התדמית של עולם התכנה החופשית על פרשת דרכים

תוכנה חופשית היא דבר נפלא. אני מאוהב ברעיון כבר כ־28 שנה מאז גרקתי אותו לראשונה. ארגנתי קהילות ואירועים להפצת ידע על ואודות חופש התוכנה, ואי אפשר לזרוק היום אבן באף ענף כלכלי בלי להתקל בתוכנה חופשית רצה איפשהוא על שרת, עמדת חיוב כרטיסים בסופר וכמובן שכל האינטרנט וכל כיס מריצים תוכנות חופשיות למכביר. אין סטארטאפ שמתחיל היום בשוק וממציא לבד את כל הגלגלים, אם זה בתוכנה, ביולוגיה או כל תחום הנדסי, אתה תלוי בתוכנה, אם זה באסטרונומיה או מכונות CNC, תוכנה חופשית היא לפעמים החנות היחידה לשאוב ממנה את הכלים הדרושים למקצוע. מצד אחד אין להתעלם, ומהצד השני אין מנוס מלהשתמש. ההתנחלות הזו בלבבות וברשימות התלות של תוכנות היא חרב פיפיות, ובחודשים האחרונים אנחנו רואים כמה צרות שמאיימות על עתיד הקהילה.

אולי המכה הכי גדולה למוצר תוכנה היא נטישה שתוביל ל"רקבון ביטים". תוכנה שלא מתעדכנת לא מקבלת תכונות חדשות אבל גם לא נסתמות בה פרצות שמתגלות. אם יש לה עדיין משתמשים אז דברים ישברו, ובכל פעם שמשהו בעולם התוכנה החופשית נשבר ומשפיע על production של חברות מסחריות, התדמית נפגעת. לאחרונה אני רואה כמה ארועים שבאו ברצף:

  • חזרתו של RMS להנהלת המוסד לתוכנה החופשית הבאישה את המוסד בעיני רבים, והחלה נטישה מדודה אבל מורגשת של תורמים (אני בינהם) ופרויקטים בולטים, חלקם עמודי תווך של פרויקט GNU.
  • מוצרים כמו טראוויס ו־Docker שפתאום אינם בחינם יותר לפרויקטים רבים של תוכנה חופשית בשל שינוי מדיניול – מצב ×–×” שובר הפצה של תוכנה חופשית קיימת, ועלול לגרום לאותם מוצרים לאבד משתמשים ותדמית. במקרה של טראוויס ×–×” אומר שהרבה פרויקטים של תוכנה חופשית יאלצו לעשות בדיקות שכבר היתה להם אוטומציה בצורה ידנית או להתחיל לשכתב מחדש תהליכים כדי לעבוד מול כלי אחר, או להנטש ולהפוך לעוד גופה ללא עדכונים.
  • מפתחים כמו מארק סקוויירז שהחליטו על "שברו את הכלים ולא משחקים" בצורה שיורה לעצמו ולכל הקהילה ברגל ומערערת מאוד את בטחון המשתמשים. היו עוד לפניו אבל הספריות שלו הן מרכזיות ובולטות.
  • חורים אדירים שהתגלו בשנים האחרונות בכלים מרכזיים ונפוצים, כגון Log4Shell, Heartbleed, Shellshock ואחרים.
  • יש פרויקטים שנטשו או השאירו בבלגן פרויקטים ישנים אצל גיטהאב כשמיקרוסופט קנתה אותה, אבל ×–×” כנראה מיעוט.

תזוזה קטנה ועוד אחת, מתי נענועי הסירה יהפכו אותה? הפחד שלי היא לולאת משוב ענקית שבה פתאום חברות יפחדו להשתמש במוצרים חופשיים או לתרום להם, מה שיגרום לאיבוד רוח מהמפרשים של מפתחים מתנדבים. בנקודות כאלו כדאי לזכור שהמתנדבים לא ממש מקבלים הרבה גב, חלקם אפילו לא יודעים איך לשווק את הפרויקט או לקבל תרומות גם אם ירגישו שנכון להם לבקש. המקרים של מפתחים כמו מארק סקוויירס מדאיגים אותי מאוד: בוקר אחד קם אדם ואומר לעצמו שלא משלמים לו מספיק אז הוא יתקע לכולם מקל בגלגלים (אני אפילו לא יודע אם הייתה דרך למישהו לשלם לו לפני שהתחיל להשתולל). בתגובה לא בלתי מוצדקת נחסמו לו חשבונות אצל גיטהאב ו־pypi. יש לי כמה דברים לומר למפתחים שהחליטו לפרסם קוד ברישיון פתוח – ראשית ציינו בצורה ברורה מה תנאי הרשיון (אי ציון רישיון ברור מטילה עליכם את האחריות אם למשתמשים נדפק משהו, וברירת המחדל איננה "נחלת הכלל"), ושנית היו מוכנים שיהיו לכם הרבה משתמשים מסחריים. אם לא מקובל עליכם, אל תירו לעצמכם ברגל, פצלו את הפרויקט לגרסא פתוחה ואחת סגורה בתשלום או כל דרך אחרת. לדחוף קוד ששובר את הספריה שלכם מבטיח גם נטישה של משתמשים וגם איבוד האמון בכם לעתיד, וכמובן פותח פחת לתביעות משפטיות אם הרישיון שלכם לא מצוין נכון.

ורק כדי להיות ברור: יש המון חדשות טובות בקהילה הזו, הפחד שלי הוא מהתדמית בעיני משתמשים מסחריים, שהפכו לחשובים מאוד בתהליך הפיתוח של כלים קטנים לפעמים. הקרנל של לינוקס ופרוייקטים מסביבו עדיין חיים ותוססים ושיפורים קורים השכם והערב.

ומה הפתרון? אין לי תשובה. גם ככה הרשת שלנו הפכה בעשורים האחרונים לריכוזית מדי. כל הקוד העדכני בגיטהאב. כל הידע הטכני בסטאק אוברפלו. הרשת החופשית שהתאהבתי בה כמעט כבר לא קיימת, כשכל הידע והתקשורת קורים בין הכתלים של 10 חברות (אני נדיב) ולא בעשרות אלפי אתרים מבוזרים. אם מחר גיטהאב משנה תנאי רשיון, או סטאק אוברפלו פושטת רגל זו מכה רצינית מאוד לקהילת המשתמשים. אני למשל מחזיק בבית תלתפסת שכל הידע של קהילת המשתמשים שלה היה בגוגל פלוס, ויום אחד פשוט הוסר בלי יכולת לגבותו כראוי, ורק אחוז קטן ממנו שוחזר אח"כ לאתר עצמאי אחר.

מוזמנים לתת את דעתכם ופתרונותיכם פה בתגובות, רק אל תתחילו למכור לי בלוקצ'יין. דברים ישימים בלבד 🙂

קצת טכנו-אופטימיזם לאיזון

יש ימים שבהם אני עוסק בעניני פרטיות אלקטרונית, ×–×” קל מדי ליפול לבור של פראנויה ולודיזם, במובן של פחד מפיתוחים טכנולוגיים בידיים הלא נכונות. אורוול פחד מהשלב ×”×–×” בפיתוח הטכנולוגיה, והעולם שדמיין ב"1984" ×”×™×” קודר ומדכא (תרתי משמע). מצד שני צ'ארלי סטרוס מצייר עולם מאוד עצוב לעמים שיצאו נגד טכנולוגיות (למרות שזו סאטירה פוליטית יותר מאשר עתידנות של ממש) בספרו "סינגולאריטי סקאי". ספר שנוגע בכל טרנד ורעיון טראנסהומניסטי ולא תמיד בצורה מחמיאה. מול רואי שחורות שונים גם קורי דוקטורוב ניסה להפיח קצת אופטימיות בספר "אח קטן" שהזכרתי פה לא פעם, על הדרך שבה נער מצליח להמלט ממנגנוני בטחון מהירים מדי על ההדק של מדינת המעקב אליה התדרדרה ארה"ב – אבל עושה זאת ×¢"×™ רתימת הטכנולוגיה לטובתו. האופטימיזם של דוקטורוב הוא שטכנולוגיה כאן משמשת נגדנו אבל גם בידינו, ולכן כדאי לכולנו להכיר אותה טוב ולהשתמש בה לטובתינו.

