מאמר על ביומטריה

מי שקרא כבר בעבר את מה שרשמתי על כל מיני חוקים בייחוד כל נושא הזיהוי הביומטרי, יודע שאני בעד פרטיות ואינני רואה בזיהוי הביומטרי משהו מועיל, להפך אני רואה בו משהו שיכול להוות סיכון יותר מאשר תועלת.

נתקלתי במאמר בנושא לפני שבועיים, והחלטתי לתרגם אותו לעברית, למרות שיש כמה דברים שאיני מסכים עם המאמר, לדעתי כדאי לקרוא אותו. המאמר הוא של Bruce Schneier.

"ביומטריה נראת אולי חדשה, אבל היא אחת מצורות הזיהוי הישנות יותר שקיימות. נמרים מזהים אחד את השני ע"י חוש הריח. פנגווינים מזהים אחד את השני לפי הקול שהם משמיעים. בני אדם מזהים אחד את השני לפי מראה בחדר בו הם נמצאים, קולות בטלפון, חתימות על מסמכים ותמונות ברישיון הנהיגה.
טביעות אצבע נמצאות בשימוש בשביל לזהות אנשים שביצעו פשעים כבר למעלה מ100 שנים.

מה שחדש אודות הביומטריה הוא בכך שמחשבים מסוגלים כעת לזהות את טביעות האצבע, טביעות רשתית, טביעות קול ותבניות כתיבה. השימוש שנעשה בטכנולוגיה הוא גדול מאוד כאשר מנסים לגרוע את התופעות של זיהוי שגוי – False possitive (מישהו זוהה בטעות כאילו הוא אתה) וכן חוסר בזיהוי – false negative (אתה לא מזוהה בגלל שגיאה). באופן כללי, מערכת יכולה לבחור אחד מהשניים, את שניהם מאוד קשה להשיג בייחד.

הביומטריה יכולה לשפר מאוד את הביטחון, בייחוד כאשר יש חבירה של עוד סוג של זיהוי כדוגמת סיסמאות. עם כל זה, עדיין חשוב להבין את המגבלות בנוסף ליתרונות. בצד היתרונות, ביומטריה אינה פשוטה לזיוף. מאוד קשה ליצור טביעות אצבע מזויפות עבור טביעות האצבע של עצמך. גם קשה מאוד לאנשים להראות בתור אנשים אחרים. למרות שישנם אנשים אשר יודעים לבצע חיקוי לקולות, מאפרים יכולים לשנות את מראה הפנים של אנשים, אלו תכונות מיוחדות.

מצג שני, מאוד קל לגנוב ביומטריה. אנשים משאירים טביעות אצבע בכל דבר שהם נוגעים, וניתן לסרוק את הרשתית מכל מקום שאתה מסתכל עליו. האקרים מעתיקים בדרך קבע תדפיסים של טפסים רשמיים מאובייקטים שהם מעוניינים לגעת ושולחים אותם לרשת האינטרנט. אומנם עוד לא היה לנו דוגמא של גנבת ענק של מסד נתונים ביומטרי, אבל פעולה זו ניתנת לביצוע. המידע הביומטרי הוא חד חד ערכי, אבל הוא לא סוד.

מידע ביומטרי גנוב יכול "לעבוד" על מערכות. זה יכול להיות מאוד פשוט, מהעתקת חתימה והדבקה שלה בחוזה, ולשלוח את החוזה בפקס למישהו. הבן אדם שמקבל את הפקס לא יכול לדעת שהחתמה על החוזה אינה של הבן אדם ששלח לו את החוזה, היות והוא לא היה נוכח במקום החתימה כשזו הוכנסה למסמך. התחברות מרוחקת ע"י שימוש בטביעת אצבע אף היא מחמיצה את היכולת לזהות אם המשתמש הוא האדם האמיתי או לא. אין דרך לוודא שההדפס הגיע מקורא אמיתי ולא מקובץ מחשב. המערכת מאובטחת הרבה פחות.

דוגמא למערכת יותר מאובטחת היא להשתמש בטביעות האצבע לפתוח את הטלפון הסלולרי או המחשב שלך. בגלל שהדרך מקורא טביעות האצבע למערכת ששומרת את המידע יותר מאובטחת, התוקף לא יכול להזריק את המידע שנשמר בעבר בצורה פשוטה וקלה כדוגמת העתקה והדבקה של חתימה. התמונה בתעודת הזהות עבודת בשיטה זהה: מי שמוודא, מוודא לפי הפרצוף של מי שנמצא מולו.

