Paszport biometryczny

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj
Symbol paszportu biometrycznego, zazwyczaj drukowany na okładkach paszportu.

Paszport biometrycznydokument tożsamości odczytywany przy pomocy urządzeń optycznych i elektronicznych, zawiera dane biometryczne. Dokument pozwala zidentyfikować tożsamość na podstawie cech ciała, takich jak linie papilarne czy wzór siatkówki oka. Informacje są przechowywane na chipie EEPROM o pojemności minimum 32 KB według standardu ISO 14443, a także w kartotekach lub bazach danych urzędów – najczęściej w sposób zdecentralizowany, według miejsca zameldowania.

Obecnie standardy biometryki wykorzystywane do identyfikacji tożsamości pozwalają na korzystanie z systemu rozpoznawania twarzy, odcisków palców oraz tęczówki oka. Tylko te systemy zostały zaakceptowane po dokonaniu oceny różnych innych rodzajów danych biometrycznych jak np. kodu DNA. Standardy paszportu biometrycznego regulowane są w dokumencie wydanym przez Organizacje Międzynarodowego Lotnictwa Cywilnego (ICAO) Doc 9303. Zdefiniowano w nim między innymi format plików oraz protokoły komunikacji stosowane w elektronicznych chipach. W układzie scalonym przechowywane są informacje o właścicielu dokumentu, takie jak jego data urodzenia, dane biometryczne jak odciski palców czy wzór tęczówki oka oraz cyfrowe zdjęcie - zwykle w formacie JPG i JPG2000. Chip, zawierający dane biometryczne, wraz z anteną umieszczony jest w tylnej okładce paszportu, a więc najsztywniejszym elemencie książeczki. Ma to na celu maksymalną ochronę układu przed uszkodzeniami mechanicznymi. Umieszczenie danych użytkownika w wersji elektronicznej ma dwa cele:

  • ułatwienie obsługi pasażerów (gdyż funkcjonariusz Straży Granicznej nie musi ręcznie wpisywać danych z paszportu do komputera)
  • utrudnienie fałszowania paszportów ponieważ dane zapisane w chipie muszą zgadzać się z danymi wydrukowanymi na stronach paszportu[1].

Paszporty niektórych państw jak Albanii, Holandii czy Brazylii są w pełni kompatybilne z normą ICAO9303, jednak nie wszystkie - jednym z wyjątków są między innymi Stany Zjednoczone.

Bezpieczeństwo danych[edytuj | edytuj kod]

W celu uniknięcia lub wykrycia prób fałszowania paszportów biometrycznych, dokumenty te wyposażono w następujące mechanizmy obronne:

