0.
האם שימוש בתוכנות הצפנה כמו GPG, TrueCrypt או אפילו סתם תוכנות אחסון שמצפינות את המידע ברשת כמו Dropbox עשוי להיות עבירה פלילית בישראל? מטרת מאמר קצר זה היא לסקור את החקיקה הנוגעת לאמצעי הצפנה בישראל, לבחון מדוע קיימים אותם הסדרים, להסביר כיצד אותם הסדרים אינם עומדים בקנה אחד עם דרישות אבטחת המידע הקיימות נוכח המציאות היום ולהמליץ על שינויים בתחום על מנת לקיים רגולציה על תחום ההצפנה בצורה אתית וראויה.
אכן, ולמרות שהדבר אינו נראה הגיוני, הצפנה היא תחום מוסדר למסחר בישראל. משרד הבטחון השתמש בסמכותו ולאור סיבות היסטוריות הכריז כי: "הצפנה מסחרית, כמו גם טכנולוגיה בתחום זה, נחשבים בקרב מדינות העולם בעלי מאפיינים "דו-שימושיים" (Dual-Use) אשר יש לפקח על העיסוק בהם. מדובר בטכנולוגיות, במוצרים ובידע אשר משמשים ככלל לצורך אזרחי (מסחרי או פרטי) ואולם ניתן לעשות בהם גם שימוש צבאי ובטחוני. החשש הינו כי בידיים הלא הנכונות (מדינות המוכרזות כתומכות בטרור, ארגוני טרור וגורמים פליליים) ינוצלו אמצעי ההצפנה למטרות פסולות". משנת 1974, עת הותקנה אכרזה המציגה את ההצפנה והעיסוק בה כתחום בר-פיקוח, נאסר על אזרחי ישראל להשתמש באמצעי הצפנה כלשהם ללא הסכמת הממשל, וצו הפיקוח שהותקן דרש כי כל העוסק בהצפנה ירשם במשרד הבטחון ויאפשר למשרד הבטחון לערוך חיפושים ובדיקות בחצריו, הדרישה המשיכה אל תוך שנות השמונים והתשעים (ראו סקירה היסטורית באתר של חיים רביה, חלק ראשון, חלק שני, חלק שלישי) עד שבסוף שנות התשעים התחוור למשרד הבטחון כי רוב אזרחי ישראל עוברים על החוק בצורה כזו או אחרת. על מנת לפתור את הבעיה, הוחלט על קיומה של רפורמה זוטא במדיניות הפיקוח על אמצעי הצפנה, שתאפשר את השימוש במספר אמצעים מוכר וידוע ללא כל רגולציה.
1.
לצורך כך, בשנת 1998 תוקן צו הפיקוח על מצרכים ושירותים (תיקון), התשנ"ח – 1998 ונקבע כי למנכ"ל משרד הבטחון ישנה אפשרות להכריז על אמצעי הצפנה כאמצעים חופשיים, אפילו מיוזמתו, ולהכריז כי אין איסור על שימוש באמצעים אלה. נכון להיום, באינדקס האמצעים החופשיים יש כ7,685 אמצעים לרבות Internet Explorer וNetscape Navigator / Communicatior (ללא ציון גרסאות, לפחות בתחילה) אך לא רוב האמצעים החופשיים והאמצעים בקוד פתוח המוכרים לנו. כך, לדוגמא, דפדפן Firefox, למרות שהינו בעל יכולות הצפנה, נעדר מהרשימה; מערכת ההפעלה לינוקס מאוזכרת על ידי רשיון שניתן לRedHat ושלל אפליקציות ללינוקס, אך לא נמצאת שם. דומה שהסיבה לכך היא כי מעולם לא טרח איש לפנות למשרד הבטחון על מנת לאשר את העניין. מאז 2004 לא נדחתה בקשה אחת לקבלת אישור ודומה שעם נתח שוק עולמי של כ-30% לדפדפן Firefox קשה למשרד הבטחון לא לאפשר מיוזמתו את ההסכמה לדפדפנים. אולם, נכון לעכשיו, כל המשתמש בדפדפן שאינו מופיע ברשימת האמצעים החופשיים, הרי שהוא מפר את צו הצופן.
2.
