|
||||
|
||||
לאיזה ענן אתה מתכוון? אולי ל-photos.google.com? אתה מניח שממשלת ישראל תאפשר לגוגל להשתמש בנתוני המאגר הביומטרי, כדי לתת הרשאות כניסה לאזרחי ישראל? |
|
||||
|
||||
לא, איבדת אותי. אני מניח שבגרסת 2018 של הטלפון החכם שלך והbrowser שלך כניסה מאובטחת לענן של גוגל/אמאזון/דרופבוקס/וכו' על ידי דגימת הרשתית שלך כבר יהיה סטנדרט (או הרבה לפני זה). |
|
||||
|
||||
אם לכל החברות הבינלאומיות יהיו מאגרים ביומטריים, מדוע המאגר הישראלי מדאיג אותך? ואם הנתונים הביומטריים נועדו לאפשר לך להפעיל את הטלפון שלך, ואז הטלפון מאשר לענן את זהותך בלי לשלוח נתונים ביומטריים, אז בעל ההרשאה האמיתית הוא הטלפון. מספיק לגנוב ממך את הטלפון, ולעקוף את המנגנון שמונע כניסה. אני לא הייתי מתקין בטלפון שלי אפליקציה שמאפשרת לגשת למידע או לחשבון בנק בלי סיסמה שרק אני יודע, או בדיקה שמתבצעת מחוץ לטלפון. |
|
||||
|
||||
א. כבר פירטתי לאורך הפתיל, אולי מול אריק, למה אני סומך על גוגל יותר מאשר על משרד הפנים הישראלי. ב. גוגל לא צריכה מאגר ביומטרי כדי לזהות אותי. יש שיטות הרבה יותר מתוחכמות, כמו פונקצית הצפנה לטביעת האצבע שלי שמאפשרת לגוגל להשוות אותה לסימן מוצפן שאינו כולל כלל את טביעת האצבע עצמה (משהו בסגנון rsa). ג. לא, הטלפון לא מאשר, הטלפון סורק את טביעת האצבע שלי. לצורך הענין אני יכול להיכנס גם מטלפון אחר, אז המכשיר עצמו לא מקרב אותך ולו כזית לפריצת חשבון הענן שלי. ד. כמה מוזר ההיפוך הלוגי הזה - פתאום אחרי שנים שטביעת אצבע או עין או כל נתון ביומטרי אחר נחשבות להרבה יותר בטוחות מהסיסמה שלך שבטח דומה עד כדי שני סמלים לעשרות הסיסמאות האחרות שלך, אתה פתאום טוען שסיסמה יותר בטוחה מטביעת אצבע? אני לא קונה את זה. עבור 99 אחוז מהאנשים זה לא משקף את המציאות. לגנוב את הסיסמה שלך יותר קל פי אלף מלגנוב את הנתונים הביומטריים שלך - כל עוד הם לא שמורים במאגר. |
|
||||
|
||||
1. אתה לא צריך לסמוך רק על גוגל. אם אתה חושב שזיהוי ביומטרי יהיה אמצעי סטנדרטי לצורך הרשאה, אז אתה צריך לסמוך על הרבה חברות - ולא על המאגר הישראלי. 2. לפי מיטב הבנתי קיימות שתי אפשרויות: האחת היא שהטלפון משווה את סריקת טביעת האצבע שלך לנתון פנימי, ואז מאשר את זהותך לנותן השירות אם תוצאת ההשוואה קרובה מספיק. במקרה זה, אין צורך במאגר ביומטרי, אבל האקר ששולט בטלפון יכול להתחזות ולהכנס במקומך. האפשרות השניה היא שהטלפון מפיק ממך את הנתון הביומטרי, ומתרגם אותו לנקודה במרחב מטרי שנקרא לה אידקס. שולח את האינדקס לנותן השירות כשהוא מוצפן במפתח ציבורי של נותן השירות. נותן השירות מפענח את האינדקס המוצפן באמצעות המפתח הפרטי שידוע רק לו. ואז - זה השלב הקריטי - מוצא במאגר האינדקסים שמאוחסן אצלו, את האינדקס הקרוב ביותר לאינדקס שנשלח ע"י הטלפון. מאגר