Despre siguranța pașaportului biometric și a datelor din el

  • Posted on: 28 January 2013
  • By: Redacția ApTI

28 ianuarie este ziua protecției datelor cu caracter personal. În 2013, ApTI își propune să vă prezinte, în săptămâna ce începe cu această dată, cinci subiecte (câte unul în fiecare zi) de interes pentru protecția vieții private și a datelor personale în societatea informațională de astăzi. Începem cu un articol despre securitatea pașaportului electronic și a datelor pe care le cuprinde.

În cadrul ApTI am facut deseori comentarii critice (spre exemplu aici) la adresa documentelor  electronice cu sau fără identificatori biometrici pe care guvernul României a decis să le implementeze, deseori după un simulacru de dezbatere publică. Am atras atenția asupra faptului că, dacă tot se decide implementarea unor astfel de măsuri, sunt două condiții esențiale de a fi implementate pentru a asigura încrederea în folosirea acestor documente electronice:

  • realizarea unui audit anual de securitate, de către experți independenți, ale cărui concluzii să fie disponibile public;
  • realizarea unui audit anual de impact asupra vieții private (privacy impact assesment), care trebuie să fie disponibil public în mod integral.

Pentru că am fost ignorați în mod constant în aceste cereri, am rugat un expert independent în securitate IT să ne ajute în realizarea unei analize empirice a securității pașaportului electronic românesc. Ce a ieșit – vedeți mai jos:

Pe scurt – ce am descoperit:

  • Informațiile cu privire la siguranța pașaportului electronic fie sunt vagi și exagerate, fie nu există pe site-urile publice ale emitenților. Lipsa informațiilor oficiale clare și corecte nu duce la creșterea încrederii în aceste documente, orice informație (chiar nedocumentată) din terțe surse putând deveni astfel credibilă.
  • Datele primare (mai puțin amprentele) care sunt înscrise pe cip pot fi citite în mod electronic, de la distanță, folosind produse legale disponibile public. Nivelul de îndemânare tehnică pentru a citi aceste date poate fi considerat unul mediu pentru o persoana familiarizată cu tehnologia informației.
  • Cheia de acces ce ar trebui să protejeze aceste date primare este relativ ușor de ghicit. Nivelul de îndemânare tehnică pentru a ghici cheia de acces la datele primare: mediu spre ridicat.
  • Datele primare pot fi citite de la distanță, chiar și printr-un rucsac.
  • Cipul poate fi clonat (mai puțin amprentele biometrice).
  • Dacă s-ar folosi un pașaport falsificat cu un cip clonat pe o „poarta inteligentă” (detalii mai jos), există posibilitatea de a intra în mod fraudulos într-o altă țară. (Din câte cunoaștem noi, în România NU sunt folosite astfel de porți inteligente.)

Aceasta nu înseamnă că pașaportul biometric este inutil și nici că o persoană rău-voitoare poate să scaneze sute de pașapoarte doar mergând cu un cititor de cipuri pe aeroport. Dar înseamnă că nivelul de securitate estimat de autorități nu este nici pe departe atins. Și că cineva care are cunoștiințe tehnice medii spre avansat și dorește să vă ia datele din pașaport, o poate face dacă nu va protejați suficient de bine.

Recomandări pentru a vă proteja:

  • Nu vă puneți pașaportul în buzunarul de la spate, în rucsac sau alte zone accesibile celorlalți.
  • Nu dați informații despre pașaportul propriu (numărul, data expirării) unor persoane necunoscute sau care nu au dreptul legal să vă ceară aceste informații.
  • Nu trimiteți copii după pașaport dvs. sau al altei persoane către persoane care nu au dreptul legal să le ceară. Încercați să vă asigurați că  cei care vă cer datele respectă legislația în domeniul protecției datelor cu caracter personal și au metode de protecție a acestora.
  • Folosirea unor huse speciale ce protejează pașaportul poate ajuta în unele cazuri (dar nu mereu).
  • Tratați pașaportul ca pe un smartphone pe care se află date confidențiale.

