Saksalaiskonsultti: e-passien tiedot helppo kopioida
0
Saksalainen tietoturvakonsultti väittää, että uusien biometrisiä tunnisteita käyttävien passien tiedot on helppo kopioida passeissa käytettäviltä rfid-siruilta. DN-Systems-nimisen tietoturvayhtiön konsulttina työskentelevä Lukas Grunwald demoaa asiaa parhaillaan Las Vegasissa järjestettävässä Black Hat -tietoturvatapahtumassa.
Grunwald on esitellyt etäluettavalla rfid-tekniikalla varustetun saksalaispasin kopiointia Wired-lehden toimittajalle. Wiredin mukaan Grunwald pystyi helposti monistamaan passin sisältämät tiedot ja siirtämään ne väärennettyyn passiin. Passitietojen kopiointi edellyttää kuitenkin sitä, että kopioija saa monistettavan passin fyysisesti haltuunsa. Kopiointi onnistuu, koska sekä EU:n että Yhdysvaltojen uusimuotoisissa passeissa rfid-sirulle tallennetut tiedot ovat salaamattomassa muodossa.
Wiredin haastattelema Yhdysvaltain sisäministeriön edustaja ei pidä passitietojen kopiointia sirulta kovinkaan merkittävänä teknisenä suorituksena tai tietoturvariskinä, koska esimerkiksi Yhdysvallat ei ole ottamassa käyttöön täysin automaattista passinlukukäytäntöä.
Passintarkastuksessa on siis aina ihminen, joka tarkistaa passinhaltijan henkilöllisyyden. Lisäksi siruille tallennettua biometristä tietoa, kuten esimerkiksi kasvokuvaa, voidaan myös koneellisesti verrata passia kantavan henkilön tietoihin.
Myös suomalaispassien tiedot selväkielisinä
Sisäministeriön projektipäällikkö Tommi Rakshit vahvistaa, että myös uusien, tämän kuun lopussa haettavaksi tulevien suomalaispassien tiedot ovat sirulla selväkielisinä. Rakshit korostaa yhdysvaltalaisvirkamiehen tavoin, että yksin passin tiedoilla ei sinänsä voi tehdä paljoakaan.
"Sirulla on samat tiedot kuin passin tietosivullakin kirjoitetussa muodossa", Rakshit sanoo. Suomalaispasseissa käytetään myös passille tallennettuihin julkiseen ja salaiseen avaimeen perustuvaa aktiivisen autentikoinnin menetelmää, joka Rakshitin mukaan tekee kopioinnista mahdottoman. Aktiivinen autentikointi on osa passien tekniikkaa määrittävää kansainvälistä standardia, mutta sen käyttö on eri maiden viranomaisten omassa harkinnassa.
Grunwald spekuloi Wiredin haastattelussa myös mahdollisuutta käyttää väärennettyä rfid-passia passintarkistusjärjestelmän häiritsemiseen jakelemalla järjestelmään haittakoodia rfid-sirun avulla. Rakshitin mukaan tämä asia taas ei sinänsä liity passeihin, vaan kysymys on taustajärjestelmien tietoturvan oikeanlaisesta suunnittelusta.
