מדינת ישראל משיקה תעודת זהות בעלת שבב חכם. מעתה נוכל לרשום את הילדים לגן או להסדיר את התיק שלנו במס הכנסה, מבלי לצאת מהבית.

להמשך הכתבה: http://www.nrg.co.il/online/1/ART2/220/494.html

--------

ולא רק אנחנו נוכל, אלא גם פורצי המחשבים במערכת ההפעלה שעליה יעבדו הדברים האלה (איכשהוא, מהיכרות עבר עם צורת קבלת ההחלטות של אנשי המחשוב בממשלה, אני בספק שזה יעבוד במערכות הפעלה בטוחות...) - והפעם הפשע שלהם יהיה מושלם, משום שהם "הזדהו עם התעודה, הרי!"

שלא לדבר על מה שיקרה כשיודלף המאגר, כפי שהודלפו כל מאגריו של משרד הפנים עד היום... או כשיגלו שכל הטכנולוגיה לא תוכננה נכון, ואז יוצא שכולם מחזיקים בתעודה ברת זיוף או משהו כזה.

בתור "שוחד" כדי לקיים את הרעיון האווילי - הם מחלקים קוראי כרטיסים בחינם. ממש כמו סוחרי סמים! נותנים את המנה הראשונה בחינם, כדי שהמכורים יבואו לקנות אחר כך עוד...

מיותר לציין שאת כל הדברים שאפשר יהיה לעשות עם התעודה החכמה, אפשר, אם היו רוצים, לעשות גם בלי תעודה שכזו, ובלי להסתכן בגניבות זהות. בארה"ב עושים את זה כבר שנים. אבל למה לא לשקר כדי לדחוף לאזרח הקטן משהו שרע לו בעצם, תוך כדי שהוא חושב שזה משהו טוב, ולכן מסכים, וכשהוא יגלה שעשה טעות, זה יהיה מאוחר מדי, כי הוא כבר במאגר?

על העובדה שכדי להשתמש בכרטיס החכם יש סיכוי טוב שיהיה צריך להתקין על המחשב תוכנה מסויימת שתעשה זאת, תוכנה שהממשלה תספק, ועל המשמעויות שבכך בכל הקשור לאבטחת המידע הפרטי של המשתמשים במחשב... אני בכלל לא הולך להרחיב...

נמאס לכם לזכור סיסמאות? לחצו כאן!

איפה "לאנס" הצילו

שלום עושים עם אחים, מלחמה עושים עם אויבים.

ציטוט:

במקור נכתב על ידי יחזקאל וקראתי עליו לכל הרי חרב נאם אדני אלןהים חרב איש באחיו תהיה

Oui nous irons nous faire casser la gueule en cœur, Mais nous reviendrons vainqueur

ההבדל בין קונספירציות הזויות לבין מה ששימי כתב, זה שזה נכון.

..

של לאנס, הוא אף פעם לא כתב על "קונספירציות הזויות", ותמיד ניסה להסביר ולתת ביסוס לדבריו..

מפחיד.

לא הצלחתי להבין מהכתבות מה התעודה הזאת תכיל, האם הנתונים הביומטרים יקודדו לתוך השבב (מה שיאפשר, עם ציוד מתאים, זיהוי OFFLINE, כלומר, בדיקת התאמה בין אדם ובין הנתונים בת.ז. מבלי להזדקק לגישה למאגר נתונים) ואם כן, האם אלו יהיו הנתונים עצמם או תוצאה של פונקציית גיבוב חד כיוונית (כלומר האם מהנתונים הללו יהיה ניתן לדעת מה היו הערכים של הנתונים הביומטרים או רק לבדוק אימות נתונים ביומטרים של אדם נתון).

כמו כן האם יהיה מאגר ביומטרי? מה יהיה תפקידו? מה הנתונים שישמרו בו?

