Times Online, sieciowy odpowiednik szanownego Times'a, rozpisuje się o tym jak łatwo jest podrobić dane na paszporcie z czipem RFID. Dla przypomnienia: po atakach 11 września, USA zaczęły naciskać na wprowadzenie dodatkowych, biometrycznych zabezpieczeń w paszportach - w okładce paszportu zaszyty jest czip RFID gdzie zapisane są nasze cechy ciała takie jak odciski palców, wzór siatkówki oka, itp.
Panom decydentom, specjaliści jednak nie powiedzieli (a może ci decydenci nie chcieli słuchać), że w cyfrowym świecie, bezpieczeństwo opiera się (zazwyczaj) o metodę shared secret. Polega na tym, że w transakcji wymiany bezpiecznych/szyfrowanych danych jest coś znanego tylko dla odbiorcy i nadawcy, dzięki czemu mogą oni zweryfikować integralność bądź bezpieczeństwo przesyłania informacji.
Z paszportami robimy jednak różne dziwne rzeczy - np. oddajemy w recepcji hotelu w pięknym kraju arabskim, gdzie przyjechaliśmy wypocząć, a przysłowiowy 'arabski terrorysta' ma wówczas pełen dostęp do naszego paszportu i może bez problemu skopiować wszelkie informacje w zawartym w nim elektronicznym czipie.
Dodatkowym zabezpieczeniem w tym systemie jest weryfikacja informacji w centralnym systemie informacji o paszportach. Ma ono jednak dwie istotne wady:
- każde państwo powinno przystąpić do systemu wymiany informacji o paszportach (a nie jest to wymagane)
- połączenie z centralnym serwerem może zostać przerwane z jakiegokolwiek błahego powodu. Co wtedy? Trzymamy tysiące ludzi na lotnisku?
Aby zachować jednak uczciwy, blogerski subiektywizm, przyznam: taki paszport sam w sobie nie jest gorzej zabezpieczony. Ma wszystkie dotychczasowe zabezpieczenia. Dla laika podrobienie takiego paszportu to problem lecz dla terrorysty niekoniecznie. Niebezpieczeństwo wprowadzane przez nowy, elektroniczny typ paszportów, to znane (choćby z kolei) niebezpieczeństwo lenistwa/znudzenia. Dodatkowe zabezpieczenia nie zawsze zwiększają bezpieczeństwo. Maszyniści obwarowani zabezpieczeniami ze wszystkich stron, zaczęli w pewnym momencie zasypiać, bo było im po prostu nudno. Zaczęto więc likwidować, modyfikować zabezpieczenia kolei, tak aby mieli coś do roboty. Przenosząc to analogicznie do odprawy paszportowej - dziś celnik musi zajrzeć do paszportu, dotknąć go, spojrzeć na delikwenta. Z paszportem elektroniczny może być tak że już mu się nie będzie chciało zaglądać do środka, bo po co skoro komputer odczytał dane i wszystko się zgadza... Tyle że w środku terrorysta.
Komentarze