תפו"ז בלהבות , או: מי רוצה לשחק בלהיות אלוהים ?

31 ביולי, 2009 | מאת doron |

אין ספק הצעת החוק הביומטרי, כמוה כקן צרעות , הן ביחס לאיך שהיא עוברת והן ביחס למה שגורמים שונים רוצים ממנה.

משרד המשפטים, לדוגמה, רוצה שהיא תתקדם , על מנת שלכל אזרח תהיה היכולת לעבוד עם זיהוי מרוחק .. למעשה יישום של "חוק החתימה האלקטרונית" .. זה הרי נפלא, נוכל לחתום מרחוק , ואכן ידעו שמי שחתם הוא אכן מי שחתם ..

נפלא ?

לא בטוח …

למעשה, לא מעט פעמים יצא לי גם להסביר וגם ללמד על הנושא של "חתימה אלקטרונית" , בעיקרון , יש מספר כללים שחשוב להקפיד עליהם , ולפחות מי שהיה בהרצאה של בנושא, אני מקווה שזוכר אותם .

הכללים הם :

1. צריך שיהיה CA – גורם אשר יכול לאשר את זהותי , ולהנפיק לי "מפתח ציבורי" ..

2. צריך שיהיה לי מפתח ציבורי – שמונפק על ידי ה CA .

3. צריך שיהיה לי "מפתח פרטי" שאף אחד כולל אף אחד , כולל אף אחד לא ייגע בו מלבדי , לא יתעסק איתו , לא יוכל להגיע אליו ..

כל העיניין של המפתחות היא יצירה של "אמון" במצב שבו "אין אמון" , אבל על מנת ליצור את האמון הזה ישנם מספר כללים בסיים – החשוב בהם הוא שאכן נוכל לדעת שבעל המפתח הפרטי הוא אכן מי שהוא טוען שהוא ושהמפתח שלא לא הועתק / נפל לידי גורם זר .

ולכן – אי אפשר לסמוך על אף אחד בכל הקשור לשמירה על המפתח הפרטי ..

והנה, הגיע העת בו הממשל רוצה לדאוג לאזרחים ולהקל עליהם את החיים – מטרה ראויה כשלעצמה .. אבל הדרך לגיהינום רצופה ככל הנראה בכוונות טובות , ואני הייתי מוסיף גם במעשים פחות טובים וחוסר אחריות משווע – ואלו בדיוק הדברים הבעייתיים שאני חושש שיצאו אל פני השטח כאשר זה יגיע לנושא של החוק הביומטרי .

ובכן, על מנת לקצר את הדברים, אני מניח שמרבית קוראי הבלוג הזה יוכלו לייצר לעצמם מפתח פרטי , אבל יהיה נורא מעניין לראות איך הזקנות בבית אבות מייצרות לעצמם מפתח פרטי .. או הגננת בגן "חדווה" – איך היא תייצר לעצמה מפתח פרטי .. ואיך כל אלו גם יחוללו את הבקשה ויקבלו מפתח ציבורי על סמך אותה בקשה ..

הסירו דאגה מליבכם , אלוהים וממשלת ישראל כבר דואגים לכם בעניין הזה והם יבנו לכם את המפתח הפרטי .. לא, לא טעיתי , הם יבנו לכם את המפתח הפרטי ..

אני אכתוב את זה שוב לטובת אלו שהעיניין לא ברור להם – הם יבנו לכם את המפתח הפרטי !

ואחרי זה נוכל לסמוך על זה שכשתגיע חתימכם עם המפתח זה בטח אתם .. ולא מישהו שפשוט משתמש בשמכם , או מצוטט לתעבורה שלכם ..

לא מאמינים?

ראו את פרוייקט תפו"ז , פרוייקט של תעודה חכמה, שנולד במגזר הממשלתי ע"י אותם אנשים ממש שרוצים לקדם את החוק הביומטרי .. שימו לב בקישור הזה .. פסקה מתחת לסעיף "קבלת הכרטיס החכם והתעודות האלקטרוניות" , הנה אני מצטט: "לאחר מכן, באמצעות מערכת ייעודית ומאובטחת של הגורם המאשר, ייווצרו המפתח הציבורי והמפתח הפרטי על גבי הכרטיס, ויונפקו התעודות האלקטרוניות הנדרשות."

כלומר – מישהו אחר ייצור לכם את המפתח הפרטי .. ועכשיו אנחנו יודעים שהמפתח שלכם הוא רק ברשותכם ….

זוכרים את הכלל השלישי?  "צריך שיהיה לי "מפתח פרטי" שאף אחד כולל אף אחד , כולל אף אחד לא ייגע בו מלבדי , לא יתעסק איתו , לא יוכל להגיע אליו .." (התוספת לבקשתו של יואל)

תגיות: ,

  1. 33 תגובות עבור “תפו"ז בלהבות , או: מי רוצה לשחק בלהיות אלוהים ?”

  2. מאת יואל ליאון בתאריך 31 ביולי, 2009 | תגובה

    בבקשה תחזור על הכלל השלישי בסוף כדי שקוראים תמימים יבינו למה היישום לא נכון כלל וכלל

    אבא שלי מקשה לחבר בין הקלות בזיוף זהויות לבין הסיכוי הגבוה לעלייה תלולה בפשיעה. היה קשה להסביר לו. לך תבין

  3. מאת צפריר כהן בתאריך 31 ביולי, 2009 | תגובה

    דורון, לא ברורה לי בדיוק הבעיה.

    לפי הנחות המערכת, רק לגורם המנפיק אמורה להיות יכולת לכתוב את המפתח על הכרטיס החכם. הכרטיס הוא אביזר שנועד להסתיר בתוכו את המפתח הפרטי.

    המפתח הפרטי הוא, באופן כללי, מספר שנבחר באקראי (ונבדק כעומד בתנאים מסויימים). אין פסול בכך שדווקא הגורם המנפיק יוצר את המפתח.

