לדלג לתוכן

דרכון ביומטרי

מתוך ויקיפדיה, האנציקלופדיה החופשית
הסמל הביומטרי הבינלאומי אשר מוצב בדרך כלל בתחתית כריכות הדרכונים הביומטרים השונים בעולם
מדינות שבהן נעשה שימוש בדרכונים ביומטריים
דרכון נורווגי ביומטרי עם הסמל הביומטרי הבינלאומי בתחתיתו
שבב המשולב בדרכון ביומטרי בריטי

דרכון ביומטרי הוא דרכון המשלב נתונים כתובים ואלקטרוניים-ביומטריים על מנת לזהות את נושאו. המידע החיוני בדרכון מאוחסן במעגל משולב זעיר בטכנולוגיית RFID, המאפשרת קריאה באמצעות קרינה אלקטרו-מגנטית ללא מגע, ומאובטח באמצעות חתימה דיגיטלית.

הארגון הבינלאומי לתעופה אזרחית קובע את נתוני הקובץ הביומטרי ואת פרוטוקול התקשורת שישמש לקריאתו, והמידע מאוחסן במעגל המשולב בצורת קובץ JPEG או אחר. מפרט הדרכון הביומטרי כפוף לתקינה בינלאומית (ISO/IEC 14443) המבטיחה תאימות בין דרכונים של מדינות שונות ומתוצרתם של יצרנים שונים.

הנתונים המאוחסנים על השבב

[עריכת קוד מקור | עריכה]

הדרכונים הביומטריים הנמצאים כיום בשימוש מכילים לרוב את הפרטים הבאים: שם, מספר דרכון, לאום, תאריך לידה, מין, תאריך תוקף, תמונות פנים, טביעות האצבעות, וקשתית העין. השבב מכיל גם מספר קבצים אשר מסייעים לאמת שהשבב מקורי ושהנתונים על השבב לא שונו.

דרכונים ביומטריים מצוידים במספר מנגנוני אבטחה על מנת למנוע שימוש לרעה בטכנולוגיה החדישה מצד גורמים חיצוניים:

  • גישת בקרה בסיסית (Basic Access Control) - מספק הגנה מפני גישה לנתונים שבשבב בנוסף לאבטחת ערוץ התקשורת לשבב. גישה לנתונים אפשרית רק לאחר הזנת המפתח הנכון עבור שבב זה.
  • אימות פסיבי (Passive Authentication) - מונע שינוי של הנתונים המאוחסנים בשבב. השבב מכיל קובץ מיוחד בו מאוחסנים מספרי שליטה. במקרה שקובץ בשבב השתנה (לדוגמה, תמונת פנים), ניתן לגלות זאת באופן מיידי.
  • אימות אקטיבי (Active Authentication) - מאפשר להבחין בין שבבים מקורים לשבבים מזויפים. השבב מכיל קוד סודי שלא ניתן לקרוא או להעתיק אותו.
  • בקרת גישה מורחבת (Extended Access Control) - פונקציה נוספת המשמשת הגנה מפני גישה לנתונים. פונקציה זו משמשת בדרך כלל לצורך הגנה מפני דליפת מידע רגיש, כגון טביעות אצבעות.

פריצת מנגנוני האבטחה בדרכונים הביומטריים

[עריכת קוד מקור | עריכה]

לאורך השנים הוצגו והודגמו פריצות של מערכות האבטחה של הדרכונים הביומטריים על ידי גורמים שונים:

  • בשנת 2008 צוות מחקר הצליח להוכיח שניתן לקבוע מהיכן השבבים בדרכון מבלי לדעת את הקוד אשר נדרש לצורך קריאת הנתונים[1]. הצוות ביצע רישום של הודעות השגיאה של שבבי הדרכונים מהמדינות השונות. המידע שהצטבר שימש לצורך אימות המקום ממנו הגיע השבב.
  • בשנת 2005 מארק ויטמן ציין כי הקוד של הדרכונים הביומטריים ההולנדיים ניתן לפיענוח, דבר אשר יאפשר לגורמים עוינים לקרוא את השבב[2].
  • בשנת 2006 לוקאס גרינוולד הוכיח כי ניתן להעתיק נתונים משבב דרכון ביומטרי לכרטיס זיכרון סטנדרטי מתקן ISO 14443 באמצעות ממשק קריאת דרכונים אלחוטי ותוכנת העברת קבצים פשוטה[3].
  • בשנת 2008 יורן ואן ביק הוכיח כי לא כל מערכות בדיקת הדרכונים בודקות את חתימת ההצפנה בשבבי הדרכון[דרוש מקור].
  • בשנת 2005 מארק ויטמן הדגים כי ניתן לאחזר את קוד האימות האקטיבי[2].