חוסר ההגיון בצו מסוג זה משווע מלא מעט סיבות. העיקרית היא הרציונל מאחורי הצו: החשש כי בידים הלא נכונות ינוצלו אמצעי הצפנה היה נכון אולי בשנת 1974 כאשר צו בדבר הסדר העיסוק באמצעי הצפנה הוצא; אולם, מאז שונתה דרך העבודה והמתודות. מאז 1974 השתנה עולם התוכנה ואמצעי ההצפנה לצורה שבה כל יום, במהלך העבודה הרגיל, אדם מצפין עשרות פעמים: כאשר הוא מתחבר לקריאת דואר אלקטרוני, כאשר הוא מבצע שיחות טלפון, כאשר הוא צופה בטלויזיה; כל פעולה היום מלווה בהצפנה. מנגד, אותם ארגוני טרור שהממשלה מנסה למנוע מהם את השימוש בהצפנה יכולים להסתמך כיום על תוכנות הצפנה בקוד פתוח אשר אין להם אב ואם, ויכולות להגן בצורה טובה יותר מאשר חבילות מסחריות.
3.
אם הרציונאל של משרד הבטחון הוא דומה לרציונאל של ממשלת הודו במאבק מול Blackberry ושל ממשלת גרמניה בנוגע לSkype, כלומר, לקבל גישה למפתחות ההצפנה ולאפשר דלתות אחוריות, הרי שאותו רציונאל פסול ואינו עומד בקנה אחד עם קריטריונים חוקתיים, אולם נראה שלא כך הדבר. בטפסי הבקשה אין כל דרישה לקיומן של דלתות אחוריות, ונכון לעתה אמצעים רבים המופיעים בדיווח ידוע שאינם מכילים דלתות כאלה (בין היתר כיוון שמדובר באמצעי קוד פתוח). אלא שדומה שהארכאיות בבקשות של משרד הבטחון פשוט אינן מסוגלות לקבל את העובדה שישנן תוכנות חופשיות או יצירות ללא אב ואם. כך, לדוגמא, בטופס הבקשה, מלבד קריטריונים רלוונטיים, נדרש הממלא להבהיר מהו שם החברה המספקת את התוכנה (במקרה של תוכנות בקוד פתוח אין כלל אב ואם) וישנה דרישה לדיווח על המכירות.
4.
כלומר, נכון להיום כל אוכלוסית מדינת ישראל עוברת על צו הצופן בצורה כזו או אחרת; מדובר בעבירה פלילית שענישה כלשהיא בצידה, ואשר מונעת מכלכלת ישראל גם להתבסס על אמצעים בקוד פתוח. מעבר לכך, הרציונאל לפיו יש להרחיק ארגוני טרור מאמצעי הצפנה הוא גם לקוי: הרי אותם ארגונים מראש אינם מצייתים לחוק. עוד סוגיה המתעוררת היא בעיית טריטוריאליות החוק: החוק הישראלי חל על אזרחים ישראלים הנמצאים במדינת ישראל, אולם הוא אינו חל על פעולות שבוצעו מחוץ לה. למרות התפיסה הארכאית של משטרת ישראל כי היא יכולה להחיל את החוק גם על פעולות מחוץ לישראל (בש 90861/07 מיכאל גארי קרלטון נ' היחידה הארצית לחקירות הונאה), הרי שברור כי צו הצופן לא יחול על הצפנה שבוצעה מחוץ למדינה ולא ניתן יהיה לחייב שירותי הצפנה זרים שאינם פועלים בישראל לציית לחוק.
5.
כך, לדוגמא (ותודה לים מסיקה על הרעיון), שירות Dropbox מספק אחסון מרוחק ומוצפן. מדובר בשירות ציבורי, הזמין לכל תושבי העולם ואינו מחזיק שרתים בישראל. נניח, לצורך העניין, שהוא אפילו חוסם את היכולת לגשת לשירות לישראלים (על מנת להתגבר על המכשול הטכני של טענות המשטרה בעניין מיכאל גארי קרלטון), אולם: אזרח ישראלי (נניח, גלעד שרון, לצורך הויכוח), מאחסן את קבציו האישיים בשירות וניגש אליו באמצעות שרת Proxy המסווה את זהותו. אותו אדם נמצא תחת חקירה, והמשטרה מצווה עליו למסור מסמכים מסוימים (ע"פ 1761/04 גלעד שרון נ' מדינת ישראל) אולם, הוא טוען כי זכותו להמנע מהפללה עצמית עומדת, והוא מסרב למסור את ססמאת הגישה (וראו: על החובה למסור ססמאות מוצפנות). כעת, משנמנעה מהמשטרה היכולת להגיע לחומר החקירה החסוי, שכן, אם שרתי Dropbox היו בישראל, הם היו מבקשים, בין אם על פי חוק ובין אם לא, את הגישה לקבצים בצו בית משפט לפי סעיף 43 לפקודת סדר הדין הפלילי [מעצר וחיפוש], מבקשת המשטרה לאסור את אותו אדם על פי צו הצופן.
