לילה טוב אורח/ת
עכשיו בכלוב

מאגר ביומטרי

רז78{מלאך שחור}
לפני 11 שנים • 5 ביולי 2013
רז78{מלאך שחור} • 5 ביולי 2013
אז לדעתך המאגר של ה- FBI שמכיל מעל 100 מיליון רשומות של האמריקאים לא באמת קיים?

אף אחד לא שאל שם את האזרחים כמו שכאן לא באמת ישאלו, זאת המציאות.
http://www.alternet.org/story/153664/5_things_you_should_know_about_the_fbi%27s_massive_new_biometric_database

http://www.theinquirer.net/inquirer/news/2260217/epic-presses-fbi-for-access-to-biometric-database
timna
לפני 11 שנים • 5 ביולי 2013
timna • 5 ביולי 2013
רז78 כתב/ה:
אז לדעתך המאגר של ה- FBI שמכיל מעל 100 מיליון רשומות של האמריקאים לא באמת קיים?

אף אחד לא שאל שם את האזרחים כמו שכאן לא באמת ישאלו, זאת המציאות.
http://www.alternet.org/story/153664/5_things_you_should_know_about_the_fbi%27s_massive_new_biometric_database


אתה קורא את מה שאתה משתף? המאגר של ה-FBI מכיל תמונות וטביעות אצבע רק של אנשים שבוצעו להם בדיקות רקע או מי שנעצר בעבר. שוב, לא לכלל האזרחים.
רז78{מלאך שחור}
לפני 11 שנים • 5 ביולי 2013
רז78{מלאך שחור} • 5 ביולי 2013
Porza11 כתב/ה:
רז78 כתב/ה:
אז לדעתך המאגר של ה- FBI שמכיל מעל 100 מיליון רשומות של האמריקאים לא באמת קיים?

אף אחד לא שאל שם את האזרחים כמו שכאן לא באמת ישאלו, זאת המציאות.
http://www.alternet.org/story/153664/5_things_you_should_know_about_the_fbi%27s_massive_new_biometric_database


אתה קורא את מה שאתה משתף? המאגר של ה-FBI מכיל תמונות וטביעות אצבע רק של אנשים שבוצעו להם בדיקות רקע או מי שנעצר בעבר. שוב, לא לכלל האזרחים.


100 מיליון רשומות שכולם עברו בדיקות רקע או נעצרו בעבר, המון לא?
או שבעצם יש להם מקורות נוספים?

מה יותר הגיוני לדעתך?

(שליש מהעם האמריקאי - אם זה לא מאגר מידע אז מה זה?)
פייה{O}
לפני 11 שנים • 5 ביולי 2013
פייה{O} • 5 ביולי 2013
פורזה -
אני באמת לא מבינה ואשמח אם תסביר -
אם מייצרים תעודות ביומטריות איך המידע הזה לא נמצא כולו במאגר מידע כלשהו?
רז78{מלאך שחור}
לפני 11 שנים • 5 ביולי 2013
רז78{מלאך שחור} • 5 ביולי 2013
פייה כתב/ה:
פורזה -
אני באמת לא מבינה ואשמח אם תסביר -
אם מייצרים תעודות ביומטריות איך המידע הזה לא נמצא כולו במאגר מידע כלשהו?


שאלה שנשאלת על פי מה שאמרת על השמדת הנתונים אחרי יצירת התעודה:
מה שווה תעודה ביומטרית אם אין מול מה לאמת את זהות התעודה ואת זהות המחזיק?
מה תהיה הבעיה בעוד מספר שנים (או כיום עם המכשור המתאים) לזייף תעודה של אדם ולהכניס לתוכה את טביעת האצבע של האדם המחזיק אותה וכך לשכפל זהות?

ופורזה אל תדבר איתי על הצפנות, הצפנות קיימות כדי למנוע את קריאת התעודה על ידי לא מורשים לא כדי ליצור אותה מחדש.

אני אשמח אם תאיר את עיניי, תסביר לי מה אני מפספס.
James Bondage​(מתחלף)
לפני 11 שנים • 5 ביולי 2013
James Bondage​(מתחלף) • 5 ביולי 2013
רז78 כתב/ה:
שאלה שנשאלת על פי מה שאמרת על השמדת הנתונים אחרי יצירת התעודה:
מה שווה תעודה ביומטרית אם אין מול מה לאמת את זהות התעודה ואת זהות המחזיק?
מה תהיה הבעיה בעוד מספר שנים (או כיום עם המכשור המתאים) לזייף תעודה של אדם ולהכניס לתוכה את טביעת האצבע של האדם המחזיק אותה וכך לשכפל זהות?.


אם יש רצון (ואין במקרה של המאגר בארץ, אבל נניח תיאורטית שהיה), אז אפשר:

1. להכין את הנתונים בצורה דיגיטלית כלשהיא

2. לחתום עליהם בעזרת פונקציית ריבוב (hash) קריפטוגרפית, לדוגמא sha-512 שסביר שיש לה עוד איזה 20-30 שנה תוקף אמיו.

