אז מה הקטע עם המאגר הביומטרי?

אני רוצה לעסוק הפעם בנושא שקשור לבלוג רק בעקיפין – המאגר הביומטרי. לאבטחת מידע יש חלק חשוב בכל הסיפור הזה – הסיבה שבגללה דנים על המאגר היא בגלל כשלי אבטחת מידע, והמאגר עצמו צריך לעמוד בסטנדרטים גבוהים של אבטחת מידע – וזה נותן לי תירוץ לדבר עליו כאן, אבל בסופו של דבר זה רק תירוץ. הבעיות האמיתיות עם המאגר והדיון האמיתי עליו מתנהל במעגלים שונים לגמרי – למשל, אלו של יחסי הכוחות בין המדינה לאזרחיה; והשאלות שנשאלות הן ברובן לא מתמטיות-מדמ"חניקיות אלא פרקטיות בהרבה – למשל, האם המידע שבמאגר יכול לסייע למשטרה. ובכל זאת אני חושב שחשוב לדבר על המאגר בכל מקום אפשרי ולכן אדבר עליו גם כאן, ואנסה לעשות זאת בצורה הכי "מתמטית" שאני יכול – לשאול שאלות קונקרטיות, לענות לעצמי תשובות קונקרטיות ולנסות לדבוק כמה שאפשר בגישה הלוגית והמדויקת ולנסות להימנע מאמוציות. אני מזהיר מראש שלא אצליח.

הדיונים על המאגר הביומטרי מתקיימים בכל מקום, אבל הזירה הבולטת ביותר היא ועדות הכנסת; הטריגר לפוסט הזה הוא הדיון העדכני ביותר בנושא שהתקיים ב-2/6 וצפיתי בו בעצמי. למען הגילוי הנאות אציין שנתקפתי חלחלה עמוקה כשראיתי איך הדיון התנהל; זה מסוג הדברים שברור לכולנו שהם גרועים ואיומים ונוראיים, אבל עד שלא רואים את זה בעיניים לא מבינים עד כמה. בהמשך אתן ציטוטים למכביר שינסו להצדיק את החלחלה שלי, אבל צריך להבין מראש שיש כאן שתי רמות של בעייתיות – הרמה הראשונה היא הבעייתיות של קיום מאגר – משהו שיש לו יתרונות וחסרונות ואפשר לדון בו; והרמה השניה היא הבעייתיות של קיום הדיון על המאגר – האופן שבו עניין כבד כמו זה מלובן ואיך ההחלטות יוצאות אל הפועל. על הרמה הראשונה אפשר לדון ואנסה לעשות זאת באופן אובייקטיבי יחסית בפוסט הזה, אבל ברמה השניה המצב קטסטרופלי לחלוטין, ואני לא חושב שבפוסט הזה יישאר הרבה מקום לספק מי האדם שלטעמי אשם בכך יותר מכל אדם אחר במדינה. אבל הבה ונמתין עם זה מעט.

קצת רקע והיסטוריה כלליים למי שלא עקב: נתונים ביומטריים הם נתונים פיזיים שמטרתם לסייע לזיהוי של אדם על פי תכונות גופניות שלו שאינן משתנות – טביעות אצבע, מבנה פנים, רשתית העין וכדומה. המאגר הביומטרי הוא בבסיסו מאגר מידע שאמור להכיל מידע ביומטרי של אזרחי ישראל. החוק הרלוונטי לצורך הקמת המאגר הוא "חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע". הנה סקירה קצרה של ההיסטוריה שלו מויקיפדיה:

ב-27 באוקטובר 2008 הגישה הממשלה לכנסת את הצעת חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2008 . הצעת החוק אושרה בקריאה הראשונה, והועברה לוועדת החוקה, חוק ומשפט, אך זו לא הספיקה לדון בה בטרם התפזרה הכנסת ה-17. ח"כ מאיר שטרית, שכשר הפנים קידם את הצעת החוק בכנסת ה-17, הגיש אותה מחדש, בנוסח זהה, כהצעת חוק פרטית בכנסת ה-18 אך על הצעת החוק הממשלתית הוחל דין רציפות, ולאחר שעברה בין מספר ועדות, הוחלט לבסוף כי הוועדה שתדון בה תהיה ועדה משותפת לוועדת המדע והטכנולוגיה ולוועדת הפנים, בראשותו של יושב ראש ועדת המדע, מאיר שטרית. בדצמבר 2009 אושר החוק, ונקבע שהוא ייכנס לתוקף ב-1 בינואר 2010 (או מאוחר יותר, לפי צו של שר הפנים), ובלבד שאושרו תקנות לפי סעיפים אחדים בו. נקבע שעל השר הממונה להגיש תקנות אלה לאישור ועדת הכנסת העוסקת בכך עד 15 באפריל 2010, אולם רק ב-16 במאי 2011 אישרה הממשלה את התקנות, וב-2 ביוני 2011 אושרו התקנות בוועדת המדע של הכנסת.

עד כאן ההיסטוריה. עכשיו נעבור לפורמט שאלות-תשובות, כשהשאלות הן השאלות שאני שואל את עצמי בנוגע למאגר, והתשובות הן מה שהצלחתי להבין בעצמי (ולכן, קחו בחשבון, הן עשויות להיות שגויות לחלוטין).

מה הבעיה שהמאגר בא לפתור?

כל הציטוטים שאני לא אומר עליהם משהו אחר לקוחים מהדיון הזה מה-30 ליוני 2009, שהתחיל פחות או יותר את סדרת הדיונים הרציניים על החוק.

מאיר שטרית: אני רוצה לפתוח את הדיון ולומר שהחוק הזה בא להתמודד עם אחת הסוגיות הבעייתיות ביותר במדינת ישראל. אני יכול להגדיר את המצב הנוכחי כשערורייה שאין גדול ממנה, במדינה שנמצאת במצב ביטחוני כפי שאנחנו נמצאים בו. התעודות הישראליות, דהיינו, דרכונים ותעודות זהות, הם לצערי ברמה הנמוכה ביותר בעולם מבחינת היכולת לזייף אותם… 

זו המטרה המוצהרת של הצעת החוק: למנוע זיוף תעודות זהות. כבר בנקודה הזו יש בלבול שמתייחסים אליו באותו דיון:

יורם אורן: כולם הניחו שהמצב הפרקטי שקורה במציאות הוא שעל אותו מספר תעודת זהות האדם מקבל כמה תעודות. זה מאוד קל למנוע. בזה אני מסכים עם כל מה שנאמר, אבל זאת לא הבעיה האמיתית. הבעיה הפרקטית האמיתית היא שלאותו אדם יש כמה מספרי תעודות זהות. 

יורם אורן הוא היועץ הטכנולוגי למשרד הפנים. עוד נחזור אליו בהמשך – פחות או יותר כל הדברים העניינים שנאמרים על המאגר לחיוב, נאמרים מפיו.

אם כן, המטרה היא למנוע זיוף תעודת זהות של אדם אחר; בין אם אותו אדם קיים במציאות או שאינו קיים במציאות. יורם אורן מרחיב על ההשלכות הבעייתיות של דבר שכזה:

יורם אורן: בהרבה מאוד מובנים העולם כבר רץ קדימה, הסוסים האלה כבר מזמן לא באורווה. אנחנו צריכים לעלות על העגלה הזאת בזהירות ונכון תוך הפעלת באיזונים הנכונים. אנחנו לא יכולים להתעלם ממה שקורה בעולם. יש לזה עוד הרבה משמעויות שלא כל-כך ברורות מהסתכלות ראשונית. למשל, היחס לתיעוד לאומי ישראלי בעולם. לא נעים להגיד, אנחנו היום נמצאים בתחתית הערימה. יש כאן קרוב ל-‎200 אלף דרכונים שנגנבו או אבדו וכל מיני מצבים כאלה.

נראה לי שיש קונצנזוס על כך שמדובר על מטרה חיובית וחשובה. אבל זו לא המטרה היחידה של המאגר. מטרה נוספת דה-פקטו היא לסייע לכוחות הביטחון. הנה מה שאומר מייק בלאס, משנה ליועץ המשפטי לממשלה:

מייק בלאס: כשהכנו את החקיקה אז באו משטרת ישראל ורשויות הביטחון והציגו את הצרכים שלהם ממאגר ביומטרי. בסופו של דבר, לאחר ששקלנו את הדברים, הגענו למסקנה שאפשר לייצר איזונים מורכבים כדי לאפשר למשטרה לעשות שימוש במאגר לצרכים שמפורטים בהצעת החוק. למשל, צרכי זיהוי של אנשים שאין בידם מסמכי זיהוי. אחת הדוגמאות שהובאו היו אנשים חולי אלצהיימר שנמצאים באיזה מקום, הם לא יודעים לספר מי הם אבל יש אפשרות להגיע בזמן קצר לזהות שלהם, לחסוך למשפחה ואולי להם את המצב הלא טוב שהם נמצאים בו.

ועוד שימוש אפשרי שמוזכר הוא זיהוי גופות:

מאיר שטרית: נניח שהמשטרה מצאה גופה בלתי מזוהה. במידה ואין עליה תעודה מזהה יפנו אם טביעת האצבע של האיש כדי לדעת מי זה. 

מה היקף הבעיה הזו? ובכן:

מאיר שטרית: אגיד לך משהו שיזעזע אותך. במכון לרפואה משפטית יש דגימות של כ-‎250 או ‎400 איש שמתו בלתי מזוהים. יש דגימות שלהם ואף אחד לא יודע מי הם. 

אם כן, אלו שני השימושים שעליהם מדובר כאן. הדיון מתפצל לשתיים כאן – בכל הנוגע לזיופי תעודות, השאלה היא בעיקר האם מאגר ביומטרי הוא נחוץ לצורך מניעת זיוף; בנוגע לשימוש של המאגר בידי כוחות הביטחון השאלה היא האם השימושים הנקודתיים שתוארו יהיו סוף הסיפור, ומה יהיה היקף הגישה של המשטרה למאגר.

לשטרית יש תשובה – לטענתו מהדיון כאן מה-7 ביולי 2009 – שבוע אחרי הדיון המרכזי שאני מצטט רוב הזמן:

מאיר שטרית: הדבר המרכזי שהמשטרה תשתמש במאגר הוא כאשר נתקלים בגופה בלתי מזוהה ואין אפשרות לזהות אותה, אין לה תיעוד ואין לה כלום, ואז הם רשאים לפנות למאגר ולבקש זיהוי. 

אוקיי. הבה ונזכור זאת להמשך.

אילו פתרונות יש לעניין זיוף התעודות?

באופן גס אפשר לדבר על ארבע רמות שונות של אבטחת מידע. ברמה הנמוכה ביותר ישנו המצב הקיים כיום, שבו תעודות הזהות והדרכונים הם פשוט חתיכות נייר עם תמונה מודבקת עליהם ואי-אילו אמצעי אימות פיזיים – הדרכון שלי כולל חותמות שונות ומשונות של המדינה. צאו מנקודת ההנחה שכל ההגנות הללו הן בדיחה עצובה וזיוף דרכונים הוא טריוויאלי.

ברמה הבאה עוברים לתעודה אלקטרונית. בתעודה כזו המידע שמור על שבב כלשהו בתוך התעודה (כמובן שגם אפשר לצייר עליה תמונה יפה ולכתוב פרטים כדומה). המידע הזה שמור בתעודה באופן מאובטח – מאובטח פירושו גם שאין דרך להפיק את המידע מהתעודה ללא קורא שמיועד לכך, אבל חשוב מכך – שהמידע חתום באופן כזה שהסיכוי לזייף את החתימה הוא אפסי. וכשאני אומר אפסי, אני מתכוון ל"הסיכוי שתזכו בלוטו ברצף במשך מיליארד השנים הקרובות עם אותו מספר בכל פעם הוא גדול בסדרי גודל בל יתוארו מהסיכוי שמישהו יצליח לזייף את החתימה". כמובן, זה לא מתייחס לסיטואציה שבה מישהו מצליח לשים את ידו על ה"חותמת" עצמה – ברגע שהחותמת דולפת, טריוויאלי לזייף תעודות; מצד שני, ברגע שיתגלה שהחותמת נגנבה אפשר לבטל אותה ולהפוך את כל מה שנחתם על ידה לחסר ערך. כלומר, הנזק מפריצה הוא הפיך. לי אין ספק שתעודות אלקטרוניות הן קפיצת מדרגה ביחס למצב כיום.

