אז מה הקטע עם המאגר הביומטרי?

אני רוצה לעסוק הפעם בנושא שקשור לבלוג רק בעקיפין - המאגר הביומטרי. לאבטחת מידע יש חלק חשוב בכל הסיפור הזה - הסיבה שבגללה דנים על המאגר היא בגלל כשלי אבטחת מידע, והמאגר עצמו צריך לעמוד בסטנדרטים גבוהים של אבטחת מידע - וזה נותן לי תירוץ לדבר עליו כאן, אבל בסופו של דבר זה רק תירוץ. הבעיות האמיתיות עם המאגר והדיון האמיתי עליו מתנהל במעגלים שונים לגמרי - למשל, אלו של יחסי הכוחות בין המדינה לאזרחיה; והשאלות שנשאלות הן ברובן לא מתמטיות-מדמ”חניקיות אלא פרקטיות בהרבה - למשל, האם המידע שבמאגר יכול לסייע למשטרה. ובכל זאת אני חושב שחשוב לדבר על המאגר בכל מקום אפשרי ולכן אדבר עליו גם כאן, ואנסה לעשות זאת בצורה הכי “מתמטית” שאני יכול - לשאול שאלות קונקרטיות, לענות לעצמי תשובות קונקרטיות ולנסות לדבוק כמה שאפשר בגישה הלוגית והמדויקת ולנסות להימנע מאמוציות. אני מזהיר מראש שלא אצליח.

הדיונים על המאגר הביומטרי מתקיימים בכל מקום, אבל הזירה הבולטת ביותר היא ועדות הכנסת; הטריגר לפוסט הזה הוא הדיון העדכני ביותר בנושא שהתקיים ב-2/6 וצפיתי בו בעצמי. למען הגילוי הנאות אציין שנתקפתי חלחלה עמוקה כשראיתי איך הדיון התנהל; זה מסוג הדברים שברור לכולנו שהם גרועים ואיומים ונוראיים, אבל עד שלא רואים את זה בעיניים לא מבינים עד כמה. בהמשך אתן ציטוטים למכביר שינסו להצדיק את החלחלה שלי, אבל צריך להבין מראש שיש כאן שתי רמות של בעייתיות - הרמה הראשונה היא הבעייתיות של קיום מאגר - משהו שיש לו יתרונות וחסרונות ואפשר לדון בו; והרמה השניה היא הבעייתיות של קיום הדיון על המאגר - האופן שבו עניין כבד כמו זה מלובן ואיך ההחלטות יוצאות אל הפועל. על הרמה הראשונה אפשר לדון ואנסה לעשות זאת באופן אובייקטיבי יחסית בפוסט הזה, אבל ברמה השניה המצב קטסטרופלי לחלוטין, ואני לא חושב שבפוסט הזה יישאר הרבה מקום לספק מי האדם שלטעמי אשם בכך יותר מכל אדם אחר במדינה. אבל הבה ונמתין עם זה מעט.

קצת רקע והיסטוריה כלליים למי שלא עקב: נתונים ביומטריים הם נתונים פיזיים שמטרתם לסייע לזיהוי של אדם על פי תכונות גופניות שלו שאינן משתנות - טביעות אצבע, מבנה פנים, רשתית העין וכדומה. המאגר הביומטרי הוא בבסיסו מאגר מידע שאמור להכיל מידע ביומטרי של אזרחי ישראל. החוק הרלוונטי לצורך הקמת המאגר הוא “חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע”. הנה סקירה קצרה של ההיסטוריה שלו מויקיפדיה:

ב-27 באוקטובר 2008 הגישה הממשלה לכנסת את הצעת חוק הכללת אמצעי זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2008 . הצעת החוק אושרה בקריאה הראשונה, והועברה לוועדת החוקה, חוק ומשפט, אך זו לא הספיקה לדון בה בטרם התפזרה הכנסת ה-17. ח”כ מאיר שטרית, שכשר הפנים קידם את הצעת החוק בכנסת ה-17, הגיש אותה מחדש, בנוסח זהה, כהצעת חוק פרטית בכנסת ה-18 אך על הצעת החוק הממשלתית הוחל דין רציפות, ולאחר שעברה בין מספר ועדות, הוחלט לבסוף כי הוועדה שתדון בה תהיה ועדה משותפת לוועדת המדע והטכנולוגיה ולוועדת הפנים, בראשותו של יושב ראש ועדת המדע, מאיר שטרית. בדצמבר 2009 אושר החוק, ונקבע שהוא ייכנס לתוקף ב-1 בינואר 2010 (או מאוחר יותר, לפי צו של שר הפנים), ובלבד שאושרו תקנות לפי סעיפים אחדים בו. נקבע שעל השר הממונה להגיש תקנות אלה לאישור ועדת הכנסת העוסקת בכך עד 15 באפריל 2010, אולם רק ב-16 במאי 2011 אישרה הממשלה את התקנות, וב-2 ביוני 2011 אושרו התקנות בוועדת המדע של הכנסת.

עד כאן ההיסטוריה. עכשיו נעבור לפורמט שאלות-תשובות, כשהשאלות הן השאלות שאני שואל את עצמי בנוגע למאגר, והתשובות הן מה שהצלחתי להבין בעצמי (ולכן, קחו בחשבון, הן עשויות להיות שגויות לחלוטין).

מה הבעיה שהמאגר בא לפתור?

כל הציטוטים שאני לא אומר עליהם משהו אחר לקוחים מהדיון הזה מה-30 ליוני 2009, שהתחיל פחות או יותר את סדרת הדיונים הרציניים על החוק.

מאיר שטרית: אני רוצה לפתוח את הדיון ולומר שהחוק הזה בא להתמודד עם אחת הסוגיות הבעייתיות ביותר במדינת ישראל. אני יכול להגדיר את המצב הנוכחי כשערורייה שאין גדול ממנה, במדינה שנמצאת במצב ביטחוני כפי שאנחנו נמצאים בו. התעודות הישראליות, דהיינו, דרכונים ותעודות זהות, הם לצערי ברמה הנמוכה ביותר בעולם מבחינת היכולת לזייף אותם… 

זו המטרה המוצהרת של הצעת החוק: למנוע זיוף תעודות זהות. כבר בנקודה הזו יש בלבול שמתייחסים אליו באותו דיון:

יורם אורן: כולם הניחו שהמצב הפרקטי שקורה במציאות הוא שעל אותו מספר תעודת זהות האדם מקבל כמה תעודות. זה מאוד קל למנוע. בזה אני מסכים עם כל מה שנאמר, אבל זאת לא הבעיה האמיתית. הבעיה הפרקטית האמיתית היא שלאותו אדם יש כמה מספרי תעודות זהות. 

יורם אורן הוא היועץ הטכנולוגי למשרד הפנים. עוד נחזור אליו בהמשך - פחות או יותר כל הדברים העניינים שנאמרים על המאגר לחיוב, נאמרים מפיו.

