Boom, and he's just gone. seamlessly.

ראשון היה גדי שמשון שהחזיר את האירוע לפרופורציות, אתמול הוסיף סטולמן בדרכו חסרת הריכוך, וקרא לו "האיש שגרם למחשב-שהוא-כלא להיות מגניב". שניהם לא רחוקים מהאמת. אני ידוע (או רוצה להיות ידוע) כלוחם למען חופש למשתמש, שליטה בטכנולוגיה ביד הלקוח ולא בצד הספק, חירות דיגיטלית. בין השאר זה אומר בלי DRM, גנים נעולים, אם זו מערכת ההפעלה ואם זו אפליקציה בענן. אפל, בעשור האחרון, הפכה להיות נושאת הדגל של הטכנולוגיות האלו, תחת הנהגתו של מר ג'ובס היקר. לא פלא שיש כמה אנשים שלא סובלים אותו.

אבל קודם כל נוריד את הדבר החשוב הזה מלוח הדברים שצריכים להגיד על סטיב. הוא לא היה נחמד, אבל היתה לו לפעמים הצדקה להיות כזה. הוא היה פרפקציוניסט תאב בצע, אבל הוא גם היה מוקף בתעשיה חסרת דמיון. מוקף גיקים טכנולוגיים ומהנדסים בלי שום חוש לסגנון, עיצוב, צורה. אני זוכר שידיד שלי, מעצב תעשייתי ומעריץ של מוצרי אפל (אבל לא מהסוג שיקים אוהלים בתור לקנות את מוצריהם) סיפר לי כשהגיעו להם המכונות השולחניות החדשות לבצלאל. לא רק שהמארז של המחשב האימתני היה יפה ובתוכו הכל היה מסודר נעים ונוח במגירות שליפות, אלא שההודעה בתוך "מכסה המנוע" של המארז לבל תטפל בו כשהחשמל מחובר, היתה כתובה בפונט שעוצב במיוחד כדי להתאים לעיצוב המארז. אחרים נזכרו השבוע בסיפורים על תיקוני סופשבוע של גוון לא מדויק בגראפיקה ושאר פרטים קטנים. גאונות או קטנוניות?

אז אחרים הזכירו איך הוא דפק את ווזניאק כלכלית, או היה צועק על עובדים ומפטר בלי לחשוב פעמיים, וחלקכם מכירים את הסיפור של גניבת הרעיונות מזירוקס, או הסיפור על איך השתולל כשקיבל כרטיס עובד מס' שתיים בחברה אז עד יום מותו היה בעל כרטיס עובד מספר 0. אבל רובכם בוודאי נתקלתם גם בנאום שבו הוא מספר למה לליסה ולמאק היו פונטים כל כך יפים ופרופורציונאליים, או שאתה יודעים שהוא היה הראשון שהתעקש לייצר מדפסות לייזר במחיר בייתי, ואת הפרפקציוניזם שלו אפשר להבין, כי הוא היה המנכ"ל שאהב להיות הEarly Adopter שיעיז להביא את הטכנולוגיות הנכונות לפני שהמתחרים יחליטו. הוא גם היה גאון בשיווק, והבין מנשק משתמש ועיצוב גראפי ותעשייתי "מהבטן", בלי שלמד מעולם עיצוב בחייו. יש מי שיגידו שהתעשיה האמריקנים פשוט לא גידלה כבר שנים איש חזון כמותו, ושהוא האחרון שהבין מה לעזאזל הוא עושה. אני חושב שהוא בעיקר חיפש דרכים למכור לנו טכנולוגיה ולגרום לנו להתמכר לה בלי שנרגיש שזו "טכנולוגיה". אם לקחת פראפראזה פראית פה – הטריק הכי גדול של מוכר הטכנולוגיה היה לגרום לנו לחשוב שהטכנולוגיה באמת עובדת ושקופה.

כתב אתמול גיא ויינר ב+גוג:

התרומה האמיתית של אפל-של-ג'ובס לעולם המחשבים לא היתה טכנולוגית, אלא תרבותית. הם שמו מחשב בכל כיס. הם לא פנו רק לקהל של אנשי-עסקים וחובבי גאג'טים, אלה לכולם, כולל בנות טיפש-עשרה.

עכשיו לכולם יש מחשב עם חיבור לאינטרנט זמין בכל רגע, והם לא מתביישים בזה. "להיות מחובר" זה לא מנהג של חנונים שלא מסוגלים לתקשר עם העולם, אלה צורך מהותי של דור שלם. זה אומר שאין יותר משמעות לידע כללי; שכל חתיכת מידע שפורסמה אין-פעם רחוקה ממך רק בכך שתקליד את מילת-המפתח הנכונה; שכולם יודעים איפה אתה ומה עתה עושה – וההיפך; שדימיון ויכולת להסיק מההקשר יותר חשובים מזיכרון וריכוז. נכון, גם גוגל, פייסבוק, וויקיפדיה ולינוקס עזרו במהפכה הזו, אבל אפל הפכו אותה לאופנה, לפריט-לבוש.

אז נכון שאפל לקחו מתוכנה חופשית את הקרנל החדש שלהם ולא תרמו כלום חזרה, נכון שהטלפונים שלהם היו גן סגור ומגביל, שחנות האפליקציות שלהם מצנזרת למשתמשים את החיים ועושה צרות למפתחים, אפשר להתלונן על כל מיני דברים משוגעים אנשים נתקלו בהן, על שירים שנקנו באייטיונס והפסיקו לנגן אחרי שני שדרוגי מערכת הפעלה, ועוד כהנה זוועות, אבל אי אפשר להכחיש שהאיש ידע להוציא מוצרים יפים, עם גימור חלק, שהשלימו נישות שלקוחות לא ידעו שהיו חסרות (מי אמר טיים מאשין?), ושיווק שיווק שיווק. אני לא משווה אותו לטסלה ואדיסון כמו שמיהרו כמה לייצנים (אפילו את ווזניאק אני לא משווה להם), אבל אפשר חופשי להשוות אותו ליזם שקנה מהזוג מקדונאלד הזקנים את הזכויות לשם דוכן ההמבורגרים שלהם. איש שראה איך אחרים עושים טכנולוגיה ועיצוב וגרם להם לשתף פעולה כמו שאף אחד לא דחף אותם מעולם, ודרך הצלחתו, כולל הצלחת הטכנולוגיות שפחות אהבתי, אילץ את עולם התוכנה החופשית לשנס מתניים, כמו כל המתחרים שלו, ולייצר לנו מטעמים שיוכלו להתחרות בצוות המבריקים שטיפח בקופרטינו. אני מוריד את הכובע. אפילו שלצערי המוצרים המגניבים שלו הם הרבה פעמים מחשב-שהוא-כלא :-)

ניסיתי. לא משהו. (חודשיים בספרצוף)


CIA's 'Facebook' Program Dramatically Cut Agency's Costs

מצד אחד אני שונא את האתר הזה אידאולוגית ונמנע ממנו מסיבות של פראקטיקה. אני לא רוצה שאנשים יתרגלו ליצור איתי קשר שם במקום במייל ובטלפון. אני לא רוצה להשטיח מערכות יחסים (וממילא אני משתדל לא לנהל קשרים חברתיים בצורה פומבית ככלל ואלקטרונית בפרט). אבל יש עובדות שקשה להתעלם מהן. אני מעונין להשתתף באקטיביזם פוליטי, אבל המאבק בביומטרי, פרסומים של התנועה הירוקה, הזמנה להרצאות או הפגנות – הרבה מזה לא נגיש לי (אפילו לקריאה, לא כל שכן לתשובה) אם לא אצור חשבון. רציתי גם לקבל חדשות פנימיות של "קהילת הצ'מפיונז" של בטר פלייס, אבל גם היא חסומה בפני ללא פייסבוק. ארועים של כנסת פתוחה וארגונים אחרים – בלי חשבון פייסבוק יקשה עליכם לגלות איפה ומתי הם קורים. בקיצור, הגן הסגור הזה הופך להיות מעין משאב שאי אפשר להתעלם ממנו, בגלל שהאנשים שלא חולקים איתי את האידאולוגיות והזהירות החליטו שזו פלטפורמה ראויה יותר מבלוג+טוויטר+פליקר ושאר הכלים שאני משתמש בהם, שפתוחים לקהל הרחב בכל עת.