קורי, אם עוד לא טחנתי לכם עליו מספיק פה בבלוג, הוא מהדוברים הנמרצים והבולטים לגבי רפורמת הקופירייט הדרושה כדי לשחרר את המין האנושי לנקוט ביצירתיות הדרושה לו כדי להתקדם ולהלחם על קיומו. אחד הנושאים שמרגשים אותו בשנים האחרונות הוא הדפסה תלת מימדית ושימוש מחודש בטכנולוגיות, ולצד זה להבין את ההשלכות של היכולת לחלוק חפצים פיסיים ולהעתיק אותם כמעט בקלות שבה אנו מעתיקים היום מידע, ומה זה יעשה לחוקי הקניין. כהרגלו הוא "חוזה את ההווה" בספרו Makers. הנושא הפך כנראה למשהו מדבק במשפחתו, כיוון שאישתו, אליס טיילור שעד כה התפרסמה בתור מעצבת משחקי מחשב מוכשרת ומצליחה, הקימה עכשיו סטארטאפ שמתמקד במשחקים שניתן להדפיס בתלת מימד. כמה כוח יש בידיים של אדם שיכול להדפיס לעצמו חלקי פלאסטיק, מזון, מתכת ואפילו איברים להשתלות? בסיפוריו "Printcrime", "אחרי המצור" ואחרים קורי חוקר את ההשלכות על התרבות, הכלכלה, היצירתיות ועוד. גם ב"סינגולריטי סקאיי" יש תיאור יפהפה של "מכונות קרן השפע" שמשחררות אנשים מתלות ביצרנים וזמינות חלקים, ואפילו מפיקות את חומרי הגלם מהסביבה בצורה חכמה.

קורי דוקטורוב על טכנולוגיה ואנרכיה:

לאור כל הפחד מניצול לרעה שלצד ההתרגשות מהעתיד לבוא, לפעמים נחמד לקרוא חדשות ודעות חיוביות בתחום. למשל מרגש לקרוא שבהמשך לפרויקט TOR, ממשלת ארה"ב מפתחת עוד תוכנות וחומרה כדי להביא את מהפכת המידע המקוונת לארצות שעל אזרחיהן מוטל איפול מידע וידע. תמיד טוב לראות ממשלות עושות גם טוב למען האינטרנט ומשתמשיו ולא רק אודפות אותו ככלי לצנזורה וניטור בטחוני ומסחרי.

לבסוף, אני מצרף פה (ברשיון CC) תרגום שלי למאמר "טכנו-אופטימיזם" מאת קורי דוקטורוב:

"האם אתה אופטימי או פסימי לגבי העתיד?" אני נשאל לעיתים קרובות, עד שהכנתי תשובה בשלוף: "כדי להיות אקטיביסט, אתה חייב להיות שניהם: פסימי מספיק כדי להאמין שהדברים יתדרדרו לרעה אם יניחו להם ללא ביקורת, אופטימי מספיק כדי להאמין שאם תפעל, ניתן למנוע את הרע ביותר."

אבל יש כאן יותר. קראו לי לא פעם טכנו-אוטופיסט. אני לא יודע לגבי זה, אבל אני מוכן לקבל בהכנעה "טכנו-אופטימיסט". טכנו-אופטימיזם היא אידאולוגיה שמגלמת את הפסימיזם והאופטימיזם שלעיל: הדאגה שטכנולוגיה יכולה לשמש כדי להפוך את העולם לגרוע יותר, התקווה שאפשר לכוון אותה כדי לשפר את העולם.

כדי להבין טכנו-אופטימיזם, זה מועיל להסתכל על תנועת התוכנה החופשית, שהאידאולוגיה והאקטיביזם שלה הולידו את מערכת ההפעלה GNU/Linux, מערכת ההפעלה הניידת אנדרואיד, דפדפני פיירפוקס וכרום, יוניקס BSD שחי מתחת למערכת ההפעלה של ה-MacOS X, שרת הווב אפאצ'י ועוד הרבה שרותי ווב, דואל וטכנולוגיות שונות אחרות. תוכנה חופשית היא טכנולוגיה שנועדה להיות מובנת, ניתנת לשינוי, שיפור והפצה ע"י משתמשיה. יש המון מוטיבציות לתרומה לתוכנה חופשית/פתוחה, אבל שורשי התנועה הם בדואליות הזו של פסימיזם/אופטימיזם: פסימיות די הצורך כדי להאמין שטכנולוגיות סגורות וקנייניות יזכו לאישור הקהל הרחב שלא מעריך נכונה את הסכנות במורד הדרך (נעילה לספק, איבוד פרטיות, איבוד מידע כשטכנולוגיות קנייניות מתייתמות); אופטימיות די הצורך כדי להאמין שגרעין של תוכניתנים ומשתמשים יכולים ליצור ביחד אלטרנטיבות מלוטשות ולזכות בתמיכה עבורן ע"י שידגימו את עליונותם ויעזרו לאנשים להבין את הסיכונים שבמערכות סגורות.

בעוד כמה אקטיביסטים של תוכנה חופשית חולמים אולי על עולם ללא תוכנה קנינית, החתירה אחרי אידאולוגית חופש התוכנה היא באופן כללי מועילה יותר מאשר המטרה שלה; כמו טכנולוגיסטים טובים, הם רואים את טכנולוגיה הקנינית כבאג, ובאגים אי אפשר בהכרח לחסל. זה פשוט לא אפשרי לחסל את כל הבאגים, אז תוכניתנים עוקבים, מבודדים ומצמצמים באגים במקום זה. קחו לדוגמא את מערכת ההפעלה אובונטו, מהדורה מאוד פופולארית של גנו/לינוקס. הבאג הראשון במערכת מעקב הבאגים שלהם הוא:

"תיאור הבאג: למיקרוסופט יש את נתח השוק השולט במחשבים שולחניים חדשים. זה באג, שאותו אובונטו מעוצבת לפתור".

"תוכנה לא חופשית מעכבת חדשנות בתעשית מערכות המידע, מגבילה את הגישה למערכות מידע לחלק קטן בלבד מאוכלוסית העולם ומגבילה את יכולתם של מפתחי תוכנה לממש את מלוא הפוטנציאל שלהם, ברמה העולמית. הבאג הזה ניכר לאורכה ורוחבה של תעשיית המחשבים האישיים"

הבאג הזה "פתוח" (כלומר, עדיין לא נפתר בצורה מספקת) מאז 2004 ואני אופתע אם הוא יסגר בעתיד הקרוב. למרות זאת כל גרסא של אובונטו התקדמה במפורש לצימצום הנזק העולה מהמשך קיום הבאג, על ידי שהם מציעים מערכת הפעלה שקל לעבור אליה ממוצריה של מיקרוסופט, עם קיצורי מקלדת דומים ותוכנות מובנות, אך ללא הנעילות וההגבלות. באג מספר 1 של אובונטו לא יפתר ע"י מוצר אלא ע"י תהליך.

הלך הרוח התוכניתני הזה הוא המפתח להסנת הדואליות הפסימית/אופטימית. בתור טכנו-אופטימיסט, נגע לליבי לראות את התפקיד שהרשתות מילאו בעזרה לפעילים באירן, מצריים, לוב, בחריין ואוטוקראטיות מזרח תיכוניות אחרות לתיאום בינאישי. אבל בתור טכנו-פסימיסט, נחרדתי לראות את הפעילים משתמשים במערכות בלתי בטיחותיות ולא מתאימות כגון פייסבוק, שהופכות את עבודת השילטונות לקלה בהאזנה, ניתוח ופירוק המבנה של ארגוני הפעילים.

אלו לא חדשות. הנוחיות של רשתות חברתיות בלתי-ידידותיות-לפרטיות מאז פרנדסטר ועד פייסבוק הפכה אותן לפלאטפורמות מפתות לשימוש בארגון מטרות אקטיביזם. אלו מביננו שאכפת להם מאיכות כלי הניהול של המטרות, התריעו נגד השימוש ברשתות האלו כל הזמן, בהצלחה בינונית. אבל הבאג מספר 1 עדיין פתוח – אקטיביסטים, ואפילו אלו המלומדים בטכנולוגיה שאמורים לדעת יותר טוב – עדיין שולחים ידם לטכנולוגיות קנייניות, בלתי מוצפנות, עוינות פרטיות, מטיעונים של אי הנוחות של השימוש באלטרנטיבות.

ויש להם נקודה חשובה: כרגע קשה יותר להתראגן למען מטרה בלי להשתמש בטכנולוגיה ידידותית למעקב מאשר לפתוח דף קבוצה בפייסבוק. על כתפי הטכנו-אופטימיסטים נופלות שתי משימות: ראשית לשפר את האלטרנטיבות, ושנית לשפר את ההבנה הציבורית של הסיכונים שבשימוש בכלים לא מתאימים בסביבות עוינות. יש הקשרים של סיכון גבוה – משטרים מדכאים וצמאי דם – שבהם ממש עדיף לא לפעול מאשר לסכן פעילים בשימוש בכלים שיקלו על משטרות חשאיות לעשות את עבודתן האיומה.

וכאן טמון ההבדל בין "פעיל טכנולוגיה" לבין "פעיל שמשתמש בטכנולוגיה" – הראשון מתעדף כלים שבטוחים למשתמשים, והשני מתעדף כלים שישיגו מטרה אקטיביסטית כלשהיא. הטריק לפעילי טכנולוגיה הוא לעזור לפעילים-משתמשי-הטכנולוגיה להעריך את הסיכונים הנסתרים ולסייע להם למצוא את הכלים הטובים יותר. כלומר להיות פסימיסטיים ואופטימיסטיים: ללא שת"פ מומחים, פעילים עלולים לסכן את עצמם עם בחירות פחותות בטכנולוגיה; אבל עם שת"פ, פעילים יוכלו להשתמש בטכנולוגיה כדי לתמרן טוב יותר מהאוטוקרטים, הרודנים והבריונים.