זכות הדיבור לאלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון, שתחום התמחותו הוא קריפטוגרפיה:

אלי ביהם: מערכת הכרטיס החכם, כלומר, השבב שנמצא בתעודה, מונע זיופים. אי-אפשר לשכפל אותו, אי-אפשר להעתיק אותו. החומרה הזאת, אם קונים אותה במקומות הנכונים שיודעים לעשות אותה כמו שצריך, מאפשרת לנו טכנולוגית לעשות מערכת שלא ניתן לשכפל אותה ואי-אפשר להעתיק את הנתונים שבה כי פשוט אי-אפשר לדעת מה כתוב בפנים. כדי לדעת מה כתוב בפנים צריך להשקיע וצריך ציודים של מיליוני דולרים. אני מניח שאולי לאינטל יש ציוד שמאפשר את זה אבל לא הרבה חברות מסוגלות להבין מה קורה בפנים וזאת בגלל הטכנולוגיה של החומרה. 

הנתונים שמורים בתוך שבב שהוא כמו מחשב והוא לא משדר החוצה, וזאת בניגוד לכרטיס מגנטי רגיל, שבו יש פס מגנטי שהתוכן שלו מועבר החוצה ואני יכול לכתוב עליו מה שאני רוצה. לכן אין לי בעיה לקרוא אותו ולכתוב אותו על אחד אחר. בשבב התוכן, הסודות והמפתחות הקריפטוגרפים הם ייחודיים בפנים ולעולם המחשב הזה לא מוציא אותם החוצה. לכן אי-אפשר להעתיק אותו, אלא אם כן מישהו תכנן אותו לא טוב. החברות שמובילות בתחום משקיעות המוני מיליוני דולרים בלהגן כנגד כל הבעיות שפעם היו מאפשרות טכנולוגית, בכל זאת לתקוף כרטיסים כאלה.

אנשים ברחוב נוה שאנן בתל אביב או בכל מקום אחר לא יוכלו לייצר זיופים של הדבר הזה כי הם לא יידעו איך עושים את זה בכלל. הם לא ידעו את המפתחות שצריכים להכניס בפנים ולא ידעו דברים אחרים שצריך. בוודאי לא תהיה להם את הטכנולוגיה לייצר את זה לכן אין לנו פה בעיה של כמה תעודות חוקיות של אותו בן אדם כי רק משרד הפנים יוכל לייצר תעודות. הוא יוכל לבטל תעודות ישנות שאבדו או בוטלו או כל דבר דומה.

זו נקודה מהותית וקריטית בדיון על המאגר הביומטרי. אין צורך לא במאגר, ולא בביומטריה, כדי למנוע את הסיטואציה שבה הזייפן מהרחוב יוצר דרכון יש מאין, או אפילו לוקח דרכון קיים וחוקי ומשנה בו פרטים. אין אפשרות לשנות פרטים בלי החותמת.

יורם אורן העיר ש"הבעיה הפרקטית האמיתית היא שלאותו אדם יש כמה מספרי תעודות זהות". האם יש פתרון לזה?

אלי ביהם: 

יש עוד מרכיב, והוא: שכשאתה לא יכול להעתיק את זה אבל אם אתה רוצה לייצר לאדם תעודה חדשה אתה יכול לבטל את הישנה. זאת אומרת, בפעם הבאה שמישהו ישתמש בתעודה הזאת, הוא יפנה למשרד הפנים ומשרד הפנים יגיד שזאת תעודה ישנה, יצאה תעודה חדשה ולכן התעודה הזאת מבוטלת. באותו הרגע היא באמת תבוטל. היא לא רק תבוטל בתקשורת אלא אפשר לבטל אותה פנימית והיא פשוט תפסיק לעבוד. אפילו אם לא נעשה את זה, עדיין משרד הפנים יידע לא להתייחס אליה ויידע שהיא ישנה.

תחשוב באופן השוואתי על כרטיסי אשראי. ברגע שאבד לך כרטיס אשראי, חברת האשראי יודעת לבטל כרטיסים ואין עם זה בעיה. אין בעיה של ייצור כפול שלאדם אחד יהיו שני כרטיסי אשראי כי פשוט ביטלו את כרטיסי האשראי. הטכנולוגיה הזאת מאפשרת שיהיה רק אחד ואין שום בעיה אחר-כך גם לבטל את הישנים. אם במקרה מישהו אמר שהוא איבד אותו, הוא פשוט יבוטל ואי-אפשר יהיה להשתמש בו.

גם אם אדם יצליח, למרות הבדיקות הטובות שמשרד הפנים עושה, אני בטוח שיש להם את הטלפון שלי והם ירימו אלי טלפון וישאלו אם זה אני ואז לא יתנו לו תעודה. מן הסתם יש להם דרכים יותר מתוחכמות מזה. אבל אם הם יעשו וכן יתנו לו, באותו רגע התעודה שלי תבוטל ואני אבוא למשרד הפנים ואומר להם שהתעודה שלי הפסיקה לעבוד. לכן, גילוי של בעיות יתגלה.

כלומר, עוד לפני שדיברנו בכלל על ביומטריקה, אנחנו רואים שאפשר להגן מפני מצב שיש שני עותקים של אותה תעודה בשימוש אצל שני אנשים שונים. עד כמה שאני מצליח להבין, זה מתייחס חלקית למה שיורם אורן אמר, אם יוצאים מנקודת הנחה שהתעודה אכן בשימוש אצל בעליה החוקיים והוא ישים לב לכך שהיא הפסיקה לעבוד. כמובן, כמו עם כרטיסי אשראי גם כאן יש אמצעי זהירות שאינם קשורים לביומטריה שניתן לטפל בהם – אם מנהלים מעקב אחרי השימוש בתעודה ורואים דפוס התנהגות חריג אפשר להרים טלפון לבעל התעודה ולשאול אותו מה קורה.

כל זה מחדד את העובדה שלב הבעייתיות הוא בתהליך הנפקת התעודה עצמו. הסכנה היא שבוב יבוא אל משרד הפנים, יגיד "אני אליס", ומשרד הפנים יהנהנו בראש ויוציאו לו תעודה אלקטרונית חוקית לחלוטין שמכריזה על בוב בתור אליס. נחזור אל זה עוד מעט.

הרמה הבאה של אבטחת המידע היא הרמה של תעודה שכוללת בתוכה פרטים ביומטריים, מבלי שהפרטים הללו נשמרים בשום מקום מחוץ לתעודה. גם כיום התעודות שלנו כוללות פריט זיהוי ביומטרי – התמונה שלנו. כאשר אנשים מבקשים לוודא שהתעודה שלנו היא אכן שלנו הם משווים את התמונה שבתעודה לבין המראה הנוכחי שלנו. זהו זיהוי ביומטרי לכל דבר, אם כי פרימיטיבי ולא אמין במיוחד. תעודה דיגיטלית יכולה להכיל פרטים מחוכמים יותר מאשר תמונה ברזולוציה לא משהו – למשל, טביעות אצבע, או תיאור מדוייק יותר של תווי הפנים שניתן להשוואה עם תמונה עדכנית שלנו באמצעות אלגוריתמים של זיהוי תמונה; ועוד ועוד. כמקודם, המידע הזה יכול להישמר בכרטיס באופן מאובטח, אם כי לפחות בכל הנוגע לטביעות אצבעות זה קצת מטופש – אם יש למישהו כרטיס שנגעתם בו, הוא יוכל לשלוף טביעות אצבע שלכם מתוך גוף הכרטיס עצמו, כי הכרטיס מכוסה בטביעות שלכם…

במה פרטים ביומטריים בתוך הכרטיס מסייעים לנו? הם דרך להבטיח שמי שמשתמש בכרטיס הוא גם בעל הכרטיס. האם הם עושים זאת היטב?

אלי ביהם: ביומטריה גם לא עוזרת לזיוף. זיוף טביעות אצבע הוא לא ממש קשה. לכו ל"יוטיוב" ותמצאו את כל הסרטים שמספרים איך לוקחים מדפסת ודבק פלסטי ומייצרים לך איזה טביעת אצבע שאתה רוצה. תמצא גם סרט איך עוברים עם דרכון של שר גרמני במעבר הגבולות בברלין על-ידי כל מיני העתקות טביעות אצבע. כל מה שהאדם עושה זה הוא שם משהו על האצבע שלו וקיבל טביעה חוקית של אדם אחר. מערכות הביומטריה לא מספיק בוגרות כדי להגן על הדברים האלה. 

טביעת אצבע קל לזייף (ראיתי את סרטוני היוטיוב המדוברים. זה לא מדע בדיוני ולא המצאות של סדרות טלוויזיה – הנה דוגמה אחת). את רשתית העין? כנראה שהרבה יותר קשה (אגב, יש בפרוטוקולים דיון שלם על ההבדל בין רשתית העין וקשתית העין וההבדלים ביניהם אבל הוא לא רלוונטי כרגע). אין ספק בכל מקרה שהוספת שכבת זיהוי ביומטרי לכרטיס מקשה על שימוש בו על ידי מישהו שהתעודה אינה שלו. אני אישית לא רואה שום בעיה עם הוספת מידע ביומטרי לתעודות.

הרמה הבאה של אבטחת המידע, שעליה נסוב כל הויכוח, היא הוספת מאגר ביומטרי. למעשה, המאגר יכול להתקיים גם ללא שום קשר לתעודות זהות חכמות או שכוללות נתונים ביומטריים. מאגר ביומטרי, כפי שאמרתי בהתחלה, הוא פשוט מסד נתונים שבו שמור מידע ביומטרי של אנשים. איזה מידע נוסף שמור במאגר ואיך – זה כבר נתון לדיונים, ונגיע אל זה בהמשך. בינתיים, נשאלת השאלה – האם יש נסיון לקשור את המאגר הביומטרי יחד עם תעודות הזהות החכמות כאילו מדובר על עסקת חבילה או אפילו אותו הדבר? אני חושב שבציבור נוצר הרושם המוטעה כאילו מדובר על אותו הדבר, ולכן אני רוצה לסכם באמירה חד משמעית – תעודות זהות ביומטריות ומאגר ביומטרי הם שני דברים בלתי קשורים לחלוטין.

במה המאגר עדיף על האלטרנטיבות?

אם כן, ניתן לחלק את הטיעונים בעד הצורך לקיום המאגר לשניים – כאלו שמדברים על מניעת זיוף התעודות, וכל היתר. על כל היתר לא אדבר כרגע. אלו שמדברים על מניעת זיוף התעודות מדברים חד משמעית על מניעת "הרכשה כפולה" – כלומר, הסכנה שאדם יקבל תעודה ביומטרית חוקית למהדרין שעליה רשום שם שאיננו שמו (אולי במקביל לכך שיש לו תעודת זהות ביומטרית חוקית). ברור שזה מצב מאוד לא רצוי, שהוא במובן מסויים גרוע יותר מהמצב כיום מכיוון שלתעודה ביומטרית יש לכאורה יותר אמינות מתעודה רגילה (אם לא הייתה לה כזו, בשביל מה היה צריך את כל כאב הראש הזה?). אבל, בשלב הזה צריך לדבר על מה שנראה כבעיית ביצה ותרנגולת – העובדה הפשוטה שאם אפשר "לעבוד" על מי שמנפיק תעודות זהות, למה שלא יהיה אפשר לעבוד גם על מי שמכניס אותך למאגר הביומטרי מלכתחילה?