אז סתמתי את האף ופתחתי חשבון ג'ימייל נוסף ויצרתי לי כרטיס מזויף. לא טרחתי להסוות את העובדה שהוא מזויף, המצאתי לו שם שלא נראה מאוד אמיתי. לא רציתי למשוך צומי שלילי, רק להשתתף במה שענין אותי ולצערי היה בלתי זמין מבחוץ. אחרי חודשיים של שימוש מקרטע, אי יכולת (אבל מודה, גם קצת אי-רצון) להתרגל למנשק הפרימיטיבי והמאוד לא נוח, פייספאק החליטו משום מה שאני אינני אני וחסמו את החשבון. חבל לי, אבל אני לא הולך להלחם בזה. אני לא אוהב את הדרך שבה אני צריך לרמות את המערכת כדי להשתתף בשיח הציבורי, או אפילו סתם בדאחקות בין החברה. בחודשיים שהייתי מחובר לאתר יצא לי להפיץ חדשות חשובות לאנשים שלא קראו אותן אחרת, יצא לי לשמוע על אירועים שלא הייתי יודע עליהם אחרת, אבל יצאתי גם מחוזק שאני יכול בלי. אתם יותר ממוזמנים לספר לי כמה אני מפסיד, כל עוד תשלחו לינקים למה שאני מפסיד שלא יצריכו אותי לפתוח עוד פעם חשבון אצל הצוקרברגיה.

נוקיה N900 – מחשב כף יד

כמו כל גרופי של פינגווינים וגנו, רציתי טלפון פתוח. המוקו היה ונשאר משהו בין אלפא לביתא. העיצוב מחריד, המסך לא יפה, ועתיד החברה לא יציב (או למעשה כבר לא קיים). חיכיתי לגרסא יותר חדשה וכמעט נכנעתי לאנדרואיד, אבל אז צץ החמוד הזה. הזמנתי, קיבלתי אותו בשישי בערב, שיחקתי איתו, התקנתי עליו המון דברים, גמרתי לו את הסוללה פעמיים ביום והסתובבתי עם כבל בכיס כדי להטעין אותו בכל צ'אנס (מה אתם חושבים שזה פה, מכונית חשמלית עם עמדות החלפה?) והנה מסקנות ראשוניות: זה לא טלפון חכם, זה לאפטופ ממוזער עם אופצית טלפון סוג ב'. אני לא מצטער שקניתי אותו אבל יש כמה דברים שחייב אדם לדעת לפני שהוא קונה מה שהוא חושב שהוא טלפון.

ראשית חייבים לציין את המובן מאליו – זה טלפון די פתוח. לא ברמה של המוקו שהגיע עם מפרט חומרה ולוחות אם להתעללות, אבל בהחלט משהו שיקדום לRMS לחייך. אפל זה לחובבי צעצועים שלא מפריע להם DRM, מיקרוסופט זה למרובעים שלא מבינים מה טוב בחיים, כיוון ששניהם מסננים תכנים אירוטיים זה מוביל לכך שהאנדרואיד הוא בשביל פורנו. ה-N900 הוא פורנו לגיקים:

  • מערכת הפעלה לינוקס מבוססת דביאן, אפליקציות נוספות במרחק שליחת יד, כולל קרנלים אלטרנטיביים ל-QOS, פילטרים וכדומה.
  • תוכנות מכאן ועד להודעה חדשה בלחיצת כפתור, החל מ-SSH שיאפשר לכם להכנס לטלפון ולנהל אותו, דרך שירותי ווב, IRC, אסטריסק, אופן אופיס ולמעשה כל חבילה שמקומפלת לדביאן על ARM (יש אלפים). תוך דקות התקנתי קישור ללקוח על openVPN והתחברתי עם VNC. עד עכשיו כואב לי הפה מהחיוך.
  • 34 גיגה פלאש פנימי ועוד חריץ הרחבה – יקח זמן לסתום את זה אני חושב.
  • 4-5 דפדפנים שונים, פלאגאינים, משחקים, קוראי רסס, כותבי טוויטר, סקייפ ומסנג'רים מובנים ומאוחדים ברשימת אנשי הקשר, gPoder שמוריד לי לבד פודקאסטים כשאני לא מסתכל ועוד ועוד, חיבוריות מיידית לכל מה שמריח web 2.0
  • מסך מאוד קריא ונעים למגע, לא מושלם כמו אייפון אבל קרוב (והרזולוציה הכי גבוהה עד שיצא האייפון4). מקלדת יחסית נוחה, חיפוש WIFI הכי מהיר שראיתי בחיי ומשדר FM (אני עוד לא סגור למה הוא טוב, ראו בפוסט ההמשך).
  • GPS ומבחר של תוכנות וכלים שמשתמשים בו.
  • כמיטב המסורת הפתוחה, יש לפחות שלוש מערכות הפעלה שרצות עליו (Maemo5 המבוססת דביאן, Meego שתחליף אותה כנראה בדורות הבאים, אנדרואיד שמישהו התאים וקימפל), ויש פתח לעוד אם סופרים את העובדה שאנשים פסיכיים הריצו עליו QEMU ועליו חלונות 98 ושאר שיגעונות למתקדמים.

המסך הוא למעשה דסקטופ וירטואלי של ארבעה פאנלים, אפשר פחות אבל לא יותר (אלא אם מחליפים את מנהל החלונות). אני מקדיש אחד מהם לטלפוניה, שני לטוויטריהף שלישי לסידורים (יומן, דואל) ורביעי לאתרי ווב שונים – כל אפליקציה, איש קשר או URL יכולים לקבל קיצור דרך בצורת אייקון על הדסקטופ, ואיתם יופיעו מיני ווידג'טים אחרים לבחירתכם, למשל וידג'ט של זרם טוויטר, חיווי עומס מעבד וזיכרון ושאר דרכים יצירתיות לסתום את מעט הזכרון שיש לכם לעבוד איתו (רבע גיגה RAM ועוד שלושתרבעי ל-SWAP). אין חיוג מהיר ממנשק הטלפון, לא ברור לי למה, צריך לשים קיצור של איש הקשר על ה"דסקטופ". לחיצה ראשונה תעלה את עמוד הקשר שלו, ושם תצטרכו לבחור אם אתם מתקשרים לאחד מהמסרים שלו, או שולחים לשם SMS, או שולחים לו דואל, IM, שיחת סקייפ-אאוט או סקייפ לסקייפ וכולי וכולי בהתאם לכמה פרטים שהעמסתם על דף הקשר.

לי ברור שנוקיה לא מעסיקה Tap counter.

עכשיו שיהיה ברור, אני מאושר מהמכשיר, אבל אני לא יכול להמליץ עליו אוטומטית לכל אחד, בוודאי שלא כטלפון, ואחרי שהתלהבתי, אני אפרט לכם כמה הזהרות בפוסט הבא. אף אחת מאלו לא אמורה להפחיד אתכם יותר מדי, אבל שלא תופתעו אם רצתם להזמין אותו.

עד שיופק הפוסט הבא (אולי הערב, אולי מחר) אתם יכולים לקפוץ להציץ גם אצל רם-און.

יורם אורן עונה בנוגע ליישום המאגר והכרטיסים החכמים

בחודשים האחרונים נאמנכם העבדקן ועוד ענן אקטיביסטים קיחוטיים הפצצנו בהסברים, הפצרות, הפחדות, תאוריות קנוניה נגד חוק המאגר ויישומיו האפשריים. עכשיו משעבר החוק אני מתחיל לראות יותר מידע אמיתי (למה רק עכשיו?!). בסוף הכנס במכון הישראלי לדמוקרטיה בשבוע שעבר (פורסם הוידאו!) יצא לי לשוחח קצת עם יורם אורן, יועץ משרד הפנים לתשתיות הכרטיסים החכמים והמאגר. המשכנו את השיחה באימייל וקיבלתי הרבה מידע. אני אתן לכם סקירה קלה בסגנון "FAQ". הציטוטים מפי יורם אורן לא נערכים על ידי ומסומנים כציטוט (רקע אפור). ציטוטים שרק "מוקפים בגרשיים" רגילים הם מזכרוני מרב-שיח בע"פ – לא כולם של יורם אבל העברתי דרכו את הפוסט כדי שיתקן אם המידע בהם לא היה נכון.

ראוי לציין שהנוסח של התשובות המצוטטות לא שונה, אבל הרשיתי לעצמי טוויסט קטן של מגמתיות – פרמתי את התשובות מציר הזמן כדי לארגן אותם לפי דעתי האישית על המשתמע מהן ("הטוב, הרע והמכוער") ולקבץ אותן באופן גס לפי נושאים קרובים (לכן יש בעית "קונטיניואיטי" או שתיים ותפקיד הקהל למצוא אותן כמו בכל סרט קולנוע טוב). כמו כן ניסחתי את השאלות שלי כדי שיהפכו את הקריאה לשיחה זורמת. אני מקווה שיצא קריא ואינפורמטיבי, כי נאלצתי גם לצמצם את הדיונים הערכיים כי גם כך הפירוט הטכני הפך את הפוסט הזה לאחד הארוכים בבלוג.

הדגשה מאוחרת: קחו את הנאמר פה בערבון מוגבל, ראו את הפוסט הבא.

הטוב

כמה בטוח המידע על כרטיס תעודת הזהות? מה מיוחד בחומרה?