חברי כנסת ישרים

למיטב הבנתי יהיה בדיוק מה שיהיה בה היום, אולי עם תמונה דיגיטלית.

הבעייה היותר גדולה היא:

א. המאגר שיכיל דרך לזהות אותך בצילום ברחוב, כלומר, הממשלה תוכל בכל רגע נתון לדעת איפה אתה
ב. שהמאגר הנ"ל, סיכוי טוב שיודלף (ואז תתאפשר השתלת ראיות על ידי גורמים עויינים - ואזרחים חפים מפשע יגיעו לכלא כי "לא יכול להיות שהמערכת המושלמת שעשינו טעתה! ישבו פה כל המומחים חובבי מיקרוסופט, מערכת הידועה באבטחת המידע 100% שבה, ואפיינו את המערכת המושלמת הזו!)
ג. שמאפשרים לישות צד ג' להפיק תעודות זהות מאומתות עם איזה נתונים שהם רוצות... כמה זמן יקח עד שמישהו יתן שוחד לאדם הנכון ויוכל להתחיל לייצר אנשים, או לחלופין, להרוס אנשים?

אשר לכל שאלותיך החכמות בעניין one way hash, חתימות דיגיטליות, CA למיניהם וכו' - נו עזוב'תך משטויות. cleartext שולתתתתתת!!!111 ... מה, לא? :| (אני מהמר על שימוש ב CA ועל אי שמירה על "המפתח האוניברסלי" - ה private key של ה CA...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

כלומר, לא יהיה מידע ביומטרי על השבב אלא רק במאגר?
איזה מידע על השבב יאפשר ביצוע פעולות מרחוק דרך האינטרנט וקורא הכרטיסים?

א. האם הרזולוציה של מצלמות המעקב שיש כיום ברשות העיריות מספיקה על מנת לבצע אימות תוך כדי שימוש בנתונים ביומטרים? עד כמה השיטה חסינה לאמצעים פשוטים כמו כובע ו/או משקפי שמש?
ב. נקודת המפתח היא התוכן שיהיה במאגר. אם התוכן הוא הנתונים הביומטרים עצמם, הרי שזו חלמאות, מפני שהדלפה תוביל ליכולת "קלה יחסית" של זיוף זהות (החל מהדפסת מדבקות שקופות עם טביעות אצבע כדי לעבוד על סורק טביעות אצבע, וכלה בניתוח פלסטי לשינוי מבנה הפנים). אם מדובר בתוצאה של פונקציית עירבול חד כיוונית, הרי שיהיה קשה מאוד לשחזר את הנתונים הביומטרים ממנה, וגם יהיה לא קל בכלל למצוא נתונים אחרים שיתאימו לאותה תוצאה, מצד אחד, ויהיו הגיוניים מבחינת נתונים ביומטרים.
מה שכן, דליפה של מאגר כזה תהיה כחגיגה לחוקרים פרטיים ותפגע בפרטיות, כי אדם שיחזיק בנתונים אלו יוכל לאסוף עליך מידע בקלות.
ג. כאן נשאלת השאלה מה הקורלציה בין התעודה החכמה למאגר הנתונים.

חברי כנסת ישרים

בהנחה שהם לא הולכים אחורה, התמונה כן תאפשר זיהוי (היה דיבור שרשיונות הנהיגה שהופקו לאחרונה על ידי משרד הרישוי, צולמו במצלמות מיוחדות שכאלה... ושהמידע המופק מהן הוא "ביומטרי לכל דבר", משום שמדובר בצילום של מאפייני גוף שאפילו ניתוח לא יכול לשנות... ושהם שמרו מידע ביומטרי בלי שום כללים, כאילו היה זה מידע רגיל: http://www.ynet.co.il/articles/0,7340,L-3619964,00.html)

א. ואם היא לא, מה, אי אפשר להחליף את המצלמה? משקפי שמש אני לא חושב שמשפיעים, הבנתי שמדובר על מדידת רווחים בין עצמות הפנים, משהו כזה. כובע? מה, שיסתיר את כל הפנים? בכל זווית? אתה באמת רוצה להתהלך כמו גנב ברחוב?

