זה לא אני שצריך תעודה חכמה // אבינעם יגור

אבינעם יגור

״זה לא אני שלוקח בבנק הלוואה, זה לא אני שמוכר את הדירה, זה לא אני שלכל העולם מתחייב”, שר האזרח בפרסומת מטעם המדינה שנועדה לגרום לאנשים להשתתף בפיילוט המאגר הביומטרי (בלי להגיד מאגר ביומטרי).

https://www.youtube.com/watch?v=z7n_MLW2rbk

ת”ז ביומטרית היא תעודה שבה נמצאים גם הפרטים הביומטרים של מי שהוציא אותה. זה מקשה על התחזות, כי מי שבידיו המיכשור המתאים יוכל להשוות את הפרטים הביומטרים שבתעודה והפרטים של האדם שמולו ולדעת אם הוא מי שהוא טוען שהוא. זה היתרון שלה. טוב ויפה.

עכשיו, מה קורה בפרסומת?

1. “לא אני שלוקח בבנק הלוואה”: לא זכור לי אם בבנק מבקשים ת”ז בזמן הלוואה, אבל הנקודה העיקרית היא שלבנק לא יהיה המכשור לבדוק את הפרטים הביומטרים של מבקש ההלוואה, ולכן ת”ז ביומטרית לא תמנע מצב כזה. מספיק שהתעודה שלי נגנבת ומגיעה לאדם שמעט דומה לי (אם הבנקאי בכלל יטרח להסתכל בתמונה).

2. “זה לא אני שמוכר את הדירה”: כנ”ל. בחתימת חוזה צריך ת”ז, אבל אף עורך דין לא יבדוק את התעודה הביומטרית, ושוב, היכולת של אדם למכור דירה שלי, בין אם יש לי ת”ז ביומטרית ובין אם אין, היא אותו דבר.

3. “זה לא אני שלכל העולם מתחייב”: כנ״ל.

פרסומת של רשות האוכלוסין לתעודות חכמות והמאגר הביומטרי

אבל רגע, התעודה קשה לזיוף! ובכן, לא צריך לזייף. מספיק אותו הליך כמו היום: התעודה שלכם אובדת או נגנבת, מגיעה לגורמים עברייניים ונמכרת לאדם עם דמיון פיזי אליכם. כל עוד התעודה לא נבדקה על ידי שוטר או מישהו שהמדינה נתנה לו את הציוד להצליב בין התעודה והאדם, הוא יכול להתחזות אליכם. גם היום. כמה זה קורה היום, אגב? כמה דירות בשנה נמכרות על ידי אדם שהתחזה לבעלים?

ועוד משהו: אם יש כבר מישהו שמתחזה אליכם עם ת”ז רגילה, אני לא יודע, אולי הוא יכול לגשת למשרד האוכלוסין ולהוציא ת”ז ביומטרית, עם הפרטים הביומטרים שלו והשם שלכם, וכשאתם תבואו להוציא תעודה ביומטרית תגלו שמישהו גנב את זהותכם אל תוך תעודה “בלתי ניתנת לזיוף” ותפצחו בשיר “זה לא אני”.

ואחרון חביב, המאגר הביומטרי. הפרסומת מציגה יתרונות לכאורה של תעודה חכמה, אך אינה מציגה אף יתרון של מאגר ביומטרי. אולי כי אין כאלו, ויש חסרונות. כרגע המאגר הוא בשלב פיילוט. מה שקורה זה שמנסים לשכנע את הציבור ביתרונות התעודה, כדי שיוציא תעודה כזו ויוכנס למאגר, מבלי שזה הוסבר לו, ובעוד שנתיים ההיענות הציבורית לת”ז ביומטרית תוצג בכנסת כהיענות ציבורית למאגר.

אבינעם יגור הוא המוזרים מהאינטרנט ואזרח שמתנגד למאגר הביומטרי

15 באוקטובר, 2013 | בנושאים 404 

תגובות

8 תגובות לפוסט “זה לא אני שצריך תעודה חכמה // אבינעם יגור”

  1. אלע on 15 באוקטובר, 2013 17:07

    “הפרסומת מציגה יתרונות לכאורה של תעודה חכמה, אך אינה מציגה אף יתרון של מאגר ביומטרי”
    אז טוב שאתה מציג אותו, בפסקה הזאת:
    ‘ועוד משהו: אם יש כבר מישהו שמתחזה אליכם עם ת”ז רגילה, אני לא יודע, אולי הוא יכול לגשת למשרד האוכלוסין ולהוציא ת”ז ביומטרית, עם הפרטים הביומטרים שלו והשם שלכם, וכשאתם תבואו להוציא תעודה ביומטרית תגלו שמישהו גנב את זהותכם אל תוך תעודה “בלתי ניתנת לזיוף” ותפצחו בשיר “זה לא אני”.’

