ENKELT: Den digitale informasjonen i passet ditt kan lett leses av med en RFID-leser så lenge MRZ-koden din er kjent. (Bilde: Mona Strande)

Frykter biometri-tapping fra pass

  • datatele

Levetida til nye tekniske løsninger er som regel mye kortere enn ti år.

– En generell skepsis er at det innføres en teknologisk sikkerhetsløsning som skal vare i ti år, og som det er veldig dyrt å bytte ut dersom noen skulle knekke den, sier forsker Bård Myhre, kommunikasjonssystemer, SINTEF IKT.

Les også: Så enkelt kan din ID stjeles

Han understreker at ti år er veldig lang varighet i et teknologisk perspektiv.

Bestemt uten ekspertråd

Myhre får støtte fra en SINTEF IKT-kollega i avdelingen for systemutvikling og sikkerhet:

– Jeg deler den bekymringen. Ti år er lang tid for denne typen teknologi, og jeg blir ekstra bekymret ettersom det virker som om de som har utredet passene ikke har benyttet seg av ekspertise innen kryptografi, sier forsker Martin Gilje Jaatun.

Han nevner blant annet at Thales Norge og Universitetet i Bergen har god kompetanse på kryptografi. Begge bekrefter overfor TU.no at de aldri har fått noen forespørsler om å komme med innspill til sikkerhetsnøkkelen som benyttes.

Burde ha lenger sekvens

Martin Gilje Jaatun mener den kryptografiske sikkerheten blir begrenset når kun de to maskinskrevne linjene som står nederst på personaliasiden i passene (MRZ) brukes som utgangspunkt for sikkerhetsnøkkelen til RFID-brikken.

– Veldig få tegn er tilfeldige i denne koden, og det er mye det er mulig å gjette seg til. Skulle man gjøre én ting for å forbedre sikkerheten, måtte det være å sørge for å legge til en lengre, tilfeldig sekvens, sier Jaatun.

Den maskinlesbare koden inneholder data som passinnehavers nasjonalitet, kjønn og fødselsdato, og passets utløpsdato.

Kan utvides

Han tror ikke det er så attraktivt å misbruke passene slik de er i dag, siden den digitale informasjonen i RFID-brikkene tilsvarer informasjonen som står skrevet i passet.

Når det elektroniske fingeravtrykket legges inn i RFID-brikken, vil kriminelle imidlertid kunne ha mye større nytte av informasjonen.

– Og så er det jo et spørsmål om hvor det stopper. Potensielt er det mange andre personopplysninger man kan mene det vil bli nyttig å legge inn i passet, sier Jaatun.