אחדד על ידי הצגת הכיוון ההפוך – כאשר רושמים אנשים למאגר הביומטרי מלכתחילה יהיה הכרחי לנקוט באמצעי זיהוי קפדניים ולא ביומטריים כדי למנוע ממישהו להכניס את פרטיו למאגר תחת שם שאינו שלו. אם מישהו יצליח לעשות את זה, זה יהיה נזק חמור, קשה מאוד לתיקון. אם כן, מדוע לא ניתן להשתמש באותם אמצעי זיהוי שבהם ישתמשו בעת רישום אנשים למאגר, וישתמשו בהם בעת הנפקת תעודת זהות ביומטרית, מבלי להשתמש במאגר? הרי אמצעי הזיהוי הללו אינם משתמשים בעצמם במאגר, שכן הוא עוד לא קיים כשצריך להשתמש בהם…

מהדיון של ה-30 ליוני:

יורם אורן: נתחיל מזה שהצורך במאגר נוצר ברגע שתעודת הזהות שלך והדרכון, כלומר, התיעוד הלאומי שלך, עבר סף מסוים והורחק מחוץ להישג היד של זייפנים. דווקא חיזוק תעודות הזהות הוא זה שגורם לזה שאנחנו צריכים לחשוב ולנהל את הסיכונים שלנו הלאה. 

ניהול הסיכונים הלאה אומר דבר מאוד פשוט: ינסו לתקוף אותנו בחולייה החלשה. אם התיעוד שלנו עכשיו כל כך חזק וכל כך מוגן כנגד זיוף… למעשה החוליה החלשה הופכת להיות מרגע זה ואילך, מהלכי הרישום וההנפקה. אם אני מצליח לקבל תעודת זהות על-ידי שאני מתחזה למישהו אחר במספר תעודת זהות אחר – יש לי עכשיו שתי תעודות זהות, אני יכול לגבות פעמיים תשלומי רווחה. אני יכול לעשות הרבה מאוד דברים. אני יכול לעשות מה שאני רוצה עם תעודה כשרה במאה אחוז, שכולם עכשיו נורא מאמינים לה. היא באמת חזקה, ובאמת המידע חתום דיגיטאלית ובאמת הזייפנים לא יכולים לחכות את החתימה הזאת.

היו פה כל מיני אמירות שיש אלטרנטיבות אחרות. איך אנחנו נותנים מענה לאותם סיכונים שאנחנו רואים ושלטעמנו המענה להם הוא במאגר? אנחנו במצב יחסית טוב כי אנחנו עולים על העגלה של שיפור התיעוד הלאומי יחסית מאוחר. יש לזה הרבה מאוד יתרונות. היתרונות הם שאנחנו יכולים ללמוד לקחים ממקומות אחרים. יש לקחים דיי מובהקים. אחד הלקחים המעניינים הוא מה היכולת באמת לעשות אימות ראשוני של הזהות של האדם כשכל מה שיש לפניך זה אוסף של נתונים כמו שיש לנו היום. היו לזה כמה משמעויות. אל"ף, משך הזמן הארוך.

אני אתחיל בדברים הפשוטים, במשמעויות של ארגון ושיטות של ניהול. מדובר בתהליך ארוך. דקה שאזרח יבלה בלשכות משרד הפנים מצטברות בשנה ל-‎7 שנות אדם… זה תהליך שלוקח, בין ‎6 ל-10 דקות. יש מדינות שהגיעו למסקנה שהתהליך כל-כך לא פרקטי שאם הן רוצות לעשות אותו הם עושות זאת בוידאו-קונפרנס מול מומחים שיושבים במקום מרוחק כי זה מחוץ לכבולת וליכולת של הפקיד לעשות במעמד קבלת הקהל.

בפעם הראשונה זה המקרה הקל. הבעיה היא הפעמים הבאות. הבעיה היא הפעם הבאה שהוא יבוא ואולי ינסה להתחזות למישהו אחר.

העלויות הן מטורפות. יש את הנתונים ואפשר להעביר אותן למי שרוצה.

הדיוק של הראיון האישי הוא מפוקפק והחדירה לפרטיות היא הרבה מאוד יותר קשה. מה לעשות, אנשים שוכחים אפילו פרטים טריוויאליים במצבים האלה. זה אחד הלקחים שקרו במדינות אחרות. אני יכול להפנות למקומות שבאמת אפשר יהיה לקרוא את זה. זה סך הכול חומר פומבי. אנשים טועים. כשאתה טועה זה תרחיש דרדור. זה תרחיש שאתה צריך לתת לו מענה. המענה הוא להמשיך ולשאול עוד שאלות לעוד כל מיני כיוונים. זה תהליך פשוט שהופך לא פרקטי והופך להיות יותר פולשני ומסתמך על הרבה יותר נתונים מאשר התהליך הזה שמתבצע ברקע. אגב, נשמח להציג את הארכיטקטורה ואת התפיסה ועוד יותר נשמח לשמוע רעיונות ולשמוע ביקורת. אנחנו כאן בשביל לעשות את זה.

זהו אולי הטיעון הטוב ביותר בזכות המאגר שיצא לי לקרוא. כדאי להצביע על יתרון מהותי אחד שיש למאגר על פני המצב שבו אין מאגר – למאגר קשה מאוד להיכנס פעמיים. אתה יכול אולי להיכנס אליו בזהות בדויה, אבל אין לך דרך להיכנס אליו פעמיים אלא אם עשית משהו מחוכם למדי שאני לא מצליח לחשוב עליו. אם מישהו שכבר נמצא במאגר יבוא וינסה להזדהות בשם אחר פשוט יקחו ממנו טביעת אצבע, יראו שהיא מופיעה במאגר, ישוו לשם של האיש שאליו שייכת טביעת האצבע, יראו שזה לא אותו שם ויתנו לזייפן החובבן שלנו בעיטה שתעיף אותו מכל המדרגות. זהו היתרון. כעת אתם צריכים לשאול את עצמכם האם זה שווה את זה.

מה הסיכון שהמאגר ידלוף?

כל שאלה שעוסקת באבטחת מידע חייבת להתחיל עם הקומיקס הבא:


זה לב העניין. צריך להבין שמבחינה טכנולוגית בימינו, למצפינים יש יתרון אדיר על פורצי הצפנים. המחשבים שינו לחלוטין את חוקי המשחק, והפכו פריצת צפנים מאובטחים באופן ישיר למשהו קשה ביותר, על גבול הבלתי אפשרי לחלוטין. אבל כל מערכות ההצפנה וההגנות המחוכמות שביקום לא יועילו לנו אם מישהו בחר ססמא טריוויאלית שאפשר לנחש. האויב הגדול ביותר של בונה מערכות ההצפנה הוא לא האקר מחוכם שהוא גם גאון מחשבים וגם גאון בתורת המספרים וגם ג'יימס בונד; האויב הגדול ביותר הוא משתמש הקצה המפגר. משאנחנו זוכרים את זה, בואו נאפסן את משתמש הקצה המפגר בארון ונחשוב על בעיות אחרות.

אם כן, האם המאגר יהיה מאובטח מפני פריצה של האקר מחוכם שהוא גם גאון מחשבים וגם גאון בתורת המספרים וגם ג'יימס בונד? מהדיון של ה-7 ביולי, 2009:

יורם אורן: הוא לא מחובר לשום רשת. יש אליו ערוץ כניסה חד-כיווני שאנחנו נוכל לתאר את פרטיו בפורום מצומצם. יש ממנו ערוץ יציאה טלפוני בלבד. המאגר הזה יודע להחזיר אחת משלוש תשובות אפשריות, ושוב, נוכל לפרט את זה. אין במאגר פרטים מזהים והמאגר הוא אנונימי לחלוטין. מפעילי המאגר לא יכולים למשל להצמיד טביעת אצבע למספר זהות וגם לא לשם. יש שם עוד כמה הגנות שלא ראוי לפרט אותן כאן. 

אנחנו חושבים – ואנחנו מוכנים לעמוד מאחורי מה שאנחנו אומרים – שעשינו מהלכים מאוד מרחיקי לכת, לדעתי גם די חסרי תקדים והלוואי והרבה מאגרי מידע אחרים היו מוגנים ברמות האלה. עשינו מהלכים די מרחיקי לכת לגרום לזה שהנזק הפוטנציאלי מהמאגר הזה יהיה נמוך מאוד מאוד, כך שאנחנו באותו מבחן של מידתיות, של כמה אנחנו מרוויחים מקיום המאגר מול הנזק הפוטנציאלי, אנחנו עומדים במבחן הזה בצורה יפה.

יש שם שימוש כבד ומאוד מרחיק לכת בקריפטוגרפיה, בצופן. שוב, פרטים אנחנו מוכנים להראות לפורום מצומצם.

זה נעשה בתוך רשת סגורה וזה לא נעשה במשהו שהוא נגיש לעולם. תוקף שרוצה לתקוף את המערך הזה צריך נגישות פיזית אליו והוא לא יכול לעשות את זה מרחוק בתקשורת.

אחד הדברים – ושוב, בלי להיכנס לפרטים איך אנחנו בדיוק מממשים את זה, אבל הוא קו מדיניות שאנחנו ניסינו לשמור עליו בעיצוב המאגר הזה – הוא להיות מאוד מאוד צנועים ורזים בדרישות שלנו מהמאגר. זה מאגר שיכול לשמש לצורך מאוד נקודתי ואנחנו מנסים לשלול את היכולת לעשות בו איזשהו שימוש אחר על ידי בנייה שלו בצורה מאוד מאוד מסוימת.

אני חוזר ואומר בפעם המי יודע כמה שאין לנו בעיה להציג את הנתונים האלה, להציג את העיצוב שאנחנו מתכננים, אבל תחת איזה שהם סייגים ובטח לא בפורום מאוד גדול.

לגבי הדאגה מפני דליפת מאגרים. אנחנו בהחלט חושבים שהארכיטקטורה שאנחנו מציעים היא ממזערת את האפשרות הזאת. אני לא אומר שדבר כזה לא יכול לקרות, אבל אם זה יקרה, נזק לא יצא מזה. אני מאוד אשמח להעלות את רמת הפירוט של הדברים, אבל לשם כך צריך לקבוע אולי איזשהו מנגנון טיפה שונה.

הדאגה מפני בריחת מאגר, אני חושב, וגם הסברתי את זה, שהרווח שיצא למישהו שיניח את ידיו על מאגר כזה יהיה מאוד מאוד שולי והוא יוכל להשיג את אותו הדבר בדרכים הרבה יותר פשוטות ובלי להסתכן. אני חושב שכאן הגענו לאיזון שהוא נכון וראוי.

שאלה נוספת שעולה כאשר דנים בנימוקים נגד מאגר היא החשש מפני מי שיממש אותו, מי יבנה בעצם את המאגר והאם זה יתבצע באאוט-סורסינג. האם הקבלן שיעשה את זה לצורך העניין יהיה נגיש למידע. לטעמי הגענו למנגנון שמאפשר לנו לנתק את מהלך ההקמה ממהלך השימוש ולנתק בצורה שהיא ככל שנראה לעין לא עבירה ושוב, נשמח להראות את זה בפורום מתאים.

בשורה התחתונה, יורם אורן אומר כאן "תסמכו עלי, אני יודע". הוא לא יחשוף את הפרטים הטכניים של המאגר שלא בפורום מצומצם. זה כמובן מטריד ברמה כלשהי – אם המאגר באמת מאובטח, איזה נזק יכול להיגרם מחשיפה מלאה של כל המפרט שלו? פיירפוקס הוא דפדפן קוד פתוח, כך שאפשר לראות במדוייק איך מנגנוני ההצפנה של פיירפוקס עובדים – האם זה אומר שפיירפוקס פגיע יותר לפרצות מאשר אקספלורר? לא בהכרח. אם כן, יש כאן שתי שאלות – ראשית, האם אנחנו מאמינים שהמאגר מוגן למרות שהוא חשוף לסכנות אם יסבירו בדיוק לציבור איך הוא ממומש; ושנית, אם אנחנו מוכנים להאמין ליורם אורן כשהוא מבקש מאיתנו להאמין לו שהמאגר מוגן.

