智能卡聯(lián)盟稱電子護(hù)照復(fù)制沒(méi)有安全風(fēng)險(xiǎn)
其中一個(gè)新聞報(bào)道發(fā)表在《wired》雜志的網(wǎng)站上,這則新聞中說(shuō),為了讀取他護(hù)照中的電子標(biāo)簽,Grunwald使用了各國(guó)邊境機(jī)構(gòu)采用的同一款讀寫器和由secunet安全網(wǎng)絡(luò)公司生產(chǎn)的電子護(hù)照軟件。他使用RFDump進(jìn)行復(fù)制。
RFID電子護(hù)照復(fù)制沒(méi)有安全風(fēng)險(xiǎn)
然而,Grunwald僅僅復(fù)制了他護(hù)照內(nèi)IC卡上的數(shù)據(jù)。他并沒(méi)有偽造護(hù)照,也沒(méi)有利用這些數(shù)據(jù)。雖然Grunwald聲稱證實(shí)了RFID電子護(hù)照中基本的安全缺陷,但是許多RFID技術(shù)專家并不承認(rèn)其真實(shí)性。
智能卡聯(lián)盟是一個(gè)非盈利性的組織,其成員包括銀行業(yè)、金融服務(wù)業(yè)、計(jì)算機(jī)業(yè)和零售行業(yè)的超過(guò)185家公司,其中還包括Gemalto公司。Gemalto公司將提供美國(guó)電子護(hù)照中的RFID嵌入技術(shù)。該聯(lián)盟于周二進(jìn)行了電話會(huì)議,討論Grunwald的示范并就相關(guān)問(wèn)題發(fā)表聲明。
為了保證協(xié)同性和基本級(jí)別的安全性,已經(jīng)或計(jì)劃簽發(fā)電子護(hù)照大約30個(gè)國(guó)家,都同意遵守由國(guó)際民用航空組織ICAO開(kāi)發(fā)的協(xié)議規(guī)范,以創(chuàng)建必需的或可選的數(shù)據(jù)類型,并將其編碼嵌入每一個(gè)護(hù)照中。
ICAO的規(guī)范支持不同級(jí)別的保護(hù),來(lái)降低電子護(hù)照中的數(shù)據(jù)在出入境讀取時(shí)遭到竊取的機(jī)率。只有在打開(kāi)護(hù)照后,護(hù)照的網(wǎng)狀金屬內(nèi)層才放棄阻止護(hù)照內(nèi)嵌信息的讀取。為保護(hù)信息不被未授權(quán)方竊取,讀寫器的操作人員必須通過(guò)一個(gè)稱為基本訪問(wèn)控制(注:Basic Access Control)的過(guò)程,即輸入已經(jīng)寫入護(hù)照上的密碼進(jìn)行解鎖,才能讀取標(biāo)簽。這個(gè)方法也用于對(duì)標(biāo)簽上的數(shù)據(jù)進(jìn)行加密。為訪問(wèn)加密的標(biāo)簽數(shù)據(jù),讀寫器也需要獲取正確的數(shù)據(jù)密鑰。據(jù)報(bào)道,Grunwald利用ICAO的網(wǎng)站上的規(guī)范得到了他所需要的信息來(lái)復(fù)制他的護(hù)照。
在電話會(huì)議中,智能卡聯(lián)盟的執(zhí)行官Randy Vanderhoof指出,電子護(hù)照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護(hù)照的國(guó)家進(jìn)行了數(shù)據(jù)簽名和加密,即便有人復(fù)制了這些數(shù)據(jù)也無(wú)法將其改變。按照Vanderhoof的說(shuō)法,Grunwald所做的并不說(shuō)明電子護(hù)照不安全,原因在于護(hù)照檢查人員仍能檢測(cè)護(hù)照芯片內(nèi)被編碼的照片信息,并將它與護(hù)照持有人進(jìn)行比較。他說(shuō),復(fù)制護(hù)照的內(nèi)嵌信息“在我們看來(lái),和偷竊他人的護(hù)照把它作為自己的出入境證明一樣,沒(méi)有什么區(qū)別?!?/FONT>
“電子護(hù)照遠(yuǎn)比現(xiàn)在的打印文檔安全的多?!盫anderhoof說(shuō),因?yàn)镽FID通過(guò)可視化的檢查對(duì)護(hù)照持有者進(jìn)行認(rèn)證。在一期《Wired》雜志中,美國(guó)國(guó)務(wù)院國(guó)家護(hù)照服務(wù)副助理秘書長(zhǎng)Frank Moss說(shuō),電子護(hù)照規(guī)范并不專為防止復(fù)制。他告訴《Wired》雜志,“Grunwald此人所做的既是預(yù)料到的,也不那么值得注意?!彼€補(bǔ)充說(shuō)RFID嵌入技術(shù)作為對(duì)于護(hù)照持有者的額外的認(rèn)證才是其意義所在。
如果一個(gè)國(guó)家決定在邊境入口完全移除人工檢查,而只依賴讀寫器讀取的數(shù)據(jù)怎么辦呢?在這方ICAO的規(guī)范已經(jīng)考慮到,據(jù)說(shuō)別的國(guó)家也正在考慮這樣做。那么,除了Grunwald本人,別人拿著復(fù)制的Grunwald的電子護(hù)照就能進(jìn)入一個(gè)國(guó)家,這就像偷走電子收費(fèi)器(EZPass)不用交費(fèi)駛過(guò)紐約收費(fèi)站那么容易。
“顯然,在“電子護(hù)照”上加上反復(fù)制功能會(huì)更好,但是具有RFID的電子護(hù)照可能比沒(méi)有RFID電子護(hù)照更安全。在沒(méi)有RFID的護(hù)照內(nèi),照片能被移植到真正的護(hù)照或者是插入一個(gè)偽造的護(hù)照中。”RSA實(shí)驗(yàn)室的首席科學(xué)家、RSA安全的研究專家,Ari Juels這樣說(shuō)到。
Juels說(shuō),Grunwald的結(jié)果“是一個(gè)有用的示范,但是并不能真正的讓人領(lǐng)悟到新東西。可復(fù)制的護(hù)照系統(tǒng)在安全性方面概略地等同于一個(gè)具有完整性保護(hù)的數(shù)據(jù)庫(kù)。任何人都可以宣稱是另外一個(gè)人,系統(tǒng)依靠物理的身份檢查獲得成功?!?/FONT>