אחת הצרות בחוק תעודות הזהות הביומטריות היא שפעולות יומיות שאנו מבצעים הופכות להיות פתאום סכנה ממשית. אחת הדוגמאות היפות היא הדרישה הלא חוקית להפקיד תעודות זהות בכניסה למגדלי משרדים מטענה של שמירה על הבטחון ואבטחת מידע. כלומר, גם היום כאשר אזרחים נדרשים להפקיד (להבדיל מלהציג) את תעודת הזהות שלהם בידי אחרים, הדבר מהווה דרישה בלתי חוקית (והשוו, רק לדוגמא את הדרישה להפקדת דרכונים בידי מעסיק בבג"צ 4542/02 קו לעובד נ' ממשלת ישראל, וכן חוק החזקת תעודת זהות ונשיאתה). כיוון שתעודת הזהות מכילה מידע פרטי (גיל, מין, כתובת ומספר זהות), אחזקתה על ידי אחר מהווה פגיעה בפרטיות. פגיעה מסוג זה יכול שתעשה אך ורק על פי דין (דנג"צ 4907/04 איגוד הבנקים בישראל נ' האגודה לזכויות האזרח בישראל, בג"צ 8070/98 האגודה לזכויות האזרח נ' שר הפנים).
אולם, הדרישה הלא חוקית שהפכה לנוהג לא הכתבה בי כנזק ממשי עד לא מזמן; כאשר דרש ממני השומר בבית בו סבי וסבתי גרים להפקיד בידו את תעודת הזהות סירבתי, ואמרתי לו שאין לו כל הצדקה חוקית להחזיק את תעודת הזהות (שלא לדבר על לנהל מרשם של הנכנסים הכולל את פרטי הזיהוי שלהם ללא כל רישום של מאגר מידע). ואז זה הכה בי: מה יקרה כאשר נפקיד את תעודות הזהות הביומטריות שלנו בידי אותם שומרים שעובדים בשכר מינימום ומנהלים מאגר מידע עבור בעלי ההון?
הצעת חוק דרקונית שמבקשת כי תעודות הזהות שלנו יכילו פרטים מזהים מעבר לתמונה ומספר הזהות שלנו, כמו גם יאוחסנו במאגר, מאפשרת לכל מיני גורמים אינטרסנטים לאגור את המידע שלא בהסכמתנו. האם נוכל לומר למקום העבודה שלנו שאנו לא מוכנים שהוא ישמור את טביעות האצבע שלנו? האם נוכל לומר לשומר בבניין משרדים (או ללקוח שאנחנו מיועדים לפגוש) שאנחנו לא מוכנים לתת לו את תעודת הזהות שלנו שמכילה פרטים ביומטריים והוא מנגד לא יסכים להכניס אותנו לבניין?
כלומר, הבעיה היא לא רק שתעודות זהות ביומטריות לא עומדות בקנה אחד עם שלטון החוק, אלא שאינטרסים כלכליים רומסים את החוק בכל מקרה. אף אחד מאיתנו לא מבין שיש משהו רע בכך שאחרים יחזיקו את המסמך היחיד שמזהה אותנו מול המדינה בצורה רשמית; אף אחד לא חושש שיעתיקו אותו, יזייפו אותו או ישחיתו אותו. אבל מה יקרה כשזו לא תהיה תעודת הזהות הפיזית, אלא ארכיון דיגיטלי של מידע, שכולל בין היתר את זיהוי הפנים שלנו וטביעות האצבע שלנו?
[הפוסט יצא קטוע במקור וטיפלתי בזה בערך, נקווה שזה בסדר]
הפוסט קטוע, וחבל. הוא מעניין.
תודה,
תוקן.
שכשחושבים על הדרישה להפקדת תעודות, היה אפשר לצפות שרק זומבים יצייתו לה.
ועדיין, כולנו עושים את זה.
אתה מתייחס רק לעניין השלילי שבתעודות הזהות הביומטריות, אני מאמין שהמאגר יהיה שמור, סודי וחסוי מאוד ורק לאנשים בעלת סמכות גבוהה מאוד מאוד תהיה הגישה למאגרים אלה.
בדיוק כמו שכעת לא כל חייל טירון יכול להיכנס למאגר המודיעים של הצבא או כל מחשב סודי אלא רק אנשים בדרגות גבוהות.
