ב-Online
 
 
 
 
 
 
 
 
כולנו פושעים 

כולנו פושעים

 
 
חיים רביה

חוקי ההצפנה המגוחכים של מדינת ישראל הופכים את כל מי שרוצה קצת פרטיות לפושע מועד. עו"ד חיים רביה מסביר למה משרד הביטחון חושב שWinzip היא נשק רב עוצמה. כתבה שנייה בסדרה

 
 
 
 
 
 
 
 
 
ברישיון משרד הביטחון. תוכנת הצפנה נטסקייפ
 ברישיון משרד הביטחון. תוכנת הצפנה נטסקייפ   
באדיבות law.co.il

לצד שימושיה הביטחוניים המסורתיים, משמשת ההצפנה בתקשורת המודרנית למטרות רבות נוספות: קידוד שיחות בטלפונים סלולאריים, אבטחת מידע הנשלח מדפדפני אינטרנט לאתרים של מסחר אלקטרוני, הגנה על הקניין הרוחני בקבצים, ניהול רשתות וירטואליות המאחדות אתרים מרוחקים באמצעות תשתית אינטרנט, אימות זהותם של צדדים לחוזים, הגנה על נתונים במחשבים ועוד ועוד.

הלכה למעשה, אין לתאר את פעולתה של האינטרנט בלא קידוד והצפנה. למרות זאת, הפיתוח, הייצור, הייצוא והשימוש באמצעי הצפנה בישראל כפופים לדין אנכרוניסטי, ההופך עשרות ומאות אלפים לעבריינים בעל כורחם ומונע שימוש חופשי באמצעי הצפנה לצרכי אבטחת מידע במערכות מחשב.

הסיבה לקרימנילזציה של משתמשי המחשב בישראל: ניתן להשתמש בהצפנה למטרות בלתי כשרות. למה הדבר דומה? איסור על ייצור סכינים מפני שניתן לפגוע באמצעותם בזולת.

הפיקוח על אמצעי הצפנה בישראל מתבצע מכוחו של צו הפיקוח על מצרכים ושירותים (עיסוק באמצעי הצפנה), התשל"ה 1974. צו זה ידוע כצו הצופן. נלווית אליו הכרזת הפיקוח על אמצעי הצפנה מאותה שנה, שהורתה כי אמצעי הצפנה הם שירות בר פיקוח.

הצו וההכרזה הוצאו מכוח חוק הפיקוח על מצרכים ושירותים, התשי"ח 1957. העובר על הוראות הצווים וההכרזות מבצע עבירה פלילית, שעונשה שלוש שנות מאסר. סמכות הפיקוח נתונה מאז שנת 1998 למנכ"ל משרד הביטחון (קודם לכן היה קצין קשר ואלקטרוניקה ראשי ממונה על הנושא), והוא הסמיך את הממונה על פיקוח הייצוא הביטחוני (מפ"י) לטפל בהליכי הרישוי של אמצעי הצפנה.
 
ברישיון משרד הביטחון. כלי הצפנה אקספלורר
 ברישיון משרד הביטחון. כלי הצפנה אקספלורר   
בעוד שמרבית החוקים במדינות המערב מתמקדים בייצוא אמצעי הצפנה (ועל כך בכתבה הקודמת), צו הצופן הישראלי אוסר גם על פיתוחם, ייצורם, ייצואם, קנייתם ומכירתם - ואף על השימוש בהם! - בלא קבלת רישיון מאת המנהל הכללי של משרד הביטחון.

המנהל רשאי להוציא אחד משלושה סוגי רשיונות: רשיון כללי, החל על כל סוגי השימוש באמצעי הצפנה; רשיון מוגבל, העומד בתוקף למשך שנה אחת בלבד וחל רק על סוגים של עיסוק באמצעי הצפנה לאמצעי הצפנה מסוים או למדינות יעד, לפי סוג המשתמש באמצעי ההצפנה או לפי אמת מידה אחרת;

כמו כן קיים רשיון מיוחד - רשיון לעיסוק מסוים, לרבות עסקה מסוימת באמצעי הצפנה מסוים. עסקה באמצעי חופשי (אמצעי שהמנהל נתן עליו מיוזמתו רשיון כללי, או שפירסם כי הוא חופשי בשימוש) פטורה מחובת רישיון.

כדי שאדם יוכל לרכוש ולהשתמש כדין באמצעי הצפנה, עליו לוודא כי הוא עונה לאחת מהדרישות האלו:

1) ניתן רשיון למכור את האמצעי או להעבירו לאותו אדם. זוהי אפשרות שמתקיימת בעיקר באמצעים שפותחו בישראל על ידי חברות מקומיות, המצייתות באופן טבעי להוראות צו הצופן. ספק אם ניתן לקיימה באמצעי הצפנה שפותחו בחו"ל (לדוגמה, כאלה המוטמעים במערכות ההפעלה חלונות NT ו- 2000), ולבטח לא ניתן לקיימה כאשר המוכר הוא חברה זרה ומכירת האמצעי מתבצעת באמצעות האינטרנט.
 