ההסמכה נותנת רמת סמך גבוהה שגם היצרן יתקשה מאד או לא יוכל לחלץ מפתח מהכרטיס. אם אנחנו לא מאמינים להסמכה אז יוצא מזה שיש קואליציה מקיר לקיר, בין אנשים ממדינות שונות, ודי הרבה אנשים. זה פשוט לא סביר. מה שכן ודאי – אתה נזקק לנגישות פיזית לכרטיס בשביל לתקוף אותו. תקיפות לא פולשניות לא עובדות כבר די הרבה שנים, אפילו מול כרטיסים פשוטים, וכאן מדובר בכרטיס שהוא בהחלט מהעשירון העליון של הכרטיסים. השבב אגב הוא SLE66CX680PE מתוצרת Infineon. בעתיד נעבור לשבב של יצרן אחר, אבל בסך הכול די דומה לו ואפילו יותר טוב. למרות כל מה שאמרתי – הנחת היסוד היא שאם השבב יגיע ליצרן שלו הוא יוכל לתקוף אותו הרבה יותר בקלות מאחרים. נגד זה אין הרבה מה לעשות אבל זה סיכון מחושב שאפשר לחיות איתו, במיוחד אם יתר החלופות הן גרועות בהרבה. המחסום האמיתי נגד תהליך תקיפה כזה אצל היצרן הוא העלות העצומה הדרושה למהלך כזה והזמן הארוך. {תעיף מבט באפיזודה 538 של XKCD בשביל הכיף.} אני מזכיר לך את מה שדיברנו בירושלים: צריך משהו מאובטח, זול ומתוקנן. כרטיס חכם זה הייצור היחידי שעונה על זה בצורה טובה.

ומה יהיו האלגוריתמים לחתימות והצפנות?

אלגוריתם המיצוי יהיה SHA256 לכמה שנים הקרובות, עד שנראה משהו בנושא skein או חלופה אחרת שתהיה מקובלת בעולם אז. בכל מקרה זה לא הכרטיס מחשב (למרות שהוא יכול) כדי להימנע מזמני תקשורת ארוכים.

"התוכנה הנילווית החיצונית תייצר האס SHA-256 ותשלח לכרטיס רק לפעולות הצפנה/חתימה, המפתח הוא RSA2048"

הפאספוס הזה יכול להריץ RSA עם מספרים כאלו גדולים?!

זו לא טעות. ליד המעבד (שהוא מעבד 16 סיביות מוכר ומקובל, עם כמה הרבה הגנות פיזיות) יש על אותו סיליקון מעבד עזר שיודע לבצע חישובים עם מספרים של אלפי סיביות. המעבד הרגיל ממלא לו מערך רגיסטרים, מבקש חישוב ובא אחרי כמה עשרות/מאות מיקרושניות/מילישניות לקחת את התשובה. פעולת חילול זוג מפתחות, בגלל שהצלחתה היא הסתברותית, יכולה לקחת עד 30 שניות.


איך מגלים שמפתח בוטל בלי ליידע את ה-CA על כל טרנזאקציה שאני עושה ועם מי אני עושה אותה?

עובדים לפי PKI מקובל שנותן שני מנגנונים לתעודות מבוטלות: CRL שאתה נזקק להוריד מפעם לפעם, שמכיל מספר סידורי של הסרטיפיקט המבוטל (לא מספר תז) או מנגנון חלופי לבדיקה online בפרוטוקול תקני שנקרא OCSP. כאן יהיה את שניהם, כדי לענות על הצרכים של כאלה שאינם מחוברים לאינטרנט או לא יכולים לבדוק אונליין מכל סיבה שהיא.

מה קורה אם מפתח "שרוף" מייצר חתימות עם תאריכים מזויפים לאחור?

יש שרות time stamp שניתן להשתמש בו, אגב כבר היום. זה מנטרל את האפשרות לזייף תאריכים אחורה.

ואיך אני יכול להגריל מפתח חדש על הכרטיס? לקבל את המפתח על כרטיס חדש אם הוא נפגם פיסית?

אכן המפתח הפרטי איננו יוצא מהכרטיס וניתן לחשב איתו משהו רק לאחר הזנת סיסמת גישה. אין יכולת לשמור עותק של המפתח הפרטי. אם הכרטיס התקלקל או אבד – צריך פשוט להנפיק חדש. זה אולי הנושא שנבדק הכי הרבה בתהליך ההסמכה – כמה זה קשה לחלץ מפתח פרטי מהשבב.

אני עדיין המום מכמה שאנחנו סומכים על אינפיניון, מה אם הם יודעים על דלת אחורית? SEED ידוע לרנדום?

"אין מצב, בגלל זה מצליבים בדיקות משלושה גופי תקינה שונים שמתקיפים את הכרטיס, ויש עליו RNG חומרה אמיתי ומוכח באמינותו. יש גם מנגנונים משלימים במערכות ההנפקה, כך שאבטחת הכרטיס איננה רק פונקציה של השבב."

ומי הם גופי התקינה? מה רמת ההקפדה? איך נדע שאין דלת אחורית למדינה או ל-NSA?

"המפתח מחולל על הכרטיס ולא יוצא ממנו – כל המטרה של הכרטיס היא להגן על המפתח. כלומר אין עותק נוסף של המפתח בשום מקום. לחברה יצרנית מערכת ההפעלה של הכרטיס או ליצרנית השבב היתה יכולה להיות אפשרות להכניס דלת אחורית כזו, אבל בשביל זה המערכת עוברת סרטיפיקציה במעבדות בלתי תלויות ע"פ התקנים."

נושא האבטחה של הכרטיס מכוסה על ידי תקן common criteria? שהוא תקן אבטחה בינלאומי מוכר. רמת ההסמכה של החומרה היא EAL5+ ורמת ההסמכה של מערכת ההפעלה ויישומון ה-JAVA שעל הכרטיס היא EAL4+. אלו רמות גבוהות מאד, המחייבות ניסיונות תקיפה בפועל מול הכרטיס כדי לקבל הסמכה כזו.

נו, אז נגיד שאני סומך על המדינה והמדינה על אינפיניון, ואינפיניון על מפעל החומרה…

"שמע, בשלב כלשהוא אתה חייב לתת אמון בספקים אחרי כל הבדיקות והפרוטוקולים, ויש עוד מנגנונים, ייחודיים למדינת ישראל, שאינם בשליטת אותם ספקים".

אז בוא נדבר על אמון, איך יראה ה-PKI?

לגבי שרשרת ה-PKI הייתה הרבה חשיבה וגובשה ארכיטקטורה חזקה מאד, עם כמה רעיונות יפים אם יורשה לי לטפוח לצוות הפרויקט על השכם. הפילוסופיה בגדול זה הפרדת תפקידים, כך שהפעולות החשובות דורשות מעורבות של כמה גורמים בלתי תלויים. אם אחד הגורמים הוא בעל כוונת זדון הוא מחויב לחבור לעוד גורמים, תוך הקטנת ההסתברות שזה יקרה והעלאת ההסתברות שהוא ייתפס. זה מנסה בהרבה דברים לעקוב אחרי הדירקטיבה האירופאית לחתימה דיגיטאלית, אבל נוגע לכל רמות האבטחה בפרויקט, גם אלו שלא קשורות לחתימה הדיגיטאלית.

אוכל להשתמש במפתחות תוכנה יותר גמישים כמו PGPי? האם הממשלה תהיה מוכנה לקבל חתימות PGP ממפתח שחתם עליו CA מורשה?

אתה חופשי לחלוטין להשתמש במפתח על אמצעי אחר ולא על תעודת הזהות, אם המפתח חתום על ידי CA מוכר בחוק. הייתה בעיה משפטית להכיר ב-CA זר כשחוקקו את החוק ב-2001. אני לא הייתי מעורב בכך אז, כך שאינני בקי בנושא המשפטי (וגם אינני מעוניין להיות…). כיום המצב העצוב הוא שנותר CA מוכר יחיד בישראל. זה רע, הוא גובה הרבה כסף ויש איתו הרבה בעיות אחרות שלא אכנס אליהן כאן. יתרה על כך – שימוש נרחב בחתימה אלקטרונית יוצר אצל אותו CA בסיס נתונים גדול ובעייתי. יש כרגע הליך תיקון לחוק הזה ונקווה שהוא לא יצור בעיות אחרות.

שוב ברמה הפרקטית – הייתי שמח לראות תחרות בשוק הזה. לדעתי האישית יש כאן שוק עצום, בעיקר בנושא ארכיבים ממוחשבים, כי היום שטח הרצפה של ארכיב לעשרות שנים פשוט עולה יותר מדי. אם לא הייתה לי בעיה אתית להיכנס לשוק הזה (עקב תפקידי כיועץ למשרדי ממשלה) – זה נראה לי אחלה עסק שאפשר לפתח. מישהו מעוניין להרים את הכפפה? אני מהמר שהליכי הרגולציה יהיו די פשוטים היום כי משרד המשפטים (הרגולטור) מאד לא מאושר מהמצב שבו יש CA יחיד, בלשון המעטה.

עכשיו שאלה חשובה, מה בעצם כולל המידע שישמר בכרטיס?

