Schneier.com - Pred časom so se politiki po vsem svetu odločili uvesti biometrične RFID potne liste. Razlog je bila seveda povečana varnost, nove potne liste pa naj bi bilo tudi nemogoče ponarediti. Nekateri varnostni strokovnjaki so sicer opozarjali, da tako zlahka pač ne bo šlo, vendar so bili njihovi pomisleki brž zavrnjeni. Nove tehnologije vendar prinašajo le izboljšave in napredek!
Da zadeve nikakor niso rožnate se je izkazalo že kmalu, ko so različni raziskovalci pričeli odkrivati napake v implementaciji in celo sami zasnovi biometričnih potnih listov. Dokončen žebelj v krsto biometričnih potnih listov pa je očitno zabila skupina The Hacker's Choice, ki je na spletu objavila navodila kako si lahko vsakdo sam preprosto ponaredi čip v biometričnem potnem listu. Spreminjati je mogoče ime, priimek, nacionalnost in ostale podatke ter si naložiti poljubno sliko.
Postopek je preprost. Najprej je na prazno pametno kartico potrebno naložiti ustrezno programsko kodo (ki služi kot emulator), nato pa s pomočjo prirejene različice orodja RFIDI0t prebrati vsebino čipa na biometričnem potnem lisu ter spremenjeno vsebino naložiti na pametno kartico.
Kot je razvidno iz video prikaza objavljenega na THC spletni strani bi bilo mogoče s prirejenim potnim listom brez težav prečkati mejo, saj programska oprema mejnih organov pri branju ponarejenega biometričnega potnega lista ne zazna nikakršne napake.
In kot je razvidno iz videoprikaza je Elvis Presley še vedno živ. In ne samo to - ima tudi nov (biometrični) potni list!
Enkrat sem prebral (pomoje celo na ST), da naj bi bili ti podatki, ki so zapisani na rfid potnih listih kar v plain text formatu; brez kakaršnih koli certifikatov in drugih zaščit.
Dejansko bi bilo zelo problematično imeti centralni CA.
1. Stroški. 2. Možnost izgube. 3. Kdo bi bil issuer potnega lista. "svetovna vlada"? Ali bi imela vsaka vlada svoj CA? Če da, bi lahko slovenija izdala potni list za Nemčijo (ali pa Iran za ZDA).
Zato je CA kar lepo generiran iz tvojih osebnih podatkov (rojstni datum,...) in serijske številke natisnjene na potnem listu. To je tudi precej enostavno za čitalce RFID čipov, ki "CA" podatke dobijo s skenom potnega lista.
V glavnem, uvedba varnih in zanesljivih biometričnih potnih listov je precej težavna naloga.
Dejansko še niso prevarili terminala na mejnem prehodu. Tam pa preverjajo pristnost na malo drugačen način kot je predviden v "proof of concept" hacku.
Dejansko bi bilo zelo problematično imeti centralni CA.
Hja, načeloma niti ne. Vsaka država ustanovi svoj CA, ki je pod upravljanjem zunanjega ministrstva. Potem si lahko države med seboj priznavajo CA-je in vnašajo certifikate v svoje sisteme. Amerika prizna RFID potne liste Slovenije in to pomeni, da dajo podpis slovenskega CA-ja (ki je recimo v upravljanju zunanjega ministrstva) v svojo bazo priznanih CA.
Če pa bi živeli v še lepšem svetu, pa bi se države zmenile med seboj in ustanovile vrhovni CA v okviru ZN.
*Riiiinng*Uf, je že jutro? To pa so bile sanje ...
a ne morejo mejni organi sčekirat, kdo je CA, ki je podpisal biometrični PL? Sicer lahko Iran potem izda ponarejen PL v imenu ZDA, ampak bi mejni organi kaj hitro videli, da je podpisnik napačen?
imagodei: mislim, da bi se dalo. Ampak kako boš rešil problem če Iranu (ali pa Zimbabveju) ukradejo certifikat in ga on potem revoka? A boš razveljavil vse stare potne liste?
Čez terminal na mejnem prehodu pa seveda ne bi šli, ker bi morali ponarediti tudi sam fizični potni list. Tukaj so ponarejali samo vsebino čipa.
MrStein: CA zadevo samo še bolj zakomplicira, zato ti predstavlja problem, ne rešitev.
Matthai> "Ampak kako boš rešil problem če Iranu (ali pa Zimbabveju) ukradejo certifikat in ga on potem revoka? A boš razveljavil vse stare potne liste?"
Tale ni teoretično crknila, ampak konkretno PRAKTIČNO.
Seveda smo za to, da boljše rešitve nadomestijo slabe. Ampak se morajo izkazat kot boljše. Tehnologija po eni strani omogoča večjo varnost, po drugi strani pa ista tehnologija omogoča tudi lažje delo "zlobnim" posameznikom.
Ne, v startu je treba pred uvedbo vsake novotarije temeljito premisliti posledice in poslušati strokovnjake, ne pa "tripati" na floskule o večji varnosti in politične flancarije.
Če ne se zgodi točno to, kar se je zgodilo tule. In BTW: eni s(m)o že pred leti napovedali, da se bo zgodilo točno to.
Tako kot so zgoraj rekli vsaka država ima svoj CA in tisti CA podpiše lahko samo potne liste za tisto državo. Kar se tiče ukradenega ključa. Jebat ga stroške novih potnih listov krije CA, ker ni dovolj poskrbel za varnost.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
OK, torej predpostavimo situacijo Zimbabveja ali podobne države. Lokalni hekerji vdrejo v edini računalnik v državi, ki hrani tudi CA ključe. O vdoru seveda ne govorijo na glas.