אם כן, המטרה היא למנוע זיוף תעודת זהות של אדם אחר; בין אם אותו אדם קיים במציאות או שאינו קיים במציאות. יורם אורן מרחיב על ההשלכות הבעייתיות של דבר שכזה:

יורם אורן: בהרבה מאוד מובנים העולם כבר רץ קדימה, הסוסים האלה כבר מזמן לא באורווה. אנחנו צריכים לעלות על העגלה הזאת בזהירות ונכון תוך הפעלת באיזונים הנכונים. אנחנו לא יכולים להתעלם ממה שקורה בעולם. יש לזה עוד הרבה משמעויות שלא כל-כך ברורות מהסתכלות ראשונית. למשל, היחס לתיעוד לאומי ישראלי בעולם. לא נעים להגיד, אנחנו היום נמצאים בתחתית הערימה. יש כאן קרוב ל-‎200 אלף דרכונים שנגנבו או אבדו וכל מיני מצבים כאלה.

נראה לי שיש קונצנזוס על כך שמדובר על מטרה חיובית וחשובה. אבל זו לא המטרה היחידה של המאגר. מטרה נוספת דה-פקטו היא לסייע לכוחות הביטחון. הנה מה שאומר מייק בלאס, משנה ליועץ המשפטי לממשלה:

מייק בלאס: כשהכנו את החקיקה אז באו משטרת ישראל ורשויות הביטחון והציגו את הצרכים שלהם ממאגר ביומטרי. בסופו של דבר, לאחר ששקלנו את הדברים, הגענו למסקנה שאפשר לייצר איזונים מורכבים כדי לאפשר למשטרה לעשות שימוש במאגר לצרכים שמפורטים בהצעת החוק. למשל, צרכי זיהוי של אנשים שאין בידם מסמכי זיהוי. אחת הדוגמאות שהובאו היו אנשים חולי אלצהיימר שנמצאים באיזה מקום, הם לא יודעים לספר מי הם אבל יש אפשרות להגיע בזמן קצר לזהות שלהם, לחסוך למשפחה ואולי להם את המצב הלא טוב שהם נמצאים בו.

ועוד שימוש אפשרי שמוזכר הוא זיהוי גופות:

מאיר שטרית: נניח שהמשטרה מצאה גופה בלתי מזוהה. במידה ואין עליה תעודה מזהה יפנו אם טביעת האצבע של האיש כדי לדעת מי זה.  מה היקף הבעיה הזו? ובכן: מאיר שטרית: אגיד לך משהו שיזעזע אותך. במכון לרפואה משפטית יש דגימות של כ-‎250 או ‎400 איש שמתו בלתי מזוהים. יש דגימות שלהם ואף אחד לא יודע מי הם. 

אם כן, אלו שני השימושים שעליהם מדובר כאן. הדיון מתפצל לשתיים כאן - בכל הנוגע לזיופי תעודות, השאלה היא בעיקר האם מאגר ביומטרי הוא נחוץ לצורך מניעת זיוף; בנוגע לשימוש של המאגר בידי כוחות הביטחון השאלה היא האם השימושים הנקודתיים שתוארו יהיו סוף הסיפור, ומה יהיה היקף הגישה של המשטרה למאגר.

לשטרית יש תשובה - לטענתו מהדיון כאן מה-7 ביולי 2009 - שבוע אחרי הדיון המרכזי שאני מצטט רוב הזמן:

מאיר שטרית: הדבר המרכזי שהמשטרה תשתמש במאגר הוא כאשר נתקלים בגופה בלתי מזוהה ואין אפשרות לזהות אותה, אין לה תיעוד ואין לה כלום, ואז הם רשאים לפנות למאגר ולבקש זיהוי. 

אוקיי. הבה ונזכור זאת להמשך.

אילו פתרונות יש לעניין זיוף התעודות?

באופן גס אפשר לדבר על ארבע רמות שונות של אבטחת מידע. ברמה הנמוכה ביותר ישנו המצב הקיים כיום, שבו תעודות הזהות והדרכונים הם פשוט חתיכות נייר עם תמונה מודבקת עליהם ואי-אילו אמצעי אימות פיזיים - הדרכון שלי כולל חותמות שונות ומשונות של המדינה. צאו מנקודת ההנחה שכל ההגנות הללו הן בדיחה עצובה וזיוף דרכונים הוא טריוויאלי.

ברמה הבאה עוברים לתעודה אלקטרונית. בתעודה כזו המידע שמור על שבב כלשהו בתוך התעודה (כמובן שגם אפשר לצייר עליה תמונה יפה ולכתוב פרטים כדומה). המידע הזה שמור בתעודה באופן מאובטח - מאובטח פירושו גם שאין דרך להפיק את המידע מהתעודה ללא קורא שמיועד לכך, אבל חשוב מכך - שהמידע חתום באופן כזה שהסיכוי לזייף את החתימה הוא אפסי. וכשאני אומר אפסי, אני מתכוון ל”הסיכוי שתזכו בלוטו ברצף במשך מיליארד השנים הקרובות עם אותו מספר בכל פעם הוא גדול בסדרי גודל בל יתוארו מהסיכוי שמישהו יצליח לזייף את החתימה”. כמובן, זה לא מתייחס לסיטואציה שבה מישהו מצליח לשים את ידו על ה”חותמת” עצמה - ברגע שהחותמת דולפת, טריוויאלי לזייף תעודות; מצד שני, ברגע שיתגלה שהחותמת נגנבה אפשר לבטל אותה ולהפוך את כל מה שנחתם על ידה לחסר ערך. כלומר, הנזק מפריצה הוא הפיך. לי אין ספק שתעודות אלקטרוניות הן קפיצת מדרגה ביחס למצב כיום.

זכות הדיבור לאלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון, שתחום התמחותו הוא קריפטוגרפיה:

אלי ביהם: מערכת הכרטיס החכם, כלומר, השבב שנמצא בתעודה, מונע זיופים. אי-אפשר לשכפל אותו, אי-אפשר להעתיק אותו. החומרה הזאת, אם קונים אותה במקומות הנכונים שיודעים לעשות אותה כמו שצריך, מאפשרת לנו טכנולוגית לעשות מערכת שלא ניתן לשכפל אותה ואי-אפשר להעתיק את הנתונים שבה כי פשוט אי-אפשר לדעת מה כתוב בפנים. כדי לדעת מה כתוב בפנים צריך להשקיע וצריך ציודים של מיליוני דולרים. אני מניח שאולי לאינטל יש ציוד שמאפשר את זה אבל לא הרבה חברות מסוגלות להבין מה קורה בפנים וזאת בגלל הטכנולוגיה של החומרה. 

הנתונים שמורים בתוך שבב שהוא כמו מחשב והוא לא משדר החוצה, וזאת בניגוד לכרטיס מגנטי רגיל, שבו יש פס מגנטי שהתוכן שלו מועבר החוצה ואני יכול לכתוב עליו מה שאני רוצה. לכן אין לי בעיה לקרוא אותו ולכתוב אותו על אחד אחר. בשבב התוכן, הסודות והמפתחות הקריפטוגרפים הם ייחודיים בפנים ולעולם המחשב הזה לא מוציא אותם החוצה. לכן אי-אפשר להעתיק אותו, אלא אם כן מישהו תכנן אותו לא טוב. החברות שמובילות בתחום משקיעות המוני מיליוני דולרים בלהגן כנגד כל הבעיות שפעם היו מאפשרות טכנולוגית, בכל זאת לתקוף כרטיסים כאלה.

אנשים ברחוב נוה שאנן בתל אביב או בכל מקום אחר לא יוכלו לייצר זיופים של הדבר הזה כי הם לא יידעו איך עושים את זה בכלל. הם לא ידעו את המפתחות שצריכים להכניס בפנים ולא ידעו דברים אחרים שצריך. בוודאי לא תהיה להם את הטכנולוגיה לייצר את זה לכן אין לנו פה בעיה של כמה תעודות חוקיות של אותו בן אדם כי רק משרד הפנים יוכל לייצר תעודות. הוא יוכל לבטל תעודות ישנות שאבדו או בוטלו או כל דבר דומה.

זו נקודה מהותית וקריטית בדיון על המאגר הביומטרי. אין צורך לא במאגר, ולא בביומטריה, כדי למנוע את הסיטואציה שבה הזייפן מהרחוב יוצר דרכון יש מאין, או אפילו לוקח דרכון קיים וחוקי ומשנה בו פרטים. אין אפשרות לשנות פרטים בלי החותמת.

יורם אורן העיר ש”הבעיה הפרקטית האמיתית היא שלאותו אדם יש כמה מספרי תעודות זהות”. האם יש פתרון לזה?

אלי ביהם: 

יש עוד מרכיב, והוא: שכשאתה לא יכול להעתיק את זה אבל אם אתה רוצה לייצר לאדם תעודה חדשה אתה יכול לבטל את הישנה. זאת אומרת, בפעם הבאה שמישהו ישתמש בתעודה הזאת, הוא יפנה למשרד הפנים ומשרד הפנים יגיד שזאת תעודה ישנה, יצאה תעודה חדשה ולכן התעודה הזאת מבוטלת. באותו הרגע היא באמת תבוטל. היא לא רק תבוטל בתקשורת אלא אפשר לבטל אותה פנימית והיא פשוט תפסיק לעבוד. אפילו אם לא נעשה את זה, עדיין משרד הפנים יידע לא להתייחס אליה ויידע שהיא ישנה.

תחשוב באופן השוואתי על כרטיסי אשראי. ברגע שאבד לך כרטיס אשראי, חברת האשראי יודעת לבטל כרטיסים ואין עם זה בעיה. אין בעיה של ייצור כפול שלאדם אחד יהיו שני כרטיסי אשראי כי פשוט ביטלו את כרטיסי האשראי. הטכנולוגיה הזאת מאפשרת שיהיה רק אחד ואין שום בעיה אחר-כך גם לבטל את הישנים. אם במקרה מישהו אמר שהוא איבד אותו, הוא פשוט יבוטל ואי-אפשר יהיה להשתמש בו.

גם אם אדם יצליח, למרות הבדיקות הטובות שמשרד הפנים עושה, אני בטוח שיש להם את הטלפון שלי והם ירימו אלי טלפון וישאלו אם זה אני ואז לא יתנו לו תעודה. מן הסתם יש להם דרכים יותר מתוחכמות מזה. אבל אם הם יעשו וכן יתנו לו, באותו רגע התעודה שלי תבוטל ואני אבוא למשרד הפנים ואומר להם שהתעודה שלי הפסיקה לעבוד. לכן, גילוי של בעיות יתגלה.

כלומר, עוד לפני שדיברנו בכלל על ביומטריקה, אנחנו רואים שאפשר להגן מפני מצב שיש שני עותקים של אותה תעודה בשימוש אצל שני אנשים שונים. עד כמה שאני מצליח להבין, זה מתייחס חלקית למה שיורם אורן אמר, אם יוצאים מנקודת הנחה שהתעודה אכן בשימוש אצל בעליה החוקיים והוא ישים לב לכך שהיא הפסיקה לעבוד. כמובן, כמו עם כרטיסי אשראי גם כאן יש אמצעי זהירות שאינם קשורים לביומטריה שניתן לטפל בהם - אם מנהלים מעקב אחרי השימוש בתעודה ורואים דפוס התנהגות חריג אפשר להרים טלפון לבעל התעודה ולשאול אותו מה קורה.

כל זה מחדד את העובדה שלב הבעייתיות הוא בתהליך הנפקת התעודה עצמו. הסכנה היא שבוב יבוא אל משרד הפנים, יגיד “אני אליס”, ומשרד הפנים יהנהנו בראש ויוציאו לו תעודה אלקטרונית חוקית לחלוטין שמכריזה על בוב בתור אליס. נחזור אל זה עוד מעט.

הרמה הבאה של אבטחת המידע היא הרמה של תעודה שכוללת בתוכה פרטים ביומטריים, מבלי שהפרטים הללו נשמרים בשום מקום מחוץ לתעודה. גם כיום התעודות שלנו כוללות פריט זיהוי ביומטרי - התמונה שלנו. כאשר אנשים מבקשים לוודא שהתעודה שלנו היא אכן שלנו הם משווים את התמונה שבתעודה לבין המראה הנוכחי שלנו. זהו זיהוי ביומטרי לכל דבר, אם כי פרימיטיבי ולא אמין במיוחד. תעודה דיגיטלית יכולה להכיל פרטים מחוכמים יותר מאשר תמונה ברזולוציה לא משהו - למשל, טביעות אצבע, או תיאור מדוייק יותר של תווי הפנים שניתן להשוואה עם תמונה עדכנית שלנו באמצעות אלגוריתמים של זיהוי תמונה; ועוד ועוד. כמקודם, המידע הזה יכול להישמר בכרטיס באופן מאובטח, אם כי לפחות בכל הנוגע לטביעות אצבעות זה קצת מטופש - אם יש למישהו כרטיס שנגעתם בו, הוא יוכל לשלוף טביעות אצבע שלכם מתוך גוף הכרטיס עצמו, כי הכרטיס מכוסה בטביעות שלכם…

במה פרטים ביומטריים בתוך הכרטיס מסייעים לנו? הם דרך להבטיח שמי שמשתמש בכרטיס הוא גם בעל הכרטיס. האם הם עושים זאת היטב?

אלי ביהם: ביומטריה גם לא עוזרת לזיוף. זיוף טביעות אצבע הוא לא ממש קשה. לכו ל”יוטיוב” ותמצאו את כל הסרטים שמספרים איך לוקחים מדפסת ודבק פלסטי ומייצרים לך איזה טביעת אצבע שאתה רוצה. תמצא גם סרט איך עוברים עם דרכון של שר גרמני במעבר הגבולות בברלין על-ידי כל מיני העתקות טביעות אצבע. כל מה שהאדם עושה זה הוא שם משהו על האצבע שלו וקיבל טביעה חוקית של אדם אחר. מערכות הביומטריה לא מספיק בוגרות כדי להגן על הדברים האלה. 

