פרופ' שמיר מציע: מאגר טביעות אצבע מעומעם
עדי שמיר, מבכירי מדעני המחשב בעולם וחתן פרס ישראל, הציע הצעה ליישום המאגר הביומטרי, שתשמור על בטחונו בצורה מיטבית, ותאפשר למדינה לקיים את המטרות שלשמן הוקם - תוך הקטנת הפגיעה בפרטיות. לידי ynet הגיע הפירוט המלא
אתמול, בדיון הציבורי שנערך על החוק החדש והמוצע להקמת מאגר טביעות אצבע ותווי הפנים של אזרחי ישראל, הציע פרופסור עדי שמיר, הצעה מעניינת ליישומו של המאגר, כך שגם יענה על הצרכים שלשמם הוא נועד - וגם ירגיע את החששות של אבירי הפרטיות.
בדואל שהגיע לידי ynet, מסביר פרופסור שמיר את הצעתו. שמיר אמר אתמול, כי הצעתו מקובלת על דעתם של נציגי ממשלה איתם שוחח, ולפי מיטב הבנתו תדרוש רק התאמה של התקנות ולא תיקון של החוק עצמו. הרעיון הוא ליצור מאגר שבמסגרתו, למדינת ישראל תהיה רק ידיעה חלקית ועמומה (ולא ידיעה חיובית ומלאה) על טביעת האצבע של כל אזרח ועל זהותה של כל טביעת אצבע.
לנוון את הקשר
הצורה שבה פרופ' שמיר מציע לעמעם את המידע היא לנוון את הקשר (ההדגשה במקור) בין שני מאגרים: מאגר של זהויות, ומאגר (איכותי) של טביעות אצבע.
ניוון זה יגרום לכך שמידע מסוים פשוט לא יהיה קיים במאגר, ולכן גם שינוי מאוחר יותר של החוק, או הכרזה ממשלתית על מצב חירום, או שיתוף פעולה אסור של
האחראים על המאגר, עם גופים חיצוניים, או פעילות לא חוקית של אחד מעובדי המאגר, לא תוכל לייצר את האינפורמציה הזו יש מאין.
הצורה הפשוטה ביותר לנוון את הקשר, הוא לחלק בצורה אקראית לחלוטין את כל אזרחי המדינה לקבוצות קטנות יחסית (לצורך הדיון, נניח שגודל כל קבוצה הוא כ-100, אם כי ניתן לבחור במספרים אחרים).
גם אוסף כל טביעות האצבע יחולק לקבוצות תואמות באותו גודל. המאגר הביומטרי יכיל אך ורק את "הקשר הסודי" (שכדי להשיגו יהיה צורך להשתמש במפתחות הצפנה), בין כל קבוצת זהויות בחלק הראשון של מאגר המידע, לכל קבוצת טביעות אצבע בחלק השני של מאגר המידע.
לפיכך גם במצב הקיצוני שבו משיגים את כל המידע, מפענחים את כל ההצפנות, ומצרפים את כל חלקי הפאזל (אלפי אם לא עשרות אלפי חתיכות של מידע) ניתן לכל היותר לדעת שטביעת האצבע של אדם מסוים היא אחת ממאה טביעות אצבע נתונות, או שזהותו של האדם שטביעת האצבע שלו נתונה - היא אחת ממאה זהויות אפשריות.
במילים אחרות, מאגר המידע הביומטרי לא יכיל קשר של אחד לאחד בין זהויות לטביעות אצבע, אלא יכיל קשר של "מעטים למעטים" בין זהויות לטביעות אצבע.
המשל: שני ארונות , המון מגירות ללא סדר
הצורה הטובה ביותר לחשוב על שיטה זו הוא להניח שמאגר הזהויות נמצא בארון מגירות ענק בחדר אחד, ומאגר טביעות האצבע נמצא בארון מגירות ענק בחדר אחר.
כל מגירה בארון אחד קשורה באופן מתמטי ומוצפן למגירה בודדת בארון השני, אולם התיקים עצמם זרוקים בתוך כל מגירה ללא סדר.
כאשר רוצים להוסיף למאגר הביומטרי זוג חדש של זהות וטביעת אצבע עבור תעודת זהות חדשה שהונפקה זה עתה (שבה כאמור נמצאים הנתונים המדויקים על הזהות וטביעת האצבע), בוחרים בצורה אקראית לחלוטין את אחת המגירות שעדיין אינן מלאות בארון הראשון, ומוסיפים לה את תיק הזהות, מחשבים ממספר המגירה שנבחר בארון הראשון את מספר המגירה התואם לה בארון השני, ומוסיפים לה במיקום פנימי אקראי את תיק טביעות האצבע.