לצורך הדיון אני מוכן להניח שיורם אורן צודק והמאגר מוגן. אם אכן אין שום קו תקשורת שנכנס או יוצא מהמחשב שבו מאוחסן המאגר, זה מחסל מייד את הפורץ שהוא האקר מחוכם, ובוודאי שגאון תורת המספרים לא רלוונטי כאן. נשאר ג'יימס בונד, אבל מישהו מכיר ג'יימס בונד שפועל במציאות? אבל יורם אורן לא דיבר על כל סוגי האיומים. הוא לא דיבר על האידיוט שבוחר ססמא גרועה (אתם מאמינים שלא יהיה כזה?) והוא לא דיבר על אנשים שאפשר לשחד (אתם מאמינים שלא יהיו כאלו?) והוא לא דיבר על ענת קם.

מייק בלאס, בדיון של ה-30 ביוני:

מייק בלאס: בנוסף לזה ייקבעו הגבלות מחמירות על מורשי הגישה למאגר כדי לצמצם את מספר המורשים וגם את המידע שהם יהיו חשופים אליו. ייקבעו הגבלות מחמירות על הגישה למאגר ועל השימוש במידע מתוכו. קבענו עבירה חדשה של השגת מידע מהמאגר או שימוש במאגר שלא כדין, שהעונש שלה הוא ‎7 שנות מאסר. המאגר הזה בעל חשיבות גם לרשויות הביטחון לכן הדאגה למנוע כל אפשרות של פריצה, נדמה לי שעומדת בסדר העדיפויות הגבוה ביותר שיכול להיות. 

ענת קם הוציאה מצה"ל אלפי מסמכים בסיווג "סודי" ללא שום קושי, על גבי דיסק. בכך היא ביצעה עבירה שעונשה עשוי להיות עשרות שנות מאסר, אפילו יותר מה-7 שנים שבהן מנפנף מייק בלאס. נעזוב את שאלת המניעים של ענת קם – מה שמעניין הוא שהיא עשתה את זה. מה שמייק, ויורם, ומאיר שטרית צריכים לשכנע אותי בו הוא שלעולם, אף פעם, לא תהיה ענת קם בעלת גישה למאגר הביומטרי. אני אומר חד משמעית כאן – אני לא מאמין להם שלא תהיה. גם אם יש עונש מאסר כבד (אנשים מבצעים פשעים גם אם יש עונשים כבדים בצידם).

אבל יורם אורן הוא חכם וחשב גם על זה – הפתרון שהוא מציע הוא הפרדת כוחות. המאגר יורכב מכמה חלקים. מה-12 ביולי 2009:

יורם אורן: קונספטואלית תחשוב שיש טבלה, זה לא ממומש בטבלה כי על טבלה קשה להגן. תחשוב שיש טבלה, שמול כל מספר זהות שקיים במדינת ישראל יש איזה שהוא מספר שהוא אקראי לגמרי, ואקראי ברמה גבוהה, גם על זה אני יכול להסביר הרבה במה מדובר כשאני אומר אקראי ברמה גבוהה. יש טבלה כזאת באיזה שהוא מקום. כשאתה מחפש במאגר, אתה מחפש לפי המספר האקראי. אחרי זה אתה נדרש לדפדף באותה טבלה וירטואלית ולבוא ולהגיד 'בסדר, מול המספר האקראי הזה, נמצא מספר הזהות הזה'. זה נמצא בשני מקומות שונים, עם הפרדות ביניהם, עם רישום נפרד בכל מקום. 

אם כן, במאגר הביומטרי יהיה את המידע הביומטרי ומצורף אליו איזה מספר מזהה אקראי של אדם – מספר שאינו תעודת הזהות שלו אלא משהו אקראי שהוגרל רק לצורך המאגר. כדי להפיק תועלת מהמזהה האקראי הזה יהיה צורך לגשת איתו אל מאגר אחר, שאינו מכיל נתונים ביומטריים, ולבדוק מה המידע שמצורף למספר האקראי שלך. בקיצור – עד כמה שאני מבין את מה שיורם אורן אומר, המצב דומה לזה שיש במסדי נתונים בדרך כלל, שבו יש לנו שתי טבלאות נתונים שיש ביניהן קשר לוגי באמצעות עמודה משותפת אחת. דה פקטו זה אומר שאם רוצים לפרוץ או להדליף את המאגר צריך בעצם להדליף שני מאגרים, שכל אחד מהם לבדו הוא חסר ערך; ולפרוץ שני מאגרים שנמצאים פיזית במקומות שונים, והעובדים שלהם בלתי קשורים וכדומה – זה הרבה יותר קשה. אנחנו מוגנים מפני ענת קם אחת – צריך שיהיו שתיים שישתפו פעולה איכשהו.

האם אתם מאמינים שלא עשויה להיות ענת קם כפולה? אודה ואתדווה – אני לא מאמין. אני בהחלט יכול להעלות על הדעת סיטואציה שבה שני המאגרים מודלפים. אולי אני שוגה באשליות – אתם תחליטו.

ונניח שרק המאגר עם המידע הביומטרי יודלף, מה אז? מהדיון של ה-7/7:

יורם אורן: אם מישהו רוצה להשיג את המאגר הזה, הוא יקבל בערך את אותו הדבר שהוא יקבל מלקחת טביעת אצבע מקרית מחלון ראווה של כל מרכז מסחרי בארץ. 

וכאן אנחנו עוברים באופן טבעי לשאלה הבאה – מה הנזק שיגרם מדליפה של המאגר; רק צריך לחשוב איזה מהנזקים דורש רק שהמידע שיודלף הוא כל טביעות האצבעות של כל אזרחי המדינה, בלי היכולת לדעת, בהינתן טביעה, לאיזה אזרח ספציפי היא שייכת.

מה יקרה אם המאגר ידלוף?

כאן לטעמי נמצא עקב האכילס של מתנגדי המאגר הביומטרי – הנזקים מדליפה של המאגר לא נראים לי אישית קטסטרופליים כפי שמנסים לצייר אותם (אם כי כפי שנראה בהמשך, הם גם לחלוטין לא זניחים). מצד שני, האם באמת חייבים להצביע על נזק קטסטרופלי? כל מי שעוסק ולו מעט בקריפטוגרפיה יודע כלל בסיסי של החיים – גם אם מידע שדולף נראה לך אישית חסר חשיבות, זה לא אומר שאין מישהו שהוא הרבה יותר חכם ממך ומצליח לעשות במידע הזה שימוש לרעה. קריפטוגרפים הם פרנואידים, ובצדק. דוגמה נאה שאני אוהב לציין בהקשרים הללו היא התחום בקריפטוגרפיה שנקרא Side Channel Attacks – אלו התקפות על מערכות קריפטוגרפיות שמנצלות את המימוש הפיזי של המערכת. בלשון ציורית – אפשר לפרוץ מערכות הצפנה מסויימות פשוט על ידי מעקב אחרי כמות החום שהן פולטות; הרעש שהן משמיעות; הזמן שלוקח להן לבצע חישובים; צריכת החשמל שלהן; וכו' וכו'. בכל המקרים הללו מדובר על מידע שדולף שעשוי להיראות חסר חשיבות ממבט ראשון – מה כבר אפשר לעשות עם החום שמעבד פולט? אבל, אנשים חכמים בהרבה ממני מצליחים לעשות דברים מדהימים איתם. אם כן, זו אולי התשובה המרכזית שצריך לענות לכל מי שאומר "מה כבר יקרה אם המאגר ידלוף"? – אנחנו אולי לא יכולים להצביע על שימושים זדוניים קריטיים עד כדי כך של המאגר, אבל זה לא אומר שלא יהיו כאלו אלא רק שאנחנו לא מתוחכמים מספיק כדי לחשוב עליהם כרגע. הבעייתיות היא בראש ובראשונה בכך שכל המידע הזה עשוי לדלוף.

בכל זאת, הבה וננסה להביא דוגמאות קונקרטיות למה שעשוי לקרות אם המאגר ידלוף.

הנהמאמר שפרסם אלי ביהם בראשית ימי המאגר הביומטרי שבו הוא מונה כמה מסכנותיו.

נזקיה של הביומטריה חמורים. קודם כל ברמת פרטיותו של האזרח. 

לדעתי פחות מאשר טיעון הפרטיות מצביע על נזק קונקרטי שיכול להיגרם לנו מהמאגר, הוא מצביע על תקדים כלשהו ביחסי המדינה-אזרח. אבל לזה אחזור בהמשך.

שימוש בטביעות אצבע נעשה מקובל לאימות כניסה למחשבו הנייד הפרטי של אדם. כך יוכל כל מחזיק בעותק של טביעת האצבע להיכנס למחשב הפרטי של אזרח ולשלוף ממנו מידע או לשנות בו את המידע כרצונו. 

זה כמובן נכון, ואם המאגר יודלף באופן כזה שבו ניתן יהיה לקשר בין אדם ספציפי וטביעת האצבע שלו, כל מנגנון הגנה שמבוסס על טביעת האצבע של האדם יהפוך לחסר ערך; אבל גם בימינו לדעתי המנגנונים הללו חסרי ערך כי קל להשיג טביעת אצבע של אדם קונקרטי אם יש לנו גישה פיזית אליו ולדברים שהוא נוגע (ג'יימס בונד יצליח להשיג טביעת אצבע של מי שרק ירצה).

כל מדינת אויב תרצה עותק של המאגר שיאפשר לה לבדוק האם אדם הנכנס אליה הוא אזרח ישראלי. אם יהיה להם עותק, כל אזרח, עיתונאי או מרגל ישראלי שיגיע למדינת האויב עם דרכון זר – יזוהה מיד כישראלי על פי טביעות אצבעותיו, ולכן מיד ייחשד כמרגל. 

זו אכן בעיה, ובעיה שפיצול המאגרים שיורם אורן דיבר עליה כלל לא מטפלת בה – אין צורך לדעת שמאן-דהו הוא פלוני אלמוני בעזרת טביעת האצבע שלו; מספיק לדעת "הברנש שמולנו כרגע מופיע בתוך המאגר הישראלי" כדי להפוך אותו לחשוד. בינואר 2010 חוסל בדובאי טרוריסט בשם מבחוח. תוך חודש בערך פרסמה משטרת דובאי תמונות של 11 חשודים בביצוע החיסול (מאז מספר החשודים רק עלה ועלה וכרגע אני מנחש שהוא עומד על בסביבות ה-137,000 איש) שכולם הגיעו לדובאי עם דרכונים אירופאיים. כעת, הבה ונניח את ההנחה המופרכת שמבחוח אכן חוסל על ידי ישראלים. נניח גם שאותם ישראלים, בעודם זאטוטים בני 12, היו מוסיפים את טביעות אצבעותיהם למאגר הביומטרי. נניח שהמאגר היה מודלף שנה אחר כך. כמובן שהוא היה מגיע לכל מקום בעולם. כעת, אם אותם 11 הנועזים היו מנסים להיכנס לדובאי, ולא משנה באיזה דרכון, היו יודעים מייד שהם חשודים בקשר לישראל, שכן טביעת אצבעם הייתה מופיעה בעותק הישן שהודלף של המאגר. האם אותם 11 נועזים עדיין היו מסוגלים לבצע את החיסול, או שהם היו מועפים מדובאי חיש קל, או מושמים תחת מעקב, או גרוע מכך? המוסד היה צריך לגייס סוכנים לא ישראליים, או למצוא דרך לשנות את טביעות אצבעותיהם של המצטרפים לשורותיו (סתם להדביק רפידה על האצבע לא יעזור – אני מניח שביקורת הגבולות בדובאי לא תהיה מורכבת ממטומטמים). אני מניח שהבעייתיות ברורה לכם. אפשר לחזור על הסיפור גם עם עיתונאים ישראליים נועזים שמסתננים למדינות אויב עם דרכון זר (ה"נועזים" כאן אינו בלעג; אני מעריך מאוד את אומץ לבם של העיתונאים הללו שלוקחים על עצמם סיכון לא מבוטל באופן הזה) וגם הם לא יוכלו לעשות מאום אם טביעות האצבע שלהם ישוטטו חופשי בעולם.

מאגר זה גם יאפשר לאויב לייצר זיופי טביעות אצבע שישכנעו את ביקורת הגבולות ומשרד הפנים בדבר אזרחותו הישראלית של כל מרגל זר. 