השימוש של אוטוקראטים בטכנולוגיה נגד ההתקוממויות במזה"ת היתה צלצול מעורר לקבוצה גדולה של פעילי טכנולוגיה וגם לפעילים משתמשי טכנולוגיה. בעודי כותב את הטור (5/2011), הרשת רוחשת פעילים מודעי-פרטיות הבונים כלי התארגנות ששומרים על אנונימיות, שימלאו את הפער כאשר ממשלות ימשכו את הרשת מהשקע, שמונעים האזנה ונלחמים במידע מטעה. הטובות שבטכנולוגיות האלו יהיו פתוחות וחופשיות, כך שכשלים במתודולוגיות שלהם יוכלו להיות מזוהים ומתוקנים מוקדם דרך ביקורת רחבה. בינתיים, אנחנו הטכנו-אופטימיסטים נמשיך ונלחם נגד באג מספר 1, נבקש מעמיתינו להסתכל מעבר לנוחיות המיידית של פייסבוק, על הסיכונים ארוכי הטווח של שימת חירותינו בידיים של אינטרסים פרטיים שמעולם לא הבטיחו לשמור עליה, ושלהן אסור לנו להאמין גם אם יבטיחו.

The diplomatic incident around RMS' visit to Israel

A week ago a story broke – RMS would not be talking at Israeli universities while in Israel, since the sponsors of his visit in the West Bank (soon to be a democratic Palestine inshallah) are adamant about this boycott. The odd thing is that the University of Haifa is the Alma Mater of many Arabs, some told me that maybe most of the students currently enrolled are non-Jews. It's also a pretty petty demand that he is allowed to speak in Israel but not in a university building. It made absolutely no sense to me.

Some people offered to share the costs of take on the sponsorship altogether, but as this idea didn't come from RMS, there were many on HaMakor's mailing list who preferred to interpret his original reply as a hint of support of the BDS movement, who asks people not only to boycott Israel financially, but also academically.

I have written RMS to get his unfiltered remarks on the uproar:

"What I said in my message is the story. There is nothing else except some details. Palestinians invited me and offered to buy my tickets. When they saw I had offered to give talks at Israeli universities, they said they would not support it."

When you refer to your Palestinian hosts who dictated this ban on talks in Israel, is this an independent group, or part of the PA?

"I didn't ask. They asked me to come and give some talks about free software at universities in the West Bank, and I was glad to accept. I also looked forward to the opportunity to see friends and relatives in Israel and to give talks there. So I set up several tasks, not realising that universities as venues would create a conflict.

The Palestinians did not convince me it is wrong to give a speech about freedom issues in a hall of an Israeli university, but I see no reason to go to the wire to do talks in Israel in universities. I have one planned talk in Israel which is not at a university, and we could set up more."

Israelis produce many (if not the most) patches for right-to-left support in FS projects, and have been known to happily collaborate with developers in Iran and Arab countries. Could you and would you use this to build a narrative for the aid of para-political collaborations?

"I would love to do that. I tried to encourage such cooperation in my previous visit too, but I don't think it got very far."

Could you help the readers understand what led to this decision? Is is that your Palestinian hosts "were there first" or are the subjects of your talks there more important for your agendas? In a other words, what caused the sudden attack of pragmatism in the man who quipped that ideology is the best tool to achieve change?

"That contrast is only apparent. The free software movement is a campaign for freedom and community. That's a goal based on principle.

I wouldn't normally call that "ideology", since that word carries negative spin, and tends to imply a broad stand that applies to all aspects of life rather than a specific stand on a specific issue.

I've always been pragmatic about achieving this goal. See http://www.gnu.org/philosophy/pragmatic.html, which I wrote at least 20 years ago. Part of being pragmatic about achieving a goal of social change is talking about the goal so we don't forget it.

I personally had hoped that your talks in Israel would have some political edge to them. I have heard too many times people calling your views Anti-Israeli where I correct them each time that you are, like most of us on the Israeli left, fighting against the oppression and denial of liberty.The Palestinians are oppressed both by the Hammas and by Israel, and the PA is far from being clean of corruption.

"That is true, but of these oppressions the occupation is clearly the worst. The PA is corrupt, but it held an honest election which handed power to a different party, and that's the first milestone of a democracy. I would hate to live in a country ruled by Hamas, but the Republican Party is pushing hard to rival it and the Democratic Party follows behind on the same route. If we let Palestinian democracy develop, I think it would adopt democratic and liberal ideals from the Egyptians."

I must admit though, that my defence of your choices has been severely discredited once this item was published:

I don't advocate a blanket boycott of Israeli universities. (If I did, I would not have offered in the first place to give speeches in them.) But I am not going to campaign against it either.

I myself haven't picked sides on the economic boycott actions of BDS, I can see why it's actually legitimate and maybe even effective, but an academic boycott goes against my beliefs, and frankly I was quite disappointed you took such an ambiguous stand on the matter.

"I am surprised it had that effect, since I said I do not advocate the boycott. But what can you do?"

Well, be unambiguous. Take a clear stand against academic boycotts and refusal to communicate between thinking people. This boycott on the University of Haifa is especially odd since a lot of the students there, possibly even the majority, are Arabs.

"That is not what my views are. As I've said, I do not advocate the boycott but I am not going to campaign against it either. I decided to follow the policy of the organisers of the trip.

I hope to give a talk at another venue in Haifa and speak to the same people."

I can not really see a perfect way out of this at the moment. If your first response would have been to go against the boycott and ask the Israelis to try and fund the trip instead (and still visit the west bank), it would have been the perfect course of action – win-win for all but the perpetrators of the boycott. But now I'm not sure if it is not too late. Since the idea for asking for unconditional funding did not come from you on that first letter to Mr. Aronovich, people interpreted it for the worse and decided you have chosen to take a side in favour of the boycott, which was in turn seen as breaking away from your principles, etc.

"Quite the contrary. I am doing my best to act on my various principles in a complex situation. I think that they may have taken some of my real principles and reinterpreted them in a way that doesn't come from me."

After this email exchange, RMS' latest letter to Eddie had reached the paper, the original Email read thus:

I don't advocate a blanket boycott of Israeli universities, but I am not going to campaign against it either. I see where they are coming from: Israel's occupation policies are horrible. Non-violent protests are crushed with persistent brutality. (See http://www.jpost.com/Opinion/Columnists/Article.aspx?id=221897.)

Palestinians who are against violence are looking desperately for some method of non-violent resistance. I can't blame them for it even if I don't agree entirely with the details. Thus, I decided to follow their policies in the trip they organised.

I wish I had discussed the issue in advance and avoided having to cancel a plan I had agreed to.

I will give at least one talk in Israel, at a non-university venue, and I am hoping more can be arranged.

To me, it is clear that RMS has indeed attempted to make the best of a very problematic situation. He decided to circumvent the boycott without supporting it nor strongly opposing it, because coming here and talking about what's important to him is more important than taking sides on the academic boycott issue. I must confess I am not entirely happy with that myself, and I have advocated the community not to cancel the bookings, but use them instead to invite Palestinians and talk about keeping academic communications free from boycotts and gags, or there really will be no civilised way of keeping open channels of hope for peace and collaboration. I hope this does happen after all. The idea of Freedom of expression and information, including that of knowledge exchange in the shape of free content and software, are in my eyes all facets of the same set of tools and goals.

If people are still disappointed with RMS I can't say I don't understand them. Just remember that the ideas are more important than this persona or the other. The man is not the issue, keep the ideals alive though, if you agree with them.

סקירת דה-מרקר לקראת ישיבת ההקמה של הקנטינה

כתבתי על זה ולינקקתי, היום גם יצא גם אייטם מאת גיא גרימלנד בדה-מרקר/ת'ה-מארקר/הטוש. עיצבן אותי שבכל האייטם דופק המונח "קוד פתוח" כמו נקר, אבל אין מילה אחת על תכנה חופשית, חופש התוכנה, DRM, תקנים, סודיות. במקות זה יש שם כמה רפליקות שיכולות להוציא אותי מאיזון:

קוד פתוח הוא לא רק תיאור למקבץ שורות קוד ללא זכויות יוצרים.

פעמיים טעות. על קוד פתוח יש זכויות יוצרים, קוד פתוח הוא כלי משפטי שמגן על הזכויות האלו.

סביב המושג התפתחה קהילה שלמה של מפתחים עצמאיים, שרובם עובדים ללא שכר והם בעלי מטרות שונות. חלקם כמובן רוצים להתעשר, אך חלק נוסף עושה זאת כאידיאולוגיה נגד חברות התוכנה הגדולות

טעות נוספת: הקוד הפתוח איננו קהילה, הוא מסמך משפטי. הקהילה היא קהילת התוכנה החופשית.