האינדקסים הוא מאגר ביומטרי, שיכול לדלוף בדיוק כמו המאגר הממשלתי. הנקודה היא שהסריקה הביומטרית אינה נותנת תמיד בדיוק אותה תוצאה, אלא כמה מדידות נותנות מקבץ של תוצאות קרובות באותו מרחב מטרי שהזכרתי קודם. לכן חשוב שיהיה מרחב שבו אפשר למדוד מרחק. אתה לא יכול לאכסן את האינדקסים שבמאגר מוצפנים באמצעות פונקציית hash כפי שעושים עם סיסמאות, מפני שפונקציות hash אינן שומרות מרחק. אני חייב להודיע שאני לא עוסק בקריפטולוגיה (קריפטוגרפיה) או אבטחת מידע, וההסבר המלבב מבוסס על זכרונות מהקורס "מבוא לקריפטולוגיה" (אם אני זוכר נכון את שם הקורס). יתכן שהמחקר גילה דברים שאני לא יודע, ומי שכן יודע, מוזמן להתיחס. 3. הבעיה עם סיסמאות היא רשלנות אנושית, ושימושיות נמוכה. אנשים בוחרים את הסיסמה 1234 או וריאציה על מספר תעודת הזהות, או שם, או תאריך לידה, ואז אם אתה תוקף קבוצה גדולה של בעלי סיסמאות תצליח לנחש כמה מהן באנומרציה קטנה בהרבה מגודל מרחב החיפוש התאורטי. הקלדה ושמירה של סיסמאות ארוכות ורנדומליות היא בעייתית בלשון המעטה, ונותני השירות לא רוצים להבריח לקוחות. זו פשוט פשרה בין שימושיות ובטחון. כדאי להם להבטיח לך שלא תישא בנזק במקרה של פריצה. לכן אתה יכול להשתמש בכרטיס אשראי, שהוא מועמד טבעי לאבדן או גניבה, בדרך כלל ללא בדיקת זהות, וללא חשש. אם יש לך מידע, או שירות חיוני שפריצה אליו תגרום לשמיים ליפול עליך - כפי שאתה חושש - אתה צריך לבחור לעצמך סיסמא רנדומלית וארוכה, או לוותר על השירות ולשמור את הנתונים ברשותך. |
|
||||
|
||||
2א. הטלפון משווה את טביעת האצבע שלי לנתון פנימי. איך לעזאזל האקר שאין לו את טביעת האצבע שלי יכול לעבור את ההשוואה הזאת? 2ב. מאגר האינדקסים הוא לא כמו מאגר ביומטרי, כי גם אם תשיג את האינדקס שלי, לא תוכל להיכנס לחשבון שלי. כי כדי להיכנס אתה צריך את טביעת האצבע, לא את האינדקס. (ולהזכירך שהאינדקס שהופק מטביעת האצבע לא זהה לזה ששמור במאגר, אלא זהו האינדקס ש*מתאים* לזה שבמאגר, מתאים במונחים של התאמה קריפטולוגית כלשהיא). אני מסכים שיש פה איזה בעייה טכנית של הפיכת סיגנל "אנלוגי" כמו טביעת האצבע למפתח ערבול דיגיטלי, אבל זאת בעייה טכנית שבטוח שאפשר לפתור (מטריקה בלה בלה קלסיפיקציה בלה בלה רשת נירונים עמוקה בלה בלה, ובסוף זה יסתדר). אני מסכים לגבי התיאור שלך לגבי סיסמאות, אבל זה המצב ומסיבות מוצדקות. וקל הרבה יותר לגנוב סיסמה מלגנוב טביעת אצבע. תחשוב במונחי כמות אינפורמציה שמוכלת בשתיהן. ובואו לא נדבר במונחי שמיים נופלים. זה איש קש. הזכות לפרטיות לא חייבת פצצה גרעינית במרתף כדי להצדיק את עצמה. וכמו כל דבר אחר, המידע עליך לא מזיק כל עוד הכל בסדר, אבל ברגע שלא הכל בסדר ומישהו מנסה להתנכל\להפליל\לעשות שיימינג\להרוס לך את המוניטין, פתאום המידע הזה יכול להפוך לשמיים נופלים. למה לדעתך אסור למשטרה במשורים דמוקרטיים לצותת לכל שיחות הטלפון שלך? הרי, כמו שאומר אריק, אין לך שום דבר להסתיר ואין לך ממה לחשוש. אז מה, זה הופך ציטוט קולקטיבי גורף לתקין? |