לדעתי בעניין הזה אין לך מה לדאוג
אור,
כשהתעודה תוחזק על ידי שומר בבניין משרדים, מה מונע ממנו לאסוף את המידע? כשהתעודה תהיה שמורה על ידי חברה מסחרית לרגע, מה מונע ממנה לשמור את המידע?
אגב, אם המאגר הזה כל כך שמור, סודי וחסוי, אז למה צריך אותו? מרשם התושבים אמור היה להיות שמור וחסוי, והנה הוא ברשת.
פססט, אור, תן לי לספר לך משהו – כשהייתי בצבא הייתה לי גישה לפרטים האישיים של כמעט כל חייל שהיה לי המספר האישי שלו. ולא הייתי בתפקיד מסווג בכ-לל, פשוט הייתה לי חברה בשלישות. ולא, היא לא הייתה קצינה.
שומר בכניסה לבניין, כמו בעזריאלי…
הצלחת למצוא את הדוגמא המושלמת, עכשיו יש בן אדם אחד יותר שמאמין בצדקת דברייך..
הבעיה היא שמכיוון שאכן מדובר באותם מאבטחים בשכר מינימום עם רקע מוטל בספק, להתווכח איתם על לשון החוק חסר טעם. הם קיבלו הוראה ברורה – אין ת.ז. אין כניסה. קרה לך פעם שמנעו ממך כניסה למקום כלשהו?
אלון,
אם מספיק אנשים יתווכחו איתם, יקראו לממונים עליהם ואלה יקראו לממונים עליהם, יקרה משהו. במקרה שלי השומר פשוט ויתר ונתן לי להכנס כי הוא (א) מכיר אותי ו(ב) ידע שאם הוא יתווכח איתי הוא לא יגמור טוב.
– מאוד מעניין אבל עדיין חסר לי הפאנצ', איזה שימוש זדוני ספציפי תעשה החברה שמעסיקה את השומר במאגר המידע ביומטרי הביומטרי שבנתה בסתר?
איזה מידע נשמר על תעודת הזהות הביומטרית? תביעת האצבע שלי?
כל טמבל יכול להוריד את זה מכל דבר שאני נוגע בו, וזה חוקי לגמרי.
סוג הדם שלי, תרים טלפון למוקד של התרמות דם ותשאל אותם, מי שלא תרם, בטוח יש לו חשבון בקופת חולים כלשהי, ועם מספר ת.ז לא קשה לקבל את המידע הזה…
אני חושב שאין שום מניעה להשתמש בת.ז כאלו, ולהגיד שכן זה בדיוק כמו שאנשים אמרו שאסור לקנות דברים באינטנט, אבל סטטיסטית, גנבות זהות וכסף נעשות ברובן עדיין לא ע"י גניבה ממחשבים, אלא בגלל שאנשים מפגרים מספיק מוסרים את המידע הזה מיוזמתם.
במקרה של ת.ז. לא קשה לקבל את המספר, וכשיש לך אותו, יש לך גישה כמעט לכל מקום, כולל לחשבון בנק של אדם, ובשביל זה לא צריך ביומטריה, זה קורה אפילו עכשיו.
ביומטריה יעשה רק טוב כי הצ'יפ יהיה מקודד כל כך שלא יהיה כל כך קל לחדור אליו, בדיוק כמו שלא קל לחדור למערכת של PayPal.
ולא, אני לא קשור לHP או לממשלת ישראל, אני פשוט חושב שנבואות אפקליפטיות לגבי דברים פעוטים הם קצת יותר מידי פרונאידים… (למרות שאני מסכים לחלוטין שאסור להפקיד את התעודה בכניסה לבניינים…)
ואגב, באתר שלך כדי לפרסם תגובה צריך מייל… קצת מצחיק לא? :)
גיא ואיאן,
לשכפל את תעודת הזהות ולהשתמש בה כדי להזדהות בתור המפקיד לא מספיק? הרי להעתיק טביעת אצבע של אדם זה עניין פשוט למדי, ועכשיו רק צריך את האמצעי הפיזי.
איאן,
זה לא המידע שנשמר (או ליתר דיוק, המידע שנשמר רק מאפשר את זה); זה העובדה שהתעודה היא מסמך מזהה לכל דבר וגורמת לאימות ייחודי של המחזיק שלה ומכילה פרטים שיכולים אחר כך לזהות אנשים, כמו צילום של תווי פנים ומאפיינים דומים.
