Uspešno razbitje biometričnega potnega lista!

"Da bi preprečili nove teroristične napade, je potrebno uvesti biometrične potne liste, ki jih kriminalci ne bodo mogli ponarediti. Z njimi bomo vsi bolj varni." Tako je šla mantra o potrebnosti novih biometričnih potnih listov, ki so jo začeli v ZDA, kmalu pa jo je začela prepevati še Evropa.

A kako je v resnici?

Danes je The Guardian objavil članek, kjer opisuje, kako je dvema britanskima raziskovalcema uspelo v britanski biometrični postni list dejansko tudi vdreti.

Raziskovalca sta namreč uspela razbiti šifrirno zaščito potnega lista (oziroma njegovega RFID-čipa) in s tem pridobila dostop do domnevno varne vsebine potnega lista. Vsebina potnega lista poleg osebnih podatkov vsebuje osebno fotografijo, v bodoče pa bo vsebovala tudi prstne odtise.

Izkazalo se je namreč, da komunikacija med RFID-čipom in čitalcem sicer poteka v šifriranem načinu (uporabljajo 3DES), vendar se šifrirni ključ nahaja na samem potnem listu! Ključ je namreč sestavljen iz številke potnega lista, rojstnega datuma imetnika in datuma prenehanja veljavnosti potnega lista, ti podatki pa so tudi strojno berljivi.

Sicer je res, da je (ponarejene) podatke na RFID-čip potem, ko je potni list enkrat izdan, nemogoče zapisovati, a kot je avgusta letos pokazal nemški raziskovalec Lukas Grunwald, je RFID-čipe v potnih listih mogoče uspešno klonirati. Grunwaldu je celo uspelo prenesti potni list na smartcard kartico, če pa je kartico vstavil v potni list, so RFID-čitalci prebrali le-to in ne potnega lista.

Ker pa je podatke na smartcard kartici mogoče poljubno zapisovati in spreminjati in ker je sedaj znano, kakšno je geslo za dostop do podatkov, je s tem odprta pot do ponarejanja podatkov na potnih listih. The Guardian podrobno opisuje več možnih scenarijev dostopa do gesla in možnosti za neopazno kloniranje potnega lista. Ob tem so stroški potrebne strojne opreme za napadalca pravzaprav minimalni, scenariji pa povsem realistični.

In potem bomo vsi varnejši in bomo srečno živeli do konca svojih dni ...