על הבעיה עם תוכנות הצפנה בדין הישראלי

.
האם שימוש בתוכנות הצפנה כמו GPG, TrueCrypt או אפילו סתם תוכנות אחסון שמצפינות את המידע ברשת כמו Dropbox עשוי להיות עבירה פלילית בישראל? מטרת מאמר קצר זה היא לסקור את החקיקה הנוגעת לאמצעי הצפנה בישראל, לבחון מדוע קיימים אותם הסדרים, להסביר כיצד אותם הסדרים אינם עומדים בקנה אחד עם דרישות אבטחת המידע הקיימות נוכח המציאות היום ולהמליץ על שינויים בתחום על מנת לקיים רגולציה על תחום ההצפנה בצורה אתית וראויה.

אכן, ולמרות שהדבר אינו נראה הגיוני, הצפנה היא תחום מוסדר למסחר בישראל. משרד הבטחון השתמש בסמכותו ולאור סיבות היסטוריות הכריז כי: “הצפנה מסחרית, כמו גם טכנולוגיה בתחום זה, נחשבים בקרב מדינות העולם בעלי מאפיינים “דו-שימושיים” (Dual-Use) אשר יש לפקח על העיסוק בהם. מדובר בטכנולוגיות, במוצרים ובידע אשר משמשים ככלל לצורך אזרחי (מסחרי או פרטי) ואולם ניתן לעשות בהם גם שימוש צבאי ובטחוני. החשש הינו כי בידיים הלא הנכונות (מדינות המוכרזות כתומכות בטרור, ארגוני טרור וגורמים פליליים) ינוצלו אמצעי ההצפנה למטרות פסולות“. משנת 1974, עת הותקנה אכרזה המציגה את ההצפנה והעיסוק בה כתחום בר-פיקוח, נאסר על אזרחי ישראל להשתמש באמצעי הצפנה כלשהם ללא הסכמת הממשל, וצו הפיקוח שהותקן דרש כי כל העוסק בהצפנה ירשם במשרד הבטחון ויאפשר למשרד הבטחון לערוך חיפושים ובדיקות בחצריו, הדרישה המשיכה אל תוך שנות השמונים והתשעים (ראו סקירה היסטורית באתר של חיים רביה, חלק ראשון, חלק שני, חלק שלישי) עד שבסוף שנות התשעים התחוור למשרד הבטחון כי רוב אזרחי ישראל עוברים על החוק בצורה כזו או אחרת. על מנת לפתור את הבעיה, הוחלט על קיומה של רפורמה זוטא במדיניות הפיקוח על אמצעי הצפנה, שתאפשר את השימוש במספר אמצעים מוכר וידוע ללא כל רגולציה.

1.
לצורך כך, בשנת 1998 תוקן צו הפיקוח על מצרכים ושירותים (תיקון), התשנ”ח – 1998 ונקבע כי למנכ”ל משרד הבטחון ישנה אפשרות להכריז על אמצעי הצפנה כאמצעים חופשיים, אפילו מיוזמתו, ולהכריז כי אין איסור על שימוש באמצעים אלה. נכון להיום, באינדקס האמצעים החופשיים יש כ7,685 אמצעים לרבות Internet Explorer וNetscape Navigator / Communicatior (ללא ציון גרסאות, לפחות בתחילה) אך לא רוב האמצעים החופשיים והאמצעים בקוד פתוח המוכרים לנו. כך, לדוגמא, דפדפן Firefox, למרות שהינו בעל יכולות הצפנה, נעדר מהרשימה; מערכת ההפעלה לינוקס מאוזכרת על ידי רשיון שניתן לRedHat ושלל אפליקציות ללינוקס, אך לא נמצאת שם. דומה שהסיבה לכך היא כי מעולם לא טרח איש לפנות למשרד הבטחון על מנת לאשר את העניין. מאז 2004 לא נדחתה בקשה אחת לקבלת אישור ודומה שעם נתח שוק עולמי של כ-30% לדפדפן Firefox קשה למשרד הבטחון לא לאפשר מיוזמתו את ההסכמה לדפדפנים. אולם, נכון לעכשיו, כל המשתמש בדפדפן שאינו מופיע ברשימת האמצעים החופשיים, הרי שהוא מפר את צו הצופן.

