דרכון ביומטרי
דרכון ביומטרי הוא דרכון המשלב נתונים כתובים ואלקטרוניים-ביומטריים על מנת לזהות את נושאו. המידע החיוני בדרכון מאוחסן במעגל משולב זעיר בטכנולוגיית RFID, המאפשרת קריאה באמצעות קרינה אלקטרו-מגנטית ללא מגע, ומאובטח באמצעות חתימה דיגיטלית.
הארגון הבינלאומי לתעופה אזרחית קובע את נתוני הקובץ הביומטרי ואת פרוטוקול התקשורת שישמש לקריאתו, והמידע מאוחסן במעגל המשולב בצורת קובץ JPEG או אחר. מפרט הדרכון הביומטרי כפוף לתקינה בינלאומית (ISO/IEC 14443) המבטיחה תאימות בין דרכונים של מדינות שונות ומתוצרתם של יצרנים שונים.
הנתונים המאוחסנים על השבב
הדרכונים הביומטריים הנמצאים כיום בשימוש מכילים לרוב את הפרטים הבאים: שם, מספר דרכון, לאום, תאריך לידה, מין, תאריך תוקף, תמונות פנים, טביעות האצבעות, וקשתית העין. השבב מכיל גם מספר קבצים אשר מסייעים לאמת שהשבב מקורי ושהנתונים על השבב לא שונו.
אבטחה
דרכונים ביומטריים מצוידים במספר מנגנוני אבטחה על מנת למנוע שימוש לרעה בטכנולוגיה החדישה מצד גורמים חיצוניים:
- גישת בקרה בסיסית (Basic Access Control) - מספק הגנה מפני גישה לנתונים שבשבב בנוסף לאבטחת ערוץ התקשורת לשבב. גישה לנתונים אפשרית רק לאחר הזנת המפתח הנכון עבור שבב זה.
- אימות פסיבי (Passive Authentication) - מונע שינוי של הנתונים המאוחסנים בשבב. השבב מכיל קובץ מיוחד בו מאוחסנים מספרי שליטה. במקרה שקובץ בשבב השתנה (לדוגמה, תמונת פנים), ניתן לגלות זאת באופן מיידי.
- אימות אקטיבי (Active Authentication) - מאפשר להבחין בין שבבים מקורים לשבבים מזויפים. השבב מכיל קוד סודי שלא ניתן לקרוא או להעתיק אותו.
- בקרת גישה מורחבת (Extended Access Control) - פונקציה נוספת המשמשת הגנה מפני גישה לנתונים. פונקציה זו משמשת בדרך כלל לצורך הגנה מפני דליפת מידע רגיש, כגון טביעות אצבעות.
פריצת מנגנוני האבטחה בדרכונים הביומטריים
לאורך השנים הוצגו והודגמו פריצות של מערכות האבטחה של הדרכונים הביומטריים על ידי גורמים שונים:
- בשנת 2008 צוות מחקר הצליח להוכיח שניתן לקבוע מהיכן השבבים בדרכון מבלי לדעת את הקוד אשר נדרש לצורך קריאת הנתונים[1]. הצוות ביצע רישום של הודעות השגיאה של שבבי הדרכונים מהמדינות השונות. המידע שהצטבר שימש לצורך אימות המקום ממנו הגיע השבב.
- בשנת 2005 מארק ויטמן ציין כי הקוד של הדרכונים הביומטריים ההולנדיים ניתן לפיענוח, דבר אשר יאפשר לגורמים עוינים לקרוא את השבב[2].
- בשנת 2006 לוקאס גרינוולד הוכיח כי ניתן להעתיק נתונים משבב דרכון ביומטרי לכרטיס זיכרון סטנדרטי מתקן ISO 14443 באמצעות ממשק קריאת דרכונים אלחוטי ותוכנת העברת קבצים פשוטה[3].
- בשנת 2008 יורן ואן ביק הוכיח כי לא כל מערכות בדיקת הדרכונים בודקות את חתימת ההצפנה בשבבי הדרכון[דרוש מקור].
- בשנת 2005 מארק ויטמן הדגים כי ניתן לאחזר את קוד האימות האקטיבי[2].
ביקורת
הדרכון הביומטרי עורר מחאה מצד פעילים למען הזכות לפרטיות במדינות רבות בעולם אשר מחו נגד העמימות באשר להיקף המידע שמאוחסן בשבבי הדרכונים ובאשר להשפעתו על חירויות הפרט. פעילים אלה ומומחים מתחומי הטכנולוגיה והמחשוב הביעו דאגה במיוחד מכך שהנתונים המאוחסנים על גבי המעגל המשולב שבדרכונים ניתנים לקריאה באמצעות טכנולוגיית RFID אלחוטית. על אף שהשימוש בטכנולוגיה זו מאפשר לעמדות הזיהוי לקרוא את המידע המאוחסן בדרכונים, היא תהיה עשויה גם לאפשר לכל אדם שברשותו ציוד קריאה מתאים לבצע את אותה הפעולה. במקרה שהפרטים האישיים ומספרי הדרכון המצויים על השבב אינם מוצפנים, המידע עשוי בסופו של דבר להגיע לידיים הלא נכונות.