3. לחתום על תוצאת הריבוב באמצעות החצי הפרטי של צמד מפתחות פרטי-ציבורי, כאשר החלק הפרטי ידוע רק לרשות המנפיקה, והציבורי מפורסם בעיתונות. שיטת החתימה תהיה מהמשפחה של RSA, ElGamal, או Elliptic Curve בעלת אורך מתאים.

את תוצאות 1, 2, 3 רושמים על התעודה.

4. להשליך את הנתונים המקוריים (הערה לפייה: אם שומרים אותם, יש מאגר. אם לא שומרים אותם, יש רק תעודה).

5. אם רוצים, אפשר להכין מאגר של תוצאת הריבוב, שאין דרך לחזור ממנו לנתונים המקוריים -- אבל זה לא חיוני.

6. כדי לבדוק אם תעודה אינה מזויפת, בודקים את הריבוב, ואת החתימה על הריבוב. אפשר לעשות את זה ללא חיבור למאגר.

7. אפשר גם להשוות את תוצאת הריבוב למאגר, אם נשמר כזה בסעיף 5

פרופ' עדי שמיר ממכון וייצמן הציע עוד שיטות, אבל כבוד האפילו-לא-שר האידיוט מאיר שטרית מבין יותר טוב.

כל זה עונה רק לשאלה איך מוודאים מהימנות של תעודה קיימת. איך מוודאים זיהוי לצורך הנפקת תעודה היא בעיה לא פתורה (וגם לא ממש פתירה) לא משנה באיזה תעודות משתמשים.

ויסלח לי מי שחושב שאין מאגרים במדינות שרשמית אין להם מאגר, אבל אתם ממש נאיבים. ע"ע סנאודן.
רז78{מלאך שחור}
לפני 11 שנים • 5 ביולי 2013
רז78{מלאך שחור} • 5 ביולי 2013
James Bondage כתב/ה:
רז78 כתב/ה:
שאלה שנשאלת על פי מה שאמרת על השמדת הנתונים אחרי יצירת התעודה:
מה שווה תעודה ביומטרית אם אין מול מה לאמת את זהות התעודה ואת זהות המחזיק?
מה תהיה הבעיה בעוד מספר שנים (או כיום עם המכשור המתאים) לזייף תעודה של אדם ולהכניס לתוכה את טביעת האצבע של האדם המחזיק אותה וכך לשכפל זהות?.


אם יש רצון (ואין במקרה של המאגר בארץ, אבל נניח תיאורטית שהיה), אז אפשר:

1. להכין את הנתונים בצורה דיגיטלית כלשהיא

2. לחתום עליהם בעזרת פונקציית ריבוב (hash) קריפטוגרפית, לדוגמא sha-512 שסביר שיש לה עוד איזה 20-30 שנה תוקף אמיו.

3. לחתום על תוצאת הריבוב באמצעות החצי הפרטי של צמד מפתחות פרטי-ציבורי, כאשר החלק הפרטי ידוע רק לרשות המנפיקה, והציבורי מפורסם בעיתונות. שיטת החתימה תהיה מהמשפחה של RSA, ElGamal, או Elliptic Curve בעלת אורך מתאים.

את תוצאות 1, 2, 3 רושמים על התעודה.

4. להשליך את הנתונים המקוריים (הערה לפייה: אם שומרים אותם, יש מאגר. אם לא שומרים אותם, יש רק תעודה).

5. אם רוצים, אפשר להכין מאגר של תוצאת הריבוב, שאין דרך לחזור ממנו לנתונים המקוריים -- אבל זה לא חיוני.

6. כדי לבדוק אם תעודה אינה מזויפת, בודקים את הריבוב, ואת החתימה על הריבוב. אפשר לעשות את זה ללא חיבור למאגר.

7. אפשר גם להשוות את תוצאת הריבוב למאגר, אם נשמר כזה בסעיף 5

פרופ' עדי שמיר ממכון וייצמן הציע עוד שיטות, אבל כבוד האפילו-לא-שר האידיוט מאיר שטרית מבין יותר טוב.

כל זה עונה רק לשאלה איך מוודאים מהימנות של תעודה קיימת. איך מוודאים זיהוי לצורך הנפקת תעודה היא בעיה לא פתורה (וגם לא ממש פתירה) לא משנה באיזה תעודות משתמשים.

ויסלח לי מי שחושב שאין מאגרים במדינות שרשמית אין להם מאגר, אבל אתם ממש נאיבים. ע"ע סנאודן.


תודה על ההארה.
האמת, אחלה רעיונות, מבחינת זיהוי.
וצודק בקשר לאיך לאמת זהות לצורך הנפקה חוזרת... לא פתיר ללא מאגר.