    מה יכול להיות פסול:

    1. אם הגורם המנפיק טורח לשמור עותקים של המפתחות שהוא כותב לכרטיסים (למיטב ידיעתי: זה לא קורה)

    2. העובדה שנדרשת תוכנה קניינית כדי להשתמש במערכת החתימה.

    3. הנקודה הקודמת גם מעלה בעיני את החשש שחלק מבטיחות המערכת נובעת מסודיות. זה לא בריא. לכן מימוש חלופי שלה יגביר את האמון בה.

  4. מאת doron בתאריך 31 ביולי, 2009 | תגובה

    היי צפריר,
    זו בדיוק הבעיה ..
    1. אנחנו לא יודעים אם שומרים העתק .. מאיפה אתה יודע שלא? ולכן , ייצור של מפתח פרטי יכול להעשות רק בתנאים של אמון .. ואמון יש לי רק עם מחשב שיש לי שליטה עליו – ולכן "גורם מנפיק" – לא יכול לייצר לי מפתח פרטי (לפחות לא כזה שאני אשתמש בו).
    אני אפילו מוכן להניח, שבאמת אולי לא היתה כוונה לשמור את המפתח הפרטי של מישהו .. אבל יש במדינה גופים שיכולים לעשות כל מה שבא להם בלי לתת דין וחשבון – במצב כזה, אני לא יכול להשתמש במפתח פרטי , אני סבור גם שאף אחד אחר לא צריך לעשות כזה שימוש.

    2. אכן נדרשת תוכנה קיניינית.

    3. בהחלט – הם בונים על "אבטחה באמצעות הסתרה" .

    … עצוב .

  5. מאת צפריר כהן בתאריך 1 באוגוסט, 2009 | תגובה

    1. זה לא נראה הגיוני. לא נראה לי שזה מה שנרמז. אבל הנה דרך לבדוק את זה:

    מה צריכים לעשות אם המפתח נהרס? להבדיל מהמקרה של מפתח שהולך לאיבוד, שאז צריך לבטל אותו וליצור חדש. האם יש אפשרות לשחזר מפתח קיים?

  6. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    1. תמו"ז ולא תפו"ז (אלא אם מדובר בשנינות שאינני מבין)
    2. אם הייתם קוראים יותר לעומק ולא בשטחיות הייתם מבינים שהמפתחות נוצרים בתוך הכרטיס. רק המפתח הציבורי נשלח החוצה, בעוד הפרטי נשמר בצורה מאד מוגנת בתוך הכרטיס.
    3. אם תתעמקו בחומר תבינו שאין כאן שום סודיות. נכון רק שחלק מהחומר הנוגע לכרטיסים עצמם אינו חומר פומבי כי היצרנים מחוייבים לשמור אותו בסוד בגלל תהליכי הסמכה שונים. זהו תנאי להסמכה כגון COMMON CRITERIA

    לפעמים אין ברירה וצריך לצלול לפרטים הקטנים. כל הסתכלות שטחית תביא להרבה מסקנות לא נכונות וללא אחיזה במציאות.

    בהצלחה

  7. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    בוקר טוב,
    אני אישית, קראתי את כל מה שיש שם , לא מצאתי איזכור לכך שההמפתחות נוצרים "רק בתוך הכרטיס" – האמירות שיש שם הינן שהגורם המנפיק , מספק את שני המפתחות .

    כיצד אני יכול לדעת שהמפתח הפרטי אכן נשמר אך ורק בכרטיס, ורק בו – התשובה היא שאינני יכול לדעת.

    לשיטתם של גדולים וחכמים ממני, כאשר יש ספק בנושא הזה – אין ספק … פשוט לא עושים.
    משתמשים שם אך ורק בתוכנה קיניינית, הצרכן (או המשתמש) אינו חשוף ואינו מודע לתהליכים – כל הדברים אשר אמורים ליצור מצב חשוד , כאשר זה נוגע להנפקת מפתחות.

    טענות כאילו חלקים מסויימים הם סודיים, הן טענות מקובלות, אך גם אז , יש נושאים של תקנים ותקינה, לדוגמה , גם ב GSM יש חלקים "סודיים" אולם , יש פרוטוקול תקני והשימוש בו ידוע ומפורסם .. זה איננו המצב שקיים בתעודות הללו.

    במצב שבו הגורם המנפיק , מייצר לי גם מפתח פרטי, גם מפתח ציבורי , הוא גם ה CA ומכוון שמדובר ב gov הוא גם הצד השני להתקשרות שלי (משרדי הממשלה שמולם אני מזדהה קשורים קשר עמוק ובלתי ניתן להפרדה מהגורם המנפיק).. הרי שיש כאן בעיה מהותית ביישום.

    ככל שאני יודע, במקומות אחרים, יצרו הפרדה נראת לעין בין הגורמים השונים כך שהגורם המנפיק אינו חלק מהגורם שמולו עובדים בהמשך.. ניתן היה לעשות מגוון של דברים אשר היו יוצרים , לכאורה מצב טוב יותר ובטוח יותר, ובוודאי שהיו צריכים לספק את הגמישות לכך שהצרכן עצמו ייצור את המפתח הפרטי .

    אתה יכול להשתמש בכרטיס שכזה , אתה גם יכול להאמין שהכל טוב בעולמנו – זה בסדר גמור … אך אנא , אל תצפה שכולם יחשבו כמוך, ואל תנסה לאלץ אותי לחשוב כמוך או לפעול בתנאים שאתה הגדרת כטובים – בעוד שאני טוען שהם רחוקים מאד מלהיות קרובים לאופטימליות .

    שוב, דעתך מכובדת, וכך גם הפרוייקט, אבל אני מוצא בו פגמים אשר לא מאפשרים לי להשתמש בו (חוץ מזה שצריך windows כדי להשתמש בזה .. דבר שממש אין לי ואין לי רצון שיהיה לי ) .

