Prohlédněte si blog v dynamickém zobrazení, např. Classic, Magazine, Sidebar, či Timeslide

čtvrtek 11. července 2013

Jak je to s biometrickými údaji (nejen) v českých cestovních dokladech a jejich bezpečností?

Na mé dotazy ohledně pasů s biometrickými údaji a jejich bezpečnosti mi poměrně komplexně odpovědělo Ministerstvo vnitra ČR. Cituji:

Odbor správních činností obdržel Vaše dotazy, které se týkají vydávání cestovního pasu se strojově čitelnými údaji a s nosičem dat s biometrickými údaji (dále jen „e-pas“), možnosti zneužití biometrických údajů uložených v čipu e-pasu. 
E-pasy vydávají všechny členské státy Evropské unie na základě nařízení Rady (ES) 2254/2004 o normách pro bezpečnostní a biometrické prvky v cestovních pasech a v cestovních dokladech vydávaných členskými státy. Nařízení je závazné pro všechny státy Evropské unie a ukládá v článku 1 členským státům Evropské unie vydávat cestovní pasy a cestovní doklady s nosičem dat, schopném zaručit neporušitelnost, pravost a utajení biometrických údajů – zobrazení obličeje a otisků prstů.
Podle nařízení je účelem vydávání cestovních pasů a cestovních dokladů s biometrickými údaji je zajistit spolehlivé spojení mezi držitelem a cestovním pasem, které napomůže ochránit cestovní pas před zneužitím. Zákon č. 329/1999 Sb., o cestovních dokladech, který upravuje vydávání e-pasů občanům České republiky, v § 6 stanoví, že biometrické údaje lze použít výlučně pro ověřování pravosti cestovního dokladu a ověření totožnosti občana pomocí osobních údajů zapsaných v cestovním dokladu, popřípadě porovnání biometrických údajů zpracovaných v nosiči dat prostřednictvím technického zařízení umožňujícího srovnání aktuálně zobrazených biometrických údajů občana s biometrickými údaji zpracovanými v nosiči dat. 
V souladu s článkem 2 nařízení jsou rozhodnutím Komise K (2006) 2909 ze dne 28. června 2006 stanoveny technické specifikace norem pro bezpečnostní a biometrické prvky v cestovních pasech a cestovních dokladech vydávaných členskými státy. E-pas dále splňuje požadavky mezinárodní organizace pro civilní letectví (ICAO) specifikované v Doc 9303 – Machine Readable Travel Documents, Part 3, Volume 2 – Specifications for Electronically Enabled MRtds with Biometric Identicfication Capability. 
E-pas se vydává s bezkontaktním elektronickým RFID čipem, v němž jsou standardně uloženy dva biometrické údaje - obraz obličeje držitele dokladu a otisky jeho prstů. Dále jsou v čipu uloženy další údaje o držiteli a o cestovním pasu, které jsou rovněž obsaženy na datové stránce cestovního pasu. 
K zabránění neautorizovaného čtení dat z čipu v pasu byl implementován systém Basic Acces Control (BAC), který umožní přístup k datům komukoliv, kdo je schopen přečíst některé údaje ze stránky s osobními údaji. Protože autentizace vyžaduje znalost těchto údajů z pasu a tyto údaje je možné získat až po otevření pasu, dá se předpokládat, že úspěšnou autentizací projde pouze ten, kdo má pas v ruce (tedy pouze s vědomím držitele pasu). Konkrétně to vypadá tak, že se vezmou některé údaje ze strojově čitelné zóny a tyto údaje se "hešují" funkcí SHA-1 pro získání dvou 3DES klíčů, které se využijí na autentizaci a ustavení společného šifrovacího klíče, kterým je zabezpečena následná komunikace. Takto je celá komunikace chráněna i proti odposlechu.
V současné době se začíná pracovat na implementaci Password Authenticated Connection Establishment, který pracuje s komunikací na základě ustanovení silnějšího komunikačního klíče než se používá v případě BAC.
Přístup k otiskům prstů je navíc zabezpečen podle specifikace německého Bundesamtes für Sicherheit in der Informationstechnik Technical Guideline TR-03110-3 - Advanced Security Mechanisms for Machine Readable Travel Documents Extended Access Control. Inspekční systém, který bude chtít kontrolovat otisky prstů uložené v čipu cestovního pasu ČR bude muset nejprve získat oprávnění k přístupu k těmto otiskům. Toto oprávnění resp. certifikáty přístupu vydává Ministerstvo vnitra České republiky v souladu se zákonem č. 197/2010 Sb., o certifikaci veřejných dokladů s biometrickými údaji a o změně některých zákonů, ze dne 28. května 2009. V současné době nebyl tento certifikát poskytnut žádnému cizímu státu. Jsou využívány pouze pro potřeby vydávání cestovních pasů ČR.
K Vaším otázkám uvedeným v bodě 2) uvádíme:
ad a) - standardně probíhá čtení ve vzdálenosti jednotek centimetrů
ad b) - dle nám dostupných informací je možná komunikace na vzdálenost desítekcentimetrů
ad c) - takováto informace nám není známa.
Jak vyplývá z výše uvedeného, údaje uložené v čipu lze číst pouze za specifických podmínek. K zabránění detekce RFID čipu na dálku lze využít princip tzv. Faradayovy klece, tedy požít ochranný obal obsahující kovovou folii, např. alobal.
Cestovní pas bez strojově čitelných údajů a bez nosiče dat s biometrickými údaji se vydává, jestliže občan potřebuje vydat cestovní pas v krátké lhůtě. Vydává se ve lhůtě do 15 dnů a může být tedy vydán třeba do druhého dne nebo dokonce i na počkání. Proto občan za tuto přednostní službu platí vyšší správní poplatek.