--------------------
לציין שלצרפת יש תעודות זהות עם טביעת אצבע, רק שהם לא שמורות במאגר דיגיטלי אלא על גבי נייר בלבד, גם אופציה.
http://en.wikipedia.org/wiki/National_identity_card_%28France%29
פייה{O}
לפני 11 שנים • 5 ביולי 2013
פייה{O} • 5 ביולי 2013
ג׳יימס -
תודה על התגובה המפורטת.
לצערי לא הבנתי בערך 85% ממנה (אבל זה נשמע מאוד חושני).
אשמח אם תסביר לי במושגים של פרחת קניונים מהקריות:
אם יש לי תעודה ביומטרית ביד שמכילה נניח את כל הנתונים שיש בת.ז. + טביעות אצבע, זיהוי פנים וקשתית-
א. לא חייבים שאותו המידע שעל התעודה ישמר גם באיזשהו מאגר בשביל וולידציה לתעודה?
זה נועד (עקרונית) אך ורק לוודא שהתעודה באמת שלי?
אגב, כמובן שאין לי אמון לרגע בכך שיוציאו תעודות אבל לא ישמרו פרטים.
ב. מה קורה אם התעודה שלי מגיעה לידיים אחרות? ככה יש למישהו את *כל* המידע עלי, איך מונעים שימוש במידע הזה לרעה? (ואם זה לא אפשרי כיום, מי ערב שזה לא יהיה אפשרי עוד כמה שנים?)
timna
לפני 11 שנים • 5 ביולי 2013

תשובות לפיה ולמתעניינים

timna • 5 ביולי 2013
אכן תשובה מצוינת של ג'יימס.

רז, בתשובה לשאלתך/טענתך (אלא אם לא הבנתי אותה כשורה, ואז אתה מוזמן להסביר לי) - ההשוואה של נתוני התעודה נעשית רק מול הביומטריה האישית שלך - שוטרים ושאר פקידים הנדרשים לזיהוי, יצוידו בקוראי כרטיסים חכמים שיכילו גם סורק טביעות אצבע. במקרה של כשל בזיהוי (חתך באצבע, סורק דפוק וכו'), הם ישוו את תווי פניך לתמונה ששמורה בתעודה.

מה שג'יימס מציע דומה במובנים מסויימים להצעת שמיר, אבל הצעות כמו שלו ושל פרופ' שמיר, לא רק שלא נבדקו לעומקן על ידי שטרית וחבר מרעיו, אלא נדחו על הסף - המדינה רוצה מאגר, נקודה. עצם העובדה שלא נעשה שום דיון רציני בחלופות למאגר לצרכים המוצהרים לכאורה של מניעת זיוף, מעידה שבעתיים שהמדינה רוצה אותו לא לצרכים הלגיטימיים הללו, אלא לצרכים יותר אפלוליים של משטור ומעקב. וזה עצוב מאוד.

ורז, לעניין ההנפקה החוזרת, מה שמכונה בדיונים הרשמיים מניעת הרכשה כפולה - מעמד ההנפקה המקורי (שמתבסס על שאלון, מסמכי זיהוי קיימים וקלים לזיוף, מאגרי מידע קיימים וכו'), סובל מאותה רגישות של הנפקה חוזרת ללא מאגר - כלומר, שגניבת הזהות יכולה להתבצע גם שם, ואז שכרנו יצא בהפסדנו. לזייפן תהיה תעודה ביומטרית, שמוכיחה שהוא משה כהן. מה לדעתך אפשר לעשות לגבי זה?

והנה תשובות של יורם אורן מיודענו לחלק מהשאלות שעלו פה:
http://ira.abramov.org/blog/2010/01/27/some-tech-background-about-the-biodb-infrastructure/
timna
לפני 11 שנים • 5 ביולי 2013
timna • 5 ביולי 2013
פייה כתב/ה:

א. לא חייבים שאותו המידע שעל התעודה ישמר גם באיזשהו מאגר בשביל וולידציה לתעודה?
זה נועד (עקרונית) אך ורק לוודא שהתעודה באמת שלי?
אגב, כמובן שאין לי אמון לרגע בכך שיוציאו תעודות אבל לא ישמרו פרטים.
ב. מה קורה אם התעודה שלי מגיעה לידיים אחרות? ככה יש למישהו את *כל* המידע עלי, איך מונעים שימוש במידע הזה לרעה? (ואם זה לא אפשרי כיום, מי ערב שזה לא יהיה אפשרי עוד כמה שנים?)


פיה, לגבי שאלתך הראשונה - ראי תשובתי לרז. כל הרעיון הוא שישוו את זה מול מדדים ביולוגיים בגופך - תמונת הפנים שלך או טביעות האצבע. בישראל (בינתיים), לא אוספים תמונות רשתית תודה לאל...

בתשובה לשאלתך השניה, המידע על התעודה מוצפן על שבב המצויד בהצפנה חזקה שכוללת מנגנון "השמדה עצמית" אם מישהו מנסה לקרוא אותו. אם דעתם של מומחי אבטחה גדולים נחה מאיכות ההצפנה על התעודה, מי אני שאתלונן. בקיצור, מישהו יצטרך לעבוד מאוד קשה כדי להגיע למידע שבתעודה.

המאגר כמובן, סיפור אחר.