ב. ומה עם ה integrity של המאגר? כלומר מה ימנע הכנסת נתונים שגויים שיתייחסו אליהם כנכונים? שלא לדבר על ביטול תעודה "שנגנבה" לאזרח שומר חוק, והפקת תעודה אחרת, לאזרח שלא, עם פרטיו של האזרח שומר החוק, כל זאת תמורת שלמונים?

ג. מספיק מספר הזהות, לא? החוק הראשון בנורמליזציה של מסד הנתונים. מפתח חח"ע מושלם

נמאס לכם לזכור סיסמאות? לחצו כאן!

רשיון הנהיגה לא מכיל שבב חכם, כך שהמידע המדובר נמצא אך ורק במאגר של משרד התחבורה.
ובת.ז. לא מדובר רק על תמונה, אלא על פרטים ביומטרים נוספים (כגון טביעת אצבע), מעניין אם הפרטים הללו יהיו על השבב החכם או רק במאגר (זיהוי ביומטרי OFFLINE או ONLINE), ואם כן באיזו צורה.
אגב, לגבי התמונה, אני בטוח שניתן להפיק ממנה את הנתונים הביומטרים הרלבנטים ואז לשמור אותה ברזולוציה שלא מאפשרת הפקת אותם נתונים ממנה.

בתהליך החלפת המצלמות ניתן יהיה לשאול את השאלה מדוע הם צריכים מצלמה כזו, והאם אנחנו רוצים לתת בידי מרכז פיקוח עירוני כלי המאפשר לו לזהות אנשים בצורה ביומטרית.

לגבי המאגר, עד באשכול השיח היה סביב הדלפת המאגר ולא על חדירה לצורך הכנסת שינויים.

לגבי מספר ת.ז., מן הסתם לא ניתן להתבסס עליו כקורולציה יחידה בין ת.ז. למאגר מהסיבה שציינת בעצמך והיא אובדן או גניבה של ת.ז.. תהיה חייב לשמור במאגר גם את המספר הסידורי של ת.ז. האקטיבית (ו/או רשימה של ת.ז. פגות תוקף/גנובות/אבודות).

חברי כנסת ישרים

בסדר, המאגר הוא מה שמטריד אותי. אנשים מסתכלים על התעודות, זה שטויות. אובדן תעודה ביומטרית הוא שקול או אף פחות גרוע מאובדן תעודה כפי שהיא היום. זה לא מה שמטריד אותי. גם אין לי בעייה עם זיהוי ביומטרי ע"ב תעודה בלבד (בהנחה שהנתונים עליה מגובבים חח"ע באופן כזה שהגנב לא יוכל להשתמש בהם לרעה לגניבת זהות...)

אשר למצלמות: ניתן יהיה לשאול את מי? אותך ואותי? למה אתה חושב שישאלו מישהו? בדיוק כמו מצלמות המהירות ששמים בכבישים בהשקעת ענק, שלא ימנעו אפילו תאונה אחת, כי: א. תאונות לא נגרמות ממהירות באופן די גורף ב. במקרים הנדירים שכן, זה לא המקום שישימו בו את המצלמות. את המצלמות ישימו במקומות שיכניסו הכי הרבה מסי-נהגים למדינה.

לגבי הת.ז. - ודאי שאפשר יהיה להתבסס עליו כקורולציה, כי אתה יוצא מנקודת הנחה שהתעודה מושלמת, והזיהוי מושלם. כך שגם אם היא נגנבה או אבדה - זה לא משנה. לא יזוהה דרכה בנאדם אחר לעולם. אא"כ אתה טוען שאולי כן, שאפשר יהיה לזייף את זה, ואז כל הפרוייקט האדיר הזה (שבמקומו יכלו להוריד את המסים האדירים על הדלק, הא?) - בעצם מיותר לחלוטין - כי לא שיפרנו את המצב הקיים במאומה. אבל אם בא לך לבדוק גם את ה s/n של התעודה, אני לא אתנגד, למרות ששוב, הוא חסר משמעות במשהו שהוא self-contained בהכלת הזהות של מחזיקו.