  • nieprzechwytywalne właściwości układu scalonego (ang. Non-traceable chip characteristics). Losowo generowane identyfikatory układu odpowiadają na każde żądanie zawsze innym numerem. Zapobiega to śledzeniu wysyłanych identyfikatorów paszportu gdyż za każdym razem są one inne. Mechanizm ten stosowany jest opcjonalnie.
  • podstawowa kontrola dostępu (ang. Basic Access Control- BAC). Chroni kanał komunikacji między układem a czytnikiem poprzez szyfrowanie przesyłanych informacji. Zanim dane zostaną odczytane z układu scalonego, czytnik przekazuje do niego klucz. Oznacza to ze atakujący nie może łatwo podsłuchiwać przesyłanych danych bez znajomości odpowiedniego klucza. Mechanizmem tym zabezpieczone są mniej wrażliwe dane jak obraz twarzy. Korzystanie z BAC jest opcjonalne.
  • Uwierzytelnienie Bierne (ang. Passive Authentication - PA). Jest to zabezpieczenie 16 grup danych (DG1-DG16) zapisanych w układzie scalonym przy użyciu podpisu cyfrowego (generowanego w fazie personalizacji dla wszystkich danych z użyciem funkcji skrótu)[2]. Zabezpieczenie to uniemożliwia zmianę danych w układzie scalonym paszportu. Chip zawiera plik formatu SOD, który przechowuje zakodowane wartości wszystkich plików (zdjęcia, odciski palców itp.) oraz podpisu cyfrowego. Próba podmiany zdjęcia zostanie wykryta ponieważ zakodowana wartość w pliku SOD nie będzie poprawna. Użycie tego zabezpieczenia jest obowiązkowe.
  • uwierzytelnienie aktywne (ang. Active Authentication - AA). Mechanizm ten zapobiega kopiowaniu paszportowych chipów. Każdy układ scalony zawiera prywatny klucz który nie może być odczytany lub skopiowany. Autentyczność chipu jest sprawdzana przez terminal metodą challenge response. Jeśli chip odeśle prawidłowo podpisaną liczbę losowo wygenerowaną przez terminal to uznaje się że zna prawidłowy klucz prywatny. Założeniem tego systemu jest oczywiście brak możliwości wydobycia klucza prywatnego z układu[3]. System AA jest opcjonalny.
  • system rozszerzonej kontroli dostępu (ang. Extended Access Control – EAC). Mechanizm, który umożliwia sprawdzenie autentyczności chipa (chip authentication) oraz czytnika (terminal authentication). System ten opiera się o infrastrukturę klucza publicznego (technologię podpisu cyfrowego) w której urządzenie usiłujące odczytać odciski palców musi uwierzytelnić się przed paszportem[1]. EAC używa lepszego kodowania niż Basic Access Control (BAC). Jest to mechanizm przeznaczony dla danych wrażliwych jak odciski palców, wzory siatkówki oka i innych które nie mogą być łatwo pozyskane od wnioskodawcy paszportu. Zabezpieczenie to było opcjonalne jednak od 28 czerwca 2009 roku w Unii Europejskiej system ten jest wymagany.
  • chip umieszczony w okładce posiada osłonę w postaci metalowej siatki, która stanowi pewnego rodzaju tarcze ochronną. Sam mikroprocesor nie jest zbyt narażony na uszkodzenia, ponieważ jest małym kwadratem o wymiarach kilku milimetrów. Najbardziej newralgiczną częścią układu scalonego jest jego antena, mająca postać cewki z miedzianego drutu[1]. Użycie tego zabezpieczenia jest opcjonalne.

Próby złamania systemów bezpieczeństwa[edytuj | edytuj kod]