עוד טעות – עובדים ללא שכר. נסה אולי "עובדים במודל עסקי של שירות ולא של מוצרים" או "מרוויחים מהפיתוח באופן עקיף ולא ישיר".

"אידאולוגיה נגד החברות הגדולות" – טוב, אולי יש כמה, אולי באחוזים גבוהים במיוחד בארץ. אבל הרבה מאוד לא עושים את ×–×” ×›×™ הם בעד הנגד, יש אנשים שעושים את ×–×” מסיבות חיוביות של תקנים, עזרה הדדית, הפצת ידע, שיתוף פעולה, השוואת פערים וראייה חברתית רחבה. מה לעשות שהמודל הכלכלי של מיקרוסופט ואפל שונה? המלחמה שלי היא לא מול מורשתו של גייטס ספציפית, אלא מול גישה שעוצרת למידה ועזרה הדדית באשר היא, ולא משנה אם יש לה סימן בנסד"ק או פרלמנט.

המיקוד של הקנטינה הוא קוד פתוח וטכנולוגיה בלבד. "אנחנו מאמינים שבאמצעות שימוש בכלי קוד פתוח יש לך השפעה חיובית על הקהילה והחברה"

אז כן קהילה או לא קהילה? כן חברתי או לא חברתי? אני חושב שגרימלנד לא הבין בעצמו. ראיתי דווקא כתבות אוהדות של גרימלנד בעבר, אבל בכתבה הזו נראה שאינו מבין את הקשר בין חופש התוכנה לחופש ביטוי, חופש מידע וזכויות אזרח אחרות. יש לנו כקהילה בעית הסברה ככל הנראה. ככל שעוברות השנים אני מרגיש שהמונח "קוד פתוח" דפק לנו את הסברה יותר מאשר סייע לה.

יורם אורן עונה בנוגע ליישום המאגר והכרטיסים החכמים

בחודשים האחרונים נאמנכם העבדקן ועוד ענן אקטיביסטים קיחוטיים הפצצנו בהסברים, הפצרות, הפחדות, תאוריות קנוניה נגד חוק המאגר ויישומיו האפשריים. עכשיו משעבר החוק אני מתחיל לראות יותר מידע אמיתי (למה רק עכשיו?!). בסוף הכנס במכון הישראלי לדמוקרטיה בשבוע שעבר (פורסם הוידאו!) יצא לי לשוחח קצת עם יורם אורן, יועץ משרד הפנים לתשתיות הכרטיסים החכמים והמאגר. המשכנו את השיחה באימייל וקיבלתי הרבה מידע. אני אתן לכם סקירה קלה בסגנון "FAQ". הציטוטים מפי יורם אורן לא נערכים על ידי ומסומנים כציטוט (רקע אפור). ציטוטים שרק "מוקפים בגרשיים" רגילים הם מזכרוני מרב-שיח בע"פ – לא כולם של יורם אבל העברתי דרכו את הפוסט כדי שיתקן אם המידע בהם לא ×”×™×” נכון.

ראוי לציין שהנוסח של התשובות המצוטטות לא שונה, אבל הרשיתי לעצמי טוויסט קטן של מגמתיות – פרמתי את התשובות מציר הזמן כדי לארגן אותם לפי דעתי האישית על המשתמע מהן ("הטוב, הרע והמכוער") ולקבץ אותן באופן גס לפי נושאים קרובים (לכן יש בעית "קונטיניואיטי" או שתיים ותפקיד הקהל למצוא אותן כמו בכל סרט קולנוע טוב). כמו כן ניסחתי את השאלות שלי כדי שיהפכו את הקריאה לשיחה זורמת. אני מקווה שיצא קריא ואינפורמטיבי, ×›×™ נאלצתי גם לצמצם את הדיונים הערכיים ×›×™ גם כך הפירוט הטכני הפך את הפוסט ×”×–×” לאחד הארוכים בבלוג.

הדגשה מאוחרת: קחו את הנאמר פה בערבון מוגבל, ראו את הפוסט הבא.

הטוב

כמה בטוח המידע על כרטיס תעודת הזהות? מה מיוחד בחומרה?

ההסמכה נותנת רמת סמך גבוהה שגם היצרן יתקשה מאד או לא יוכל לחלץ מפתח מהכרטיס. אם אנחנו לא מאמינים להסמכה אז יוצא מזה שיש קואליציה מקיר לקיר, בין אנשים ממדינות שונות, ודי הרבה אנשים. זה פשוט לא סביר. מה שכן ודאי – אתה נזקק לנגישות פיזית לכרטיס בשביל לתקוף אותו. תקיפות לא פולשניות לא עובדות כבר די הרבה שנים, אפילו מול כרטיסים פשוטים, וכאן מדובר בכרטיס שהוא בהחלט מהעשירון העליון של הכרטיסים. השבב אגב הוא SLE66CX680PE מתוצרת Infineon. בעתיד נעבור לשבב של יצרן אחר, אבל בסך הכול די דומה לו ואפילו יותר טוב. למרות כל מה שאמרתי – הנחת היסוד היא שאם השבב יגיע ליצרן שלו הוא יוכל לתקוף אותו הרבה יותר בקלות מאחרים. נגד זה אין הרבה מה לעשות אבל זה סיכון מחושב שאפשר לחיות איתו, במיוחד אם יתר החלופות הן גרועות בהרבה. המחסום האמיתי נגד תהליך תקיפה כזה אצל היצרן הוא העלות העצומה הדרושה למהלך כזה והזמן הארוך. {תעיף מבט באפיזודה 538 של XKCD בשביל הכיף.} אני מזכיר לך את מה שדיברנו בירושלים: צריך משהו מאובטח, זול ומתוקנן. כרטיס חכם זה הייצור היחידי שעונה על זה בצורה טובה.

ומה יהיו האלגוריתמים לחתימות והצפנות?

אלגוריתם המיצוי יהיה SHA256 לכמה שנים הקרובות, עד שנראה משהו בנושא skein או חלופה אחרת שתהיה מקובלת בעולם אז. בכל מקרה זה לא הכרטיס מחשב (למרות שהוא יכול) כדי להימנע מזמני תקשורת ארוכים.

"התוכנה הנילווית החיצונית תייצר האס SHA-256 ותשלח לכרטיס רק לפעולות הצפנה/חתימה, המפתח הוא RSA2048"

הפאספוס הזה יכול להריץ RSA עם מספרים כאלו גדולים?!

זו לא טעות. ליד המעבד (שהוא מעבד 16 סיביות מוכר ומקובל, עם כמה הרבה הגנות פיזיות) יש על אותו סיליקון מעבד עזר שיודע לבצע חישובים עם מספרים של אלפי סיביות. המעבד הרגיל ממלא לו מערך רגיסטרים, מבקש חישוב ובא אחרי כמה עשרות/מאות מיקרושניות/מילישניות לקחת את התשובה. פעולת חילול זוג מפתחות, בגלל שהצלחתה היא הסתברותית, יכולה לקחת עד 30 שניות.


איך מגלים שמפתח בוטל בלי ליידע את ה-CA על כל טרנזאקציה שאני עושה ועם מי אני עושה אותה?

עובדים לפי PKI מקובל שנותן שני מנגנונים לתעודות מבוטלות: CRL שאתה נזקק להוריד מפעם לפעם, שמכיל מספר סידורי של הסרטיפיקט המבוטל (לא מספר תז) או מנגנון חלופי לבדיקה online בפרוטוקול תקני שנקרא OCSP. כאן יהיה את שניהם, כדי לענות על הצרכים של כאלה שאינם מחוברים לאינטרנט או לא יכולים לבדוק אונליין מכל סיבה שהיא.

מה קורה אם מפתח "שרוף" מייצר חתימות עם תאריכים מזויפים לאחור?

יש שרות time stamp שניתן להשתמש בו, אגב כבר היום. זה מנטרל את האפשרות לזייף תאריכים אחורה.

ואיך אני יכול להגריל מפתח חדש על הכרטיס? לקבל את המפתח על כרטיס חדש אם הוא נפגם פיסית?

אכן המפתח הפרטי איננו יוצא מהכרטיס וניתן לחשב איתו משהו רק לאחר הזנת סיסמת גישה. אין יכולת לשמור עותק של המפתח הפרטי. אם הכרטיס התקלקל או אבד – צריך פשוט להנפיק חדש. זה אולי הנושא שנבדק הכי הרבה בתהליך ההסמכה – כמה זה קשה לחלץ מפתח פרטי מהשבב.

אני עדיין המום מכמה שאנחנו סומכים על אינפיניון, מה אם הם יודעים על דלת אחורית? SEED ידוע לרנדום?

"אין מצב, בגלל זה מצליבים בדיקות משלושה גופי תקינה שונים שמתקיפים את הכרטיס, ויש עליו RNG חומרה אמיתי ומוכח באמינותו. יש גם מנגנונים משלימים במערכות ההנפקה, כך שאבטחת הכרטיס איננה רק פונקציה של השבב."

