הייתי היום בקורס די מעניין והמרצה הוא אחד שעבד בעבר הממש לא רחוק עם משרדי הממשלה. הוא סיפר לי על שלב בפרוייקט תהיל"ה שמאוד יעניין את הגולשים. ראשית - מה היא תהיל"ה . תהיל"ה היא חוות השרתים הממשלתית , אליה עוברים בהדרגה כל המערכות ואתרי האינטרנט וכו' של משרדי הממשלה. כל זה מעניין אותנו כשלג דאשתקד.

ובכל זאת , יש לפרוייקט חלק מאוד מעניין, כחלק מפרוייקט תהיל"ה הממשלה יצאה במכרז לאספקת שרותי דואר אלקטרוני וחתימה דיגיטלית לציבור . הפרוייקט נדחה במשך 4 שנים בגלל ריב על המכרז בין הספקים השונים כאשר חברות זוכות, מפסידות, מגישות ערעור ומגיעות להסכמים שונים עם הממשלה. בשעה טובה , חברת hp קנתה את חברת eds ובכך בא על פתרונו סכסוך ארוך טווח בין 2 החברות על המכרז הממשלתי.

מה שזה אומר, שבקרוב מאוד, כאשר 2 החברות ישלימו את ה"שידוך" בינהן במסגרת hp, הממשלה תוכל סוף סוף לקבל את השרות אליו החברות התחייבו והוא

א) לכל אזרח במדינת ישראל תהיה תיבת דואר אלקטרוני ממשלתית
ב) את מרבית הטפסים אותם אתם מעבירים היום למשרדי ממשלה תוכלו להעביר במחשבכם האישי ולהעביר באמצעות האינטרנט. (קיימים כיום מס' מצומצם של טפסים אותם כבר ניתן להעביר דרך אתר "שער הממשלה" ) בלי תור, בלי תלות בשעות קבלת קהל, בלי צורך להסתמך על הדואר , עם אפשרות לפידבק.בלי טפסים שהולכים לאיבוד.
ג)אזרחים שיקנו קונה כרטיסים , יוכלו באמצעות ת.ז. חכמה (גם זה בדרך) גם לחתום דיגיטלית. כלומר, גם טפסים שמחייבים חתימה - יועברו באמצעות הדוא"ל. זה אומר שאפשר יהיה להעביר כך למעלה מ 95% מהטופסולוגיה הממשלתית.
ד) השאיפה היא להוסיף בעתיד קורא טביעת אצבע כדי לאפשר גם את 5% הנותרים (כולל העברת בתים בטאבו!

רעיון נחמד. אם כי לא יודע אם מה שאני צריך זה אימייל ממשלתי
אבל נקווה שהדברים יצליחו ועם מינימום שחיתות מסביב...

נחמד אבל זה קצת מפחיד בלשון המעטה.
משהו שיקרב אותנו אל "האח הגדול"

וכמובן כפי שאמרו גם אם זה מתקרב
הרי שלכל אזרח מוצמד "אזיק אלקטרוני"
האם פגיעה בפרטיות עדיפה על בירוקרטיה?
קשה לי לענות על זה

אני לא חושב שיהיה ניתן לאתר אותך באמצעות התעודה החכמה

אגב, גם בלי המירכוז הזה ניתן היום להעביר טפסים למשרדי ממשלה, שאילתות ופניות באמצעות האתר עצמו, או הורדת טופס שניתן למלא אותו.
כך שאני מנסה להבין מה בדיוק יתרום לי אתר כזה, מעבר לעובדה שיהפוך את כל התעבורה שלי לתיק אלקטרוני, שאני מנסה להבין את התועלת מול העלות אם במקרה אתר כזה נפרץ.

לבין המצב אחרי פרוייקט תהיל"ה

מצוייד בת"ז כדי להראות ש"זה אתה", כאן המקום המוסכם הזה הופך להיות וירטואלי, ועדיין אישי שלך. זה בדיוק כמו אם אתה מרים טלפון לסלקום בנוגע לחשבון שלך, והשיחה נערכת מהנייד שלך, אין צורך בזיהוי שלך, בעוד שאם תתקשר ממספר אחר, הם יבקשו זיהוי באמצעות כלי זיהוי ממקור שלישי (כרטיס אשראי, שאלת זיהוי). תא דואר אישי, שיפתח אחרי הליך שבו כל אדם יזוהה אישית כבעל הזהות הנכונה, יהווה כלי שמבחינה חוקית יאפשר התקשרות וביצוע פעולות מול גופי שלטון אחרי שהם, מיוזמתם, יבצעו זיהוי ודאי של המשתמש.