הטיעון הזה נראה לי חלש בהרבה. האם אכן אפשר להשתמש במאגר כדי לזייף טביעות אצבע באופן משכנע? דוד אטיאס, ראש מעבדת השוואת טביעות אצבע במשטרת ישראל, בדיון של ה-30/6/2009:

לגבי מאגר טביעות אצבע. במונחים הפליליים של מאגרי טביעות אצבע, אם אני לוקח רק את תמונות טביעות האצבע וגם את תבניות טביעות האצבע בלבד, ללא כל נתוני זיהוי אחרים, אי-אפשר לעשות איתם כלום. ממש לא ניתן לעשות עם זה כלום. אחרי הוועדה אני מוכן לתת את טביעת האצבע שלי למי שרוצה. ממש לא ניתן לעשות עם זה כלום. 

בנושא של הפללה. כמו שיורם הזכיר, צריכים להיות מעצמת על, שיהיו לו יותר כורים מצ'רנוביל, על מנת שבכלל תשכיל ותוכל לזייף טביעת אצבע על מנת לשתול אותה בזירת העבירה. אני חושב שיהיה יותר קל לפענח את אותו כרטיס ואת אותו שבב מאשר את אותה טביעת אצבע. אני אומר לך את זה בבטחה.

מה יורם הזכיר? ובכן:

יורם אורן: נושא נוסף שעלה כאן בצורה די סוערת, נושא ההפללה. אני חושב שחשוב לזכור – ויושב פה דוד אטיאס ממז"פ ואשמח אם רשות הדיבור תעבור אליו כי הוא יכול להציג את הנושא בצורה הרבה יותר מוסמכת ממני. זה רף טכנולוגי מאוד גבוה לחצות את הסף של מז"פ, בשתילה של טביעת אצבע בזירת עבירה. אני אפילו מטיל ספק אם יש מישהו בעולם שיודע לעשות את זה נכון. לראות את זה בסרטים זה דבר אחד. לעשות את זה במציאות זה דבר אחר לגמרי. 

כאן אני בהחלט מוכן להאמין לדוד אטיאס ויורם אורן – גם אם המאגר הביומטרי נפרץ, כנראה שזה לא יאפשר להשתיל טביעות אצבע של אנשים בזירות פשע. כמובן, אם יבוא אדם מוסמך אחר ויטען שזה אפשרי (או יותר טוב, יוכיח שזה אפשרי על ידי כך שהוא יעשה זאת) אשנה את דעתי…

מה שאפשר לעשות הוא להתגבר על מערכות הגנה ביומטריות "טיפשות". אבל לעבוד על חוקר מז"פ או על אדם שמטרתו לוודא שאתה לא מדביק רפידה כלשהי לאצבע כשאתה נותן את הטביעה שלך – זה נראה לי קצת יותר קשה.

חזרה אל המאמר של אלי ביהם:

גם היכולות שאינן בתחום אבטחת המחשבים חמורות ביותר, כולל יכולת המעקב אחרי אזרחים באמצעות מצלמות אבטחה וזיהוי פנים, וגם על ידי בדיקת טביעות אצבעות במקומות פרטיים או ציבוריים תוך זיהוי למי הן שייכות. 

זהו אספקט אחד של טיעון "האח הגדול". זה ללא ספק הטיעון המרכזי שצריך להפנות כנגד תומכי המאגר, ולכן אקדיש לו שאלה בפני עצמה – השאלה החשובה ביותר שניתן לשאול בכל הנושא הזה, לטעמי. נעזוב את זה לבינתיים.

אני חוזר שוב שבניגוד לסיסמא במחשב, טביעות אצבע הן תכונה קבועה שקשה לשנות, כך שכל החסרונות הללו ורבים אחרים ימשיכו להתקיים כל עוד "דור המדבר" שטביעותיו במאגר ממשיך לחיות. דליפת המאגר תהיה פשוט קטסטרופה – אסון בלתי ניתן לתיקון. 

זו נקודה מהותית. אם המאגר דולף, אז נזקי הדליפה – יהיו אשר יהיו – ימשיכו להתקיים במשך עשרות שנים, מכיוון שטביעות אצבע קשה ביותר להחליף ואין סיכוי שרוב אזרחי המדינה יעשו זאת. אם מחר בבוקר יודלפו כל מספרי כרטיסי האשראי של אזרחי המדינה, זו תהיה מהומה אדירה ופאשלה איומה, אבל הנזקים שלה לא יהיו מהותיים – כל אזרח במדינה יחליף את מספר האשראי שלו, וחסל. זה יהיה נזק שאפשר לתקן חיש קל. לעומת זאת אם כל טביעות האצבע של כל האזרחים במדינה דולפות, זה משהו שלא יהיה ניתן לתקן כלל.

אבל מה עם מה שיורם אורן אמר קודם, על חלון הראווה? ובכן, עם כל הערכתי ליורם אורן, הטיעון הזה נראה לי קלוש ותלוש מאוד. נניח שאני גורם עוין שרוצה טביעות אצבע של כל אזרחי המדינה. איך בדיוק חלון ראווה יעזור לי? מה, אני אבוא אליו כל יום עם ערכה ללקיחת טביעת אצבעות? אשלח אלפי שליחים שיפשטו על חלונות ראווה בכל הארץ? הקשיים הלוגיסטיים כאן מטורפים, וממש לא מובטח לי שאצליח לתפוס את טביעות האצבע של כל האזרחים כך. מי בכלל נוגע בחלונות ראווה? האם יש משטחים כלשהם שבהם כל האזרחים נוגעים, אבל באופן כזה שנגיעות חוזרות ונשנות לא מוחקות את טביעות האצבע של האנשים הקודמים שנגעו באותו משטח (למשל, בכספומט)? זה באמת לא רציני. אני ממש בספק אם איסוף טביעות אצבע המוני יכול להתבצע באופן "פיראטי" שכזה והתוצאה שתושג תהיה באיכות שמתקרבת לאיכות של מאגר שנבנה על ידי המדינה שעברה אזרח אזרח עם ערכה מתאימה ללקיחת טביעות אצבע. אשמח אם יתקנו אותי אם אני טועה.

בקשר לאח הגדול…

זהו, למעשה, החלק החשוב ביותר בפוסט. אין מנוס מלהגיד משהו על חוסר היכולת שלנו, כאזרחים, לסמוך על הממשלה שלנו, ועל חברי הכנסת שלנו, ועל רשויות אכיפת החוק שלנו, ועל כל אותם אנשים שאומרים לנו ש"יהיה בסדר", וזאת למצער לאור ההתנהלות שלהם במהלך הקמת המאגר. אבל החלק הזה יחכה לפוסט נפרד; הן בגלל שהוא ראוי לפוסט נפרד, והן בגלל שפרוקוטול הועידה האחרונה – זו שכל כך הקציפה אותי עד שכתבתי את הפוסט הזה – טרם פורסם (ואני מאוד מקווה שהוא יפורסם!)

47 תגובות בנושא “אז מה הקטע עם המאגר הביומטרי?”

  1. לגבי אבטחת המאגר נראה לי שהדוגמא שלי קם פחות טובה. מסמכים או מידע ממחשב ספציפי קל יחסית להדליף אבל ההשוואה הנכונה היא למאגר דומה שקיים היום בצה"ל. יש מאגר כזה שמבוסס על דנ"א עד כמה שאני מבין (לוקחים ממך דגימת דם בגיוס) וגם על השיניים (ואולי גם טביעת אצבעות). המאגר הזה קיים כבר עשרות שנים והוא לא דלף החוצה.

  2. המאגר הצה"לי (שאיני יודע אם כולל DNA) אינו ממוחשב, למיטב ידיעתי (ומאגר ביומטרי צריך להיות ממוחשב כדי למלא את הפונקציונליות שנזקקים לה ממנו).

    בנוסף, העובדה שמאגר ספציפי טרם דלף החוצה מזכירה לי קצת את הבדיחה על הגנב שאומרים לו שאפשר להביא עשרה אנשים שראו אותו גונב, והוא עונה שהוא יכול להביא עשרה אנשים שלא ראו כלום.

  3. תודה רבה על הפוסט.
    כמו שאר הדברים בבלוג, גם את הפוסט מאוד מעניין וכתוב היטב.
    גם אני עוקב ומצטמרר אחר ההתנהלות סביב הנושא הזה.
    אפילו התכתבתי קצת עם השר (או כנראה עוזרפרלמנטרי מטעמו ..) והתשובות שקבלתי לשאלות המאוד ישירות ופשוטות לא ניתנות לתאור אחר פרט לא רלוונטיות עד מביכות כולל משפט המחץ המפורסם :
    "אם היינו מדרגים מאגרים לפי דרגת האבטחה שלהם מ-1 עד 10 המאגר הזה היה מקבל את הדרגה 11"

    אגב עוד מישהו שעוקב וכותב על הנושא, למי שמתעניין הוא יהונתן קלינגר http://www.2jk.org/praxis/?s=%D7%91%D7%99%D7%95%D7%9E%D7%98%D7%A8%D7%99

    מצפה מאוד לקרא את פוסט ההמשיך.
    תודה רבה !
    שי

  4. פוסט חשוב.

    אני חשוב שהשורה התחתונה היא שאפילו אם המאגר ידלוף באופן כזה או אחר, הנזק שיגרם הוא (לטעמי) לא מהותי או כזה שאמור למנוע את הקמת המאגר, כמובן בהנחה שהתועלת מהמאגר גבוהה מספיק.
    בתור אזרחים מן השורה אני חושב שזה לא מעניינינו לדאוג לדרכי חדירתם של סוכנים ומרגלים לחו"ל, בטוחני כי מי שצריך לטפל בנושא הזה מטפל בו בכובד ראש.

    מחזק את מה שנאמר לגבי המאגר הצה"לי, וכידוע בצה"ל מי שמופקדים על מידע כזה או אחר הם לפעמים ילדים בני 18, ובכל זאת המאגר עדיין מוגן (ואם מדובר במאגר לא ממוחשב אלא ידני – על אחת כמה וכמה שניתן להדליף חלקים ממנו, וגם זה לא קרה).

    אגב, אפשר להסתכל בתור דוגמה על נושא החתימות הדיגיטליות בארץ. יש איזה מסמך של משרד המשפטים שמגדיר דרישות מבחינת הגנה – הן ברמה הטכנית והן ברמה הפיזית – על מאגרי המידע וכל ציוד המחשוב הקשר להנפקת חתימות דיגיטליות, כיום יש בארץ רק חברה אחת (קומסיין) שמחזיקה בכל האישורים הנדרשים על-מנת להפעיל מאגר כזה. המשמעויות של דליפת מאגר כזה הן עצומות מבחינה בטחונית (בין היתר מספק אימות למאגרים ממשלתיים מסויימים) ובעיקר כלכלית, ובכל זאת זה קיים ועובד.

  5. זה שוב עניין הגנב והעדים. מהעבר השני אפשר להביא את מרשם האוכלוסין שהודלף גם הודלף, ולהזכיר איך ענת קם הצליחה להוציא מצה"ל בקלי קלות אלפי מסמכים מסווגים, וכדומה.

    גם גישת ה"אל תדברו על ענייני ביטחון, יש מי שמתעסקים בזה והם מבינים מספיק טוב" היא לא משכנעת לחלוטין – קשה, קשה לאזרח בישראל לסמוך עד הסוף בעיניים עצומות על שירותי הביטחון. ואולי הוא גם לא צריך.

    וכמובן, הנקודה המרכזית בדבריך היא "התועלת מהמאגר גבוהה מספיק". אני חושב שלא מספיק ברור מה התועלת מהמאגר. ציינתי בפוסט את מה שנראה לי בתור התועלת ה"רשמית" הגדולה ביותר, אבל עם כל השכנועים שכבר נאמרו בדבר ממש לא השתכנעתי שזה קריטי מספיק כדי להצריך בניית מאגר. התועלת האמיתית שעומדת לנגד עיני התומכים במאגר היא (לדעתי) אחרת ואנסה להתייחס לכך בפוסט ההמשך.

  6. עמרי:

    1. קצת פרופורציות, בבקשה.

