שילוב או איסוף מידע ביומטרי ייחודי בתעודות הזהות יפגע בביטחון המדינה ובפרטיות של אזרחיה 

   לכל אחד מאיתנו חייבת להיות דרך להוכיח את זהותו, בצורה פשוטה יעילה ובטוחה. שיטת ההזדהות הנהוגה כיום בהצגת תעודת זהות כבר לא מספיק מהימנה. תעודת זהות ניתן לזייף במספר דקות. הסימנים שמשרד הפנים מצמיד לתמונה בתעודה אינם באים במגע ישיר עם הדמות בתמונה המוחלפת, כדי לא להכנס לפרטים נאמר רק שמספיק שהתוכן של התמונה יוחלף ולא התמונה עצמה כדי לקבל זיוף מושלם. ברשת האינטרנט ניתן למצוא מספר רב של תוכנות זיוף תעודות ותכנות המבצעות את שינויים ללא צורך במיומנות מיוחדת. עובדה המוכיחה שכל מה שהופק ע"י מערכת מחשב ניתן בקלות לשחזור. קל וחומר מידע הניתן לקריאה ע"י צדדים שלישיים כמו הכרטיס החכם או שבב ה- RFID בזמן נסיעה לחו"ל או בשעה שנרצה לפתוח חשבון בנק, לקבל טלפון סלולארי חדש, או להירשם למקום עבודה חדש. אי אפשר למנוע חלוקה של קוראים או לעמוד בתקנים פתוחים אחרת לקריאת המידע אין משמעות. אנו נדרשים להגן על עצמנו על המשפחות שלנו ועל החברה בה אנו חיים מפני זיוף זהויות, הגירה בלתי חוקית וטרור. תעודת זהות חדשה תצטרך לתת מענה לבעיית זיוף הזהות, בהנפקה של תעודת זהות מאובטחת נוחה שיהיה קשה לזייף אותה. אולם על דבר מרכזי אחד יהיה עלינו להלחם מלחמת חורמה, וזה הפרטיות שלנו. לתעודה יהיה אסור להפר את הזכות הבסיסית של כל אזרח במדינה דמוקרטית לפרטיות ולשמירה על צנעת הפרט, השמורה לכל אזרח במדינה דמוקרטית. לתעודה יהיה אסור להכיל מידע אישי או מהותי או אינטרינזי (Intrinsic Information) כמו הביומטריה הייחודית שלנו. ביומטריה הינה בדיקה של נתונים מתחום הביולוגיה והרפואה בשיטות מתמטיות וסטטיסטיות. הזיהוי ביומטרי עוסק במאפיינים התנהגותיים ופיזיולוגים ייחודיים של האדם הניתנים למדידה ולשמירה לצרכי זיהוי חד ערכי ואימות זהות. לכל אחד מאפיינים ביומטריים הייחודיים לו.  הביומטריה הביולוגית-פיסית בוחנת את התכונות הפיזיולוגיות של אברים שונים בגוף האדם (כגון טביעת אצבעות, מבנה פנים, ועוד)  ומשלבת שימור של המידע הביומטרי במאגר לצורך השוואה עתידית. שמירה במאגר של מידע ביומטרי מסוכן מאוד ולו רק בגלל העובדה שהמדינה כבר נכשלה ביכולת שלה להגן על מידע אישי שאינו מהותי כמו הביומטרי והדוגמה היא קובץ מרשם התושבים המסתובב לו חופשי להורדה לכל דורש ברשת האינטרנט. עלינו למנוע מצב בו מידע מהותי שאינו ניתן לשינוי, ייאסף, ירשם או ינותק פיזית מבעליו. הצורך לזהות אדם אינו כרוך בצורך לחשוף אותו, או להיכנס למרחב הפרטי והאישי שלו או לפגוע בצנעת הפרט שלו, רק כדי לוודא את זהותו של האדם. אחת הבעיות המרכזיות מעבר לסכנת החשיפה או הגניבה הביומטרית היא שיעשה שימוש במידע הביומטרי המופקד (שלא לומר מופקר) של האזרח לא רק לצורכי ווידוא הזהות שלו, כלומר שימוש במידע האגור, גם בשעה שהוא אינו נוכח בהליך הזיהוי ותוך כדי הצגת תעודה מזהה. בעיה נוספת היא הצמדה של מידע הביומטרי אגור לשמו, לכתובתו של בעליו ולקישור לבני המשפחה שאין להם קשר להליך אימות הזיהוי שבמקרה שהמידע ייחשף או ייגנב או יוסגר הם יועמדו בסכנה. חמור מכך המידע צפוי להיות בנוסף שמור על "כרטיס חכם" שאותו ישא האזרח כלומר אם אזרח מאבד את כרטיס הזיהוי שלו, הוא צפוי לקבל כרטיס עם מידע ביומטרי זהה לזה שאבד... אם הנחת היסוד היא שכל דבר ניתן לזייף המסקנה המתבקשת היא: שאם לצד שלישי יש נגישות למידע הביומטרי שלך הוא למעשה שולט בזהות שלך - מידע ביומטרי אינו ניתן לשינוי לכן חשיפה או אבדן של מידע ביומטרי הוא אבדן לצמיתות לכל החיים. אזרח לא יוכל להתכחש לעסקה שנכרתה ונעשה שימוש בביומטריה שלו, שלא מרצונו