2.
חוסר ההגיון בצו מסוג זה משווע מלא מעט סיבות. העיקרית היא הרציונל מאחורי הצו: החשש כי בידים הלא נכונות ינוצלו אמצעי הצפנה היה נכון אולי בשנת 1974 כאשר צו בדבר הסדר העיסוק באמצעי הצפנה הוצא; אולם, מאז שונתה דרך העבודה והמתודות. מאז 1974 השתנה עולם התוכנה ואמצעי ההצפנה לצורה שבה כל יום, במהלך העבודה הרגיל, אדם מצפין עשרות פעמים: כאשר הוא מתחבר לקריאת דואר אלקטרוני, כאשר הוא מבצע שיחות טלפון, כאשר הוא צופה בטלויזיה; כל פעולה היום מלווה בהצפנה. מנגד, אותם ארגוני טרור שהממשלה מנסה למנוע מהם את השימוש בהצפנה יכולים להסתמך כיום על תוכנות הצפנה בקוד פתוח אשר אין להם אב ואם, ויכולות להגן בצורה טובה יותר מאשר חבילות מסחריות.

3.
אם הרציונאל של משרד הבטחון הוא דומה לרציונאל של ממשלת הודו במאבק מול Blackberry ושל ממשלת גרמניה בנוגע לSkype, כלומר, לקבל גישה למפתחות ההצפנה ולאפשר דלתות אחוריות, הרי שאותו רציונאל פסול ואינו עומד בקנה אחד עם קריטריונים חוקתיים, אולם נראה שלא כך הדבר. בטפסי הבקשה אין כל דרישה לקיומן של דלתות אחוריות, ונכון לעתה אמצעים רבים המופיעים בדיווח ידוע שאינם מכילים דלתות כאלה (בין היתר כיוון שמדובר באמצעי קוד פתוח). אלא שדומה שהארכאיות בבקשות של משרד הבטחון פשוט אינן מסוגלות לקבל את העובדה שישנן תוכנות חופשיות או יצירות ללא אב ואם. כך, לדוגמא, בטופס הבקשה, מלבד קריטריונים רלוונטיים, נדרש הממלא להבהיר מהו שם החברה המספקת את התוכנה (במקרה של תוכנות בקוד פתוח אין כלל אב ואם) וישנה דרישה לדיווח על המכירות.

4.
כלומר, נכון להיום כל אוכלוסית מדינת ישראל עוברת על צו הצופן בצורה כזו או אחרת; מדובר בעבירה פלילית שענישה כלשהיא בצידה, ואשר מונעת מכלכלת ישראל גם להתבסס על אמצעים בקוד פתוח. מעבר לכך, הרציונאל לפיו יש להרחיק ארגוני טרור מאמצעי הצפנה הוא גם לקוי: הרי אותם ארגונים מראש אינם מצייתים לחוק. עוד סוגיה המתעוררת היא בעיית טריטוריאליות החוק: החוק הישראלי חל על אזרחים ישראלים הנמצאים במדינת ישראל, אולם הוא אינו חל על פעולות שבוצעו מחוץ לה. למרות התפיסה הארכאית של משטרת ישראל כי היא יכולה להחיל את החוק גם על פעולות מחוץ לישראל (בש 90861/07 מיכאל גארי קרלטון נ’ היחידה הארצית לחקירות הונאה), הרי שברור כי צו הצופן לא יחול על הצפנה שבוצעה מחוץ למדינה ולא ניתן יהיה לחייב שירותי הצפנה זרים שאינם פועלים בישראל לציית לחוק.

5.
כך, לדוגמא (ותודה לים מסיקה על הרעיון), שירות Dropbox מספק אחסון מרוחק ומוצפן. מדובר בשירות ציבורי, הזמין לכל תושבי העולם ואינו מחזיק שרתים בישראל. נניח, לצורך העניין, שהוא אפילו חוסם את היכולת לגשת לשירות לישראלים (על מנת להתגבר על המכשול הטכני של טענות המשטרה בעניין מיכאל גארי קרלטון), אולם: אזרח ישראלי (נניח, גלעד שרון, לצורך הויכוח), מאחסן את קבציו האישיים בשירות וניגש אליו באמצעות שרת Proxy המסווה את זהותו. אותו אדם נמצא תחת חקירה, והמשטרה מצווה עליו למסור מסמכים מסוימים (ע”פ 1761/04 גלעד שרון נ’ מדינת ישראל) אולם, הוא טוען כי זכותו להמנע מהפללה עצמית עומדת, והוא מסרב למסור את ססמאת הגישה (וראו: על החובה למסור ססמאות מוצפנות). כעת, משנמנעה מהמשטרה היכולת להגיע לחומר החקירה החסוי, שכן, אם שרתי Dropbox היו בישראל, הם היו מבקשים, בין אם על פי חוק ובין אם לא, את הגישה לקבצים בצו בית משפט לפי סעיף 43 לפקודת סדר הדין הפלילי [מעצר וחיפוש], מבקשת המשטרה לאסור את אותו אדם על פי צו הצופן.