טביעת אצבע קל לזייף (ראיתי את סרטוני היוטיוב המדוברים. זה לא מדע בדיוני ולא המצאות של סדרות טלוויזיה - הנה דוגמה אחת). את רשתית העין? כנראה שהרבה יותר קשה (אגב, יש בפרוטוקולים דיון שלם על ההבדל בין רשתית העין וקשתית העין וההבדלים ביניהם אבל הוא לא רלוונטי כרגע). אין ספק בכל מקרה שהוספת שכבת זיהוי ביומטרי לכרטיס מקשה על שימוש בו על ידי מישהו שהתעודה אינה שלו. אני אישית לא רואה שום בעיה עם הוספת מידע ביומטרי לתעודות.

הרמה הבאה של אבטחת המידע, שעליה נסוב כל הויכוח, היא הוספת מאגר ביומטרי. למעשה, המאגר יכול להתקיים גם ללא שום קשר לתעודות זהות חכמות או שכוללות נתונים ביומטריים. מאגר ביומטרי, כפי שאמרתי בהתחלה, הוא פשוט מסד נתונים שבו שמור מידע ביומטרי של אנשים. איזה מידע נוסף שמור במאגר ואיך - זה כבר נתון לדיונים, ונגיע אל זה בהמשך. בינתיים, נשאלת השאלה - האם יש נסיון לקשור את המאגר הביומטרי יחד עם תעודות הזהות החכמות כאילו מדובר על עסקת חבילה או אפילו אותו הדבר? אני חושב שבציבור נוצר הרושם המוטעה כאילו מדובר על אותו הדבר, ולכן אני רוצה לסכם באמירה חד משמעית - תעודות זהות ביומטריות ומאגר ביומטרי הם שני דברים בלתי קשורים לחלוטין.

במה המאגר עדיף על האלטרנטיבות?

אם כן, ניתן לחלק את הטיעונים בעד הצורך לקיום המאגר לשניים - כאלו שמדברים על מניעת זיוף התעודות, וכל היתר. על כל היתר לא אדבר כרגע. אלו שמדברים על מניעת זיוף התעודות מדברים חד משמעית על מניעת “הרכשה כפולה” - כלומר, הסכנה שאדם יקבל תעודה ביומטרית חוקית למהדרין שעליה רשום שם שאיננו שמו (אולי במקביל לכך שיש לו תעודת זהות ביומטרית חוקית). ברור שזה מצב מאוד לא רצוי, שהוא במובן מסויים גרוע יותר מהמצב כיום מכיוון שלתעודה ביומטרית יש לכאורה יותר אמינות מתעודה רגילה (אם לא הייתה לה כזו, בשביל מה היה צריך את כל כאב הראש הזה?). אבל, בשלב הזה צריך לדבר על מה שנראה כבעיית ביצה ותרנגולת - העובדה הפשוטה שאם אפשר “לעבוד” על מי שמנפיק תעודות זהות, למה שלא יהיה אפשר לעבוד גם על מי שמכניס אותך למאגר הביומטרי מלכתחילה?

אחדד על ידי הצגת הכיוון ההפוך - כאשר רושמים אנשים למאגר הביומטרי מלכתחילה יהיה הכרחי לנקוט באמצעי זיהוי קפדניים ולא ביומטריים כדי למנוע ממישהו להכניס את פרטיו למאגר תחת שם שאינו שלו. אם מישהו יצליח לעשות את זה, זה יהיה נזק חמור, קשה מאוד לתיקון. אם כן, מדוע לא ניתן להשתמש באותם אמצעי זיהוי שבהם ישתמשו בעת רישום אנשים למאגר, וישתמשו בהם בעת הנפקת תעודת זהות ביומטרית, מבלי להשתמש במאגר? הרי אמצעי הזיהוי הללו אינם משתמשים בעצמם במאגר, שכן הוא עוד לא קיים כשצריך להשתמש בהם…

מהדיון של ה-30 ליוני:

יורם אורן: נתחיל מזה שהצורך במאגר נוצר ברגע שתעודת הזהות שלך והדרכון, כלומר, התיעוד הלאומי שלך, עבר סף מסוים והורחק מחוץ להישג היד של זייפנים. דווקא חיזוק תעודות הזהות הוא זה שגורם לזה שאנחנו צריכים לחשוב ולנהל את הסיכונים שלנו הלאה. 

ניהול הסיכונים הלאה אומר דבר מאוד פשוט: ינסו לתקוף אותנו בחולייה החלשה. אם התיעוד שלנו עכשיו כל כך חזק וכל כך מוגן כנגד זיוף… למעשה החוליה החלשה הופכת להיות מרגע זה ואילך, מהלכי הרישום וההנפקה. אם אני מצליח לקבל תעודת זהות על-ידי שאני מתחזה למישהו אחר במספר תעודת זהות אחר - יש לי עכשיו שתי תעודות זהות, אני יכול לגבות פעמיים תשלומי רווחה. אני יכול לעשות הרבה מאוד דברים. אני יכול לעשות מה שאני רוצה עם תעודה כשרה במאה אחוז, שכולם עכשיו נורא מאמינים לה. היא באמת חזקה, ובאמת המידע חתום דיגיטאלית ובאמת הזייפנים לא יכולים לחכות את החתימה הזאת.

היו פה כל מיני אמירות שיש אלטרנטיבות אחרות. איך אנחנו נותנים מענה לאותם סיכונים שאנחנו רואים ושלטעמנו המענה להם הוא במאגר? אנחנו במצב יחסית טוב כי אנחנו עולים על העגלה של שיפור התיעוד הלאומי יחסית מאוחר. יש לזה הרבה מאוד יתרונות. היתרונות הם שאנחנו יכולים ללמוד לקחים ממקומות אחרים. יש לקחים דיי מובהקים. אחד הלקחים המעניינים הוא מה היכולת באמת לעשות אימות ראשוני של הזהות של האדם כשכל מה שיש לפניך זה אוסף של נתונים כמו שיש לנו היום. היו לזה כמה משמעויות. אל”ף, משך הזמן הארוך.

אני אתחיל בדברים הפשוטים, במשמעויות של ארגון ושיטות של ניהול. מדובר בתהליך ארוך. דקה שאזרח יבלה בלשכות משרד הפנים מצטברות בשנה ל-‎7 שנות אדם… זה תהליך שלוקח, בין ‎6 ל-10 דקות. יש מדינות שהגיעו למסקנה שהתהליך כל-כך לא פרקטי שאם הן רוצות לעשות אותו הם עושות זאת בוידאו-קונפרנס מול מומחים שיושבים במקום מרוחק כי זה מחוץ לכבולת וליכולת של הפקיד לעשות במעמד קבלת הקהל.

בפעם הראשונה זה המקרה הקל. הבעיה היא הפעמים הבאות. הבעיה היא הפעם הבאה שהוא יבוא ואולי ינסה להתחזות למישהו אחר.

