הרשת גועשת בעקבות הצעת החוק של חבר הכנסת אמנון כהן מש"ס להגביל גישה לאתרים לא ראויים. ברמה האישית אני לא באמת מבין על מה המהומה. לפני מספר שנים חסמו את הגישה לשיחות פורנו בטלפון, אלא אם המנוי מבקש זאת במפורש ובסופו של דבר ההבדל אינו מהותי. לא מדובר על מניעת שירותים, אלא על הגבלתם לפי גיל. כמו שישנם סרטים בקולנוע שמוגבלים לגיל 16 ומעלה וכדומה. ניתן לעשות זאת, השאלה אםהעלות סבירה, האכיפה ישימה וכיצד מגנים על פרטיות הגולשים.
אבל כמובן שלא לשם כך התכנסנו. הדרישה הבסיסית היא לזיהוי ביומטרי. יש משהו בזיהוי ביומטרי שקוסם מאוד לאנשים. הרי מה יכול להיות יותר מאובטח או מזהה מאשר טביעת האצבע. אלא שרצוי לזכור שהמחשב לא באמת מזהה טביעות אצבע אלא מזהה משהו שנראה כמו טביעת אצבע. מה זה המשהו הזה? לפני כעשור חוקר יפני עורר מהומה כשבאמצעות חומרים שרכש בשלושים דולר הצליח לעבוד על שמונה מתוך עשרה רכיבי זיהוי ביומטריים, באמצעות הכנת טביעות אצבע מג'לטין. זיהוי ביומטרי הוא בהחלט רכיב אבטחתי חשוב, אך בתרחישים מסוימים. לדוגמא, בתרחיש האומלל שמציע חבר הכנסת כהן זיהוי ביומטרי לא רלוונטי. נניח שיש לנו מאגר טביעות אצבע מרכזי (נניח). ונניח לרגע שכל הספקיות מחוברות אליו (שוב, נניח). מה מונע ממני (הילד הפוחז) לייצר טביעת אצבע מזויפת של אבי או אמי (טביעות האצבע שלהן מרוחות על כל שולחן/מחשב/רהיט בבית). בייחוד כשהחומרים זולים (אם כי היום צריך להשקיע יותר בעת זיוף טביעות אצבע).
באבטחה מקובל לדבר על Client Side Security לעומת Server Side Security. אבטחה בצד הלקוח (Client Side) הוא מצב בו מנגנון האבטחה נמצא בשליטת המשתמש (שאנו מניחים שהוא עוין), בעוד שאבטחה בצד השרת (Server Side) מחייבת כי מנגנון האבטחה נמצא הרחק מידיו של המשתמש. בגלל הבעייתיות של טביעות ביומטריות (ארחיב ברשימה נפרדת על כל הנושא של ביומטרי), זה לחלוטין לא רצוי לעשות בהם שימוש במקום בו לא ניתן לוודא כי נעשה שימוש ראוי במנגנון הביומטרי (להבדיל מכרטיס חכם שמממש רמת אבטחה גבוהה בהרבה).
פתרון אבטחה נכון לטובת החוק של חבר הכנסת כהן יתבסס על שימוש בתשתיות תעודת זהות חכמה, כאשר תעודת הזהות החכמה תכיל זיהוי ביומטרי (בחוק צריך לעמוד בכל זאת), אלא שהזיהוי יהיה לכרטיס. ספקית האינטרנט תוכל לוודא רק את תאריך הלידה של מחזיק הכרטיס (נתון שיופיע על תעודת הזהות) וכך לא תוכל לדעת מי הגולש, אלא רק את גילו. כמובן שצריך לבנות פתרון כזה במיוחד ולא ניתן יהיה למנוע מהספקית לשאול את הכרטיס עוד נתונים, אך לא סביר שהספקיות עצמן ינצלו אפשרות זו לרעה (קל לעלות על זה). פתרון שכזה ימנע מאגר טביעות אצבע מרכזי ויאפשר לשמור על פרטיות בעת גלישה לאתרים לא ראויים. מאחר והכרטיס החכם יהיה גם תעודת הזהות של ההורים (לצורך העניין), קיימת סבירות רבה שהם ישאו את הכרטיס איתם (נדרש על פי חוק) וכך הילד לא יוכל לעשות בו שימוש כשאינם בבית.
כמובן שפתרון זה אינו נותן מענה לסוגיה של זיוף ביומטרי, אך הוא בפירוש יותר חזק מסתם זיהוי ביומטרי. כמובן שהשאלה הבאה היא איך מסננים אתרי פורנו ושאלה קשה יותר היא מה עושים עם גולשים אנונימיים (כאלה שעושים שימוש בשירותי אנונימיזציה כדוגמת TOR או שרתי Proxy מיוחדים מבוססי SSL). על מנת לאכוף את החוק במלואו יהיה צורך לאסור שימוש אנונימי ברשת וזו כבר פגיעה אמיתית בדמוקרטיה. גם אם מסתפקים בסינון של אתרים, נדמה שזו משימה בלתי אפשרית, כיוון שלא ניתן להבחין בצורה ממוכנת בין אתרים "ראויים" ל"לא ראויים". בין אתר פורנו לאתר אקדמי החוקר את תופעת הפורנו.
אפשר כמובן לחוקק חוק שיאפשר לשב"כ לנטר גם את כל תעבורת האינטרנט. אם כבר שומרים על צביון יהודי, אפשר גם לשמור על צביון יהודי וכשר.
* הערה לסיום - ניתן להבין אולי כי אני תומך בקיומן של תעודות זהות חכמות. ובכן, לא. מדובר בפרויקט חסר תועלת, בעל פוטנציאל נזק אדיר לפגיעה בפרטיות האזרחים והונאות כספיות.
בבלוג זה
בכל הבלוגים