    2. אותי זה הצחיק. אנשים בסביבתי אומרים דברים כמו "ציודים" בלעג לעגה הצהלית. במקרה של ביהם, או שזה הומור מודע לעצמו, או שזה הומור שלא מודע לעצמו.

  7. פוסט ארוך! כנראה היית מאוד מרוגז…
    לא עקבתי יד הסוף. חשבתי שתהיה לך תובנה מתמטית מדהימה כשתדבק על קריפטוגרפיה )סתאאאאאם( אבל בבלוג מתמטי? מפתיע!

  8. מצטרף למברכים על הפוסט. כן יירבו. הייתי שמח לשמוע על נושאים אקטואלים יותר מאנשים בעלי סטנדרטים אינטלקטואלים רציניים ופחות מאלו שלרוב עוסקים בהם.

  9. פוסט מעולה- הוא מוכיח שאפשר לדבר על נושאים פוליטיים או אקטואליים בצורה לוגית ובלי התלהמות.

  10. בנוגע למאגר הצה"לי:
    1. הוא אינו ממוחשב. (למיטב ידיעתי).
    2. מטרתו היחידה היא לזהות חללים, לכן [א] האינדוקס שלו הוא משם לטביעות אצבע וצילום לסת (ולא הפוך), [ב] לאף אחד אסור להשתמש בו למטרה אחרת – ואכן, בדברי ימי המדינה השתמשו בו למטרות אחרת מספר חד ספרתי של פעמים (אני לא זוכר אם 5 או 6, ומי מהמעורבים במאבק נגד החוק האדיוטי הזה בדק את זה – אני מקוה שאני זוכר נכון), ולבסוף [ג] כיון שהשימוש כל כך מועט, יש מעט (מאוד) אנשים עם גישה למאגר.

    בנוגע לפריצת המאגר:
    הנושא שיורם אורן אוהב להתעלם ממנו למרות נסיונות חוזרים ונישנים להזכיר לו אותו, הוא שהמאגר לא צריך להיפרץ אלא לזלוג – הכי פשוט לצטט את עצמי (מגיב בבלוג של יונתן קלינגר) מלפני שנה וחצי:

    אבל למה לעבוד כל כך קשה ? טכנולוגיה זה לעצלנים עם שכל:
    יש שוד בנק ואתה אחראי על החקירה: קח ממצלמות האבטחה באיזור את התמונות של כל מי שהיה שם בשלושת הימים האחרונים, ובקש את שמותיהם ותביעות האצבע שלהם מהמאגר. יש לך עכשיו כמה שנים (עד סיום המשפט) לשחק עם מידע בלתי מוצפן (כי אתה משתמש בו על בסיס יומיומי בצורתו הבלתי מוצפנת) על אלפי אנשים. גם אם עדי שמיר "טישטש" אותו זה לא עוזר, יש לך שנים כדי למחוק את הטשטוש באמצעות ז"פ סטנדרטי. בינתיים השגת מידע בימוטרי מלא וגלוי על אלפי אנשים שיושב שלוש שנים בתחנת המשטרה, וזאת רק בגלל פשע אחד. כנראה שעם עוד כמה פשעים במהלך תקופה זו, אנו מדברים על 100 אלף.

    למרבה הצער, מתישהו יואב (היומנאי) שכח את המחשב פתוח על המאגר המקומי כשלאשתו היו צירים עם התאומים (רגע – אתה לא היית שוכח ? אני כן !), ועורך דין של משפחת פשע מקומית בדיוק עבר שם עם דיסק-און-קי.

    שים לב שאף עובד מדינה לא עשה שום דבר לא חוקי. יואב אמנם רשלן, אבל הוא שוטר, לא גיבור-על מהמאגר, ובכל זאת אכלנו אותה.

  11. מה עם מאגר שמסוגל לענות רק על שני סוגי השאילתות הבאים:
    א. האם נתון ביומטרי מסוים (כמו טביעת אצבע) קיים במאגר?
    ב. האם נתון ביומטרי מסוים מתאים לשם מסוים?
    נראה לי שזה עונה על הצרכים – אם מישהו שקיים במאגר מנסה להוציא תעודת זהות (כפולה) אפשר לבדוק אותו בצורה מדוקדקת ולעקוב אחריו, ואם למשטרה יש חשודים שרוצים להתאים אותם לזירת פשע, אפשר לעשות את זה (נניח באישור שופט). מצד שני זה באמת לא מספק יותר מידע מחלונות ראווה – אם מישהו ינסה להוציא מידע בצורה שיטתית זה ידליק נורות אדומות. אני מניח שמבחינה טכנולוגית אפשר לבנות מאגר שבלתי אפשרי (בהסתברות קטנה ככל שנרצה וכו') להוציא ממנו כל סוג מידע אחר, ובפרט כל סוג מידע שהוא לא תשובה בינארית. משהו כזה עלה בדיונים?

  12. רועי, כוונתך למאגר שבו, בהינתן שם, לא יהיה ניתן לחלץ את טביעת האצבע שמתאימה לו? במובן מסויים זה מה ששיטת שמיר ניסתה לעשות, אבל אני לא חושב שאפשר לעשות את זה על מאגר של "אחד לאחד" – לפחות, אני לא מכיר שיטת קידוד מתאימה לכך שתעצור תוקף שהשיג את כל המאגר.

  13. כמובן שמרשם האוכלוסין ומסמכי ענת קם הודלפו, יחד עם מסמכים רבים נוספים שהיו בידי גורמים ממשלתיים ובטחוניים בארץ, אבל אני לא מוצא מקום להשוואה בין הדברים.
    את עניין ענת קם אפסול בקלות – מדובר על מקרה בתוך צה"ל, גוף שבו ילדים בני 18 מופקדים על חומרים בסיווג סודי ביותר וכלי נשק בעלי פוטנציאל הרס מדהים, בחלק מהפעמים אפילו בלי שהם עוברים את הסיווג או ההכשרות הנדרשות, לצערנו. אני רוצה להאמין שדברים מסוג זה לא יקרו עם המאגר הביומטרי.
    מרשם האוכלוסין הוא כבר דוגמה יותר טובה. בנושא הזה אפשר לומר שגם התקדמנו הרבה מאז שדברים מהסוג הזה קרו – גם ברמת המודעות, גם ברמת ההקשחה הטכנית וגם ברמת ההצפנה עצמה. מה גם שלמרשם האוכלוסין הייתה גישה לגורמים רבים, מה שכמובן מעלה את הסיכון להדלפתו. מיותר לציין שמבחינת מידור וסיווג, מרשם האוכלוסין לא היה קרוב אפילו לסטנדרטים שעליהם מדברים בעניין הזה. מוכרחים לציין היא שעם מרשם האוכלוסין הממשלה אכן פישלה בגדול, אבל זה לא מחייב שהדבר יחזור על עצמו.

    לגבי עניין הביטחון – לא אמרתי שצריך לסמוך על שרותי הביטחון בעיניים עצומות, אבל הקושי הטכני של איך להכניס סוכן או מרגל למדינה זרה הוא קושי שהאזרח הפשוט לא צריך לתת עליו את הדעת. אני לא מבין איך הקושי הזה יכול בכלל לשמש כטיעון נגד למאגר מפיו של מישהו שהוא פחות מקצין מבצעים במוסד. אגב, פיתרון אפשרי הוא פשוט לא להוסיף למאגר את האנשים שהוספתם עלולה לגרום לסיכון הזה שהועלה, לפחות עד תום שירותם בתפקיד. אמנם יש פה פרצה מסויימת, אבל בתור פיתרון פשוט אני קונה את זה.

    אמנם, הנקודה המרכזית היא התועלת מהמאגר. כפי שהראית בפוסט המאגר כאמצעי הזדהות הוא מיותר (שכן לצורך הזדהות מספיקים הפרטים על הכרטיס עצמו ללא מאגר מרכזי). באופן אישי אני חושב שתועלתו הגדולה של המאגר, בין אם זה נאמר ע"י המסנגרים ובין אם לא, היא האפשרות להשתמש בו לצורך זיהוי פושעים. כיום יש בידי המשטרה מאגר טביעות אצבע מצומצם מאוד שכולל מי שכבר נעצרו בעבר, ולכן האפשרות לזיהוי פושעים באמצעים ביומטריים היא קלושה מאוד (הגם שהמאגר הצה"לי לא משמש למטרה הזו). מאגר שיכול לסייע בזיהוי פושעים הן ע"י טביעות אצבע והן ע"י אמצעים ביומטריים אחרים, ברמה מוחלטת וחסרת עוררין, הוא כלי חזק מאוד. כמובן שגם בשימוש בו ככלי כזה כרוכים סיכונים מסויימים, יש לי הרגשה שתכתוב עליהם בפוסט הבא.

    1. אלכס, נראה לי שפספסת את הנקודה שכיוונתי אליה בעניין ענת קם – זה לא שילדה בת 18 הוציאה מסמכים מצה"ל (למרות שזה מביך ביותר בפני עצמו) אלא שמישהי הוציאה מסמכים מסווגים למרות עונש כבד שאיים עליה (ועדיין מאיים עליה?) בשל כך (יש עוד דוגמה ידועה, ממקום שהיה אמור להיות סודי ביותר ביותר ביותר – מרדכי וענונו). תומכי המאגר מנסים לטעון שבגלל שיש עונש כבד על הדלפה שלו, לא יהיו הדלפות על ידי גורמים עוינים מבפנים; בגלל ענת קם אני אומר במפורש שאני לא מאמין להם. אני גם לא מאמין לכל מי שמבטיח ש"הפעם זה יהיה יותר מוצלח ממרשם האוכלוסין" – מה לעשות, פשוט אין לי אמון בגורמים הרלוונטיים, בפרט לנוכח ההתנהלות של העברת החוק (וזה עניין לפוסט הבא…). מכיוון שכאן מדובר על נזק היקפי (לכל אזרחי המדינה ) ובלתי הפיך, צריך להיות מאוד מאוד זהירים פה.
      לגבי סוכנים ומרגלים, הפתרון שלך לא עובד בתרחיש שתיארתי – מישהו שמוכנס בגיל 12 למאגר. לך תדע כבר אז שהוא צפוי להיות מוסדניק בעתיד. אני מסכים שבראש ובראשונה צריך לשמוע אם גורמי הביטחון חושבים שהעניינים הללו יהוו בעיה – לא זכור לי שיצא לי לראות התבטאות של מישהו מהם בעניין.
      ולסיום, אם אתה מסכים שכל עניין ההזדהות מיותר ומעוניין במאגר בתור כלי משטרתי, זה כבר סיפור שונה לחלוטין. זו לא המטרה המוצהרת שהייתה למאגר, ואני חושב שרוב אזרחי המדינה חרדים מאוד מכך שהמאגר ישמש בדיוק למטרה המוצהרת שאתה מדבר עליה. כמו כן כדאי להזכיר שבצורה שעליה דובר לפני שנתיים המאגר לא היה אמור להיות מועיל יותר מדי לכוחות הביטחון (אמור היה להכיל רק טביעות אצבעות של שתי אצבעות, לא של הכל) ונציגי המשטרה אמרו במפורש שהם לא מצפים להרבה ממנו בתחום הזה. אמנם, לאור הדיון האחרון כנראה (באופן לא ממש מפתיע) שזה היה שקר גס, אבל בלי הפרוטוקול המדוייק קשה לי לחרוץ דין. נחכה לו.

  14. כל הזמן מדברים על האם המאגר ידלוף או לא ומה גורמים עוינים או פליליים יכולים לעשות איתו אבל אני חושב שחשוב לדבר גם על מה המדינה יכולה לעשות איתו.
    זה משהו שיולי תמיר דיברה עליו באחד הדיונים- הכללים של מה מותר ומה אסור למדינה לעשות עם המאגר עוד לא נקבעו ויצביעו עליהם אחרי שיחליטו לעשות את המאגר ובהצבעה נפרדת לחלוטין. מה שזה אומר זה שהיום בשביל להשיג רוב הם יכולים להגיד שישתמשו בו רק לזיהוי גופות ומחר הם יוכלו בשקט בשקט לקבוע כללים שמאפשרים להם לעשות מה שהם רוצים.
    חוץ מזה את הכללים האלה תמיד אפשר לשנות ברוב מקרי.
    לדעתי אם מחליטים לעשות מאגר חייבים להעביר באותה הצבעה כללי ברזל שמגבילים את המדינה ושצריך רוב מיוחס כדי לשנות אותם.