6.
הטענה הקלה מבחינת המשטרה, מאותו הרגע, היא שאותו אדם הצפין את החומרים בצורה שאינה מאפשרת את הפענוח (כיוון שהחומר אינו נמצא בישראל, ולא ניתן ליתן צו חיפוש נגד מי שמחזיק אותו) המצפין עבר על החוק. כך, יותר קל להצמיד עבירה של הצפנה שלא כדין מאשר את שאר העבירות (ולעבור על חוק הפיקוח על מוצרים ושירותים). אולם, האם צו הצופן, בפועל, אומר שאנחנו צריכים לזנוח את כל התוכניות שלנו ולעבור לעבוד רק עם יישומים מורשים?
7.
גם צו הצופן, בהיותו צו שינתן על ידי רשות שלטונית, כפוף לעקרונות חוקתיים כמו כל צו אחר שניתן על בסיס חוק פיקוח על מצרכים ושירותים. כך, לדוגמא, בבגץ 4253/02 מר בנימין קריתי – ראש עיריית טבריה נ' מר אליקים רובינשטיין – היועמ"ש הועלתה טענה נגד תוקף צו פיקוח בתחום הבריאות, כאשר באותו המקרה בית המשפט פסק כי, ראשית, היה על העותרים לתקוף את הצו סמוך למועד כניסתו לתוקף (ובהשלכה לצו הצופן, בשנת 1998 לערך) וכי יש לבחון את השלכות הרוחב של הצו, גם אם הוא מגביל את העקרונות החוקתיים:"לענייננו, צו הפיקוח קובע עקרונות חשובים ומהותיים. אם היה מקום לתקוף אותו – הדעת נותנת כי הדבר יעשה סמוך לאחר נתינתו, ולא לאחר שהעקרונות התקבעו והפכו לנורמות מחייבות שלאורם פועלים בתי החולים. מעבר לכך ולגופו של עניין: השגתם המרכזית של העותרים (באשר לתוקפו של צו הפיקוח) נסמכת על החוק המסמיך קרי: חוק הפיקוח על מצרכים ושירותים, תשי"ח-1957, ס"ח 24 (להלן: חוק הפיקוח). סעיף 3 לחוק הפיקוח אומר: "לא ישתמש שר בסמכותו לפי חוק זה, אלא אם היה לו יסוד סביר להניח שהדבר דרוש לקיום פעולה חיונית, למניעת הפקעת שערים וספסרות או למניעת הונאת הציבור". לטענת העותרים "אין ולא יכול להיות לשר יסוד סביר להניח כי איסור השר"פ חיוני לקיום פעולה חיונית – מתן השר"פ אינו פוגע בכהוא זה בכל פעולה חיונית הניתנת במסגרת בית החולים" (סע' 78 לעתירה). חרף הפסקנות והדווקנות שבה נטענה הטענה – היא אינה משקפת את המצב לאשורו. לשר"פ יש השלכות רוחב שמשמעותן אינה מצטמצמת לאותן שעות שבהן הוא ניתן".
8.
מנגד, ברור כי בתריסר השנים שעברו מאז הוצא צו הצופן השתנתה הדרך בה אנו חושבים על הצפנה למכביר. בשנת 1999 מערכת Deep Crack פרצה את תקן ההצפנה המקובל בעולם, הDES. תקן הAES הוחל בשנת 2001, ופיגועי ה11 בספטמבר 2001 הביאו לרצון נרחב יותר לבחון מהם המסרים המועברים. כח המחשוב בעולם גדל בצורה מעריכית ושיטות הפצת המידע השתנו מקצה לקצה. החובות שהוטלו על מנהלי מאגרי מידע, מנגד, והצעות הרשות למשפט, טכנולוגיה ומידע לתקנות אבטחת המידע בפרט, לא מאפשרות אלא לעבור על החוק.
9.