"המידע על תעודת הזהות יכלול את הנתונים הטקסטואליים שעל פני התעודה (כגון שם, תאריך לידה / תוקף וכד'), קובץ של התמונה, 2 קבצים של טביעות האצבע, מפתח פרטי וציבורי לאפליקציית חתימה דיגיטאלית (אופציונלי), מידע פר אפליקציה לאפליקציות עתידיות, ומידע לצרכי הנהלת נתונים (מס' סידורי של הכרטיס, מבני הנתונים וכד'). מלבד התמונה, מה שנגיש במקרה כזה הוא רק מה שמודפס על פני הכרטיס, רק בצורה דיגיטאלית – כלומר שלא נתת למי שמחזיק פיזית את הכרטיס משהו שאין לו."

אפליקצית החתימה אופציונלית?

התעודה הדיגיטאלית לחתימה היא בהחלט אופציונאלית, לפי בקשה מפורשת של האזרח. יש עוד תעודה דיגיטאלית שמיועדת להזדהות בלבד, מול שרתים ממשלתיים

וכל קורא יוכל לשמור קאש וליצור מאגר פרטי?

קורא רגיל יכול לגשת רק למידע שנמצא גם על פני התעודה, למעט התמונה. אגירה כזו מנוגדת לחוק כמובן, אבל מי שנגיש למידע ויש לו כוונות זדון יכול לשמור אותו בצד. השאלה האמיתית במקרה כזה – מה ניתן לעשות עם המאגר ועוד יותר – מה ניתן לעשות בלי להיתפס ולהיענש בהתאם לחוק. לדעתי זה לא שמיש, ויהיו כמה אמצעים שיהפכו את זה עוד יותר לא שמיש.

אז למי נגישה התמונה?

קובץ התמונה איננו נגיש לכולם, למרות שיש תמונה מודפסת. למעשה יש שלוש רמות גישה למידע על הכרטיס:

1. מידע נגיש ללא תנאי (זהה למה שמודפס, למעט תמונה) ועוד כמה נתונים ניהוליים כגון גרסת חומרה/JVM/יישומון/מבנה נתונים

2. מידע נגיש תחת הרשאת בעל הכרטיס (באמצעות PIN)

3. מידע נגיש באמצעות סרטיפיקט שמוצג לכרטיס, כך שהקורא חותם על איתגור אקראי שהכרטיס מנפיק לו.

התמונה וטביעות האצבע נגישות בדרך השלישית, כאשר יש סרטיפיקט רק לקריאת תמונה וסרטיפיקט שונה שמורשה לקרוא את שניהם. אין שום כוונה לתת יכולת קריאה כזו לגורמים מסחריים כגון בנקים. למעשה מי שיש לו קורא בבית יצטרך לגשת לראי אם הוא רוצה תמונה של עצמו כי יכולת קריאת התמונה תהיה רק במקומות מבוקרים מאד, על תשתיות מחשוב סגורות ועם לוגים. הרעיון הוא למנוע את הפיתוי לגדל מאגר לא חוקי של תמונות.

מבחינת סרטיפיקטים יהיה על התעודה סרטיפיקט להזדהות בלבד מול שרתים ממשלתיים או אחרים. מי שירצה וגם יבקש בצורה מפורשת יקבל גם סרטיפיקט לחתימה. לכל אחד מהם תהיה סיסמת גישה, 4-8 ספרות/תווים להזדהות ו- 6-8 ספרות/תווים לחתימה. אני שוב מזכיר לך את מה שדיברנו – זוהי סיסמת גישה ולא passphrase כי הצפנת המפתח בזיכרון של השבב נעשית בצורה אחרת, ומטופלת על ידי חומרת השבב, אם המשתמש רוצה או לא (זה תמיד מוצפן, ולשבב יש חיישנים לגורמים לו להתאבד אם הוא השתכנע שיש ניסיון תקיפה).

תהליך ההגנה על התמונה וטביעות האצבע איננו בדיוק התהליך שהוגדר על ידי ה-BSI הגרמני, אבל מדובר בתהליך חזק, עם מספר קצוב של ניסיונות, המספק הגנה מעולה.

לאחר כל התהליך שקורה עכשיו יפורסם מבנה הנתונים לכולם. הדבר היחידי שלא יפורסם הוא שיטת החישוב של סימני ביטחון מסוימים. יש בשבב כמה checksums של המידע שמחושבים באמצעות מנגנון צופן חזק. עצם קיומם יהיה פומבי אבל מנגנון החישוב יפורסם רק אם יקרה אירוע אבטחה חמור של זליגת מפתח חתימה, מה שלא צפוי לקרות כמובן. זה משהו שנועד למקרי הקצה בלבד.


אם כבר עושים מהפכה קריפטוגראפית, חשבתם איך נמנעים מזיהוי חד-חד ערכי בין גופים שונים כדי שלא יעשו עלי הצלבת מאגרי מידע? אני רוצה שיוצג מספר שונה ולא מספר הזהות שלי מול כל גוף, רשת הסופרמרקטים, חנות בגדים וחברת הביטוח לא צריכים כולם להכיר אותי באותו מספר מזהה.

התשובה לזה די מורכבת. כל הניסיונות להימנע ממספר מזהה יחיד אינם ריאליים וכל מנגנוני ה-obfuscation למיניהם לא ממש מספקים את הסחורה. השורה התחתונה היא שמספר האנשים הנגישים לתז שלך הוא עצום, כולל תחנות דלק, בתי קולנוע, פיצריות ועוד. משהו שנגיש למאות אלפי אנשים לא יכול להיחשב סודי, גם אם מאד נרצה את זה. יש איזה מהלך רגולטורי שמשרד המשפטים עושה בנושא זה. אם תרצה אוכל לבקש ממישהו שם לדבר איתך. הכיוון בגדול זה לשלול ברגולציה הרבה דברים שהיום אפשר לעשות אם ידוע לי מספר הזהות.

ומה עם הפונקציות שדורשות בכל זאת אגירה, אפילו זמנית?

אין שמירה של מידע ביומטרי אצל מנפיקי התיעוד מעבר למספר ימים בודדים, עד שתושלם ההנפקה. לאחר מכן המידע נגרס בצורה ודאית ומוחלטת. למעשה אם איבדת את הכרטיס יום אחרי שקיבלת אותו תעבור הרכשה מחדש, כי לאף אחד אין עותק של המידע ולמאגר אסור להעביר אותו. הדבר היחידי שניתן לבצע זה לאמת על פי המאגר שזה באמת אתה שוב, ולא מתחזה בשמך. בגרמניה למשל טביעות האצבע נשמרות חודשיים ובאוסטריה ארבעה חודשים, מאותם מניעים (או שלא?).

השמועות אמרו שיהיה RFID, אח"כ אמרו שהוא יכובה וישמר לשימושים עתידיים, מה הסיפור?

"סתם שמועות, בתעודת הזהות אין RFID, רק בדרכון – לפי דרישות הארגונים הבינלאומיים"

ואיזו הגנה יש מסקימינג?

"לגבי הדרכון, השבב שבו יתקשר באופן אלחוטי ע"פ תקן איזו 14443 ומעל זה פרוטוקול אפליקטיבי שתוקנן ע"י ארגון התעופה הבינ"ל (סוכנות של האו"ם) ומעליו התקן שהוגדר מעלה לאבטחת הגישה לטביעות האצבע. מבחינת סקימינג, התקנים הנ"ל מצפינים את התקשורת האלחוטית כך שקורא צריך להוכיח לשבב שהוא קרא פיזית את דף הפרטים לפני שהשבב מסכים לדבר איתו; אחרי שנוצרת תקשורת היא מוצפנת במפתח ייחודי לכל סשן. במידה ומועברות טביעות האצבע במהלך התקשורת, עוברים לתקן הצפנה חזק יותר שתלוי גם במפתחות הסודיים שהקורא מחזיק ומאשרים לו גישה ולא רק בידיעה של נתונים ציבוריים מדף הפרטים. לא מעט מומחי אבטחה ישבו על התקנים הללו הרבה זמן. הדרכון הישראלי ישתמש בדיוק באותם תקנים בינ"ל ואותם רכיבי מערכת שמשתמשים בהם הדרכונים האירופאיים."

גם אם הכרטיס לא מחלק אינפורמציה גלויה חופשי, קראתי שהוא עדיין מזדהה במעין כתובת MAC קבועה, זו לא בעיה?

