× ×™×‘ לילי×ן כתב על ההצעה שזרק לחלל ×”×וויר עדי שמיר בזמן ×”×“×™×•× ×™× ×תמול. הרעיון ×”×•× ×œ×¢×‘×•×¨ מזיהוי חד-חד ערכי למצב שבו קבוצות (× ×’×™×“ מ××” ×יש ומ××” ×ª×ž×•× ×•×ª וטביעות ×צבע) × ×–×¨×§×™× ×‘×™×—×“ ב×ותה הפיילה. הזיהוי, לדבריו, ×™×”×™×” בוד×ות של 100 מתוך 7 מליון ×‘×ž×§×•× ×חד מ7 מליון, וכך המ×גר "די ×מין" ב×ימות זהות, ×בל ×× ×”×ž×גר דולף ×”×•× "×œ× ×©×ž×™×©" ×œ×–×™×™×¤× ×™ זהות.
×בל ×œ×’× ×•×‘ לי בקבוק בירה ×¢× ×˜×‘×™×¢×ª ×צבע ולכייס לי ×ת ×”××¨× ×§ כש×× ×™ מוסח בפ×ב ×–×” עדיין ×פשרי? ×יך × ×ž× ×¢×” פה ×’× ×™×‘×ª זהות ×× ×”×˜×‘×™×¢×” הזו עדיין תזהה ×ותי מול מחשבי ממשלה, וה"סיסמ×" ×œ× × ×™×ª× ×ª להחלפה?
לכן ×× ×™ מודה שלי ×ישית ההצעה × ×©×ž×¢×” טיפה × ×יבית ×•×œ× ×ž×‘×•×©×œ×ª בלשון המעטה.
×× ×™ ×œ× ×™×•×“×¢ ×× ×¤×¨×•×¤×¡×•×¨ שמיר עצר לחשוב מעבר למתמטיקה ×ו שפשוט זרק ל×וויר ×ת הרעיון "× ×". ×× ×™ רוצה לה×מין למשל ×©×‘×™×”× ×‘×—×™×™× ×œ× ×”×™×” פולט דבר ×›×–×” ×›×™ ×”×•× ×œ× ×ž×¡×ª×›×œ רק על הפתרון המתמטי ××œ× ×’× ×¢×œ הצד הפר×קטי של השוו×ת רשימות. ×פילו במצב תי×ורטי ×יד×לי של מ×גר × ×יבי, הדבר היחידי שזה "פותר" ×–×” ×ת הש×לה של מה קורה ×× ×“×•×œ×£ המ×גר, וברור ×©×‘× ×§×•×“×ª ההזדהות ×ž×•×¦×œ×‘×™× ×ž×—×“×© שמי, ×¤× ×™, מספר הת"×– שלי וטביעת ×”×צבע ×ž×ž×™×œ× ×‘×›×œ ×¤×¢× ×©×זדהה, ומי ×ומר ש×ותה × ×§×•×“×” (קיוסק מידע ×ו מחשב ×ישי ביתי) ××ž×™× ×” ×•× ×§×™×” ×ž×•×™×¨×•×¡×™× ×•×ž××–×™× ×™ RFID וכולי? הבטחון של מערכת עמימות "1 מתוך 100" שכזו ××™× × ×• ×©×•× ×” מהמערכת המוצעת ×”× ×•×›×—×™×ª למעשה ×ž×‘×—×™× ×ª במ"מ ×‘× ×§×•×“×•×ª הקצה, שהופכות להיות × ×§×•×“×” יותר ×ž×¢× ×™×™× ×ª ×œ×’× ×‘×™ הזהות (ויותר קשה ×œ×”×’× ×” ממ×גר מרכזי).
×× ×™ יכול לדמיין ×›×ן כמה התקפות – הרי ×× ×©×•×œ×—×™× ×œ×ž×גר ×ת מספר תעודת הזהות שלי ×•×”×•× ×ž×—×–×™×¨ מ××” ט"× ×פשריות ×œ×ª×—× ×ª הקצה שמשווה ×ת כולן ל×צבע (×ו ×צבעון לטקס) שהצגתי למסוף, המסוף יודע עלי עכשיו יותר מ×שר המ×גר המרכזי – עדיף לש×וב ×ž×ž× ×• מידע ×‘×˜×™×¤×˜×•×¤×™× ×ž×שר להתקיף ×ת המ×גר ×‘×™×¨×•×©×œ×™× ×‘×‘×•× ×§×¨… ובכל מקרה עדיין עומד פה מסוף שרוב ×”×× ×©×™× ×œ× ×™×˜×¨×—×• ×œ× ×’×‘ ×ת טביעת ×”×צבע ×©×œ×”× ×ž×—×œ×•× ×™×ª הסורק שלו ×חרי השימוש.