אם כן, מה על אדם המעוניין לעסוק בהצפנה, או לספק לציבור שירות המכיל רכיב הצפנה בפנים, לעשות? כעקרון, גם אם הוא אינו מפתח התוכנה, אין מניעה כי כל אדם יגיש בקשה להכריז על שירות ההצפנה שלו כאמצעי חופשי על פי צו הצופן. כלומר, במקרה כזה, נניח שאדם מסוים מנהל אתר אינטרנט להיכרויות: עליו גם לרשום מאגר מידע על פי חוק הגנת הפרטיות, וגם, בהנחה שהוא מצפין את הססמאות כדי לשמור על כללי אבטחת מידע להגיש בקשה לרישום אמצעי ההצפנה למשרד הבטחון. כעת, אם מערכת ההפעלה בשרת מכילה רכיבי הצפנה שאינם מוכרים כאמצעים חופשיים, עליו לבקש רשיון גם עבורם. במקרה כזה, די בכך שיתקבל פעם אחת רשיון עבור רכיב כמו OpenSSL להכיר בו כאמצעי חופשי.
10.
אם יש משהו ללמוד ממלחמת הPGP של שנות התשעים הוא שלא משנה מה, מרגע שתוכנה מסוימת שוחררה לאוויר לא ניתן להשיבה. בשנות התשעים ממשלת ארצות הברית רדפה אחרי מפתח של תוכנת PGP: Pretty Good Privacy ששוחחרה תחת רשיון פתוח יחסית. למרות ויכוחי פטנטים עם RSA ולמרות האיסור על הפצת קוד התוכנה מחוץ לארצות הברית כיוון שמדובר באמצעי הצפנה, הצליחו ארכיטקטי PGP (שכיום גם מכיל גרסא מסחרית). מנגד, ובעקבות חוסר אמון וחוקי יצוא מעיקים, אלטרנטיבת הGPG יצאה לאוויר ואיפשרה מעקף של העניין. הכלל, שברור כיום יותר מכל דבר אחר, הוא שאמצעי הצפנה, כמו כל תוכנה אחרת, אינם ניתנים לשליטה מרגע ששוחררו לאוויר העולם. הרציונאל של רשויות שלטוניות לנסות לאסור על שימוש בתוכנה שאין לה בעלים, אין לה משווק ואין לה תומך אינו בנוי לעולם הנוכחי של העדר גבולות ושירותי רשת.
11.
אם כן, מה אמור משרד הבטחון לעשות על מנת להתמודד עם תופעת ההצפנה ולהתמודד עם רצונם של גורמים עוינים להצפין מידע? מתוך נקודת המוצא כי אותו משרד אכן מבין כי העדר זמינות בישראל של תוכנות הצפנה לא יגרום לכך שארגוני טרור לא ישיגו את האמצעים מאתרי אינטרנט זרים, ומתוך הכרה בערך החיובי מאוד של הצפנה עבור האדם הפרטי, אשר משתמש בהצפנה למסחר, משרד הבטחון צריך, להערכתי, לבצע את השינויים הבאים:(1) ראשית, על משרד הבטחון ליתן היתר כללי לאמצעי הצפנה הנמצאים בנחלת הכלל או שוחררו תחת רשיון קוד פתוח; (2) על המשרד לשקול רפורמה שתסיר את ההגבלות על הצפנה כלל ותסיר את המוצר מרשימת המוצרים בפיקוח, תוך הבנה שהזמנים השתנו; (3) עד שרפורמה מסוג זה תכנס לתוקף, על המשרד לזום בצורה אקטיבית הכרזה על אמצעים חופשיים מבלי מעורבות של הציבור ולבטל את דרישת הדיווח השנתי; (4) כמו כן, על המשרד, יחד עם הרשות הממלכתית לאבטחת מידע, לפעול לקידום ההצפנה והטמעת אמצעי הצפנה חזקים יותר בידי גורמים הפגיעים למתקפות טרור וירטואליות.
12.
לסיכום, ככל הנראה לא יוגשו לעולם כתבי אישום נגד ציבור משתמשי פיירפוקס או נגד מי שמשתמש בהצפנה שמקורה בקוד פתוח. הסיבה לכך היא כנראה חוסר הרצון של משרד הבטחון לנמק, מאוחר יותר, מדוע מעולם לא הפעיל את סמכותו לפי סעיף 3ב לצו וקבע מיוזמתו כי התוכנות מהוות אמצעי חופשי, וגם כיוון שעל ידי הגשת כתבי אישום נגד משתמשי פיירפוקס ינותק הקשר הסיבתי בין איסור הצפנה לבין טרור. לכן ברור שקיומו של חוק שאינו נאכף עשוי רק להזיק למדינה, במיוחד כאשר מדובר בחקיקה שנועדה להגן מפני טרור, וכעת לא נעשה בה כל שימוש.