הדרכון הביומטרי עורר מחאה מצד פעילים למען הזכות לפרטיות במדינות רבות בעולם, אשר מחו נגד העמימות באשר להיקף המידע שמאוחסן בשבבי הדרכונים ובאשר להשפעתו על חירויות הפרט. פעילים אלה ומומחים מתחומי הטכנולוגיה והמחשוב הביעו דאגה במיוחד מכך שהנתונים המאוחסנים על גבי המעגל המשולב שבדרכונים ניתנים לקריאה באמצעות טכנולוגיית RFID אלחוטית. על אף שהשימוש בטכנולוגיה זו מאפשר לעמדות הזיהוי לקרוא את המידע המאוחסן בדרכונים, היא תהיה עשויה גם לאפשר לכל אדם שברשותו ציוד קריאה מתאים לבצע את אותה הפעולה. במקרה שהפרטים האישיים ומספרי הדרכון המצויים על השבב אינם מוצפנים, המידע עשוי בסופו של דבר להגיע לידיים הלא נכונות.

ב-15 בדצמבר 2006, ה-BBC פרסם מאמר שעסק בדרכונים הביומטריים בבריטניה, אשר ציין כי:

"כמעט בכל מדינה בה מונפק דרכון זה ישנם מספר מומחי אבטחה אשר צועקים בקולי קולות: 'הדרכונים אינם מאובטחים. זה לא רעיון טוב להשתמש בטכנולוגיה זו'"[4]

כמו כן, במאמר מצוטט מומחה אבטחה אשר מציין כי:

"ישנם מקומות בהם היישום נעשה באופן לא טוב - בשלב הראשון מתבצעת קריאת נתונים, לאחר מכן ניתוח הנתונים, עיבוד הנתונים ולבסוף אימות של הנתונים. ישנם פגמים טכניים רבים ביישום הטכנולוגיה, וישנן פונקציות שלא יושמו, כך שבעצם הם לא עושים את מה שהם אמורים לעשות. הם אמורים לספק רמת אבטחה גבוהה יותר, דבר אשר לא מתבצע בפועל."

צוות המחקר של ארגון Future of Identity in the Information Society (גוף מומחי אבטחה הממומן על ידי האיחוד האירופי) הביע אף הוא מחאה נגד הדרכונים הביומטריים של בריטניה וציין כי קיים חשש שהדרכונים ישמשו לצורך גנבת זהות.

דרכון ישראלי ביומטרי

על מנת לאפשר הנפקת דרכונים ביומטריים בישראל הגישה הממשלה ב-27 באוקטובר 2008 לכנסת את הצעת חוק המאגר הביומטרי, התשס"ט-2008, והחוק אושר בדצמבר 2009, ונקבע שייכנס לתוקף ב-1 בינואר 2010 ובלבד שיאושרו תקנות לפי סעיפים אחדים בו. ב-16 במאי 2011 אישרה הממשלה את התקנות שהגיש השר הממונה, וב-2 ביוני 2011 אושרו התקנות בוועדת המדע של הכנסת, ובכך נכנס החוק לתוקף[5].

בשנת 2013 החל משרד הפנים בתקופת מבחן של הנפקת דרכונים ביומטריים, דבר שהתאפשר לאחר שבשנת 2009 חוקקה הכנסת את חוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע (2009). בשלב הפיילוט, שהתקיים עד סוף חודש מאי 2017, יכול היה כל אזרח לבחור בין הנפקת דרכון רגיל לדרכון ביומטרי. כל דרכון ביומטרי שהונפק, נכנסו פרטי בעליו (בהסכמתו) למאגר הביומטרי. החל ב-1 ביוני 2017, ובהתאם לתיקון חקיקה שהתקבל בכנסת, החלה רשות האוכלוסין בהנפקת דרכונים ביומטריים בלבד. בהתאם לחוק הביומטריה, המידע הביומטרי נשמר במאגר ייעודי המנוהל על ידי רשות נפרדת – הרשות לניהול המאגר הביומטרי[6]. טביעת אצבע של נושא הדרכון מועברת למאגר הביומטרי רק בהסכמתו. במקרה זה מונפק דרכון בעל תוקף לעשר שנים. אדם המסרב לאחסון טביעת האצבע שלו במאגר הביומטרי מקבל דרכון בעל תוקף לחמש שנים בלבד.

במהלך השנים דווח במספר הזדמנויות על קריעת דרכונים בביקורת הגבולות במטרה לעודד אזרחים להחליף את דרכונם לדרכון ביומטרי[7][8].

החל מ-24 באפריל 2024 ניתן להנפיק דרכונים ותעודות זהות ביומטריות באמצעות הגשת בקשה מקוונת בלי צורך להגיע אישית לרשות האוכלוסין וההגירה. במגבלות שונות[9].

קישורים חיצוניים

[עריכת קוד מקור | עריכה]

הערות שוליים

[עריכת קוד מקור | עריכה]