Demo E-paszportów pokazuje słabości w nowych kontrolach granicznych

Dane na temat chipów radiowych w tak zwanych e-paszportach mogą być klonowane i modyfikowane bez wykrycia, co według badaczy bezpieczeństwa stanowi luka w zabezpieczeniach systemów kontroli granicznej nowej generacji.

W górę z 50 krajów wprowadza paszporty z wbudowanymi chipami RFID (identyfikacja radiowa) zawierającymi dane biometryczne i dane osobowe. Posunięcie ma na celu zmniejszenie liczby fałszywych paszportów i wzmocnienie kontroli granicznych, ale eksperci ds. Bezpieczeństwa twierdzą, że systemy mają kilka słabych stron.

Holenderski naukowiec Jeroen van Beek opublikował zestaw narzędzi programowych, który może być używany do kodowania chipów RFID z fałszywymi informacjami. W filmie demonstracyjnym van Beek pokazuje, jak skaner na lotnisku w Amsterdamie odczytuje chip z paszportem, który zakodował w informacji i zdjęciu Elvisa Presleya.

Oznacza to, że oszust może stworzyć fałszywy paszport z chipem RFID, który wydaje się uzasadniony. Powód, dla którego dane wyglądają na zgodne z prawem, wynika z fundamentalnego problemu, w jaki sposób rządy tworzą systemy do obsługi e-paszportów, powiedział Adam Laurie, niezależny badacz bezpieczeństwa, który współpracował z vanem Bekiem podczas demonstracji.

Dane paszportowe dotyczące chipów RFID jest podpisany za pomocą cyfrowego certyfikatu należącego do kraju, w którym wydano paszport. Systemy e-paszportowe mają zweryfikować ten certyfikat podczas skanowania paszportu, powiedziała Laurie.

Wszystkie kraje wydające paszporty elektroniczne mają przesłać swój cyfrowy certyfikat do katalogu kluczy publicznych (PKD), bazy danych, która powinna być zapytana upewnij się, że certyfikat jest poprawny, powiedziała Laurie.

Ale tylko 10 z około 50 krajów zgodziło się przesłać te certyfikaty do PKD, powiedziała Laurie. Według niego, tylko pięć krajów bierze udział w tworzeniu bazy danych.

"Zasadniczo wszystko spada", powiedziała Laurie. Bezpieczeństwo systemu e-paszportu jest zakorzenione w wewnętrznych testach bazy danych tych certyfikatów, powiedział.

W demonstracji van Beeka mikroukład paszportowy zawierający nieuczciwe dane przedstawia własny certyfikat, który wydaje się pochodzić od uprawnionego organu, ale nie jest "t. Ponieważ Holandia nie używa PKD do weryfikacji certyfikatów paszportowych, certyfikat jest akceptowany, Laurie powiedziała.