  2. תומר כהן on 15 באוקטובר, 2013 22:30

    טכנית כשנגנבת תעודת זהות “חכמה”, ניתן להתחיל תהליך revocation, שיאפשר לזהות בקלות שמדובר בתעודת זהות חכמה. הבעיה היא שכדי לאמת שהתעודה שביד אדם המזדהה היא אכן אותנטית ולא תעודה אבודה, יש צורך לבדוק אותה מול מסוף שמחובר למאגרים של משרד הפנים, ואלו חייבים להישאר סגורים ובלתי נגישים לאנשים מחוץ למשרד הפנים אחרת מדובר פה למעשה בדליפת נתונים, ובעקבות כך שהמאגר הזה מכיל בסופו של דבר נתונים ביומטריים, מדובר פה בסכנה גדולה.

    תהליך revocation אינו ייחודי לתעודות זהות חכמות. אפשר להחיל אותו גם היום על דרכונים, תעודות זהות רגילות, רשיונות נהיגה וגם כרטיסי “רב קו”, אבל מסיבה לא ברורה הוא לא הוחל בפועל עד היום אל מסמכים אלו (למעט כרטיסי רב קו; הבנתי שאותם הם אכן מבטלים ברגע שהם מדווחים כאבודים), והרי ידוע לנו שרבות מאותן תעודות זהות אבודות מוצאות את דרכן לעתים אל ארגוני פשיעה. אם היה webservice פשוט שמאפשר לבדוק אמיתות של תעודת זהות אפשר היה לאמת את פרטי האדם שמציג אותה עוד היום, ובכך להפוך את כל הדרישה בתעודה “חכמה” למיותרת.

    מספר הנפקת תעודת הזהות שלכם נמצא בצד האחורי של התעודה, והוא כמובן לא זהה למספר תעודת הזהות ועד כמה שידוע לי מאגר מזהי ההנפקה לא דלף ממשרדי משרד הפנים. תעודת זהות חכמה? קודם שיראו לנו שהם מיצו את הפוטנציאל הטמון באמצעים הקיימים ברשותם כבר כמה עשרות שנים.

  3. דרור ק on 16 באוקטובר, 2013 00:17

    יש היום כבר לכל הנהגים רישיונות נהיגה ביומטריים. האם יש מאגר ביומטרי של נתוני רישיונות הנהיגה?

    אגב, כבר היום אפשר להשתמש ברישיונות הנהיגה כבתעודת זהות. אני לא מצליח לחשוב על פעולה שהתעודה הזאת לא מתאימה לה (גם הצבעה בבחירות אפשרית היום עם רישיון נהיגה).

    הבעיה עם תעודות הזהות והדרכונים הקיימים שהם נורא קלים לזיוף. לא צריך לחפש מישהו שדומה לך, אפשר פשוט להחליף את התמונה, כי היא לא מוטבעת על הדף. פעם בנתב”ג מאבטח ישראלי היה מוטרד ממשהו בדרכון שלי, אז הוא השתמש בוויזה האמריקאית כדי לאמת את הנתונים – שם התמונה מוטבעת ויש אמצעים מתקדמים יותר נגד זיוף. האמת היא שכל עוד תעודות הזהות הקיימות יישארו בתוקף, בעיית הזיופים לא תיפטר. הרי הפקיד בבנק לא יודע שהחלפתי תעודת זהות, והתעודות בפורמט הישן עדיין בתוקף, כך שהוא לא יכול להניח שמדובר בזיוף רק לפי הצורה של התעודה.

  4. אסף on 16 באוקטובר, 2013 04:34

    תומר תימצת בשלש פסקאות בהירות מה שיוזמי המאגר הביומטרי כבר שנים מנסים להסתיר: המאגר ביומטרי הוא סיכון מיותר ואת בעיית זיוף התעודות אפשר לפתור בזול ומייד ללא שימוש באמצעים ביומטריים כלל. מספיקה תמונה על התעודה, תאריך לידה, וכמה נתונים פיזים יציבים כמו צבע עיניים, וגובה. מבקר המדינה הקודם הבין זאת מייד והמליץ להוציא תעודות חכמות שאין עליהם נתונים ביומטריים. המדינה היתה מוכנה להוציא תעודות כאלה לפני עשר שנים אבל שר הפנים דאז עצר את התהליך, והתחיל את הקרקס הביומטרי. הערכות רשמיות הן שזיוף התעודות עולה למדינה למעלה ממאתיים מיליוני שקלים בשנה. מכאן שהדרישה לתעודות ביומטריות כבר גרמה לנזק מצטבר של למעלה ממליארד שקלים.