×גב הועלה ×’× ×”×¨×¢×™×•×Ÿ של מ×גר של ×’×™×‘×•×‘×™× (HASH), ×× ×™ ×œ× ×™×•×“×¢ מספיק כדי להגיד מה דעתי עליו (טיפה יותר טוב ממ×גר מידע מקורי ×בל עדיין בעייתי?). על כל ×¤× ×™× ×‘×¨×•×¨ לי שכל מצב שבו הטביעה ×ו ×”×ª×ž×•× ×” מ××•×—×¡× ×•×ª בצורתן המל××” (×•×œ× ×¨×§ גיבוב של הפירוק הפרמטרי) בכרטיס (במיוחד RFID) ×ו במ×גר, ××™× ×• מקובל עלי לחלוטין, ×•×œ× ×כפת לי ×ילו עמימויות עדי שמיר מציע ×›×ן. ×רחיק ו×ומר שצוות המ×בק כבר מקבל תעודות ביומטריות כרוע הכרחי, ×בל למעשה כמו פרופ' ×‘×™×”× ×’× ×ª×¢×•×“×ª זיהוי ביומטרית ×œ×œ× ×ž×גר מטרידה ×ותי. הסיבה ×”×™× ×”×”×ª×§×”×•×ª של ×¤×§×™×“×™× ×©× ×¡×ž×›×™× ×¢×œ ×”×˜×›× ×•×§×¨×˜×™×” הזו. ×× ×™ מפחד ×ž×”×™×•× ×©××¦×‘×¢×•× ×™ לטקס ישתוללו חופשי, ×¤×§×™×“×™× ×™×ª×¢×œ×ž×• בפיהוק ×›×©×™×‘×•× ×ž×™×©×”×• ×©×•× ×” לגמרי ×ž×”×ª×ž×•× ×”, ×›×™ מהר מ×וד ×”× ×™×œ×ž×“×• להגיד ש"×”×ž×›×•× ×” ×מרה שזה ×”×•× ××– חשבתי ×©×”×•× ×”×¡×ª×¤×¨ ×ו משהו". במקרה הממש גרוע יצומצמו כמויות ×”×¤×§×™×“×™× ×œ×§×‘×œ×ª קהל (צפו גל שביתות) ויוחלפו בקיוסקי מידע ××œ×§×˜×¨×•× ×™×™×, ×•×‘×™×•× ×©×™×’×œ×• ×ת היקף זיופי הזהות ×‘×”× ×•×’× ×™×¢×™×–×• להודות שידעו ×ת ×–×” מזה זמן ×בל ××£ ×חד ×œ× ×¨×¦×” ליטול ×חריות, יצטרכו לשכור מחדש ול×מן דור חדש של ×¤×§×™×“×™× (×ו, ×‘×™× ×™× ×•, עובדי קבלן), והברדק ימשך ×—×•×“×©×™× ×רוכי×.
ש×× × ×•×ª מפעילי ×”××ž×¦×¢×™× ×”×˜×›× ×•×§×¨×˜×™×™× ×ª×§×¨×” בהכרח ×•×”×™× ×ž×¡×•×›× ×ª, סוף פסוק.
היי עירא,
אני הראשון להגיב? יאי! אני ראשון!!!!111
חשוב לציין שהכתבה שלי הסתמכה (מן הסתם) באופן נרחב על מה שעדי שמיר כתב. בניגוד אליך, לי יש ידע מאוד בסיסי בקריפטוגרפיה, אבל איכשהו, הצעת שמיר נראית לי הגיונית – היה ויקום מאגר.
היום בדרך הביתה חשבתי שכל הוויכוח על הביומטרי בעצם מתנהל בשני מישורים מקבילים: האחד, טכנולוגי. מאוד – איך מאבטחים, ואיך מונעים גניבה של זהות ספציפית, ואולי נעשה HASH וכו' וכו'.
השני הוא חברתי, אולי אפילו פוליטי-מוסרי: האם בכלל, כחברה, נחוץ לנו מאגר כזה, והאם תועלותיו עולות על נזקיו הפוטנציאליים? פרופסור שמיר נגע בעיקר במישור הראשון, אבל בסוף הכתבה נגע במישור השני.
רוב הדיון הציבורי צריך להתקיים במישור השני. העקרוני. אבל היה והפוליטיקאים נחושים בדעתם לא פחות מיוזמי המאגר יהיו אשר יהיו, ואם בג"צ יפול והמאגר יהפוך לעובדה מוגמרת בחיינו – כן, בהחלט הייתי רוצה שעדי שמיר יהיה הבנאדם שיעצב אותו.
אז אני אשן בשקט בלילה. עד ש"שירות הביטחון לחוקה" יבואו לקחת אותי וישימו לי שקית שחורה על הראש, כמובן.
