מאגר טביעות אצבע - סכנה לביטחון המדינה

אתמול פורסם בידיעות אחרונות כי 14 מדענים, ביניהם חתני פרס ישראל ומומחים להצפנה ואבטחת מידע, חתמו על עצומה המזהירה מפני אישור החוק שיצור מאגר של טביעות אצבע ותווי הפנים של כל האזרחים בישראל.

העצומה נשלחה לחברי הכנסת בימים אלה, בהם צפוי החוק לעבור לאישור סופי במליאה. פרופסור אלי ביהם, דיקן הפקולטה למדעי המחשב בטכניון ומומחה להצפנה ואבטחת מידע, מסביר כאן מדוע המאגר הזה מסוכן ואינו נחוץ.

בימים אלה נדונה בכנסת הצעת חוק המאגר הביומטרי, שמטרתה המוצהרת היא לאפשר למשרד הפנים ולגורמי אכיפת החוק לזהות אזרחים באופן אמין, ולפתור בעיות הנובעות מאובדן, גניבה וזיוף של תעודות זהות. עם זאת החוק המוצע במתכונתו הנוכחית יצור סיכונים לפרטיות האזרחים ולביטחון המדינה.

• חוק המאגר הביומטרי - הסיקור המלא
  

תעודות זהות חכמות - נחוצות

תעודות הזהות הקיימות ניתנות לזיוף בקלות רבה. ואולי חמור מכך, לא ניתנות לביטול לאחר אובדן או גניבה, ולכן יש להחליפן בתעודות מאובטחות בתקנים מודרניים. הצעת החוק

מציעה להשתמש בטכנולוגיית כרטיסים חכמים, שהם כרטיסי פלסטיק עם שבב אלקטרוני הכולל מחשב זעיר.

כרטיסים חכמים, מאפשרים להחזיק מפתחות הצפנה הנשמרים בסוד, כך שניתן להתקשר באופן מוגן אל המערכת המאמתת אותם. מקובל בעולם שכרטיסים חכמים הינם פתרון מקובל אמין ובטוח, שאינו ניתן לזיוף. לוּ תעודות זהות חכמות (ללא ביומטריה) היו מיושמות כבר לפני עשור, בעיית זיופי תעודות הזהות לא הייתה קיימת עוד.

אבל יצור תעודות בטוחות אינו מספק: בתעודות זהות כמו בכרטיסי אשראי, תעודה שאבדה או נגנבה חייבת להיות מבוטלת מיידית. היות שהתעודה היא בעצם המחשב או השבב האלקטרוני שבה, ולא ההדפסה היפה שבחוץ, הרי שקורא תעודות אלקטרוני יוכל לדחות תעודות שאבדו או בוטלו, באופן דומה לנעשה בכרטיסי אשראי, ואפילו יוכל להעביר לתעודות מבוטלות פקודות השמדה שתגרומנה להן לא להגיב עוד לעולם.

אבל הצעת החוק גם שותלת בתעודות מידע ביומטרי על טביעות האצבעות וזיהוי פנים אלקטרוני. מטרת הנתונים הביומטריים בתעודות היא שבנוסף לבדיקה אם התעודה לא מזויפת ולא מבוטלת מטעמי אובדן או טעמים אחרים, ניתן יהיה גם לוודא שמחזיק התעודה הוא אך ורק האזרח עבורו היא הונפקה, ושמתחזים לא יוכלו להשתמש בתעודות שאבדו או נגנבו.

אפשר גם ללא ביומטריה

נימוק זה הוא אמנם חשוב, אך אין צורך בביומטריה כדי למנוע שימוש בתעודה אבודה או גנובה. ניתן לוודא ללא כל ביומטריה שלכל אזרח תהיה רק תעודה תקפה אחת. כך הדבר נעשה על ידי חברות כרטיסי אשראי המשתמשות בכרטיסים חכמים, כשמתקבלת הודעה על אובדן כרטיס אשראי, וכך מבטלות חברות הטלפונים הסלולריים את כרטיס הסים שבטלפון עם קבלת הודעה על אובדן או גניבת טלפון.

הפצת טביעות אצבע - יסכן מערכות מחשב

לעומת זאת נזקיה של הביומטריה חמורים. קודם כל ברמת פרטיותו של האזרח. בנוסף, שימוש בטביעות אצבע נעשה מקובל לאימות כניסה למחשבו הנייד הפרטי של אדם. כך יוכל כל מחזיק בעותק של טביעת האצבע להיכנס למחשב הפרטי של אזרח ולשלוף ממנו מידע או לשנות בו את המידע כרצונו.

התוצאה תהיה שהאבטחה הנובעת מבדיקת טביעת האצבע לצורך כניסה למחשב לא רק לא תעזור, אלא אף תיתן מצג שווא של אבטחה שיוכל להיות מנוצל לרעה. שימוש בביומטריה של טביעת אצבע לצורך אבטחת מערכות מחשב, נעשה לא רק על ידי האזרח הקטן להגנה על עצמו, אלא גם במערכות ביטחוניות רגישות, כך שהפצת המידע הביומטרי תאפשר פריצה גם אליהן. אדגיש ואומר שהפצה והחזקה של תבניות טביעות אצבע על ידי אחרים מסכנות את בטיחותן של מערכות המוגנות על ידי טביעות אצבע, בפרט לאור העובדה שלא ניתן להחליף טביעות אצבע – כך שיכולת התקיפה של היריב נותרת לתמיד.