|
||||
|
||||
2א. האקרים (הטובים שבהם כמובן) מומחים בניתוחי מעקפים. הם מריצים על המטרה שלהם דיסאסמבלר, מזהים את הנקודה שבה המתכנת קורא לפונקציה שבודקת הרשאה, ושותלים פקודת הסתעפות (branch), שגורמת לכך שכלל לא מתבצעת בדיקה. כלומר האפליקציה מאשרת את זהות המשתמש בלי לבדוק כלום. אני לא אומר שקל לעשות זאת, אבל מאחר שיש הרבה קבוצות האקרים... מדי פעם מישהו מצליח. 2ב. אם אתה יודע את האינדקס, אתה מצפין אותו, ושולח למפעיל השירות. (אם אתה האקר טוב). אני חושד שלא הבנת את ההסבר שלי. תקשיב, להתנגד למאגר שכשלעצמו אינו מכיל כלל מידע מביך, בשעה שכל כך הרבה מידע אישי באמת נמצא במאגרים ממשלתיים; בתי משפט מאשרים למשטרה לגשת למידע, לערוך חיפושים והאזנות סתר, הכל במעמד צד אחד וכמעט באופן אוטומטי - זו פשוט פרנויה לא הגיונית לחלוטין. |
|
||||
|
||||
בבייג'ינג מתקינים מערכות לזיהוי תווי פנים בשירותים ציבוריים למניעת גניבות של גלילי נייר טואלט. רק מי שפניו זוהו, והוא לא מבקר תדיר, והמתין 9 דקות בין כניסות לשרותים, מקבל 60 ס"מ נייר, . |
|
||||
|
||||
מסכנים תאומים זהים שיצאו לטיול ביחד |
|
||||
|
||||
א. נראה לי שזה איש קש. אם לשיטתך האקר העל הזה יכול לשבור כל מערכת זיהוי על ידי עקיפת המנגנון, זה מנטרל את כל הדיון. אתה טוען שאי אפשר להצפין כלום, ולכן כל השיטות שקולות יעילות באותה מידה. אז מלבד זה שזה לא נכון, מה זה תורם? הבה נזרוק את כל המנגנונים האלה לפח ונפסיק לריב על מאגרים ביומטריים ותעודות זיהוי חכמות. ומעבר לזה שיש הבדל בין האקר על יקר ונדיר לבין כל פורץ טמבל שמקבל את המאגר במחיר קטן ומשתמש בו לצרכיו, התיאור שלך קצת נאיבי. אפשר לבצע את כל הזיהוי הביומטרי שיתרחש ברמת החומרה של הטלפון, בלי שום אפשרות למעקף תוכנתי בדרך. ב. נראה לי שאתה לא הבנת. אם אין לך את טביעת האצבע, אתה לא יודע את האינדקס, כי הוא לא נמצא בשום מאגר. הקוד אצל מפעיל השירות איננו האינדקס (או האינדקס המוצפן לצורך זה), הוא קוד שונה לחלוטין שאלגוריתם הפענוח יודע לפעול עליו ועל האינדקס יחדיו ולהוציא תוצאה "מתאימים" או "לא מתאימים". אבל ברור מאליו שמי שיודע את הקוד אצל המפעיל לא יכול להסיק ממנו את האינדקס, זה אלף בית בהצפנה, וודאי בהצפנת מפתח ציבורי. ושום האקר לכן לא יכול לפרוץ את הטלפון שלך בצורה הזאת. בדיוק בניגוד לשיטה המוצעת של המאגר, שנותנת לו את טביעת האצבע שלך על מגש של כסף. ולסיום, אתה לא מבדיל בין פעולת ציתות שדורשת אישור בית משפט, מושחת ככל שיהיה, להאזנה רציפה על ידי כל מאן דבעי על הטלפון שלך? ברצינות? |
|
||||
|
||||
