בתשובה להאייל האלמוני?, 18/07/13 16:11
בנתיים זה נראה פשוט רע 617690
ביומטראז' • בתשובה להאייל האלמוני? יום ו', 19/7/2013, 8:11
1. לא קראתי את הפרוטוקולים אבל זה לא כל כך פשוט. כדי להשוות שני נתונים באמצעות פונקציית גיבוב, הם צריכים להיות זהים לגמרי. זה לא קורה כשלוקחים טביעות אצבע, כל פעם מקבלים מידע קצת שונה, כך שפונקציית גיבוב כשלעצמה לא עובדת. יש פתרונות מתמטיים שמאפשרים לגבב מידע בצורה שמאפשרת השוואה "בערך", אני לא יודע אם זה יכול לעבוד בפועל לטביעות אצבע, ובנוסף כנראה שזמן הריצה של חיפוש יתארך משמעותית (כנראה שצריך לעבור על כל המאגר בשביל לחפש התאמה).

2. לא משנה איך המאגר ימומש, אם הוא ידלוף לאינטרנט יהיה אפשר לעשות בו לפחות את אותו שימוש שהמדינה עושה: לוודא שאדם פלוני נמצא במאגר ולאחזר את הרשומה שלו.

3. הפתרון של עדי שמיר ("שיטת המגירות") הוא יותר "לואו טק" ולהבנתי נועד בעיקר לאפשר "ספק סביר". כלומר אם המשטרה מצאה טביעת אצבע בזירת פשע, היא יכולה להתאים אותה לקבוצה של 100 איש. סביר מאוד להניח שקל לשלול 99 מהם וכך אפשר להגיע לחשוד האמיתי, אבל אם אין להם שום מושג, קשה "להדביק" אשמה על מישהו.

4. המשפט שהופיע בתגובה 617666 "המאגר מוגן ב- RSA, אך ממציא RSA חושב שהוא לא בטוח" הוא דמגוגיה. בסופו של דבר שיטת ההצפנה RSA היא מרכיב מאוד קטן במערכת הכוללת (למרות זאת, פרופ' שמיר הוא באמת גאון עולמי וההבנה שלו במערכות הצפנה היא פנומנלית, בלי קשר ל- RSA).
בנתיים זה נראה פשוט רע 617693
ידידיהבתשובה לביומטראז' יום ו', 19/7/2013, 8:46
1. בתגובה 593927 יש קישור למאמר בנושא, אתה מתייחס לשיטות שהוזכרו בו? (לא קראתי את המאמר עצמו)
חוץ מזה המאגר לא כל כך גדול.
בנתיים זה נראה פשוט רע 617716
ביומטראז' • בתשובה לידידיה שבת, 20/7/2013, 6:56
כן. זה אני שכתבתי את התגובה ההיא (אבל לא את המאמר!).
בנתיים זה נראה פשוט רע 617726
יובל רבינוביץ  (אתר) • בתשובה לביומטראז' שבת, 20/7/2013, 13:42
> 4. המשפט שהופיע בתגובה 617666 "המאגר מוגן ב- RSA, אך ממציא RSA חושב שהוא לא בטוח" הוא דמגוגיה.

לצטט לא נכון ולהוציא דברים מהקשרם זה הרגל קבוע שלך, או שרק אני זכיתי בכבוד?
בנתיים זה נראה פשוט רע 617729
צפריר כהן  (אתר) • בתשובה ליובל רבינוביץ שבת, 20/7/2013, 15:18
נראה לי שאתה הוא זה שהכנסת את RSA לדיון. נמחק את המילה "דמגוגיה" ונסכים על כך שמדובר על חוסר דיוק? מהסיבה הזו הוספתי פרטים על עמדתו של שמיר בתגובתי לאותה תגובה.

אם זה לא ברור, שמיר לא חולק על הפרטים הטכניים של פרוטוקולי ההצפנה שבשימוש. החוק לא מפרט את הפרוטוקולים ובאותו שלב עדיין לא היה מימוש. רק כיום יש מימוש‏1. שמיר מדבר כאן בתור מומחה לאבטחת מידע‏4 ולעניות דעתי רוב המומחים בתחום בארץ היו עם דעות דומות שלב (באותו שלב: כאשר הנושא היה בכותרות והיה דיון ציבורי ער).

1 בעניין המימוש: הודלף לא מזמן דו"ח של חברת אבטחה שנשכרה על מנת לבדוק את אבטחת המאגר לקראת תחילת הפיילוט (אני מתעצל לחפש קישורים). הכותרות שהיו בעיתונות על הדו"ח היו קצת מטעות: בדיקת אבטחה כזו היא נוהל מקובל. הליקויים שנמצאו היו ענייני מימוש ולא ענייני תכנון מהותיים‏2. הכותרות היו על הפגמים שנמצאו. אולם הבעיה היותר מהותית הייתה שתיקונן של כמה מהבעיות נדחה בגלל שאי אפשר כבר לדחות את הפיילוט.

2 כלומר: לא בעיות חדשות שלא היו ידועות קודם לכן.

3 למרות זאת אין שם טעות בשל מה שציינתי בפסקה הקודמת.

4 יש חפיפה לא רעה בין שני התחומים. או ליתר דיוק, מומחי הצפנה נוטים להיות גם מומחים באבטחת מידע. הדוגמה הידועה ביותר היא ברוס שנייר.
חזרה לעמוד הראשי המאמר המלא
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
האייל הקורא RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש © כל הזכויות שמורות