  8. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    אגב, סלח שבתי,
    תציץ בבקשה במסמך הזה :
    http://www.gov.il/NR/rdonlyres/2EA8195B-7BF2-4DD4-AF4E-43D45D26EB37/0/SmartCardAndPasswordSecurity.doc

    אתם רוצים שאנשים יקלידו סיסמה לכרטיס החכם, על מחשב שהוא לא שלהם והם אינם יכולים לאמת את זה שמישהו לא "מקליט" להם את הסיסמה .. אולי זה עובד על אנשים נורמאליים .. אבל אני אבטחה טובים , היו זורקים אתכם מכל המדרגות.

    שוב, העיניין של עבודה עם מפתחות, היא לשם יצירת אמון במצב שבו אין אמון (לפחות לא מלא), אתם מייצרים את המפתחות כאילו שקיים אמון מלא בצרכן לבינכם – וזה פשוט לא עובד ככה ..

  9. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    אם אתה לא מאמין למערכת שמנפיקה לך את הכרטיס אתה יכול לבוא עם סניפר די פשוט ולראות מה יוצא מהכרטיס בתהליך ההנפקה.
    הפרוטוקולים של PKI על כרטיס הם אכן תקניים (עד לרמה מסוימת) ואפשר ואפילו רצוי לקרוא אותם. זה יאפשר להבין את המידע שהסניפר הנ"ל יקליט.
    לגבי הממשלה כ-CA, בכל העולם מקובל שהממשלה היא CA או לפחות רגולטור ל-CA אחרים. האינטרס כמשתמש קצה הוא של-CA יהיה כיסוי ביטוחי טוב. ללא רגולציה או תקציב בסדר גודל ממשלתי-זה פשוט לא קורה, ומשתמש הקצה נשאר חשוף ללא כיסוי ביטוחי.
    אם אתה רוצה לייצר מפתח פרטי בעצמך-זה מקובל ולגיטימי אבל חשוב שתזכור שאתה מפסיד את ההגנה של הכרטיס החכם. אם אתה סומך על המחשב שלך יותר מאשר על הכרטיס-זה לגיטימי אבל אתה חוטא בתמימות או היתממות. פלטפורמת ה-PC חשופה להרבה יותר תקיפות, בקלות רבה יותר מכל כרטיס חכם בסיסי.אפשרות אחרת היא לקבל מיצרן הכרטיסים את הפקודות שמחוללות זוג מפתחות בכרטיס עצמו ולשלוח אותן לכרטיס בעצמך, שלא באמצעות התוכנה המקובלת. זה הרבה פחות נוח אבל נותן לך ודאות שרק המפתח הפומבי יצא מהכרטיס.
    השורה התחתונה היא שזו האלטרנטיבה הכי בטוחה, עם הכי מעט סיכונים, בודאי מול האפשרות של חילול מפתחות על פלטפורמה פתוחה כמו ה-PC, מאובטח ככל שיהיה.
    לגבי שימוש על LINUX – זה קיים ואני מניח שאם תפנה למי שצריך תקבל מענה.

  10. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    לגבי המסמך שבלינק-סיסמה ראשונית אכן מחייבת נוכחות של נציג הגורם המנפיק. אתה יכול לשנות אותה כרצונך אחר כך, על מחשב שאתה סומך עליו (אם יש כזה). חוק חתימה דיגיטאלית (והתקנות שבעקבותיו) מחייבות שהמסירה הראשונית תיעשה מול קבט או מישהו שיכול לזהות אותך.

  11. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    אכן מסכים עם חלק מהדברים שציינת.
    אני הייתי שמח אם אצלנו הממשלה היתה רגולטור ל-CA . לחילופין, ניתן היה ליצור רשות ייחודית שתטפל בטכנולוגיה, ותהיה מופרדת מהממשל עצמו – כוונתי היא למשהו כמו פרוייקט תהיל"ה, אולם שלא יהיה כפוף למשרד כזה או אחר.
    הסיבה היא החקיקות הטכנולוגיות והאמצעים הטכנולוגיים שניתן ליישם .. אם יוצרים הפרדה, לרשות שיש לה יכולת פיקוח ואכיפה, ונהנת מסטנדרט גבוה, וההתמחות שלה היא טיפול בנושאי מיחשוב מורכבים לא כסביבת IT לממשל (כמו פרויקט SAP וכיוצ"ב) .. אלא יותר כמו רשויות הבטחון שקיימות אצלנו – הרי שניתן לאורך זמן ליצור מערכות וחקיקה שתעשה טוב לאזרחים.

    למעשה רשות שכזו, תוכל להוות את התווך בין הממשל וזרועותיו מחד, והאזרחים מאידך.
    כך, לא יהיה צורך לתת למשרד מסויים, שלא תמיד יש לו את הכלים וההכשרה, לטפל בנושאים בעייתיים.
    אם נניח היתה רשות שכזו, ניתן היה לעביר דרכה את המידע הנוצר בחוק נתוני תקשורת, היא היתה יכולה לטפל במאגרים ביומטריים, כרטיסים חכמים .. וכו'.

    כמו שאמרתי, מבחינת שלמות הדמוקרטיה והשלטון שלנו – רשות כזו צריכה להיות רשות עצמאית ומנותקת מהמנגנונים הקיימים, שתהיה לה הסמכות החוקית, לטפל בנושאים המורכבים להם היא תידרש, כאשר היא מספקת תוצרים מצד אחד לממשל ומצד שני לאזרחים.

    לא מדובר בפרוייקט של שנה שנתיים, אבל בהחלט משהו שיכול להיות מבורך מבחינת יישום של יכולות טכולוגיות מורכבות, ושל חוקים שהם "בעייתיים" כרגע , כמו גם חקיקות נוספות (הצבעות אלקטרוניות בבחירות וכו') .

    חלק מהטיעונים שלי, אינם רק טכנולוגיים, אלא קשורים גם לזמן, ולמקום – כלומר , אסור לשכוח שכרגע, היכולת הטכנולוגית הינה בעצם "אגף אחר" של הגוף שאמור לנהל את מערכת היחסים עם האזרח.

