ניב ליליאן כתב על ההצעה שזרק לחלל האוויר עדי שמיר בזמן הדיונים אתמול. הרעיון הוא לעבור מזיהוי חד-חד ערכי למצב שבו קבוצות (נגיד מאה איש ומאה תמונות וטביעות אצבע) נזרקים ביחד באותה הפיילה. הזיהוי, לדבריו, יהיה בודאות של 100 מתוך 7 מליון במקום אחד מ7 מליון, וכך המאגר "די אמין" באימות זהות, אבל אם המאגר דולף הוא "לא שמיש" לזייפני זהות.
אבל לגנוב לי בקבוק בירה עם טביעת אצבע ולכייס לי את הארנק כשאני מוסח בפאב זה עדיין אפשרי? איך נמנעה פה גניבת זהות אם הטביעה הזו עדיין תזהה אותי מול מחשבי ממשלה, וה"סיסמא" לא ניתנת להחלפה?
לכן אני מודה שלי אישית ההצעה נשמעה טיפה נאיבית ולא מבושלת בלשון המעטה.
אני לא יודע אם פרופסור שמיר עצר לחשוב מעבר למתמטיקה או שפשוט זרק לאוויר את הרעיון "נא". אני רוצה להאמין למשל שביהם בחיים לא היה פולט דבר כזה כי הוא לא מסתכל רק על הפתרון המתמטי אלא גם על הצד הפראקטי של השוואת רשימות. אפילו במצב תיאורטי אידאלי של מאגר נאיבי, הדבר היחידי שזה "פותר" זה את השאלה של מה קורה אם דולף המאגר, וברור שבנקודת ההזדהות מוצלבים מחדש שמי, פני, מספר הת"ז שלי וטביעת האצבע ממילא בכל פעם שאזדהה, ומי אומר שאותה נקודה (קיוסק מידע או מחשב אישי ביתי) אמינה ונקיה מוירוסים ומאזיני RFID וכולי? הבטחון של מערכת עמימות "1 מתוך 100" שכזו איננו שונה מהמערכת המוצעת הנוכחית למעשה מבחינת במ"מ בנקודות הקצה, שהופכות להיות נקודה יותר מעניינת לגנבי הזהות (ויותר קשה להגנה ממאגר מרכזי).
אני יכול לדמיין כאן כמה התקפות – הרי אם שולחים למאגר את מספר תעודת הזהות שלי והוא מחזיר מאה ט"א אפשריות לתחנת הקצה שמשווה את כולן לאצבע (או אצבעון לטקס) שהצגתי למסוף, המסוף יודע עלי עכשיו יותר מאשר המאגר המרכזי – עדיף לשאוב ממנו מידע בטיפטופים מאשר להתקיף את המאגר בירושלים בבונקר… ובכל מקרה עדיין עומד פה מסוף שרוב האנשים לא יטרחו לנגב את טביעת האצבע שלהם מחלונית הסורק שלו אחרי השימוש.
אגב הועלה גם הרעיון של מאגר של גיבובים (HASH), אני לא יודע מספיק כדי להגיד מה דעתי עליו (טיפה יותר טוב ממאגר מידע מקורי אבל עדיין בעייתי?). על כל פנים ברור לי שכל מצב שבו הטביעה או התמונה מאוחסנות בצורתן המלאה (ולא רק גיבוב של הפירוק הפרמטרי) בכרטיס (במיוחד RFID) או במאגר, אינו מקובל עלי לחלוטין, ולא אכפת לי אילו עמימויות עדי שמיר מציע כאן. ארחיק ואומר שצוות המאבק כבר מקבל תעודות ביומטריות כרוע הכרחי, אבל למעשה כמו פרופ' ביהם גם תעודת זיהוי ביומטרית ללא מאגר מטרידה אותי. הסיבה היא ההתקהות של פקידים שנסמכים על הטכנוקרטיה הזו. אני מפחד מהיום שאצבעוני לטקס ישתוללו חופשי, פקידים יתעלמו בפיהוק כשיבוא מישהו שונה לגמרי מהתמונה, כי מהר מאוד הם ילמדו להגיד ש"המכונה אמרה שזה הוא אז חשבתי שהוא הסתפר או משהו". במקרה הממש גרוע יצומצמו כמויות הפקידים לקבלת קהל (צפו גל שביתות) ויוחלפו בקיוסקי מידע אלקטרוניים, וביום שיגלו את היקף זיופי הזהות בהם וגם יעיזו להודות שידעו את זה מזה זמן אבל אף אחד לא רצה ליטול אחריות, יצטרכו לשכור מחדש ולאמן דור חדש של פקידים (או, בינינו, עובדי קבלן), והברדק ימשך חודשים ארוכים.