התקשורת מוצפנת נגד סקימינג באמצעות מפתח שהוא HASH של שורת ה-OCR השנייה. יש לך בדרכון שתי שורות עם הרבה סימני >>>>>>> – זה פונט מתוקנן שנועד ל-OCR. השורה השנייה כוללת מידע ייחודי לדרכון שלך וממנו מחושב מפתח ההצפנה. אין למידע הזה הרבה אנטרופיה וכמה שעות מחשב ישברו את המפתח, אבל זה מפתח שהוגרל אקראית לאותו סשן. אם במילא יש לך כמה שעות מול הדרכון למה שלא תפתח אותו ותקרא את זה ללא מאמץ? אם הקלטת תקשורת (שזה לא ממש פשוט) תצטרך להשקיע לא מעט כדי לקבל משהו מאד פשוט – נתונים ותמונה. תזכור שאתה בהרבה מקרים נותן את הדרכון במלון לצורך צילום, כדי שהמלון יוכל להוכיח לרשויות המס שם שאתה באמת זר ולא היה צריך לגבות ממך מע"מ. בכל מקרה סקימינג אפשרי רק מטווח מאד קצר (עד כ-40 סנטימטר) כאשר אנטנת הסקימר נמצאת באוריינטציה מאד מסוימת מול הדרכון לפרק זמן ניכר. זה פשוט לא תסריט ריאלי. אם אתה בראש של בידור קל – חפש ביוטיוב את הסרטון של חברה שנקראת FLEXILIS , שחיפשה קצת פרסומת לעצמה. זה מאד משעשע. לא אקלקל לך עם פרומו מילולי…

כשקוראים את טביעות האצבע מהדרכון קורה תהליך יותר מורכב. זה מתחיל בתהליך דיפי-הלמן, שבסופו שני הצדדים (דרכון וקורא) חישבו מפתח משותף. מכאן ואילך הצפנת התקשורת כבר לא מסתמכת על מפתח דל-אנטרופיה כמו קודם אלא על מפתח חזק. הקורא צריך שוב להוכיח לדרכון שמותר לו לקרוא. זה מנגנון כבד ומורכב, אבל גם מאד חזק. הוא עבר בחינה מקיפה וטרם נמצאו בו חולשות. אם נרד רגע לרמה הפרקטית – מנגנון זה מגן על קריאת טביעות חתומות ולא על קריאת טביעות אצבע בכלל, כי המדינה שאתה נוחת בה יכולה להגיד לך לתת טביעות אצבע בלי לקרוא אותן מהדרכון, כמו שקורה בארצות הברית, יפן ועוד מקומות הולכים ורבים. זה יקרה בכל מרחב שנגן בשנים הקרובות.

אבל פורסם שכבר קרו כמה מקרים

לגבי מספר ייחודי של דרכון – שבב כזה אכן נושא מספר ייחודי אבל מספר זה איננו נגיש בתקשורת הרגילה, ללא הצפה. מה שמתקבל בעת הקמת התקשורת זה מספר אקראי מוגרל שנקרא dynamic UID. מספר זה נועד לפרוטוקול של מניעת התנגשויות אם יש יותר משבב בודד בשדה של הקורא. הוא חי כל זמן שיש לשבב אנרגיה, עד ה-reset הבא. פיזור של עמדות סקימרים בעיר זה משהו לא ריאלי כי צריך צפיפות כזו של אנטנות שהקיטורים שלנו על אנטנות סלולריות יתגמדו לעומתה. תזכור שצריך אנטנות באוריינטציה מאד מסוימת אחרת השבב לא יקלוט ולא יענה. זה פשוט לא פרקטי.

מה שהיה בארהב הברית עם סוכני ה-FBI לא קשור לדרכון אלקטרוני אלא לכרטיס long range שעובד בין קנדה וארהב לצורך מעבר גבול. הם קוראים לזה passport card אבל אין לזה קשר לדרכון אלקטרוני ואין שם הצפנה או הגנה כלשהי. המטרה של כרטיס זה היא זיהוי מתוך הרכב והוא קרוב לRFID של הקמעונאות/לוגיסטיקה.

כמה מקפידים לגבי פרטיות מובנית?

מלבד המודל שלנו מצאנו רק מימוש אחד שמתיימר להיות עם תכונות פרטיות מובנות, של חברה הולנדית שנקראת priv-id.nl. הטענות שלהם מעניינות ואני מנסה לברר מה המעמד המדויק שלהם אצל ההולנדים, כלומר האם הם מעורבים/יהיו מעורבים במאגר הביומטרי ההולנדי שעתיד לקום. שאר המימושים שבדקתי (כמו אחד מנורבגיה למשל שאינני זוכר את שמו כרגע) נראו כמו snake oil במיטבו.

וכמה באמת מסוכנת דליפה של מאגר התמונות? יזהו בקלות כל אחד ברחוב עם מצלמה סלולארית?

"זיהוי ע"פ פנים בלבד הוא מוגבל ביותר בכמה מימדים, בכל מקרה דורש בגדלי המאגר האלה לעבור ידנית על מספר גדול מאוד של תוצאות אפשריות (עשרות/מאות של פנים אפשריות שרובן דומות) ולפסול/לאשש אותן בדרכים אחרות שאינן ביומטריות. הצלחת הזיהוי אינה מובטחת. "

אז מה לגבי הסברה ציבורית? דובר לרשות היישומים הביומטריים?

"מוכן לומר את זה להנהלת משרד הפנים ? לא, סתאאאם. אני מקווה שיהיה שינוי בנושא הזה בקרוב אבל פשוט אין לי מושג מתי ואיך."

לגבי הנושא הערכי של המאגר – ויכוח ראוי מאד ובלבד שהוא מתקיים בלי דמגוגיה ובלי להמציא "עובדות" או להתבסס על אמירות לא נכונות או לא מדויקות. לצערי הרב גם כמה אנשי אקדמיה מאד מכובדים מסתמכים ללא בדיקה על מקורות מדיה המונית שאיננה מתחום הידע הרלוונטי, וזה מאד לא ראוי בעיני. זה רדוד ואפילו נגרר לפרסומים מדעיים כביכול וחבל.

אמרתי שאוסיף מעט אבל יצא מאד ארוך. זה טוב גם לי לרכז מפעם לפעם שאלות ותשובות בנושא המורכב הזה, כך שאני מקווה שכולם יצאו נשכרים.

הרע

לדעתך באמת חייבים את המאגר המרכזי?

אני לחלוטין מסכים שזו שאלה ערכית ונפרדת משאלת המימוש הטכנולוגי.

זו עדיין הדרך הפרקטית היחידה להימנע מהרכשה כפולה, אם יש למישהו רעיון מעשי יותר טוב אז אשמח לשמוע.

לגבי דעותי האישיות – זו היתה בהחלט התלבטות לא פשוטה אבל המקרה שלי הוא קל יותר משל אחרים. אני חושב בסופו של יום שזו החלופה הכי פחות רעה ואני נמצא במצב שאני יכול להשפיע לא מעט על זה מבפנים.

זו שאלה שבעולם אידיאלי היה צריך לשים אותה לפתחו של פרלמנט להכרעה או למשאל עם כמו שעשו בשוויץ. בפרקטיקה שמנו את זה לפתחו של פרלמנט לא אידיאלי והשאר ידוע. דרך אגב, בשוויץ ההכרעה הייתה על חודו של קול (ליתר דיוק הפרש של 5000 קולות בעד) אבל מספר משתתפי המשאל היה מאד נמוך, מה שמעיד על רמת הענין.


אבל כמה מקרים כאלו יש? ראש מז"פ פרופסור אבי דומב אמר שמתוך 800,000 איש במאגר הביומטרי של פושעים וחשודים במשטרה התגלו 1,400 מקרים בלבד של מחזיקי זהות כפולה! בשביל זה להפיל עלינו עונש קולקטיבי של המאגר?

לא הייתי נתלה בדבריו של אבי דומב מסיבה פשוטה. מה שהמשטרה רואה זה רק מקרים שמישהו התלונן וגם היה מספיק "עניין לציבור" או איך שהם קוראים לזה. ברוב המקרים של הרכשה כפולה אף אחד לא מתלונן כי אף עבריין לא מתלונן על עצמו. יש כאן אספקט פשוט של ניהול סיכונים מבחינת המדינה. התעודה תהיה יקרה מאד לזיוף, על סף הבלתי אפשרי. מצד שני יש חוליה מאד חלשה שמאפשרת לפושע לא מאד חכם לצאת ממשרד הפנים עם תעודה לא מזויפת אבל עם פרטים של מישהו אחר. זאת הבעיה בעצם.

ממה שאני הבנתי את גודל בעית הזהויות הכפולות במערכת היום, אינני חושב שהמחיר השנתי שזה יחסוך לקופת המדינה ולמשטרה מצדיק את הסיכון, ולכן, תהליך הביקורת חייב להיות ציבורי, פרטיות צריכה להיות מובנית, תהליך שיקולי הסיכונים חייב להיות גלוי, ונראה לי שאף אחד מהדברים האלו לא נעשה עד היום. הבעיות של פשיעה, תשלומים עודפים של בטוח לאומי ושאר הבעיות, צריכות להפתר ע"י רענון והידוק נוהלים, והגדלת ראש של האזרחים והפקידים.

