הפוסט הזה נועד לנסות לסכם את הסיבות שבגללן אני חושב שצריך אנשים שיבואו להפגנה נגד החוק. לא הספקתי לערוך אותו, אתם מוזמנים להעיר לי איפה טעיתי ואיפה צדקתי בתגובות, כי הוא נכתב בחיפזון ולכן עם הרבה פחות הקפדה ממה שאני לרוב דורש מעצמי, ואני מאמין שאני עוד אתקן אותו ואוסיף לינקים בהמשך השבוע. עוד מידע מרוכז במטה המאבק, ודיווחים שוטפים אצל דורון.
ראשית כמה גופים שמסכימים איתנו שהמאגר מיותר וזו כבר סיבה להאמין פחות לשיטרית: המשטרה והשב"כ הודיעו שהמאגר לא יסייע להם בעבודה. לשכת עורכי הדין טענה שהמאגר מסכן את זכויות הפרט והליכי המשפט התקין במדינה.
הירשאוגה כתב בטוש משפט קצת מזלזל וחסר בסיס: "מדוע אם כן אותם ישראלים שמזדרזים לשתף את ציבור הגולשים במעלליהם האינטימיים ביותר בטוויטר ובפייסבוק חוששים מהקמתו של מאגר ביומטרי?", ואני תוהה למה הוא חושב שיש רוב לאנשים כאלה בכלל, ובפרט בתוך קבוצת המתנגדים למאגר הביומטרי הממשלתי (ואם יש לו הוכחות אמיתיות אז אנחנו באמת בצרות). לחלופין השאלה הזו אומרת לי שהוא לא מבין את הבעייתיות והשוני של ההופעה במאגרים השונים האלו.
כן, כמובן שהחשיפה לפייסבוק יש בה מן הבעייתיות ואיבוד הפרטיות, אבל זה פחות מטריד אותי. גם אם אני לא כותב פה ובטוויטר על חיי הפרטיים, יש מספיק חברים שלי שידועים ומוכרים ככאלה, ואפשר לברר עלי מידע ע"י ריגול גם אחריהם או שיטות כאלו, אבל זה לא מאוד משנה את המצב שהיה בטרם האינטרנט, זה מקצר קצת תהליכים. הבעיה עם המאגר הביומטרי היא גניבת זהות, חבות מול שלטון החוק, והקושי בהוכחה לאי קיומה של צאצאית נוספת למי מהורי לאחר מעשה.
חשוב לי גם לציין, אינני נגד תעודות זהות חכמות שיכילו מידע מוצפן עלי שישמש רק במצבים מיוחדים ומוגבלים, אבל אני בהחלט נגד מאגר מרכזי כזה. המטרה היא שהמדינה תוכל לסמוך עלי ואני עליה, תעודה חכמה יכולה לתת את הבטחון הזה. מאגר ביומטרי ימוטט את שני סוגי האמון האלו לגמרי.
בעבר הבאתי לכם רשימת לינקים, אבל לא פירטתי את דעתי. ניתחו את זה לפני אבל אני לא בטוח שהכל כוסה (וגם אני יודע שלפחות ששה-שבעה מהקוראים שלי לא קוראים כמעט בכלל בלוגים אחרים), אז הנה סיכום הנקודות שאני רואה כבעיה. מי שרוצה אגב לראות את החוק כפי שעבר בקריאה ראשונה, מוזמן להוריד את הPDF מכאן. הוא מעט שוכתב מאז אבל העיקר לא שונה.
אי אפשר לסמוך על הממשלה עם מידע אישי
רבות כבר נכתב על הקלות הבלתי נסבלת של הגישה ל"אגרון", התוכנה ומסד הנתונים של כל מרשם התושבים. מדינת ישראל לא מודאגת מהפרטיות שלנו, האגרון הנ"ל מחולקת חופשי לכל מני גורמים (אני מנחש למשל מפעילות סלולאריות, מפעילת כביש 6, עיריות, מפלגות בזמן קמפיינים ואחרים), האגרון מוצאת את עצמה נצרבת בסיטונות בין מתנדבי קמפיינים פוליטיים, עובדי רשויות, חוקרים פרטיים, ואין לי ספק שאי שם באימיול או טורנט כלשהוא תמצאו לכם עותק. אני מכיר לפחות שני אנשים שיש להם עותק ואני מסרב להצעותיהם להחזיק אחד בבית "שיהיה". אבל עם העובדות בשטח אי אפשר להתווכח: קל להצליב עליכם מידע לפי מידע חלקי: שם, כתובת, כתובת עבר, מספר עוסק מורשה שהוא גם תעודת הזהות ועוד הרבה, והגענו לשמחתי הרבה למצב שאפילו שר ממשלה מבין שיש פה בעיה, אבל הוא ממש לא אדם טכני (שמעתי למשל את הרעיונות שלו על שכלול ההצבעות בבחירות בישראל ולא ידעתי אם לצחוק או לבכות). אנשים לא טכניים כאלו יהיו מופקדים על איסוף המידע הביומטרי, ואתם יכולים לדמיין מה אני חושב על זה.
