חתימה דיגיטלית היא תהליך הצפנה של קובץ מחשב באמצעות קוד מספרי, הקרוי "מפתח פרטי". מפתח זה ייחודי לחותם, ואיש זולתו אינו אמור להחזיק בעותק ממנו. מקבל המסמך זקוק ל"מפתח ציבורי", התואם את המפתח הפרטי, כדי לפענח את המסמך ולוודא כי אמנם נחתם כדין וכי לא שונה מאז חתימתו. המפתח הציבורי אינו יכול לחולל את החתימה אלא לקוראה בלבד, ולפיכך הוא ניתן להפצה ברבים.
מספר מדינות בארצות הברית עיגנו בחוק את ההסדרים הנדרשים לשם מתן תוקף לחתימה הדיגיטלית. ביניהן נמנות קליפורניה, ג'ורג'יה וושינגטון. אולם ההסדר המקיף והשאפתני מכולם נקבע על ידי מדינת יוטה, בחוק שנכנס לתוקפו ב- 1 במאי Digital Signature Act - 1995.
מעמדם של מסמכים אלקטרוניים
לב ההסדר מצוי בחלק הרביעי לחוק. סעיפיו משווים את מעמדם של מסמכים אלקטרונים, שנחתמו דיגיטלית, למסמכים רגילים. הם מורים כי במקום שנדרשת בחוק כלשהו חתימה - או במקום שנקבעו תוצאות מסוימות להיעדרה של חתימה כזו - תהיה החתימה הדיגיטלית מספקת בהתקיים התנאים הבאים: על המסמך לשאת על כל חלקיו חתימה דיגיטלית, אשר ניתן לאמתה על-ידי מפתח ציבורי, שהוצא בידי רשות רישוי מוסמכת והיה תקף בעת שהחתימה הוטבעה על גבי המסמך. זאת ועוד, החוק קובע כי בהתקיים התנאים הללו יהיה הממסר האלקטרוני תקף כאילו נכתב על גבי ניר. בהבדל ממסמכי ניר, לעותק של מסמך אלקטרוני חתום ניתן תוקף זהה לזה של המסמך המקורי. החוק מוסיף וקובע חזקות, העומדות לימין אמצעי החתימה החדיש: בין השאר הוא מורה כי אם חתימה דיגיטלית מאומתת על ידי מפתח ציבורי, הכלול ברשיון תקף שהנפיקה רשות רישוי, כי אז חזקה שזוהי חתימתו של האדם הרשום כבעליה באותו רשיון, כי הוטבעה במסמך בכוונה לחתום עליו, כי למקבל הממסר אין ידיעה שהחותם הפר את חובותיו כבעל רשיון או שאינו אוחז כדין במפתח הפרטי שחולל את החתימה. חזקות אלה יקשו את הנסיונות לקעקע את תקופתן של חתימות דיגיטליות. אולם הן תוצאה של הסדר רישוי קפדני, שהחוק מחיל.
רישוי חתימה דיגיטלית
על בעל מפתח פרטי, המבקש הכרה בחתימתו הדיגיטלית, לקבל רשיון מאת רשות רישוי (Certification Authority). רשות כזו היא גוף מורשה מאת מחלקת התאגידים והחוק המסחרי במשרד המסחר של מדינת יוטה. היא איננה חייבת להיות רשות מרשויות המדינה. הרשיון מתפרסם במאגר מידע מקוון, פתוח לעיון, והוא כולל את המפתח הציבורי שהוא תאומו של המפתח הפרטי המוחזק בידי בעל הרישיון. באופן זה ניתנת החתימה לזיהוי ולפענוח בקלות. הפרק השלישי לחוק מורה, כי הרישיון יוענק למבקש רק בהתמלא תנאים אחדים. בין השאר מוטלת על רשות הרישוי החובה לוודא שמבקש הרישיון הוא אמנם האדם (או התאגיד) שיירשם כבעל הרישיון במסמך שיונפק לו (במלים אחרות, שא' אינו מתחזה לקבל את ההיתר בשמו של ב'). עליה לוודא גם, שהמידע הכלול ברישיון הוא נכון, שמבקש ההיתר אוחז כדין במפתח פרטי התואם את המפתח הציבורי הכלול ברישיון, שמפתח פרטי זה מסוגל ליצור חתימה דיגיטלית ועוד. לא ניתן להתנות או לוותר על אילו מהדרישות הללו.