ומי הם גופי התקינה? מה רמת ההקפדה? איך נדע שאין דלת אחורית למדינה או ל-NSA?

"המפתח מחולל על הכרטיס ולא יוצא ממנו – כל המטרה של הכרטיס היא להגן על המפתח. כלומר אין עותק נוסף של המפתח בשום מקום. לחברה יצרנית מערכת ההפעלה של הכרטיס או ליצרנית השבב היתה יכולה להיות אפשרות להכניס דלת אחורית כזו, אבל בשביל ×–×” המערכת עוברת סרטיפיקציה במעבדות בלתי תלויות ×¢"פ התקנים."

נושא האבטחה של הכרטיס מכוסה על ידי תקן common criteria? שהוא תקן אבטחה בינלאומי מוכר. רמת ההסמכה של החומרה היא EAL5+ ורמת ההסמכה של מערכת ההפעלה ויישומון ה-JAVA שעל הכרטיס היא EAL4+. אלו רמות גבוהות מאד, המחייבות ניסיונות תקיפה בפועל מול הכרטיס כדי לקבל הסמכה כזו.

נו, אז נגיד שאני סומך על המדינה והמדינה על אינפיניון, ואינפיניון על מפעל החומרה…

"שמע, בשלב כלשהוא אתה חייב לתת אמון בספקים אחרי כל הבדיקות והפרוטוקולים, ויש עוד מנגנונים, ייחודיים למדינת ישראל, שאינם בשליטת אותם ספקים".

אז בוא נדבר על אמון, איך יראה ה-PKI?

לגבי שרשרת ה-PKI הייתה הרבה חשיבה וגובשה ארכיטקטורה חזקה מאד, עם כמה רעיונות יפים אם יורשה לי לטפוח לצוות הפרויקט על השכם. הפילוסופיה בגדול זה הפרדת תפקידים, כך שהפעולות החשובות דורשות מעורבות של כמה גורמים בלתי תלויים. אם אחד הגורמים הוא בעל כוונת זדון הוא מחויב לחבור לעוד גורמים, תוך הקטנת ההסתברות שזה יקרה והעלאת ההסתברות שהוא ייתפס. זה מנסה בהרבה דברים לעקוב אחרי הדירקטיבה האירופאית לחתימה דיגיטאלית, אבל נוגע לכל רמות האבטחה בפרויקט, גם אלו שלא קשורות לחתימה הדיגיטאלית.

אוכל להשתמש במפתחות תוכנה יותר גמישים כמו PGPי? האם הממשלה תהיה מוכנה לקבל חתימות PGP ממפתח שחתם עליו CA מורשה?

אתה חופשי לחלוטין להשתמש במפתח על אמצעי אחר ולא על תעודת הזהות, אם המפתח חתום על ידי CA מוכר בחוק. הייתה בעיה משפטית להכיר ב-CA זר כשחוקקו את החוק ב-2001. אני לא הייתי מעורב בכך אז, כך שאינני בקי בנושא המשפטי (וגם אינני מעוניין להיות…). כיום המצב העצוב הוא שנותר CA מוכר יחיד בישראל. ×–×” רע, הוא גובה הרבה כסף ויש איתו הרבה בעיות אחרות שלא אכנס אליהן כאן. יתרה על כך – שימוש נרחב בחתימה אלקטרונית יוצר אצל אותו CA בסיס נתונים גדול ובעייתי. יש כרגע הליך תיקון לחוק ×”×–×” ונקווה שהוא לא יצור בעיות אחרות.

שוב ברמה הפרקטית – הייתי שמח לראות תחרות בשוק הזה. לדעתי האישית יש כאן שוק עצום, בעיקר בנושא ארכיבים ממוחשבים, כי היום שטח הרצפה של ארכיב לעשרות שנים פשוט עולה יותר מדי. אם לא הייתה לי בעיה אתית להיכנס לשוק הזה (עקב תפקידי כיועץ למשרדי ממשלה) – זה נראה לי אחלה עסק שאפשר לפתח. מישהו מעוניין להרים את הכפפה? אני מהמר שהליכי הרגולציה יהיו די פשוטים היום כי משרד המשפטים (הרגולטור) מאד לא מאושר מהמצב שבו יש CA יחיד, בלשון המעטה.

עכשיו שאלה חשובה, מה בעצם כולל המידע שישמר בכרטיס?

"המידע על תעודת הזהות יכלול את הנתונים הטקסטואליים שעל פני התעודה (כגון שם, תאריך לידה / תוקף וכד'), קובץ של התמונה, 2 קבצים של טביעות האצבע, מפתח פרטי וציבורי לאפליקציית חתימה דיגיטאלית (אופציונלי), מידע פר אפליקציה לאפליקציות עתידיות, ומידע לצרכי הנהלת נתונים (מס' סידורי של הכרטיס, מבני הנתונים וכד'). מלבד התמונה, מה שנגיש במקרה ×›×–×” הוא רק מה שמודפס על פני הכרטיס, רק בצורה דיגיטאלית – כלומר שלא נתת למי שמחזיק פיזית את הכרטיס משהו שאין לו."

אפליקצית החתימה אופציונלית?

התעודה הדיגיטאלית לחתימה היא בהחלט אופציונאלית, לפי בקשה מפורשת של האזרח. יש עוד תעודה דיגיטאלית שמיועדת להזדהות בלבד, מול שרתים ממשלתיים

וכל קורא יוכל לשמור קאש וליצור מאגר פרטי?

קורא רגיל יכול לגשת רק למידע שנמצא גם על פני התעודה, למעט התמונה. אגירה כזו מנוגדת לחוק כמובן, אבל מי שנגיש למידע ויש לו כוונות זדון יכול לשמור אותו בצד. השאלה האמיתית במקרה כזה – מה ניתן לעשות עם המאגר ועוד יותר – מה ניתן לעשות בלי להיתפס ולהיענש בהתאם לחוק. לדעתי זה לא שמיש, ויהיו כמה אמצעים שיהפכו את זה עוד יותר לא שמיש.

אז למי נגישה התמונה?

קובץ התמונה איננו נגיש לכולם, למרות שיש תמונה מודפסת. למעשה יש שלוש רמות גישה למידע על הכרטיס:

1. מידע נגיש ללא תנאי (זהה למה שמודפס, למעט תמונה) ועוד כמה נתונים ניהוליים כגון גרסת חומרה/JVM/יישומון/מבנה נתונים

2. מידע נגיש תחת הרשאת בעל הכרטיס (באמצעות PIN)

3. מידע נגיש באמצעות סרטיפיקט שמוצג לכרטיס, כך שהקורא חותם על איתגור אקראי שהכרטיס מנפיק לו.

התמונה וטביעות האצבע נגישות בדרך השלישית, כאשר יש סרטיפיקט רק לקריאת תמונה וסרטיפיקט שונה שמורשה לקרוא את שניהם. אין שום כוונה לתת יכולת קריאה כזו לגורמים מסחריים כגון בנקים. למעשה מי שיש לו קורא בבית יצטרך לגשת לראי אם הוא רוצה תמונה של עצמו כי יכולת קריאת התמונה תהיה רק במקומות מבוקרים מאד, על תשתיות מחשוב סגורות ועם לוגים. הרעיון הוא למנוע את הפיתוי לגדל מאגר לא חוקי של תמונות.

מבחינת סרטיפיקטים יהיה על התעודה סרטיפיקט להזדהות בלבד מול שרתים ממשלתיים או אחרים. מי שירצה וגם יבקש בצורה מפורשת יקבל גם סרטיפיקט לחתימה. לכל אחד מהם תהיה סיסמת גישה, 4-8 ספרות/תווים להזדהות ו- 6-8 ספרות/תווים לחתימה. אני שוב מזכיר לך את מה שדיברנו – זוהי סיסמת גישה ולא passphrase כי הצפנת המפתח בזיכרון של השבב נעשית בצורה אחרת, ומטופלת על ידי חומרת השבב, אם המשתמש רוצה או לא (זה תמיד מוצפן, ולשבב יש חיישנים לגורמים לו להתאבד אם הוא השתכנע שיש ניסיון תקיפה).

תהליך ההגנה על התמונה וטביעות האצבע איננו בדיוק התהליך שהוגדר על ידי ה-BSI הגרמני, אבל מדובר בתהליך חזק, עם מספר קצוב של ניסיונות, המספק הגנה מעולה.

לאחר כל התהליך שקורה עכשיו יפורסם מבנה הנתונים לכולם. הדבר היחידי שלא יפורסם הוא שיטת החישוב של סימני ביטחון מסוימים. יש בשבב כמה checksums של המידע שמחושבים באמצעות מנגנון צופן חזק. עצם קיומם יהיה פומבי אבל מנגנון החישוב יפורסם רק אם יקרה אירוע אבטחה חמור של זליגת מפתח חתימה, מה שלא צפוי לקרות כמובן. זה משהו שנועד למקרי הקצה בלבד.