ההצעה האחרונה של ועדת הכנסת להפריד את המידע לשני מאגרים הוא מגוחך לחלוטין לכל מי שמבין איך עובד בסיס נתונים, הרי שני המאגרים בסוף מתייחסים חד-חד ערכית לבני אדם, ולכן צריך להיות שם אינדקס ייחודי, אבל איך יחברו את המאגרים יום אחד אם האינדקס לא זהה? האם מאגר אחד ילך לפי מספרי זהות והשני לפי מספר מומצא חדש? אז איך תמפה את הנתונים לאנשים במאגר אם אתה לא שומר מיפוי ממספר הזהות למספר הנוסף שהוצמד לכל אדם? ברור שיש פה זריקת רעיוני הדיוטי ואידיוטי לאוויר.
המאגר יכיל יותר מדי מידע עלינו
המאגר הביומטרי יכיל למעשה את האגרון, שזה שם מלא, שמות קודמים, כתובות נוכחית והיסטוריות וקרובי משפחה, ובנוסף (לפי המסתמן):
— צילום אחד או יותר ברמה מפורטת של הפנים לפחות מזווית אחת. גם כשהם מדברים על "איכות מופחתת" מדברים על תמונה שמחשב יכול להשתמש בה לזיהוי די טוב בתמונה.
— צילום של טביעת שתי אצבעות לפחות שלכם, או hash של הטביעות (אני לא מכיר את כל השיטות הטכנולוגיות או מה מהן ייושם כאן, צריך לקרוא את הצעת החוק כדי לדעת מה מתוכנן)
— פרטים מזהים אחרים כראות עיני המדינה בהמשך (סריקת טביעת אייריס? אוזניים? זיהויי ביומטריה אחרים?)
כמה נזק אפשר לעשות עם זה? תלוי בעיקר עד כמה קל להשתמש במידע, וכמה המדינה וגופים אחרים מוכנים לסמוך עליו, ראו בנקודות הבאות.
מערכות ביומטריות הן לא אמינות
בטיחות מידע מתפרקת להרבה גורמים, אבל בגדול, יש את הענין של ביסוס אמינות הצדדים המתקשרים, וביסוס בטיחות מעבר המידע ביניהם. אני לא אתחיל לפרט כאן את כל התורה (אתם מוזמנים ללכת לקרוא את ספריו ובלוגו של ברוס שנאייר), אבל בגדול כדי לסמוך על בן השיחה שלכם כדאי לוודא את זהותו בכמה דרכים, ולא להניח הנחות לא זהירות. נהוג לפרק את זה ל"מי אתה", "מה יש לך" ו"מה אתה יודע".
מה אתה יודע: זו סיסמא או מידע כלשהוא שאמור להיות שמור רק במוחו של האדם שרוצה ליצור כאן קשר בטוח עם הצד השני. המערכת של תעודות הזיהוי החכמות אינה דורשת הזדהות שכזו(!!)
מה יש לך: זה חפץ או מידע שהמזדהה נושא עימו את ההעתק היחיד ממנו, ובשמירה סבירה על בטחונו הפיסי של אדם, לא אמור להגנב לו, למשל כרטיס אשראי. במערכת ת.ז. חכמה יש לי את הכרטיס עצמו (ניתן לגנבה, ניתן להחלפה ע"י הגוף המנפק), יש לי טביעת אצבע (שגם אותה ניתן לגנוב או לזייף, אבל אי אפשר להחליף).
מי אתה: זה אמור להיות הזיהוי הביומטרי, אבל זה לא ישים כרגע ואפרט מדוע…
- מערכות לזיהוי פנים כיום נופלות על ההנחה שהמשתמשים בהן תמימים או אדיוטים. על הרבה מהן ניתן לעבוד בעזרת צילום. עם זאת יש לציין שהן מאוד השתכללו, פיקאסה מציעה לכם זיהוי תמונות של החברים שלכם כבר כשנה, ולאחרונה נוספו לשוק אתרים נוספים. עם מאגר תמונות אינטרנטי אפשר לנחש מעט ישראלים, עם מאגר תמונות רשמי של הממשלה אפשר יהיה לזהות את כל הישראלים, ויש לזה משמעויות בטחוניות כשציוד מחשב שיוכל לעשות את זה בזמן אמיתי בשטח יהפוך ממילא לזול יותר ויותר.
אגב, תמונות "באיכות ביומטרית" של עצמי כבר העליתי לרשת לא פעם, וגם שלחתי לממשלת ארה"ב כדי לקבל ויזה, אבל עדיין מטריד אותי הצורך של משרד התחבורה בתמונה כזו ברשיון שלי.