התחייבותו העיקרית של בעל הרישיון היא לנקוט זהירות סבירה כדי לשמור על השמירה במפתח הפרטי בשליטתו בלבד ולמנוע את גילויו לצד שלישי. הסיבה לכך איננה ראויה להסבר מיוחד: אם תאבד השליטה במפתח זה ניתן יהיה לזייף את חתימתו הדיגיטלית. החוק מורה עוד כי המפתח הפרטי הוא קנינו של בעל הרשיון, האוחז בו כדין.
אחריות רשות הרישוי
מהו המידע הכלול ברישיון? לבד מפרטיו המזהים של בעל הרישיון, המפתח הציבורי שבעזרתו תפוענח חתימתו הדיגיטלית של הבעלים ועוד, יכולה מחלקת התאגידים והחוק המסחרי במשרד המסחר של מדינת יוטה לכלול בו סיסמה חסויה, שתימסר אך ורק לבעל הרישיון, לרשות הרישוי או לפקיד בית משפט. בסיסמה מזהה זו יעשה שימוש כדי לוודא את זהותו של בעל הרישיון, אם וכאשר יפנה בבקשה להשהות את תוקפו של ההיתר. פרט מעניין: רשות הרישוי ובעל הרישיון רשאים לקבוע בו "תחום הסתמכות מומלץ". הכוונה היא לסך כספי, אשר ישמש במקרים מסוימים המוגדרים בחוק כתיקרה לאחריותם במקרה של נזק למסתמך על הרישיון. בהנפקת הרישיון נחשבת רשות הרישוי כמאשרת כלפי כל צד שלישי, המסתמך באופן סביר על פעולתה, כי המידע הכלול ברישיון הוא נכון; כי כלול בו המידע הדרוש באופן סביר לבדיקת מהימנות הרישיון; כי בעל הרישיון קיבל אותו וכי רשות הרישוי פעלה לפי הוראות כל דין בהוצאתו. מאידך, בעל הרישיון נחשב כמאשר שהוא מחזיק כדין במפתח הפרטי התואם למפתח הציבורי הרשום ברישיון וכי המידע ברישיון והמצגים הכלולים בו הם אמת. מקבל הרישיון מחויב לשפות את רשות הרישוי על נזקים שיגרמו לה כתוצאה מצגי-שווא כלפיה. תוצאת ההוראות הללו היא הגברת בטחונם של צדדים שלישיים, המבקשים להסתמך בתום-לב על ההיתרים שהנופקו לחותמים דיגיטליים.
פקיעת הרישיון
הרישיון פוקע במותו של אדם, או - אם מדובר בתאגיד - עם פירוקו או כשהוא חדל להתקיים. כמו כן ניתן להשעותו או אף להפקיעו בנסיבות הקבועות בחוק.
זהו, כאמור, החוק השאפתני ביותר בנושא החתימה הדיגיטלית. הוא מצהיר על מטרתו כבר בסעיפיו הראשונים: לצמצם את המקרים של זיוף חתימות אלקטרוניות; לאפשר זיהוי אמין של מידע מבוסס-מחשב; לטפח את אימותן של החתימות הדיגיטליות; לדרבן מסחר בדרך של תקשורת ממוחשבת ולתת תוקף חוקי לשורה של תקנים בנושא. המחוקק של מדינת יוטה, ארצות הברית, הוציא תחת ידו חוק חדשני. יישומו מענין לא פחות, ואולי אף יותר, מן ההסדר הנורמטיבי שנקבע בו ויש לעקוב אחריו ולהפיק את לקחיו לקראת החלתו במקומות נוספים ברחבי העולם.