Komponentit

E-passport demo osoittaa heikkouksia uusissa rajatarkastuksissa

Anonim

Ns. e-passtien radiosignaaleja koskevat tiedot voidaan kloonata ja muokata ilman havaitsemista, mikä on turvallisuustutkijoiden mukaan kattava turvallisuusreikä seuraavan sukupolven rajatarkastusjärjestelmissä.

Ylöspäin 50 maata purkavat passeja, joissa on biometrisiä ja henkilötietoja sisältäviä sulautettuja RFID-tunnisteita (radio frequency identification). Liikkuvuuden tarkoituksena on vähentää petollisia passeja ja vahvistaa rajaesityksiä, mutta turvallisuusasiantuntijat sanovat, että järjestelmillä on useita heikkouksia.

Hollantilainen tutkija Jeroen van Beek on julkaissut ohjelmistotyökalun, jota voidaan käyttää koodaamaan RFID-sirut väärillä tiedoilla. Esittelynäytöllä van Beek kertoo, miten skanneri Amsterdamin lentokentällä lukee passin sirun, jonka hän koodasi Elvis Presleyn tiedot ja valokuva.

Tämä tarkoittaa sitä, että petostaja voisi mahdollisesti luoda väärennetyn passin RFID-sirulle, joka näyttäisi oikeutetulta. Tietojen ilmeinen syy johtuu perustavanlaatuisesta ongelmasta siitä, miten viranomaiset laativat järjestelmät sähköisen passin käsittelemiseksi, sanoo van Beekin kanssa yhteistyössä toimiva freelance-tietoturva-tutkija Adam Laurie.

RFID-sirujen passitiedot allekirjoitetaan sen maan kanssa, jonka passi on myönnetty, digitaalisella todistuksella. E-passport-järjestelmien on tarkoitus varmistaa, että todistus passin skannauksessa, Laurie totesi.

Kaikkien e-passin myöntävien maiden on tarkoitus ladata digitaalinen sertifikaatti julkisen avaimen hakemistoon (PKD), tietokantaan, jonka pitäisi kysyä varmista, että todistus on oikea, Laurie sanoi.

Mutta vain kymmenestä 50: sta maasta on suostunut lähettämään kyseiset todistukset PKD: lle, Laurie sanoi. Tietokantaan osallistuu vain viisi maata, hän totesi.

"Pohjimmiltaan koko asia putoaa", Laurie sanoi.

Van Beek'n esittelyssä petoskappaleita sisältävä passisiru sisältää oman todistuksensa, joka näyttää olevan laillisena viranomaisena mutta ei ole 't. Koska Alankomaat ei käytä PKD: ää passitodistusten todentamiseen, todistus hyväksytään, Laurie sanoi.