ברישיון משרד הביטחון. אמצעי הצפנה ווינזיפ
 ברישיון משרד הביטחון. אמצעי הצפנה ווינזיפ   
2) אמצעי הוכרז כאמצעי חופשי - עד כה פורסמו ברשומות שלוש רשימות של אמצעים כאלה. הן מעידות יותר מכל על הפירוש הדווקני של צו הצופן, לפיו אפילו תוכנות לכיווץ קבצים מסוג ZIP הן אמצעי הצפנה (הצו מאשר את השימוש בחלק קטן ביותר מהתוכנות הללו, למרות שקובץ שכווץ באחת מהן יכול להיפתח בכל אחת אחרת).

3) דפדפני אינטרנט אף הם נחשבים לאמצעי הצפנה (הצו מאשר את השימוש בנפוצים שבדפדפנים - אינטרנט אקספלורר ונטסקייפ קומיוניקטור - אך לא בכולם), וגם טלפונים סלולאריים מדגמים מסוימים (ומה עם האחרים?).

יתרה מזאת, יש יסוד סביר להניח כי אמצעי חופשי הוא אמצעי שמערכת הביטחון יכולה ויודעת כיצד לפצחו, ולפיכך השימוש בו אינו בטוח די צרכו. ולבסוף, ברור בעליל שקצב הפירסום וההכרזה על אמצעים חופשיים אינו יכול להדביק כלל ועיקר את שפע התוכנות והמכשירים שכוללים אמצעי הצפנה כחלק בלתי נפרד מהם.

התוצאה המצטברת היא שחלק ניכר מהרוכשים אמצעי הצפנה לשימושים לגיטימיים, כדוגמת אבטחת מידע, צריכים לבקש רשיון לעשות כן.

לעומתם, המבקש לעסוק באמצעי הצפנה צריך לקבל רישיון לכך עם התחלת עבודתו. זוהי מגבלה חמורה על חופש העיסוק, המעוגן בחוק יסוד, שמורה בין השאר כי כל רשות מרשויות השלטון חייבת לכבד את חופש העיסוק של האזרח.
 
 
תהליכי הרישוי של אמצעי הצפנה שכבר פותחו בעייתיים עוד יותר. המבקש לקבל רישוי לאמצעי הצפנה צריך להעביר למפ"י גרסה עובדת של התוכנה, חומר ותיעוד נלווה לה - וגם את קבצי המקור של התוכנה. קבצי המקור חושפים בפני מערכת הביטחון את האלגוריתם שבייסוד מערכת ההצפנה, והם בבחינת סוד מסחרי ומקצועי כמוס של מפתחיו.

צו הצופן כשלעצמו אינו מחייב למסור את האלגוריתמים, אלא שזוהי דרישה של משרד הביטחון, הסמכות המאשרת. בהיעדר הסמכה מפורשת לדרוש את קבצי המקור, חוקיות הדרישה אינה ברורה ויש יסוד לטעון כי אינה עולה בקנה אחד עם הוראות "חוק יסוד: כבוד אדם" האוסרות פגיעה בקניינו של אדם.

כך או אחרת, לנוכח החובה להעביר את קבצי המקור, אין פלא שחברות תוכנה ישראליות המבקשות לייצא אמצעי הצפנה לחו"ל נתקלות לעתים מזומנות בחשש כי באמצעים שפיתחו חבויה "דלת אחורית" סודית המאפשרת לרשויות הבטחון הישראליות לחדור דרכם אל הארגון.

לזכותה של מערכת הביטחון ייאמר שהיא מודעת לצורך בשינוי הוראות צו הצופן. היא החלה בתהליך השינוי לפני כשנה ומחצה, עם התיקון בהוראות הצו, וממשיכה אותו בעצם הימים הללו עם פרסומה של מדיניות חדשה בנושא ייצוא אמצעי הצפנה. אבל השינוי איטי ומתנהל עקב בצד אגודל.

מדיניות הייצוא החדשה מדגישה כי אינה משנה את הוראות הצו, אך קובעת כי עקרונית יתקבל רשיון לייצא אמצעי הצפנה לגופים לא ממשלתיים בלא מגבלה על אורך מפתח ההצפנה (ובשפה פשוטה, לא תהיה מגבלה על עוצמת תוכנות ההצפנה שניתן יהיה לייצא).

דווקא מדיניות זו מעוררת תמיהה קשה: אם ניתן לייצא אמצעי הצפנה בלא מגבלה, מדוע לא ניתן להשתמש בהם לתכליות חוקיות בלא מגבלה כלשהי?

זוהי מכשלה מהותית בדרכה של הליברליזציה באמצעי הצפנה בישראל - חברות בעלות אינטרסים מסחריים מקדמות אותה, וקולם של חסידי הגנת הפרטיות כמעט ואינו נשמע. התוצאה היא סתירה מהותית בין החובה המוטלת בחוק לאבטח מידע, לבין חסימת האפשרות להשתמש באמצעי האבטחה העיקרי בעידן הדיגיטלי, ההצפנה. על כך בכתבה הבאה.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by