  • nieprzechwytywalne właściwości układu scalonego. W 2008 roku zespół z Uniwersytetu w Radboud oraz Lausitz udowodnił że możliwe jest określenie, z którego Państwa pochodzi chip bez znajomości klucza.[potrzebne źródło]
  • podstawowa kontrola dostępu (Basic Access Control) W 2005 roku Marc Witteman wykazał, że numery paszportów holenderskich są możliwe do przewidzenia, co pozwala hakerom odgadnąć bądź złamać klucz wymagany do odczytania chipa. W 2006 roku Adam Laurie napisał oprogramowanie, które próbuje wszystkie znane klucze paszportów w danym zakresie. Korzystanie z witryn internetowych do rezerwacji biletów lotniczych umożliwia znaczne zmniejszenie liczby kluczy które mogą być wykorzystane do oprogramowania napisanego przez Adama Laurie. Twórca tego programu udowodnił także że możliwe jest odczytanie chipu paszportu zapakowanego w kopertę bez jej otwierania. Należy zauważyć, że w niektórych wcześniej wydawanych paszportach biometrycznych mechanizm BAC nie był w ogóle używany, co pozwala atakującemu odczytać układ treści bez podania klucza.[potrzebne źródło]
  • PassiveAuthentication pozwala terminalowi wykryć próbę manipulacji danymi, ale nie zabezpiecza chipa przed całkowitym klonowaniem (kopiowanie kompletu danych z jednego chipa do drugiego). Istnieje jednak możliwość wykrycia tego ataku przez porównanie kodu MRZ (Machine Readable Zone) z zapisanymi grupami danych DG1-DG16 (Data Group). Zawartość MRZ zapisana jest w układzie scalonym. Jednak w wypadku skopiowania okładki i ta metoda zawiedzie. W 2006 Lukas Grunwald udowodnił, że przy pomocy standardowego czytnika kart bezdotykowych oraz prostego narzędzia do przesyłania plików w bardzo łatwy sposób można przekopiować dane z układu scalonego paszportu konwertując je do normy ISO / IEC 1444. Grunwald wykorzystał paszport nie wyposażony w mechanizm aktywnego uwierzytelniania (Active Authentication) który to uniemożliwia sklonowanie układu scalonego. Podpis kryptograficzny pozostał ważny ponieważ dane przechowywane na skopiowanym chipie nie zostały zmienione. W 2008 roku Jeroen van Beek wykazał, że nie wszystkie systemy kontroli paszportów sprawdzają ważność podpisu kryptograficznego z układu scalonego tego dokumentu. Dla udowodnienia swojej tezy Van Beek zmienił dane w chipie i podpisał go przy użyciu własnego klucza podpisującego dokument kraju który nie istnieje. Może to zostać wykryte jedynie poprzez sprawdzenie klucza kraju (ang. the country signing keys) użytego do podpisania dokumentu. Również w 2008 roku The Hacker’s Choice zrealizowali wszystkie ataki i opublikowali kod żeby zweryfikować wyniki. Publikacja zawierała klip wideo, który wykazywał że sfałszowany paszport Elvisa Presley jest uznawany za ważny paszport USA. [potrzebne źródło]
  • uwierzytelnienie aktywne (Active Authentication). W 2005 roku Marc Witteman wykazał, że tajny klucz AA można odczytać za pomocą ataku power analysis który pozwala na wydobycie tajnych informacji z układu scalonego. Umożliwia to osobie atakującej sklonowanie chipu paszportu, który opcjonalnie używa mechanizm anty-klonowania (AA). W 2008 roku Jeroen van Beek wykazał, że opcjonalne mechanizmy bezpieczeństwa można wyłączyć, usuwając ich obecność z pliku indeksującego paszport. Pozwala to atakującemu na usunięcie między innymi mechanizmu anty-klonowanie (AA). Atak ten udokumentowany został w dodatku 7 Doc 9303 (R1-p1_v2_sIV_0006) i za pomocą odpowiedniego uaktualnienia (patcha) do oprogramowania może uniemożliwić złamanie tego mechanizmu.[potrzebne źródło]
  • system rozszerzonej kontroli dostępu (Extended Access Control). W 2007 roku Lukas Grunwald zaprezentował sposób który potrafi dezaktywować system EAC. Dowiódł on że jeśli klucz EAC wymagany do odczytu odcisków palca i aktualizowania certyfikatów jest naruszony bądź skradziony to w dalekiej przyszłości atakujący może załadować certyfikaty z fałszywą data wystawienia. Efektem tego chip posiada dostęp do czasu wygaśnięcia daty sfałszowanego certyfikatu.[potrzebne źródło]

Opozycja[edytuj | edytuj kod]

