שגריר ארה"ב הגיש לאולמרט תלונה על מכרז התעודות החכמות - גלובס 16.12.07

לפני מספר שבועות בוטל זו הפעם השנייה בתוך כ-5 שנים מכרז תעודות הזהות החכמות של משרד הפנים. במסגרת המכרז הייתה אמורה להיבחר החברה שתספק את התעודות החכמות לתושבי ישראל…HP עומדת לפנות לערכאות משפטיות ולגופי פיקוח מקומיים אחרים (משטרה ומבקר המדינה) לגבי ההתנהלות במכרז. כדאי להבין, מקרה בו חברה בינלאומית לא מרוצה מהתנהלות מכרז ציבורי במדינת ישראל, הוא דבר סטנדרטי, כמעט מובן מאליו. אבל נקיטת אמצעים אגרסיביים לבירור מה קרה סביב המכרז, זה חידוש גדול.
תעודות הזהות החכמות אמורות לפעול וגם להיראות כמו כרטיס אשראי. התעודה עשויה ממלבן פלסטיק קשיח שבו ישולב שבב אלקטרוני, עליו מקודדים פרטים של המחזיק שמאפשרים זיהוי שלו מול מערכות מחשוב ציבוריות. באמצעות התעודה החכמה יוכלו אזרחי ישראל לגשת לשירותים שונים של ממשל זמין, להזדהות מול הרשויות באמצעות מנגנון אימות וזיהוי (חתימה אלקטרונית), לשלם מסים, לחדש רישיון נהיגה ועוד פעולות רבות אחרות.
חלק ניכר מהמורכבות בתעודה קשור לאבטחה, גם מצד מכת זיוף תעודות הזהות הרגילות, וגם כדי לאפשר זיהוי אמין של המשתמש. כדי לאפשר זאת עובדים הכרטיסים החכמים כהתקני אבטחה, המותאמים אישית באמצעות נתונים ספציפיים לבעלים. האבטחה מסופקת באמצעות זיהוי המשתמש (נתונים אישיים, כולל תמונה ו/או זיהוי ביומטרי)…

ברוס שנייר על הסכנה שבפרוייקט Real ID

ברוס שנייר, מומחה לאבטחת מידע: Real-ID: Costs And Benefits
.
הבעיה הראשונה היא הכרטיס עצמו. לא משנה כמה מאובטח הוא יהיה - יזייפו אותו. אפשר להעלות את המחיר של הזיוף אבל לא להפוך אותו לבלתי אפשרי.
.
סכנות הבטיחות של המאגר הן עצומות. מדעני מחשב אינם יודעים כיצד לשמור מאגר עצום שכזה מפני פריצות מבחוץ ומבפנים. ואפילו אם יכולנו לפתור את הבעיות הללו עדיין לא נזכה בביטחון רב. ההסתמכות על ת"ז מבוסס על מיתוס בטיחות מסוכן, שאילו רק ידענו מי הוא מי יכולנו לשים ידינו על "הרעים" - למנוע מהם לעלות על מטוסים ולהסתובב חופשיים. אבל הרעיון שאכן נדע הוא מגוחך ולכן אנו מבקשים להסתמך על תעודות זהות, וזה מגוחך לא פחות. ההסתמכות על סיווג ופרופיילינג של אנשים יוצר מצב שבו אנשים רבים שאינם ראויים לאמון מסווגים כאמינים. מבצע הפיצוץ באוקלהומה, הטרוריסטים בתחתית של לונדון ומרבית הטרוריסטים של 9/11 לא היו קשורים בעברם לטרור. גורמים מסוכנים יכולים גם לגנוב זהות, ולכן הפרופיילינג לפי זהויות עלול להביא פחות ביטחון. מרבית האנשים שיתאימו לפרופילים "השליליים" אינם טרוריסטים ולכן נקבל פעמים רבות "false alarm", בזבוז משאבים חקירתיים ובטיחותיים ופגיעה באנשים חפים מפשע. וכך לגבי גנבות זהות פליליות - מי שיצליח לגנוב זהות יצליח לבצע בחסותה מעשי מרמה רבים יותר...
.
"A centralized ID system is a far greater security risk than a decentralized one with various organizations issuing ID cards according to their own rules for their own purposes. Security is always a trade-off; it must be balanced with the cost. We all do this intuitively. Few of us walk around wearing bulletproof vests. It’s not because they’re ineffective, it’s because for most of us the trade-off isn’t worth it. It’s not worth the cost, the inconvenience, or the loss of fashion sense.
.
Real ID is another lousy security trade-off. It’ll cost the United States at least $11 billion, and we won’t get much security in return. The report suggests a variety of measures designed to ease the financial burden on the states: extend compliance deadlines, allow manual verification systems, and so on. But what it doesn’t suggest is the simple change that would do the most good: scrap the Real ID program altogether. For the price, we’re not getting anywhere near the security we should..."
.
We The People Will Not Be Chipped-Resistance is NOT futile , we will NOT be assimilated

No REAL ID