לגבי סעיף 4 – אני מניח שכוונת המחוקק הייתה למנוע מחברות ישראליות למכור מוצרים באופן חופשי לארגוני טרור, ולא כפי שאתה רומז, שהחוק הישראלי ירתיע ארגוני טרור מלהשתמש בכלי הצפנה. כל כמה שהחוק הזה שבור, אני מניח שאם חברה ישראלית היתה עושה מליונים מלמכור לחיזבאללה מצפינים, כולנו היינו מעקמים קצת את האף.
הפוסט הזה מעלה גם שאלה חצי קשורה – האם העובדה שחוק מסוים לא נאכף כלל, ואחוז גבוה מהאזרחים בארץ עוברים עליו, יכולה להוות הגנה משפטית? הרי אם לא, בקיום חוק שהופך חלק גדול מהאזרחים לפושעים, אך לא נאכף באופן כללי, אלא רק נגד אדם מסוים בנסיבות מסוימות, יש פגיעה די חמורה בשיוויון.
האמת, נושא מעניין.
משעשע אותי גם שבדיוק סיימתי לקרוא את "האח הקטן" שעוסק בנושאים האלה.
אגב, לפי הפודקאסט Security Now בימים אלה מקודמת בארה"ב חקיקה ליצירת "דלתות אחוריות" בתוכנות הצפנה.
עפרי,
באופן חלקי, טיעון ה"הגנה מן הצדק" מגן בפני אכיפה סלקטיבית מאוד.
ר' גם http://he.wikipedia.org/wiki/%D7%94%D7%92%D7%A0%D7%94_%D7%9E%D7%9F_%D7%94%D7%A6%D7%93%D7%A7
שלום
באופן כללי אני מאד מסכים עם הנאמר כאן וצריך פשוט ללכת עם הזמן. כמה הערות טכניות: האמירה שתוכנות בקוד פתוח מספקות הגנה טובה יותר איננה עומדת תמיד במבחן המציאות ויש יותר דוגמאות הפוכות (ראו למשל התייחסות של ברוס שנייר לנושא הזה). המודל של פיתוח על ידי קהילה גדולה מבטיח אמנם שיותר אנשים יסתכלו על הקוד אבל לא ממש מבטיח איכות גבוהה יותר. מה שקובע זה כמה אנשים מדווחים על באגים ויכולים לזהות חורי אבטחה כשהם נתקלים באחד כזה. כאן אין פשוט הבדל. דוגמה טובה היא PGP שבגרסה המסחרית היא משמעותית יותר מוצלחת (בהבטי שימושיות ואבטחה) מהגרסה החופשית.
יש דוגמה הרבה יותר מעניינת בתחום הזה: תוכנת nautilus שהייתה תוכנת הצפנת דיבור peer to peer והרשויות האמריקאיות ניהלו נגדה מלחמת חורמה, עוד לפני שרשת האינטרנט הייתה זמינה לכל. הכשלון היה חרוץ וכל מי שרצה יכול היה לאתר אותה ב-BBS כלשהו. הלקח לא נלמד כנראה והרצון של ממשל אובמה כיום לאלץ דלתות אחוריות במוצרי הצפנה מוכיח שאם היה לקח כלשהו – הוא פשוט נשחק עם הזמן. לי נראה שכל המהלך הזה נועד לאותה תכלית כמו טפסי ההגירה בארה"ב: אף אחד לא מסתכל עליהם והדבר היחידי שהם מצליחים להשיג זה לקרוע לך את הדרכון איפה ששידכו אותם עם סיכות משרדיות. ובכל זאת, אם יתפסו אותך על משהו אחר – יכולים ללכת לטופס ולראות ששיקרת להם או הפרת את אחד הכללים ולעשות לך דברים רעים.
כאן המצב מאד שונה משם ואני מסכים בהחלט שראוי לתקן את המצב. זה פשוט לא בסדר העדיפויות של מישהו כנראה.
לגבי האפקטיביות של שימוש באכיפה רק במקרים סלקטיביים מאד – אין לי דעה בעניין אבל אני מניח שזה לא יהיה כל כך יעיל ובית המשפט לא ירוץ להרשיע מישהו על בסיס כזה.
