עד לאחרונה חשבתי שהנתונים הטכניים שישמרו במאגר יוכלו רק לשמש לאימות זיהוי DNA
אבל מסתבר שניתן להשתמש בהם גם לרעה:

קישור: http://www.haaretz.co.il/hasite/spages/1108381.html

הנה קטע מהכתבה (ההדגשה באדום היא שלי):

ציטוט:

מדענים ישראלים הצליחו לזייף ראיות די-אן-אי בניסוי שעלול לערער אמינות הבדיקה, הצליחו חוקרים הצליח ליצור דוגמית דם המכילה די-אן-אי של גבר, מדוגמית דם של אשה מאת אנדרו פולאק, ניו יורק טיימס מדענים ישראלים הצליחו לזייף ראיות די-אן-אי בניסוי שעלול לערער את אמינות הבדיקה, שהפכה לכלי חשוב בידי המשטרה ורשויות לאכיפת חוק. המדענים הצליחו ליצור דוגמיות של רוק ודם המכילות די-אן-אי של אדם שהנוזלים לא נלקחו ממנו. הם הוכיחו כי אם יש להם גישה לפרופיל הדי-אן-אי במאגר מידע, הם יוכלו לבנות דוגמית של הדי-אן-אי מבלי כל צורך ברקמה של בעל הדי-אן-אי. "אתה יכול להנדס זירת פשע", אומר ד"ר דן פרומקין, ראש צוות החוקרים שעומד מאחורי המאמר שפורסם במגזין המקוון FSI genetics. "כל סטודנט לתואר ראשון בביולוגיה יכול לעשות את זה".

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

ערבול כלשהי שתחזיר תואצה חד חד עריכת ובלתי הפיכה (כלומר, הפעלת הפונקציה על שתי דגימות זהות תחזיר תוצאה זהה, הפעלת הפונקציה על שתי דגימות שונות תחזיר תוצאה ושנה ומתוצאת הפונקציה לא יהיה ניתן לשחזר את הדגימה עליה היא הופעלה).

בצורה כזו כן יהיה ניתן להשתמש במידע הגנטי על מנת לזהות, אבל לא יהיה ניתן להתשמש במידע הגנטי לצרכים אחרים (זיוף ממצאים, ניתוח המידע על מנת לקבל מידע על בעל הדגימה וכו').

חברי כנסת ישרים

לא.

יותר דומה ל MD5
הבעיה היא שבמקרה כזה לא יהיה ניתן להעזר ב DNA חלקי או פגום לצורך השוואה
ומצד שני, אם המאגר לא אמור לשמש לאכיפת חוק ואיתור חשודים על פי ראיות DNA מזירת פשע
אלא רק לצורך זיהוי אדם שמבקש לאמת את זהותו - זה יכול להספיק...

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

שימוש ב-MD5 בשנת 2009 זה רעיון לא מאוד חכם בהתחשב בסכנות שמדובר עליהן (נפילת המאגר לידי פשע מאורגן לדוגמה).

ראשית, השתמשתי בפונקציה MD5 כדוגמא מוכרת.
מבחינתי זה יכול להיות גם SHA-2 (קישור יותר מפורט בלועזית: http://en.wikipedia.org/wiki/SHA_hash_functions)

שנית, גם שיטות לפיצוח MD5 יתקשו מול כמות הנתונים שבמאפייני הDNA שיוצפנו
משום שהמידע לא ניתן לתרגום בעזרת Rainbow Table
והמקסימום שעלול לקרות הוא שעבריין יזייף תעודה בעזרת MD5 collisions שיספקו חתימה תקינה לDNA המזוייף
(אבל אף אחד לא יוכל להשתיל DNA בזירת פשע)

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

ראשית, זו דוגמה לא טובה. הסברתי למה. גם זו פונקציית hash. אולי ניתן אותה כדוגמה למשהו שכדאי לבסס עליו מערכת אבטחה?

שנית, לא ברור לי מדוע זה שמקור הנתונים הוא DNA מונע שימוש ב-rainbow tables. אשמח אם תסביר.

שלישית, כל העניין הוא שהחוקרים המדוברים הדגימו שכן ניתן לזייף DNA. זו אחת הבעיות.

רביעית, וחשוב מכל: לאחר כל החולשות והבעיות שנמצאו ב-MD5 זו טעות חמורה לומר ש"אני משתמש במקרה מאוד ספציפי שבו עדיין לא גילו איך MD5 כושלת". היו כמה חברות אבטחה שטענו טענה כזו בעבר, והודות להן קבוצה של חוקרים הצליחה לזייף root CA. נפלא.
ידועות חולשות ב-MD5 כבר שנים רבות. CERT, NIST, ה-NSA ועוד רבים ממליצים כבר זמן רב לא להשתמש ב-MD5. אני הייתי מקשיב להם.

אנסה להסביר את עצמי קצת יותר טוב.

פונקציית SHA-2 יותר בטוחה מקודמותיה בעיקר בגלל שהיא מבצעת מספר מעברים על המידע
ובזכות הגודל של המפתח שהיא מספקת.
כך שטבלה של קודים תהיה גדולה ומורכבת באופן בלתי אפשרי. - שים לב לטבלת ההשואה בקישורים שנתתי בתגובה הקודמת שלי.
בשימוש בפונקציה SHA512 מקבלים הצפנה המקבילה למפתח של 256 סיביות.

(אגב, די קל להתגונן מתקיפה כזו בעזרת salt ולכן אני לא רואה בה ממש בעיה)

לגבי הגודל. אם ניקח את מאגר הCODIS האמריקאי לדוגמא.
הרי שגודל רשומה לזיהוי הוא 23kb
גודל כזה יחייב טבלת ערכים עצומה, שכנראה גם תהיה בלתי אפשרית בגלל ריבוי המעברים שהפונקציה תבצע על הנתונים.
(לא מדובר פה בניסיון לפיצוח סיסמא של משתמש עם 16 תווים בלבד)
מקור: http://www.ncjrs.org/pdffiles1/nij/sl000472_app.pdf
קובץ עם מאפייני DNA לדוגמא: http://www.fbi.gov/hq/lab/fsc/backi...999/dnaloci.txt

ולסיום, זיוף נתוני הDNA שעליו מדובר בראש האשכול
מתבסס על מציאת נתוני DNA של אדם במאגר ויצירת חתימת DNA זהה בזירה
אם לא ניתן לחלץ את פרטי הDNA מתוך המאגר - אז הפושעים יאלצו להגיע לDNA של קורבן תמים בדרך אחרת...

או בקיצור: אם יהיה מספיק מסובך להוציא מידע מתוך המאגר, מישהו ילך להשיג אחת בדרך פשוטה יותר
ולכן אין צורך בפונקציית HASH חסינה לחלוטין. היא רק צריכה להיות קשה מספיק לפיצוח.

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

שם לב שבשרתים רבים אין אפשורת לשלוח לך את הסיסמה במקרה ששכחת אותה אלא רק לאפס אותה.
מדוע?על מנת למנוע מצב בו גם אם פורצים לשרת יוכלו לדעת את ססמאות המשתמשים.

חברי כנסת ישרים

ולכן ברור שממשלה מפגרת וחבר כנסת אדיוט שמבצע בוועדה ככל העולה על רוחו (כי כל השאר לא טורחים להגיע לדיונים) לא ישקלו אותו בכלל.

כעת, משהוטל ספק באמינות ההליך, לתביעה יהיה קשה יותר לבסס כתבי אישום הנתמכים בתוצאות בדיקות DNA, משום שדי ברור שהסניגורים יתקפו אותן.
האין זה יכול להחזיר אותנו מספר שנים לאחור?
האם אנו צפויים לראות גל של ערעורים, כנגד פסיקות של שופטים אשר ביססו את פסקי הדין על תוצאות בדיקות DNA שנערכו בזירת הפשע?
עכשיו כל אנס מתחיל יכול לטעון שהפלילו אותו.

לעולם אשא דגלך בגאווה