torstai 9. huhtikuuta 2009

Biopassin turvallisuus?

Ylen Silminnäkijä ("Varo henkilötietovarasta", Ami Assulin) esitteli 2.4.2009 miten helppoa on murtaa biopassin suojaukset. Muutama tuttu lähetti ohjelman nähtyään huolestuneena sähköpostia ja kysyi, voiko passeihin enää luottaa. Jokainen tehköön asiassa omat johtopäätökset -- ohjelman voi katsoa jälkikäteen Ylen Areenasta toukokuun alkuun asti.

Ohjelma lähtee siitä ajatuksesta, että biopassit ovat uhka identiteettivarkauksien kannalta. Jo lähtökohta on kummallinen. Tiettävästi kenenkään tietoja ei ole varastettu passeista, vaan nettipalveluista (kuten ohjelmassakin kuvatusta Facebookista) sekä varsinkin Suomessa paperitulosteista.

Suomalaisittain arkaluontoisin tieto on henkilötunnus. Se ei ole varsinaisesti luottamuksellinen tieto, mutta sen käsittelyyn liittyy erityisiä rajoituksia ja sitä käytetään usein väärin henkilöllisyyden todentamiseen. Tätä tietoa passeissa ei ole. Ei edes biopasseissa. Henkilötunnus on kansallinen järjestelmä, eikä sillä ole merkitystä maan rajojen ulkopuolella.

Passista löytyy kuva, nimi, syntymäaika ja syntymäpaikka, sekä tietoja henkilön fyysisistä ominaisuuksista. Biopassissa nämä tiedot ovat lisäksi sähköisessä muodossa, jotta ne olisi helpompi lukea koneellisesti ja jotta niitä olisi vaikeampi väärentää. Tiedot sinällään eivät ole salaisia, eikä niiden lukeminen merkitse passin suojausten murtamista.

Suomalaisen passin tiedot on koodattu avaimella, joka saadaan lukemalla optisesti passin tietosivun alareunan koodi. Ilmeisesti passin "murtamisella" tarkoitetaan tämän tiedon lukemista passia avaamatta.

Ohjelmassa näytetään (tosin ylimalkaisesti, yksityiskohtia kertomatta) miten hollantilainen tutkija pystyy lukemaan tiedot laittamalla passin lukijalaitteen päälle. Tämä ei mielestäni ole mikään turvaongelma. Teoreettisen identiteettivarastajan pitäisi siis saada passi haltuunsa ja laittaa se lukulaitteeseen, jotta hän pystyisi lukemaan koneellisesti passiin tallennetut nimi-, kuva- ja syntymäaikatiedot. Jos kerran passi on tietovarastajan hallussa, miksei hän yksinkertaisesti avaa sitä ja katso tietoja? Miksi ne pitäisi murtaa?

Ok, tilanne on vähän eri jos passin tiedot pystytään lukemaan usean metrin päästä vaikkapa jokaiselta ohikulkijalta. RFID-sirun lukeminen metrien päästä ei ole helppoa, koska siru ei ole tavallinen radiolähetin. Siinä ei ole paristoa, vaan se saa energiansa sähkömagneettisesta kentästä. Siksi herkälläkään lukijalla passisirun tietoja ei nykytiedon valossa voida lukea kuin hyvin lyhyeltä etäisyydeltä. Ehkä jonain päivänä joku demonstroi tämän uskomuksen vääräksi.

Lukemisen jälkeen suomalaisen passin koodatut tiedot pitäisi vielä murtaa auki. Se vie oman aikansa, vaikka käytössä olisi tehokaskin tietokone. Joidenkin maiden passeissa tietojen salausta ei ole katsottu lainkaan tarpeelliseksi ja se on jätetty pois.

Paljon vaarallisemmaksi tilanne muuttuu, jos passin tietoja onnistutaan muuttamaan ja uudet tiedot allekirjoittamaan digitaalisella varmenteella takaisin passiin niin, ettei peukalointia havaita. Silloin henkilön nimeä ja kuvaa voitaisiin vaihtaa. Jotta passi kelpaisi rajatarkastuksessa, myös paperille painetut tiedot pitäisi väärentää samalla tavalla. Biopassi ei siis ole erityisen haavoittuva vaan päinvastoin, se aiheuttaa väärentäjälle ylimääräistä työtä. Juuri tämä on järjestelmän tarkoituskin.

Ohjelmassa näytettiin, että tietojen muokkaaminen on mahdollista. Sitä ei kuitenkaan kerrottu, miten muutetut tiedot oli allekirjoitettu, ja miten tutkija aikoi muuttaa paperipassin tiedot vastaamaan sähköisiä tietoja. Tähän asti käsitys on ollut, että vain valtiolla on hallussaan passitietojen allekirjoittamiseen tarvittava salausvarmenne.

Passi ei ole mikään kulkukortti. Siinä ei ole pin-koodia, joka sitoisi passin käyttäjään. Siksi pelkällä passilla ei voi päästä maahan. Rajalla on oltava ihminen, joka viime kädessä vertaa passikuvaa sen kantajaan. Muutoinhan passikuvalla ei olisi mitään merkitystä. Henkilö voisi vapaasti lainata toisen henkilön passia ja matkustaa sillä.