אני בהחלט מסכים שהעוקץ כאן הוא ניהול סיכונים לעתיד, אחרי שהתיעוד יהיה מחוץ להישג יד של זייפנים. היכולת לשכנע פקיד של משרד הפנים שאתה מישהו אחר היא בהחלט בהישג יד של פושע לא מאד מתוחכם. הכיוון של שימוש במה שנקרא breeder documents כלומר מסמכים שעל פיהם יכול המנפיק לוודא את זהות המבקש נעשה בעולם איפה שאין מרשם אוכלוסין ויש לו בעיות עצומות. זה קודם כל כאב ראש לאזרח עצמו (אתה יודע איפה תעודת הלידה שלך ? אני לא) אבל בעיקר משהו שפשוט לא מספק את הסחורה. זה עלה בסימפוזיון האחרון של ארגון התעופה האזרחית הבינלאומי ICAO שמתקנן דרכונים. לא נכחתי שם אבל הבנתי שזו הייתה קבוצת תמיכה של קיטורים כמה זה רע, לא יעיל, יקר ועבודה לריק. מסקנה נוספת של אותו סימפוזיון היתה שאין פתרון זמין אחר (למעט מאגר ביומטרי…) יחד עם המלצה לעקוב אחרי התפתחויות בעולם ובשוק סביב זה. פרקטית זה כמו להגיד כלום.

מלבד ניהול הסיכונים לעתיד יש אספקט נוסף של הרתעה. המספרים בעולם נעים בין 5% ל-10% עם תיעוד מזויף או תיעוד שלא הונפק כדין. מבחינה זו K350 תעודות מזויפות זה מצב שמניח "עם ישראל כולם צדיקים" או לפחות יותר צדיקים מאומות אחרות. לגמרי בינינו, אני לא ממש חושב שאנחנו יותר צדיקים ויותר שומרי חוק מעמים אחרים ואפרים קישון, שאני די מעריץ, כבר קרא לנו "ארץ הרמאים העליזה". אני מניח שלא צריך לספר לך כמה האיש הזה צדק באבחנות שלו.

לפעמים קשה לאזרחים שומרי חוק לתפוס כמה פושעים יצירתיים יותר או פחות יש. זה עצוב שהם קובעים לנו את סדר היום אבל זו המציאות העלובה. זה קרב אבוד מראש בגלל חוסר הסימטריה המובנה: מצד אחד אזרחים שומרי חוק אבל נטולי אמצעים לשמר את צורת החיים שלהם לעומת פושעים עם הרבה אפשרויות לנצל לרעה כל דבר. דעתי היא שדמוקרטיה ושלטון חוק צריכים אמצעים להתגונן ולשמר את המודל שלהם (וסליחה על המילים הגבוהות/פלצניות).

(אני לא אכנס כאן לדעותי לגבי הגבול הדק בין דמוקרטיה מתגוננת לפאשיזם, כיסיתי חלק בעבר, ובטח בהקשר המאגר, אין לי כוח לחפש מתי)

אוקי, ומה הסיפור עם ה-passphrase הקצרצר? 6-8 ספרות? על הGPG שלי אני מגם עם סטרינג של יותר מעשרים תווים ואותיות שאני בקושי מצליח לזכור כי הם לא באף שפה.

"תזכור שכאן זה לא הצפנה של המפתח אלא רק קוד גישה אליו, והכרטיס יאיט התקפות ובסוף ינעל את עצמו, כך שגם brute force לא עוזר"

האם יפתחו את התכנון לביקורת ציבורית?

תהיה בהחלט חשיפה לפורומים מסוימים ובשלבים הרבה יותר מאוחרים יש מצב שיהיה גם SDK לכרטיס, כמו שעשו באסטוניה ובבלגיה.

המכוער

למה תמיכה באובונטו ולא דביאן/סנטאוס/פדורה/סולאריס 2.5? לא עדיף לשחרר את הדרייברים לחופשי ושהקהילה תאיץ את התהליך?

אשמח אם זה יקרה, הכל שאלה של היצע וביקוש

אחרי כל תקני הEAL הנהדרים, איך תלחמו בkey-loggers?

"יש לנו שיטה שאני מקווה שיאמצו בכל העולם, זה מעין קאפצ'ה דו כיווני ששני הצדדים רואים באותו הזמן, ו…" (כאן היינו צריכים להתנקות מאולם הדיונים, אני מקווה לתשובה מפורטת יום אחד)

לגבי התסריט של גניבת כרטיס (לאחר הסנפת הסיסמה כמובן) – יש מנגנון דומה לכרטיסי אשראי ואם תודיע על זה אז זה מטופל. יש גם כוונה לדווח על טרנזקציות בערוץ שקשה לתוקף להשתלט עליו כגון SMS אבל זה מעורר המון בעיות אחרות. זה עדיין הרבה יותר טוב מהיום כי ניתן לבדוק אם תעודה מסוימת בוטלה או לא. גניבה ללא הסנפת סיסמה איננה מסוכנת – ההסבר המלא יותר מדי ארוך לדואל

ומסמכים שחתומים במפתח ש"נשרף"?

גורלו של מסמך שנחתם על ידי מפתח אבוד נקבע לפי מועד הדיווח על אובדן. כשאתה משתמש בחתימה "מאושרת" אתה צריך להודיע רק ל-CA שאבד אמצעי החתימה ואז מאותו רגע זה לא אחריות שלך. זה לא שולל תוקף של מסמכים שנחתמו לפני האובדן. תוכל לראות את הפרטים בחוק חתימה דיגיטאלית.

ולהחליף סיסמא אני מחליף לבד?

החלפת סיסמה – התהליך יהיה כזה: תקבל הביתה בדואר מודפס את סיסמת הכרטיס הראשונית יחד עם סיסמת אקטיבציה. כשתבוא לקבל את הכרטיס תפעיל אותו עם סיסמת האקטיבציה ואז תוכל להזין את הסיסמה הראשונית. יש עליה FLAG שאומר "enforce change on 1st use" כלומר לא תוכל להשתמש בה באופן שוטף ותצטרך לעבור תהליך שינוי סיסמה למשהו שרק אתה יודע. תוכל לעשות את זה כמה פעמים שאתה רוצה, אם על המחשב של הפקיד (עם PIN PAD ייעודי כך שהנתון לא עובר את המחשב) או אצלך בבית, לפי בחירתך. הכרטיס יאכוף סיסמה בת 6 תווים לפחות, כשהמקסימום הוא 8 תווים. התהליך הוא איזון טוב בין הביטחון ובין זה שלא כולם GEEKS ונוסה בהצלחה במדינות אחרות.

מה שסיפרת על תוכן הדרכון זה יותר פרטים ממה שדורש ארגון התעופה…

התקן לדרכונים אכן לא מחייב טביעות אצבע כמשהו מנדטורי אבל רוב המדינות בעולם עושות את זה או תעשינה את זה בקרוב. זה אפילו דרישה מנדטורית בתוך האיחוד האירופאי, לאזרחי האיחוד. יש לזה המון סיבות ושוב אשמח לשוחח על זה לחוד. לגבי שיתוף המידע של הקומונוולט' אני מסכים לחלוטין שזה גם מטריד וגם לא מפתיע. בשורה התחתונה אנשים נותנים טביעות אצבע בלי למצמץ למישהו שלא חייב להם כלום ועושה במידע כראות עיניו, ללא שום פיקוח וללא שום חסם. לעומת זאת כשמדובר בממשלה שלנו…

אז איזה מנשק יש למי מול המאגר? יושב אדם שאמור להיות אינטיליגנטי, אמין, חסין "הנדסה חברתית" בטלפון, אבל עם סבלנות איו קץ לעבודה המשעממת הזו… אפשר לסמוך על זה?

השאילתות למאגר הן בסיסיות מאד: הנה טביעות אצבע וזהות מוצהרת, האם זה קיים במאגר והאם זה תואם? אין שאילתות אונליין והתשובה היא בשיחת טלפון, כך שמפעילי המאגר יודעים למי הועברה התשובה. בשגרה של בקשות הנפקת תיעוד המאגר פשוט ישתוק אם הכול תקין ושיחת הטלפון תתבצע רק אם זוהתה הרכשה כפולה. לא יהיה למאגר ממשק לקבלת טביעות אצבע של מישהו ספציפי. כן יהיה ממשק מוגבל שמאפשר לקבל זהות של טביעת אצבע, לאחר מנגנוני בקרה רבים ולאחר שמתבצע מעבר דרך נקודות נוספות שמפעילי המאגר לא נגישים אליהן. יש עוד מנגנונים שמגבילים את כמות וסוג השאילתות, אבל לא נפרט כאן.

ומה יקרה למאגר משרד התחבורה לדעתך?

המצב היום במשרד התחבורה – אני הראשון לומר שזה לא תקין ושרמת הרגולציה שם נמוכה בהרבה. אשמח אם זה יובא לסטנדרטים שאנחנו מדברים עליהם ושוב, ברגע שיהיה מאגר מספיק גדול גם הם יאלצו להסתפק בתמונות המופחתות. בשביל להדפיס תמונה בגודל בול לא צריך יותר מזה. זה יאפשר לשוטר תנועה לזהות את בעל הרישיון.