העובדה שכנראה מטרידה מכל, היא שהפיתוח של כל הדבר הזה לא נהנה מ"ביקורת עמיתים". כבר לפני יותר ממאה שנה הגיעו למסקנה שהחבאת האלגוריתם אינה משפרת את אבטחת המידע של שיטה מסויימת, אלא להפך. השיטה צריכה להיות פתוחה וידועה. המפתח צריכה להיות הדרך היחידה לניצולה לרעה, והמידע היחיד שאמור להיות סודי בה. ועליו יש לשמור מכל משמר. ות'אכלס, בגלל שזה בלתי אפשרי לדעתי, בייחוד בתרבות ה"סמוך" שלנו, היה עדיף לוותר על הרעיון הזה מלכתחילה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אישית אינני מבין את התנגדותך למאגר ביומטרי - משום שלגבי הרבה אנשים הוא קיים גם היום (למשל מי שרצה אי פעם לעבוד עם המדינה נדרש לכך). למיטב ידיעתי מעולם מאגר זה לא נפרץ.
לגבי משרד הפנים - עד כמה שידוע לי גם מאגר זה לא נפרץ: הדרך שבה יש לחוקרים פרטיים מידע הכולל ת.ז. לגבי אנשים מסויימים קשורה לבחירות לכנסת (בבחירות לכנסת מישהו מוועדת הבחירות המרכזית לקח דיסק המכיל פרטים אלו, שים לב לא מדובר כאן במאגר משרד הפנים אלא בפרטים מצומצמים בלבד). לכן גם אינני נוטה לקבל את ההפחדות בדבר פריצה למאגר מה שלא מוריד כמובן מהחשיבות לעודד את המחאה משום שכך ימגנו את המאגר הביומטרי יותר טוב.

בדבר קורלציה בין אדם לכרטיס ללא מאגר - כמובן שניתן לעשות זאת אולם כאן דווקא ניתן לזייף כרטיס משום שלא נדרשת גם התאמה מול מאגר חיצוני.

דבר אחרון - אם תשים לב מי הם שותפיך העיקריים למחאה אולי יצטנן להטך - אירגוני השמאל הערביסטי הם אלה שחוששים יותר מכולם מהמאגר (משום שזה אשכרה יחשוף את מספר השב"חים האמיתי שמשתמש בתעודות מזוייפות). בעיקר מהסיבה הספציפית הזאת אני בעד המאגר.

www.meirtv.co.il

מי שרוצה לעבוד עם המדינה ומוכן שהיא תדע איפה הוא נמצא בכל מקום ומוכן שיעשו לו את המקבילה להשתלת שבב-GPS תת-עורי - שיהנה. זכותו, והוא מודע לכך. אתה מבין את ההבדל בין זכות, אפשרות בחירה, לבין כפייה על האזרחים להיכנס למאגר (תוך איום במאסר לאלה שיסרבו) ?

זה לא מעניין אותי איך המאגר של הבחירות דלף. הוא דלף. איפשרו את זה. וכמו שאיפשרו את זה, יכולים לאפשר גם את זה. צריך רק שינוי חקיקה קטן, ובדיוק כמו שאישרו את המאגר עצמו, ואישרו לחלק את המאגר הקודם לכל דכפין, גם כאן זה יכול לקרות.

בדבר הקורולציה זה לא נכון. אם זה נעשה נכון, אפשר יהיה לאמת כרטיס ב OFFLINE באמצעות מכונה ייעודית, בלי להתחבר לשום מאגר. אם אתה רוצה להתחיל ללמוד על איך עובד PKI, אתה מוזמן.

