Из хроники хайтек-паспортизации

Подборка кратких новостей за период 2004-2006 гг. — о хитростях и проколах в повсеместном внедрении новых удостоверений личности с чипами и биометрией.

passports-w-biometr

Все страньше и страньше

(Сентябрь 2004)

Эпопея с обязательным включением биометрической идентифицирующей информации в документы всех лиц, пересекающих границы США, получила новый, несколько неожиданный оборот. Госдепартамент США завершил в августе рассмотрение всех вариантов «биометрической» модификации новых американских загранпаспортов и принял решение в пользу наименее надежного из всех вариантов – опознания личности по лицу.

Объявлено, что начиная с весны следующего (2005) года все граждане США, получающие новые или обновляющие старые паспорта, будут получать документ с встроенным в обложку чипом, содержащим цифровую фотографию их лица. Это фото планируется сравнивать с тем снимком, который веб-камеры будут делать на пограничных контрольно-пропускных пунктах и одновременно сличать с содержимым баз разыскиваемых органами лиц.

Решение госдепартамента отдать предпочтение опознанию по лицу, а не, скажем, по отпечаткам пальцев или элементам глаз (рисунку сетчатки или радужной оболочки), вызвало недоумение у подавляющего большинства американских экспертов. По их свидетельству, системы опознания человека по лицу наименее надежны в работе и при неправильно поставленном освещении дают огромную, до 50% долю ошибок (т.е. вместо автоматизированного сличения снимков примерно с таким же успехом можно подбрасывать монетку).

И даже при соблюдении всех правил процент верных опознаний по лицу в лучшем случае составляет около 90%. В реальных условиях, при 300 пассажирах, садящихся в авиалайнер, 30 случаев ложного опознания, всякий раз требующего разбирательств, – это чрезвычайно много.

Американская госадминистрация объясняет свой выбор тем, что цифровая фотография – наименее навязчивый и наиболее удобный из всех видов сбора биометрических данных. Особенно если учитывать, что сдача фотографий давно стала общепринятым условием для получения идентифицирующих документов. Тем самым, правда, жители всех остальных стран мира, для получения американской визы обязанные сдавать отпечатки пальцев, фактически ставятся в разряд людей второго сорта, не заслуживающих такого же уважения, как граждане США.

Или, формулируя несколько иначе, иностранцы – это люди, раздражение и недовольство которых по поводу действий американской администрации мало что значат накануне президентских выборов.

#

Новояз для новых паспортов

(Май 2005)

Нельзя не заметить, что чем дальше мир движется по пути технологического прогресса, тем более востребованными становятся провидческие идеи Джорджа Оруэлла о тоталитарном обществе всеобщей слежки, описанном в его романе «1984».

Одним из наиболее свежих подтверждений тому стали лингвистические новации американской госадминистрации, вводящей в этом году для миллионов своих граждан новые загранпаспорта с чипами радиочастотной идентификации (RFID), но при этом любыми путями избегающей употреблять сам этот – сильно скомпрометированный в СМИ – термин RFID.

Технология RFID, естественно, сама по себе не является ни плохой, ни хорошей. Возможности быстрого бесконтактного считывания информации из микрочипов-меток, бесспорно, очень удобны для складской инвентаризации или учета товаров в розничной торговле. Все же нарекания к RFID вызваны, главным образом, попытками ее чересчур навязчивого внедрения, из-за чего покупатель («обложенный» радиопередающими бирками) лишается возможности контролировать информацию о своей частной жизни.

Именно поэтому вокруг технологии сформировалась своеобразная негативная аура, а госчиновники пытаются ныне с помощью терминологических ухищрений – техно-бюрократического новояза – как-то отделить паспорта с RFID от ключевого «неудобного» слова.

Джозеф Брогхамер (Joseph Broghamer), директор технологий аутентификации в DHS, Департаменте государственной безопасности США, сказал об этом вполне откровенно:

«Мы бы предпочли, чтобы этот термин RFID или даже только RF (радиочастотная) не использовался вообще (применительно к смарт-картам идентификации с RFID). Давайте вообще целиком избавимся от этих RF».

А потому теперь ни в речах и документах DHS, ни в документах Philips Semiconductors, одного из главных поставщиков новой технологии для правительства США, метки RFID применительно к документам идентификации именуются как угодно, но только не своим собственным именем: «бесконтактные чипы», «бесконтактные интегральные микросхемы», «чипы близости» (proximity chips) и так далее.

