Tviler på RFID-sikkerhet

Tore Stensvold
10. jan. 2006 - 11:52

De nye biometriske passene som utstedes i Norge inneholder informasjon på en RFID-brikke.

Siden 3. oktober i fjor har politiet utstedt pass med bilde lagret på en RFID-brikke.

Informasjonen overføres via radiosignaler til en mottaker ved passkontrollen. Datatilsynet er bekymret for at signalene kan leses av uvedkommende.

Ifølge Politidirektoratet og den finske produsenten av passene, skal ikke denne informasjonen være mulig å "stjele".



Kort leseavstand

Administrerende direktør i Setec, Pekka Eloholma, sier til Computerworld at det kun er en ti centimeter avlesningsdistanse på de nye passene.

Han forsikrer også at det er implementert omfattende sikkerhetstiltak for å beskytte personvernet. De tekniske kravene er utformet av FN-organisasjonen International Civil Aviation Organization (ICAO).

Terrorfrykt

Krav om biometriske data i pass kommer som en følge av terrortrussel. USA har gått i bresjen og krever maskinlesbare pass med opplysninger som ikke kan forfalskes. De euroepiske myndigheter er blitt enige om krav til slike pass.

En arbeidsgruppe i EU vedtok i 2004 en rådsforordning om biometriske reisedokumenter. Forordningen innebærer at medlemslandene og EØS-landene må ha pass der biometriske data om ansiktsform, i første omgang, er digitalt lagret. Også fingeravtrykk skal lagres, men først på et senere tidspunkt.

De biometriske dataene lagres på en elektronisk brikke som kan leses av ”kontaktløst”. For å få til dette, bruker man en RFID-løsning som kommuniserer med en leser over en gitt radiofrekvens.

Ifølge arbeidsgruppen innebærer implementeringen av biometri i pass en mengde etiske, lovmessige og tekniske spørsmål.

De peker spesielt på en del forhold:

1. Bare til verifikasjon

Biometri i pass må begrenses teknisk til å oppfylle rene verifikasjons- og identifikasjonsformål, der opplysningene i dokumentet blir sammenliknet med bæreren i forbindelse med forevisningen av dokumentet.

2. Sikkerhet mot urettmessig utlevering

Kommisjonen og medlemslandene bør etter arbeidsgruppens mening garantere at passene til europeiske borgere ikke kan leses av i lesere som ikke støtter Extended Axess Control, det vil si at innholdet i brikken gis en ekstra beskyttelse ved kryptering. Dette har, så langt Datatilsynet vet, ikke Norge og Sverige planlagt å benytte seg av.

Det bør garanteres at kun kompetente myndigheter får tilgang til data som er lagret på brikken. Medlemslandene skal lage et register over kompetente myndigheter.

Teknikk-tvil

Generaldirektør Jonathan Faull fra EU-kommisjonens avdeling for menneskerettigheter, personvern med mer, opplystei fjor at forsøk hadde vist at de tekniske løsningene man hittil har jobbet med har vist seg ytterst mangelfulle.



USA presser - og utsetter

I Norge har myndighetene pushet på for å ta i bruk bioetriske pass.

Det er USA som har satt knappe tidsfrister, og Norge har vært ivrigst i klassen til å imøtekomme dem.

Nå har imidlertid USA nok en gang utsatt innføringen av biometriske - nå til oktober 2006. Dermed faller den sammen med den interne fristen EU har satt for innføringen.

Sakte men sikkert

En informasjonsbrosjyre gitt ut av UK Passport Service forteller om at de i Storbritannia vil innføre de biologiske passene gradvis i andre halvår av 2006. Alle opplysninger vil da være umulige å endre og de vil være kryptert. Dersom sikkerheten ikke viser seg å være god nok vil ikke prosjektet gjennomføres.

Truer med pålegg

Datatilsynet har gitt Politidirektoratet frist til 1. mai med å etterkomme pålegg. Innen 31. januar må Politidirektoratet vise hvordan de arbeider med å etterkomme kritikken og finne løsninger innen 1. mai.

Datatilsynet var på tilsyn hos Politidirektoratet seint i fjor høst. Det var i den forbindelse det ble avslørt nanglende sikkerhet rundt de nye passene.

Datatilsynet varsler derfor Politidirektoratet om at det kan bli fattet vedtak om følgende pålegg fra 1. mai:

  • En rekke risikovurderinger med hensyn til informasjonssikkerheten må gjennomføres for å dokumentere påstandene om tilfredsstillende sikkerhetsnivå
  • Det må gis informasjon om passinnehaverens rett til innsyn og eventuell retting av personopplysninger som lagres i passene. Det må også tilbys en teknisk løsning som faktisk gjør det mulig for passinnehaver å få sjekket at de opplysningene som lagres i passets databrikke er korrekte.
  • Passinnehaveren må også gis tilstrekkelig informasjon om hvordan opplysningene fra passet blir behandlet på grensekontrollene, både i Norge og i andre land.
  • Politidirektoratet må etablere en mer fullstendig databehandleravtale med firmaet som produserer de nye passene.


Datatilsynet konstaterte også etter tilsynet at Politidirektoratet hadde et mangelfullt system for internkontroll når det gjaldt håndteringen av de nye passene.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.