.

תודה על ההסבר.

כי יתכן שמישהו אחר גנב את הטלפון ו"עושה עסקים" מאחורי גבך בשמך.
אותו דבר כשאתה מגיע נניח משחרד ממשלתי מי יכול לערוב לך שהתעודה
האלקטרונית היא באמת של הנושא אותה.

אין לך אדם שאין לו שעה.

תרים עכשיו טלפון לספק הסלולארי שלך ותראה שאם אתה שואל שאלות על החשבון של המספר ממנו אתה מתקשר, אתה לא נדרש לזיהוי מן הסוג שתתדרש לו במידה ותשאל אותן שאלות כאשר אתה מתקשר ממספר אחר, אבל שואל לגבי החשבון שלך.

במשרד ממשלתי מסתפקים בת"ז שלך, שכלל אינה מסמך בעל אמינות גבוה במקרה בו מישהו ירצה "לעשות עסקים מאחורי גבך". לכולם ידוע שהת"ז אינה אמצעי זיהוי מספק ושקל מאוד מאוד לזייף אותה, אבל מקבלים אותה בכ"ז עקב אי המצאות משהו חליפי. לא מדובר כאן על העברות בעלות, אלא על ביצוע פעולות "פאסיביות" שבכל זאת דורשות זינוי, למרות שהפוטנציאל לרמיה בהן הוא נמוך: פעולות כמו מול מס הכנסה או משרד האוצר, שעד היום הצריכו הגעה למשרד רק עקב צורך בזיהוי.
השיטה של "זיהוי אישי" לכל אזרח כבר עובדת שנים בביטוח לאומי, אגב: אחרי זיהוי חד פעמי "ודאי" מנפיקים לך קוד אישי שמאותו רגע מאפשר לך עבודה מול המערכות שלהם גם ללא זיהוי. חובתך לשמור על הקוד וכמובן שזכותך מראש לא להנפיק אותו, וע"י כך למנוע שמישהו אחר יפעל במקומך.

.

ציטוט:

במקור נכתב על ידי g.l.s.h תרים עכשיו טלפון לספק הסלולארי שלך ותראה שאם אתה שואל שאלות על החשבון של המספר ממנו אתה מתקשר, אתה לא נדרש לזיהוי מן הסוג שתתדרש לו במידה ותשאל אותן שאלות כאשר אתה מתקשר ממספר אחר, אבל שואל לגבי החשבון שלך.

בדקת את זה? ספק הסלולר שלי מתעקש בכל תוקף לדבר עם ה"בעלים" של המכשיר. כולל כדי לשאול שאלה על חבילות אפשריות, בלי שום שינוי של ממש בקו

מולץ לקרוא כאן.

http://www.fresh.co.il/vBulletin/sh...%E5%EE%E8%F8%E9

Minolta Dynax 5D

מצד אחד כאזרח שומר חוק אין לי מה להסתיר
ויש הרבה כמוני שנעים בין עבודה ללימודים
מצד שני אני מאלה שחושבים שמספיק שהבוס וחברי לספסל הלימודים ידעו איפה אני נמצא

בדיוק כמו שאפשר לאתר אותך באמצעות טלפון סלולרי
אם מדובר בחלוקת מכשיר אלקטרוני שעליך לשאת איתך יש בעיה.

זה קורא כרטיסים אלקטרוני שתחזיק אצלך בבית.

לדוגמה: http://www.ynet.co.il/articles/0,7340,L-3344080,00.html

גבר

זה מסוג השירותים שהיה צריך להפעיל במהפכת האינטרנט המהיר (ב2001) ונותר מאחור. בכל זאת חובה שיהיה דבר כזה.

"ועלה העץ לרפואת הגויים"

אני רק שאלה...

