|
28-09-2011, 10:13
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
מה זה משנה אם מי שגונב את המאגר גונב אותו מקרוב או מרחוק? אני לא מבין. אחרי שהוא יהיה בחוץ, הוא כבר יהיה נגיש מכל מקום, בדיוק כמו מאגר אחר, שאחראי עליו אותו משרד ממשלתי בדיוק, שגם הוא, לא התאפשרה אליו "גישה מרחוק"...
אכן, לכל המחשבים שציינת גם אין אבטחה מושלמת. והייתי שמח אם פרטי לא יודלפו (ולדעתי הם מודלפים, במהלך השנים יצרו איתי קשר בדואר כל מיני חברות, שמעולם לא יצרתי איתם קשר, ובסמוך לאירועים בחיי, אשר מעלים, מעבר לספק סביר, את הסברה שהם אכן הודלפו על ידי בט"ל...)...
אני מתנגד לכל מאגר שאין בו צורך. אני משער שהמאגרים של השב"כ והמוסד, יש בהם צורך, ושמכניסים לשם רק מה שבאמת צריך. אני כמובן לא יכול לדעת, זה יכול לדעת רק מי שמכניס, מי שאחראי, ואולי גם אלה שאולי כבר הדליפו משם דברים וכו' [לך תדע מאיפה חוקרים פרטיים משיגים את המידע שלהם?], אבל בכל מקרה, יש סיבה לגיטימית לקיומם של מאגרים אלה, כי בלעדיהם הגוף הזה לא יכול לפעול. מאגר ביומטרי, הוא אינו כזה. שיחזיקו את הפרטים שלי, אין בעייה, הם צריכים לעשות זאת. שיחזיקו את מספר התעודה שהנפיקו לי ושהיא תחתם דיגיטלית, סבבה. אין שום סיבה שהמידע הביומטרי עצמו יהיה במאגר! אפילו לא אחת! ובטח שלא בפורמט שאינו חד כיווני, כלומר ניתן לשחזור למקור, שזה מה שהם עושים.
אם יש "מפתח לכל תעודת זהות" ו"מפתח לכל טביעת אצבע" - למישהו יש את המפתח הזה... זה לא משנה אם יש מפתח בודד או 8 מליון מפתחות, אם הם שמורים יחד. הצפנה שיש לידה את המפתח, ומערכת שכחלק מהפעולה שלה, יכולה לשחזר את המידע המקורי, אפשר לוותר על ההצפנה לגמרי. הצפנה כשהמפתח גלוי איננה הצפנה. זה כל כך בסיסי. אם בעל המפתח יהיה רק מי שמחזיק את תעודת הזהות הפיזית (מפתח על הצ'יפ החכם, לצורך העניין), אז זה אומר שממילא המידע במאגר חסר ערך, וחייבים את הת"ז, שהמידע כבר יכול להיות עליה וזהו. בקיצור... עוד טענה שנשמעת קצת מוזר.
אם זה היה הצפנה חד כיוונית, והיה אימות על ידי בדיקת הזהות (סורק ביומטרי), הצפנה חד כיוונית של הזהות שנבדקה, ואז השוואה לחתימה הקיימת במאגר, זה עוד היה בסדר, כי לא היה ניתן לייצר חזרה את המידע הביומטרי מהמאגר (זה כל הרעיון בהצפנה חד כיוונית...) - אבל כמו שכבר אמרתי (ואני מתבסס על פרסומי התקשורת, כי זה מה יש...) - זה לא הולך לעבוד ככה - זה הולך לעבוד בצורה המסוכנת, שכן ניתן לשחזר את המידע המקורי. אפילו הסיסמאות בפרש שמורות בצורה חד כיוונית במאגר :\
כן, אני יודע שאני עושה כאן הרבה הנחות, ומדבר באופן כללי, כי לצערי, העניין הזה לא נעשה בשקיפות כלל וכלל. אם היה מסמך מקצועי, שהיה מפורסם על ידי מי שבאמת מנהל את כל זה, שמסביר באופן טכני כיצד זה עובד, היה ניתן להתייחס בצורה מדוייקת. ביניתיים אני נאלץ להתבסס על פרסומים בעיתונות, שעלולים להיות לא מדוייקים. אך אני חושש שאין מסמך מפורסם כזה. בטח יגידו ש"כחלק מאבטחת המידע, אנחנו שומרים על המפרט הטכני סודי" - מה שנקרא - Security by obscurity - הדרך הטובה ביותר שלא יטענו נגדך עניינית, היא להחביא את הפרטים ממי שיכול, בסמכות. הצרה היא, שרק הביקורת נמנעת, וכשלי האבטחה לא כפופים לגופי "בטחון מידע", כאלה ואחרים. שיטת ההסתרה / השתקה הזו לא באמת עובדת. כמה שראיתי את זה בזמן שירותי הצבאי...
|
|