E-pas-demonstrationer Svagheder i nye grænsekontrol

Dataene på radiospånerne i såkaldte e-pas kan klones og modificeres uden påvisning, hvilket repræsenterer et gabende sikkerhedshul i næste generations grænsekontrolsystemer, ifølge sikkerhedsforskere.

Opad af 50 lande ruller ud pas med indlejrede RFID (radiofrekvensidentifikation) chips, der indeholder biometriske og personlige data. Flytningen er beregnet til at skære ned på svigagtige pas og styrke grænsearbejde, men sikkerhedseksperter siger, at systemerne har flere svagheder.

Den nederlandske forsker Jeroen van Beek har udgivet et software værktøjssæt, der kan bruges til at kode RFID-chips med falsk information. I en demonstrationsvideo viser Van Beek, hvordan en scanner på Amsterdams lufthavn læser et pas-chip, som han kodede med Elvis Presley's information og fotografi.

Det betyder, at en bedrager potentielt kunne oprette et falsk pas med en RFID-chip, der synes at være legitim. Årsagen til, at dataene ser legitime ud, skyldes et grundlæggende problem i, hvordan regeringer etablerer systemer til håndtering af e-pas, siger Adam Laurie, en freelance sikkerhedsforsker, der arbejdede med van Beek om demonstrationen.

Pasdata på RFID-chips er underskrevet med et digitalt certifikat tilhørende det land, som passet blev udstedt til. E-pas-systemer skal verificere certifikatet, når man scanner et pas, sagde Laurie.

Alle lande, der udsteder e-pas, skal uploade deres digitale certifikat til Public Key Directory (PKD), en database, der skal forespørges om Sørg for at certifikatet er korrekt, sagde Laurie.

Men kun 10 af de 50 lande har accepteret at uploade disse certifikater til PKD, sagde Laurie. Kun fem lande bidrager til databasen, sagde han.

"I virkeligheden falder hele sagen ned," sagde Laurie. E-pas-systemets sikkerhed er forankret i back-end-databasekontrollen af ​​disse certifikater, sagde han.

I van Beeks demonstration præsenterer paschipet indeholdende bedrageriske data sit eget certifikat, der ser ud til at være fra en legitim myndighed, men det er ikke 't. Da Nederlandene ikke bruger PKD til at verificere pascertifikater, accepteres certifikatet, siger Laurie.