אני חושב שאין קושי רב בלעשות "תעודת זהות ביומטרית" שלא תכיל כל מידע ביומטרי, אלא רק תשמש לשם זיהוי ביומטרי.
אם למשל משתמשים בכרטיס חכם ששומר את הגרסה המוצפנת של אוסף הפרמטרים הביומטריים (שאגב, אינו טביעת אצבע אלא אוסף נקודות מסוים מתוך טביעת האצבע), באופן שיאפשר לאמת מולו את הפרטים האלה אך יקשה להוציא את הפרטים מתוך הכרטיס החכם (קשה לא אומר בלתי אפשרי, כמובן, ואם מישהו יצליח לפרוץ לתוך הכרטיס, למרות המנגנון שמוחק הכל אם פורצים אליו, כל מה שיוכל להוציא משם זה קטע מוצפן בהצפנה חד כיוונית, שמולו ניתן אולי יהיה לבצע התקפת "ניחוש" ארוכה מאוד ואולי לשחזר אוסף פרמטרים מסוים). אני לא מדבר על שום טכנולוגיה ייחודית שלא ממומשת היום כשגרה.
בשורה התחתונה, אני חושש שלמרות שאתה צודק, במקרה המסוים הזה, קל הרבה יותר לאותו שומר להשיג את טביעת האמצבע בשלמותה המוטבעת על תעודת הזהות כמו על כל חפץ שהחזקת לפני דקה…
ישי,
לא ירדת לסוף דעתי.
אותו שומר יקח את טביעת האצבע שלך מהכוס, יכין אותה לתבנית (מה שראינו שכבר אפשרי לציוד הביומטרי בישראל) ואז ישכפל את הכרטיס (כי להעתיק מידע, כמה שהוא מוצפן, תמיד אפשרי, לא? ואז ישתמש באותו אמצעי פיזי ותעודה פיזית כדי לגנוב את הזהות שלי.
פשוט? לא כל כך, אבל גם לא ממש בלתי אפשרי.
הרסני? הרבה יותר מגניבת זהות רגילה.
לקחת טביעת אצבע כנראה שלא קשה, אבל לשכפל כרטיס חכם דווקא קשה מאוד.
כל מהותו של כרטיס חכם היא שהוא שומר בתוכו מידע שלעולם לא יוצא החוצה (כגון מפתח פרטי) והגישה למידע היא רק דרך הממשקים של הכרטיס, המבצעים פעולות חישוביות כגון הצפנה באמצעות המפתח הפרטי.
אני חושב שזה לא רעיון מוצלח לנסות לתקוף את החוק מכיוון זה, מכיוון שדווקא השימוש בכרטיסים חכמים יכול להוסיף אבטחה ביחס למצב הקיים היום (להבדיל מנושא הפרטיות). תמיד ניתן לומר שפתרון מסוים אינו מושלם, אולם אם הוא מהווה שיפור משמעותי ביחס למצב הקיים, הרי שזו לא טענה חזקה.
ישי,
להעתיק אחד לאחד את כל המידע על הצ'יפ, מוצפן ככל שיהיה, לא נראה לי שקשה במיוחד.
אתה מוזמן לקרוא את פרק physical security של FIPS 140-2 כדי לראות שישנה התייחסות לנושא. זה ממש לא פשוט לעקוף את ממשקי הכרטיס ולהגיע פנימה בלי להרוס את הצ'יפ כך שלא יהיה ניתן לקרוא אותו.
אפשר לינק? אני אשמח לנסות.
אני מניח ש:
http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
תודה. אני אקרא.
ישי, "לא פשוט" זה לא "בלתי אפשרי".
גם בלי להכיר את המערכת ובלי להבין דבר וחצי דבר במערכות אבטחה, אני יכולה להניח במידה גבוהה של וודאות שמספיק שמישהו אחד (שמכיר מערכות כאלה ויודע איך הן עובדות) יהיה נחוש מספיק כדי לפרוץ אותה, בשביל שהמידע יזרום החוצה (ובזה אני מתכוונת גם למידע הביומטרי אבל גם למידע בנוגע לאופן פריצת ההגנות).
האמונה שאם קלקלת אתה יכול גם לתקן, פועלת, למרבה הצער, גם בכיוון ההפוך.
אז מה אתה מציע לעשות אם מבקשים ממך להפקיד את תעודת הזהות שלך כדי להכנס למקום כלשהו ..?