    האם אתה היית קונה בסופר שבו גם מנפיקים לך את כרטיס האשראי או הצ'קים שלך ?

    אשמח לנסות להסביר ביתר דיוק את כוונתי אם לא הייתי ברור, אני סבור שגוף כזה הוא הכרח במדינה שרוצה ליישם יכולות טכנולוגיות מורכבות – וגוף זה אינו יכול להיות חלק מממשל זמין/תהיל"ה.

  12. מאת עירא בתאריך 1 באוגוסט, 2009 | תגובה

    אכן, בפעם האחרונה שעיינתי בכרטיס החכם שמציע ממשל זמין, הם מספקים קובץ EXE לייצר לי מפתח ולא מספרים מה התקן או נותנים את קוד המקור. לי אין הרבה סבלנות לשבת עם ICE ולהבין מה עושה אותו הקובץ, או יכולת להריץ אלגוריתם זהה במערכת פתוחה עם כלי בקרה. אני פשוט מעדיף לא להשתמש בו וגמרנו.

    אם ממשלת ישראל רוצה לייצר לי את המפתח הפרטי שלי, אני אומר בבקשה, חופשי לגמרי, אין לי התנגדות, רק אני מכריז מראש שלעולם לא אשתמש בו, ואם יעשו בעזרתו פעולות, הרי שאינני מכיר בהן כחוקיות או מייצגות בחירה שלי, כי לי אין דרך לדעת מי יזם אותן בשמי.

    אותו כנ"ל אם המערכת פתוחה ונותנת לי לייצר ואכסן שם מפתח, אבל הPASSPHRASE הוא טביעת האצבע שלי, או שהמערכות שדוגמות את הטביעה/סיסמא שלי בקיוסקי מידע שונים אינן פתוחות ומפוקחות. מניין לי ש-HP ישכרו את שלומיאל בע"מ להקים את עמדות הסריקה והשירות האלו, ובפעם הבאה שאלך לשירותומט ממשלתי יגנבו טביעת האצבע שלי או המפתח הפרטי שעל הכרטיס ע"י פורץ נוצץ?

    יש כאן עוד הרבה רמות של בעייתיות של אבטחה פיסית ולוגית שלא ניכנס אלינן, אבל השורה התחתונה היא, שלא נראה לי שהזמן הגיע לשימוש נרחב בהצפנה, חתימה דיגיטלית וערבוב כל אלו עם ביומטריה בשוק הפתוח של אנשים שלא מבינים את ההשלכות. אני מודע לזה שיש הרבה אנשים שאפילו מודעים לבעיות ועדיין מוכנים לקחת את הסיכון, וזה מצוין שיהיו דרכים לקיצור תורים עבור אותם האנשים, אבל לא בכפייה על כולנו.

  13. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    אגב, יש מחשב שאני סומך עליו ..
    וזה המחשב שמרגע שרכשתי אותו (כמעט אנונימית) הוא לא יצא מטווח העין שלי כמעט , ואם היו שעות שבהן הוא לא היה בטווח העין שלי – הוא היה נעול במקום בטוח ..

    יש לך מושג איזה עונש זה להסתובב שנים עם מחשב בלי להיפרד ממנו ?
    גם אם אני לא צריך אותו כרגע. (תחשוב מה זה ללכת לים עם מחשב נייד כי אין לך מקום בטוח להשאיר אותו , או לצאת לדייט עם מחשב נייד , כי לא הספקת לנעול אותו, או להסתובב בטיול שטח כמה ימים עם מחשב נייד – כי אתה לא רוצה להשאיר אותו במקום שאינו בטוח) .. ממש כמו שמתייחסים בצבא לצלם ואפילו יותר מכך.

    אבל זה המחיר שאני מוכן לשלם כדי להיות משוכנע שאף אחד לא נוגע בו.

    אם מישהו נוגע בו (או נגע בו) – הוא בדרך כלל עבר פירמוט לאחר מכן .. (אלא אם הייתי ליד אותו גורם וראיתי שהוא רק גלש לאיזה אתר או משהו כזה) ..
    אני לא לא רוצה להרחיב על המנגנונים שפועלים באתו מחשב .. אבל כמובן שכל שינוי, מתועד ונבדק ומדווח ..

    יש מחשבים שיש לי בהם אמון , הם מעטים , אבל יש כאלו .

  14. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    לדורון-משרד המשפטים הוא רגולטור ל-CA ועושה עבודה מצויינת, כולל נקיטת אמצעים נגד CA שלא עשה את עבודתו היטב.
    לעירא-הנסיון מראה שמחשבים ביתיים הרבה יותר פרוצים ממערכות מחשב יותר מבוקרות, שעוברות גם תרגילי תקיפה על ידי גורמים בלתי תלויים. בכל מקרה, כל שימוש בטכנולוגיה הוא שאלה של סיכון מחושב שאתה לוקח על עצמך (או שלא).
    שאלת המפתח היא תמיד מה החלופה. במציאות להימנע מכל שימוש בטכנולוגיה זו החלופה הפחות טובה.
    דוגמה מעניינת היא שימוש בטלפונים סלולריים. שימוש בהם בעת נהיגה הוא מסוכן ובכל זאת זו תופעה נפוצה מאד, שכולנו חוטאים בה מפעם לפעם. משתמש נבון יעשה בטלפון שימוש מבוקר, לא בכל מצב ולא בכל תנאי. זה עדיין לא אומר שלילה מוחלטת של השימוש.
    בחזרה לנושא שלנו-חתימה דיגיטאלית על תעודת זהות או כרטיס תמו"ז היא התנדבותית.

  15. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    לנושא האמון במחשבים-מי מבטיח לך שחומרת המחשב לא מכילה אמצעי שמפעיל עליך תקיפה כלשהי? זה מסובך אלפי מונים לאמת שהחומרה איננה נגועה במשהו זדוני…
    נראה לי יותר טוב וריאלי לשמור את המחשב בארנק (ואז הוא צריך להיות בגודל כרטיס אשראי וזה מזכיר לי משהו…).