אשר למי הם "שותפיי" ל"מחאה" - זה לא ממש מעניין אותי. מותר לי להיות נגד משהו. גם להם מותר להיות נגד. העובדה שהם נגד משהו, לא הופכת אותי למסכים עם כל מה שהם עושים, ממש לא. אתה יודע, גם אנשים שטועים כל הזמן, לפעמים יוצא להם פוקס והם עושים משהו נכון. קורה. גם שעון מקולקל מראה את השעה הנכונה פעמיים ביום...

נמאס לכם לזכור סיסמאות? לחצו כאן!

www.meirtv.co.il

לא

נמאס לכם לזכור סיסמאות? לחצו כאן!

לגבי חוסר אנונימיות -
מסתמן שגם ללא התעודות האלו זה ממילא יקרה (לאנשים שאי פעם העלו תמונה לאינטרנט):
http://www.ynet.co.il/articles/0,7340,L-4038933,00.html

www.meirtv.co.il

להביא כתבה שהמלה "מיקרוסופט" מוזכרת בה לא פחות מ19 פעמים לשימי, זה כמו סדין אדום מול שור זועם. מצד שני, די ברור שהכתבה באה ליצור עניין למשהו מסויים, כמו זה שמופיע בסופה למשל. ועכשיו הכל ברור. התוכן לא חשוב, הרי כתבות כאלה מתפרסמות חדשות לבקרים http://www.nrg.co.il/online/16/ART2/177/928.html גוגל כבר הוציאה משהו כזה לפני שנתיים. מה שחשוב זה שם של איזו חברה מוזכר 19 פעמים...

..

אנחנו עדיין לא יודעים האם ניתן יהיה להפיק מהכרטיס את הזהות הביומטרית או שזו תוצפן. אם תוצפן אנחנו לא יודעים כיצד תוצפן. אין לנו עדיין מושג באיזה אופן ישמרו הנתונים במאגר וכיצד מתכוונת הממשלה להבטיח את שלמות המאגר, איזה תוכנה הממשלה תפיץ בשביל השימוש בכרטיסים וכו וכו ' ואתה כבר מגיע למסקנות.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

זה לא משנה אם יהיה ניתן להפיק או לא יהיה ניתן להפיק מהכרטיס מה. הבעיה היא המאגר הנלווה אליו, כאמור. הכרטיס הוא תירוץ כדי ליצור את המאגר.

אשר לתוכנות שהממשלה תפיץ: אני לא יודע אם אתה מכיר, אבל היא עושה משהו דומה מאוד שהיא קוראת לו "חתימה אלקטרונית", שעסקים מעל מחזור מסויים מחוייבים להשתמש בו בדיווחי מס - ועשו שם בדיוק את כל הדברים שאמרתי. לא רק שזה עובד רק בחלונות. ורק באקספלורר. זה אפילו לא עובד כמו שצריך בגירסאות האחרונות של אקספלורר עצמו. הם ממליצים להישאר עם גירסא פגיעה במיוחד למזיקים כדי להשתמש במוצר ה"אבטחה" שלהם. ראה: https://www.misim.gov.il/emheshboniot2/

אז לא מדובר פה כל כך בהנחה. וכל מה שכתבתי לגבי המאגר - זה לא משנה איך הוא יוצפן... אם הוא יאפשר להם לאמת אזרחים באמצעותו - כך יוכל גם כל מי שישיג את המאגר לידיו. אשר ליכולת לזהות אזרחים ברחוב - אין זו הנחה שלי. הם די אמרו את זה בעצמם כבר שדיברו על זה בפעם הראשונה...

אתה מוזמן לחכות ולראות שיהיה בדיוק כך...

נמאס לכם לזכור סיסמאות? לחצו כאן!