Dorim să subliniem că nu intenționăm decât să demonstrăm că, în lipsa transparenței publice cu privire la programele guvernamentale din zona IT – și mai ales a celor care privesc elemente cheie de procesare de date personale, în lipsa unor standarde publice de securitate și protecție a datelor personale și fără o verificare regulată a îndeplinirii acestor standarde, avem toate premisele ca aceste programe de carduri electronice să devină necredibile, din cauza unor erori majore de implementare și lacune de securitate evidente.

-------------------------------------------

Descrierea unei analize primare de securitate a pașaportului electronic românesc

Bogdan Alecu, www.m-sec.net   

Acum câteva luni am aplicat pentru un pașaport biometric (sau mai corect ePassport). Am ales acest tip de pașaport în defavoarea celui temporar din diverse motive, însă cele mai importante au fost valabilitatea și faptul că, la un moment dat, voi avea timp destul pentru a-l analiza.

Despre procesul de prelucrare a datelor pentru  pașaport nu sunt multe de spus: mi s-a făcut fotografie, amprente de la degetul arătător al fiecărei mâini, m-a întrebat culoarea ochilor și înălțimea și asta a fost cam tot. Mi-am dat seama că cel puțin amprentele preluate vor fi stocate pe cip, dar până acum nu am avut timpul necesar pentru a face investigații privind detaliile acestui cip.

Așadar, conținutul cip-ului se bazează pe un standard dezvoltat de ICAO (International Civil Aviation Organization) iar pașaportul poartă denumirea de Machine Readable Travel Document. Citirea cip-ului se face wireless (fără fir), utilizând RFID/NFC . Sunt mai multe elemente de siguranță ce pot proteja datele stocate pe chip, însă cele mai importante sunt următoarele:

  • Basic Access Control (BAC): protejează canalul de comunicație dintre cip și cititor prin criptarea informațiilor transmise.
  • Extended Access Control (EAC): anumite fișiere de pe cip sunt protejate printr-o semnătură cu o cheie publică, iar pentru citirea lor este nevoie de cheia privată emisă de țara căreia aparține pașaportul.  Începând cu data de 28 iunie 2009, toate țările membre UE au obligația de folosi EAC și BAC  .

Din păcate, nu am putut găsi vreo informație pe site-ul MAE despre ce se stochează pe cip sau alte elemente de siguranță, însă am găsit oarece informații pe site-ul  Serviciului Public Comunitar Pentru Eliberarea și Evidența Pașapoartelor Simple Neamț.

Voi comenta in cele ce urmeaza câteva dintre informațiile găsite:

Principalele caracteristici ale paşaportului electronic care-l deosebesc de paşaportul obişnuit sunt:

  • Depozitarea în condiţii de maximă siguranţă ale informaţiei biografice şi a pozei digitale a purtătorului care sunt identice cu cele vizibile din paşaport.
  • Microcipul permite, prin frecvenţa radio, scanarea informaţiei depozitate numai de aparate guvernamentale autorizate şi de la distanţă mică.
  • Folosirea tehnologiei semnăturii digitale de verificarea informaţiilor de pe cip. Această tehnologie este similară tehnologiei folosite la card-urile de credit şi alte documente care folosesc cipul.

Oare care sunt acele condiții de maximă siguranță și la ce se referă: citire, scriere, transmiterea către MAE?

Citirea se poate face numai de către aparate guvernamentale autorizate (să înțeleg că sunt și unele guvernamentale neautorizate) – total fals. Pentru a putea citi informațiile scrise pe cip este nevoie de un cititor NFC și un soft care să interpreteze datele primite, ele nefiind criptate. Un lucru important care trebuie precizat e acela că toate informațiile despre structura de fișiere a cip-ului sunt publice, astfel încât oricine poate implementa softul care să interpreteze datele primite. În plus, sunt deja disponibile publicului astfel de programe.