העלויות הן מטורפות. יש את הנתונים ואפשר להעביר אותן למי שרוצה.

הדיוק של הראיון האישי הוא מפוקפק והחדירה לפרטיות היא הרבה מאוד יותר קשה. מה לעשות, אנשים שוכחים אפילו פרטים טריוויאליים במצבים האלה. זה אחד הלקחים שקרו במדינות אחרות. אני יכול להפנות למקומות שבאמת אפשר יהיה לקרוא את זה. זה סך הכול חומר פומבי. אנשים טועים. כשאתה טועה זה תרחיש דרדור. זה תרחיש שאתה צריך לתת לו מענה. המענה הוא להמשיך ולשאול עוד שאלות לעוד כל מיני כיוונים. זה תהליך פשוט שהופך לא פרקטי והופך להיות יותר פולשני ומסתמך על הרבה יותר נתונים מאשר התהליך הזה שמתבצע ברקע. אגב, נשמח להציג את הארכיטקטורה ואת התפיסה ועוד יותר נשמח לשמוע רעיונות ולשמוע ביקורת. אנחנו כאן בשביל לעשות את זה.

זהו אולי הטיעון הטוב ביותר בזכות המאגר שיצא לי לקרוא. כדאי להצביע על יתרון מהותי אחד שיש למאגר על פני המצב שבו אין מאגר - למאגר קשה מאוד להיכנס פעמיים. אתה יכול אולי להיכנס אליו בזהות בדויה, אבל אין לך דרך להיכנס אליו פעמיים אלא אם עשית משהו מחוכם למדי שאני לא מצליח לחשוב עליו. אם מישהו שכבר נמצא במאגר יבוא וינסה להזדהות בשם אחר פשוט יקחו ממנו טביעת אצבע, יראו שהיא מופיעה במאגר, ישוו לשם של האיש שאליו שייכת טביעת האצבע, יראו שזה לא אותו שם ויתנו לזייפן החובבן שלנו בעיטה שתעיף אותו מכל המדרגות. זהו היתרון. כעת אתם צריכים לשאול את עצמכם האם זה שווה את זה.

מה הסיכון שהמאגר ידלוף?

כל שאלה שעוסקת באבטחת מידע חייבת להתחיל עם הקומיקס הבא של SMBC:

זה לב העניין. צריך להבין שמבחינה טכנולוגית בימינו, למצפינים יש יתרון אדיר על פורצי הצפנים. המחשבים שינו לחלוטין את חוקי המשחק, והפכו פריצת צפנים מאובטחים באופן ישיר למשהו קשה ביותר, על גבול הבלתי אפשרי לחלוטין. אבל כל מערכות ההצפנה וההגנות המחוכמות שביקום לא יועילו לנו אם מישהו בחר ססמא טריוויאלית שאפשר לנחש. האויב הגדול ביותר של בונה מערכות ההצפנה הוא לא האקר מחוכם שהוא גם גאון מחשבים וגם גאון בתורת המספרים וגם ג’יימס בונד; האויב הגדול ביותר הוא משתמש הקצה המפגר. משאנחנו זוכרים את זה, בואו נאפסן את משתמש הקצה המפגר בארון ונחשוב על בעיות אחרות.

אם כן, האם המאגר יהיה מאובטח מפני פריצה של האקר מחוכם שהוא גם גאון מחשבים וגם גאון בתורת המספרים וגם ג’יימס בונד? מהדיון של ה-7 ביולי, 2009:

יורם אורן: הוא לא מחובר לשום רשת. יש אליו ערוץ כניסה חד-כיווני שאנחנו נוכל לתאר את פרטיו בפורום מצומצם. יש ממנו ערוץ יציאה טלפוני בלבד. המאגר הזה יודע להחזיר אחת משלוש תשובות אפשריות, ושוב, נוכל לפרט את זה. אין במאגר פרטים מזהים והמאגר הוא אנונימי לחלוטין. מפעילי המאגר לא יכולים למשל להצמיד טביעת אצבע למספר זהות וגם לא לשם. יש שם עוד כמה הגנות שלא ראוי לפרט אותן כאן. 

אנחנו חושבים - ואנחנו מוכנים לעמוד מאחורי מה שאנחנו אומרים - שעשינו מהלכים מאוד מרחיקי לכת, לדעתי גם די חסרי תקדים והלוואי והרבה מאגרי מידע אחרים היו מוגנים ברמות האלה. עשינו מהלכים די מרחיקי לכת לגרום לזה שהנזק הפוטנציאלי מהמאגר הזה יהיה נמוך מאוד מאוד, כך שאנחנו באותו מבחן של מידתיות, של כמה אנחנו מרוויחים מקיום המאגר מול הנזק הפוטנציאלי, אנחנו עומדים במבחן הזה בצורה יפה.

יש שם שימוש כבד ומאוד מרחיק לכת בקריפטוגרפיה, בצופן. שוב, פרטים אנחנו מוכנים להראות לפורום מצומצם.

זה נעשה בתוך רשת סגורה וזה לא נעשה במשהו שהוא נגיש לעולם. תוקף שרוצה לתקוף את המערך הזה צריך נגישות פיזית אליו והוא לא יכול לעשות את זה מרחוק בתקשורת.

אחד הדברים - ושוב, בלי להיכנס לפרטים איך אנחנו בדיוק מממשים את זה, אבל הוא קו מדיניות שאנחנו ניסינו לשמור עליו בעיצוב המאגר הזה - הוא להיות מאוד מאוד צנועים ורזים בדרישות שלנו מהמאגר. זה מאגר שיכול לשמש לצורך מאוד נקודתי ואנחנו מנסים לשלול את היכולת לעשות בו איזשהו שימוש אחר על ידי בנייה שלו בצורה מאוד מאוד מסוימת.

אני חוזר ואומר בפעם המי יודע כמה שאין לנו בעיה להציג את הנתונים האלה, להציג את העיצוב שאנחנו מתכננים, אבל תחת איזה שהם סייגים ובטח לא בפורום מאוד גדול.

לגבי הדאגה מפני דליפת מאגרים. אנחנו בהחלט חושבים שהארכיטקטורה שאנחנו מציעים היא ממזערת את האפשרות הזאת. אני לא אומר שדבר כזה לא יכול לקרות, אבל אם זה יקרה, נזק לא יצא מזה. אני מאוד אשמח להעלות את רמת הפירוט של הדברים, אבל לשם כך צריך לקבוע אולי איזשהו מנגנון טיפה שונה.

הדאגה מפני בריחת מאגר, אני חושב, וגם הסברתי את זה, שהרווח שיצא למישהו שיניח את ידיו על מאגר כזה יהיה מאוד מאוד שולי והוא יוכל להשיג את אותו הדבר בדרכים הרבה יותר פשוטות ובלי להסתכן. אני חושב שכאן הגענו לאיזון שהוא נכון וראוי.

