לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


7/2009

מאגר ביומטרי - חלופות (חלק א' - עמדת משרד הפנים)


למאמר זה שני המשכים: חלק ב' וחלק ג'

למען ההגינות אני חייב לציין שתמיד קל להיות בצד המבקר ויותר קשה להיות בצד העושה. על מנת שלא לאפשר למשרד הפנים להנות מהספק שהמאגר הביומטרי הנו הפתרון היחידי לבעייה המוצגת, במהלך שלוש הרשימות הקרובות אציג חלופה למאגר הביומטרי.

שלוש הסתייגויות לרשימה זו ולאלו שיבואו אחריה:
א. מקוצר זמן לא הקדשתי את מלוא המשאבים הנדרשים על מנת לבסס עבודת מטה שכזו ברמה הנדרשת. אי דיוקים ייתכנו וגם שיפורים; על אלה ועל אלה אשמח אם גולשים יצביעו, כך שאוכל לטייב את החלופות המוצעות.
ב. אינני מאמין בפתרונות אבטחה מושלמים. מניסיוני, כל פתרון אבטחה "מושלם" מעיד בעיקר על חוסר היצירתיות של מתכננו בלהבין את מוגבלותו הוא או את חוכמת היריב. תכלית החלופות שיוצגו הנה להפחית את רמת הסיכונים לרמה סבירה. כזו שעמה ניתן לחיות בשקט.
ג. משרד הפנים מדבר על תעודות זהות ודרכונים, בעוד שאני אעסוק בתעודות זהות בלבד. הסיבה היא שבנושא הדרכונים משרד הפנים נדרש לעמוד בתקינה בינלאומית שאינה כוללת קיומו של מאגר. לפיכך, מה שטוב ללטביה, אנגליה והולנד, צריך להיות טוב דיו גם בשבילנו. כך שמבחינתי אם ישנה הצדקה לקיומו של מאגר ביומטרי, היא חייבת להתקיים סביב תעודות הזהות.

עמדת משרד הפנים, למיטב הבנתי, הנה זו:
  1. ישנה בעיית זיופים של תעודות זהות. בעיה זו נובעת מקלות זיוף התעודה עצמה ומקלות קבלת התעודה במשרד הפנים.
  2. בעיית הזיופים מולידה תופעה של הרכשה כפולה, בה לאדם יש מספר זהויות במקביל. עובדה זו מאפשרת לו לקבל מהמדינה תגמולים שונים במקביל.
  3. המאגר הביומטרי נועד למנוע מצב של הרכשה כפולה במשרד הפנים באופן הבא:
    • כל אזרח המגיע למשרד הפנים מספק שתי טביעות אצבע מורות וצילום פנים.
    • כל אזרח יכול להירשם עם טביעות האצבע שלו רק פעם אחת, כיוון שבכל רישום למאגר נבדקות הטביעות שנלקחו אל מול כל הטביעות במאגר. באופן זה, גם אם אדם מחזיק כיום במספר זהויות, הוא ייאלץ לצמצמן לאחת לאחר הרישום הראשוני.
    • גם אם האזרח המזויף מניח טביעות אצבע מזויפות, כאשר יגיע האזרח האמיתי להירשם, תמצא אי התאמה בין הרישומים הקיימים לטביעות האצבע הקיימות, דבר שידרוש חקירה במהלכה ניתן יהיה לעלות על הזיוף (אך לא בהכרח על הזייפן).
חולשות בסיסיות בעמדת משרד הפנים:
  1. כל אזרח המגיע למשרד הפנים יכול לפצוע אצבע אחת או שתיים ובכך להירשם עם אצבעות אחרות מאלו שמשרד הפנים מתכנן. באופן זה בכל רישום הוא יירשם עם אצבעות שונות. זה יגביל את כמות הזיופים, אך לא ימנע אותם.
  2. הנחת משרד הפנים היא כי כל האזרחים יגיעו לרישום לטביעות אצבע (אחרת הזיופים לא יצופו). הנחה זו נכונה במידה מסוימת לדעתי, אך דווקא נכונותה מהווה את הסיבה מדוע אין צורך במאגר הביומטרי (ועל כך בהמשך).
  3. משרד הפנים מניח שביומטריה היא טכנולוגיה מוכחת ובלתי פריצה, על אף הניסיון בתחום. לטענת משרד הפנים טכנולוגיות הביומטריה בהן יעשה שימוש הן המתקדמות ביותר. מה שמשרד הפנים שוכח, או אינו רוצה לציין, הוא שהטכנולוגיה בו יעשה שימוש היא מיושנת. פשוט כיוון שהמכרז ייקח זמן, אך הקריטריונים המקצועיים בו כבר נקבעו. הטכנולוגיה של משרד הפנים תתחלף כל מספר שנים (8-10 שנים לכל הפחות), מספיק זמן לפתח טכנולוגיות פריצה ולנסות אותן. בפיתוח טכנולוגיות פריצה אני מכוון לזיוף טביעת אצבע כך שתעבור קורא ביומטרי מתוחכם.
  4. לפי נתוני משרד הפנים והמשטרה אחוז יוצא דופן של הנפקות תעודות הזהות מבוצע על ידי מנפיקים סדרתיים ובעלי רקע בהונאה. הסיבה שמשרד הפנים מודע לכך היא שאנשים אלה מנפיקים תעודות חוקיות לעצמם ולאחר מכן ניגשים לזייפנים מומחים על מנת לזייף את התעודה. דפוס פעולה זה לא צפוי להשתנות לאחר קיומו של המאגר הביומטרי ולמעשה מעיד כי קיומו של המאגר הביומטרי אינו בהכרח רלוונטי למניעת פעילות ההונאה בתעודות זהות מזויפות. כהערת אגב אציין כי מאפיינים אלה של הונאות אמורים להיות מטופלים על ידי הכרטיס החכם שבתוך תעודת הזהות, עליו יש כמובן הסכמה בדבר נחיצותו.
נכתב על ידי , 22/7/2009 21:50   בקטגוריות מאגר ביומטרי, פרטיות  
3 תגובות   הצג תגובות    הוסף תגובה   3 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 49




65,157
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)