או מידיעתו של בעליה. מרגע שמידע ביומטרי ינותק מגופו של אדם, אין דרך מעשית להחזיר לו שליטה על המידע ובשימושים שייעשו בו. כיום למזלנו לביומטריה אין משמעות מעשית לעניין הזיהוי למעט באירועים פליליים בזירת פשע, וגם זה לצורכי חקירה פלילית בלבד וראוי לו להישאר כזה. הפרסומים האחרונים על החלטת משרד הפנים להאיץ הנפקה של תעודה ביומטרית כדי לתת מענה לגניבת זהויות מסכנת ופוגעת בכל אחד ואחד מאתנו. הבעיה המרכזית בהחלטה היא הנכונות לאגור את הנתונים במאגר ארצי. ההחלטה הזאת לאגור נתונים ביומטריים, תסכל באופן בוטה את השליטה בפרטיות של כל אחד מאיתנו. האמירה המוטעית ש"זיוף תעודת הזהות או דרכונים ייהפכו לבלתי אפשריים", מאוד מסוכנת. ולראיה עד לא מזמן זיוף של ,תעודות זהות וכרטיסי אשראי, היה זניח ברחבי העולם בהשוואה למספרם כיום, והיה נחלתם של זייפני רחוב מזדמנים. גופים בנקאיים שניסו למגר את תופעות זיוף כרטיסי האשראי והכספומטים נכשלו ובהשוואה לממדי הזיוף שלהם היום מסתבר שהתופעה הייתה רק "שולית" בעבר. ברגע שאירופה עברה לטכנולוגית הכרטיס החכם (EMV), סטנדרט אבטחה שפותח ע" מסטר-קארד, ויזה ויורו-פיי, מכאן שמו EMV,  התברר שהמוטיבציה וכמות הזיופים באמצעי התשלום לא זו בלבד שלא ירדה, היא החריפה ובקצב מסחרר. כך עולה מדיווחי הבי בי סי האחרונים בבריטניה וברחבי העולם. כרטיס ה EMV החכם לא זו בלבד שלא נתן מענה לבעיית אמינות אמצעי התשלום, הוא אפילו יצר תמריץ לפרוץ אותו וכך החריף את הבעיה. התמריץ להתגבר על מנגנוני הכרטיס החכם ומערכותיו הוא לא בהכרח הגניבה עצמה (ה"סוכרייה" בתהליך), כאן הגולם קם על יוצרו והפך את פיצוח המנגנון ל"אובססיה מרגשת" כך ע"פ הבי בי סי. המאמרים המתפרסמים לאחרונה מציינים שהחולשה של מערכות הכרטיס החכם, מטרידה את מיליוני  הלקוחות בשאלה, מה מתכוון הבנק לעשות בעניין הזה? הבנקים תכננו במעבר לכרטיס החכם להתנער מפיצוי, במקרה של רמייה אך כנראה לאור הגילויים האחרונים ללא הצלחה. המוטיבציה לפרוץ את מנגנון הכרטיס החכם הפכה לאתגר מקצועי, גם בגלל הפרסום הרב הנלווה לכל גילוי של חולשה או פרצה כזאת, שמביאה בעקבותיה כתגובה, סיבוכיות גדלה והולכת בהגנה על מערכת האבטחה. המלכודת העיקרית היא הפרסום הרע הנלווה לכל גילוי של פרצה שאינו מאפשר התעלמות מקיומן למרות שרוב האנשים אינם מבינים את המשמעות האמיתית  של החולשות. הבעיה היא בעיקרה לוגית משום שאם מישהו בזמן כלשהו ינצל את החולשות, הבנקים לא יוכלו לטעון שלא ידעו על הבעיה לכן הם נופלים לתוך מערבולת אינסופית של התכחשויות והסברים. בעידן הנאיבי בו ידעו כולם, שזיוף כרטיס אשראי או תעודת זהות הם לא משימה בלתי אפשרית והיה נחלתם של רמאים קטנים ומזדמנים, ברגע שהוכרז הכרטיס החכם, כמערכת שהזיוף או פריצת שלה הפכה ל"משימה  בלתי אפשרית", כאן כבר לא מדובר יותר באתגר לזייפני רחוב מזדמנים, כאן כבר יש מוטיבציה "מחקרית" ומדובר כבר בעניין של פרסטיז'ה. המטרה "המדעית" של ההאקרים הופכת ל"ברורה יותר", משימת הפריצה  עצמה הפכה לאתגר מקצועי וכאב ראש למערכות הפיננסיות. גורל דומה צפוי לתעודות הזהות והדרכונים החדשים שיישמרו "חתימה ביומטרית" במאגרים ועל "כרטיס חכם" והטענה ל"אי יכולת לפצחם" תחזיק מעמד זמן קצר מאוד. תעודת זהות "חכמה" ע"פ התכנון תכלול מידע ביומטרי ייחודי, ש"ייעקר מגופם" של אזרחים חפים מפשע. המידע הייחודי הזה ייאגר במאגר ארצי... אין ספק שמשרד הפנים, הביטחון והמשרד לביטחון הפנים לא לקחו בחשבון כי החוליה החלשה ביותר של כל מערכת ממוחשבת היא המערכת עצמה.  אם נבחן מדוע מערכת זיהוי ביומטרית נדונה מראש לכישלון כאמצעי זיהוי אולטימטיבי, נתקל במספר לא קטן של סיבות:

