SHA-1 מט

למי שלא מעודכן בעולם הקריפטוגרפיה, עוד אלגוריתם האשינג התגלה כחלש, לאחר שב-2005 נתגלו עדויות שיש מצב שהוא בעייתי מתמטית. זה לאחר שבחודשים האחרונים התגלה שגם מאוד קל לייצר זיוף של MD5 (עדיין, לא להבהל. אלא אם כן יוכיחו אחרת, מידע שחתום ומוודא גם עם MD5 וגם SHA-1, עדיין בלתי ניתן לזיוף). משפחת הSHA-2 עוד לא ממש החליפה אותו במוצרים בשוק, אבל כיון שמדובר במשפחת פונקציות מאוד דומות רק של יותר ביטים, אין מניעה שגם זה אולי יקרה בעתיד. בינתיים יש מרוץ לבחירה פתוחה באלגוריתם שיקבל את הציון SHA-3.

מה המשמעויות הפראקטיות? ובכן פרויקט דביאן מבקש מהחברים לא להעיף את האלגוריתם מהספריות כי עדיין רשת האמון של מפתחות החתימה מבוססת עליו. במקום זאת, הם ממליצים ראשית להגר ולחתום מחדש עם אלגוריתם חדש יותר, למשל SHA512 ממשפחת SHA-2. לפי מפתח הPGP שלי, זה אומר למשל שאני צריך לבקש חתימה מחדש מחלק מהחותמים הותיקים שלי. אבל לפני שהלכתי לברר אילו מהחתימות צריכות ריענון, מסתבר שאני גם צריך לייצר מפתח חדש כי DSA1024 חייב לצאת גם הוא לגמלאות. דביאן ממליצים על מפתחות RSA2048 ומעלה, וזה אומר ש-1675 מתוך 2243 מפתחי דביאן יצטרכו לייצר מפתחות חדשים.

בנקודה זו, 95% מקוראי הבלוג בוודאי ברחו בצעקות של "מה רוצה ממני המשוגע?! למה זה מעניין אותי?".

ובכן, במדינת ישראל קיים לו חוק החתימה הדיגיטלית כבר 10 שנים. לא הגדירו איך חותמים, באילו שיטות, איך מיוצרים המפתחות, איפה הם נשמרים, איך הם מבוטלים וכולי, רק מוסבר שעל חתימה דיגיטלית אפשר לסמוך יותר מאשר על חתימה בכתב יד, גם בבית משפט. מדינת ישראל רוצה שלכל אחד מאיתנו יהיה כזה, אבל איך מיישמים? אם אכן נגנב המפתח החותם או ששיטת ההצפנה והחתימה נחלשות או נפרצות כמצוין לעיל, הרי שצריך עכשיו להפסיק לסמוך פתאום על מאות מליוני חתימות על מסמכים שבשוק, וצריך לייצר מפתחות חדשים למדינה שלמה, ואנשים יצטרכו להזדהות שוב מול המדינה עם המפתח החדש… בלגן! רוב הסיכויים, כמו שאנחנו מכירים ממשלות, זה שהפקידים יגידו "יקר מדי, לא נורא אם ישתמשו ברמת אבטחה נמוכה יותר? מה כבר יכול לקרות?".

ולמה זה יצליח להם? בגלל שאנשים לא מבינים את הטכנולוגיה והטרמינולוגיה. הציבור לא מבין ולא יבין הצפנה. יתנו לו כרטיס ביד ויגידו לו "אל תאבד אותו" אבל הוא יאבד אותו. יגידו לו לזכור סיסמא והוא ישכח אותה. וזה במקרה הטוב.

במקרה הרע, צפויה לנו מכת גניבות זהות. יום אחד תגלו שמכרתם את הבית, או משכנתם אותו ולא שילמתם, או סתם שבמקרה יש לכם 10 חשבונות בנק מעפולה עד בורות לוץ וכולם בחריגה ולכן גם חשבון הבנק הלגיטימי שלכם מוגבל.

אומר לנו שטרית, שחוק המאגר הביומטרי יארגן את זה ויגן עלינו, אבל אני ואחרים לא מאמינים שזה יקרה (ויום אחד אסיים כבר את הפוסט בנושא), אבל תחשבו על זה שהמשמעויות של מערכות קריפטוגראפיות גולש לנו לחיים, להצבעות אלקטרוניות, לגישה מקוונת לממשל, אבל אם רובנו המוחלט לא מבין את הטכנולוגיה שמתחת, איך יוכל אזרח לנצל את הכלי לשמירה על עצמו? לדעתי יש בקיעים פה שראוי להם פוסט יום אחד, תקראו לזה הקדמה.