Distanța mică (1cm, 40 cm? ce înseamnă mic?) despre care se vorbește depinde de fapt de puterea cu care emite cititorul NFC. Cât despre comparația cu cardurile de credit ce au integrat chip NFC, am văzut aici sau aici cât de sigure sunt.

Tracking. Cipul din paşaport este protejat de mecanismul BAC şi refuză să permită acces la informaţiile din paşaport a aparatelor de citire neautorizate.

Realitatea e de fapt că Basic Access Control se face printr-o cheie ce se derivă din data nașterii deținătorului documentului, numărul pașaportului și data de expirare a acestuia. Acest lucru l-am putut afla urmărind diversele prezentări în cadrul conferințelor de securitate internaționale. Dar chiar și fără a face o cercetare amănunțită, softul ce permite citirea oricărui cip NFC oferă și posibilitatea de a adăuga cheile pentru citirea acestor date, iar câmpurile necesare pentru ePassport sunt cele menționate anterior. Cât despre aparat neautorizat, ne-am lămurit deja. Ca idee, un „aparat autorizat” arată astfel:

 

Cloning. Este posibil ca un cip să fie scos din paşaport şi înlocuit cu un alt cip de acelaşi fel sau din alt paşaport.

Singurul adevăr pe care l-au putut scrie. Mai mult, cipul poate fi dezactivat (prin perforare sau la microunde). Desigur că pașaportul rămâne încă valabil în acest caz, însă nu se mai poate utiliza la aceste “porți inteligente” – cu alte cuvinte va fi necesară verificarea manuală la graniță.

Sunt motive de îngrijorare ?

  • Cipul de pe paşaport nu se poate citi de la distanţă.
  • Cipul de pe paşaport nu poate fi citit decât de aparate autorizate.
  • Cipul de pe paşaport măreşte gradul de securitate a purtătorului.

În cele ce urmează voi da câteva exemple ce contrazic cele de mai sus.

Așa cum spuneam, pentru a citi o parte din datele de pe cip e nevoie de un cititor NFC, softul pentru interpretarea datelor și informațiile din BAC. Pentru că nu avea rost să mă complic cu un cititor performant, am ales să folosesc propriul telefon cu NFC și softul celor de la Research Lab Hagenberg, NFC TagInfo.

După configurarea cheilor de acces din aplicație, tot ceea ce a mai rămas de făcut a fost să pun telefonul peste pașaport. După câteva secunde, cipul a fost citit și recunoscut a fi ePassport.

Pentru a vedea aceste detalii, se face click pe butonul MRTD, după care putem afla ce se ascunde în spate:

  • Tipul documentului
  • Numărul documentului
  • Numele
  • Prenumele
  • Data nașterii
  • Naționalitatea
  • Sexul
  • Poza (cea făcută în momentul aplicării pentru pașaport)
  • Țara emitentă
  • Data expirării

După aceste informații urmează celelalte fișiere:

  • EF.DG1: Machine-readable Zone Data, adică acele înșiruiri de cifre și litere imprimate pe partea de jos a pașaportului.

  • EF.DG3: Finger Prints, ce ar trebui sa contina amprentele preluate, protejate cu EAC, nu se pot citi decât dacă deținem cheia privată, conform ICAO Doc 9303  
  • EF.DG14: Secondary Biometrics, unde se află stocată cheia publică, conform ICAO Doc 9303

Trebuie menționat că aceste ultime două fișiere nu pot fi decodate, întrucât sunt protejate prin Extended Access Control și ar fi nevoie de cheia privată. Această cheie privată este emisă de către fiecare autoritate guvernamentală.

Mai jos aveți un demo cu citirea acestor informații de pe cipul pașaportului electronic.