• נתונים ביומטריים ייחודיים אינם ניתנים לביטול לאחר חשיפתם ואינם מאפשרים התכחשות במקרה של זיוף, גניבה או חשיפה ועלולים לפגוע בזכויות הפרט של בעליהם.
• המדינה תיפגע לעצמה בביטחון כשייחשף המידע האגור במרשם התושבים. עובדה המאפשרת הצלבת מידע אישי פולשני על אזרחי המדינה ובני משפחתם. מרשם התושבים כבר היום חשוף לכולם.  
• אבדן, חשיפה או פריצה של מאגר נתונים ביומטרי יסכן את בטחון המדינה ואת אזרחיה במקרה בו תפקיד, משימה, או אירועים חסויים יחייבו הסתרת זהותם של "יודעי דבר". ביומטריה תסכן את המשימות, האנשים ובני משפחתם. הסכנה העיקרית - חשיפת זהותם של לוחמים, ומעצרם במדינות זרות.
• כל נתון שניתן לקרוא אותו ניתן גם להעתיק אותו - אין דרך לפצות פרט על אבדן, גניבה, או חשיפה, או שימוש לרעה בקנייניו הביומטריים והייחודיים שלו (כל מידע ויזואלי אחר ניתן לבטל/להחליף).
• המדינה או הגופים הפיננסיים בוודאי לא ייקחו אחריות לפיצוי אזרחים שהביומטריה שלהם תיחשף, תימסר, תוסגר, או שיעשה בה שימוש אחר מזה שלשמו נמסר (יועבר למשטרה לצורכי זיהוי פלילי לדוגמה).
• מאגר נתונים ביומטריים ייחודיים פוגע בצנעת הפרט ואין לנדגם ביומטרי יכולת שליטה על הנתונים הפיסיולוגיים שלו לאחר שנמסרו, הודפסו או נשמרו במאגר מידע חיצוני כולל בכרטיס אישי.
• לא קיים תקן לניהול מאגרי מידע ביומטרי בגלל שאיסוף כזה בעבר הווה עבירה פלילית, ולכן גם לא קיים תקן גורף לאופן הסריקה הביומטרית. סורקים שונים יניבו תוצאות שונות, לכן המדינה עלולה להיות שבויה בידי יחידים..
• איתור דגימה במאגר מידע ביומטרי גדול (השוואה של אחד לרבים) בעייתי מאוד ויוצר טעויות קבועות בזיהוי בגלל סטיות סטטיסטיות ככל שהמאגר גדול יותר היקף הטעויות גדל בהתאמה.
• על פי חוק הגנה על הפרטיות, אסור לגופים שאינם מוגדרים "אוכפי חוק או משטרה" לאסוף נתונים ביומטריים גם אם הם נמסרים "בהסכמה". מקומות עבודה המאלצים עובדים למסור מידע ביומטרי ומאכסנים אותם במאגרי מידע, עוברים על החוק.
• כרטיס חכם המכיל מידע ביומטרי ייחודי, טוב כל זמן שלא אבד. כרטיס חכם עם מידע ביומטרי תיאורטית לא ניתן להחלפה לאחר שהמידע הביומטרי נחשף.
• כרטיס חכם המצוי בידיו של זייפן ומכיל בתוכו מידע ביומטרי ללא עותק במערכת מידע לצורכי אימות (פועל כחוק) יאפשר זיוף ו "יירוט" הנתונים כי אין למה להשוותם. מצד שני כאמור, אגירת נתונים ביומטריים של לקוחות במערכת מידע תפגע בביטחון המדינה, בפרטיות ובצנעת הפרט של בעליו ומהווה עבירה פלילית.

