כרגיל, ב"מעצמת ההיטק העולמית" (להלן ישראל) , אנחנו ידועים ביצירתיות שלנו .. וביכולת שלנו לחתוך פינות, לעגל קצוות ולקצר תהליכים .
ב"מעצמה" הגיעו למסקנה שצריך להחלף את תעודות הזהות של האזרחים – אבל בגלל דחיות של 10 שנים … או קצת יותר . הבינו במשרד הפנים של המעצמה שיש בעיה .
הפתרון הגיע ממקור יצירתי לחלוטין, מדינות שונות , בכללן ארה"ב ובאירופה, החלו לחשוב בכיוון של דרכונים ביומטרים .
או מה טוב, אמרו אצלינו …. ניקח את העבודה שה"פריאריים" (דהיינו האנשים באירופה וארה"ב) עשו ובמקום לבנות ולהתאמץ בנושא של תעודות הזהות הישראליות – נאמץ את התקן של הדרכונים …
יותר טוב, נמכור את הכל ב"עסקת חבילה": דרכונים + תעודות … ו… ונוסיף גם מאגר ביומטרי.
“זה יפתור לנו את כל הבעיות מכל הכיוונים" – חשבו אותם חכמים בלשכות שלהם בירשלים בירת ה"מעצמה" ..
מה שהם לא העלו בדעתם הוא שהארופאים, ושאר האנשים שעסקו בתקינה, לא בנו כלל את התקן (ISO7501 כמדומני ) בכדי לטפל בתעודות זהות – או במאגר .
אז נכון , הבריטים חשבו בכיוון – אבל הבינו את הטעות והפסיקו . הגרמנים פועלים בכיוון – אבל אצל הגרמנים אין תעודות זהות ..
וכאן בעצם נולדת הפרצה שיש במאגר הביומטרי .
על פי החוק, המדינה רוצה לקבל מהאזרחים 3 נתונים ביומטריים , אותם היא תטמיע בתעודת הזהות וגם תאגור אותם .
המדינה רוצה "לרקוד על כל החתונות" ולמעשה משתמשת בכך שיש היום תקינה של דרכונים ביומטריים.
כך שבעצם המדינה לוקחת את אותם הנתונים הקיימים בדרכון , ומטמיעה אותם אל תעודת הזהות .
בנוסף לכך היא מנהלת מאגר של מידע שבו היא שומרת את המידע הביומטרי .
יש לשים לב.
מדובר במסמכים על תקן ISO 7501 או על מסמכי החלטה של האיחוד האירופי בדבר מסמכי נסיעה (דרכונים) – אולם תקנים אלו לא מדברים על שימוש במידע זה גם בתעודות זהות וגם במאגר (למרות שלעיתים מדובר על מאגר מרכזי כאחד מאמצעי האימות האפשריים ) .
ה"פריצה" שיש במאגר היא בעצם קיומו ויוסבר.
במדינות אחרות , מנפיקים דרכונים ביומטריים ולא שומרים את המידע הביומטרי במאגר מרכזי – כלומר, לו אני מחר בעל כוונות פליליות, או אחרות – אני לכאורה יכול להתחיל ללקט מידע ביומטרי ע"י הפעלת סורק על הדרכונים , יצויין שבדרכונים , על פי התקן קיים שבב אלחוטי – כך שלא צריך כלל לבצע משהו אקטיבי על מנת למשוך את המידע – אלא פשוט אם יש לאדם את הציוד המתאים הוא צריך שהדרכון של הקורבן יעבור ליד סורק , או אז הוא יכול לשאוב ממנו את הנתונים .
המידע שיש על פי התקן , בשבב שיימצא בדרכון, צריך להיות בר חילוץ על ידי ממשלות אחרות, כלומר, לו בידי יש דרכון כאמור ואני נוסע עתה לאנגליה, והשלטונות האנגליים רוצים לוודא שאני אכן בעל הדרכון , הם אמורים להיות בעלי יכולת להוציא את המידע מהשבב ולבדוק אותו מולי – כך על פי התקן .