שאננות מפעילי האמצעים הטכנוקרטיים תקרה בהכרח והיא מסוכנת, סוף פסוק.
היי עירא,
אני הראשון להגיב? יאי! אני ראשון!!!!111
חשוב לציין שהכתבה שלי הסתמכה (מן הסתם) באופן נרחב על מה שעדי שמיר כתב. בניגוד אליך, לי יש ידע מאוד בסיסי בקריפטוגרפיה, אבל איכשהו, הצעת שמיר נראית לי הגיונית – היה ויקום מאגר.
היום בדרך הביתה חשבתי שכל הוויכוח על הביומטרי בעצם מתנהל בשני מישורים מקבילים: האחד, טכנולוגי. מאוד – איך מאבטחים, ואיך מונעים גניבה של זהות ספציפית, ואולי נעשה HASH וכו' וכו'.
השני הוא חברתי, אולי אפילו פוליטי-מוסרי: האם בכלל, כחברה, נחוץ לנו מאגר כזה, והאם תועלותיו עולות על נזקיו הפוטנציאליים? פרופסור שמיר נגע בעיקר במישור הראשון, אבל בסוף הכתבה נגע במישור השני.
רוב הדיון הציבורי צריך להתקיים במישור השני. העקרוני. אבל היה והפוליטיקאים נחושים בדעתם לא פחות מיוזמי המאגר יהיו אשר יהיו, ואם בג"צ יפול והמאגר יהפוך לעובדה מוגמרת בחיינו – כן, בהחלט הייתי רוצה שעדי שמיר יהיה הבנאדם שיעצב אותו.
אז אני אשן בשקט בלילה. עד ש"שירות הביטחון לחוקה" יבואו לקחת אותי וישימו לי שקית שחורה על הראש, כמובן.
יש לויכוח צדדים חברתיים, משפטיים, פוליטיים, חקיקתיים, כלכליים, בטחוניים, ואפילו קצת דתיים… "משהו לכל אחד", אבל גם משהו לעצבן כל אחד אם הוא רק יבין את שלל הבעיות בכל תחום פה – וההסברים לרוב לא ברורים ופשוטים, לצערי…
אגב, ניב, "שירות הבטחון לחוקה"? על איזו חוקה אתה מדבר? לעג לרש, לא יפה.
ולא להתחיל סכסוך נוסף, אני לא רוצה שאף אדם בודד יעצב את המאגר, גם לא שמיר. אני מעדיף צוות, עם פרקליט שטן אחד לפחות כדי שלא יהיה שם groupthink מסוכן כמו שנראה שיש בצד של שטרית.
אני גם רוצה שכל התקנים יהיו ידועים ופתוחים לדיון ציבורי, כך נגרום למאגר להיות סודי באמת, ע"י שנחשוף את השיטות לכמה שיותר עיניים שיחפשו כשלים. שיטות אינן סוד. הסודות הם מיקומי מרכזי המחשוב ומפתחות ההצפנה. כל השאר חייב להיות גלוי לביקורת.
עירא, בבקשה לא לסכסך בין אלי ביהם לבין עדי שמיר.
עדי שמיר הוא בהחלט אדם בעל שם עולמי בתחום ובוודאי שלא נח על זרי הדפנה מאז המצאת RSA.