Под эти нововведения подведена даже некая «научно-идеологическая» база. Бесконтактные чипы для документов отличаются, де, от обычных RFID тем, что выполнены по стандарту ISO/IEC 14443, который ограничивает расстояние дистанционного считывания до 4 примерно дюймов.

То, что ничего, кроме лукавства, в этом заявлении нет, понятно любому человеку, представляющему себе, что такое радиопередача. Где дальность приема зависит, как известно, не от спецификаций стандарта, а от качества антенны. Что, кстати говоря, неоднократно продемонстрировано и на устройствах, выполненных по требованиям ISO/IEC 14443 и вполне позволяющих считывать информацию на расстояниях 10 и более метров.

Иначе говоря, как бы власти США не именовали новую технологию в паспортах, гражданам страны придется, похоже, смирится, что всю содержательную информацию из их удостоверяющих личность документов можно будет извлекать дистанционно и без ведома владельца. Потому что так удобнее госадминистрации. В ближайшем будущем, кстати говоря, аналогичные документы планируются ко вводу и в России.

#

biom-passp

Волюнтаризм, понимаешь

(Июнь 2005)

Ситуация с повсеместным вводом новых RFID-паспортов с биометрией складывается так, как и должна развиваться любая торопливая, плохо продуманная затея, предпринятая политиками и бизнесменами, плохо понимающими технические сложности задачи. Ныне наступила фаза, когда до ответственных людей в госадминистрации и Конгрессе США начало доходить, что запущенная с их подачи всемирная «перепаспортизация» – это дело намного более сложное и деликатное, нежели предполагалось поначалу.

Фрэнк Мосс (Frank Moss), заместитель госсекретаря по паспортной службе, уже признал, что полученная его ведомством обратная связь (около 2500 комментариев) относительно ввода новых электронных паспортов, результаты экспериментов в Национальном институте стандартов и итоги недавней конференции «Компьютеры, свобода и приватность» заставляют серьезно пересмотреть имеющиеся планы и существенно модернизировать технологию.

Важнейшей проблемой, требующей решения, признано отсутствие защиты персональных данных владельца паспорта, которые в электронной форме хранятся в RFID-чипе и без проблем могут быть дистанционно считаны не только представителями власти, но и злоумышленниками.

После официального признания, что RFID-паспорт доступен для считывания на расстояниях, измеряемых по крайней мере метрами (а не 10 сантиметров, как поначалу пытались заверить публику), госадминистрации приходится сейчас возвращаться к варианту, прежде ею отвергнутому.

Как выясняется, в спецификациях ICAO (Международной организации гражданской авиации, уполномоченной ООН курировать введение новых международных документов идентификации) для RFID-паспортов с самого начала имелась более безопасная технология, именуемая «базовый контроль доступа» или кратко БКД (от Basic Access Control, BAC).

Работает БКД примерно следующим образом. Данные в чипе паспорта хранятся в зашифрованном виде и недоступны для любого считывателя, не знающего секретный ключ доступа. Чтобы получить этот ключ, сотрудник паспортного контроля должен открыть документ и оптически просканировать данные о владельце, напечатанные специальным машиночитаемым текстом ниже фотографии (такие строки есть и в нынешних паспортах). Эти данные подвергаются криптографическому преобразованию (хэшируются), и на основе хэша прибор-ридер формирует уникальный ключ доступа, который подтверждает полномочия считывателя и «отпирает» хранимую в чипе информацию.

У этой технологии тоже есть свои минусы, но она в любом случае существенно безопаснее того совершенно открытого варианта, который выбрали поначалу в США. Теперь же, по свидетельству Мосса, госадминистрация склонна принять БКД. Тем более, что данную технологию уже выбрали в качестве базовой страны Европейского союза.

Поскольку новое решение влечет за собой пересмотр уже запущенных планов выпуска RFID-паспортов плюс закупку новой, существенно иной аппаратуры считывания для постов паспортного контроля, плюс новые раунды переговоров с европейскими партнерами относительно стандартизации оборудования – то все это неизбежно смещает сроки ввода новых документов куда-то в неопределенное будущее.

А от Конгресса США тем временем сделано еще более сильное заявление. Председатель парламентского юридического комитета Джеймс Сенсенбреннер (James Sensenbrenner), возглавлявший законодательные паспортные реформы, предпринятые после 11 сентября 2001, объявил, что американский Конгресс никогда не требовал перехода к паспортам с RFID-чипами. А потому ни Европе, ни другим странам вообще не было никакой нужды переходить к новой и слабо опробованной на практике технологии…

Сенсенбреннер указывает, что принятые Конгрессом законы требуют лишь дополнения в паспорта цифровой биометрической информации для более надежной идентификации владельца. А реализовано это вполне может быть старыми испытанными способами вроде графической матрицы со штрих-кодом или вклеиванием магнитной полоски.

В специальном письме, направленном в апреле (2005) лидерам Евросоюза, Сенсенбреннер пишет, что добавление в паспорта RFID-технологии для несения биометрии существенно увеличило стоимость создания инфраструктуры и добавило множество технических трудностей, ведущих к задержкам в разворачивании новой паспортной системы. По убеждению Сенсенбреннера, менее амбициозный и технически более простой подход мог бы избавить все страны от этих проблем.

Короче говоря, уже ясно, что с быстрым вводом RFID-паспортов случился прокол, но быть крайним и нести ответственность за поспешные решения, как обычно, не хочется никому.

#

Краснокожая чипованная паспортина

(Ноябрь 2005)

23 ноября премьер-министр РФ Михаил Фрадков подписал постановление правительства, определяющее описание и содержание новых российских загранпаспортов с биометрическими данными.

Первые паспорта нового образца начнут выдавать уже с января 2006 года, но пока лишь в рамках ограниченного пилотного проекта – для жителей Калининградской области, а также в загранпредставительствах России в Германии и Литве. Массовая же выдача новых загранпаспортов с биометрическими данными, как пояснил директор Федеральной миграционной службы Константин Ромодановский, начнется в России с 2007 года.

Главной особенностью этого документа является то, что в загранпаспорт встраивается электронный чип с информацией о его владельце. На данный момент решено, что это будут те же сведения, которые напечатаны на титульной странице паспорта, плюс цифровая фотография владельца. Никакие дополнительные данные пока заноситься в чип не будут.

Аналогичная технология оцифровки лица принята ныне за основу нового паспорта правительствами Великобритании, Бельгии, США, Италии, Франции, Индии, Сингапура. Как и в этих государствах, власти России особо оговаривают, что при возникновении потребности во внесении в документ дополнительных биометрических сведений, таких как отпечатки пальцев или снимок радужки глаза, подобного рода информация также может быть включена в память чипа впоследствии.

Внешне новый российский паспорт практически ничем не отличается от ныне действующего. Скорее всего, на обложку будет помещен специальный логотип микросхемы, дабы было ясно, что это новый электронный паспорт. Кроме того, первая страница документа будет несколько толще обычной, поскольку выполнена в виде пластиковой вставки, внутри которой, собственно, и запрессована микросхема RFID (чип бесконтактной радиочастотной идентификации с энергонезависимой памятью).

Электронная начинка паспорта выполнена в соответствии со спецификациями ICAO, Международной организации гражданской авиации, которую ООН уполномочила курировать введение новых международных документов идентификации. Примечательно, что в российских паспортах изначально решено реализовать технологию «базового контроля доступа» или кратко BAC (от Basic Access Control), защищающую документ от дистанционного считывания данных без ведома его владельца.

На первом этапе ввода новых российских паспортов RFID-чипы для них планируется закупать за границей. Но одновременно разворачивается их производство на территории России. Головным предприятием, отвечающим за создание отечественных паспортов с биометрией, является НИИ «Восход», один из некогда секретных «почтовых ящиков» оборонной промышленности.

По свидетельству специалистов, речь идет, фактически, о быстром создании новой отрасли электронной промышленности. В течение всего лишь 1 года необходимо развернуть производство и начать выпуск новой уникальной паспортно-визовой продукции. Причем уникальной не только по содержанию и исполнению, но и по уровню информационной и физической защиты.

Ориентировочная стоимость такого рода затеи оценивается ныне в весьма широком диапазоне (в России, скажем, прогноз – полмиллиарда долларов, а Великобритании – 18 миллиардов), так что о действительно реалистичной сумме затрат разумно будет говорить по завершении пилотного проекта к концу 2006 года.

Что касается цены нового загранпаспорта для населения, то пока предполагается установить минимально возможную плату. Ориентировочно она составит для детей до 14 лет – пятьсот рублей, для взрослых граждан – 1 тысячу рублей. Обмен паспортов будет осуществляться «естественным образом», т.е. по истечении срока действия уже имеющегося документа. Срок действия биометрического загранпаспорта определен таким же, как и прежде – пять лет.

#

rfid-passports

Утечка по-голландски

(Март 2006)

Телевидение Нидерландов решило несколько просветить население своей страны относительно новых электронных паспортов с биометрией и RFID-чипами. Дата начала их всеобщего ввода в Нидерландах – август 2006 – неуклонно приближается, а народ в массе своей как и прежде имеет очень смутное представление, что означают технологические новинки в одном из важнейших идентификационных документов.

Поэтому информативной телепередаче о том, как просто становится похитить персональные данные человека в новых условиях, похоже, удалось наконец привлечь подобающий интерес общества к нововведению.

В телесюжете голландской ТВ-программы Nieuwslicht специалисты компании Riscure (г. Делфт), специализирующейся на безопасности смарт-карт и мобильной телефонии, наглядно продемонстрировали, как из паспорта, предъявляемого на контрольном пункте, можно незаметно, с расстояния 10 метров перехватить всю выдаваемую RFID информацию.

А затем, хотя эта информация в голландских паспортах защищена криптографией системы BAC («базовый контроль доступа»), все шифрование вскрывается за 2 часа работы обычного ПК. В результате чего потенциальным злоумышленникам становится доступна не только стандартная информация, вроде даты рождения владельца паспорта, но и его биометрия – файлы цифровой фотографии лица и/или отпечатка пальца.

Столь вопиющая слабость защиты объясняется неудачным выбором структуры для секретного ключа, призванного обеспечивать безопасность передаваемых в эфир данных. Хотя формально этот ключ, генерируемый на основе машиночитаемых строк в паспорте, обладает достаточной длиной для противостояния быстрым лобовым атакам, в реальности значительный фрагмент ключа легко предсказуем, поэтому для перебора на машине остается всего 35 битов.

В частности, секретный ключ голландского паспорта (в его первоначальной, доступной для экспериментов форме) вычисляется на основе даты окончания срока действия документа, даты рождения владельца и собственно номера паспорта. При этом система присвоения номеров в Нидерландах строится последовательно и непосредственно соотносится с датой истечения срока. Более того, последняя цифра этого номера вообще является проверочной и вносит дополнительную предсказуемость.

Таким образом аналитики компании показали, что даже выбором новой системы, формирующей непредсказуемые номера паспортов, уже можно было бы существенно усилить всю технологию. До вмешательства «хакеров» из Riscure в компетентных государственных инстанциях эта очевидная мысль почему-то никому в голову не приходила. Теперь же, по свидетельству голландского МВД, ведомством изыскиваются пути для улучшения безопасности новых паспортов.

Поскольку биометрические загранпаспорта всех государств строятся на основе единых спецификаций ICAO, Международной организации гражданской авиации, а система защиты BAC является частью этих спецификаций, можно предполагать, что аналогичные слабости будут проявляться и в паспортах большинства прочих стран. Косвенно это уже подтвердили в Riscure, где при изучении новых биометрических паспортов Швейцарии и Германии выявлены похожие признаки предсказуемости ключа.

#

Атака клоном

(Август 2006)

На прошедшей в Лас-Вегасе хакерской конференции Black Hat / Defcon было наглядно продемонстрировано, сколь легко поддаются копированию новые «хайтек-паспорта» со встроенным RFID-чипом.

Лукас Грюнвальд (Lukas Gruenwald), исследователь германской компании DN-Systems, в ходе своей презентации за несколько минут создал электронный клон собственного RFID-паспорта. Для этого ему понадобились ноутбук и относительно недорогое, ценой несколько сот долларов, дополнительное оборудование для считывания RFID и программирования чипов смарт-карт.

В качестве проверочного устройства, подтверждающего качество клонирования, был использован подлинный считыватель службы паспортного контроля, применяемый на пограничных постах и изготовленный германской компанией ACG Identification Technologies. Этот прибор подтвердил, что никак не различает оригинальный паспорт и его электронный клон, изготовленный из свободно доступной на рынке смарт-карты с RFID.

По словам Грюнвальда, ему понадобилось около двух недель на то, чтобы создать свою технологию клонирования, причем основная часть времени пришлась на изучение особенностей формата данных в RFID-чипах новых паспортов. Эта информация выложена на сайте ICAO, Международной организации гражданской авиации, которой ООН поручила курировать вопросы разработки единого формата для новых документов идентификации.

