Kód elektronického pasu lze rozbít do 48 hodin
Tří milionům Britů byl vydán nový vysoce technologický cestovní pas, jehož účelem je znemožnit činnost terroristům a podvodníkům. Proč se tedy redaktoru deníku Guardian a jeho kamarádu, počítačovému expertu, podařilo lehce rozbít jeho bezpečnostní kódy?
Před půl rokem, za pomoci počítačového experta, který ve mně skutečně budil bázeň, píše reportér Steve Boggan, jsme dekonstruovali celý život jednoho cestujícího letadlem na základě informací, které jsme získali z útržku palubní vstupenky, kterou odhodil do koše ve vlaku z londýnského letiště Heathrow do centra.
Tím, že jsme použili jeho číslo smlouvy frequent flyer společnosti British Airways, uvedené na útržku palubní vstupenky, a koupili jsme si jeho jménem letenku na internetu společnosti BA, získali jsme přístup k jeho osobním datům, jeho číslo pasu, jeho datum narození a státní příslušnost. Na základě těchto informaci jsme pak z veřejných databází zjistili, kde bydlí, kde pracuje, veškeré jeho vzdělání i kolik stojí jeho dům.
Už by stačilo jen málo, abychom ukradli jeho totožnost, spáchali jeho jménem podvod a zničili mu tak život.
Proto jsme si mysleli, že je vynikající, že Británie začala právě vydávat nové, superbezpečné pasy s minaturními mikročipy, na nichž jsou informace o držiteli i digitální popis jeho fyzických rysů (tomu se říká biometrika). Vláda argumentuje, že tyto nové pasy silně znemožní krádež totožnosti a připraví cestu pro zavádění občanských průkazů poprvé v Británii, v letech 2008 nebo 2009.
Dodnes byly vydány asi tři miliony těchto pasů a nejsou bezpečné, píše autor. Sedím u svého počítačového experta, jehož schopností se bojím, a právě jsme ze tří nových pasů vytáhli všechna údajně zakódovaná data a díváme se na ně na laptopu.
Internetové stránky britské vládní organizace UK Identity and Passport Service tvrdí, že nové pasy jsou chráneny "supermoderní digitální kódovací technikou".
Po útocích z 11. září na Světové obchodní centrum v New Yorku, při nichž bylo použito falešných pasů, se rozhodly americké úřady, že budou chtít, aby cizinci, kteří přijíždějí do USA, měli bezpečnější, digitální dokumenty totožnosti.
Americké úřady sdělily 27 zemím světa, jejichž státní příslušníci směli dosud cestovat do USA bez víza, že do 26. října 2006 budou muset mít biometrické mikročipové pasy, anebo budou muset požádat o americké vízum.
Technickou normu pro nové pasy určila v roce 2003 International Civil Aviation Organization, Mezinárodní organizace pro letectví. Přijaly ji Spojené státy a těchto 27 zemí. ICAO doporučila, aby pasy obsahovaly biometriku držitelovy tváře, i když účastnické země smějí zavést otisky prstů až později. Všechna data měla být uložena na mikročipu, identifikovatelném na radiové frekvenci, kterou lze přijímat prostřednictvím radiových vln na krátkou vzdálenost. Obdobné čipy se dnes běžně používají v maloobchodě, kde se jich používá k inventuře.
Avšak velkým problémem je to, že ICAO doporučila, aby klíčem k zpřístupnění dat na pasovém čipu byly, v tomto sledu, číslo pasu, datum narození držitele a den ukončení platnosti pasu. Tyto údaje jsou obsaženy v pasu v oblasti, kterou dokáže počítač přečíst. Když protáhne pasový úředník pas čtečkou, tyto klíčové informace umožní čtečce mikročipů komunikovat s čipem prostřednictvím rádiových vln. Pak se tato tajná data, včetně držitelovy fotografie, objeví na počítačové obrazovce pasového úředníka. Až potud se předpokládá, že je pas pravý, vzhledem k tomu, že je superzabezpečený. Jenže, to je právě problém.
Náš počítačový expert, Adam Laurie, technický ředitel firmy Bunker Secure Hosting, podporuje právo na soukromí a na občanská práva. Před dvěma lety ukázal, že z mobilních telefonů, které používají systém bluetooth, lze z podstatné vzdálenosti získat veškeré osobní informace, včetně seznamu telefonních čísel, záznamů v elektronickém diáři, a je možno je zmanipulovat tak, aby fungovaly jako odposlouchávací zařízení. Průmysl mobilních telefonů pak musel vydat miliony dolarů na odstranění bezpečnostních chyb, které Laurie odhalil.
"Byl jsem neuvěřitelně překvapen," vysvětluje Laurie, "že klíčem k zakódovaným informacím jsou nezakódované údaje: číslo pasu, datum narození a den ukončení platnosti pasu." Tyto údaje jsou uvedeny v pase v nezakódované formě, umožňují vám však zahájit zakódovanou interakci mezi radiovým čipem v pasu a jeho čtečkou.
"Čtečka, kterou jsem si koupil za 250 liber, komunikuje po uvedení těchto základních údajů s čipem zakódovaně, jenže já jsem do 48 hodin napsal software, které to rozkódovává."
Britské ministerstvo vnitra použilo pro čipy velmi vysoký stupeň zakódování, technologii zvanou 3DES, zakódování vojenského normy. Používají silně zabezpečené kryptografie, aby nebylo možno odposlouchávat interakci mezi pasem a čtečkou, jenže porušili základní princip kryptografie, tím, že "tajným klíčem" k umožnění této konverzace jsou veřejně přístupná data, uvedená na pase nezakódovaně.
To, že lze pak zakódované informace lehce z čipu přečíst, umožňuje vyrábět dokonalé kopie těchto digitálních pasů.
Ministerstvo vnitra však argumentuje, že je jedno, že jsou tyto informace přístupné - čip má bezpečnostní blokaci, takže informace uvedené v něm nelze změnit.
Někteří počítačoví experti však varují, že už to, že je možno vyrobit dokonalou kopii digitálního pasu, je zneužitelné kriminálními živly.
http://www.blisty.cz/2006/11/16/art31295.html