6.
הטענה הקלה מבחינת המשטרה, מאותו הרגע, היא שאותו אדם הצפין את החומרים בצורה שאינה מאפשרת את הפענוח (כיוון שהחומר אינו נמצא בישראל, ולא ניתן ליתן צו חיפוש נגד מי שמחזיק אותו) המצפין עבר על החוק. כך, יותר קל להצמיד עבירה של הצפנה שלא כדין מאשר את שאר העבירות (ולעבור על חוק הפיקוח על מוצרים ושירותים). אולם, האם צו הצופן, בפועל, אומר שאנחנו צריכים לזנוח את כל התוכניות שלנו ולעבור לעבוד רק עם יישומים מורשים?

7.
גם צו הצופן, בהיותו צו שינתן על ידי רשות שלטונית, כפוף לעקרונות חוקתיים כמו כל צו אחר שניתן על בסיס חוק פיקוח על מצרכים ושירותים. כך, לדוגמא, בבגץ 4253/02 מר בנימין קריתי – ראש עיריית טבריה נ’ מר אליקים רובינשטיין – היועמ”ש הועלתה טענה נגד תוקף צו פיקוח בתחום הבריאות, כאשר באותו המקרה בית המשפט פסק כי, ראשית, היה על העותרים לתקוף את הצו סמוך למועד כניסתו לתוקף (ובהשלכה לצו הצופן, בשנת 1998 לערך) וכי יש לבחון את השלכות הרוחב של הצו, גם אם הוא מגביל את העקרונות החוקתיים:”לענייננו, צו הפיקוח קובע עקרונות חשובים ומהותיים. אם היה מקום לתקוף אותו – הדעת נותנת כי הדבר יעשה סמוך לאחר נתינתו, ולא לאחר שהעקרונות התקבעו והפכו לנורמות מחייבות שלאורם פועלים בתי החולים. מעבר לכך ולגופו של עניין: השגתם המרכזית של העותרים (באשר לתוקפו של צו הפיקוח) נסמכת על החוק המסמיך קרי: חוק הפיקוח על מצרכים ושירותים, תשי”ח-1957, ס”ח 24 (להלן: חוק הפיקוח). סעיף 3 לחוק הפיקוח אומר: “לא ישתמש שר בסמכותו לפי חוק זה, אלא אם היה לו יסוד סביר להניח שהדבר דרוש לקיום פעולה חיונית, למניעת הפקעת שערים וספסרות או למניעת הונאת הציבור”.  לטענת העותרים “אין ולא יכול להיות לשר יסוד סביר להניח כי איסור השר”פ חיוני לקיום פעולה חיונית – מתן השר”פ אינו פוגע בכהוא זה בכל פעולה חיונית הניתנת במסגרת בית החולים” (סע’ 78 לעתירה). חרף הפסקנות והדווקנות שבה נטענה הטענה – היא אינה משקפת את המצב לאשורו. לשר”פ יש השלכות רוחב שמשמעותן אינה מצטמצמת לאותן שעות שבהן הוא ניתן“.

8.
מנגד, ברור כי בתריסר השנים שעברו מאז הוצא צו הצופן השתנתה הדרך בה אנו חושבים על הצפנה למכביר. בשנת 1999 מערכת Deep Crack פרצה את תקן ההצפנה המקובל בעולם, הDES. תקן הAES הוחל בשנת 2001, ופיגועי ה11 בספטמבר 2001 הביאו לרצון נרחב יותר לבחון מהם המסרים המועברים. כח המחשוב בעולם גדל בצורה מעריכית ושיטות הפצת המידע השתנו מקצה לקצה. החובות שהוטלו על מנהלי מאגרי מידע, מנגד, והצעות הרשות למשפט, טכנולוגיה ומידע לתקנות אבטחת המידע בפרט, לא מאפשרות אלא לעבור על החוק.