א. אפשר להוכיח זהות, אבל אתה זקוק לסוד שרק אתה יודע אותו, ולגורם חיצוני שיכול לאשר שהוכחת שאתה יודע את הסוד. הסוד יכול להיות סיסמה, מפתח פרטי או זיהוי ביומטרי. הגורם החיצוני חייב להיות מחוץ להישג ידו של היריב. הנחת העבודה צריכה להיות שהיריב שולט במחשב שמבקש גישה לשירות המאובטח. אם אין גורם חיצוני, היריב יכול לעשות כרצונו. נניח שיש אפליקציה שמאפשרת כניסה לחשבון בנק ללא סיסמה, ומסתמכת רק על בדיקה מקומית של זיהוי ביומטרי (או בדיקה מקומית של סיסמה, זה לא משנה). אתה מציע שהבדיקה תעשה בחומרה. אבל החומרה לא יכולה לדעת באיזה שירותים אתה משתמש, ולא יודעת איך להציג את חווית המשתמש שלהם, נכון? בשביל זה יש אפליקציות שונות לבנק, לאוניברסיטה, לקופת חולים. איך האפליקציה משתמשת בבדיקה המתבצעת בחומרה? היא קוראת לפונקציה של מערכת ההפעלה. בעיקרון הפונקציה מפעילה את דיאלוג הבדיקה מול המשתמש, ואת החומרה שסורקת ומשווה. בסוף היא מחזירה true או false. האפליקציה של הבנק קוראת לפונקציה של מערכת ההפעלה, אם הזיהוי הצליח מכניסה אותך לחשבון, ואם לא עושה משהו אחר. מה עושה עושה היריב? מוריד את האפליקציה של הבנק, מוצא את נקודת הקריאה לפונקציה של מערכת ההפעלה, ודורך עליה עם פקודת הסתעפות לנקודה שבה נמצא הקוד שמכניס אותך לחשבון. זהו. עכשיו הוא מפעיל את האפליקציה הפרוצה במחשב שלו, מכניס את מספר החשבון שלך, ונכנס לחשבון מפני שלא מתבצעת שום בדיקה. וזה לא הסוף. היריב מעלה את האפליקציה הפרוצה לטורנט כדי שכל אחד יוכל להתקין אותה ולהנות ממנה. ב. כתבתי כבר שאני לא מומחה לקריפטוגרפיה, ולא עוסק באבטחת מידע. אם אתה חושב שאתה צודק, תקשר למאמר מקצועי (אתה, או משתתף אחר). לפי עניות דעתי, פתרון כזה בלתי אפשרי עבור אינדקס שמיצג נתון ביומטרי. אסביר ביתר פרוט. פונקצית hash היא פונקציה שידוע אלגוריתם יעיל שמממש אותה, אבל לא ידוע אגוריתם יעיל שמממש את הפונקציה ההפוכה שלה. הפונקציה מקבלת מספר, שיכול להיות סיסמה, או מאמר שלם. הפונקציה מחזירה מספר שהוא בלוק ביטים באורך קבוע. ההנחה היא שאם ידועה תמונה של הפונקציה אי אפשר למצוא את המקור. כשאתה נרשם לשירות מסויים, אתה בוחר לעצמך סיסמה. הסיסמה נשלחת לשרת ושם היא מוצפנת בפונקצית hash. במאגר הסיסמאות יש רק תמונות של סיסמאות, ולא שומרים את המקור. מאוחר יותר, כאשר אתה רוצה להכנס אתה שולח את הסיסמה שלך. השרת מצפין אותה בפונקצית ה-hash, ומשווה לבלוק הביטים שהוא התמונה של הסיסמה שאיתה נרשמת. אם הסיסמאות שוות גם התמונות שוות, וכך אפשר לאשר את זהותך בלי לשמור את הסיסמה שלך במאגר. נניח שהיריב (ההאקר) הצליח להשיג את המאגר. הוא לא יכול להשתמש בו כדי להשיג את הסיסמה שלך, מפני שהוא לא יכול לחשב את הפונקציה ההפוכה. בלי הסיסמה הוא לא יכול להכנס לחשבון מפני שהסיסמה עוברת את טרנספורמצית ה-hash בצד השרת. חייבים