-----
zdroj: solutions.3m.com
K tomu jsem odpověděl následovně:

Dobrý den,
děkuji mnohokrát za podrobnou odpověď (je v příloze). Mám k tomu ještě krátký komentář.
1. bezpečnostPíšete, že:>>...Protože autentizace vyžaduje znalost těchto údajů z pasu a tyto údaje je možné získat až po otevření pasu, dá se předpokládat, že úspěšnou autentizací projde pouze ten, kdo má pas v ruce...<<
Nicméně, dle specifikace BAC je zřejmé, že systém je kvůli nízké entropii náchylný na brute-force metody prolomení klíče. Tedy, předpokládat pouze validní autentizaci se dá, ale zároveň je nutné předpokládat, že úspěšnou autentizací projde i někdo jiný, než ten, kdo má pas v ruce.
Takto exploitovaný pas lze pak použít ke sledování pohybu lidí - viz např. zde http://www.theregister.co.uk/2010/01/26/epassport_rfid_weakness/
Děkuji za myšlenku s faradayovou klecí, to se zdá být pro zvýšení ochrany dobře použitelné. Otázkou je, zda tenký alobal dokáže zamezit přístupu k RFID čipu silným signálem. Vzhledem k tomu, že čip uvnitř je pasívní, tak by to stačit mohlo, těžko laicky odhadnout...
Každopádně, vzhledem k výše uvedeným skutečnostem (viz odkazy) je zřejmé, že největší bezpečnostní díra spočívá v odposlechu pravé autentizace policistou někde na letišti apod. Z toho pro mě vyplývá, že kdyby celé čtení policistou probíhalo také ve faradayově kleci, nebylo by možné odposlech zajistit (pokud by tedy útočník nebyl také uvnitř faradayovy klece) a miliónům uživatelů zranitelného BAC by byla zajištěna větší ochrana proti zneužití - do té doby, než se přejde na PACE či jiný bezpečný systém.
2. cena a typy pasuŠpatně jsme se pochopili (jsem se asi nepřesně vyjádřil) ohledně ceny a typu pasu. Píšete:>> ...Vydává se ve lhůtě do 15 dnů a může být tedy vydán třeba do druhého dne nebo dokonce i na počkání. Proto občan za tuto přednostní službu platí vyšší správní poplatek...<<
Já chápu, že zkrácená lhůta je více zpoplatněna, to dává smysl. Problém je ale v tom, že pas bez biometrických údajů se standardní (nezkrácenou) dobou platnosti pořídit nelze, tedy člověk, který se chce vyhnout čipu, otiskům, atd. nemá jinou možnost, než si dělat nový "rychlý" pas každé 3 měsíce (v mnoha zemích vyžadují platnost pasu ještě 3 měsíce po překročení hranic)... Chápu, že to vychází z nařízení EU, a tedy bych měl asi svůj nesouhlas směřovat na nějaký orgán EU - mohli byste mi, prosím, poradit, na koho se obrátit? Samozřejmě si nemyslím, že kvůli nějakému Zahradníkovi bude EU podnikat nějaké významné kroky, považuji ale za důležité, aby představitelé EU věděli, že otázky bezpečnosti a soukromí nejsou občanům EU lhostejné... Obecně vnímám důležitost zpětné vazby jako podstatnou.
Ještě jedenkrát děkujis pozdravemMcZ

 -----
Další zajímavé čtení k tématu a souvislosti viz např. zde. Mj. se tam dozvíte, že ukrást data z RFID dokladů/karet je poměrně snadné:

  1. Prague’s Opencard: open to electronic pickpocketing?
  2. Do I really need Passport Protection?
  3. Does a Passport cover protect from electronic pickpockets?
  4. ...

EDIT:
Navazující článek s odpovědí ministerstva zde: http://crysmanovo.blogspot.com/2013/10/jak-je-to-s-biometrickymi-udaji-nejen-v.html