תגובות אוטומטיות

שני חברים שלחו לי בשבוע שעבר בהפרש של 30 דקות בקושי את הלינק לעצומה – החמרת הענישה למתעללים בבעלי חיים. אתר עצומה הוא כלי נחמד לאסוף הרבה שמות של אנשים ולמחות על תופעות שקורות בארץ. לא חסרות בעיות אמיתיות וחשובות – שנים של קסאמים בדרום, שליש מהילדים מתחת קו עוני, בעלי חיים ברחובות, אלימות משפחה, אלימות בכביש, אלימות מילולית, שחיתויות, ועוד הרבה רעות חולות שזקוקות לטיפול. מעניין מה הם הדברים שצפים שם, מי הם האנשים שמריצים את העצומות, למה הם בוחרים את מספר היעד שהם בוחרים, ומה עושים עם כל השמות שלנו כשהם מסיימים את האיסוף.

חתמתי את שמי, והוספתי הערה על כך שנכון שהעונשים לא מספיק חמורים, אבל האנשים שמבצעים את ההתעללויות האלו הם אנשים עם בעיות שדורשות שיקום ולא רק ענישה. אם יש משהו שקריאה בעיתונים, צפיה בדוקומנטרים (וכמובן סרטי כלא וסדרות) מלמדת אותנו, זה שמהכלא אנשים יוצאים לרוב יותר אלימים, ולפחות למדו שם כמה טריקים שלא הכירו קודם או אולי ניסו גם סמים שלא הכירו קודם.

אחרי שלחצתי על כפתור השליחה וראיתי כמה מהתגובות האחרות שנוספו לחתימות, החלטתי לטייל אחורה ולראות מה אגלה. עם 15 חתימות לעמוד טיילתי אחורה כ-60 מסכים (חשבון מהיר אומר עברתי על 900-1000 חתימות, לפחות שעתיים-שלוש אחורה), והנה דברים לציון:

  • את חתימות שני החברים ששלחו לי את הלינק לא מצאתי. גם לא את אלו של בנות זוגם שרגישות כמוהם לנושאי בע"ח.
  • שם העצומה בURL הוא orly75, ולכן ציפיתי למצוא אורלי חתומה בראש העצומה, אבל האורלי הראשונה חתומה ללא שם משפחה רק בעמוד החתימות השני. הצצה חוזרת בתיאור העצומה (שהחלה בבקשת 10,000 חתימות ואז 20,000 ועכשיו 50,000) מראה שאורלי לא טורחת להזדהות, היא רק מציעה לכל מי שרק רוצה לשלוח לינק לעצומה לכלל חברי הכנסת. יופי. יעיל.
  • מתוך כ-1000 החתימות עליהן עברתי היו רובן חסרות הערות, מיעוטן התייחסו ורק אחת(!) נוספת קראה כמוני לשיקום.
  • הקריאה האחרת לשיקום היתה של בת-חן קובלר מגבעת עדה. לא מכיר אותה אבל בגוגל יש רק אחת כזו, ונראה שהיא אכן מהתחום של ריפוי באמנות. גבעת עדה באופן כללי נראה לי הפך להיות מרכז של אנשים ירוקים, מכמות ההקשרים ששם המקום המתוק הזה עלי לי בהם בשנים האחרונות (דיסקליימר, יש לי שם ידידה טובה, וגם היא בעניני כלבים וחתולים וטבע, אין לי ספק שהיא מכירה את אותה בת-חן, לא שאלתי…)
  • מאות אנשים טרחו לציין בין אם בשפה עילגת או גבוהה שלמתעללים בבע"ח מגיע עונש מוות, או עינויים שווי ערך למה שהם העבירו את החיות. אחרים ציינו שהעונש צריך להיות שווה ערך לזה על פגיעה בבני אדם כי "חיות הן בנות משפחה שוות ערך".
  • בעמוד הבית של האתר, רוב העצומות מתייחסות לדברים שטותיים בהרבה.
  • בעמוד ה"הצלחות" סופרים מפעילי האתר את החזרת מפורסתם אחד לתכנית ריאליטי שהדיחה אותו, את גירוש יונית לוי מהמרקע (הצלחה כבירה, אין ספק, בכמה רבדים עובדים פה האירוניה והסרקאזם?), וכמה אחרות שכן חשובות אבל אני תוהה מה היה חלקו של האתר בהזזת גלגלי השיניים (צמצום חגיגות הששים או ביטול סגירת ההוספיס וכולי)
  • בשקט בצד, די מיותמת יושבת העצומה נגד החוק הביומטרי, ובעצם יש שתיים, אבל אין לה עיניים חמודות או נצנוץ סלבריטאי אז אין לה חותמים.