- מערכות לזיהוי טביעות אצבע – אין כזה דבר. לא לחמישה-ששה מליון אזרחים. מה שיש זה מערכת שמזהה אותך לפי מספר סידורי (ת"ז, שם משתמש) ומאשררת אותך בעזרת טביעת האצבע (כמו סיסמא, רק שאצבע, כאמור, אי אפשר להחליף). מה עושים כשאדם הוא קטוע אצבעות או ידיים? או אולי ככדורסלן או חקלאי נשחקות לו הטביעות? או אדם שבגלל סוג עור (תימנים, לפי מה ששמעתי) או תרופות נגד סרטן, אין להם טביעת אצבע ניתנת לקריאה במכונות?
כמו כן, מסתבר שטביעות אצבעות אינן ייחודיות באמת. יש נדירות יותר ונדירות פחות, אבל מערכות ביומטריות (שגם ככה קל לעבוד עליהן) יזהו לכם בממוצע שני אנשים בתוך קהל של 150K איש כבעלי אותה טביעת האצבע. זה בערך אותו הסיכוי כמו למצוא שני אנשים שנולדו לא רק באותו התאריך אלא גם באותן 10 דקות (במילים אחרות, לא נדיר מאוד – טל גלילי יוכל לתת את המספרים המדויקים).
- טביעות אוזניים, ביומטריה של צורת ההליכה – שיטות שנמצאות בחיתולים ונחקרות.
- טביעות עיניים – מכשור יקר למדי (שטרית הרי רוצה שלכולנו יהיו מכשירים כאלו בבית ובכל מקום), אין לי מושג אם הרבה יותר יעיל מטביעות אצבע.
הממשלה רוצה לתת יותר מדי אמון בפעולות שמשתמשות במאגר
לפי אחת מהפרשנויות המשפטיות ששמעתי (אבל לא ברור אם היא נכונה), בתי המשפט מתכוונים או שואפים לסמוך בעיניים כמעט עצומות על חתימות דיגיטליות, בעוד חתימות פיסיות לרוב מכריחות את הגעת בעל החתימה לבית הדין להעיד שהחתימה אכן שלו.
"והמחיר… ללא תחרות!"
ההוצאה של כספי הציבור על המערכת היא אדירה, והתוצאה לדעתי לא תצדיק את ההשקעה. תעודות יזויפו תוך שנים ספורות וגנבי זהות ימצאו דרכים לעבוד על אנשים עם או בלי לעבוד על מחשבים.
והספק? גם ללא תחרות
משום מה 5-6 שנים כבר מדברים על תעודות חכמות אבל משום מה רק לחברת HP יש פתרון שעומד בתנאים. לא מוזר?
הנזק הפלילי, הכלכלי והדמוקרטי יהיה קשה עד בלתי הפיך
מדינה עם חוסן כלכלי כמו בריטניה נוקטת זהירות, ואילו אנחנו נמצאים תמיד על פי תהום. בבריטניה רצו לעשות תעודות זהות חכמות שיכריחו כל אזרח לתת תביעות אצבע למערכת תוך 4-5 שנים מצאת החוק, או שיזכה לקנס כבד, ההצעה נפלה. תקופה של 4-5 שנים היתה מספיקה כדי לראות אם המערכת מועילה לציבור או מסכנת אותו. הצעת החוק של שטרית, לעומתה, דרשה מאסר של שנה לסרבני תביעות האצבעות בתום חצי שנה. הסעיף הזה כנראה יבוטל, ואולי זו תמיד היתה עז שהוכנסה כדי שיהיה על מה להתמקח, אבל עדיין יש פה טעם מר שנשאר בפה, במיוחד כאשר שטרית מצביע פה אחד על אישור שאר הסעיפים. דמוקרטיה דה-מי-קולו.
אם המאגר הזה יגרום, כמו שאני מפחד, לעליה בגניבות הזהות לצורך פשעים כלכליים, וכנראה לא ימנע את הפשעים האחרים, הדרך היחידה לחזור למצב טוב יותר תהיה להחזיר את השיטות הישנות של זיהוי אנשים ולהתחיל מחדש חיפוש אחרי שיטות זיהוי אחרות. זה יקח יותר מדי זמן, כסף, והודאה בטעויות, ואף חבר ממשלה לא יעיז לנסות להכנס לביצה הזו, אף סיעה לא תהיה מוכנה לקחת זאת על עצמה, והעם ישאר לעוד שנים עם המערכת המסוכנת והמסכנת הזו.
בשורה התחתונה – המאגר הזה לא עושה את מה שהוא מתיימר לעשות – למנוע זיופים ולזהות פושעים לפי רמזים בזירה (בירנהק מרחיב). את זה יעשו תעודות חכמות יותר, בלי מאגר. כמו שאני יכול להגיע עם OpenID ולהזדהות בכל מקום בלי לתת לו את הסיסמא שלי.
הערת בעל הבלוג: אני מתנצל בפני קוראי "הפלאנט" שהפוסט הזה לא מופיע שם, אבל התבקשתי שלא לסמן להצגה פוסטים שקשורים לפוליטיקה אבל לא לנושאים של קוד פתוח, ולכן הפוסט הזה שפוט לא מתאים להגדרות. אני מקווה שתקראו אותו בטעות ותבואו להפגין איתנו בכל מקרה.