אם כבר עושים מהפכה קריפטוגראפית, חשבתם איך נמנעים מזיהוי חד-חד ערכי בין גופים שונים כדי שלא יעשו עלי הצלבת מאגרי מידע? אני רוצה שיוצג מספר שונה ולא מספר הזהות שלי מול כל גוף, רשת הסופרמרקטים, חנות בגדים וחברת הביטוח לא צריכים כולם להכיר אותי באותו מספר מזהה.

התשובה לזה די מורכבת. כל הניסיונות להימנע ממספר מזהה יחיד אינם ריאליים וכל מנגנוני ה-obfuscation למיניהם לא ממש מספקים את הסחורה. השורה התחתונה היא שמספר האנשים הנגישים לתז שלך הוא עצום, כולל תחנות דלק, בתי קולנוע, פיצריות ועוד. משהו שנגיש למאות אלפי אנשים לא יכול להיחשב סודי, גם אם מאד נרצה את זה. יש איזה מהלך רגולטורי שמשרד המשפטים עושה בנושא זה. אם תרצה אוכל לבקש ממישהו שם לדבר איתך. הכיוון בגדול זה לשלול ברגולציה הרבה דברים שהיום אפשר לעשות אם ידוע לי מספר הזהות.

ומה עם הפונקציות שדורשות בכל זאת אגירה, אפילו זמנית?

אין שמירה של מידע ביומטרי אצל מנפיקי התיעוד מעבר למספר ימים בודדים, עד שתושלם ההנפקה. לאחר מכן המידע נגרס בצורה ודאית ומוחלטת. למעשה אם איבדת את הכרטיס יום אחרי שקיבלת אותו תעבור הרכשה מחדש, כי לאף אחד אין עותק של המידע ולמאגר אסור להעביר אותו. הדבר היחידי שניתן לבצע זה לאמת על פי המאגר שזה באמת אתה שוב, ולא מתחזה בשמך. בגרמניה למשל טביעות האצבע נשמרות חודשיים ובאוסטריה ארבעה חודשים, מאותם מניעים (או שלא?).

השמועות אמרו שיהיה RFID, אח"כ אמרו שהוא יכובה וישמר לשימושים עתידיים, מה הסיפור?

"סתם שמועות, בתעודת הזהות אין RFID, רק בדרכון – לפי דרישות הארגונים הבינלאומיים"

ואיזו הגנה יש מסקימינג?

"לגבי הדרכון, השבב שבו יתקשר באופן אלחוטי ע"פ תקן איזו 14443 ומעל זה פרוטוקול אפליקטיבי שתוקנן ע"י ארגון התעופה הבינ"ל (סוכנות של האו"ם) ומעליו התקן שהוגדר מעלה לאבטחת הגישה לטביעות האצבע. מבחינת סקימינג, התקנים הנ"ל מצפינים את התקשורת האלחוטית כך שקורא צריך להוכיח לשבב שהוא קרא פיזית את דף הפרטים לפני שהשבב מסכים לדבר איתו; אחרי שנוצרת תקשורת היא מוצפנת במפתח ייחודי לכל סשן. במידה ומועברות טביעות האצבע במהלך התקשורת, עוברים לתקן הצפנה חזק יותר שתלוי גם במפתחות הסודיים שהקורא מחזיק ומאשרים לו גישה ולא רק בידיעה של נתונים ציבוריים מדף הפרטים. לא מעט מומחי אבטחה ישבו על התקנים הללו הרבה זמן. הדרכון הישראלי ישתמש בדיוק באותם תקנים בינ"ל ואותם רכיבי מערכת שמשתמשים בהם הדרכונים האירופאיים."

גם אם הכרטיס לא מחלק אינפורמציה גלויה חופשי, קראתי שהוא עדיין מזדהה במעין כתובת MAC קבועה, זו לא בעיה?

התקשורת מוצפנת נגד סקימינג באמצעות מפתח שהוא HASH של שורת ×”-OCR השנייה. יש לך בדרכון שתי שורות עם הרבה סימני >>>>>>> – ×–×” פונט מתוקנן שנועד ל-OCR. השורה השנייה כוללת מידע ייחודי לדרכון שלך וממנו מחושב מפתח ההצפנה. אין למידע ×”×–×” הרבה אנטרופיה וכמה שעות מחשב ישברו את המפתח, אבל ×–×” מפתח שהוגרל אקראית לאותו סשן. אם במילא יש לך כמה שעות מול הדרכון למה שלא תפתח אותו ותקרא את ×–×” ללא מאמץ? אם הקלטת תקשורת (שזה לא ממש פשוט) תצטרך להשקיע לא מעט כדי לקבל משהו מאד פשוט – נתונים ותמונה. תזכור שאתה בהרבה מקרים נותן את הדרכון במלון לצורך צילום, כדי שהמלון יוכל להוכיח לרשויות המס שם שאתה באמת זר ולא ×”×™×” צריך לגבות ממך מע"מ. בכל מקרה סקימינג אפשרי רק מטווח מאד קצר (עד ×›-40 סנטימטר) כאשר אנטנת הסקימר נמצאת באוריינטציה מאד מסוימת מול הדרכון לפרק זמן ניכר. ×–×” פשוט לא תסריט ריאלי. אם אתה בראש של בידור קל – חפש ביוטיוב את הסרטון של חברה שנקראת FLEXILIS , שחיפשה קצת פרסומת לעצמה. ×–×” מאד משעשע. לא אקלקל לך עם פרומו מילולי…

כשקוראים את טביעות האצבע מהדרכון קורה תהליך יותר מורכב. זה מתחיל בתהליך דיפי-הלמן, שבסופו שני הצדדים (דרכון וקורא) חישבו מפתח משותף. מכאן ואילך הצפנת התקשורת כבר לא מסתמכת על מפתח דל-אנטרופיה כמו קודם אלא על מפתח חזק. הקורא צריך שוב להוכיח לדרכון שמותר לו לקרוא. זה מנגנון כבד ומורכב, אבל גם מאד חזק. הוא עבר בחינה מקיפה וטרם נמצאו בו חולשות. אם נרד רגע לרמה הפרקטית – מנגנון זה מגן על קריאת טביעות חתומות ולא על קריאת טביעות אצבע בכלל, כי המדינה שאתה נוחת בה יכולה להגיד לך לתת טביעות אצבע בלי לקרוא אותן מהדרכון, כמו שקורה בארצות הברית, יפן ועוד מקומות הולכים ורבים. זה יקרה בכל מרחב שנגן בשנים הקרובות.

אבל פורסם שכבר קרו כמה מקרים

לגבי מספר ייחודי של דרכון – שבב כזה אכן נושא מספר ייחודי אבל מספר זה איננו נגיש בתקשורת הרגילה, ללא הצפה. מה שמתקבל בעת הקמת התקשורת זה מספר אקראי מוגרל שנקרא dynamic UID. מספר זה נועד לפרוטוקול של מניעת התנגשויות אם יש יותר משבב בודד בשדה של הקורא. הוא חי כל זמן שיש לשבב אנרגיה, עד ה-reset הבא. פיזור של עמדות סקימרים בעיר זה משהו לא ריאלי כי צריך צפיפות כזו של אנטנות שהקיטורים שלנו על אנטנות סלולריות יתגמדו לעומתה. תזכור שצריך אנטנות באוריינטציה מאד מסוימת אחרת השבב לא יקלוט ולא יענה. זה פשוט לא פרקטי.

מה שהיה בארהב הברית עם סוכני ה-FBI לא קשור לדרכון אלקטרוני אלא לכרטיס long range שעובד בין קנדה וארהב לצורך מעבר גבול. הם קוראים לזה passport card אבל אין לזה קשר לדרכון אלקטרוני ואין שם הצפנה או הגנה כלשהי. המטרה של כרטיס זה היא זיהוי מתוך הרכב והוא קרוב לRFID של הקמעונאות/לוגיסטיקה.

כמה מקפידים לגבי פרטיות מובנית?

מלבד המודל שלנו מצאנו רק מימוש אחד שמתיימר להיות עם תכונות פרטיות מובנות, של חברה הולנדית שנקראת priv-id.nl. הטענות שלהם מעניינות ואני מנסה לברר מה המעמד המדויק שלהם אצל ההולנדים, כלומר האם הם מעורבים/יהיו מעורבים במאגר הביומטרי ההולנדי שעתיד לקום. שאר המימושים שבדקתי (כמו אחד מנורבגיה למשל שאינני זוכר את שמו כרגע) נראו כמו snake oil במיטבו.

וכמה באמת מסוכנת דליפה של מאגר התמונות? יזהו בקלות כל אחד ברחוב עם מצלמה סלולארית?

"זיהוי ע"פ פנים בלבד הוא מוגבל ביותר בכמה מימדים, בכל מקרה דורש בגדלי המאגר האלה לעבור ידנית על מספר גדול מאוד של תוצאות אפשריות (עשרות/מאות של פנים אפשריות שרובן דומות) ולפסול/לאשש אותן בדרכים אחרות שאינן ביומטריות. הצלחת הזיהוי אינה מובטחת. "

אז מה לגבי הסברה ציבורית? דובר לרשות היישומים הביומטריים?

