|
||||
|
||||
1. לא קראתי את הפרוטוקולים אבל זה לא כל כך פשוט. כדי להשוות שני נתונים באמצעות פונקציית גיבוב, הם צריכים להיות זהים לגמרי. זה לא קורה כשלוקחים טביעות אצבע, כל פעם מקבלים מידע קצת שונה, כך שפונקציית גיבוב כשלעצמה לא עובדת. יש פתרונות מתמטיים שמאפשרים לגבב מידע בצורה שמאפשרת השוואה "בערך", אני לא יודע אם זה יכול לעבוד בפועל לטביעות אצבע, ובנוסף כנראה שזמן הריצה של חיפוש יתארך משמעותית (כנראה שצריך לעבור על כל המאגר בשביל לחפש התאמה). 2. לא משנה איך המאגר ימומש, אם הוא ידלוף לאינטרנט יהיה אפשר לעשות בו לפחות את אותו שימוש שהמדינה עושה: לוודא שאדם פלוני נמצא במאגר ולאחזר את הרשומה שלו. 3. הפתרון של עדי שמיר ("שיטת המגירות") הוא יותר "לואו טק" ולהבנתי נועד בעיקר לאפשר "ספק סביר". כלומר אם המשטרה מצאה טביעת אצבע בזירת פשע, היא יכולה להתאים אותה לקבוצה של 100 איש. סביר מאוד להניח שקל לשלול 99 מהם וכך אפשר להגיע לחשוד האמיתי, אבל אם אין להם שום מושג, קשה "להדביק" אשמה על מישהו. 4. המשפט שהופיע בתגובה 617666 "המאגר מוגן ב- RSA, אך ממציא RSA חושב שהוא לא בטוח" הוא דמגוגיה. בסופו של דבר שיטת ההצפנה RSA היא מרכיב מאוד קטן במערכת הכוללת (למרות זאת, פרופ' שמיר הוא באמת גאון עולמי וההבנה שלו במערכות הצפנה היא פנומנלית, בלי קשר ל- RSA). |
|
||||
|
||||
1. בתגובה 593927 יש קישור למאמר בנושא, אתה מתייחס לשיטות שהוזכרו בו? (לא קראתי את המאמר עצמו) חוץ מזה המאגר לא כל כך גדול. |
|
||||
|
||||
כן. זה אני שכתבתי את התגובה ההיא (אבל לא את המאמר!). |
|
||||
|
||||
> 4. המשפט שהופיע בתגובה 617666 "המאגר מוגן ב- RSA, אך ממציא RSA חושב שהוא לא בטוח" הוא דמגוגיה. לצטט לא נכון ולהוציא דברים מהקשרם זה הרגל קבוע שלך, או שרק אני זכיתי בכבוד? |
|
||||
|
||||
נראה לי שאתה הוא זה שהכנסת את RSA לדיון. נמחק את המילה "דמגוגיה" ונסכים על כך שמדובר על חוסר דיוק? מהסיבה הזו הוספתי פרטים על עמדתו של שמיר בתגובתי לאותה תגובה. אם זה לא ברור, שמיר לא חולק על הפרטים הטכניים של פרוטוקולי ההצפנה שבשימוש. החוק לא מפרט את הפרוטוקולים ובאותו שלב עדיין לא היה מימוש. רק כיום יש מימוש1. שמיר מדבר כאן בתור מומחה לאבטחת מידע4 ולעניות דעתי רוב המומחים בתחום בארץ היו עם דעות דומות שלב (באותו שלב: כאשר הנושא היה בכותרות והיה דיון ציבורי ער). 1 בעניין המימוש: הודלף לא מזמן דו"ח של חברת אבטחה שנשכרה על מנת לבדוק את אבטחת המאגר לקראת תחילת הפיילוט (אני מתעצל לחפש קישורים). הכותרות שהיו בעיתונות על הדו"ח היו קצת מטעות: בדיקת אבטחה כזו היא נוהל מקובל. הליקויים שנמצאו היו ענייני מימוש ולא ענייני תכנון מהותיים2. הכותרות היו על הפגמים שנמצאו. אולם הבעיה היותר מהותית הייתה שתיקונן של כמה מהבעיות נדחה בגלל שאי אפשר כבר לדחות את הפיילוט. 2 כלומר: לא בעיות חדשות שלא היו ידועות קודם לכן. 3 למרות זאת אין שם טעות בשל מה שציינתי בפסקה הקודמת. 4 יש חפיפה לא רעה בין שני התחומים. או ליתר דיוק, מומחי הצפנה נוטים להיות גם מומחים באבטחת מידע. הדוגמה הידועה ביותר היא ברוס שנייר. |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |