Frykter at nye pass kan tappes
Forskere ved Sintef IKT frykter at noen vil knekke sikkerhetsnøkkelen og kunne hente ut fingeravtrykket ditt dersom de biometriske passene fortsatt skal være gyldige i ti år.
Levetiden til nye tekniske løsninger er som regel mye kortere enn ti år, skriver Teknisk Ukeblad på sine nettsider.
Pass for dyre å bytte ut
- En generell skepsis er at det innføres en teknologisk sikkerhetsløsning som skal vare i ti år, og som det er veldig dyrt å bytte ut dersom noen skulle knekke den, sier forsker Bård Myhre, kommunikasjonssystemer, Sintef IKT til nettstedet.Han tror sikkerhetsløsningen er bra nok i dag, siden passene gir fra seg forskjellig id hver gang de leses. Dermed er det ikke mulig å kjenne igjen og spore en spesiell passinnehaver. Men han understreker at ti år er veldig lang varighet i et teknologisk perspektiv.
Bestemt uten ekspertråd
Myhre får støtte fra en Sintef IKT-kollega i avdelingen for systemutvikling og sikkerhet:- Jeg deler den bekymringen. Ti år er lang tid for denne typen teknologi, og jeg blir ekstra bekymret ettersom det virker som om de som har utredet passene ikke har benyttet seg av ekspertise innen kryptografi, sier forsker Martin Gilje Jaatun. Han nevner blant annet at Thales Norge og Universitetet i Bergen har god kompetanse på kryptografi. Begge bekrefter overfor TU.no at de aldri har fått noen forespørsler om å komme med innspill til sikkerhetsnøkkelen som benyttes.
Burde ha lengre sekvens
Martin Gilje Jaatun mener den kryptografiske sikkerheten blir begrenset når kun de to maskinskrevne linjene som står nederst på personaliasiden i passene (MRZ) brukes som utgangspunkt for sikkerhetsnøkkelen til RFID-brikken.- Veldig få tegn er tilfeldige i denne koden, og det er mye det er mulig å gjette seg til. Skulle man gjøre én ting for å forbedre sikkerheten, måtte det være å sørge for å legge til en lengre, tilfeldig sekvens, sier Jaatun.Den maskinlesbare koden inneholder data som passinnehavers nasjonalitet, kjønn og fødselsdato, og passets utløpsdato.
Kan utvides
Han tror ikke det er så attraktivt å misbruke passene slik de er i dag, siden den digitale informasjonen i RFID-brikkene tilsvarer informasjonen som står skrevet i passet. Men når det elektroniske fingeravtrykket legges inn i RFID-brikken, vil kriminelle imidlertid kunne ha mye større nytte av informasjonen.- Og så er det jo et spørsmål om hvor det stopper. Potensielt er det mange andre personopplysninger man kan mene det vil bli nyttig å legge inn i passet, sier Jaatun. (TU.no)