אגב, תופעה מאד נפוצה, בכמות שדי קשה לתאר, זה שנהג טוען ששכח את הארנק עם הרישיון בבית. הוא בונה על זה שהשוטר לא ייקח אותו לתחנה ולא ירצה להתעסק עם ניירת. ככה המון מחוסרי רישיון נוהגים או בעלי רישיון שעברו עבירות "קלות" מנסים להתחמק מזיהוי. אם אין זיהוי אישי של העבריין הדוח שכתב השוטר איננו שווה דבר. היום השוטרים בניידת עם מחשב נגישים לתמונה של משרד התחבורה. זו רשת די מאובטחת, אבל בכל זאת זו בעיה עצומה. כאן יש בפירוש מאבק בין פרטיות והגנה על מידע לבין זה שחיוני לפעול נגד עברייני תנועה. גם כאן מאגר תמונות מופחתות יכול לאפשר לשוטר לזהות נהג עבריין שטוען לזהות, ובצורה שלא תפגע בקבילות הדוח שהוא רושם.

אבל עותקים מסתובבים בדפוס בארי, מרמנת, טלדור, משרד הפנים, המשטרה, אולי גם מפיקי רשיונות בינלאומיים כמו ממס"י, איסתא, הדואר וכולי, לא יודעים איפה הוא מטייל ואם מפיקים ממנו תבניות ביומטריות…

משרד התחבורה לא עושה זיהוי ביומטרי עם התמונות שלו וזה באחריות. הם בהחלט יכולים להסתפק במאגר תמונות מופחתות.

האם כל הרעיונות הטובים כתובים כתקנים?

יש מסמכולוגיה די מפורטת בנושא, זה היה עיקר העבודה בשנה האחרונה. רובה ככולה איננו ניתן לפירסום.

האם לרצונות הטובים של יורם יש סיכוי להתממש או שבדרך יחסכו ציודים והליכים וזה יראה פחות מרגיע אפילו מהמצב שתואר?

חלק מהתיכנון נועד לקבע כמה דברים כך שלא יוכלו לעגל פינות. אינני יכול לפרט לצערי כך שאין לי תשובה מוחלטת לשאלה הזו.

שאלות פתוחות

מי הן החברות שעושות את הסרטיפיקציה? מי הן המעבדות הישראליות שיכולות לגלות להם את אנטומית מערכת היורינציה של הדגים?

איך פותרים את בעיית הקי-לוגרים?

"מסמכולוגיה שלא ניתנת לפרסום" נשמע לי כמו משהו ספק security by obscurity וספר לא חוקי (עו"ד לחש לי שרק למשרדי הבטחון והחוץ מותר להוציא תקנות סודיות)

למה פנים ואצבעות ולא מיפוי גב יד, אוזן או קשתית? הרי את הטביעות שלהם אני לא משאיר בשום מקום ואי אפשר לזהות אותם מרחוק בוידאו מעקב…

המצב לעיל קצת מרגיע ברמה שהסודות שבכרטיס נראה בטוחים, אבל זה לא ישכנע אותי שהמאגר והתעודות הביומטריות טובים או ידידותיים יותר לאזרח מאשר תעודות חכמות פשוטות.

איחולי החלמה לרשימות

לוגו רשימותהבלוגיה העצמאית הראשונה, אם אינני טועה?
יש עליה הסטוריה ואוסף מפואר של כותבים. רשימות הוקמה לפני שיצאו פלטפורמות בוגרות פתוחות לבלוגים עצמאיים ובלוגיות, ואיכשהו שרדה די טוב עד היום, אבל באין הורה מאמץ עם תקציב וסבלנות, השבוע הודיע אורי שהמערכת פשוט לא תתוחזק יותר, הקוד המפעיל אותה יפרוש במקום להתעדכן (הם רמזו בעבר שבמצבו עדיף לזרוק אותו במקום לנסות לתחזק, כאשר קיימות אופציות אחרות בשוק הפתוח, אני בהחלט מבין את ההחלטה).

אז מה יקרה לאתר והקהילה? אין פתרונות לא כואבים לצערי. אורי פירט את התכנית: נראה שבשלב הראשון ידאגו לכתוב כלי שייצא את תכני הבלוג בפורמט שוורדפרס ידע ליבא. בצורה זו יוכלו יושבי האתר למשוך לעצמם גיבוי של התכנים של הפוסטים והתגובות (לא כולל הווידג'טים). אז יוכלו לבחור לעצמם אתר חדש לבלוג, ליבא אותו פנימה. אתר רשימות המקורי יבצע הפניה של מבקרים שיגיעו מלינקים ישנים, וירכז בעמוד הכניסה את הפוסטים לכשיעלו בבלוגים הרחוקים החדשים, בעזרת RSS של מי שירצה להמשיך להופיע שם. הפתרון לא מושלם, אבל בהחלט הולך הרבה יותר לקראת המשתמשים ממה שגוף מסחרי מנוכר היה טורח אולי לעשות.

הצעתי לאורי שאולי יעשו דיל עם אוטומאטטיק (מפעילי וורדפרס.קום) להעברה שיטתית של כל עשרות היוזרים שמעדיפים לא להתעסק בפרטים הטכניים, ואז אפשר יהיה למשל לוודא שיצוא הבלוג ישמור על סלאגים ידועים בתור שמות הפוסטים ב-URL, ואולי אפשר יהיה לדאוג שגל הצבעה לפוסט ישן תעבור לפוסט הנכות במקום החדש, אבל לא ברור אם כל זה לא בלגן גדול מדי מבחינתם. אז עד שאורי מכין רשימת תשובות לשאלות המשתמשים, הנה הניחוש המושכל שלי:

הקוראים:

  • קחו כהנחה שהמעבר יהיה כואב ולא חלק, היו סבלניים, האתר הוקם והופעל עד היום בהתנדבות, והם עושים את המקסימום עם מינימום הזמן הפנוי שלהם.
  • יש להניח שהבלוגים האהובים עליכם יעברו על תכניהם למקום חדש, לא ברור אם כתובת ה-RSS תשתנה או תועבר אוטומטית, סביר שכתובות פוסטים ספציפיים לא יועברו. אם יצרתם אליהם לינקים בעבר מהבלוג שלכם, אפשר לעשות חיפוש על הטקסט ברוב פלטפורמות הבלוגים בצורה שתתפוס לינקים החוצה, נסו לחפש notes.co.il, ואז יהיה לכם מושג כללי כמה פוסטים תצטרכו אולי לערוך כדי להצביע מחדש לפוסטים הנכונים. יכול להוית שאפשר לעשות ניתוח כזה גם עם כלי חיצוני כמו גוגל, לא בדקתי.

הכותבים:

  • לעבור לשרת פרטי ולנהל לבד וורדפרס יכול להיות תיק כבד ומיותר. אם אין לכם נטיות טכניות, אני ממליץ לא להתחיל לשכור שרת וירטואלי ב-$100 לשנה וכל כאב הראש הזה, אלא לשקול לפתוח בלוג בחינם בוורדפרס.קום. יש להם גם תבניות תומכות עברית, ואני מקווה שאם מספיק נודדים אליהם מרשימות, אפשר יהיה לבקש מהם להוסיף לרשימת תבניות החינם תבנית שתגרום לבלוג שלכם להראות מאוד דומה לזה שברשימות.
  • אתר וורדפרס.קום גם מאפשר לכם להוסיף אפשרויות ואפילו דומיין פרטי בכמה עשרות דולרים בשנה, נדמה לי שזה עולה אפילו שליש משרת פרטי בדרימהוסט, למרות ששרת פרטי פותח המון אפשרויות אם אתם רוצים לשכלל ולשווק ולמתג את הבלוג החדש.
  • דומיין, בתלות בסיומת שלו, עולה בין $6-$20 לשנה ברוב המקרים, אבל אולי אנשי רשימות יארגנו לכם פתרון (למשל אם רוני עוזבת את notes.co.il/roni, אנשי רשימות יוכלו להציע לה ש-roni.notes.co.il ימשיך להצביע למקום החדש, אם הענין לא יגרור תקורה ניהולית מורכבת מדי. אם הם לא יציעו את זה, אני מציע למי שירצה (בתקווה שלא אצטער על זה :-) לחלק חינם תת-דומיינים מהדומיין שרשמתי לפני שנים לצורך הזה, ואז תקבלו כתובת מהסוג roni.site.co.il, gili.site.co.il וכולי.
  • לבסוף – אם לא קרה נס ורשימות יעבור במרוכז לוורדפרס-מו בהנהלה חדשה, או שלא מצאתם את עצמכם מסתדרים עם הבלוגיה של וורדפרס.קום – אני מוכן לקלוט 4-5 בלוגים לשרת שלי, אבל אני מזהיר מראש שאין לי מנגנון תמיכה משום סוג. אני אוכל להתקין לכם וורדפרס בסיסי שאגבה לכם פעם ביום, כמה פלאגים בסיסיים והדרכה, אבל משם אתם עצמאיים מלבד כיבוי שריפות אם צריך. אני פותח את ההצעה לכל יושבי "רשימות" אבל עדיפות תנתן למכרי (בעצם מכרותי) שברשימות ואלו שקוראים אצלי (ולכן בשלב הראשון אני מפרסם את זה רק כאן).