יש לויכוח צדדים חברתיים, משפטיים, פוליטיים, חקיקתיים, כלכליים, בטחוניים, ואפילו קצת דתיים… "משהו לכל אחד", אבל גם משהו לעצבן כל אחד אם הוא רק יבין את שלל הבעיות בכל תחום פה – וההסברים לרוב לא ברורים ופשוטים, לצערי…
אגב, ניב, "שירות הבטחון לחוקה"? על איזו חוקה אתה מדבר? לעג לרש, לא יפה.
ולא להתחיל סכסוך נוסף, אני לא רוצה שאף אדם בודד יעצב את המאגר, גם לא שמיר. אני מעדיף צוות, עם פרקליט שטן אחד לפחות כדי שלא יהיה שם groupthink מסוכן כמו שנראה שיש בצד של שטרית.
אני גם רוצה שכל התקנים יהיו ידועים ופתוחים לדיון ציבורי, כך נגרום למאגר להיות סודי באמת, ע"י שנחשוף את השיטות לכמה שיותר עיניים שיחפשו כשלים. שיטות אינן סוד. הסודות הם מיקומי מרכזי המחשוב ומפתחות ההצפנה. כל השאר חייב להיות גלוי לביקורת.
עירא, בבקשה לא לסכסך בין אלי ביהם לבין עדי שמיר.
עדי שמיר הוא בהחלט אדם בעל שם עולמי בתחום ובוודאי שלא נח על זרי הדפנה מאז המצאת RSA.
(אם כי באופן כללי אני מסכים עם הניתוח שלך כאן)
נראה לך שיתחיל בינהם סיכסוך בגלל מה שנכתב אצל איזה בלוגר פלוץ שלא למד קריפטוגרפיה מעבר לחצי קורס בתואר ראשון? מי אני ומה אני, יבחוש בן שלולית!
אני לא מזלזל בשני הפרופסורים האלו לרגע, אני רק חושב שזו היתה הצעה נאיבית ומוזרה בהקשר שהיא נזרקה בו לחלל האוויר.
עירא: קח בחשבון ששמיר הוא איש אקדמיה, לא פוליטיקאי. באקדמיה מקובל לחלוטין לזרוק הצעות לאוויר גם אם לא חשבת עליהן עד הסוף. גם כשיש לך הצעה שיש איתה בעיות, יש סיכוי שמישהו בסביבה יעשה ממנה משהו מועיל. ככה מחקר עובד. יתכן ששמיר הרגיש בנוח מדי. ותשמע, זה בהחלט לא רעיון רע, במובן שאם כבר יקום מאגר ביומטרי, נראה עדיף שיהיה מיושם הרעיון של שמיר. כמובן שיתכן שהדבר החכם הוא לא להציע כלום אלא פשוט להתנגד למאגר בכל תוקף. אבל, כמו שאמרתי, שמיר הוא איש אקדמיה. ככה זה.
קצת מגוחך לצטט את עצמי, אבל הנה ההסבר שנתתי בבלוג של קלינגר לפני כמה שעות:
הבעיה היא לא בדיוק שאיש לא יישם את הרעיון של שמיר, אלא שהרעיון מניח שהתשובה לכל שאילתא למאגר נמחקת כמעט מיד. למרבה הצער, כפי שהדגיש חיים רביה, המאגר צפוי לקבל כמות גדולה מאוד של שאילתות, שהתשובות להן ישמרו "עד תום ההליכים". כשמדובר במשטרה או בשב"כ, חלק מההליכים יהיה (ובצדק מזוית הראיה של זיהוי פלילי) לאמת איזה ממאה הנתונים הביומטריים שייך לאיזה שם.
גם שמיר וגם ביהם הניחו (בפתרונות האלגוריתמיים, לא בתפישת עולמם), שיש למעשה מאגר יחיד. כפי שברור מהחוק, כמעט לכל רשות בישראל יהיה עותק של חלק מהמאגר. עותק זה יישמר לפרק זמן מוגבל, אך ארוך, וכיון שיהיה בשמוש מתמיד, לא יהיה מוגן היטב.
זו גם הסיבה שאמירתו של עמידרור "ישראל יודעת להגן על סודותיה" תלושה מהמציאות. ישראל יודעת – כמו כל מדינה אחרת – להגן על סודות שאיש לא רואה. היא לא תוכל להגן על סודות שישהיו חשופים לעשרות אלפי אנשים (מבזק: בדימונה, זה לא באמת מפעל טקסטיל).
סוף ציטוט.
בחזרה לענינו: ניב – זה לא יעזור אם התכנון של החלק המוגן ביותר יהיה מושלם (ביום רביעי כבר הגיע לאפי ניחוחם הערב של מאמרים מלומדים בשלבי בישול), נקודת התורפה הגדולה ביותר של החוק היתה ותישאר עצם קיומו של המאגר. מהרגע הראשון לקיומו, זרועות אכיפת החוק יעוטו עליו, ומרגע זה ואילך, רמת האבטחה של המידע שבידיהן תהיה אפסית.