(אם כי באופן כללי אני מסכים עם הניתוח שלך כאן)
נראה לך שיתחיל בינהם סיכסוך בגלל מה שנכתב אצל איזה בלוגר פלוץ שלא למד קריפטוגרפיה מעבר לחצי קורס בתואר ראשון? מי אני ומה אני, יבחוש בן שלולית!
אני לא מזלזל בשני הפרופסורים האלו לרגע, אני רק חושב שזו היתה הצעה נאיבית ומוזרה בהקשר שהיא נזרקה בו לחלל האוויר.
עירא: קח בחשבון ששמיר הוא איש אקדמיה, לא פוליטיקאי. באקדמיה מקובל לחלוטין לזרוק הצעות לאוויר גם אם לא חשבת עליהן עד הסוף. גם כשיש לך הצעה שיש איתה בעיות, יש סיכוי שמישהו בסביבה יעשה ממנה משהו מועיל. ככה מחקר עובד. יתכן ששמיר הרגיש בנוח מדי. ותשמע, זה בהחלט לא רעיון רע, במובן שאם כבר יקום מאגר ביומטרי, נראה עדיף שיהיה מיושם הרעיון של שמיר. כמובן שיתכן שהדבר החכם הוא לא להציע כלום אלא פשוט להתנגד למאגר בכל תוקף. אבל, כמו שאמרתי, שמיר הוא איש אקדמיה. ככה זה.
קצת מגוחך לצטט את עצמי, אבל הנה ההסבר שנתתי בבלוג של קלינגר לפני כמה שעות:
הבעיה היא לא בדיוק שאיש לא יישם את הרעיון של שמיר, אלא שהרעיון מניח שהתשובה לכל שאילתא למאגר נמחקת כמעט מיד. למרבה הצער, כפי שהדגיש חיים רביה, המאגר צפוי לקבל כמות גדולה מאוד של שאילתות, שהתשובות להן ישמרו "עד תום ההליכים". כשמדובר במשטרה או בשב"כ, חלק מההליכים יהיה (ובצדק מזוית הראיה של זיהוי פלילי) לאמת איזה ממאה הנתונים הביומטריים שייך לאיזה שם.
גם שמיר וגם ביהם הניחו (בפתרונות האלגוריתמיים, לא בתפישת עולמם), שיש למעשה מאגר יחיד. כפי שברור מהחוק, כמעט לכל רשות בישראל יהיה עותק של חלק מהמאגר. עותק זה יישמר לפרק זמן מוגבל, אך ארוך, וכיון שיהיה בשמוש מתמיד, לא יהיה מוגן היטב.
זו גם הסיבה שאמירתו של עמידרור "ישראל יודעת להגן על סודותיה" תלושה מהמציאות. ישראל יודעת – כמו כל מדינה אחרת – להגן על סודות שאיש לא רואה. היא לא תוכל להגן על סודות שישהיו חשופים לעשרות אלפי אנשים (מבזק: בדימונה, זה לא באמת מפעל טקסטיל).
סוף ציטוט.
בחזרה לענינו: ניב – זה לא יעזור אם התכנון של החלק המוגן ביותר יהיה מושלם (ביום רביעי כבר הגיע לאפי ניחוחם הערב של מאמרים מלומדים בשלבי בישול), נקודת התורפה הגדולה ביותר של החוק היתה ותישאר עצם קיומו של המאגר. מהרגע הראשון לקיומו, זרועות אכיפת החוק יעוטו עליו, ומרגע זה ואילך, רמת האבטחה של המידע שבידיהן תהיה אפסית.
במשך הדיונים בכנסת הקודמת שקדמו לקבלת 'חוק האח הגדול'- זה שמקים מאגר של כל מספרי הטלפון והמספרים הסידוריים של כל כרטיס רשת וטלפון – הסבירה המשטרה מדוע היא דורשת לבטל איסור קודם שאסר עליה לקיים מאגר מספרי טלפונים שמאפשר חיפוש הופכי '441' זאת אומרת כזה שאם מכניסים בו מספר מקבלים שם. בעקבות הדיון בכנסת התקבל החוק החדש שאכן אישר למשטרה להחזיק מאגר 441 כזה. מאותו יום שוטר יכול לקבל פלט שיחות של, לדוגמא, עיתונאי ולדעת מייד לא רק מאיזה מספרי טלפונים התקשרו לעיתונאי אלא גם מי התקשר אליו.