 מיותר לציין שבמתכונת המתוארת היום מדובר בבזבוז כספים מיותר שלא יביא לשינוי. בבריטניה לפני מספר חודשים אבדו 25 מיליון רשומות אישיות של אזרחים בריטיים הכוללות חתימות ביומטריות, דבר שגרם לסערה ציבורית הסתערות על בתי המשפט ו"למרד" אזרחים שמתנגדים למסירת המידע הביומטרי התופעה התפשטה לארה"ב לאירופה ועולם החופשי כולו. לכן המשחק בחרב פיפיות ומסוכן כזה ביצירת מאגר מידע ביומטרי אישי וייחודי שיפקיע את השליטה מבעליו במדינה דמוקרטית,  מראש נועד לכישלון ולבכייה לדורות. כשמתכננים מערכת אבטחה, חשוב לא לתת לה יותר מדי יכולות, מכיוון שאם גורם עוין מצליח לעקוף גישה במערכת בעלת יכולת גורפת, השפעה השלילית תהיה רבה מסוכנת ויקרה מאוד, אם לעומת זאת, מערכת האבטחה תהא פשוטה יותר, ההצלחה של הפורץ תהיה מוגבלת מקומית ולא גורפת. השיטות החדשות וחוסר האונים הצפוי של הגופים השונים והממשלות להתגבר על גל הפריצות והזיופים הצפוי לנו ללא כלים או יכולת האזרח להתכחש לעסקה שלא לקח בה חלק או למקרים בהם יוסגרו אזרחים או לוחמים למדינות זרות, עוד יעורר געגועים למערכות הישנות והיציבות.  

• נכתב ע"י מיכאל (מיכה) שפיר טכנולוג ראשי ומייסד אינוויה מחקר ופיתוח

  

• מדגם קטן של כתבות נוספות בנושא:

 

• http://www.cl.cam.ac.uk/research/security/banking/tamper

 

• http://digitaldebateblogs.typepad.com/digital_money/emv/index.html

 

• http://www.bbc.co.uk/blogs/newsnight/2008/02/tuesday_26_february_2008_1.html

 

• http://www.heise.de/english/newsticker/news/103998

 

• http://machinegunkeyboard.com/?p=240

 

• http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml?language=en

 

• http://www.cl.cam.ac.uk/research/security/banking/relay/

 

• http://youtube.com/watch?v=X7pjUIxKoEc

   

  



How to hack RFID-enabled Credit Cards for $8 (BBtv): http://youtube.com/watch?v=vmajlKJlT3U&feature=dir

  Author:Michael (Micha) Shafir

Email: micha@Innovya.com

• 

Direct: (972)-544.837.900  

על אינווייה:אינווייה (Innovya), מחקר ופיתוח הוקמה בקיץ 2006 ע"י מיכאל (מיכה) שפיר ורונן בלכר, יזמים מנוסים בתעשיית ההיטק ואבטחת מידע. לחברה פטנט מהפכני העוסק בשיטות זיהוי ביומטריות לא ייחודיות. תפקיד מערכת האימות של אינווייה, לאשר חד משמעית זיהוי של נדגם הניצב בפני מערכת זיהוי ביומטרית ללא צורך בהפקה או שימוש בפרטים ביומטריים אגורים. האזרח אינו יכול לשנות לעצמו את מאפייניו הביומטריים לכן מי שחרד לאבדן מידע פולשני ואינו רוצה להיכנס להליך של פגיעה בפרטיות האזרחים שיגרור אחריו כאוס מוחלט במקרה של חשיפה או גניבת בסיסי הנתונים של אזרחי המדינה, לעולם לא ילך לפתרון פולשני מסוג זה. הפטנט של אינוויה מאפשר "הליכה בין הטיפות" שימוש בביומטריה ללא צורך בתבניות או השוואה חיצונית של נתונים מאוכסנים ומבטל לחלוטין את הצורך בבסיסי נתונים, איסוף מידע או הדפסה או לקיחה של דגימה ביומטרית והשארת הדגימה או תוצאותיה על מצע חיצוני כל שהוא, ובכך מנטרלת אפשרות זיוף, מאמתת את זהות הנדגם ובו זמנית שומרת על צנעת הפרט שלו.  על הכותב:מיכאל (מיכה) שפיר משמש כטכנולוג מדען ראשי ויזם במספר רב של חברות היי טק העוסקות בעיקר ברשתות תקשורת, אבטחת מידע, ציוד רפואי, ומחקרים ביו טכנולוגים.