המאגר - סכנה לביטחון המדינה

הצעת החוק דורשת גם רכיב שלישי שהוא הבעייתי ביותר. הוא מנסה למנוע מצב שלאדם אחד יהיו שתי זהויות שונות, שתי תעודות זהות שונות, יצביע פעמיים בבחירות כשני אזרחים שונים, ויבצע שלל הונאות המבוססות על שתי זהויותיו.

רכיב זה הינו מאגר נתונים ביומטריים של כלל אזרחי המדינה, שיחויבו לתת את טביעות אצבעותיהם למדינה. מאגר כזה הוא חסר תקדים בעולם הדמוקרטי, ואין מדינה מערבית שמחזיקה מאגר כזה על אזרחיה שלה. הנזקים ממאגר כזה חמורים ביותר, ודליפתו של מאגר זה תפגע קשות גם באזרחים וגם במדינה.

לא אכחד: מאגר כזה יקל משמעותית על זיהוי אזרחים שאבדה להם תעודה, על יכולת זיהוי של אזרחים על ידי המשטרה ורשויות החוק, ועל תפיסת אזרחים בעלי שתי זהויות. יתרונות אלה חשובים לאותן רשויות ומקלים עליהן בעבודתן, אבל הם אינם משתווים לפגיעה בפרטיות האזרחים ולנזקים האחרים שעלולים להיגרם מקיום המאגר.

הדבר בעל משמעות חמורה ביותר לביטחון המדינה – כל מדינת אויב תרצה עותק של המאגר שיאפשר לה לבדוק האם אדם הנכנס אליה הוא אזרח ישראלי. אם יהיה להם עותק, כל אזרח, עיתונאי או מרגל ישראלי שיגיע למדינת האויב עם דרכון זר - יזוהה מיד כישראלי על פי טביעות אצבעותיו, ולכן מיד ייחשד כמרגל.

מאגר זה גם יאפשר לאויב לייצר זיופי טביעות אצבע שישכנעו את ביקורת הגבולות ומשרד הפנים בדבר אזרחותו הישראלית של כל מרגל זר. וגם ארגוני טרור ישמחו להשתמש בנתונים הללו, למשל, לזיהוי חיילים שהשתתפו בפעולות צבאיות כנגדם - צריך לזכור שהמאגר, מכיל גם מידע על תווי פנים ולא רק טביעות אצבע.

אנשים פרטיים וגופים אזרחיים ואף מערכות ביטחוניות מגנים על הכניסה למחשביהם על ידי ביומטריית טביעות אצבעות. דליפת המאגר הביומטרי תגרום לאיבוד מיידי של כל האבטחה, ותאפשר לכל אחד להיכנס למחשבים האישיים או הביטחוניים המוגנים כך.

דליפת המאגר - אסון בלתי ניתן לתיקון

רשויות אכיפת החוק יוכלו כנראה להיכנס כך למערכות אישיות גם ללא דליפה. גם היכולות שאינן בתחום אבטחת המחשבים חמורות ביותר, כולל יכולת המעקב אחרי אזרחים באמצעות מצלמות אבטחה וזיהוי פנים, וגם על ידי בדיקת טביעות אצבעות במקומות פרטיים או ציבוריים תוך זיהוי למי הן שייכות. וטרם הזכרתי את הסיכון של שינוי הנתונים

במאגר על ידי פורץ.

אני חוזר שוב שבניגוד לסיסמא במחשב, טביעות אצבע הן תכונה קבועה שקשה לשנות, כך שכל החסרונות הללו ורבים אחרים ימשיכו להתקיים כל עוד "דור המדבר" שטביעותיו במאגר ממשיך לחיות. דליפת המאגר תהיה פשוט קטסטרופה – אסון בלתי ניתן לתיקון.

לשקול שבע פעמים. ועוד שבע.

כל זה היה חמור קצת פחות אם ניתן היה להבטיח בוודאות מוחלטת, שהמידע מהמאגר לא ידלוף לעולם, ושישמש רק לצרכים להם נועד במקור. אבל אין דרך מושלמת להגנה על מידע, המבטיחה הגנה בכל מצב, ובמיוחד כשהמידע נמצא בשימוש יומיומי. דליפת מידע מאובטח מגופים אזרחיים וביטחוניים בעולם אינה מחזה נדיר.

במצב בו תהיה מוטיבציה רבה לדליפת המאגר, הסיכוי לדליפה בדרכים טכנולוגיות או אנושיות יגדל מאד. אפילו אם הפורץ לא יפרסם אותו באינטרנט, ואפילו אם לא נדע על הדליפה, נזקי הדליפה, אם וכאשר תקרה, יהיו חמורים. ולכן יש לשקול שבע פעמים, ואחר כך עוד שבע פעמים אם אכן יש צורך אמיתי ועמוק במאגר כזה – כי מרגע שנוצר לא ניתן עוד להבטיח בוודאות שלא ידלוף ולא ניתן עוד להשמידו באופן וודאי.

דווקא מדינת העם היהודי?