מאחל מעבר חלק, ושקהילת "רשימות" לא תתפורר!

אתר הכנסת: נגישות טכנולוגית, תוכנית וניסוחית

נגישות

שבוע טוב! קפצתי להציץ באג'נדה השבועית של הכנסת לראות אם השבוע יעלה המאגר או דברים מעצבנים אחרים להצבעה. העמוד הזה לא יראה כך בשבוע הבא אז אני אצטט כאן את הקטעים הרלוונטיים. ראשית, האייטם הראשון ברשימה גרם לי לשפשף עיני ולקרוא פעמיים וחצי לפני שהבנתי אותו:

1.הצעות סיעות, קדימה, חד"ש-רע"מ-תע"ל ובל"ד בנושאים:
א. נתניהו מוביל למפולת מדינית של ישראל (קדימה) (המועמדת להרכיב את הממשלה הינה חברת-הכנסת ציפי לבני)
ב. הפעלת יחידת מסתערבים סודית חדשה בקרב אזרחי המדינה הערבים (חד"ש-רע"מ-תע"ל ובל"ד) (המועמד להרכיב את הממשלה הינו חבר-הכנסת מוחמד ברכה)

ניחשתם? נראה שבקצרנות רבה, מתכוונים פה ב"הצעות" במובן "הצעות להבעת אי-אמון בממשלה" או משהו. אחרת אפשר היה לקרוא פה כאילו חד"ש-רע"מ-תע"ל ובל"ד מציעות להפעיל מסתערבים בין אזרחי המדינה ושמוחמד ברכה יעמוד בראש הקרקס הפוסט-דמוקרטי הנ"ל. אתר כנסת יקר: נוסח ברור בעברית זה גם סוג של נגישות. העם אמור להבין מה הולך בבית המחוקקים!

{הכנס כאן טור זועם ומיואש על כך שמדינת ישראל ה"דמוקרטית" מפעילה יחידות מסתערבים בין אזרחיה}

בהמשך העמוד:

15. בקשת הוועדה המשותפת לוועדת הכנסת ולוועדת החוקה, חוק ומשפט להחיל דין רציפות על הצעת חוק סדרי השלטון והמשפט (ביטול החלת המשפט, השיפוט והמינהל) (תיקון – התקנת תקנות), התשס"ז-2007 – הצבעה -הצעות חוק כ/238

מי שהיה קורא את הקיצור הזה של שורה אחת היה יכול לחשוב שוועדות הכנסת והחוקה מציעות לבטל את שלטון החוק, אבל כרגיל אין גם כאן לינק להצעה. אתר כנסת יקר: לינק להצעות החוק שבסדר היום וידע מקושר זו נגישות חשובה לדמוקרטיה! העם אמור להבין מה הולך בבית המחוקקים!

למעשה (ניתן להגיע אל נוסח ההצעה ב-PDF רק אחרי ניווט באקספלורר, כמובן). אתר כנסת יקר: טקסט זמין בפורמט פתוח! תאימות לתקנים ולא למיקרוסופט! העם צריך להגיע למידע על מה שקורה בבית המחוקקים!

ח"כים, עצרתם לקרוא את הספגטי?

אם תקראו את ההצעה תוצפו בבליל שפה משפטית, שאני הבנתי ככה: אם הממשלה מחליטה להעביר שליטה על שטחי מדינה והכנסת אישרה ברוב של 80 ח"כים, אז לא צריך לצאת למשאל עם. אם אושר ברוב קטן יותר, אפשר לצאת למשאל עם עוד לפני שיש חוק יסוד שמסדיר את זה. יש עוד פרטים קטנים (מה קורה אם מופלת הממשלה קצת אחרי ההחלטה למרות זאת ועוד כהנה בלגנים) אבל זהו בגדול. אולי טעיתי בהבנת הנקרא (נוסח!) אין לי מושג איך אפשר להבין את כל זה מהכותרת שלא קשורה לכלום (נוסח!), ואין לה לינק להסבר כלשהוא (מבנה וקישור!).

אבל זה רק העמוד השלישי מתוך שמונה… המשכתי לגלגל הלאה וגיליתי כי הצ"ח 238 מורכבת בעצם משתיים (WTF?!) – האחת דלעיל והשניה של ועדת החינוך לגבי הקמת מערכת "חינוך ממלכתי משלב" עם תגבור יהדות בנוסף לחינוך הדתי והממלכתי הרגילים, ובקיצור סירוס הצעתו של הרב מלכיאור לאחד את המערכות לאחת רב-תרבותית שוויונית ובמקום זה לפתוח אחת שלישית "יהודית מתוגברת אבל כאילו-חילונית". על כך נאמר "יופי נחמה" :-( בהמשך מפורט מה יעשו הורים אם הוחלט כי המוסד שבו לומדים ילדיהם יעבור למערכת החדשה והם אינם רוצים להשאר בו, מדובר שתוקם עוד מנהלת חינוך שלישית, ובקיצור נראה שבמצבה הנוכחי הצעת החוק הזו עושה את החיים יותר יקרים למשלם המיסים ויותר מסובכים להורים שאולי לא יהיו מרוצים מהחלטות להעביר את בי"ס לשיטה אחרת, ובסופו של דבר התלמידים והמדינה העתידית בהכרח יהיו אלו שעליהם יפול משקל ההחלטה הזו :-( על ההצעה חתומים גם מלכיאור, רן כהן ואחרים שאני מניח שלא באמת היו מרוצים מהנוסח הסופי של ההצעה שעומדת פה להצבעה…

{הכניסי פה פסקה על הבעיטות בגופתה של מערכת החינוך ושימוש כושל בכספי ציבור}

אבל אחזור שוב לענין הקושי של מציאת הנוסחים, תאימויות וכולי, זה המצב כרגע באתרי הממשלה, והוא זז לאט. התלוננתי פה בעבר על האתרים של הכנסת ושל ממשל זמין, ולאיפה נשפכו 50 מליון ש"ח על פרויקט ממשל זמין ב2005-2006 (מתוך הפרוטוקול הזה) וידכא אותי לחפש מה התקציב השנתי של התחזוקה של ערימת האתרים המביכים האלו. האחראי שיושב בראש הפירמידה הוא אדם בשם בועז דולב, אדם שטיפס לכיסא הזה בשנים האחרונות ומחזיק בידיו את המושכות והתקציבים להובלת המערכת. הוא הקים הרבה מערכות שאף אחד לפניו לא טרח לממש, אבל גם ספג לא מעט ביקורת על כך שכל דבר שנעשה בממשל זמין נעשה בצורה איטית, יקרה ולרוב לא מספקת.

בועז דולף

בשנה-שנתיים האחרונות בועז פיתח גם נוכחות מקוונת בולטת, שולח טוויטים כנים, עונה בבלוגים, פעם מקדם את תרומותיו לאופן אופיס ופעם מתלהב מהאייפון שלו – כך גיליתי שלמערכת ממשל זמין אין DRP, שהדרך שלו להתייחס למאגרים דולפים היא ש"גם לאמריקנים זה קורה", שאין לו בעיות לעזור לאנשים לחפש פאקים במערכות שלו עצמו, שהוא מטייל המון ואוהב להתלוצץ עם מעריציו ולעשות רה-טוויט למבקריו. בכלל נראה שהיה לו המון זמן פנוי לעסוק ביחסי ציבור, בכנס איגוד האינטרנט הוא אף התגאה שקמפיין המודעות לאתר "עוז לנגב המערבי" היה רעיון וביצוע שלו. וכך במפתיע יותר או פחות בועז דולב הודיע ביום שישי שהוא מתפטר. אבל אל תעצרו בגוף הידיעה! אם תקראו את התגובות לידיעה, ולידיעה בYנט, נראה שחצי מהאנשים מספידים או מלקקים לו בדרכו החוצה, אבל החצי השני טורח לציין שיש לא מעט רמזים שכעובד קבלן ללא מכרז או חוזה מזה 18 שנה, הוא בעצם מפוטר, ולא סתם אלא אחרי כמה שערוריות שקשורות למנהל תקין וכספים. מגיב נוסף רמז גם לבעיות אבטחה באתרים. אחר העריך שהאיש מפחד שיפול על ראשו המאגר הביומטרי, והכשלון הקטאסטרופלי לשמור עליו שבהכרח יבוא בהמשך, עוד עלול להפוך להיות אחריותו ואשמתו. לפחות אני חייב להגיד שזו סיבה מוצדקת, גם אני הייתי בורח מאחריות שכזו אל מעבר להררי החושך.

אני מקווה שימצא הויוק קונדרה הישראלי שיחליף אותו סופסוף, אבל לצערי מהיכרותי עם מערכת השלטון שלנו, אין מניעה שימונה שם מישהו עוד פחות מוצלח.