  16. מאת עירא בתאריך 1 באוגוסט, 2009 | תגובה

    ולכן אני חושב, אם הממשלה רוצה שאשתמש באמצעי חתימה דיגיטלית מולה יש לי את התנאים הבאים:

    1. אפשרו לי להשתמש במפתח תוכנה תקני ואל תחייבו אותי להשתמש במפתח קושחה שהנפקתם אתם.

    לחלופין:

    2. תנו לי כרטיס חכם שאוכל לייצר בעצמי מפתחות ולהעמיס עליו חד כיוונית, הכרטיס לא יתן לקרוא את המפתח חזרה, כדי ליצור חתימה או הצפנה יש לשלוח אליו את המידע והמעבד שעליו יעשה את העבודה.

    3. התוכנה שתגש אל הכרטיס החכם תהיה פתוחה.

    4. לא יכריח אותי אף גורם להסגיר את הPASSPHRASE או להגביל את מורכבותה, ובוודאי שלא יקרה מצב שאאלץ להקליד אותה בסביבה שאינני סומך עליה.

    הממשלה לא תוכל לעמוד בדרישות שכאלו, ולכן כרגע הנושא חסר משמעות, המערכת פשוט לא תהיה אמינה בעינינו.

    המינימום שהייתי רוצה זה שהתוכנות יהיו פתוחות, ואז תוכל לפחות לבנות לחברים איזה CD של לינוקס מינימלי, לא צריך אפילו 10 מגה ליצור מערכת שיכולה לעלות בכל פיסי מהמדף במצב קריאה-בלבד, בלי חיבור רשת, ותתמוך רק בדרייברים של קוראי כרטיסים מאושרים, ותייצר מפתח בלי לשמור אותו בשום מקום מלמד הכרטיס. יש בקיצור מצבי ביניים שהייתי סומך על המפתחות האלו חלקית. הייתי גם מערבב PKI של של CA ממשלתי רשמי ושל חתימות החברים שלי, כדי לבנות "רשת אמון" מורכבת יותר, לאפשר לכל אזרח ליצור מספר מפתחות בהתאם לצרכיו ולבחור בקפידה מתי להשתמש באילו מפתחות וכולי.

    במילים אחרות, אין לי בעיה עם אופןמוקו כמכשיר הצפנה וחתימה נייד שלממשלה אין דרך לפרוץ לי אליו בלי להשמיד בו את המידע (או את תוקף החתימות).

  17. מאת עירא בתאריך 1 באוגוסט, 2009 | תגובה

    שבתי – אם החומרה של הפיסי מטיואן מגיעה על אמצעים להקלטת הקלדות ודיווחן, אז זה באמת יהיה סוף עידן המחשוב כפי שאנחנו מכירים אותו. ההשלכות יהיו משוגעות ומרחיקות לכת בצורות מאוד "מעניינות".

  18. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    סלח שבתי (לא יכולת למצוא כינוי קל יותר .. ? ) ,

    תקשיב למה שאתה אומר.. משרד המשפטים הוא רגולטור ל CA שמשרד האוצר מנהל .. זרוע א' היא רגולטור לזרוע ב' ..אני חושב שיש בזה בעיה ..

    לגביי מה שאמרת לעירא – אתה צודק, מכוון שפלטפורמות המיחשוב הפכו להיות נפוצות, אך הידע להשתמש בהן בצורה מאובטחת אינו נפוץ כמוהן (וחשוב להשקיע במודעות).

    אני לא יודע אם שימוש בטכנולוגיה הוא החלופה הפחות טובה תמיד, עיין ערך אוסמה בן-לאדן, אמנם מדובר בטרוריסט שאין לי ולו לרגע כוונה לסנגר עליו, אבל אני כן למד מההתנהלות הטכנולוגית שלו, שניתן להתחמק לאורך שנים מאיתו וזיהוי ע"י ממשל חזק , באמצעות הנמכה של השימוש בטכנולוגיה.
    למעשה, האדון, ברגע שהפסיק להשתמש בטכנולוגיה, יצא ממנגנוני האיתור של הממשל האמריקאי.
    אפשר להסיק מכך, ששימוש בטכנולוגיות, בחלקן מתקדמות, מאפשר לממשל, או לגופים אחרים, למצוא את אותה "טביעת אצבע טכנולוגית" של אדם – ולאחר מכן לאתר אותו איתור פיסי.

    לעיניין הטלפונים הסולואריים, יעידו מי שמכירים אותי, שלא אהבתי ומיזערתי שימוש בטלפונים סלולאריים – עד כדי אי רצון בולט להשתמש בהם.
    בשנה וחצי האחרונות, יש לי טלפון סלולארי בטוח … !
    עיין ערך openmoko בבלוג שלי.
    אישית, אינני חוטא ולו פעם אחת בשימוש בסלולארי בנהיגה, למעט כאשר יש לי דיבורית .. אני לא יענה לשיחות אם אין לי דיבורית – כי מספיק פעם אחת כדי להרוג אותי (ואין לי עיניין למות , לפחות לא בשנים הקרובות).
    אם שיחה ממש חשובה מגיע אליי – אני לא מתבייש לעצור בצד, לעשות אותה ולנהוג שוב אחרי שסיימתי אותה.

    אכן, שימוש בכרטיס תמו"ז היא התנדבותית לאנשים שמחוץ לממשל – לא ראיתי שזה וולנטרי לאנשים שבתוך הממשל, כמדומני זה חלק מהכרטיס עובד – כלומר מאלצים אנשים להשתמש בו בצורה כזו או אחרת – אני לא מת על זה.