רוב אזרחי מדינת ישראל משתמשים ב"חלונות" כדי להשתמש באינטרנט (וממילא, ממשלת ישראל תדאג שחלונות תהיה המערכת היחידה האפשרית לשימוש בשירות - בדיוק כמו בשאר שירותי "ממשל זמין" שלא כתובים לפי שום תקן מוכר...) - האם בעצם כל מי שפורץ למחשב של מישהו שמשתמש במערכת המדוברת [לא פעולה נדירה במיוחד כאשר מדובר במחשב סטנדרטי שמריץ חלונות...], ושולף ממנה את פרטי הנתונים של הכרטיס החכם, דרך הקורא האלקטרוני, יוכל לשדרם ממחשבו שלו, וכך להתחזות לישות משפטית, לבצע פעולות (פליליות, לרוב - כמו למשל מילוי טפסים בפרטים כוזבים, משחקים בטאבו, ושאר דברים שהיום צריכים להגיע בפועל למשרד ממשלתי, לזייף, ולהגיע עם ת"ז מזוייפת שתעבוד על הפקיד) - והדבר ירשם במערכות כאילו האדם שאליו התחזו עשה את הפעולה, כמובן ללא שום אפשרות להכחיש אותה, שהרי "הוא חתם עליה בכרטיסו / טביעת אצבעו" ?

(למי שתוהה : התשובה היא: כן!!! - ושלא ימכרו לי סיפורים על "אמצעי אבטחה מתקדמים" - לגולש הביתי אין חוות שרתי לינוקס שמסננת את התעבורה הנכנסת לשרתים כמו שיש בחווה של תהיל"ה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא אמורה להיות אפשרות להוציא מהכרטיס את המפתחות כדי להשתמש בהם כרצונך אחר-כך.

התוכנה מוציאה ומשתמשת. מה מפריע למשתמש לעשות את אותו הדבר עם תוכנה אחרת?

ועזוב אחר כך - בוא נעשה את זה יותר פשוט. מה מסובך לעטוף את התוכנה הקיימת, ולהשתמש בה, עם ההרשאה שלה לכרטיס, כדי לבצע את הפעולות, ישירות מהמחשב הנפרץ?

נמאס לכם לזכור סיסמאות? לחצו כאן!

.מכרטיס כם אתה לא יכול להוציא את המפתחות.

אתה יכול לבקש מהכרטיס לחתום על מידע. אתה יכול לתאם בעזרתו מפתח-session (שזה גם לחתום על מידע בתכלס). אבל מדובר ברכיב שהוא בלתי-ניתן לשכפול, כלומר אי-אפשר להוציא ממנו את המפתחות כדי להשתמש בהם בבית אחר כך. אם לפורץ תהיה נגישות קבועה למחשב של המשתמש אז הוא יוכל להשתמש בכרטיס בכל פעם שהמשתמש יחבר אותו למחשב שלו, אבל רק אז.

כל המטרה של כרטיס חכם היא שהוא יהיה ייחודי, ואם אין לך ציוד שיכול "לקרוא" כרטיסים ברמה המולקולרית (ולא להרבה אנשים יש ציוד כזה בבית, אפילו לא להרבה מעבדות) אתה לא אמור להיות מסוגל לשכפל כרטיס חכם טוב.

לא "ביקשתי" לשכפל אותו, ביקשתי להשתמש במידע שעליו לצורך חתימה בשמו של אחר. ביצוע החתימה דרך המחשב שלי בבית לא היה חלק מהדרישות - אלא רק התחזות לאחר - משהו שהכרטיס, כביכול, אמור למנוע.

במילים אחרות -> מחשב שנפרץ = מחשב שניתן לבצע פעולות בשמו של בעליו. בהתחשב בכמות המחשבים האלה שאני (ורבים אחרים) מתקינים מחדש כל הזמן, אני מוצא את הפרוייקט החדשני הזה מסוכן ברמה שלא תתואר! - ואו שכל הפרוייקט ייזרק לפח אחרי שיודו שהקונספט נכשל - או שלא יודו בטעות - ויהיה לנו עידן חדש של טרור אלקטרוני תוצרת ישראל.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תוכל לבצע בשמו עסקה אחת, אבל לא לגנוב את הזהות האלקטרונית שלו.

מצד שני, אתה אומר משהו שלא קשור לכלום.
גם PGP ומנגנון ה-PKI העולמי ו-SSL שמבוססים עליו לא טובים, כי אם מישהו פרץ למחשב מעניין הוא יוכל לגנוב את המפתח הפרטי שעליו / להוסיף CA-ים מזוייפים כדי להשתמש בהם אחר-כך וכו' וכו'.

לא PGP ו-RSA דפוקים כאן אלא המחשב הפרוץ. אותו דבר לגבי זהות אלקטרונית במקום זהות מנייר שתנפיק הממשלה.

ואת הארנק שלך לא ניתן לגנוב ולזייף ת"ז?

"תשקר‭,"‬ הוא אומר. "אל תספר את כל הסיפור. הישראלים, בעיקר העמותות שפועלות בקרב המסתננים פה, אוהבים שמשקרים להם‭."