שאלה נוספת שעולה כאשר דנים בנימוקים נגד מאגר היא החשש מפני מי שיממש אותו, מי יבנה בעצם את המאגר והאם זה יתבצע באאוט-סורסינג. האם הקבלן שיעשה את זה לצורך העניין יהיה נגיש למידע. לטעמי הגענו למנגנון שמאפשר לנו לנתק את מהלך ההקמה ממהלך השימוש ולנתק בצורה שהיא ככל שנראה לעין לא עבירה ושוב, נשמח להראות את זה בפורום מתאים.

בשורה התחתונה, יורם אורן אומר כאן “תסמכו עלי, אני יודע”. הוא לא יחשוף את הפרטים הטכניים של המאגר שלא בפורום מצומצם. זה כמובן מטריד ברמה כלשהי - אם המאגר באמת מאובטח, איזה נזק יכול להיגרם מחשיפה מלאה של כל המפרט שלו? פיירפוקס הוא דפדפן קוד פתוח, כך שאפשר לראות במדוייק איך מנגנוני ההצפנה של פיירפוקס עובדים - האם זה אומר שפיירפוקס פגיע יותר לפרצות מאשר אקספלורר? לא בהכרח. אם כן, יש כאן שתי שאלות - ראשית, האם אנחנו מאמינים שהמאגר מוגן למרות שהוא חשוף לסכנות אם יסבירו בדיוק לציבור איך הוא ממומש; ושנית, אם אנחנו מוכנים להאמין ליורם אורן כשהוא מבקש מאיתנו להאמין לו שהמאגר מוגן.

לצורך הדיון אני מוכן להניח שיורם אורן צודק והמאגר מוגן. אם אכן אין שום קו תקשורת שנכנס או יוצא מהמחשב שבו מאוחסן המאגר, זה מחסל מייד את הפורץ שהוא האקר מחוכם, ובוודאי שגאון תורת המספרים לא רלוונטי כאן. נשאר ג’יימס בונד, אבל מישהו מכיר ג’יימס בונד שפועל במציאות? אבל יורם אורן לא דיבר על כל סוגי האיומים. הוא לא דיבר על האידיוט שבוחר ססמא גרועה (אתם מאמינים שלא יהיה כזה?) והוא לא דיבר על אנשים שאפשר לשחד (אתם מאמינים שלא יהיו כאלו?) והוא לא דיבר על ענת קם.

מייק בלאס, בדיון של ה-30 ביוני:

מייק בלאס: בנוסף לזה ייקבעו הגבלות מחמירות על מורשי הגישה למאגר כדי לצמצם את מספר המורשים וגם את המידע שהם יהיו חשופים אליו. ייקבעו הגבלות מחמירות על הגישה למאגר ועל השימוש במידע מתוכו. קבענו עבירה חדשה של השגת מידע מהמאגר או שימוש במאגר שלא כדין, שהעונש שלה הוא ‎7 שנות מאסר. המאגר הזה בעל חשיבות גם לרשויות הביטחון לכן הדאגה למנוע כל אפשרות של פריצה, נדמה לי שעומדת בסדר העדיפויות הגבוה ביותר שיכול להיות. 

ענת קם הוציאה מצה”ל אלפי מסמכים בסיווג “סודי” ללא שום קושי, על גבי דיסק. בכך היא ביצעה עבירה שעונשה עשוי להיות עשרות שנות מאסר, אפילו יותר מה-7 שנים שבהן מנפנף מייק בלאס. נעזוב את שאלת המניעים של ענת קם - מה שמעניין הוא שהיא עשתה את זה. מה שמייק, ויורם, ומאיר שטרית צריכים לשכנע אותי בו הוא שלעולם, אף פעם, לא תהיה ענת קם בעלת גישה למאגר הביומטרי. אני אומר חד משמעית כאן - אני לא מאמין להם שלא תהיה. גם אם יש עונש מאסר כבד (אנשים מבצעים פשעים גם אם יש עונשים כבדים בצידם).

אבל יורם אורן הוא חכם וחשב גם על זה - הפתרון שהוא מציע הוא הפרדת כוחות. המאגר יורכב מכמה חלקים. מה-12 ביולי 2009:

יורם אורן: קונספטואלית תחשוב שיש טבלה, זה לא ממומש בטבלה כי על טבלה קשה להגן. תחשוב שיש טבלה, שמול כל מספר זהות שקיים במדינת ישראל יש איזה שהוא מספר שהוא אקראי לגמרי, ואקראי ברמה גבוהה, גם על זה אני יכול להסביר הרבה במה מדובר כשאני אומר אקראי ברמה גבוהה. יש טבלה כזאת באיזה שהוא מקום. כשאתה מחפש במאגר, אתה מחפש לפי המספר האקראי. אחרי זה אתה נדרש לדפדף באותה טבלה וירטואלית ולבוא ולהגיד ‘בסדר, מול המספר האקראי הזה, נמצא מספר הזהות הזה’. זה נמצא בשני מקומות שונים, עם הפרדות ביניהם, עם רישום נפרד בכל מקום. 

אם כן, במאגר הביומטרי יהיה את המידע הביומטרי ומצורף אליו איזה מספר מזהה אקראי של אדם - מספר שאינו תעודת הזהות שלו אלא משהו אקראי שהוגרל רק לצורך המאגר. כדי להפיק תועלת מהמזהה האקראי הזה יהיה צורך לגשת איתו אל מאגר אחר, שאינו מכיל נתונים ביומטריים, ולבדוק מה המידע שמצורף למספר האקראי שלך. בקיצור - עד כמה שאני מבין את מה שיורם אורן אומר, המצב דומה לזה שיש במסדי נתונים בדרך כלל, שבו יש לנו שתי טבלאות נתונים שיש ביניהן קשר לוגי באמצעות עמודה משותפת אחת. דה פקטו זה אומר שאם רוצים לפרוץ או להדליף את המאגר צריך בעצם להדליף שני מאגרים, שכל אחד מהם לבדו הוא חסר ערך; ולפרוץ שני מאגרים שנמצאים פיזית במקומות שונים, והעובדים שלהם בלתי קשורים וכדומה - זה הרבה יותר קשה. אנחנו מוגנים מפני ענת קם אחת - צריך שיהיו שתיים שישתפו פעולה איכשהו.

האם אתם מאמינים שלא עשויה להיות ענת קם כפולה? אודה ואתדווה - אני לא מאמין. אני בהחלט יכול להעלות על הדעת סיטואציה שבה שני המאגרים מודלפים. אולי אני שוגה באשליות - אתם תחליטו.

ונניח שרק המאגר עם המידע הביומטרי יודלף, מה אז? מהדיון של ה-7/7:

יורם אורן: אם מישהו רוצה להשיג את המאגר הזה, הוא יקבל בערך את אותו הדבר שהוא יקבל מלקחת טביעת אצבע מקרית מחלון ראווה של כל מרכז מסחרי בארץ.  וכאן אנחנו עוברים באופן טבעי לשאלה הבאה - מה הנזק שיגרם מדליפה של המאגר; רק צריך לחשוב איזה מהנזקים דורש רק שהמידע שיודלף הוא כל טביעות האצבעות של כל אזרחי המדינה, בלי היכולת לדעת, בהינתן טביעה, לאיזה אזרח ספציפי היא שייכת.

