|
||||
|
||||
בגלל זה אני כותב כאן נימוקים שאני מקווה שראויים לאייל ובגלל זה אני מנסה כל הזמן להסיט את הדיון שם מעיסוק בכבוד השר לשעבר. כזכור, מה שכתבתי כאן לאחרונה: תגובה 517531, והדיון מתחת לתגובה 517607. יש אנשים שכתובים דברים קצת יותר הגיוניים באינטרנט כמה דוגמאות: למה לא להשתמש בזיהוי ביומטרי: מה שדורון אופק כתב על ה"גילוי הסנסציוני" של אפי החופר: ועוד: אבל אם אתה חושב שהצעת החוק כ"כ טובה, אתה מוזמן לסתור את הטענות הללו. אני מניח שקראת את ההצעה. |
|
||||
|
||||
אני לא חושב שזאת הצעה טובה, מה שאמרתי זה שהנימוקים הגרועים האלה גורמים לי לשקול את עמדתי מחדש. אם כל כך הרבה אנשים חסרי תבונה הגיעו לאותה מסקנה כמוני, אולי אני טועה... |
|
||||
|
||||
וואלה. לכדת בדיוק את התחושות שלי, רק בהרבה יותר חדות. |
|
||||
|
||||
אני מידי פעם אומר לעצמי את אותו הדבר לגבי אתאיזם1, אבל ההרגשה עוברת בסוף. אם נזרוק את העמדה שלנו לפח, כל פעם שנגלה שאנשים מעלים טיעונים גרועים לחיזוקה, נשאר תמיד חסרי עמדה. זריקת בוץ בפרצופו של שטרית, ללא ראיות, זה אכן טיעון גרוע. למרות זאת, הטיעונים שמעבירים ביקורת על אופן התנהלות הוועדה, על חוסר הביקורת ועל ההצבעות פה אחד (שזה הפה רק של שטרית) הם טיעונים לגיטימיים ותבוניים, גם אם אתה חולק על תוכנם. לא צריך להתנגד לחוק על מנת לחשוב שמשהו לא ראוי מתרחש כאן: 1 חפש דיונים על דת באייל ותמצא גם לא מעט תגובות דביליות מהצד של ה"לא מאמינים". |
|
||||
|
||||
הסתכלתי על הלינק הראשון. סיבה 1 ("אין לי דרך להחליף את האצבע") היא דברי טעם, אבל היא תטל"א. הצעת החוק מדברת על הוספת נתונים בימוטריים לתעודת הזהות. זה אומר שיהיה יותר קשה לזייף תעודות זהות. אף אחד לא מציע לבטל את הסיסמאות לבנק או למשרד. כמו כן, הכותב מתעלם מכך שכן ניתן "להחליף" נתונים ביומטריים (במאגר ובתעודה) , בהנחה שמשתמשים בחתימות אלקטרוניות. הצעת החוק אפילו מתייחסת לחתימה אלקטרונית, אולם לא בצורה מפורשת מספיק. סיבה 2 ("הנתונים הביומטרים שלי רגישים מדי בכדי לתת אותם לרשויות") מעידה על כך שהכותב לא טרח לקרוא את הצעת החוק. עפ"י הצעת החוק, מאגר המידע הוא לא המידע הביומטרי (תמונת פנים, תביעות אצבעות) אלא של מאפיינים שמפיקים מהם על מנת לבצע זיהוי. ניתן לגנוב את המאפיינים, לא את המידע. המאפיינים לבדם לא מספיקים בשביל זיהוי - הגנב צריך לשחזר מתוכם תביעות אצבע/תוי פנים מתאימים, או להחזיק שבב פרוץ שיודע לשדר מאפיינים באופן ישיר - לחלוטין לא טריביאלי. בטח שהרבה פחות טריביאלי מזיוף תעודות זהות. ואם כבר, ניתן פשוט לחתום את המאפיינים השמורים במאגר המידע, באופן כזה שגם אם גונבים אותם, לא ניתן להשתמש בהם להזדהות - ראוי לתקן את הצעת החוק בהתאם. למעשה, הכותב אפילו מודע לכך (ראו את ההתייחסות ל-hash בסוף) מה שלא מונע ממנו לבלבל אותנו בטכניקות הפחדה. לגבי הסיפא ("זיהוי באמצעים ביומטריים אינו מושלם") - נכון, זהו אינו אמצעי קסם שיפתור את כל צרותינו בתחום זה. אז מה? לגבי http://ofek.biz/blog/archives/1175 - ככה עובד תהליך חקיקה בדמוקרטיה פרלמנטרית. עדיף להתייחס באופן ענייני לסעיפים בעייתים בהצעת החוק, ולא לתהליך. לא נכנסתי ללינקים האחרים. |