המסקנה שלי היא שעמשראל אולי אוהב להזדעק אבל לא להפעיל את הראש או התחת. אני עובד עם חברים להבין מה אפשר לשנות בגישה הזו, ויש לנו רעיונות. אני מקווה לעדכן כשיהיה לי מה להגיד כבקורת בונה ולא רק כבקורת שוללת. בינתיים שימו לב לפני שאתם מגיבים וחותמים לריק, למי אתם מסייעים ולמי אולי אתם מפריעים לעשות את העבודה הנכונה. כנ"ל העברה אוטומטית של לינקים, כרגיל (וכאן הלינק המתבקש ל"לא רלוונטי").

על פרטיות וביומטריה בישראל

לבקשת חברים, אני מרכז כמה פוסטים בנושאי החוקים הבאים עלינו לרעה מהחודשים האחרונים:

קלינגר » שקר כלשהו | תעודות זהות חכמות ושלטון החוק וגם הקמת מאגר ביומטרי עשויה לפגוע בסחר החוץ של מדינת ישראל, ואחד על האח הגדול צריך להתפטר | משטרת ישראל צריכה להוכיח שהיא יודעת להשתמש בטכנולוגיות מידע.
עדכון: גם אחד על איך המדינה עושה מכולנו כוכבי ריאליטי.

לשכת עו"ד » מאגר ביומטרי יפגע קשות בפרטיות, גם באתר הלשכה וגם עוד התייחסות.

מיכה שפיר » הכשלון של US-VISIT

דורון אופק » [1984] טביעת האצבע מטביעה לי את החופש .., וגם על המאגר הביומטרי של משרד התחבורה. ואחד על תחזיות בריחת המאגר הביומטרי לידי החיזבאללה.

אפי פוקס » חוק זיהוי ביומטרי: מה שלא דוברר (מפחיד במיוחד, מדגים כמה קל לעבוד על מדידות ביומטריות)

ניצן » מי מפחד מהאח הגדול?

עמרי » Legacy of Omlet

עדו קנר » כמה מילים על חוק הזיהוי החדש

שחר אילן » על הקלות הבלתי נסבלת של הגישה לפנקס הבוחרים.

אנונימוס כלשהוא » מה לענות שאומרים לך שרק פושעים צריכים לפחד מהמאגר הביומטרי בתשובה לברכה שמשווה בין תיוג ביומטרי וסירוס(?!).

(אם פיספסתי משהו שווה, תנו צעקה)

וינסטון מתגעגע

מאז שוילי סגר בתל אביב את המסעדה שלו, חיפשתי לי מסעדה רומנית מוצלחת, ולאחרונה אחותי נזכרה שחברה טובה שלה התחתנה עם רומני שמעריץ מסעדה רומנית באשקלון, אבל לא זכרה את השם. היום היא שלחה לי את הלינק למסעדת ניצחון.

– הי, יש להם שם ישר מתוך 1984
– וואלה. לא זיהיתי..
– כי שם הכל "סיגריות הניצחון", "קפה הנצחון", "ג'ין הנצחון". עושה לי אלרגיה :) יש בתל אביב "דפוס הנצחון" ואני תמיד תוהה איך אין להם תמונה ענקית של "האח הגדול" בחלון…
– אבל הם פתוחים 50 שנה. הם היו קודם.
– 1984 נכתב ב1949
– אה גם על זה לא חשבתי. שוב "האח הגדול" צודק (chuckle)

יש לי בקנה כבר כמה זמן פוסט על "ארבעה חודשים, שלושה שבועות ויומיים" שקורה ברומניה טוטליטארית ומפחידה של סוף השמונים, איך הכל מתחבר מוזר…

האח הקטן לטובתך?

שלם רק לפי מה שאתה נוסע, לפי חברת הביטוח האנגלית נוריץ' יוניון.

מתקינים לך קופסא שחורה ברכב שאוספת מליארד מדידות ביום ושולחת אותם בפאקטים קטנים לחברת הביטוח. תשלם פחות אם נסעת פחות, תשלם יותר אם דפקת יותר בלימות חירום או עברת את המהירות החוקית. מי יודע, אולי הקופסא גם תתחיל לבדוק לך שמירת מרחק ממכוניות לפניך ותתמחר לך את ביטוח הרכב בהתאם. ברור שזה טוב לנהגים זהירים וכאלו שנוהגים רק בסופ"ש, אבל שימו לב שזה אומר שחברת הביטוח, כמו הסלולארית ואזעקות בסגנון איתורן יודעות איפה אתה מסתובב. שוב עוד מידע אישי שלך מסתובב איפה שאין לך שליטה עליו. זה טוב או רע?

[סרקאזם] טובי המוחות הבריטיים עובדים שעות נוספות על תמחורי ביטוח. ככה הם פתרו לפני עשרים שנה את בעית האלימות בכדורגל. יש לנו מה ללמוד מהם. [/סרקאזם]