מה יקרה אם המאגר ידלוף?

כאן לטעמי נמצא עקב האכילס של מתנגדי המאגר הביומטרי - הנזקים מדליפה של המאגר לא נראים לי אישית קטסטרופליים כפי שמנסים לצייר אותם (אם כי כפי שנראה בהמשך, הם גם לחלוטין לא זניחים). מצד שני, האם באמת חייבים להצביע על נזק קטסטרופלי? כל מי שעוסק ולו מעט בקריפטוגרפיה יודע כלל בסיסי של החיים - גם אם מידע שדולף נראה לך אישית חסר חשיבות, זה לא אומר שאין מישהו שהוא הרבה יותר חכם ממך ומצליח לעשות במידע הזה שימוש לרעה. קריפטוגרפים הם פרנואידים, ובצדק. דוגמה נאה שאני אוהב לציין בהקשרים הללו היא התחום בקריפטוגרפיה שנקרא Side Channel Attacks - אלו התקפות על מערכות קריפטוגרפיות שמנצלות את המימוש הפיזי של המערכת. בלשון ציורית - אפשר לפרוץ מערכות הצפנה מסויימות פשוט על ידי מעקב אחרי כמות החום שהן פולטות; הרעש שהן משמיעות; הזמן שלוקח להן לבצע חישובים; צריכת החשמל שלהן; וכו’ וכו’. בכל המקרים הללו מדובר על מידע שדולף שעשוי להיראות חסר חשיבות ממבט ראשון - מה כבר אפשר לעשות עם החום שמעבד פולט? אבל, אנשים חכמים בהרבה ממני מצליחים לעשות דברים מדהימים איתם. אם כן, זו אולי התשובה המרכזית שצריך לענות לכל מי שאומר “מה כבר יקרה אם המאגר ידלוף”? - אנחנו אולי לא יכולים להצביע על שימושים זדוניים קריטיים עד כדי כך של המאגר, אבל זה לא אומר שלא יהיו כאלו אלא רק שאנחנו לא מתוחכמים מספיק כדי לחשוב עליהם כרגע. הבעייתיות היא בראש ובראשונה בכך שכל המידע הזה עשוי לדלוף.

בכל זאת, הבה וננסה להביא דוגמאות קונקרטיות למה שעשוי לקרות אם המאגר ידלוף.

הנה מאמר שפרסם אלי ביהם בראשית ימי המאגר הביומטרי שבו הוא מונה כמה מסכנותיו.

נזקיה של הביומטריה חמורים. קודם כל ברמת פרטיותו של האזרח. 

לדעתי פחות מאשר טיעון הפרטיות מצביע על נזק קונקרטי שיכול להיגרם לנו מהמאגר, הוא מצביע על תקדים כלשהו ביחסי המדינה-אזרח. אבל לזה אחזור בהמשך.

שימוש בטביעות אצבע נעשה מקובל לאימות כניסה למחשבו הנייד הפרטי של אדם. כך יוכל כל מחזיק בעותק של טביעת האצבע להיכנס למחשב הפרטי של אזרח ולשלוף ממנו מידע או לשנות בו את המידע כרצונו. 

זה כמובן נכון, ואם המאגר יודלף באופן כזה שבו ניתן יהיה לקשר בין אדם ספציפי וטביעת האצבע שלו, כל מנגנון הגנה שמבוסס על טביעת האצבע של האדם יהפוך לחסר ערך; אבל גם בימינו לדעתי המנגנונים הללו חסרי ערך כי קל להשיג טביעת אצבע של אדם קונקרטי אם יש לנו גישה פיזית אליו ולדברים שהוא נוגע (ג’יימס בונד יצליח להשיג טביעת אצבע של מי שרק ירצה).

כל מדינת אויב תרצה עותק של המאגר שיאפשר לה לבדוק האם אדם הנכנס אליה הוא אזרח ישראלי. אם יהיה להם עותק, כל אזרח, עיתונאי או מרגל ישראלי שיגיע למדינת האויב עם דרכון זר - יזוהה מיד כישראלי על פי טביעות אצבעותיו, ולכן מיד ייחשד כמרגל. 

זו אכן בעיה, ובעיה שפיצול המאגרים שיורם אורן דיבר עליה כלל לא מטפלת בה - אין צורך לדעת שמאן-דהו הוא פלוני אלמוני בעזרת טביעת האצבע שלו; מספיק לדעת “הברנש שמולנו כרגע מופיע בתוך המאגר הישראלי” כדי להפוך אותו לחשוד. בינואר 2010 חוסל בדובאי טרוריסט בשם מבחוח. תוך חודש בערך פרסמה משטרת דובאי תמונות של 11 חשודים בביצוע החיסול (מאז מספר החשודים רק עלה ועלה וכרגע אני מנחש שהוא עומד על בסביבות ה-137,000 איש) שכולם הגיעו לדובאי עם דרכונים אירופאיים. כעת, הבה ונניח את ההנחה המופרכת שמבחוח אכן חוסל על ידי ישראלים. נניח גם שאותם ישראלים, בעודם זאטוטים בני 12, היו מוסיפים את טביעות אצבעותיהם למאגר הביומטרי. נניח שהמאגר היה מודלף שנה אחר כך. כמובן שהוא היה מגיע לכל מקום בעולם. כעת, אם אותם 11 הנועזים היו מנסים להיכנס לדובאי, ולא משנה באיזה דרכון, היו יודעים מייד שהם חשודים בקשר לישראל, שכן טביעת אצבעם הייתה מופיעה בעותק הישן שהודלף של המאגר. האם אותם 11 נועזים עדיין היו מסוגלים לבצע את החיסול, או שהם היו מועפים מדובאי חיש קל, או מושמים תחת מעקב, או גרוע מכך? המוסד היה צריך לגייס סוכנים לא ישראליים, או למצוא דרך לשנות את טביעות אצבעותיהם של המצטרפים לשורותיו (סתם להדביק רפידה על האצבע לא יעזור - אני מניח שביקורת הגבולות בדובאי לא תהיה מורכבת ממטומטמים). אני מניח שהבעייתיות ברורה לכם. אפשר לחזור על הסיפור גם עם עיתונאים ישראליים נועזים שמסתננים למדינות אויב עם דרכון זר (ה”נועזים” כאן אינו בלעג; אני מעריך מאוד את אומץ לבם של העיתונאים הללו שלוקחים על עצמם סיכון לא מבוטל באופן הזה) וגם הם לא יוכלו לעשות מאום אם טביעות האצבע שלהם ישוטטו חופשי בעולם.