Precum vedeți, citirea a fost făcută cu un aparat neguvernamental și neautorizat. Interesant ar fi de știut ce reprezintă aparat neautorizat.  Mai mult, a fost făcută chiar de la distanță (aprox 3 cm), dar dacă aș fi avut un cititor mai performant evident distanța ar fi crescut. Gândiți-vă numai la magazinele ce au acele porți de securitate la ieșire și care emit un semnal sonor/luminos când se iese cu vreun produs ce are încă atașat cipul de siguranță. Nu știu cum se mărește gradul de securitate al purtătorului, că totul duce în defavoarea acestui fapt.
Poate că măsura de securitate cea mai bună e că aceste date stocate nu pot fi modificate. Dar până la urmă nu este ceva tocmai extraordinar. Iată de ce: din moment ce putem citi cipul, putem foarte simplu lua aceste date și modifica local, după care le scriem pe alt cip.

Cu alte cuvinte, se poate clona acest cip. Singurul impediment îl reprezintă datele protejate cu EAC (EF.DG3, EF.DG14) dar acestea se pot ignora pur și simplu și nu le mai scriem pe noul cip. Gândiți-vă că doar în cadrul Uniunii Europene este obligatorie prezența acestor informații, în celelalte țări emitente nu există o astfel de cerință.

Ce reprezintă concret această clonare? Din ce în ce mai multe țări introduc la graniță așa numitele “porți inteligente” ce permit accesul automat în țara respectivă. Pentru a exista o compatibilitate cu celelalte tipuri de pașapoarte, majoritatea acestor porți citesc de pe cip doar acele elemente protejate prin BAC, după care compară imaginea stocată pe cip cu cea văzută prin intermediul camerei. Dacă cele două se potrivesc, poarta se deschide și poți intra. Mai mult, unele se bazează pe răspunsul utilizatorului: ai două butoane prin care confirmi sau infirmi daca cele două imagini se potrivesc. Acum gândiți-vă că se face o clonare a unui chip și modificați numele și poza. Autoritățile locale vor ști ca a intrat în țară Elvis Presley:

Toate aceste informații ar trebui prezentate de către autoritățile guvernamentale, pentru ca publicul să fie cât mai bine informat.

Comments

1. ORDONANŢĂ DE URGENŢĂ Nr. 97/2005, republicată:
“Art. 1 – Prezenta ordonanţă de urgenţă constituie cadrul care reglementează evidenţa, domiciliul, reşedinţa şi actele de identitate ale cetăţenilor români, prin care se asigură realizarea raporturilor juridice dintre persoanele fizice, juridice şi instituţiile statului de drept.
Art. 2 – (1) Evidenţa cetăţenilor români reprezintă un sistem naţional de înregistrare şi actualizare a datelor cu caracter personal ale acestora, necesar cunoaşterii populaţiei, mişcării acesteia şi comunicării de date, în interesul cetăţenilor, al statului şi al instituţiilor publice.”
Art. 6 – (1) Codul numeric personal, denumit în continuare C.N.P., reprezintă un număr semnificativ ce individualizează o persoană fizică şi constituie singurul identificator pentru toate sistemele informatice care prelucrează date cu caracter personal privind persoana fizică.

"toate sistemele informatice care..." ce semnificatie are?

2. "(2) Pe cipul cardului naţional de asigurări sociale de sănătate vor fi înregistrate informaţiile minime prevăzute la alin. (1), precum şi următoarele informaţii:
c) acceptul exprimat, în timpul vieţii, pentru prelevarea de organe, ţesuturi şi celule, după deces;

d) medic de familie: nume, prenume, date de contact.

(3) Diagnosticele medicale cu risc vital şi bolile cronice care vor fi înregistrate pe cipul cardului naţional de asigurări sociale de sănătate se stabilesc prin ordin comun al ministrului sănătăţii şi al preşedintelui CNAS.
" Legea 95 2006 actualizata a reformei in sanatate

Rezulta de aici ca datele clinice sunt facultative?

Multumesc.

Add new comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.