ב-15 בדצמבר 2006, ה-BBC פרסם מאמר שעסק בדרכונים הביומטריים בבריטניה, אשר ציין כי:
"כמעט בכל מדינה בה מונפק דרכון זה ישנם מספר מומחי אבטחה אשר צועקים בקולי קולות: 'הדרכונים אינם מאובטחים. זה לא רעיון טוב להשתמש בטכנולוגיה זו'"[4]
כמו כן, במאמר מצוטט מומחה אבטחה אשר מציין כי:
"ישנם מקומות בהם היישום נעשה באופן לא טוב - בשלב הראשון מתבצעת קריאת נתונים, לאחר מכן ניתוח הנתונים, עיבוד הנתונים ולבסוף אימות של הנתונים. ישנם פגמים טכניים רבים ביישום הטכנולוגיה וישנן פונקציות שלא יושמו, כך שבעצם הם לא עושים את מה שהם אמורים לעשות. הם אמורים לספק רמת אבטחה גבוהה יותר. דבר אשר לא מתבצע בפועל."
צוות המחקר של ארגון Future of Identity in the Information Society (גוף מומחי אבטחה אשר ממומן על ידי האיחוד האירופי) הביע גם כן מחאה נגד הדרכונים הביומטרים של בריטניה וציין כי קיים חשש שהדרכונים ישמשו לצורך גנבת זהות.
בישראל
.jpg)
על מנת לאפשר הנפקת דרכונים ביומטריים בישראל הגישה הממשלה ב-27 באוקטובר 2008 לכנסת את הצעת חוק המאגר הביומטרי, התשס"ט-2008, והחוק אושר בדצמבר 2009, ונקבע שייכנס לתוקף ב-1 בינואר 2010 ובלבד שיאושרו תקנות לפי סעיפים אחדים בו. ב-16 במאי 2011 אישרה הממשלה את התקנות שהגיש השר הממונה, וב-2 ביוני 2011 אושרו התקנות בוועדת המדע של הכנסת, ובכך נכנס החוק לתוקף[5].
בשנת 2013 החל משרד הפנים בתקופת מבחן של הנפקת דרכונים ביומטריים, דבר שהתאפשר לאחר שבשנת 2009 חוקקה הכנסת את חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע (2009). בשלב הפיילוט, שהתקיים עד סוף חודש מאי 2017, יכול היה כל אזרח לבחור בין הנפקת דרכון רגיל לדרכון ביומטרי. כל דרכון ביומטרי שהונפק, נכנסו פרטי בעליו (בהסכמתו) למאגר הביומטרי. החל ב-1 ביוני 2017, ובהתאם לתיקון חקיקה שהתקבל בכנסת, החלה רשות האוכלוסין בהנפקת דרכונים ביומטריים בלבד. בהתאם לחוק הביומטריה, המידע הביומטרי נשמר במאגר ייעודי המנוהל על ידי רשות נפרדת – הרשות לניהול המאגר הביומטרי[6]. טביעת אצבע של נושא הדרכון מועברת למאגר הביומטרי רק בהסכמתו. במקרה זה מונפק דרכון בעל תוקף לעשר שנים. אדם המסרב לאחסון טביעת האצבע שלו במאגר הביומטרי מקבל דרכון בעל תוקף לחמש שנים בלבד.
במהלך השנים דווח במספר הזדמנויות על קריעת דרכונים בביקורת הגבולות במטרה לעודד אזרחים להחליף את דרכונם לדרכון ביומטרי[7][8].
ראו גם
קישורים חיצוניים
- שחר אילן, דו"ח הכנסת: ישראל היחידה בעולם שרוצה ת.ז. ביומטרית - פרט להונג קונג, באתר הארץ, 13 במרץ 2009
- אהוד קינן, שנה לביומטרי: ירידה חדה בדרישה לתעודות, באתר ynet, 17 בספטמבר 2014
הערות שוליים
- ^ Henning Richter, Wojciech Mostowski, and Erik Poll. Fingerprinting Passports
- ^ 2.0 2.1 whatthehack
- ^ Kim Zetter, wired Hackers Clone E-Passports. Wired. March 8, 2006
- ^ David Reid, BBC ePassports 'at risk' from cloning. BBC. December 15, 2006
- ^ מתן מיטלמן, תעודת הזהות הביומטרית נחשפת בפעם הראשונה; תוצע לאזרחים בחודשים הקרובים, באתר TheMarker, 9 במרץ 2011
- ^ דני שדה, מ-1 ביוני יונפקו רק דרכונים ביומטריים: שאלות ותשובות, באתר ynet, 24 במאי 2017
- ^ שמעון יעיש, התופעה נמשכת: "הרסו לי את הדרכון בנתב"ג", באתר ישראל היום, 11 בפברואר 2018
- ^ רונית זילברשטיין, "השחיתו לנו דרכונים במעברי הגבול - והמליצו על ביומטרי", באתר ישראל היום, 1 באוקטובר 2017