תקטין מאוד את הנזק לאזרח הבודד
גישה זו מקטינה מאד את הנזק הפוטנציאלי לאזרח הבודד מגילוי טביעת האצבע שלו דרך כשלים בהגנה על המאגר הביומטרי. לדוגמה, ניסיון להפליל אותו על ידי שתילת אחת ממאה טביעות האצבע האפשריות שלו בזירת פשע, תפליל מישהו אקראי אחר בהסתברות של 99%.
יתר על כן, ניסיון להגדיל את הסיכוי - על ידי שתילת עשר טביעות אצבע מאותה "קבוצת מאה", תצביע מיד על המאגר הביומטרי כמקור הדליפה מאחר ורק הם מכירים את החלוקה האקראית לקבוצות.
ניסיון להשתמש בטביעות האצבע כדי להיכנס למחשב שמוגן על ידי קורא טביעות אצבע, ייכשל בהסתברות טובה, אם המחשב ינעל לאחר מספר ניסיונות הזדהות כושלים. באופן כללי ניתן לומר שאי הוודאות ביחס לנכונותן של טביעות אצבע שניתן להשיג מהמאגר - יספיק ברוב המקרים להרתיע פושעים מלהשתמש בהן. זאת, עקב הסיכוי הגבוה להיתפס.
איך נמנע זיוף זהות?
אחת המטרות המרכזיות של הקמת המאגר היא למנוע זיוף של תעודות זהות - כלומר הנפקה של שתי תעודות שונות על אותו מספר זהות וגניבת זהותו של אדם.
במשרד הפנים קוראים לזאת "הרכשה כפולה". פרופ' שמיר מתייחס גם לעניין הזה, ומדגים במכתבו איך הצעתו תמנע את הזיוף:
"אם אני ניגש בפעם הראשונה למשרד הפנים, מזדהה כראובן, מקבל תעודת זהות רשמית, וטביעת האצבעות שלי נרשמת באיכות גבוהה במאגר, אך לא בהכרח כטביעת האצבע של ראובן.
נניח שלאחר מכן, אני ניגש פעם נוספת למשרד הפנים, ומבקש לקבל תעודת זהות כשמעון (אני טוען למשל, שעדיין לא קיבלתי תעודת זהות ביומטרית, או מפני שאני טוען שקיבלתי כזו בעבר אך היא אבדה או נגנבה).
בדיקת טביעת האצבעות שלי במאגר הביומטרי, תגלה ברמת וודאות גבוהה שכבר הונפקה לי תעודת זהות בעבר, אך עקב הגנת הפרטיות שאני מציע להוסיף, תצביע רק על כמאה זהויות אקראיות אפשריות שקשורות לאותה טביעת אצבע.
הנקודה העיקרית בהצעה שלי היא, שלמרות שהזיהוי הוא מעומעם וחלקי, הסיכוי שראובן נמצא באותה קבוצה אקראית של זהויות (שידועה רק לעובדי המאגר) יחד עם שמעון היא אפסית.
לכן, ניסיונו של ראובן לטעון שהוא שמעון, כדי לקבל תעודת זהות נוספת - יכשל בהסתברות גבוהה מאוד. זאת, מאחר ושמעון לא יהיה בקבוצת מאה הזהויות האפשריות.
במילים אחרות, מה שאני מראה כאן, הוא שניתן להשתמש במאגר ביומטרי חלקי, כדי לשלול בקלות טענות זהות לא נכונות, מבלי שיהיה צורך לשמור במאגר את התשובות הנכונות, אלא הרבה פחות מכך. בכך משיגים את אותה מטרה חיובית אך תוך פגיעה הרבה יותר קטנה בפרטיות", מסביר שמיר במכתבו.
ואיך נזהה גופות?
המטרה המשנית של המאגר היא זיהוי של גופות ללא תעודות זהות. שימוש זה יהיה נדיר, אך גם הוא יתאפשר בשיטה שמציע שמיר: באישור צו שופט, יוציאו מהמאגר את כל 100 הזהויות האפשריות של טביעת האצבע שתילקח מהגופה.
הצלבה עם הגיל המשוער, המין, ונתונים אחרים תוכל להוריד מספר זה לכמה עשרות, ובדיקה פשוטה של כל האפשרויות שנותרו - תגיע קרוב לוודאי לזהות האמיתית.
לסיום, שמיר מסייג את ההצעה במכתבו: "להצעה ישנם אספקטים רבים נוספים שנמנעתי מלציין אותם כדי לא לסרבל את הדיון. זו אינה הצעה סגורה, וניתן לשנות ולשפר כל חלק ממנה לאחר דיון מתאים, או להחליט שגם בהצעה שלי, היתרונות המוצהרים של המאגר הביומטרי אינם מצדיקים את הפגיעה (המוקטנת) בפרטיותם של אזרחי המדינה".