מדוע זה קשור לתקנה שמציע עדי שמיר? כי כך נראה הדיון בכנסת שהוביל לחוק:
"רב פקד אליעזר כהנא מלשכת היועץ המשפטי של המשטרה, הסביר בישיבה הראשונה שנערכה ב-16 באפריל, למה המשטרה כל כך רוצה את מאגר ה-441: "כשאני עושה האזנת סתר, אני יושב וחוקר, כמו אהבל, שם-שם, 200 רשומות, מי האדם, ועל כל דבר כזה אני צריך ללכת לחברה, להביא את הנתון שמית, לשלם על זה. זה המון זמן, המון כסף. אין שום היגיון בכך שאני לא מחזיק את המאגר הזה“
http://www.haaretz.com/captain/spages/890063
כמובן שבדיון בכנסת לא הופיעו כל אותם עשרות או מאות אלפי אזרחים שלמרות שלא עברו על שום חוק, רב פקד כהנא (ואלה העובדים אותו, והחברים שלהם, גם אלה שלא עובדים במשטרה כי הרי אנחנו יודעים איך העניינים עובדים, וחוקרים פרטיים וכן הלאה) יחטטו כרצונם בחיים האישיים שלהם.
אם חוק שטרית יתקבל ו'תקנת העמעום של עדי שמיר' תצטרף אליו, מעניין כמה זמן יקח עד שרב פקד אליעזר יסביר שהוא "יושב כמו אהבל, אצבע אצבע, 200 רשומות" וישכנע את הכנסת לשנות את התקנה.
כרגע, המרחק של רב פקד כהנא מלהשיג את מבוקשו הוא נטילת 7 מיליון טביעות אצבע. זה מרחק גדול. אם חוק שטרית יתקבל, המרחק יצטמצם לישיבה אחת בכנסת עם וועדה מלאה שטריתים.
amen!
הצעת יעול – כדי לחסוך למשטרה כאב ראש ועיכובים בחקירה ולפתור את בעיות הפרטיות שלנו, אני מציע שיחוקקו חוק שעל כל עברין למלא את חובתו כאזרח ולהסגיר את עצמו במשטרה עם הודאה מלאה שהכין בבית כדי לחסוך למדינה זמן וכסף. המשטרה נורא עסוקה ואין לה זמן לשחק ב"שוטרים וגנבים". עברייני ישראל – קצת התחשבות, אין להם תקציב!
ועכשיו ברצינות, יש את המאגר הביומטרי בסין (שם מרכזת אותו אם אינני טועה סיסקו). שוטרים הולכים ברחוב עם מסופים מקוונים דומים לאלו של פקחי עיריה בארץ, עוצרים אנשים אקראיים ברחוב ומשווים את התעודה לצילום פנים במסוף, וכך מתנהל רישום תנועות ברזולוציה כזו או אחרת, באזורים מסוימים בעיר יפגוש כל אזרח סיני שוטר ויאוכן בממוצע פעם ביום. זה היה התיאור שקראתי לפני 5-6 שנים בהארץ, מאז אני בטוח שמצלמות בפינות רחוב דוגמות הרבה יותר מידע בלי לבזבז לשוטרים יותר מדי זמן. אני בטוח שהרב (פקד) כהנא יעודד טכנוקרטיה משופרת שכזו.
עירא, בכוונה המצאתי שירות ביטחון שלא קיים… 🙂 זה בדיוק כמו שרוצים להקים בית משפט לחוקה – בלי חוקה. אירוניה וציניות. ואכן, באתי עם חופן מלח. איפה הפצעים?
הי ניב, הפצעים החדשים פה.
אני הגעתי למסקנה שצריך פשוט לפתור את בעית ההרכשה הכפולה בצורה שלא דורשת מאגר וסוף לסיפור. לארגן לך מומחים לראיון?