9.
אם כן, מה על אדם המעוניין לעסוק בהצפנה, או לספק לציבור שירות המכיל רכיב הצפנה בפנים, לעשות? כעקרון, גם אם הוא אינו מפתח התוכנה, אין מניעה כי כל אדם יגיש בקשה להכריז על שירות ההצפנה שלו כאמצעי חופשי על פי צו הצופן. כלומר, במקרה כזה, נניח שאדם מסוים מנהל אתר אינטרנט להיכרויות: עליו גם לרשום מאגר מידע על פי חוק הגנת הפרטיות, וגם, בהנחה שהוא מצפין את הססמאות כדי לשמור על כללי אבטחת מידע להגיש בקשה לרישום אמצעי ההצפנה למשרד הבטחון. כעת, אם מערכת ההפעלה בשרת מכילה רכיבי הצפנה שאינם מוכרים כאמצעים חופשיים, עליו לבקש רשיון גם עבורם. במקרה כזה, די בכך שיתקבל פעם אחת רשיון עבור רכיב כמו OpenSSL להכיר בו כאמצעי חופשי.

10.
אם יש משהו ללמוד ממלחמת הPGP של שנות התשעים הוא שלא משנה מה, מרגע שתוכנה מסוימת שוחררה לאוויר לא ניתן להשיבה. בשנות התשעים ממשלת ארצות הברית רדפה אחרי מפתח של תוכנת PGP: Pretty Good Privacy ששוחחרה תחת רשיון פתוח יחסית. למרות ויכוחי פטנטים עם RSA ולמרות האיסור על הפצת קוד התוכנה מחוץ לארצות הברית כיוון שמדובר באמצעי הצפנה, הצליחו ארכיטקטי PGP (שכיום גם מכיל גרסא מסחרית). מנגד, ובעקבות חוסר אמון וחוקי יצוא מעיקים, אלטרנטיבת הGPG יצאה לאוויר ואיפשרה מעקף של העניין. הכלל, שברור כיום יותר מכל דבר אחר, הוא שאמצעי הצפנה, כמו כל תוכנה אחרת, אינם ניתנים לשליטה מרגע ששוחררו לאוויר העולם. הרציונאל של רשויות שלטוניות לנסות לאסור על שימוש בתוכנה שאין לה בעלים, אין לה משווק ואין לה תומך אינו בנוי לעולם הנוכחי של העדר גבולות ושירותי רשת.

11.
אם כן, מה אמור משרד הבטחון לעשות על מנת להתמודד עם תופעת ההצפנה ולהתמודד עם רצונם של גורמים עוינים להצפין מידע? מתוך נקודת המוצא כי אותו משרד אכן מבין כי העדר זמינות בישראל של תוכנות הצפנה לא יגרום לכך שארגוני טרור לא ישיגו את האמצעים מאתרי אינטרנט זרים, ומתוך הכרה בערך החיובי מאוד של הצפנה עבור האדם הפרטי, אשר משתמש בהצפנה למסחר, משרד הבטחון צריך, להערכתי, לבצע את השינויים הבאים:(1) ראשית, על משרד הבטחון ליתן היתר כללי לאמצעי הצפנה הנמצאים בנחלת הכלל או שוחררו תחת רשיון קוד פתוח; (2) על המשרד לשקול רפורמה שתסיר את ההגבלות על הצפנה כלל ותסיר את המוצר מרשימת המוצרים בפיקוח, תוך הבנה שהזמנים השתנו; (3) עד שרפורמה מסוג זה תכנס לתוקף, על המשרד לזום בצורה אקטיבית הכרזה על אמצעים חופשיים מבלי מעורבות של הציבור ולבטל את דרישת הדיווח השנתי; (4) כמו כן, על המשרד, יחד עם הרשות הממלכתית לאבטחת מידע, לפעול לקידום ההצפנה והטמעת אמצעי הצפנה חזקים יותר בידי גורמים הפגיעים למתקפות טרור וירטואליות.

12.
לסיכום, ככל הנראה לא יוגשו לעולם כתבי אישום נגד ציבור משתמשי פיירפוקס או נגד מי שמשתמש בהצפנה שמקורה בקוד פתוח. הסיבה לכך היא כנראה חוסר הרצון של משרד הבטחון לנמק, מאוחר יותר, מדוע מעולם לא הפעיל את סמכותו לפי סעיף 3ב לצו וקבע מיוזמתו כי התוכנות מהוות אמצעי חופשי, וגם כיוון שעל ידי הגשת כתבי אישום נגד משתמשי פיירפוקס ינותק הקשר הסיבתי בין איסור הצפנה לבין טרור. לכן ברור שקיומו של חוק שאינו נאכף עשוי רק להזיק למדינה, במיוחד כאשר מדובר בחקיקה שנועדה להגן מפני טרור, וכעת לא נעשה בה כל שימוש.

[פורסם במקור בגליון השלושה עשר של Digital Whisper] [פורסם גם כאן]