  15. כאשר מדברים על חסרונות של משהו מסוים אז יש לדבר גם על היתרונות שלו. נכון פריצת מאגר היא אירוע קשה. אך קיום מאגר מאפשר פיענוח טוב יותר של פשעים. (כמעט כל אנס במדינה יתפס) . מניעת זיהוי כפול (כמה אזרחים במדינה מקבלים תקצבים מספר פעמים בזהויות שונות). טיפול רפואי טוב יותר (מציאת תורם למח עצם בצורה מיידית).
    המתנגדים מדברים על החסרונות התומכים על היתרונות ואני לא ראיתי דיון רציני אחד שבודק את כל הגורמים ומנסה לשכלל אותם (לדוגמא עלות כספית של פריצת המאגר לעומת חיסכון כספי של קיום המאגר)

  16. אני לא בטוח שהבנתי את התשובה. אני מתכוון למאגר שברמת החומרה לא מוציא מידע פרט לתשובות בינאריות. בשביל להשיג את המאגר יהיה צריך יכולת לשכפל את החומרה (שזה גם בונד לא יכול, בטח לא בלי שידעו מזה) או להשיג את כל טביעות האצבעות בארץ (שכן אי אפשר לחלץ אותן מהמאגר) ואז לשלוח מספר עצום של שאילתות שמצליב אותן עם מרשם האוכלוסין, ואז אפשר לעלות על זה בשלב מוקדם. מאגר כזה חסום לענת קם או כל שיטה אחרת, כך שלא צריך לדאוג מתוקף שהשיג את כל המאגר. זה אפשרי?

  17. רועי ואחרים, לגבי בטיחות מידע חשוב לזכור את הכלל הבא, שהוא לא הגזמה בשום מובן:
    The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. — Gene Spafford

    במילים אחרות, אם אתם מתכננים להשתמש במאגר, צאו מתוך הנחה שהוא ניתן לפריצה.

  18. "אני חושב שרוב אזרחי המדינה חרדים מאוד מכך שהמאגר ישמש בדיוק למטרה המוצהרת שאתה מדבר עליה" – משיחות עם חברים ומשפחה, רוב אזרחי המדינה רוצים שהמשטרה תשתמש במאגר לפענוח פשעים, לא רואים כל נזק בכך ששוטר ידע מה טביעת האצבע שלהם, וסומכים לחלוטין על הצבא והמשטרה.

    לגבי שני מאגרים (כשאחד מפתח אקראי לראשון) אם שניהם דולפים, כלומר שיחדת שני אנשים בשתי חברות, לא הרווחת כלום.

    הרכשה כפולה ללא מאגר אפשרית ללא התגלות על שמישהו מגלה שהתעודה שלו לא בתוקף. הבעיה היא שרוב האנשים בסביבתי כלל לא משתמשים בתעודה שלהם, אלא מזדהים (אם בכלל) ע"י רשיון נהיגה. בפרט מי שגר בחו"ל.

    "יורם אורן אומר כאן "תסמכו עלי, אני יודע". הוא לא יחשוף את הפרטים הטכניים של המאגר שלא בפורום מצומצם. זה כמובן מטריד ברמה כלשהי – אם המאגר באמת מאובטח, איזה נזק יכול להיגרם מחשיפה מלאה של כל המפרט שלו?" — לא הייתי קורא לזה 'מטריד ברמה כלשהי' אלא 'מטריד ברמה שמעידה על חוסר מקצועיות ו/או חוסר יושר של הדובר', כלומר סיבה טובה לא לסמוך עליו.

  19. מודי:

    1) אשרי מי שמסוגל לסמוך באופן עיוור כל כך על המשטרה בהתחשב ברקורד המטריד שלה של הפללות….
    2) זה בדיוק מה שאמרתי, לא?
    3) מן הסתם אם יעברו לתעודה ביומטרית תעודות ״נחותות יותר״ יפסיקו להיות כלי לגיטימי להזדהות. אחרת לא הרווחנו הרבה.
    4) לא מסכים. אבטחה על ידי הסתרת מידע שכזה היא לגיטימית לכשעצמה; היא פשוט מקשה עלינו לוודא ״בעצמנו״ שיש כאן בטיחות (וחשוב לא פחות – שאין דלת אחורית).

  20. 1. אני אכן לא מבין את זה, אבל עדיין חושב שזה הרוב – תראה למשל כמה הצביעו לנתניהו וסומכים על דובר צה"ל. קל להתעלם מעובדות מפחידות, לומר שזה לא ענייני ולתת למקצוענים לעבוד.

    2. לא כך הבנתי, אבל טוב שהובהר.

    3. אבל מתי אתה אי פעם צריך להזדהות עם תעודה בכלל? ומתי אתה מוציא תעודת זהות ולא רשיון נהיגה (אני תמיד עם רשיון, כי התעודה לא נכנסת לארנק. אני מניח שיש רבים כמוני)

    4. הסתרת מידע היא לגיטימית, אבל היא כל-כך לא יעילה שהסתמכות עליה מעידה על כך שמישהו לא עושה את העבודה שלו. http://xkcd.com/463/

  21. גדי, תודה על הפוסט, הוא מצוין.
    מודי, תדגום קבוצת אנשים אחרת ותקבל תשובה אחרת.
    סידו, בשום מקום לא נאמר כלום כל על שימושים נוספים למאגר, רפואיים או אחרים. זה שיכולים להיות שימושים שכאלה זה נכון, אבל לא מדובר על זה וכמובן שככל שתגדיל את השימושים, צגדיל את החשיפה של המאגר, תגדיל את המידע שידוע על כל אחד ותגדיל את הסיכוי לדליפה.

    האמון העיוור שחלקכם נותן במערכת הוא מרשים כמו שהוא מפחיד. ראינו במידנה מספיק כשלים ומספיק זדון כדי למחוק את האמון הזה, אצלי לפחות.

  22. ראשית, המאגר הצה"לי כיום ממוחשב, כשהתגייסתי נתתי טביעות אצבע ועוד כל מיני נתונים ביומטריים (הרבה יותר מהנדרש) למחשב. אז אלא אם כן הדפיסו את הכל אח"כ ומחקו את הקבצים – זה בוודאות ממוחשב.

    שנית, בנוגע לטיעון "ענת קם". השאילתות של "ת"ז ← ביומטרי" או "ביומטרי ← ת"ז" הן לא נפוצות כלל, לכן, אפשר להגביל את השאילתות למשטרה, ולהגביל את כמות השאילתות ל-500 בשנה (יותר מזה, ידרוש אישור שר הפנים וכו'). כשאני אומר להגביל, אני מתכוון באופן ממוחשב כמובן, כל שאילתה מעבר ל-100 מצריכה העברת טביעת אצבע של שר הפנים וכדו'. קשה לי להאמין שאפשר להדליף 50% מהמאגר בצורה הזו.

    השאילתות מהסוג "ת"ז,ביומטרי ← כןלא", הן לא בעיתיות, והן בעצם השאילתות שלפקידים תהיה גישה אליהם, אבל קשה לי לחשוב על דרך בה אפשר עם מספר מוגבל (נגיד, 100 מליון שאילתות בשנה) של שאילתות כאלו להזליג את המאגר. גם אם יש לך כבר רשימה של כל תעודות הזהות האפשריות, וכל טביעות האצבע של אזרחי ישראל. גם הפקידים לא אמורים להיות מסוגלים לבצע שאילתות עם מידע גולמי.

    שאילתות כאלו יענו רק ע"י מכשיר שלוקח את טביעת האצבע של האדם במקום (המכשיר חתום ומזהה את עצמו מול המאגר, אחרת המאגר לא עונה). קשה לי להאמין שפקיד במשרד הפנים ישתף פעולה עם מומחה חומרה ותוכנה ברמה כזו שיאפשר לו להגיש שאילתות עם מידע גולמי של טביעות אצבע, כשזה בעצם לא כ"כ יעזור לו בסופו של דבר. כך שיהיה די קשה גם בהנתן חפרפרת במשרד הפנים לענות על השאלה "האם טביעות האצבע בזירה שייכות לישראל ישראלי".

    אז אני חושב שאפשר בהחלט להתמודד עם טיעוני "ענת קם". לא הצלחת לשכנע אותי שאי אפשר למנוע את דליפת המאגר. אבל אני מצפה לשמוע טיעונים נוספים (אנא שלח לי דוא"ל, לא מצאתי אפשרות שהמערכת תודיע לי על תגובות)

  23. עניין המאגר הצה"לי אכן מטריד.

    באשר לטיעון "ענת קם" – זו טענה שאינה קשורה לטיעון "ענת קם" (שבא לומר שאי אפשר לסמוך על עונש חמור כאמצעי מגן נגד הדלפת המאגר על ידי עובד בעל גישה ישירה אליו). מה שאני חושש ממנו הוא בדיוק מאותם אנשים שיש להם גישה פיזית אל המחשב שבו העסק מאוחסן (ואיני יודע אילו הגנות פיזיות יהיו עליו, איך מתמודדים עם התקפות Side channel עליו, וכדומה).

    כדאי להעיר שאחד מהקשיים בקיום דיון רציני על המאגר הוא שלמיטב הבנתי, הפרטים הטכניים המלאים של המאגר אינם מפורסמים בשום מקום מטעמי "ביטחון שדה". כך שלא באמת ניתן לדעת האם הוא יהיה מוגן היטב וצריך לסמוך על הבטחות אנשי המקצוע שנשכרו לצורך כך.

  24. אם אני מבין נכון, בכל השימושים החיוביים המוצעים למאגר כמו אימות זהות, מניעת רישום כפול, זיהוי גופה וכו' נדרשת רק היכולת להתאים למידע ביומטרי נתון איזשהו מידע שמזהה את בעליו ולא נדרשת היכולת ההפוכה, בהינתן פרטים מזהים של אדם לקבל את המידע הביומטרי שלו. היכולת ההפוכה מאפשרת רק שימושים שליליים כמו הפללה או מעקב אחרי אזרח נתון (אח גדול) וכו'. אם כך, למה לא לשמור רק פונקציה חד כיוונית על המידע הביומטרי? זה כמובן לא פותר את הבעיות שיווצרו מדליפת המאגר מה שיאפשר לגורמים זרים לבצע אימות זהות של אזרחי ישראל אבל זה לפחות ימנע נזק מיותר מסוג אחר. לפרוטוקול, אני לא תומך ברעיון המאגר הביומטרי כלל אני רק תוהה לגבי הסוגיה הזאת.

  25. @קוטל קנים, רוצים גם אפשרות לזהות גופות אנונימיות לפי נתונים ביומטריים.

    @גדי, בעניין האבטחה הפיסית. זו נראת לי בעיה פתורה. למה אתה לא חושש שרשימת הסוכנים של השב"כ במדינות אויב ידלפו על ידי חפרפרת? למה אתה לא חושש שהמספר שרשום בכספומט כשאתה מכניס את הכרטיס ישונה ע"י חפרפרת? למה אתה לא חושש משיגור טיל גרעיני של ישראל ע"י חפרפרת? הרי תמיד אפשר לשחדלהשתיל מישהושמישהו ישתגע.

    התשובה העקרונית, היא, שמדיניות נכונה של ארגון יכולה למנוע את זה. שילוב של סיווג בטחוני לעובדים, ביזור הגישה הפיסית למאגר (רק שלושה אנשים יחד מורשים להכנס לחדר השרתים, בידוק בטחוני נעשה ע"י שומר לא תלוי לכל מי שנכנס או יוצא מהמכון של המאגר). יש המון מאגרי מידע הרבה יותר רגישים שמצליחים לשמור עליהם פיסית, ואני לא רואה סיבה שכאן זה יהיה שונה. (אני מבין שא"א להחיל מדיניות כזו על כל פקידי משרד הפנים – והפתרון הוא כפי שאמרתי להגביל את הגישה שלהם).

