Демо-паспорт E-паспорта демонстрирует слабые места в новых пограничных элементах

Данные по радиочипам в так называемых электронных паспортах могут быть клонированы и изменены без обнаружения, представляя собой разрывное отверстие безопасности в системах пограничного контроля следующего поколения, согласно исследователям безопасности.

Вверх из 50 стран выпускают паспорта с встроенными микросхемами RFID (радиочастотной идентификации), содержащими биометрические и персональные данные. Этот шаг призван сократить обманные паспорта и усилить пограничные показы, но эксперты по безопасности говорят, что системы имеют несколько недостатков.

Голландский исследователь Джерон ван Бик выпустил программный инструментарий, который можно использовать для кодирования RFID-чипов с ложной информацией. В демонстрационном видео ван Бик показывает, как сканер в аэропорту Амстердама читает паспортный чип, который он закодировал с информацией и фотографией Элвиса Пресли.

Это означает, что мошенник может создать фальшивый паспорт с чипом RFID, который будет казаться законным. Причина, по которой данные выглядят законными, связана с фундаментальной проблемой в том, как правительства создают системы для обработки электронных паспортов, сказал Адам Лори, независимый исследователь безопасности, который работал с ван Биком на демонстрации.

Данные паспорта на чипы RFID подписывается с цифровым сертификатом, принадлежащим стране, в которую был выдан паспорт. E-паспортные системы должны проверять этот сертификат при сканировании паспорта, сказал Лори.

Все страны, выдающие электронные паспорта, должны загрузить свой цифровой сертификат в каталог открытых ключей (PKD), базу данных, которая должна быть запрошена убедитесь, что сертификат верен, сказала Лори.

Но только 10 из 50 стран согласились загрузить эти сертификаты в PKD, сказала Лори. По его словам, только пять стран вносят свой вклад в базу данных.

«В принципе, все это падает», - сказала Лори. Безопасность системы e-pass коренится во внутренних проверках базы данных этих сертификатов, сказал он.

В демонстрации ван Бика паспортный чип, содержащий мошеннические данные, представляет собой собственный сертификат, который, как представляется, принадлежит законным властям, но не является «т. Поскольку Нидерланды не используют PKD для подтверждения паспортных сертификатов, сертификат принимается, сказал Лори.