Summa summarum: mikrosirun on tarkoitus tehdä passista vaikeammin väärennettävä, ei salata tietoja. Jos joku haluaa varastaa henkilötietoja, niiden kerääminen passista on kutakuinkin hölmöin mahdollinen tapa.

Toki kaikkeen henkilötietojen sähköiseen leviämiseen liittyy omat riskinsä. On vaara, että viranomaisten rekistereihin kertyviä passitietoja aletaan käyttää väärin tai ne vuotavat rikollisille. Tämä mahdollisuus on olemassa myös paperiaikaan, joskin silloin viranomaisten on työläämpää tallentaa passin tietoja. Maahantulija ei ole missään neuvotteluasemassa tietojensa luovutuksen suhteen. Jos ei anna sormenjälkiä ja kuvaansa USA:n rajalla (siis jo nykyisenä paperipassien aikana), käännytetään saman tien takaisin.

Sormenjälkitietojen lisääminen passiin on uusi ja jossain määrin huolestuttava asia. Kuva ja henkilötiedot niissä on ollut aina, mutta sormenjälki on ihan uusi tieto. Mitä vilunkia voidaan tehdä sähköisillä sormenjäljillämme, jos jokin maa alkaa kerätä niistä tietokantaa, joka sitten päätyy vääriin käsiin? Emme tiedä. Vasta aika näyttää.

Varmuuden vuoksi uusin oman passini kuukausi sitten, nyt kun niitä vielä saa ilman sormenjälkiä.

7 kommenttia:

M Kesti kirjoitti...

"Mitä vilunkia voidaan tehdä sähköisillä sormenjäljillämme, jos jokin maa alkaa kerätä niistä tietokantaa, joka sitten päätyy vääriin käsiin?"

Mitenniin jos alkaa kerätä? USA:han kerää jo. Kaikista sormista pitää rajalla jäljet koneeseen jättää.

Ja heidän tietoturvan tasostaan kertonee tämän päivän uutinen, että USAn kansallista sähköverkkoa ohjaavaan järjestelmään oli upattu haittakoodia...

Anonyymi kirjoitti...

"Varmuuden vuoksi uusin oman passini kuukausi sitten, nyt kun niitä vielä saa ilman sormenjälkiä. "

Millos niitä sormenjälkiä aletaan kerätä?

Petteri Järvinen kirjoitti...

EU edellyttää, että jäsenvaltiot lisäävät sormenjäljet passeihin viimeistään 28.6.2009. Tarkkaa päivää, milloin Suomessa niitä aletaan kirjoittaa, ei taida olla vielä tiedossa.

Anonyymi kirjoitti...

Nainen matkusti aviomiehensä passilla (UK): http://preview.tinyurl.com/5r8l85

Jo 2005 demottiin RFID-passin luku metrin etäisyydeltä (http://preview.tinyurl.com/dy9ggu) -- tekniikka ja lukulaitteiden tehot ovat kehittyneet paljon noista ajoista. Joissakin artikkeleissa puhutaan jo noin kymmenen metrin etäisyydestä.

Oletko nyt Petteri ihan tosissasi, että sinusta passin tietojen luvaton etälukeminen verraten kevyellä kalustolla ei ole mikään tietoturvaongelma? Poliisin sivuilla lukee edelleen "Tiedot on suojattu väärinkäyttöä vastaan." ja "Sirun tiedot on suojattu luvattomalta lukemiselta."

Luvaton etäluku on mielestäni väärinkäyttöä ja kuten Jeroen van Beek demonstroi, se on myös helppoa. Passilain §30 sanotaan, että "Sisäasiainministeriön tulee huolehtia erityisesti passin koneellisesti luettavien tietojen tietoturvasta." Minusta tätä pykälää ei nykyinen passi toteuta!

Petteri Järvinen kirjoitti...

sensitive personal information could be surreptiously "skimmed" from distances as far as 30 feet (according to one report).Tällaiset "one report" -viittaukset jätän omaan arvoonsa, kunnes ne on verifioitu. Jos passin tiedot (koko nimi, syntymäaika, kasvokuva) voidaan lukea 10 metrin päästä käyttäjän sitä huomaamatta, se voi olla jonkinasteinen ongelma. Harkitsen kantaa sitten, kun joku demonstroi käytännössä miten tämä tapahtuu. Siihen asti yritän pitää jalat maassa.

Anonyymi kirjoitti...

Tässäpä muuten melko mielenkiintoinen video RFID-korttien etälukemisesta. Toimisi myös passeille -- myös Suomalaisille turvapasseille (tm). http://hackaday.com/2009/02/02/mobile-rfid-scanning/

Anonyymi kirjoitti...

Jatkoa edelliseen. Edelleen sisäministeriön sivuilla sanotaan näin: "Suomen käyttöönottamassa biometrisessa passissa olevan siru voidaan lukea vain kun passikirja on avattu ja tietosivulla oleva konelukukenttä on luettu. Tämän ansiosta passia ei voi etälukea salaa.

Sirun ja sirun lukijan välinen tietoliikenne on suojattu, joka estää luvattoman tietojen jäljentämisen ja tietoliikenteen salakuuntelun. "

Kaikki nämä väitteet ylen dokumentti kumosi tehokkaasti.

Website Security Test