    נשאלת השאלה, האם ישנה כוונה, וככל שאני הבנתי מאנשי משרד הפנים, ומאנשי מחשוב שונים השייכים לממשל , שישנה כוונה להשתמש במנגנון דומה , בתעודות הזהות החכמות – אני לא מת על זה, ואני סבור שניתן לעשות שימוש כזה, רק לאחר שהמערכת תתוקן בצורה שתבטיח את דעתי , שאם לא כן, אני לא אוכל להשתמש בזה (וכך גם עוד כמה אנשים שאני מכיר) .

    אני לא רוצה לקלקל לאף אחד ואני לא סתם נגד .. אני פשוט מנסה לומר , שאפשר ליישם חלק מהדברים, אם עובדים בצורה נכונה – בצורה שבה אנו מתנהלים כרגע (כמדינה) , אני סבור שיש מקום רב לתיקון של הדברים, ובאמת הייתי שמח אם הם יתקונו , על מנת שכולנו נוכל להשתמש בזה ..

    בערך אותה אמירה שאמרתי לגביי המאגר הביומטרי.
    אני נגד המאגר, כי אני סבור שלא יכולים להגן עליו באמת, אני נגד המאגר כי אני סבור שהוא עשוי ליצור בעיות בדמוקרטיה שלנו – אבל אם המחוקק והציבור יחליטו שצריך מאגר, אני לא "שובר את הכלים" אלא רוצה לוודא, שהוא לא ידלוף ..
    עוד מילה אחת, אני סבור, שהאנשים של משרד הפנים עושים עבודה קשה ונהדרת שאינה זוכה להערכה יומיומית על ידינו, כך גם לגביי אנשים אחרים שמשקיעים מזמנם ומרצם בכל הקשור למערכות מיחשוב בשירות הממשל, אנחנו , כאזרחים, הזנחנו את הצרכים של חלק מהאנשים הללו בעשור האחרון ונתנו להם לשמור עלינו בלי לתת להם את הכלים הדרושים – אני סבור שאנו כחברה, צריכים להכות על חטא בעינין הזה ולעשות כל מה שאפשר על מנת לתקן את העוול, אך באותה נשימה, אם הם באים עם דרישות לכלים חדשים שעשויים לפגוע בנו, אני לא הייתי ממהר לאשר אותם, כן הייתי דואג לתת להם כלים טובים ורציניים שאינם פוגעים בנו – ואת כל הכלים הבעייתיים, הייתי מעלה לדיון ציבורי אמיתי.

    אני גם צריך להודות לאנשי משרד הפנים על כך שבחרו בדרך הקשה והגלויה , ולא עשו מש שמשרדים ממשלתיים אחרים עשו.

  19. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    אחד מעמודי התווך של תעשיית האבטחה הוא מנגנון ההסמכה בכלל ו-COMMON CRITERIA בפרט. מנגנון כזה מחייב שמירת מסמכים בסוד וכולל גם ביצוע של נסיונות תקיפה בפועל מול האמצעי שעובר הסמכה.
    מסיבה זו לא נראה מערכות פתוחות לגמרי, וגם אם תהיינה כאלה-אני חוזר שוב לחומרה שנמצאת בבסיס של הכל. קשה לאמת אותה, וההסמכה זה הכי טוב שיש לנו, כלומר החלופה הריאלית ביותר.
    אגב, לא כל מחשב שיצא מטייוואן חייב להכיל חומרה זדונית, מספיק לגעת פעם אחת במחשב *שלך* כדי להתקין חומרה כזו, ואז הפירמוט שדורון הציע לא יעזור, כי האלמנט התוקף יהיה עדיין בפנים ולא יוסר על ידי הפירמוט.
    זה תמיד, אבל תמיד שאלה של סיכון מחושב ושל הסתברויות (כולם *ונות ורק מתמקחים על המחיר…)

  20. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    דורון-זה שאתה רק מציץ לראות אם השיחה חשובה וצריך לעצור בצד-זה כבר חטא שיש בצידו סיכון לא קטן.
    לגבי OPENMOKO- זה רק מוכיח את מה שאמרתי. יש חומרה דיי בודדת במערכה (NEO) וגם לגביה אתה לא יודע הכל כי יש שכבות נמוכות של הפרוטוקולים שמטופלות ברמת ה-CHIPSET. אתה פשוט מניח שההסתברות למשהו זדוני (או סתם באג עם משמעות אבטחתית) היא נמוכה ולוקח על עצמך את הסיכון המחושב.
    אגב, באגים שמייצרים בעיות אבטחה הם דבר הרבה יותר נפוץ וסביר מטיפול זדוני של מישהו. הם אפילו קורים אם יש רק כוונות טהורות לכווולם.

  21. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    לא מציץ .. זה סטנד של דיבורית .. מה שלהבנתי מותר על פי חוק .. (אם תרצה אין לי בעיה להראות על מה מדובר) .

    לגביי Openmoko , אכן חומרה ייחודית מעט, הדבר ה"בעייתי" בה הוא שחלק מסויים מהשבב של ה GSM הוא "סודי" בתהאם לתקינה של GSM .
    אבל, הוא עובד על פי הפרוטוקול התקני של GSM – כך שמבחינת עבודה איתו אין בעיה.
    אבל, כהרגלי זה לא סיפק אותי, ובשנה האחרונה, מעבר ללבדוק את העבודה שלו, ומכוון שממילא יש לי NDA מול openMoko הצלחתי להגיע למידע של מה שקורה בשבב – אותי זה סיפק .

    אם כל צרכני הסלולאר יהיו כמוני, אולי העולם יהיה מקום קצת יותר בטוח .. אבל גם אם הם לא כמוני , מספיק שיהיו הרבה כמוני בעולם, ואנחנו נדאג להקים קול צעקה – כאשר יהיה צורך .

    זה קצת כמו המאגר הביומטרי – לא כל האוכלוסיה צריכה להבין איך זה עובד, אבל אם מספיק אנשים שמבינים איך זה עובד יוכלו להתריע כאשר צריך (מה שאנחנו אכן עושים) – נוצר האפקט הדרוש, כי שאר הציבור מאמין לנו (העיקר אם יש כמה פרופסורים / חוקרים , שמצטרפים אלינו).