|
||||
|
||||
אולי זה נובע מבורותי בענייני מחשבים בכלל, ובענייני אבטחת מידע בפרט, אבל בכל זאת לא הבנתי למה סיבה 1 ("אין לי דרך להחליף את האצבע") היא דברי טעם. הרי החלפת הסיסמא איננה מטרה, אלא אמצעי. אמצעי להקטין את האפשרות שהסיסמא לדלוף למישהו אחר, והוא יעשה בה שימוש. אם המטרה הזאת מושגת באמצעים אחרים, למי אכפת שהסיסמא נצחית? |
|
||||
|
||||
יש לך שם משתמש ויש לך סיסמה. שם המשתמש שלך לא אמור להיות דבר סודי. לדוגמה: במקרים רבים אפשר להבין מהו מכתובת הדואר האלקטרוני. הסיסמה היא איזשהו סוד שאמור לשכנע את המחשב שאתה הוא אמנם דורון הגלילי (מ.ז. 012345678) ולא מישהו אחר. דליפה של שמות משתמשים יכולה ליצור בעיית פרטיות, אבל זה כבר סיפור אחר. אם הסיסמה דלפה (כי ראובן גילה אותה לשמעון, או כי פרצו לך לחדר וגילו אותה כתובה מעל המסך) אתה יכול להחליף אותה. ההנחה אינה שהסיסמה לא תדלוף אלא שאם היא תדלוף, המחיר של החלפתה נמוך. |
|
||||
|
||||
כן, את כל זה אני יודע. עכשיו, נניח שבמקום סיסמא אני צריך להכניס את דגימת ה DNA שלי. בעצם לא דגימה, אלא ריקמה חיה המכילה את ה DNA שלי. זיהוי פוזיטיבי חד חד ערכי. מה משמעות של "דליפת" הסיסמא הזאת? יבוא מישהו אחר עם פיסת עור שלי, ויזדהה במקומי? למה לכל הרוחות צריך להחליף את המנעול אם המפתח אינו ניתן לשכפול? |
|
||||
|
||||
ההנחה אינה נכונה. טביעת אצבעות ניתנת לשכפול. חתיכת סיליקון קטנה על היד, לדוגמה. |
|
||||
|
||||
ה"לחץ" האמור הוא הרצון להעביר את החוק במושב הנוכחי של הכנסת. אם רק השגיאות שהתגלו בו הן כה רבות, האם הוא לא דורש עיון מחודש? שאלה מעניינת אחרת: איך מבזרים את תהליך העיון בהצעת החוק? יש שלב בתהליך החקיקה (שני שלבים במקרה של הצעת חוק פרטית) שבו החוק עובר דרך ועדה לבחינה מסודרת של כל סעיף וסעיף. היו כאן ארבעה אזרחים שאכפת להם ויש להם ידע בתחומים הרלוונטיים. לכן הם טרחו להגיע לדיוני הוועדה. נתעלם לרגע מהעובדה שהם היו צריכים להשקיע יחסית הרבה זמן בעניין. הרי אמרנו שאכפת להם. הדיון בישיבת ועדה כולל, למיטב זכרוני, 20-30 אנשים. גם עם מספר כזה כבר לא פשוט לכל אחד להגיד את מה שהוא חושב על כל סעיף. אם תוסיף עוד אנשים לדיון, תקבל דיון לא יעיל. מהסיבה הזו רף הכניסה לדיון גבוה. אפשר לעבוד בצורה לא ישירה - לפנות לנציגים בכנסת או לנסות ליצור דיון ציבורי בסוגיה. אולם מה לגבי דיון ישיר בהצעות חוק ובסעיפיה? איך עושים דבר כזה מבחינה טכנית? |
|
||||
|
||||
אקדח שיורה רק אם בעליו אוחז אותו? התחברות למחשב לפי טביעת אצבע? לשכת העבודה? בהמשך הסרטון שמתחיל ב־mythbusters יש עוד כמה דוגמאות. אגב, האפשרות להחזיק hash של הנתונים בלבד הועלתה ונדחתה: כרגע השאלה היא הם לקבל את החוק כמו שהוא (ואולי לתקן בחקיקה עתידית) או לדחות אותו (לדיון נוסף?) |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |