Frykter biometri-tapping fra pass
Forskere ved SINTEF IKT frykter at noen vil knekke sikkerhetsnøkkelen og kunne hente ut fingeravtrykket ditt dersom de biometriske passene fortsatt skal være gyldige i ti år.
Av Mona Strande Publisert: 16.08.2007 kl. 08:00
Levetida til nye tekniske løsninger er som regel mye kortere enn ti år.
– En generell skepsis er at det innføres en teknologisk sikkerhetsløsning som skal vare i ti år, og som det er veldig dyrt å bytte ut dersom noen skulle knekke den, sier forsker Bård Myhre, kommunikasjonssystemer, SINTEF IKT.
Les også: Så enkelt kan din ID stjeles
Han understreker at ti år er veldig lang varighet i et teknologisk perspektiv.
Bestemt uten ekspertråd
Myhre får støtte fra en SINTEF IKT-kollega i avdelingen for systemutvikling og sikkerhet:
– Jeg deler den bekymringen. Ti år er lang tid for denne typen teknologi, og jeg blir ekstra bekymret ettersom det virker som om de som har utredet passene ikke har benyttet seg av ekspertise innen kryptografi, sier forsker Martin Gilje Jaatun.
Han nevner blant annet at Thales Norge og Universitetet i Bergen har god kompetanse på kryptografi. Begge bekrefter overfor TU.no at de aldri har fått noen forespørsler om å komme med innspill til sikkerhetsnøkkelen som benyttes.
Burde ha lenger sekvens
Martin Gilje Jaatun mener den kryptografiske sikkerheten blir begrenset når kun de to maskinskrevne linjene som står nederst på personaliasiden i passene (MRZ) brukes som utgangspunkt for sikkerhetsnøkkelen til RFID-brikken.
– Veldig få tegn er tilfeldige i denne koden, og det er mye det er mulig å gjette seg til. Skulle man gjøre én ting for å forbedre sikkerheten, måtte det være å sørge for å legge til en lengre, tilfeldig sekvens, sier Jaatun.
Den maskinlesbare koden inneholder data som passinnehavers nasjonalitet, kjønn og fødselsdato, og passets utløpsdato.
Kan utvides
Han tror ikke det er så attraktivt å misbruke passene slik de er i dag, siden den digitale informasjonen i RFID-brikkene tilsvarer informasjonen som står skrevet i passet.
Når det elektroniske fingeravtrykket legges inn i RFID-brikken, vil kriminelle imidlertid kunne ha mye større nytte av informasjonen.
– Og så er det jo et spørsmål om hvor det stopper. Potensielt er det mange andre personopplysninger man kan mene det vil bli nyttig å legge inn i passet, sier Jaatun.
Få ett års abonnement av Teknisk Ukeblad + 8 GB minnepinne for kun 1440 kr!