"מוכן לומר את זה להנהלת משרד הפנים ? לא, סתאאאם. אני מקווה שיהיה שינוי בנושא הזה בקרוב אבל פשוט אין לי מושג מתי ואיך."

לגבי הנושא הערכי של המאגר – ויכוח ראוי מאד ובלבד שהוא מתקיים בלי דמגוגיה ובלי להמציא "עובדות" או להתבסס על אמירות לא נכונות או לא מדויקות. לצערי הרב גם כמה אנשי אקדמיה מאד מכובדים מסתמכים ללא בדיקה על מקורות מדיה המונית שאיננה מתחום הידע הרלוונטי, וזה מאד לא ראוי בעיני. זה רדוד ואפילו נגרר לפרסומים מדעיים כביכול וחבל.

אמרתי שאוסיף מעט אבל יצא מאד ארוך. זה טוב גם לי לרכז מפעם לפעם שאלות ותשובות בנושא המורכב הזה, כך שאני מקווה שכולם יצאו נשכרים.

הרע

לדעתך באמת חייבים את המאגר המרכזי?

אני לחלוטין מסכים שזו שאלה ערכית ונפרדת משאלת המימוש הטכנולוגי.

זו עדיין הדרך הפרקטית היחידה להימנע מהרכשה כפולה, אם יש למישהו רעיון מעשי יותר טוב אז אשמח לשמוע.

לגבי דעותי האישיות – זו היתה בהחלט התלבטות לא פשוטה אבל המקרה שלי הוא קל יותר משל אחרים. אני חושב בסופו של יום שזו החלופה הכי פחות רעה ואני נמצא במצב שאני יכול להשפיע לא מעט על זה מבפנים.

זו שאלה שבעולם אידיאלי היה צריך לשים אותה לפתחו של פרלמנט להכרעה או למשאל עם כמו שעשו בשוויץ. בפרקטיקה שמנו את זה לפתחו של פרלמנט לא אידיאלי והשאר ידוע. דרך אגב, בשוויץ ההכרעה הייתה על חודו של קול (ליתר דיוק הפרש של 5000 קולות בעד) אבל מספר משתתפי המשאל היה מאד נמוך, מה שמעיד על רמת הענין.


אבל כמה מקרים כאלו יש? ראש מז"פ פרופסור אבי דומב אמר שמתוך 800,000 איש במאגר הביומטרי של פושעים וחשודים במשטרה התגלו 1,400 מקרים בלבד של מחזיקי זהות כפולה! בשביל זה להפיל עלינו עונש קולקטיבי של המאגר?

לא הייתי נתלה בדבריו של אבי דומב מסיבה פשוטה. מה שהמשטרה רואה זה רק מקרים שמישהו התלונן וגם היה מספיק "עניין לציבור" או איך שהם קוראים לזה. ברוב המקרים של הרכשה כפולה אף אחד לא מתלונן כי אף עבריין לא מתלונן על עצמו. יש כאן אספקט פשוט של ניהול סיכונים מבחינת המדינה. התעודה תהיה יקרה מאד לזיוף, על סף הבלתי אפשרי. מצד שני יש חוליה מאד חלשה שמאפשרת לפושע לא מאד חכם לצאת ממשרד הפנים עם תעודה לא מזויפת אבל עם פרטים של מישהו אחר. זאת הבעיה בעצם.

ממה שאני הבנתי את גודל בעית הזהויות הכפולות במערכת היום, אינני חושב שהמחיר השנתי שזה יחסוך לקופת המדינה ולמשטרה מצדיק את הסיכון, ולכן, תהליך הביקורת חייב להיות ציבורי, פרטיות צריכה להיות מובנית, תהליך שיקולי הסיכונים חייב להיות גלוי, ונראה לי שאף אחד מהדברים האלו לא נעשה עד היום. הבעיות של פשיעה, תשלומים עודפים של בטוח לאומי ושאר הבעיות, צריכות להפתר ע"י רענון והידוק נוהלים, והגדלת ראש של האזרחים והפקידים.

אני בהחלט מסכים שהעוקץ כאן הוא ניהול סיכונים לעתיד, אחרי שהתיעוד ×™×”×™×” מחוץ להישג יד של זייפנים. היכולת לשכנע פקיד של משרד הפנים שאתה מישהו אחר היא בהחלט בהישג יד של פושע לא מאד מתוחכם. הכיוון של שימוש במה שנקרא breeder documents כלומר מסמכים שעל פיהם יכול המנפיק לוודא את זהות המבקש נעשה בעולם איפה שאין מרשם אוכלוסין ויש לו בעיות עצומות. ×–×” קודם כל כאב ראש לאזרח עצמו (אתה יודע איפה תעודת הלידה שלך ? אני לא) אבל בעיקר משהו שפשוט לא מספק את הסחורה. ×–×” עלה בסימפוזיון האחרון של ארגון התעופה האזרחית הבינלאומי ICAO שמתקנן דרכונים. לא נכחתי שם אבל הבנתי שזו הייתה קבוצת תמיכה של קיטורים כמה ×–×” רע, לא יעיל, יקר ועבודה לריק. מסקנה נוספת של אותו סימפוזיון היתה שאין פתרון זמין אחר (למעט מאגר ביומטרי…) יחד עם המלצה לעקוב אחרי התפתחויות בעולם ובשוק סביב ×–×”. פרקטית ×–×” כמו להגיד כלום.

מלבד ניהול הסיכונים לעתיד יש אספקט נוסף של הרתעה. המספרים בעולם נעים בין 5% ל-10% עם תיעוד מזויף או תיעוד שלא הונפק כדין. מבחינה זו K350 תעודות מזויפות זה מצב שמניח "עם ישראל כולם צדיקים" או לפחות יותר צדיקים מאומות אחרות. לגמרי בינינו, אני לא ממש חושב שאנחנו יותר צדיקים ויותר שומרי חוק מעמים אחרים ואפרים קישון, שאני די מעריץ, כבר קרא לנו "ארץ הרמאים העליזה". אני מניח שלא צריך לספר לך כמה האיש הזה צדק באבחנות שלו.

לפעמים קשה לאזרחים שומרי חוק לתפוס כמה פושעים יצירתיים יותר או פחות יש. זה עצוב שהם קובעים לנו את סדר היום אבל זו המציאות העלובה. זה קרב אבוד מראש בגלל חוסר הסימטריה המובנה: מצד אחד אזרחים שומרי חוק אבל נטולי אמצעים לשמר את צורת החיים שלהם לעומת פושעים עם הרבה אפשרויות לנצל לרעה כל דבר. דעתי היא שדמוקרטיה ושלטון חוק צריכים אמצעים להתגונן ולשמר את המודל שלהם (וסליחה על המילים הגבוהות/פלצניות).

(אני לא אכנס כאן לדעותי לגבי הגבול הדק בין דמוקרטיה מתגוננת לפאשיזם, כיסיתי חלק בעבר, ובטח בהקשר המאגר, אין לי כוח לחפש מתי)

אוקי, ומה הסיפור עם ה-passphrase הקצרצר? 6-8 ספרות? על הGPG שלי אני מגם עם סטרינג של יותר מעשרים תווים ואותיות שאני בקושי מצליח לזכור כי הם לא באף שפה.

"תזכור שכאן זה לא הצפנה של המפתח אלא רק קוד גישה אליו, והכרטיס יאיט התקפות ובסוף ינעל את עצמו, כך שגם brute force לא עוזר"

האם יפתחו את התכנון לביקורת ציבורית?

תהיה בהחלט חשיפה לפורומים מסוימים ובשלבים הרבה יותר מאוחרים יש מצב שיהיה גם SDK לכרטיס, כמו שעשו באסטוניה ובבלגיה.

המכוער

למה תמיכה באובונטו ולא דביאן/סנטאוס/פדורה/סולאריס 2.5? לא עדיף לשחרר את הדרייברים לחופשי ושהקהילה תאיץ את התהליך?

אשמח אם זה יקרה, הכל שאלה של היצע וביקוש

אחרי כל תקני הEAL הנהדרים, איך תלחמו בkey-loggers?

"יש לנו שיטה שאני מקווה שיאמצו בכל העולם, ×–×” מעין קאפצ'×” דו כיווני ששני הצדדים רואים באותו הזמן, ו…" (כאן היינו צריכים להתנקות מאולם הדיונים, אני מקווה לתשובה מפורטת יום אחד)

לגבי התסריט של גניבת כרטיס (לאחר הסנפת הסיסמה כמובן) – יש מנגנון דומה לכרטיסי אשראי ואם תודיע על זה אז זה מטופל. יש גם כוונה לדווח על טרנזקציות בערוץ שקשה לתוקף להשתלט עליו כגון SMS אבל זה מעורר המון בעיות אחרות. זה עדיין הרבה יותר טוב מהיום כי ניתן לבדוק אם תעודה מסוימת בוטלה או לא. גניבה ללא הסנפת סיסמה איננה מסוכנת – ההסבר המלא יותר מדי ארוך לדואל

ומסמכים שחתומים במפתח ש"נשרף"?