כאן בישראל אפילו עומדים לחלק לאזרחים מצפינים קטנים, בגודל כרטיס אשראי, עם התמונה שלהם על זה ועוד כמה תכונות יפות. המצפינים האלו אפילו יחולקו בחינם למי שיתנדב לפיילוט ורמת האבטחה שלהם גבוהה בהרבה מכל תוכנת הצפנה שאתה מכיר (-; …
החיסרון שלהם (מלבד מה שאתה חושב) זה שלא ניתן לטעון להם כל מפתח ממקור חיצוני אלא רק להשתמש במפתח הפנימי שחולל על הכרטיס. מלבד זאת הם מצפינים מצוינים והרבה יותר מוגנים מכל תוכנה שתתקין על המחשב שלך.
בברכה
יורם אורן
לגבי תוכנות קוד פתוח: נכון שהן אינן תרופות קסם כנגד בעיות אבטחה, אולם בתוכנת קוד פתוח שהיא מספיק פופולרית קשה מאוד עד בלתי־אפשרי להכניס פרצות אבטחה מכוונות (דלת אחורית היא, מעצם הגדרתה, פרצת אבטחה).
פירצה ברמת דלת אחורית מכוונת היא אכן דבר לא מאד סביר אבל גם לא בלתי אפשרי. רק תראה כמה אנשים פשוט מורידים את ה-binary וכמה באמת מקמפלים אותו לבד, אחרי שעברו על הקוד ווידאו שאיננו מטופל ביד זדונית. הורדת ה-binary קורית הרבה יותר דווקא בתוכנות הכי פופולריות.
מכיוון שיש מעט דרכים לכתוב קוד הצפנה נכון והמון דרכים לכתוב אותו לא נכון – יש פרצות אבטחה לא מכוונות שקשה להפטר מהן. הכותבים יכולים להיות מאד מוכשרים ועדיין זה יקרה. הדרך האפקטיבית ביותר נגד זה – מישהו שמציץ למפתח מעבר לכתף ויודע גם איך לתקוף קוד. המפתח לבדו תמיד יטעה בזה ונדרשת מתודולוגיה מאד מוצקה כדי לכתוב קוד בצפנה טוב.
בברכה
יורם אורן
מסרתי באופן אישי, ועכשיו גם פה – מאמר מעניין מאוד. נהנתי לקרוא כל מילה, תודה רבה.
קיבל Share ב-Facebook.
עברתי על רשימת האמצעים החופשיים, והסתבר שהדפדפן IE נרשם ללא ציון גרסה ב־1999, וב־2003 נרשמות הגרסאות 3 – 5.5, אבל גירסאות 6-9 לא נרשמו מעולם.
האם יתכן שכל משתמשי Internet Explorer כיום הם עבריינים על פי צו הצופן מאחר והם משתמשים בתוכנה שלא נרשמה מעולם?
הופתעתי. משום מה היה בזכרוני שהיה היתר גורף לכל תוכנה חופשית או חינמית שמורדת מהאינטרנט. אכן ברשימה לא הצלחתי למצוא אף מוצר חופשי מלבד Red Hat מותקן ספציפית על HP. אני גם מורשם שיורוקום טרחו לדחוף פנימה רשימה כל כך מפורטת של כל הדגמים הספציפיים של נוקיה.
תקנו אותי אם אני טועה, אבל אם שחר ירשום את rsyncrypto זה למעשה יהיה המוצר החופשי הראשון ברשימה?
נראה בעצם שחשוב פשוט לרשום ככה 3-4 ספריות הצפנה כמו OpenSSL ואלו של מוזילה ולסגור בעצם כמעט כל כלי הצפנה פתוח שבשוק. יש הגבלה למי מותר לרשום מוצר? האם אני יכול למשל להציע לרישום את הספריות האלו או שזה צריך לבוא ממישהו שמייצג את הפרויקט? האם המקור מספיק טובה לזה?
כמו שכבר אמרתי לך .. לדעתי יש כאן פיספוס מכוון .. נכון אתה יכול לטעון שיש צדק או הגיון בדבריך , מצד שני המערכת יכולה (עדיין) לעשות מה שהיא חושבת שנכון לה.
לשיטתך, אם כולם עבריינים, הרי צריך לתקן את החוק על מנת שלא יהפכו אותנו לעבריינים בפוטנציה .. ואני, אם כך , שואל .. אם נניח (רק נניח) ש 95% מהנוסעים בכביש גהה נוסעים למעלה מהמהירות המותרת בחוק .. האם צריך לפיכך לשנות את המהירות המותרת ? אם כן , הרי שמחר הם שוב יסעו מעל מה שמותר .. ואז מה תעשה ? שוב תגביהה את הרף ?
כרגע, החוק, גם אם הוא מיושן .. הוא עדיין החוק . מבחינת האכיפה .. ככל הידוע לי ישנה אכיפה רק ברמה מסחרית או לשימושים מסחריים .. משמעות הדבר .. הינה שיש במערכת אנשים שמבינים כי אי אפשר לאכוף את החוק על כלל האזרחים .
נסיון לשנות את החוק בצורה שאתה מציע , עשוי ליצור את אותה פרצה ממנה חוששים .
להבנתי (ותודותי ל HP בעיניין הזה .. למרות שהמניעים שלהם לא היו לרווחת הכלל) , מרגע ש RHEL הוסמכה , כל הרכיבים בה הוסמכו .. הרי RHEL אינה תוכנה בפני עצמה אלא אוסף של רכיבי תוכנות פתוחות ..
מכוון שכל הרכיבים בה הוסמכו , ניתן לומר כי כל רכיב בנפרד הינו מאושר ..
למי שיש עיסוק מסחרי בנושא .. ההליך אינו מאד מסובך .. (הליך רישום) .. אבל מי שאינו עוסק בכך בצורה מסחרית .. לא סביר שהוא יצטרך זאת .
לשאלתו של עירא לגביי יורוקום, התשובה היא שמשרד התקשורת , כחלק מאישור סוג של מכשירים סלולאריים, מחייב את אישור משהב"ט .. כלומר, כל המכשירים שמיובאים לארץ בייבוא מסחרי או ניסויי מצריכים את האישור הנ"ל .
דורון
כמובן ששכחתי ..
יש שם גם הסמכה של סיטריקס .. למערכות xen .. שזה בעצם לינוקס .. מבוסס centos .. שבוצעה בו החלפה של ה kernel והוספה של מספר רכיבים ..
כלומר .. במבט מהיר יש שם מספר הפצות לינוקס .. גם אם הן תחת כסות כזו או אחרת .. מה שלטענתי ממילא מסמיך את כל הרכיבים שבהם ..
דורון
ועוד תוספת .. אם תסתכל בהמשך המסמך , יש לא מעט הסמכות ש IBM אירגנה .. במסגרת זו יש אישור ל suse ..
כמו כן יש את HP Linux שככל הידוע לי מדובר על דביאן ..
דורון
דורון – אף אחד לא מנסה לטעון שצריך להעלות את הרף. טוענים שהחוק – כפי שהוא כיום – לא מתאים למציאות, וצריך לעדכן אותו. אם אתה רוצה להשוות את זה לתקנות התעבורה, אז מצב החוק היום מתאים לעגלות עם סוסים ולא למכוניות. זה כבר מעבר להעלאת רף, נדרשת פה רוויזיה מלאה.
לגבי לינוקס, לפי מה שאני מבין מהחוק – אם אושר SUSE כאמצעי חופשי זה לא בהכרח אומר ש-UBUNTU מאושר גם כן. השאלה היא לא טכנית אלא משפטית, וכיוון שמעולם לא הורשע מישהו בעבירה על צו הצופן, אין עדיין תקדימים.
עירא – אפשר בהחלט לרשום את OpenSSL ו-LibNSS, עד כמה שידוע לי תהליך הרישום מחייב תשלום אגרה ובטופס צריך למלא כל מיני שדות כמו מס' הטלפון של המפתח.
יאיר,
אם הבנתי נכון את דבריו של יהונתן, הרי שהדוגמה שהשתמשתי בה הינה כדי לתאר גזירה שלכאורה הציבור אינו עומד בה – האם על מנת שהציבור יעמוד בה עלינו לשנות את אותה גזירה ?
זה שהחוק לא מתאים למציאות – אני עשוי להסכים איתך , בעצם אני מסכים איתך, אולם החוק נועד על מנת להשיג תכלית מסויימת – ולהבנתי הוא משיג אותה.
אם יבוצע שינוי, ואתה בכלל מדבר על רוויזיה, הרי שאני סבור שיהיה קושי למצא את התכלית שאותה מנסה החוק או הצו להשיג, ובעצם הרוויזיה או השינוי אתה באותה הזדמנות שבה אתה מקל על האזרח הסביר – אתה גם עשוי לפרוץ את הדרך בנושא שעליו החוק מנסה לטפל .
להבנתי, אם יש אישור ל suse אכן לא אומר שיש אישור לאובונטו , אולם זה אומר שיש אישור לכלל הרכיבים המצויים ב suse .. ואם ישנם רכיבים שמצויים ב suse או ב rhel והם אושרו, והם קיימים גם באובונטו – הרי שאותם רכיבים מאושרים .. (מכוון שגם rhel וגם suse משתמשים באותם כלים ממש שמצויים באובנטו ) – אמנם אובנטו כמעטפת לא מאושרת , אך רכיבים שבה כן מאושרים (אגב לדעתי קיימת קרבה גדולה יותר בין אובנטו לבין hp linux ) .
השאלה אמנם משפטית – אולם כמו כל סוגיה משפטית-טכנולוגית , ראוי וכדאי גם להיוועץ באנשי טכנולוגיה , בלי הדבר הזה מגיעים לברדקים לא פשוטים.
כמו כן .. אתה טוען שמעולם לא הורשע אדם בעבירה על צו הצופן ואני טוען שאין בסיס לידיעה שלך ושלי בנושא , מכוון שממילא הנושא הזה מצוי תחת עבירות בטחוניות , ואילו מישהו כן הורשע , הרי שכל הדיון כולו היה חסוי ולפיכך אין אנו יודעים על כך דבר .
להבנתי חבל על הכסף והזמן של עירא מכוון ש openssl ו libnss הינם חלק מ rhel , suse ו- hp linux .. אזי ממילא יש עליהם אישור .
דורון
ישנן, אם כך, שני ערוצים שבהם עלינו לפעול –
א. אישור תוכנות וספריות קיימות
ב. שינוי החוק כך שתוכנות חופשיות (ואולי גם כאלה שלא) יאושרו באופן אוטומטי. כל עוד לסקייפ, לדוגמה, אין נציג ומשווק רשמי בארץ, קשה לי להאמין שמישהו יטרח לרשום אותם.
תיקון החוק הוא הדרך המועדפת לדעתי, אבל דיונים עליו עשויים לקחת שנים (ותקנו אותי אם אני טועה), בעוד עבודה למטרת אישור יישומים קיימים לא אמורה לקחת זמן רב מידי.
אנחנו מעוניינים לפעול למען אישור ספריות ההצפנה של מוזילה, ואני מקווה שגם קבוצות ונציגים של פרויקטים חופשיים אחרים מצטרפים ליוזמה.
ייתכן שהחוק המתוקן שאנו מבקשים עדיין ירצה לאסור על חומרת הצפנה לא מאושרת, כי אלה דברים פיזיים שקשה יותר להשיג ולכן יש הגיון לאסור הפצה חופשית שלהם. איסור על הפצת מוצרי תוכנה, במיוחד כאלה שמראש מיועדים להפצה חופשית, אכן נידון מלכתחילה לכישלון.
דורון –
לגבי תכלית החוק, זכור שהוא נחקק בתקופה בה הצפנה היתה משהו שמופיע רק בסרטי ג'יימס בונד. היו הגבלות דומות גם בארה"ב ובמקומות נוספים בעולם; הכוונה היתה למנוע שימוש "למטרות פסולות" (כלשון החוק). העולם השתנה וכעת הצפנה היא חלק בלתי נפרד מחיינו – כשאני מבצע פעולות מקוונות בחשבון הבנק שלי, ההצפנה מספקת לי פרטיות; עצם זה שהגדירו רשימה של אמצעים חפשיים מעיד על כך שאפילו המדינה מקבלת את המצב החדש. רק שדרך ההתמודדות עם זה שגויה בעיני – המדינה לא מצליחה לעקוב אחרי כמות ואיכות אמצעי ההצפנה המצויים בשוק, וממילא מאשרת שימוש בכמה כלים גורפים במיוחד (כמו אקספלורר) מה שדי מעקר מתוכן את מהות החוק.
זה לא שיש למישהו דרך לפרוץ תעבורת נתונים שהוצפנה ע"י אקספלורר ואין דרך לפרוץ את מה שהוצפן ע"י פיירפוקס – פשוט מילאו את הענין בבירוקרטיה ואישורים. ואת זה צריך לשנות.
לגבי האישור ל RHEL וכו' – לא הייתי רוצה להיקלע למצב שבו אני משתמש בפיירפוקס על אובונטו, והתובע שואל אותי "האם זה RHEL ? האם זה HPLINUX ? האם זה SUSE ?" – יהיה לי מאוד קשה להגן על עצמי בבית המשפט. לכאורה, גם RHEL ו-SUSE מכילים רכיבים דומים, ובכל זאת אושר השימוש בשניהם – מה שמעיד שיש הפצות מאושרות והפצות שאינן מאושרות. הברדק המשפטי בנושא כבר קיים, ואני מאוד רוצה להימנע ממנו.