    השאלה אמיתי בעיניין הה היא האם ה"מנגנון" , דהיינו המדינה, מסוגלת לקיים שיח , בחלקו ציבורי, עם אותם אנשי טכנולוגיה, על מנת שהם ישמשו מערכת בקרה לכלל הציבור.
    זו יכולה להיות תפנית חיובית מאד ביחס של אימוץ טכנולוגיות לטובת הממשל .
    שוב, אנחנו מבינים את הצורך, גם אם לא נדע את מספר המחבלים שמסתובבים בישראל עם תעודות מזוייפות .. אבל, מישהו שחובתו היא לציבור, צריך לנהל איתכם דיאלוג טכנולוגי – על מנת ליצור את השקיפות הראויה (וברור לי לפחות שלא הכל כולל הכל יוכל להיות שקוף) – הכדור , לדעתי במגרש של הממשלה והיא יכולה להרים את הכפפה.

  22. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    גם אם הטלפון על סטנד-אתה מרוכז פחות בכביש ומזה קשה מאד להימלט, רק אםם תכבה את הנייד בעת הכניסה לאוטו.
    יפה שבדקת את המידע הפנימי על השבבים אבל אני מתקשה להאמין שבדקת האם המסמכים שראית מייצגים את מה שקורה בפועל בתוך השבבים, אבל באמת שאין לזה סוף, מה שמדגיש שוב את ההסתברויות.
    לגבי דיאלוג-אכן מבורך אבל בכל הנסיונות שזה נעשה נתקלנו ביותר קיבעון מחשבתי ממה שצפינו מראש. זו כנראה תסמונת ה-NIH בצורה כזו או אחרת.
    בבניין ציון ננוחם…

  23. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    סלח, ברשותך, אני אתייחס לקטע האחרון בדבריך.

    אני מצר שזו התחושה שנוצרה אצלכם, אבל אני סבור שגם בצד השני יש תחושות לא קלות. אינני יודע בדיוק על מה אתה מדבר, אולם אני יכול לומר שגם לנו יש נסיון בנושא הזה.. והוא לא השאיר רושם חיובי אצל חלק מהאנשים.

    תחשוב, אם אתה קובע איתנו פגישה בירושלים, ב – 12:00 עד 14:00 מבחינתך זו עוד פגישה בסדר היום העמוס שלך, פגישה עם "נודניקים" שאולי קצת מפריעים לך למלא את המשימות שלך.
    מבחינתינו, זה לקחת יום חופש (או יום אי-עבודה אצל עצמאיים), לעלות לירושלים, לעיתים יש לנו גם פגישת הכנה ביננו, להיפגש איתך, ולחזור למרכז ..
    אתה ביזבזת שעתיים – אנחנו ביזבזנו חצי יום עבודה או יום עבודה +הוצאות ישירות של דלק וכו' ..
    ממש לאחרונה, עו"ד יונתן קלינגר ניסה לחשב לי כמה אני והוא הפסדנו בגלל החוק הביומטרי – האמן לי שלא רציתי לשמוע את התשובה , ואני חושב שגם אחרים לא ירצו לשמוע אותה..

    ואחרי כל זה גם אנחנו מרגישים לפעמים שאנחנו "מדברים לקיר" או שאנחנו "הנודניקים שמהווים מטרד" .. כל זה כאשר אנחנו מקדישים לכך את זמננו הפרטי וכספנו הפרטי.

    עם כל זאת, אני לא מרים ידיים.
    אני כן מציע שתבדוק אצלכם, האם יש מצב שבו ניתן להגיע לסוג של הידברות על נושאים שונים , אני מהצד שלי יכול לומר לך שיש לי סוג של מנדט מטעם "הפורום הלאומי לאבטחת מידע" (מיסודו של האלוף מיל' יעקב עמידרוד , ומר אבי וויסמן) , אני יכול לנסות לארגן מנדט וקבוצה מטעם "המקור" שהם אנשי תוכנה חופשית, אני יכול לנסות לארגן גם השתתפות של "העמותה לזכויות האזרח" – אולי ננסה להידבר על החקיקות הטכנולוגיות, או בכלל על טכנולוגיה בשירות הממשל – על מנת לנסות לעשות דברים שבסופו של דבר יהיו טובים למי שגרים כאן.

    אל תשכח, רצון טוב יש לפחות ככל שאני יודע על אנשים מהצד הזה של השולחן.

    תבדוק – ותודיע לי , אני זמין במייל doron AT ofek DOT biz ואני ינסה בנתיים לברר את מה שהצעתי מהצד שלי .

  24. מאת צפריר כהן בתאריך 1 באוגוסט, 2009 | תגובה

    סלאח,

    אתה יכול להסביר לי למה נדרשת כאן תוכנה קניינית שרצה על מחשב לא מאובטח?

  25. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    לצפריר
    הצורך בתוכנה קניינית נובע מצורת ההפעלה של חומרות הצפנה *בכל* מערכות ההפעלה. יש תקינה לחלק מהשכבות אבל בסוף יש צורך לשלוח לחומרה פקודות שהיא מבינה. זה מתבצע על ידי שכבת תוכנה קניינית, בהתאם למערכת ההפעלה שאתה מריץ. בחלונות זה ה-CSP בגירסאות הקודמות או ה-MINIDRIVER בויסטה. קשה להימלט מזה וכל חומרת הצפנה זקוקה לפחות למנהל התקן קנייני כלשהו. זה תופס לגבי TOKENS, HSM או כרטיס חכם.
    לגבי אבטחת המחשב-הרוב המוחלט של המחשבים הביתיים אינם מאובטחים כראוי. אקט המסירה של חומרת ההצפנה (הכרטיס) במקרה כזה נעשית על מחשב ממשלתי ותוך זיהוי אנושי של מקבל הכרטיס. זה פשוט הרע במיעוטו והדרך הריאלית להנפיק כרטיסים. במעמד המסירה מחוללים את זוג המפתחות. כמו שציינתי קודם אפשר להתקין SNIFFER די פשוט ולראות את חילופי הפקודות בין תוכנת ההנפקה לכרטיס.
    לאחר קבלתו ניתן לשנות את סיסמת הגישה לכרטיס לכל מה שתרצה, זה כבר באחריות מקבל הכרטיס.
    השורה התחתונה היא שאם תבחן את כל התהליך תראה שזה די הגיוני לעשות אותו כך. יש חילול של מפתחות, קבלת אשרה (סרטיפיקט) באותו רגע וקביעת סיסמה, אותה ניתן לשנות אם אתה לא סומך על המחשב של ההנפקה.
    מקווה שעניתי לשאלתך