גורלו של מסמך שנחתם על ידי מפתח אבוד נקבע לפי מועד הדיווח על אובדן. כשאתה משתמש בחתימה "מאושרת" אתה צריך להודיע רק ל-CA שאבד אמצעי החתימה ואז מאותו רגע זה לא אחריות שלך. זה לא שולל תוקף של מסמכים שנחתמו לפני האובדן. תוכל לראות את הפרטים בחוק חתימה דיגיטאלית.

ולהחליף סיסמא אני מחליף לבד?

החלפת סיסמה – התהליך ×™×”×™×” ×›×–×”: תקבל הביתה בדואר מודפס את סיסמת הכרטיס הראשונית יחד עם סיסמת אקטיבציה. כשתבוא לקבל את הכרטיס תפעיל אותו עם סיסמת האקטיבציה ואז תוכל להזין את הסיסמה הראשונית. יש עליה FLAG שאומר "enforce change on 1st use" כלומר לא תוכל להשתמש בה באופן שוטף ותצטרך לעבור תהליך שינוי סיסמה למשהו שרק אתה יודע. תוכל לעשות את ×–×” כמה פעמים שאתה רוצה, אם על המחשב של הפקיד (עם PIN PAD ייעודי כך שהנתון לא עובר את המחשב) או אצלך בבית, לפי בחירתך. הכרטיס יאכוף סיסמה בת 6 תווים לפחות, כשהמקסימום הוא 8 תווים. התהליך הוא איזון טוב בין הביטחון ובין ×–×” שלא כולם GEEKS ונוסה בהצלחה במדינות אחרות.

מה שסיפרת על תוכן הדרכון ×–×” יותר פרטים ממה שדורש ארגון התעופה…

התקן לדרכונים אכן לא מחייב טביעות אצבע כמשהו מנדטורי אבל רוב המדינות בעולם עושות את ×–×” או תעשינה את ×–×” בקרוב. ×–×” אפילו דרישה מנדטורית בתוך האיחוד האירופאי, לאזרחי האיחוד. יש לזה המון סיבות ושוב אשמח לשוחח על ×–×” לחוד. לגבי שיתוף המידע של הקומונוולט' אני מסכים לחלוטין שזה גם מטריד וגם לא מפתיע. בשורה התחתונה אנשים נותנים טביעות אצבע בלי למצמץ למישהו שלא חייב להם כלום ועושה במידע כראות עיניו, ללא שום פיקוח וללא שום חסם. לעומת זאת כשמדובר בממשלה שלנו…

אז איזה מנשק יש למי מול המאגר? יושב אדם שאמור להיות אינטיליגנטי, אמין, חסין "הנדסה חברתית" בטלפון, אבל עם סבלנות איו קץ לעבודה המשעממת הזו… אפשר לסמוך על ×–×”?

השאילתות למאגר הן בסיסיות מאד: הנה טביעות אצבע וזהות מוצהרת, האם זה קיים במאגר והאם זה תואם? אין שאילתות אונליין והתשובה היא בשיחת טלפון, כך שמפעילי המאגר יודעים למי הועברה התשובה. בשגרה של בקשות הנפקת תיעוד המאגר פשוט ישתוק אם הכול תקין ושיחת הטלפון תתבצע רק אם זוהתה הרכשה כפולה. לא יהיה למאגר ממשק לקבלת טביעות אצבע של מישהו ספציפי. כן יהיה ממשק מוגבל שמאפשר לקבל זהות של טביעת אצבע, לאחר מנגנוני בקרה רבים ולאחר שמתבצע מעבר דרך נקודות נוספות שמפעילי המאגר לא נגישים אליהן. יש עוד מנגנונים שמגבילים את כמות וסוג השאילתות, אבל לא נפרט כאן.

ומה יקרה למאגר משרד התחבורה לדעתך?

המצב היום במשרד התחבורה – אני הראשון לומר שזה לא תקין ושרמת הרגולציה שם נמוכה בהרבה. אשמח אם זה יובא לסטנדרטים שאנחנו מדברים עליהם ושוב, ברגע שיהיה מאגר מספיק גדול גם הם יאלצו להסתפק בתמונות המופחתות. בשביל להדפיס תמונה בגודל בול לא צריך יותר מזה. זה יאפשר לשוטר תנועה לזהות את בעל הרישיון.

אגב, תופעה מאד נפוצה, בכמות שדי קשה לתאר, זה שנהג טוען ששכח את הארנק עם הרישיון בבית. הוא בונה על זה שהשוטר לא ייקח אותו לתחנה ולא ירצה להתעסק עם ניירת. ככה המון מחוסרי רישיון נוהגים או בעלי רישיון שעברו עבירות "קלות" מנסים להתחמק מזיהוי. אם אין זיהוי אישי של העבריין הדוח שכתב השוטר איננו שווה דבר. היום השוטרים בניידת עם מחשב נגישים לתמונה של משרד התחבורה. זו רשת די מאובטחת, אבל בכל זאת זו בעיה עצומה. כאן יש בפירוש מאבק בין פרטיות והגנה על מידע לבין זה שחיוני לפעול נגד עברייני תנועה. גם כאן מאגר תמונות מופחתות יכול לאפשר לשוטר לזהות נהג עבריין שטוען לזהות, ובצורה שלא תפגע בקבילות הדוח שהוא רושם.

אבל עותקים מסתובבים בדפוס בארי, מרמנת, טלדור, משרד הפנים, המשטרה, אולי גם מפיקי רשיונות בינלאומיים כמו ממס"×™, איסתא, הדואר וכולי, לא יודעים איפה הוא מטייל ואם מפיקים ממנו תבניות ביומטריות…

משרד התחבורה לא עושה זיהוי ביומטרי עם התמונות שלו וזה באחריות. הם בהחלט יכולים להסתפק במאגר תמונות מופחתות.

האם כל הרעיונות הטובים כתובים כתקנים?

יש מסמכולוגיה די מפורטת בנושא, זה היה עיקר העבודה בשנה האחרונה. רובה ככולה איננו ניתן לפירסום.

האם לרצונות הטובים של יורם יש סיכוי להתממש או שבדרך יחסכו ציודים והליכים וזה יראה פחות מרגיע אפילו מהמצב שתואר?

חלק מהתיכנון נועד לקבע כמה דברים כך שלא יוכלו לעגל פינות. אינני יכול לפרט לצערי כך שאין לי תשובה מוחלטת לשאלה הזו.

שאלות פתוחות

מי הן החברות שעושות את הסרטיפיקציה? מי הן המעבדות הישראליות שיכולות לגלות להם את אנטומית מערכת היורינציה של הדגים?

איך פותרים את בעיית הקי-לוגרים?

"מסמכולוגיה שלא ניתנת לפרסום" נשמע לי כמו משהו ספק security by obscurity וספר לא חוקי (עו"ד לחש לי שרק למשרדי הבטחון והחוץ מותר להוציא תקנות סודיות)

למה פנים ואצבעות ולא מיפוי גב יד, אוזן או קשתית? הרי את הטביעות שלהם אני לא משאיר בשום מקום ואי אפשר לזהות אותם מרחוק בוידאו מעקב…

המצב לעיל קצת מרגיע ברמה שהסודות שבכרטיס נראה בטוחים, אבל זה לא ישכנע אותי שהמאגר והתעודות הביומטריות טובים או ידידותיים יותר לאזרח מאשר תעודות חכמות פשוטות.

כל הביצים בענן אחד (והראש בחול)

למי שתהה למה ההתנגדות שלנו מלשים את הנתונים של המון אנשים במקום אחד וללא הצפנה, באה חברה מצ'וקמקת בשם RockYou ועשתה לאנשים בית ספר. ביום כזה אני עוד יותר שמח שאין לי פייסבוק ולא אפליקציות (לטס פייס איט, רוגלות), אני שמח שאני משתדל לתת סיסמאות שונות לכל אתר, ואני שמח במיוחד שאני לא נרשם לשום אתרי לווין של טוויטר שכל אחד ואחד מהם מתעקש לדעת את הסיסמא שלך בטוויטר. לי אישית זה ברור שאחד מהם יום אחד יברח עם המון חשבונות וסיסמאות (עד היום ראינו רק את האסון האישי של אורלי ואולי עוד כמה מקרים קטנים, אבל יום אחד גם זה יקרה).

כיון שגוגל הם גוגל ואני לא רואה תחרות רצינית מספיק מאף אחד אחר כרגע (לא ZOHO ולא מיקרוסופט), אני מתחיל ללטוש את ×¢×™× ×™ לכיוון EyeOS, צריך באמת לבדוק עד כמה העברית שלה מתקתקת כמו שצריך, אולי אני צריך להתחיל לנסות אותה על השרת שלי…