טביעות אצבע בתעדות הזהות הן בעיתיות יותר היות והתוקף יכול לנסות ולשקר לקורא טביעות האצבע. חוקרים הצליחו ליצור טביעות אצבע מזוייפות תוך שימוש בחומרים כדוגמת גומי וגליצרין. בגלל זה יצרנים שיכללו את הקוראים שלהם לחפש גם דופק וסדקים בעור.

מה שנלמד מכך הוא שביומטריה עובדת בצורה מיטבית כאשר המערכת מסוגלת לזהות שהמידע הביומטרי מגיע מבן אדם בזמן ווידוא המידע. המערכות לזיהוי ביומטרי בשערים של מפקדות ה CIA עובדות בגלל שיש שומר עם נשק מפחיד שמנסה להבטיח שאנשים אינם מנסים לשקר לקוראים.

כמובן שלא כל המערכות זקוקות לרמת אבטחה כזו גבוהה. בCounterpane – החברה שייסדתי, התקנו קורא שקורא את צורת כף היד בשביל להיכנס למרכז המבצעים. קורא צורת כף היד הינו צורה קשה יותר לזיוף ביומטרי, והמערכת היא סגורה ולא מאפשרת זיוף אלקטרוני, ולכן היא עובדת בצורה טובה.

בעיה נוספת עם ביומטריה: המערכות לא כושלות כמו שצריך. ניתן לשנות סיסמאות, אבל אם מישהו הצליח להעתיק את האגודל שלך, אין לך כזה מזל – אי אפשר לעדכן את האגודל. ניתן לבצע גיבוי לסיסמאות, אבל אם האגודל שלך השתנה בתאונה, אין לך כזה מזל. אבל הכשלונות לא צריכים להיות כאלו גדולים: מזהה קול יכול לא לזהות את הקול שלך אם יש לך גרון כואב, וקורא טביעת אצבע יכול לטעות למשל כאשר מזג האוויר קפוא. בגלל הדברים האלו צריך לנתח את היכולות הביומטריות.

ביומטריה היא מאוד פשוטה, נוחה וכאשר מתבצעת כמו שצריך גם בטוחה, אבל היא לא התשובה לכל בעיה. ההבנה של איך המערכות עובדות ונכשלות עוזרת להבין איך הן מסייעות לאבטחה ואיך הן לא."

3 מחשבות על “מאמר על ביומטריה

  1. Boris Shtrasman

    עידו מספר נקודות למחשבה –
    לפני מספר שנים יצא לי לעבוד עם מערכות זיהוי ביומטריות (טביעות אצבע לא משהוא יותר מדי פאנסי) .

    צריך לשים לב שישנם כמה סוגים עיקריים של פריסה

    קוראים למניעת גישה פיסית למיקום (דלת , משרד וכו' ).
    קוראים לגישה למידה.

    מה שאני נתקלתי זה כמות הfalse positive במיקום של גישה פיסית (בגלל בעיות בלאי.) .
    אינני מדבר על קורא בודד על עשרות קוראים שרגישים לקרם ידים / שמן ליכלוך וכו .
    ואין מה לשכוח את הניסוים של mythbusters בנושא (פותחי דלתות עוקצו ע"י הדפסת תביעת האצבע).

    לא מאמש האמנו ובאנמת ניסינו (הדפסה על פלסטיק) וכל הקוראים שכביכול בודקים דופק נתתו להכנס.

    מניסיון מר עם מספר מונע גישה למידע (עמדות זיהוי) צר לי לומר אבל יותר מפעם אחת עמדה בינונית לא זיהתה משתמשים.

  2. ik_5 מאת

    Data is not information, Information is not knowledge,
    Knowledge is not understanding, Understanding is not wisdom.
    Cliff Stoll & Gary Schubert

    אני לא חושב שצריך להיות טכנולוגי או רוכש רעות בשביל לדעת שיש בעיה מאוד רצינית עם כל הנושא של זיהוי (עזוב כרגע את הביומטריה). מה שעצוב זה שאנשים לא מפעילים שיקול דעת מינימלי. למשל השבוע שאלתי מישהו אם הוא בעד או נגד זיהוי ביומטרי, והתשובה שלו היתה "בטח שאני בעד, זה הרי יעצור טררוסטים". חשוב להדגיש שאותו אדם מתעסק ביצירת מערכות אבטחה.

    אז אם בארזים נפלה שלהבת, מה יגידו אזובי הקיר ?

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s