לשלוח את הסיסמה כדי שתהליך הזיהוי יצליח. לפונקציות hash יש תכונה שהשינוי הזעיר ביותר בקלט משנה לחלוטין את הפלט. אתה לוקח מאמר שלם, משנה בו אות אחת, וה-xor בין שתי התמונות של שתי גירסאות המאמר, הוא בלוק ביטים רנדומלי. התכונה הזו מתאימה לסיסמאות שהן או נכונות, או לא נכונות. נתון ביומטרי הוא "בערך", הוא "קרוב". אתה צריך למדוד מרחק בין שני אינדקסים ולהחליט עם הם קרובים מספיק כדי להתיחס אליהם כשווים. הפעלת פונקצית hash תהרוס את תכונת הקירבה. לכן חייבים להשוות אינדקסים, ולכן גם אם המאגר מוצפן צריכה להיות אפשרות לפענח את ההצפנה. לכן מאגר שמאפשר זיהוי ביומטרי מוגן פחות ממאגר סיסמאות. ___ איך הגעת מפריצה למאגר הביומטרי, להאזנה לטלפון אני לא יודע. |
|
||||
|
||||
א. לא ענית על כל הפסקה הראשונה שלי, שהיא הטיעון העקרוני (האקר על עם יכולות בלתי מוגבלות כמו שאתה מתאר הוא איש קש שלא תורם לדיון). תקרא אותה שוב ותראה אם יש לך תשובה טובה. ב. זה כנראה לא טריוויאלי (גם אני לא מומחה הצפנה), אבל בהחלט יש כיוונים אפשריים. אפשר להתחיל מכאן, כשהתשובה השנייה נראית לי יותר מקצועית ומלמדת. משם אפשר להמשיך לכאן, כשהתשובה טוענת שזה קשה אבל עובדים על זה לא מעט (ויש שם הפניות למאמרים טכניים מפורטים יותר). כנראה שאחד המושגים הבסיסיים פה הוא fuzzy hashing, שעושה סוג של Hash ששומר על תכונת המרחק. השמירה הזאת מקלקלת חלק מהבטיחות כמובן, אבל גם על זה מישהו עובד. זה נראה לי מאמר מסכם לא רע שעובר על כמה שיטות בנושא. משם: VI. CONCLUSION הגעתי לאורך הפתיל, תקרא. השאלה הדומה היא "האם אכפת לך בכלל מפרטיות" או "למה אכפת לך שמישהו יצותת כל הזמן לטלפון שלך, אבל לא אכפת לך שלמישהו תהיה גישה לכל הנתונים הפרטיים שלך".
Privacy preservation in biometric based verification systems is a growing area of research with many challenges. This paper first outlined the basic framework and performance measures of PPBSs. Then it provided a comprehensive review of the existing PPBSs, including biometric encryption based schemes, cancelable biometric based schemes, multimodal and hybrid based schemes, and SC based schemes. The problems associated with the existing PPBSs were also summarized and discussed. Furthermore, we highlighted the challenges and future directions of PPBSs. It is hoped that the review and analysis presented in this paper can help and motivate researchers to develop more effective and efficient PPBSs in the future. _________ |
חזרה לעמוד הראשי | המאמר המלא |
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים | |
RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש | © כל הזכויות שמורות |