לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


7/2009

מאגר ביומטרי - חלופות (חלק ג' - חלופה מוצעת)


רשימה זו מהווה המשך לשני חלקים קודמים: חלק א' חלק ב'

על מנת לפתור את בעיית זיופי התעודות צריך לבצע מספר מהלכים שיתמודדו עם הנקודות הבאות:
  1. קלות הזיוף של התעודה.
  2. יכולת תיקוף.
  3. שימושיות נמוכה.
  4. יידוע אזרחים על הרכשה כפולה.
  5. מתן אפשרות לאזרחים לבטל תעודות ללא הגעה למשרד הפנים (ביטול ללא הנפקה).
לשם כך יש ליישם פתרון בשלושה חלקים (בסוף הרשימה אסביר מדוע לאחר יישום הפתרון יתייתר הצורך במאגר ביומטרי).
קלות הזיוף:
  • משרד הפנים מתכנן לעשות שימוש בכרטיס חכם ועל כך אין לי מה להוסיף. בין אם כרטיס חכם עם זיהוי ביומטרי לכרטיס או עם זיהוי באמצעות PIN נראה לי שהפתרון נכון ואינני רוצה להכנס בשלב זה להבדל בין החלופות.
  • כרטיס פלסטי קשה לזיוף. למרות השימוש בכרטיס חכם, יש לזכור שרוב העסקאות יבוצעו על ידי הצגת הכרטיס ולכן יש לבחור בטכנולוגיה קשה לזיוף של הפלסטיקה עצמה בכרטיס.
  • משרד הפנים צריך לאפשר קבלת תעודה מזהה רק למי שהזדהה. לצורך העניין כל תעודה מזהה רשמית (רישיון נהיגה/חוגר/דרכון), או עדות מקרוב משפחה הנושא תעודת זהות. כל האחרים ייכנסו באופן מיידי למסלול תשאול חריגים. 
  • משרד הפנים צריך ליידע אזרחים על כל בקשה להנפקת תעודה מזהה בשמם. מאחר ותעודות לא יונפקו במקום בלאו הכי, יש לשלוח מכתב בדואר רשום לכתובת הרשומה במשרד הפנים. במידה והאזרח שינה כתובת בשנה האחרונה, יש לשלוח דואר לכל אחת מהכתובות הרשומות בשנה האחרונה. בכל בקשה לשינוי כתובת יש לשלוח דואר רשום לכתובת הנוכחית.
יכולת תיקוף:
  • כחלק משימוש בכרטיס חכם יש לאפשר גישה לכל מי שיעשה שימוש בכרטיס החכם הן לרשימת התעודות הבטלות (CRL).
  • על מנת לאפשר לאזרחים מן השורה לאמת את תוקף תעודות הזהות יש לכתוב את זיהוי התעודה הדיגיטלית על גבי התעודה עצמה, כך שבהקשת רצף תוים באינטרנט (וללא קורא כרטיסים) ניתן יהיה לוודא האם תעודה היא בתוקף. אני צריך להשקיע קצת מחשבה באיך לבנות את המנגנון הזה (למשל, ניתן יהיה להקיש מספר זהות ומספר תעודה ולקבל תשובה האם התעודה בתוקף או לא, על מנת לצמצם אפשרות ל-Brute Force), אבל העיקרון הוא לאפשר לאזרחים מהשורה לאמת מספר זהות בלי צורך בקורא כרטיסים חכמים. באופן זה יימנעו גם הונאות המבוססות על השבתת הכרטיס החכם וביצוע הנדסה חברתית.
  • יש לאפשר לאזרחים לבטל את תעודת הזהות שלהם דרך האינטרנט. ניתן להמליץ לאזרחים להחזיק בבית צילום של תעודת הזהות. במידה והתעודה נגנבה, ניתן להקליד את מספר הזהות ואת מספר התעודה ולבטל את התעודה בלי להגיע למשרד הפנים (לצורך הנפקה מחודשת עדיין יצטרך האזרח להגיע למשרד הפנים).
שימושיות נמוכה:
  • אני חושב שזה אחד הדברים החשובים בכל פתרון אבטחה. התכלית של הגברת השימושיות היא לייצר מצב בו אזרחים מודעים לכך שהתעודה שברשותם אינה בתוקף או נגנבה/אבדה.
  • יש לייצר תעודה בגודל נורמלי, שנכנסת לארנק ממוצע.
  • יש לחייב זיהוי באמצעות תעודת זהות עבור פתיחת חשבון בנק (ניתן אף לדרוש שלאחר תהליך ההנפקה הראשוני אזרחים יידרשו להגיע לבנק לאמת את זהותם).
  • יש לחייב את רשות הדואר לאמת אזרחים באמצעות תעודת זהות מאומתת עבור קבלת דואר רשום ועבור כל שינוי בעלות רכב (קונה ומוכר).
  • בכל מצב בו בית עסק מעל גודל מסוים (כדי לא להרוג עסקים קטנים) מאפשר לעשות שימוש בכרטיס אשראי וללא הצגת תעודת זהות בתוקף (יש לזכור שעל פי חוק חובה להסתובב עם תעודת זהות), באופן קטגורי האחריות על העסקה במקרה של הונאה תהיה על בית העסק, גם אם כרטיס האשראי היה בתוקף. באופן זה כל אזרח יידע תמיד שהתעודה שלו בתוקף. אם נחיל את העיקרון על חברות הסלולר ורשתות הפארם/סופרים הגדולות, רבים הסיכויים שאזרחים יידעו מהר מאוד שהתעודה שברשותם אינה בתוקף. האמת היא שנראה לי שמרגע שתעודת זהות חכמה תהיה שם בחוץ בלאו הכי העסקים הגדולים יעשו זאת. בסופו של דבר זה יחסוך להם כסף, כך שאני בכלל בכלל לא בטוח שצריך פה איזה שהוא סוג של רגולציה.
המטרה המרכזית של אמצעים אלה הנה לצמצם את פרק הזמן מרגע ביצוע הונאה הוא הרכשה כפולה ועד שהאזרח בפועל יידע מזה. המטרה היא להפוך את זיוף תעודות הזהות לקשה ואת השימוש בתעודות זהות מזויפות לקשה עוד יותר. אמצעים אלה לא ימנעו לחלוטין זיופי תעודות, הם יהפכו את המימדים שלהם לסבירים ואת היקפי ההונאות לקטנים. לאלו שחוששים לעתיד הזייפנים, תמיד יהיה להם ממה להתפרנס.

נכתב על ידי , 22/7/2009 21:53   בקטגוריות מאגר ביומטרי, פרטיות  
14 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט



כינוי: 

גיל: 44




64,987
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2019 © נענע 10 בע"מ