    בקשר לפסקה האחרונה, אני לא מסכים עם העיקרון. סלח לי על השימוש במונח לועזי, אבל מדובר ב
    security by obscurity
    שזו שיטה מוכחת להגברת האבטחה, שמשתמשים בה שנים כמעט בכל מקום. אז אני לא רואה פסול בשימוש בה.

    אני גם לא רואה הכרח בתור אזרח להכיר את נהלי אבטחת המידע. אולי דרישה להעביר את האחריות של אבטחת המידע ממשרד הפנים לשב"כ (נגיד), או לדרוש ביקורת של השב"כ על הנהלים היא מוצדקת, אבל למה הפרטים הטכניים של האבטחה חשובים לדיון ציבורי?

    אם נדבר על נושא שרלוונטי רק למומחים, כמו הצפנה. כאזרח הדיוט הגיוני שאדרוש: "מעוניינים לכתוב שיטת הצפנה? – אנא, בקרו את השיטה ע"י מומחים בלתי תלויים, שיש להם נסיון מוכח בתחום". לא הגיוני שאדרוש "שיטת הצפנה? מינימום 128 סיביות למפתח, זו טעות להסתפק בפחות". הרי אני לא מבין בתחום, אז למה שאתערב?

  26. אלעזר, למה אתה חושב שאני לא חושש מחפרפרת? אני בהחלט חושש מחפרפרות. לכן בכל פעם שבה רוצים להוסיף עוד תחום שבו חפרפרת יכולה להתפרע, אני עוצר ושואל את עצמי האם זה כדאי ומה הסכנות.

    הביטוי security by obscurity מוכר לי, אם כי אני בדרך כלל שומע אותו בקונוטציות לא חיוביות בכלל. כמובן, כל מומחה אבטחה מעשי יגיד לך שעדיף, בנוסף לאבטחה רגילה, גם לקבל שכבת הגנה נוספת של עמימות. אבל אותי כאזרח לא מרגיע לשמוע על איש אבטחה שמשתמש בנימוקים הללו, ובפרט כשהם אכן עשויים להסוות שיטת אבטחה גרועה. זה קרה, למשל, עם צופן ה-GSM הידוע לשמצה שביהם והסטודנטים שלו פרצו.

  27. למה אני אומר שאתה לא חושש מחפרפרת . כשרצו למחשב את מאגרי הבנקים – עלית על הבריקדות? כאן היה לך דבר פשוט לעשות – לוותר על השימוש בבנק. העניין הוא שיש את הבעיה הזו בכל מקום, במקומות הרבה יותר חמורים, ויש כלים להתמודד איתה. אז לומר שדווקא במקרה הזה יש בעיה ובכל אלפי המקרים הגרועים יותר יש בעיה אבל אני מוכן להבליג – נראה מוזר.

    אני אומר לפני שאתה מפגין נגד המאגר הביומטרי – תפגין נגד הנשק האטומי (או הכימי, לא חשוב) שיש לישראל – חפרפרת עלולה להצית איתו מלחמת עולם. למה אתה לא יוצא מגדרך בנוגע לנושא הזה? למה אתה לא מוציא את כספך מהבנק היום, ושומר אותו מתחת לבלאטות? כנראה שאתה חושב שיש אפשרות לפתור את בעית החפרפרת. אם ככה אפשר לפתור אותה כאן.

    שמעתי על צופן ה-GSM (אגב למיטב זכרוני עדי שמיר פרץ אותו, לא?). תמיד יכולות להיות בעיות. שמעת על ספריית ההצפנה אופןסס"ה. שנתיים היא עמדה (בדביאן) כשהיא מייצרת מפתחות פגיעים, ואף אחד לא שם לב. הכל היה שם פתוח, האלגוריתם והמימוש. אז תמיד יכולות להיות בעיות, אבל על רוב הדברים הסודיים במדינה מצליחים איכשהו לשמור.

    טענות כאלו אפשר לטעון נגד כל שינוי (ממחשבים משהו – מה אם יש חפרפרת זה מסוכן, למה מאבטחים את זה כך ולא אחרת) אז לדעתי הן חלשות מאד.

    אני עדיין לא מבין למה כאזרח אתה רוצה לדעת את הפרטים – אתה לא מבין אותם, מה זה יעזור לך? אתה רוצה לדעת את פרטי הטענות שמשיבים עוה"ד לתביעות שמוגשות נגד ישראל, או שאתה פשוט רוצה לדעת שעו"ד מקצועיים עושים את העבודה.

  28. הפוסט הזה לא "עולה על הבריקדות". הוא מנסה להבין האם המאגר הביומטרי טוב או רע, מה היתרונות ומה החסרונות שלו, והאם הוא באמת מוגן כמו שיוצריו טוענים. אני חושב שהנסיונות שלך להגחיך את העמדה שלי הם ממש לא לעניין, וממש לא מתחשק לי להמשיך לענות לך.

    אם לנסות ולהתייחס לאנלוגיות שאתה מציע אחת לאחת, באף אחת מהן אין את המרכיב הבעייתי של מאגר מידע שדולף, ומרגע שדלף גרם לנזק שאינו ניתן לשינוי. לבנקים אין את המידע הביומטרי שלנו (ואם יהיה, אחשוש מהמצאותו גם אצלם), ולגנוב נשק אטומי ולהצית איתו מלחמת עולם נראה לי קשה בהרבה מלהדליף מאגר מידע.

    השורה התחתונה היא שבגלל הסכנות, ובגלל שאנחנו לא מאמינים לאנשים שאומרים לנו שיהיה בסדר ושנסמוך עליהם, אנחנו שואלים את עצמנו מה היתרונות ומה המטרה שהמאגר בא להשיג. בזה גם עוסק עיקר הפוסט. מבחינתי האישית הבעיה במאגר היא הרבה פחות בסכנה שהוא ידלוף ויותר באופן קבלת ההחלטות לגביו ומה שזה אומר על יחס המדינה לאזרחיה, אבל על זה תכננתי לכתוב בפוסט ההמשך שלא יכול להיכתב כל עוד פרוטקול הועדה האחרון אינו זמין.

    באשר ל-GSM, ראה למשל כאן:

    http://www.ynet.co.il/articles/0,7340,L-2744100,00.html

  29. רק רציתי לומר, שהשתדלתי להתדיין בצורה מכובדת, כנראה שלא הצלחתי לפי התגובה האחרונה שלך, ועל כך התנצלותי.

    אני לא חושב שהבנת את מה שהתכוונתי. לא התכוונתי להגחיך את דברך, אלא להוכיח שגם אתה מאמין שמדינת ישראל יודעת לאבטח פיסית מתקנים מסויימים אם ברצונה בכך.

    אז כפי שהזכרת, אני מודה לך על הדיון עד כה, ופורש, לפני שאעכיר את האווירה מבלי שהתכוונתי.

    (אחרי שאתה מזכיר את ה-GSM, פשוט שמעתי על פרצת האבטחה בהרצאה של עדי שמיר, אז כנראה בגלל זה נחרט בזכרוני שהוא המגלה של השיטה).

  30. אני חושב שאתה מפספס את הנקודה העיקרית של הפוסט הזה. אני לא נושא הפוסט. הדעות שלי הן לא נושא הפוסט. המטרה של הפוסט היא להציג באופן אובייקטיבי ככל שאוכל את הנושא. ביקורת על הפוסט שמתמקדת במה שאני חושב ולא בתוכן הפוסט היא חסרת טעם.

    בכל זאת, אתייחס לזה – אני לא מאמין שמדינת ישראל יודעת לאבטח מתקנים בצורה אופטימלית. אני מאמין שתמיד יש פרצות וסכנות ובהחלט חושש מניצול לרעה שלהן. לכן כשרוצים להוסיף עוד יעד לפריצה, שפריצה שלו תגרום לנזק שכיום עדיין לא ניתן לגרום מסוגו (אפילו אם ניתן לגרום נזק גרוע יותר בדרכים אחרות), אני חושש, ואני שואל שאלות, ואני לא סומך על מי שאומר לי שיהיה בסדר.

    אגב, למרבה השמחה הפרוטוקול המדובר פורסם:

    http://oknesset.org/committee/meeting/4299

    כך שבקרוב יהיה פוסט המשך – שיכלול בראש ובראשונה את כל ההערות הנכונות ששמעתי כאן ובמייל מתומכי המאגר. כאמור, המטרה שלי היא להציג את הנושא באופן אובייקטיבי ומפורט ככל שניתן, לא לכפות על הקוראים את דעתי האישית.

  31. אני שוב מתנצל ומבהיר. כשאמרתי "אתה", לא התכוונתי אליך אישית, אלא ל"אדם הסביר" שטוען נגד המאגר, זו היתה טענה לצורך הדיון. כשקראתי את הפוסט, כן ראיתי שם ניצנים לדיון בעד או נגד המאגר, ולכן הצטרפתי אליו.

    עיקר הסיבה שהצטרפתי לדיון כאן, היא כי אני לא רואה סכנה גדולה כ"כ במאגר, ורציתי להבין את הטענות נגד המאגר, כמו שכתבתי בהתחלה למרות השפה הבהירה לא השתכנעתי.

    אבל עכשיו אני מבין את הטענה. הטענה היא, שהמאגר הזה הוא חדש ויחיד במינו, ולכן יש להתייחס אליו בחשדנות יתר, כמו למשל לטיפול רפואי חדש שמעולם לא היה קיים, ויש לנקוט במשנה זהירות עד שבכלל נבין את ההשפעות. אני זוכר כאלו שלא רצו ללכת לניתוחים להסרת משקפיים כשהתחום היה צעיר, והטענה שלהם היתה דומה, עולם הרפואה עוד לא הכיר את הנושא, אז בינתיים נעדיף להמתין (או לחילופין לנקוט במשנה זהירות). אני לא מסכים עם הטענה (לא עובדתית, וגם לא עקרונית), אבל זו טענה שאני מבין ויכול לקבל.

  32. אני לא חושב שזו הטענה. לדעתי הטענה המרכזית היא שהתועלת במאגר אינה גדולה כפי שמציגים אותה (בפרט, הוא אינו דרוש לצורך קיומן של תעודות ביומטריות) ולעומת זאת דליפה שלו תגרום לנזק בלתי הפיך למשך עשרות שנים, כך שזה לא סיכון שצריך לקחת בכלל.

    טענה אחרת היא מטה-מאגר-ביומטריות – נגד התהליך של הקמת המאגר ומה שעולה ממנו. לכך אתייחס יותר בפוסט הבא. רק בקצרה אעיר שמעניין לראות איך הגענו מ"הסיכוי שהמאגר יוכל לסייע בפיענוח פשע הוא אפסי" של יוני 2009 אל הפרוטוקול הנוכחי שבו מתייחסים לסיוע למשטרה (ולשב"כ, וללוט"ר) בתור המטרה המרכזית שלו.

  33. היי גידי,

    אני חייב לציין שהבלוג הזה הוא אחד הדברים הכי מעניינים שיש באינטרנט.
    כל פוסט שיצא לי לקרוא כאן פשוט כתוב מעולה!

    משה

  34. אתה שוכח עובדה אחת חשובה: המאגר יכיל גם טביעות פנים של אנשים, לא רק טביעות אצבע כפי שכתבת, וזה יאפשר לכל גוף שאליו ידלוף המאגר לעקוב אחרי אזרחי המדינה ולדעת את מיקומם כמעט בזמן אמת. אל תשכח שבמדינות רבות בעולם יש מצלמות בכל צומת ובכל עיר, ומצלמות אלו יכולות לזהות תווי פנים ולקשר אותן, באמצעות מאגר ביומטרי פרוץ, לשם של אדם.
    אולי צריך לספר לקברניטי המדינה שבכך ניתן יהיה לעקוב אחרי חיילי צה"ל בחו"ל, כולל קצינים בכירים, ובכך לסיים את כל הסיפור המגוחך הזה.

  35. שלום,
    הגהה קטנה: בפסקה האחרונה יש שימוש במילה "למצער" במשמעות של "למרבה הצער", כאשר למעשה משמעות המילה היא "לפחות".

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *