הצפנת ססמאות, או מדוע צרפת צריכה גישה לססמא ולא לשירות

לפני כמעט שנה, האקרים טורקים החלו במתקפות נגד אתרי אינטרנט ישראלים בעקבות פעולות צה"ל נגד המשט לעזה. פעולת הנקמה הקיברנטית החלה מתקפה על תשתיות ציבוריות כמו אתר עיריית תל-אביב שהושבת למספר שבועות או אתרים פוליטיים ומסחריים. לאחר חקירה בנושא, גילה ארז וולף כי אחת הסיבות לפריצה היא קיומו של קובץ ססמאות בטקסט פתוח שנגנב מאתר Homeless, אשר מי שהשיגו יכל היה להשתמש באותן ססמאות באתרים אחרים, מתוך הנחה ש>אנשים משתמשים באותה הססמא בחלק ניכר מהחשבונות שלהם ובדרך כלל לא מדובר בססמאות קשות במיוחד.

שרון גפן דאגה לפנות לרשות למשפט, טכנולוגיה ומידע ולשאול האם בפעולותיה של Homeless לאי-אבטחת הססמאות יש בכדי רשלנות פלילית, ונמסר לה כי לא מדובר ברשלנות פלילית.

מנגד, הסכנה של פעולת תגמול קיברנטית היא כל כך חמורה עד שראש ממשלתנו הנערץ והנצחי, בנימין נתניהו, הקים צוות שמטרתו להגן על ישראל מפני מאבק קיברנטי. אלא, שמספר מהלכים שמתרחשים בעולם מראים לנו שהעולם אינו הולך לכיוון הגברת האבטחה של הציבור, אלא רק לפגיעה בו.

חקיקה חדשה בצרפת תחייב, ככל הנראה, את ספקיות השירות להמנע מלהצפין את ססמאות משתמשיהן. (ויה, ויה). כיום, חלק ניכר מאבטחת השירות מתבצעת על ידי כך שססמאות משתמשים לא נשמרות בצורה פשוטה על השרת, אלא בצורה של הצפנה חד-כיוונית: למפעיל האתר אין גישה לססמאות או יכולת לשחזר אותן, אלא רק לאפס את הססמא עבור הלקוח (קצת על איך Hash עובד). אגב, אם כבר גיבוב ססמאות, כדאי להסתכל על סיבה טובה מאוד לגבב.

כעת, דרישת הצרפתים לקבל את הססמאות לידיהם מאותן אתרים היתה יכולה להיות, נניח, מבוססת בטענה כי הגישה נחוצה למטרות כגון בטחון לאומי או מניעת פשיעה. אלא, שכיוון שמפעיל השירות תמיד יכול לאפס את הססמא ולמשוך את תכני המשתמשים, לא נראה הגיוני שדווקא הגישה לאותו השירות של המשתמש הוא מה שנדרש כאן. אני מבין שהמשפט האחרון שלי מסובך, אז אני אסביר אותו שוב [אזהרת טחינה בשכל]; לספקי השירות תמיד יש את היכולת לאפס את ססמאת המשתמש או לגשת למידע שלו כיוון שהוא מאוחסן על חשבון השירות (לכן, צריך להתגונן מפני ספקי שירות באמצעות הצפנה), לכן, הדרישה של שמירת הססמאות נשמעת קצת מיותרת: הרי, ספקית השירות תמיד יכולה למסור את המידע שנמצא אצלה גם ללא הססמא; לכן, הדרישה לשמירת הססמאות נובעת כנראה ממקור אחר.

נניח, לצורך העניין, שממשלות (ונקח את ממשלת צרפת לדוגמא, אבל כפי שהסברנו כאן בעבר, יש הרבה מקרים בהם ידרש אדם למסור את ססמאותיו, ועומדת לו הזכות החוקתית שלא לעשות כן) מעוניינות בססמא: הרי הן מעוניינות בה ככל הנראה לשירותים אליהן אין הן יכולות לגשת, מתוך אותה הנחה שאדם ישתמש בססמאות שלו לכלל השירותים: כלומר, אם eBay תמסור לי את הססמא של משתמש X, הרי שאוכל לנסות אם אותו משתמש X בחר את אותה ססמא גם לאתר Z, שאני יודע שלא יציית לי לעולם לצו ממלכתי כיוון שהוא מאוחסן במדינת עולם שלישי לא מפותחת.

מעבר לכך, עולה תהיה מדוע מדינה מסוימת מעוניינת שאתרי האינטרנט שלה ישתמשו בפרקטיקות שאינן מיישמות נהלי אבטחה מיטביים. עולה תהיה האם מלחמות ההצפנה של המאה הקודמת ואיסורי ההצפנה המשונים חוזרים בפורמאט חדש, או שמא מדובר באותו הטמטום הממשלתי, בסיבוב שונה.

כולי תקווה שנתניהו וחבריו שמתכננים צוות להגנה על ישראל ממתקפות סייבר ישקלו להקים מסמך מסודר של דרישות אבטחה שיכירו בצורך להצפנה של ססמאות ואף להגנה של משתמשים מפני נותני השירותים שלהם, ולא להפך.

One thought on “הצפנת ססמאות, או מדוע צרפת צריכה גישה לססמא ולא לשירות

  1. לא הבנתי איך הסקת שחל איסור על הצפנת סיסמאות.
    המאמר שלך מפנה לקישור באתר הום תיאטר, שבתורו מפנה לכתבה ב BBC:
    http://www.bbc.co.uk/news/technology-12983734.
    גם שם התיאור היה יחסית כללי ולא התייחס לאופן או הצורך ההצפנה.
    חיפוש מהיר הביא אותי לפוסט הזה:
    http://nakedsecurity.sophos.com/2011/04/08/french-law-requires-service-providers-to-store-and-surrender-passwords/
    גם הוא בהתחלה נרתע והזדעק, עד שקורא צרפתי תיקן אותו בזה הנוסח:

    Update: Naked Security reader Eric Freyssinet wrote to inform me that the law in question does not require the method used to store passwords to be changed, simply that whatever method is used be made available to the government for one year. He wrote an article representing his views on his blog Criminalités numériques.

    זה הרבה פחות נורא.

Comments are closed.