במשך הדיונים בכנסת הקודמת שקדמו לקבלת 'חוק האח הגדול'- זה שמקים מאגר של כל מספרי הטלפון והמספרים הסידוריים של כל כרטיס רשת וטלפון – הסבירה המשטרה מדוע היא דורשת לבטל איסור קודם שאסר עליה לקיים מאגר מספרי טלפונים שמאפשר חיפוש הופכי '441' זאת אומרת כזה שאם מכניסים בו מספר מקבלים שם. בעקבות הדיון בכנסת התקבל החוק החדש שאכן אישר למשטרה להחזיק מאגר 441 כזה. מאותו יום שוטר יכול לקבל פלט שיחות של, לדוגמא, עיתונאי ולדעת מייד לא רק מאיזה מספרי טלפונים התקשרו לעיתונאי אלא גם מי התקשר אליו.
מדוע זה קשור לתקנה שמציע עדי שמיר? כי כך נראה הדיון בכנסת שהוביל לחוק:
"רב פקד אליעזר כהנא מלשכת היועץ המשפטי של המשטרה, הסביר בישיבה הראשונה שנערכה ב-16 באפריל, למה המשטרה כל כך רוצה את מאגר ה-441: "כשאני עושה האזנת סתר, אני יושב וחוקר, כמו אהבל, שם-שם, 200 רשומות, מי האדם, ועל כל דבר כזה אני צריך ללכת לחברה, להביא את הנתון שמית, לשלם על זה. זה המון זמן, המון כסף. אין שום היגיון בכך שאני לא מחזיק את המאגר הזה“
http://www.haaretz.com/captain/spages/890063
כמובן שבדיון בכנסת לא הופיעו כל אותם עשרות או מאות אלפי אזרחים שלמרות שלא עברו על שום חוק, רב פקד כהנא (ואלה העובדים אותו, והחברים שלהם, גם אלה שלא עובדים במשטרה כי הרי אנחנו יודעים איך העניינים עובדים, וחוקרים פרטיים וכן הלאה) יחטטו כרצונם בחיים האישיים שלהם.
אם חוק שטרית יתקבל ו'תקנת העמעום של עדי שמיר' תצטרף אליו, מעניין כמה זמן יקח עד שרב פקד אליעזר יסביר שהוא "יושב כמו אהבל, אצבע אצבע, 200 רשומות" וישכנע את הכנסת לשנות את התקנה.
כרגע, המרחק של רב פקד כהנא מלהשיג את מבוקשו הוא נטילת 7 מיליון טביעות אצבע. זה מרחק גדול. אם חוק שטרית יתקבל, המרחק יצטמצם לישיבה אחת בכנסת עם וועדה מלאה שטריתים.
amen!
הצעת יעול – כדי לחסוך למשטרה כאב ראש ועיכובים בחקירה ולפתור את בעיות הפרטיות שלנו, אני מציע שיחוקקו חוק שעל כל עברין למלא את חובתו כאזרח ולהסגיר את עצמו במשטרה עם הודאה מלאה שהכין בבית כדי לחסוך למדינה זמן וכסף. המשטרה נורא עסוקה ואין לה זמן לשחק ב"שוטרים וגנבים". עברייני ישראל – קצת התחשבות, אין להם תקציב!
ועכשיו ברצינות, יש את המאגר הביומטרי בסין (שם מרכזת אותו אם אינני טועה סיסקו). שוטרים הולכים ברחוב עם מסופים מקוונים דומים לאלו של פקחי עיריה בארץ, עוצרים אנשים אקראיים ברחוב ומשווים את התעודה לצילום פנים במסוף, וכך מתנהל רישום תנועות ברזולוציה כזו או אחרת, באזורים מסוימים בעיר יפגוש כל אזרח סיני שוטר ויאוכן בממוצע פעם ביום. זה היה התיאור שקראתי לפני 5-6 שנים בהארץ, מאז אני בטוח שמצלמות בפינות רחוב דוגמות הרבה יותר מידע בלי לבזבז לשוטרים יותר מדי זמן. אני בטוח שהרב (פקד) כהנא יעודד טכנוקרטיה משופרת שכזו.
עירא, בכוונה המצאתי שירות ביטחון שלא קיים… 🙂 זה בדיוק כמו שרוצים להקים בית משפט לחוקה – בלי חוקה. אירוניה וציניות. ואכן, באתי עם חופן מלח. איפה הפצעים?
הי ניב, הפצעים החדשים פה.
אני הגעתי למסקנה שצריך פשוט לפתור את בעית ההרכשה הכפולה בצורה שלא דורשת מאגר וסוף לסיפור. לארגן לך מומחים לראיון?