Komunikacja między chipem a czytnikiem oparta jest na technologii RFID, która wykorzystuje fale radiowe do przesyłania danych oraz zasilania elektronicznego układu (etykieta RFID) stanowiącego etykietę obiektu przez czytnik, w celu identyfikacji obiektu. Dokumenty biometryczne z zastosowaniem tej technologii stanowią zwiększone zagrożenie dla prywatności danych dotyczących obywateli. W Stanach Zjednoczonych liczni specjaliści , m.in. w dziedzinie kryptologii, krytycznie odnieśli się do zastosowania nadajników RFID w dokumentach identyfikacyjnych. Komitet Doradczy Departamentu Bezpieczeństwa Krajowego w USA (The Data Privacy and Integrity Advisory Committee of the Department of Homeland Security - DHS) wydał specjalne opracowanie, w którym ustosunkowuje się do zastosowania nadajników RFID w dokumentach identyfikacyjnych. Komitet Doradczy DHS bardzo krytycznie ocenił zastosowanie tego typu biometrycznej technologii w powszechnie stosowanych systemach identyfikacyjnych, np. w paszportach. Pomimo wielu sprzeciwów i konstruktywnych racji przedkładanych przez przeciwników zastosowania tego rodzaju biometrycznej technologii oraz pomimo ostatniego dokumentu Komitetu Doradczego DHS, rozpoczęto wydawanie paszportów z wbudowanym chipem RFID[4]. Na znanej w środowisku hakerów konferencji Defcon w Las Vegas w USA Lukas Grunwald (konsultant zabezpieczeń DN-Systems Germany) powiedział, że odkrył metodę na klonowanie informacji przechowywanych w biometrycznych paszportach[5]. Transmisja danych z paszportu do czytnika jest szyfrowana przy pomocy klucza wygenerowanego na podstawie danych właściciela paszportu. Nie jest to zabezpieczenie zbyt silne. Obecna technologia dostępna przestępcom pozwala na uzyskanie klucza, przy pomocy którego dałoby się rozszyfrować te informacje. Trzeba w tym celu zaangażować odpowiednią moc komputerów, co jest czasochłonne oraz wymaga wysokich kwalifikacji[6].

Skopiowany chip może być z łatwością umieszczony w podrobionym paszporcie i całość będzie uznana jednoznacznie za prawdziwy paszport. Ekspert od zabezpieczeń[kto?] twierdzi, że ten cały pomysł z biometrycznymi paszportami to ogromna strata pieniędzy - w żadnym stopniu bezpieczeństwo się nie zwiększa. Z punktu widzenia systemów zabezpieczeń bezpieczeństwo to nawet się zmniejsza i to bardzo - osoby, które obsługują odprawę np. na lotniskach po pozytywnym potwierdzeniu autentyczności paszportu nie mają żadnych podstaw do zatrzymania osoby przekraczającą granicę na fałszywym paszporcie. Wysokiej klasy sprzęt potrzebny do sklonowania paszportu kosztuje ok 600 zł[potrzebne źródło].

Jedyną metodą uniemożliwienia skopiowania naszego paszportu wydawanego od 29 czerwca 2009 roku jest po prostu jego nie noszenie i przechowywanie w bezpiecznym miejscu najlepiej pod kluczem. W podróży warto byłoby również sprawić sobie coś w rodzaju ołowianego futerału, który skutecznie będzie chronił nasz paszport przed sczytaniem go z zewnątrz. Kopiowanie danych zawartych w paszporcie biometrycznym odbywa się bezprzewodowo i w praktyce wystarczy, że ktoś zbliży się na odległość nawet 2 metrów (zazwyczaj potrzeba co najmniej 20 cm) - wszystko odbywa się w ułamku sekundy - każda osoba przechodząca blisko dysponująca odpowiednim urządzeniem znajdującym się np. w kieszeni marynarki może skopiować biometryczny paszport[5].

Paszporty biometryczne w Polsce[edytuj | edytuj kod]

W Polsce paszporty biometryczne weszły w życie 28 sierpnia 2006 roku[7]. Książeczki polskich paszportów biometrycznych produkuje Polska Wytwórnia Papierów Wartościowych S.A.[8]. Dane obywateli nanoszone są w Centrum Personalizacji Dokumentów MSWiA. Polskie paszporty biometryczne zawierają wizerunek twarzy i odciski palców zapisane w formie elektronicznej[9][10]. Paszporty wydane do 29 czerwca 2009 roku zawierają tylko wizerunek twarzy. Od 28 czerwca 2009 zaczęto wydawać biometryczne paszporty serii EA z odciskami palców zapisanymi w chipie RFID.

Zobacz też[edytuj | edytuj kod]

Przypisy

Linki zewnętrzne[edytuj | edytuj kod]