודה) הונפקה על ידי ______________ (שם הגורם המאשר), ח.פ מס' _____________ , שנרשם במרשם הגורמים המאשרים לפי ס' 9(ב) לחוק ביום __________. התעודה הונפקה ביום ___________ עבור ________, שמספר זיהויו הוא_____________ / עבור ______, שמספר זיהויו הוא _____ בשם __________ (תאגיד/ מוסד ציבורי), שמספרו _______.
שם מנהל הגורם המאשר שחתם על אישור זה בחתימתו האלקטרונית המאושרת: __________ . |
||||||||
|
|
|
|
|
|||||||
עדכון תקנים (סעיף 1(1-2), סעיפים 3-5 לתיקון):
מוצע לעדכן את התקנים הטכנולוגיים הקבועים בתקנות ולהתאימם לתקנים שעודכנו על ידי רשם הגורמים המאשרים.
קביעת טופס תעודת גורם מאשר (הוספת הגדרת "תעודת גורם מאשר" בסעיף 1(3) לתיקון, הוספת התוספת השנייה בסעיף 8 לתיקון ושינוי שם התוספת לתוספת הראשונה בסעיף 7 לתיקון):
סעיף 5 לחוק חתימה אלקטרונית עוסק בתעודת גורם מאשר, וקובע כי "בית המשפט רשאי, אם אין הוא רואה חשש לעיוות דין, לקבל כראיה תעודה החתומה בידי מנהל גורם מאשר או מי מטעמו, המאשרת כי תעודה אלקטרונית מאושרת מסוימת הונפקה על ידי הגורם המאשר (להלן – תעודת גורם מאשר); תעודה כאמור תיערך לפי טופס שקבע השר".
מוצע לקבוע בתוספת השנייה לתקנות טופס כאמור, ובו לציין את פרטי מנהל הגורם המאשר ופרטי הגורם המאשר, וכן את פרטי התעודה ויום הנפקתה. עוד מוצע לקבוע כי על הטופס יחתום מנהל הגורם המאשר בחתימתו האלקטרונית המאושרת.
החלפת מונח (סעיף 2 לתיקון):
בעקבות תיקון מס' 3 לחוק חתימה אלקטרונית, שבו הוחלף המונח "תעודה אלקטרונית" במונח "תעודה אלקטרונית מאושרת", מוצע לעדכן מונח זה גם בתקנות אלה.
סעיף 6 (החלפת תקנה 14)
חוק חתימה אלקטרונית נועד להסדיר את תחום החתימות האלקטרוניות ואת מעמדן. בין היתר, מסדיר החוק חתימה מסוג "חתימה אלקטרונית מאושרת". חתימה מסוג זה מונפקת על ידי גורם מאשר, המפוקח על ידי רשם הגורמים המאשרים. תפקידו של הגורם המאשר הוא להנפיק לאדם מסוים, לפי בקשתו (להלן – המבקש), תעודה אלקטרונית מאושרת (להלן – תעודה), שבאמצעותה יכול המבקש לבצע חתימות. התעודה מונפקת לאחר הליך של זיהוי המבקש על ידי הגורם המאשר ובדיקה כי הפרטים שבבקשה להנפקת התעודה נכונים ומלאים.
התעודה כוללת פרטים על המבקש, על הגורם המאשר, שמנפיק את התעודה, ועל תוקף התעודה והשימושים המותרים בה. מבין הפרטים שצריכים להופיע בתעודה האלקטרונית, מנוי בחוק גם שמו של בעל התעודה ומספר הזהות שלו, או פרט מזהה אחר, כפי שקבע השר (סעיף 19(א)(1) לחוק).
הפרטים הנכללים בתעודה ניתנים לצפייה על ידי כל אדם שמחזיק במסמך שנחתם על ידי בעל התעודה. כך, למשל, כל לקוח של חברה סלולרית, המקבל בדוא"ל את החשבוניות החודשיות שלו, החתומות בחתימה אלקטרונית מאושרת, יכול לדעת מהו מספר הזהות של עובד חברת הסלולר שחתם על החשבונית. נמצא, כי הכללת מספר הזיהוי של החותם על גבי התעודה יוצרת תחושה של חוסר נוחות בקרב חלק מהחותמים, ובמיוחד בקרב החותמים בשם ארגונים. זאת ועוד, במקרים מסוימים, עלול להתעורר חשש כי מספר הזהות של החותם ינוצל לרעה על ידי גורמים שונים.
על רקע האמור, מוצע לבטל את החובה לכלול מספר זהות, שיהיה גלוי לכל המחזיק במסמך החתום, ולאפשר לבעל התעודה לבחור האם לציין את מספר הזהות שלו בתעודה האלקטרונית כך שיהיה חשוף לכל המחזיק במסמך החתום על ידו או להצפין את מספר הזהות שלו. המסתמך על תעודה אלקטרונית, שמספר הזהות בה מוצפן, יוכל לפענח את ההצפנה על ידי פנייה לגורם המאשר, שהנפיק את אותה התעודה.
כמו כן, מוצע להוסיף חלופות לפרט מזהה אחר, כמפורט להלן. המבקש יוכל לבחור בין החלופות האמורות.
לעניין מבקש להנפיק תעודה אלקטרונית, שהינו יחיד, מוצע להוסיף כחלופה לכלול על גבי התעודה האלקטרונית מספר מזוהה של המבקש, שנרשם במרשם בעלי רישיון בישראל, ואשר רישיונו בתוקף.
לעניין מבקש להנפיק תעודה אלקטרונית, שהינו תאגיד או מוסד ציבורי, מוצע להוסיף כחלופה לכלול על גבי התעודה האלקטרונית מספר מזוהה של מורשה החתימה מטעם המבקש, כפי שרשום בתאגיד או במוסד הציבורי (למשל, מספר עובד או מספר סידורי פנימי אחר, שלפיו מזוהה מורשה החתימה בתאגיד או במוסד הציבורי). ההצדקה להוספת חלופה זו היא שכשמדובר במורשה חתימה מטעם תאגיד או מוסד ציבורי, ניתן לזהות אותו גם באמצעות מספר סידורי אחר, הנהוג בתוך התאגיד.
תיקון זה יספק גמישות לבעל התעודה ויאפשר לו לבחור במאפייני התעודה המתאימים לו.
למען הסר ספק יצוין, כי התיקון המוצע לא גורע מהליך הזיהוי המתבצע על ידי הגורם המאשר בהליך הנפקת התעודה. עוד יצוין, כי גם במישור הבינלאומי לא נמצאה חובה לכלול את מספר הזיהוי של בעל התעודה על גבי התעודה (ר', למשל, תקנות של האיחוד האירופאי בנושא, אשר מסתפקות בציון שם או כינוי החותם על גבי התעודה- סעיף (c) ל- annex 1 לתקנות ה-eIDAS של האיחוד האירופי).