  26. מאת צפריר כהן בתאריך 1 באוגוסט, 2009 | תגובה

    לא ענית לשאלה. תשובה טובה לשאלה תכלול את המפרט של החיבורים שללו כדי לכתוב להם דרייברים עצמאיים.

    אם נדרשת כאן סודיות אני מתחיל לחשוד שהיא מחביאה חולשה של המימוש.

  27. מאת עירא בתאריך 1 באוגוסט, 2009 | תגובה

    ועוד דבר קטנטן, סלח… אם אחליף אצלי גם 2000 פעם את הסיסמא אבל במאגר המרכזי נשמר המפתח הסודי שלי, מה זה עוזר?

    ואם הסיסמא שיכפה עלי החוק היא טביעת האצבע שלי שקלה לזיוף, זמינה להרבה גופים ובלתי ניתנת לשינוי?

    וזה רק קצה הקרחון.

    אגב, למה דווקא טביעות אצבע ולא קריאת קשתית? יותר קשה להעתקה וזיוף, ואני לא משאיר אותה על כל משטח שאני עובר לידו וכל כוס שתיה…

  28. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    לצפריר-הפקודות לכרטיס הן תחת NDA. ניתן לפנות ליצרן וזה לשיקולו אם להעביר את זה או לא. הוא מחוייב בשמירה ובקרה על מסמכים כחלק מההסמכה שלו וזה די מגביל, אבל ככה השוק הזה מתנהל בכל העולם. לא כל סודיות מסתירה חולשות מימוש, זו הכללה שאיננה נכונה. הסודיות מתחילה אגב בחומרה ומסיבות מאד טובות.
    לעירא-הסברתי שהמפתח נוצר בכרטיס ואיננו יוצא ממנו. אם אתה לא מאמין ניתן לוודא את זה עם סניפר פשוט. הסיסמה לכרטיס היא רצף תןןים ולא טביעות אצבע. יש כרטיסים עם סיסמה ביומטרית אבל זו טכנולוגיה יקרה ולא פופולרית מהרבה סיבות, בעיקר מסחריות ופרויקטאליות. בכל מקרה זה לא רלבנטי לכרטיסי תמו"ז או לתעודת הזהות כשתהיה.
    לגבי קשתית-נסה לחפש IRIS ON THE MOVE במנוע חיפוש ותראה מחקרים שלעומתם הסרט "דוח מיוחד" הוא די תמים. קשתית היא בכל מקרה טכנולוגיה יקרה ולא ידידותית למשתמש. יש עקומת למידה ארוכה ולכן זה מתאים רק לשימושים יום-יומיים שבהם המשתמש מתרגל לזה. זה לא המצב בכרטיס שאתה תשתמש בו רק מפעם לפעם.

  29. מאת doron בתאריך 1 באוגוסט, 2009 | תגובה

    BTW:
    מצטער על תגובה מאוחרת, גררו אותי לישיבה דחופה בשבת.

    הנה זיהוי הקורא תחת לינוקס:

    Bus 002 Device 009: ID 0dc3:0802 Athena Smartcard Solutions, Inc. ASEDrive IIIe

    כרטיס אין לי בהישג יד ..

    :-)

  30. מאת סלח שבתי בתאריך 1 באוגוסט, 2009 | תגובה

    זה קורא מקובל, של חברת אתנה היפנית, שהפיתוח שלה כולו בישראל http://www.athena-scs.com

    אתה צריך לא רק כרטיס אלא גם את פירוט הפקודות שלו או את מנהל ההתקן הייעודי של היצרן, מה שקיים תמיד לחלונות ורק לפעמים לפלטפורמות אחרות.

  31. מאת צפריר כהן בתאריך 1 באוגוסט, 2009 | תגובה

    לא טענתי שכל סודיות מסתירה חולשת מימוש. זהו איש קש. לעומת זאת כן טענתי שהסודיות מעלה את הסיכוי לכך.

    "ככה השוק מתנהל בכל העולם" זה לא תרוץ. ממשלת ישראל היא לקוח גדול שיכול להכתיב תנאים.

  32. מאת a בתאריך 2 באוגוסט, 2009 | תגובה

    דורון – עזוב. הצעתי היא שתוריד פרופיל, תחכה בשקט בצד, ועם הידע שיש לך, משני עברי המתרס, השווי שלך יהיה גבוה מאוד (בעולם התחתון)…

    אני חייב לציין, שלפחות אותי – התסריט שכתבתי *מאוד* מפחיד.

  33. מאת אסף בתאריך 5 באוגוסט, 2009 | תגובה

    דיונים לחוד ומעשים לחוד.
    האם מישהו כאן מתכנן להתנגד אקטיבית למאגר (קרי, סירוב לתת מידע), כן או לא?

    אני אישית חושב שאולי הגיע הזמן למרי אזרחי במדינת ישראל.

  1. 1 טרקבק(ים)

  2. 5 באוגוסט, 2009: אסכולת הכורסא » הצפנת מפתח ציבורי, גרסת משרד הפנים

השארת תגובה

Protected by WP Anti Spam