המשמעות היא שאי אפשר להשתמש במפתח הצפנה חיצוני ישראלי בלבד, אלא מנגנון הפתיחה למידע צריך להיות על הדרכון עצמו – כך שכל מדינה שתרצה בכך תוכל להוציא את המידע מתוך השבב בדרכון שלי .
כך לגביי תמונת הפנים, וטביעות האצבע שיהיו בדרכון .
כספת פירצה קוראת לגנב וגנב, כשקוראים לו …. בא :
עכשיו נניח שברצוני לגנוב בצורה כאמור את כל המידע של אזרחי גרמניה, או של מספיק אזרחים גרמניים.
כל מה שעליי לעשות הוא לעמוד עם סורק באיזור שבו הם עוברים עם הדרכון שלהם (רשויות הפנים הגרמניות או נמל התעופה ) וללקט את המידע מהדרכונים .
בשבב שבדרכון קיים MRZ אשר ניתן לקרוא אותו באמצעות סורק .
נניח שבמהלך יום אחד אוכל לאסוף X נתונים . ככל שיהיו לי Y אנשים ו Z ימים , כמות הנתונים שנאסוף היא XYZ .
כלומר, בסופו של דבר, יהיו לי נתונים , אבל אז אני צריך לשאול את השאלה, במה יעזרו לי נתונים אלו כאשר לגרמניה אין "כספת" נתונים כאמור והממשלה הגרמנית לא נסמכת על המידע הזה בכדי לנהל את חיי האזרחים .
כלומר – איסוף המידע הנ"ל , יעיל ככל שיהיה לא יהיה מועיל לשימוש (הוא יהיה מועיל במידה מסויימת אבל לא במידה רבה). כלומר מדובר בבנק שאין בו "כספת" מרכזית אלא שהמידע מבוזר .
אבל .. במדינת ישראל, כן תהיה "כספת" יותר מכך , במדינת ישראל קיימת גם אפליקציה (תעודות הזהות) אשר נסמכת על המידע בכספת וחיי האזרחים מנוהלים על פיו, כאמור, ולפיכך במדינות שיהיה להן מאגר ביומטרי והן יסמכו את ידיהן על המידע במאגר – כן יש אינטרס לללקט את המידע ולבנות מאגר מקביל .. (גם אם הוא על חלק מהאוכלוסיה ולא על כולה) .
כלומר הכשל נוצר בשילב של דרכונים + מאגר +תעודות זהות , הוא בעצם קיום המאגר וההסתמכות עליו בתהליכי זהוי (תעודות הזיהוי ) .
יש לשים לב, כי הבעיה היא תוצאה משילוב של שלושת הגורמים.
בגרמניה, לדוגמה, אין תעודות זהות.
במדינות אחרות, אין מאגר מרכזי.
והבעיה נוצרת כאשר יש תעודות זהות + מאגר מרכזי , שאוגרים את המידע שיש בדרכונים הביומטריים +השבב האלחוטי שיש בהם (על פי התקן).
אם עד היום דובר תאורטית על דליפה של מידע (מלא או חלקי), הרי שאם בודקים את אותם תקנים ומסמכים המתייחסים למסמכי נסיעה (דרכונים), מגלים שהם נוצרו מתוך מחשבה שלא קיים מאגר מרכזי ושלא נעשה שימוש יומיומי שהמדינה נסמכת עליו , עם נתונים אלו.
דברים שבשיטה הישראלית – משולבים יחדיו במארג של: דרכונים + תעודות זהות + מאגר .
כלומר אצלינו מעגלים פינות ומקצרים תהלכים , ומוכרים סיפורים לציבור כדי שזה יעבור .. אבל דבר אחד בסיסי לא בדקו "זה ייכנס בתוך זה ? “ ..
הסיר והמכסה במקרה הזה לא מתאימים ואסור להכפיף את התעודות זהות , הדרכונים (ושומו שמיים המאגר) לאותו מידע .
לינקים וקישורים:
1. מסמך שעל פיו נבנה התקן (חופשי להורדה).
2. התקן ISO7501 (המסמך בתשלום).