И хотя атака Грюнвальда продемонстрирована на германском паспорте, нет никаких сомнений, что она точно так же будет работать и на паспортах всех остальных стран, коль скоро те создаются на основе единого стандарта ICAO.

Демонстрируя свою работу, исследователь подчеркнул, что она позволяет делать исключительно копии «один в один». Никакие манипуляции с данными и попытки их модификации здесь невозможны, ибо целостность информации в чипе защищена с помощью проверочной хеш-функции.

С одной стороны, это означает, что и при наличии чипа в паспорте критически важным элементом в проверке личности продолжает оставаться визуальная сверка лица владельца с цифровой фотографией в чипе (это пока единственный «биометрический» параметр, зашиваемый в паспорт). С другой же стороны, эта процедура практически ничем не отличается от обычной сверки лица с фотографией в документе.

И получается, что затея с RFID-паспортами совершенно не добавила безопасности, но зато привела к гигантским затратам средств и породила кучу новых проблем вроде дистанционного считывания и незаметной кражи персональных данных.

Нельзя сказать, чтобы этого совсем не понимали властные структуры, инициировавшие крупномасштабные «антитеррористические» мероприятия с усилением паспортного контроля. Очевидные технологические изъяны в новых RFID-паспортах явно требуют доработки, поэтому в июне нынешнего года Еврокомиссия, к примеру, опубликовала подробности о планах «биометрических дополнений» в документы, предназначенные для граждан Евросоюза.

Наряду с цифровой фотографией лица, обязательной в ныне выдаваемых паспортах, к 2009 году всем государствам-членам Союза надлежит обеспечить внесение в чипы еще и отпечатков двух пальцев владельца документа. Насколько это поможет дать отпор террористам – сказать сложно, но то, что проверка личности на пропускном пункте станет выглядеть сильно иначе, больше напоминая задержание преступников – это точно.

#

Коррупция, как обычно

(Декабрь 2006)

Еще одна необычная новость – теперь из Великобритании – прошла в одной из телепередач Би-Би-Си, где журналистка Шахида Тулаганова (уроженка советской республики Узбекистан, последние 10 лет живущая и работающая в Англии) рассказала, как за 5 месяцев простыми и хитрыми способами она приобрела для себя 20 «фальшивых» паспортов разных стран Евросоюза.

Фальшивыми многие из этих паспортов можно называть лишь относительно, из-за нелегального канала приобретения, поскольку физически и юридически они оформлены как подлинные документы. С помощью двух из этих паспортов Тулаганова реально въезжала на территорию Британии – один раз паромом по морю из Испании, как гражданка Латвии, второй раз через тоннель поездом Брюссель-Лондон по эстонскому паспорту.

Суть авантюрного расследования Тулагановой – наглядно продемонстрировать, что ныне в ЕС, существенно разросшемся за счет восточноевропейских стран, нелегальное приобретение новых документов не представляет абсолютно никакой проблемы. В зависимости от конкретной страны и качества нового паспорта цена, правда, может существенно варьироваться в примерном диапазоне от 200 до 3000 долларов.

Подкупить чиновников легче всего в бедных странах Восточной Европы, однако в комплекте паспортов, добытых пробивной журналисткой, представлены самые разные государства – от Чехии, Словении и Польши до Германии, Голландии, Франции и Бельгии.

Спрос на документы среди нелегальных эмигрантов из неевропейских стран очень велик, поэтому естественным образом формируется и мощный криминальный рынок, данный спрос удовлетворяющий. Причем имеются очень отчетливые признаки того, что активно продвигаемые ныне в паспорта чипы и средства биометрической идентификации, «делающие подделку документа невозможной», в данной ситуации мало чем помогут.

Например, свой чешский паспорт Шахида Тулаганова получила по такой схеме. Она сдала свою фотографию посреднику, а другая женщина с примерно похожей внешностью оформила с этой фотографией настоящий паспорт на себя. Понятно, что когда цифровые фото в паспортах станут обычным делом, столь же легко придумают и способ для помещения в чип нужной фотографии владельца – достаточно лишь «подмазать» ослабление бдительности какого-нибудь подходящего чиновника…

# # #

Дополнительное чтение в тему

О том, что хайтек-паспорта по-прежнему успешно подделывают для совершения реальных преступлений: «Дело было в Дубаи»