    http://www.themarker.com/technation/it/1.1768804

  5. רון on 16 באוקטובר, 2013 05:30

    אין סיבה שהציוד לקריאת התעודה לא יהיה ביד כל אדם. לא מדובר בציוד יקר. לגורמים מקצועיים בטוח שיהיה הציוד המתאים.
    למאגר יש יתרון חשוב מאד, והוא שבזכותו אפשר לזהות אדם גם אם אין בידיו תעודה. כל מה שצריך הוא קורא טביעות אצבע ומצלמת אינטרנט, ותוכנה שמתחברת למאגר. המפעיל צריך להזין לתוכנה מספר זהות ושם שהוא רוצה לבדוק. התוכנה משדרת למחשב המאגר את התמונה של האדם וטביעות האצבע, עם מספר הזהות והשם שהוזנו, ומקבלת תשובה: מתאים או לא מתאים.
    מהבחינה הזו המאגר יותר חשוב מהתעודה.

  6. n on 16 באוקטובר, 2013 11:27

    כמה הערות:
    קודם כל, כדי לזייף תעודה ברמה הזאת (ללא מידע ותוכנה בתוך הכרטיס) צריך בסך הכל כרטיס חכם לבן (עניין של כמה סנטים) ומדפסת של כרטיסים חכמים (קצת יקר, אבל לא משהו שארגון פשע בינוני לא יכול לעמוד בו).

    מצד שני, אם המערכת מתוכננת נכון, אין צורך בגישה למאגר כדי לוודא שהאדם מולך הוא הבעלים החוקיים של התעודה. מספיק חומרה פשוטה יחסית ולא יקרה. אני לא יודע אם מתכוונים להתקין כאלו דברים בבנקים, אבל אני מאוד מקווה שכן.
    ועוד סתם הערה: כדי לקבל הלוואה בהחלט צריך להזדהות בפני פקיד הבנק. העניין הוא שהרבה פעמים הוא כבר מכיר אותך.

    אבל ההערה העיקרית שלי היא הכריכה שאתה עושה בין תעודת הזהות החכמה לבין המאגר הביומטרי – זו אותה טעות שמשרד הפנים עושה, וחבל. תעודת זהות חכמה היא הכרח, וזה שכבר 13-14 שנים מתבחבשים עם זה זה מחדל אדי והפקרות של המדינה. זו שערוריה בקנה מידה אדיר. מי שמאפשר את גנבת הזהויות היא הממשלה, שנכשלה בפרוייקט הזה, ונכשלה בשמירה על הזהות של כל אחד ואחד מאיתנו. גורם העיקוב העיקרי הוא המאגר הביומטרי.

    נכון שיש פרצות כפי שציינת, אבל הן זניחות לעומת קלות הזיוף של התעודה הנוכחית.

    ועוד הערה אחרונה לקמפיין – “תעודה שאינה ניתנת לזיוף”? באמת? כל מי שמתעסק באבטחת מידע יודע שאין דבר כזה אבטחה הרמטית. איזו יומרה! בהתחשב בכך שהכוחות שרוצים לזייף תעודה כזאת, במוטיבציה, ביכולות ובמשאבים שלהם (מדינות, לא רק מדינות אוייב, ארגוני פשע מקומיים ובין לאומיים וכו’), זה רק עניין של זמן עד שזה יקרה.

  7. Emmanuel A. Holland on 22 באוקטובר, 2013 14:53

    ואחרון חביב, המאגר הביומטרי. הפרסומת מציגה יתרונות לכאורה של תעודה חכמה, אך אינה מציגה אף יתרון של מאגר ביומטרי. אולי כי אין כאלו, ויש חסרונות. כרגע המאגר הוא בשלב פיילוט. מה שקורה זה ש מנסים לשכנע את הציבור ביתרונות התעודה , כדי שיוציא תעודה כזו ויוכנס למאגר, מבלי שזה הוסבר לו , ובעוד שנתיים ההיענות הציבורית לת”ז ביומטרית תוצג בכנסת כהיענות ציבורית למאגר.

  8. אב on 16 בנובמבר, 2013 08:03

    לגבי קניית דירה,
    עורך הדין אכן לא יאמת את ת”ז אבל
    בטאבו יאמתו את ת”ז החכמה וזה מה שחשוב, בלי זה לא ניתן להעביר את הנכס.

פרסום תגובה

עליך להתחבר כדי להגיב.