אמש, במהלך התכנית של רזי ברקאי, חשף (דקה 33:00) דורון אופק כי מסתבר, שלמרות שהמאגר הביומטרי מאובטח ברמה 11, אזי טביעות האצבע וצילומי הפנים שינטלו מהמשתתפים בניסוי יועברו בדרך שלא ממש מאובטחת; על פי החשיפה, טביעות האצבע וצילומי הפנים יועברו על פני הרשת החציבורית של משרד הפנים, שהיא בסופו של דבר VPN, רשת וירטואלית פרטית. כלומר, הרשת הוירטואלית הפרטית עוברת על גבי הרשת הציבורית בצורה מוצפנת (ביחד עם טביעות האצבע המוצפנות שלכם), אבל כל מי שנמצא בתוך הרשת יכול להאזין.

הבעיה היא לא רק שבתיאוריה אפשר לפרוץ את האבטחה של הVPN, או שיש דרכים לפרוץ לרשת בצורה כזו או אחרת, אלא שכל מחשב במשרד הפנים כבר מחובר לרשת, ויכול להאזין לה אם הוא רוצה. כלומר, אני לא צריך לפרוץ את ההצפנה האימתנית של רשת הVPN כדי להעתיק את המאגר הביומטרי, אלא כל מה שאני צריך זה לגנוב לפטופ של אחד מעובדי משרד הפנים או להתחזות לעובד במשרד. ולפטופים, כידוע, לא נגנבים אף פעם מעובדים כאשר הם מכילים מידע רגיש. ועובדים? הם אף פעם לא מחברים דיסק און-קי שמכיל וירוסים לרשת הפנימית.

כלומר, אם זו רמה 11, הרי שאנחנו בבעיה.

לאורך כל הדיונים על הצעת החוק של המאגר הביומטרי, אבנר ואני כל הזמן שאלנו את משרד הפנים לגבי ההסדרים הטכניים: כיצד המאגר יאובטח, כיצד מידע יזרום, וכל פעם הבטיחו לנו שהכל יהיה בסדר, אבל הנהלים הם חסויים. הבעיה היא, שעם כל ההיבטים שהעלנו, יש משהו אחד שלא דיברו עליו. ביום ה19.07.2009, במהלך הדיון, העלנו את הסוגיה הבאה:

יהונתן קלינגר: יש לי את המפתח שמצפין. יורם אורן: אם יש לך את המפתח שמצפין, אין לך את המפתח שמפענח. יהונתן קלינגר: זה לא משנה. אני יכול להאזין לתקשורת, אני יכול להשתלט על התקשורת, אני יכול להצפין פנימה לתוך המאגר זהויות חדשות. יורם אורן: לא. הנושא הזה של אימות המקור של המידע, הוא לחלוטין פרט טכני קטן שלא מופיע כאן והוא מקבל מענה בכיוון אחר, ואני גם לא רואה טעם להיכנס לרזולוציה הטכנולוגית הזאת כאן. יהונתן קלינגר: העובדה שאני מצפין בקצה ושולח, מאפשר שעוד מישהו מאזין ואנחנו מדברים על מידע משגרירויות בחוץ לארץ או שמישהו נכנס למידע ויכול להזריק פנימה זהויות חדשות או אפילו זהויות כפולות או להחליף שם נתונים כי ההצפנה וכי עצם התקשורת עוברת למאגר המרכזי בתור יחידה שלמה. יורם אורן: אנחנו מניחים שמפתח ההצפנה שמאפשר להצפין נתונים, אנחנו לא מתייחסים אליו כנתון סודי. אימות המקור שגורם לזה שרק מכאן אפשר להכניס נתונים ולא ממקום אחר, נפתר בדרכים אחרות ומקבל מענה לטעמי לא רע.

כלומר, הכניסה לרשת הציבורית של משרד הפנים לא רק תאפשר את גניבת הזהויות (ופיענוח ההצפנה, שהוא מתמטית קשה עד בלתי אפשרי) אלא גם הכנסה של זהויות נוספות, אותה סכנה ממנה משרד הפנים מפחיד אותנו ומציע להקים מאגר ביומטרי.

עכשו, סעיף 4 לחוק המאגר הביומטרי מנסה לייצר הסדרים טובים: הוא קובע שהמידע לא יאגר אלא לצורך העברתו, שהוא יוצפן ושהוא יועבר בצורה מאובטחת. הבעיה היא כיצד המידע מגיע ממשרד הפנים למאגר (שאלה של אמינות) וכיצד הוא מגיע למאגר בצורה מאובטחת? האם יש רשת פנימית שאפשר להתחזות אליה כדי להתחבר למאגר? ואם כן, מי בכלל דואג ממאובטח ברמה 11? הדאגה שלנו היא מאבטחה ברמה 5.

[פורסם במקור בעבודה שחורה]