מאגר זה גם יאפשר לאויב לייצר זיופי טביעות אצבע שישכנעו את ביקורת הגבולות ומשרד הפנים בדבר אזרחותו הישראלית של כל מרגל זר.  הטיעון הזה נראה לי חלש בהרבה. האם אכן אפשר להשתמש במאגר כדי לזייף טביעות אצבע באופן משכנע? דוד אטיאס, ראש מעבדת השוואת טביעות אצבע במשטרת ישראל, בדיון של ה-30/6/2009: לגבי מאגר טביעות אצבע. במונחים הפליליים של מאגרי טביעות אצבע, אם אני לוקח רק את תמונות טביעות האצבע וגם את תבניות טביעות האצבע בלבד, ללא כל נתוני זיהוי אחרים, אי-אפשר לעשות איתם כלום. ממש לא ניתן לעשות עם זה כלום. אחרי הוועדה אני מוכן לתת את טביעת האצבע שלי למי שרוצה. ממש לא ניתן לעשות עם זה כלום. 

בנושא של הפללה. כמו שיורם הזכיר, צריכים להיות מעצמת על, שיהיו לו יותר כורים מצ’רנוביל, על מנת שבכלל תשכיל ותוכל לזייף טביעת אצבע על מנת לשתול אותה בזירת העבירה. אני חושב שיהיה יותר קל לפענח את אותו כרטיס ואת אותו שבב מאשר את אותה טביעת אצבע. אני אומר לך את זה בבטחה.

מה יורם הזכיר? ובכן:

יורם אורן: נושא נוסף שעלה כאן בצורה די סוערת, נושא ההפללה. אני חושב שחשוב לזכור - ויושב פה דוד אטיאס ממז”פ ואשמח אם רשות הדיבור תעבור אליו כי הוא יכול להציג את הנושא בצורה הרבה יותר מוסמכת ממני. זה רף טכנולוגי מאוד גבוה לחצות את הסף של מז”פ, בשתילה של טביעת אצבע בזירת עבירה. אני אפילו מטיל ספק אם יש מישהו בעולם שיודע לעשות את זה נכון. לראות את זה בסרטים זה דבר אחד. לעשות את זה במציאות זה דבר אחר לגמרי. 

כאן אני בהחלט מוכן להאמין לדוד אטיאס ויורם אורן - גם אם המאגר הביומטרי נפרץ, כנראה שזה לא יאפשר להשתיל טביעות אצבע של אנשים בזירות פשע. כמובן, אם יבוא אדם מוסמך אחר ויטען שזה אפשרי (או יותר טוב, יוכיח שזה אפשרי על ידי כך שהוא יעשה זאת) אשנה את דעתי…

מה שאפשר לעשות הוא להתגבר על מערכות הגנה ביומטריות “טיפשות”. אבל לעבוד על חוקר מז”פ או על אדם שמטרתו לוודא שאתה לא מדביק רפידה כלשהי לאצבע כשאתה נותן את הטביעה שלך - זה נראה לי קצת יותר קשה.

חזרה אל המאמר של אלי ביהם:

גם היכולות שאינן בתחום אבטחת המחשבים חמורות ביותר, כולל יכולת המעקב אחרי אזרחים באמצעות מצלמות אבטחה וזיהוי פנים, וגם על ידי בדיקת טביעות אצבעות במקומות פרטיים או ציבוריים תוך זיהוי למי הן שייכות.  זהו אספקט אחד של טיעון “האח הגדול”. זה ללא ספק הטיעון המרכזי שצריך להפנות כנגד תומכי המאגר, ולכן אקדיש לו שאלה בפני עצמה - השאלה החשובה ביותר שניתן לשאול בכל הנושא הזה, לטעמי. נעזוב את זה לבינתיים. אני חוזר שוב שבניגוד לסיסמא במחשב, טביעות אצבע הן תכונה קבועה שקשה לשנות, כך שכל החסרונות הללו ורבים אחרים ימשיכו להתקיים כל עוד “דור המדבר” שטביעותיו במאגר ממשיך לחיות. דליפת המאגר תהיה פשוט קטסטרופה - אסון בלתי ניתן לתיקון. 

זו נקודה מהותית. אם המאגר דולף, אז נזקי הדליפה - יהיו אשר יהיו - ימשיכו להתקיים במשך עשרות שנים, מכיוון שטביעות אצבע קשה ביותר להחליף ואין סיכוי שרוב אזרחי המדינה יעשו זאת. אם מחר בבוקר יודלפו כל מספרי כרטיסי האשראי של אזרחי המדינה, זו תהיה מהומה אדירה ופאשלה איומה, אבל הנזקים שלה לא יהיו מהותיים - כל אזרח במדינה יחליף את מספר האשראי שלו, וחסל. זה יהיה נזק שאפשר לתקן חיש קל. לעומת זאת אם כל טביעות האצבע של כל האזרחים במדינה דולפות, זה משהו שלא יהיה ניתן לתקן כלל.

אבל מה עם מה שיורם אורן אמר קודם, על חלון הראווה? ובכן, עם כל הערכתי ליורם אורן, הטיעון הזה נראה לי קלוש ותלוש מאוד. נניח שאני גורם עוין שרוצה טביעות אצבע של כל אזרחי המדינה. איך בדיוק חלון ראווה יעזור לי? מה, אני אבוא אליו כל יום עם ערכה ללקיחת טביעת אצבעות? אשלח אלפי שליחים שיפשטו על חלונות ראווה בכל הארץ? הקשיים הלוגיסטיים כאן מטורפים, וממש לא מובטח לי שאצליח לתפוס את טביעות האצבע של כל האזרחים כך. מי בכלל נוגע בחלונות ראווה? האם יש משטחים כלשהם שבהם כל האזרחים נוגעים, אבל באופן כזה שנגיעות חוזרות ונשנות לא מוחקות את טביעות האצבע של האנשים הקודמים שנגעו באותו משטח (למשל, בכספומט)? זה באמת לא רציני. אני ממש בספק אם איסוף טביעות אצבע המוני יכול להתבצע באופן “פיראטי” שכזה והתוצאה שתושג תהיה באיכות שמתקרבת לאיכות של מאגר שנבנה על ידי המדינה שעברה אזרח אזרח עם ערכה מתאימה ללקיחת טביעות אצבע. אשמח אם יתקנו אותי אם אני טועה.

בקשר לאח הגדול...

זהו, למעשה, החלק החשוב ביותר בפוסט. אין מנוס מלהגיד משהו על חוסר היכולת שלנו, כאזרחים, לסמוך על הממשלה שלנו, ועל חברי הכנסת שלנו, ועל רשויות אכיפת החוק שלנו, ועל כל אותם אנשים שאומרים לנו ש”יהיה בסדר”, וזאת למצער לאור ההתנהלות שלהם במהלך הקמת המאגר. אבל החלק הזה יחכה לפוסט נפרד; הן בגלל שהוא ראוי לפוסט נפרד, והן בגלל שפרוקוטול הועידה האחרונה - זו שכל כך הקציפה אותי עד שכתבתי את הפוסט הזה - טרם פורסם (ואני מאוד מקווה שהוא יפורסם!)


נהניתם? התעניינתם? אם תרצו, אתם מוזמנים לתת טיפ:

Buy Me a Coffee at ko-fi.com