+<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
+ "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
+<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr">
+ <head>
+ <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
+ <title>Petter Reinholdtsen: Norske pass med RFID og biometri - en sikkerhetsrisiko for borgerne</title>
+ <link rel="stylesheet" type="text/css" media="screen" href="http://people.skolelinux.org/pere/blog/style.css" />
+ <link rel="stylesheet" type="text/css" media="screen" href="http://people.skolelinux.org/pere/blog/vim.css" />
+ </head>
+ <body>
+ <div class="title">
+ <h1>
+ <a href="http://people.skolelinux.org/pere/blog/">Petter Reinholdtsen</a>
+
+ </h1>
+
+</div>
+
+
+ <div class="entry">
+ <div class="title">Norske pass med RFID og biometri - en sikkerhetsrisiko for borgerne</div>
+ <div class="date"> 3rd June 2012</div>
+ <div class="body"><p>Jeg liker ikke de nye
+<a href="http://en.wikipedia.org/wiki/Biometric_passport">biometriske
+passene</a> som Norge har innført. Passenes nye egenskaper gjør meg
+utrygg som bærer av pass, og gir innehaveren økt risiko for
+identitetstyveri og misbruk av informasjonen i passene, uten å gjøre
+det så mye vanskeligere å forfalske pass.</p>
+
+<p>Det har vært forsket en god del i Norge på sikkerheten og
+personvernet rundt lagring av biometri i norske pass, og her er en
+liten oversikt over det jeg har funnet på bibsys.no så langt:</p>
+
+<ul>
+
+ <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4307">"Passport
+ of the Future: Biometrics against Identity Theft?"</a> (2004) av
+ Marijana Kosmerlj</li>
+
+ <li><a href="http://brage.bibsys.no/hia/handle/URN:NBN:no-bibsys_brage_2287">"Evaluering
+ av standardisert teknologi, biometriske verdier og
+ utbedringspotensiale av ICAO standarden for elektroniske pass"</a>
+ (2006) av Mona Forsbakk og Ingvar Narvestad</li>
+
+ <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4252">"Personvernspørsmål
+ ved innføringen av biometri i norske pass"</a> (2006) av Kenneth
+ Knashaug</li>
+
+ <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4255">"Sårbarhetsanalyse
+ av utvalgte deler av norske biometriske pass"</a> (2006) av Jon
+ Fredrik Pettersen</li>
+
+</ul>
+
+<p>Det har også vært forsket på sikkerheten i passene internasjonalt
+(flere gode lenker i wikipedia-siden om biometriske pass), og det er
+for meg åpenbart at passene ikke er "sikre" sett fra innehaverens
+synspunkt.</p>
+
+<p>Før det ble innført krav om lagring av fingeravtrykk i de norske
+passene i 2010
+<a href="http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2008/horing---forslag-om-endringer-i-passlove.html?id=526072">gjennomførte
+regjeringen en høring i 2008</a>. Jeg anbefaler å lese
+<a href="http://www.regjeringen.no/upload/JD/Høringsuttalelser/PIA/Endringer%20i%20passloven/Datatilsynet.pdf">høringsuttalelsen
+fra Datatilsynet</a>. I høringsbrevet kan en se
+<a href="http://www.regjeringen.no/upload/JD/H%C3%B8ringsuttalelser/PIA/Endringer%20i%20passloven/Vedlegg%20sikkerhetselementer%202.pdf">hvilke
+sikkerhetselementer</a> de norske passene skal ha og få. Norske pass
+etter 2010 skal ha passiv autentisering (PA), grunnleggende
+tilgangskontroll (BAC) og utvidet tilgangskontroll (EAC + BAC).</p>
+
+<ul>
+
+<li>PA innebærer at en hash av informasjonen lagret elektronisk i
+passet er signert med en privat nøkkel (som tilhører utstederlandet)
+slik at en ved sjekk av signaturen kan oppdage om innholdet har endret
+seg. Det er dog kjent at utstyr i bruk for sjekk av pass ikke alltid
+sjekker dette likevel, og i tillegg kan la seg lure av hvis signaturen
+som skulle vært der fjernes fra datalagret i passet.</li>
+
+<li><a href="http://en.wikipedia.org/wiki/Basic_Access_Control">BAC</a>
+innebærer at kommunikasjon med passet over RFID er kryptert med en
+symmetrisk nøkkel utledet fra blant annet passnummer, fødselsdato og
+passets utløpsdato, informasjon som f.eks. hotell i hele EØS og EU
+samler inn for sine gjester ved innsjekking. Det er demonstrert at
+pga. forutsigbare passnummer, fødselsdatoer og utløpsdatoer er det
+relativt enkelt å knekke koden som trengs også uten fysisk tilgang.
+
+<li><a href="http://en.wikipedia.org/wiki/Extended_Access_Control">EAC</a>
+krever bruk av BAC, og har i tillegg mekanismer for å sjekke hvilken
+avleser som er i bruk og utvidede sjekker av RFID-brikken i passet for
+å avsløre ikke-offisielle brikker.</li>
+
+</ul>
+
+<p>Det er kjent at en kan identifisere hvilket land som har utstedt et
+pass ved å forsøke kommunisere med RFID-brikken i passet og se hvilke
+feilmeldinger som blir returnert.</p>
+
+<p>Hva er det som gjør meg utrygg med biometriske pass med
+RFID-avlesning? Det er allerede kjent at informasjon som nå er
+elektronisk tilgjengelig i pass blir misbrukt av ansatte i
+grensekontrollen. F.eks. finnes en historie fra Canada der en
+grensevakt
+<a href="http://www.slaw.ca/2010/06/03/e-passport-a-privacy-concern/">samlet
+biometri og kontaktinformasjon</a> og brukte denne til
+<a href="http://www.nowpublic.com/health/border-guard-used-passport-details-hit-women">å
+legge an på en gift dame</a> etter at hun var kommet hjem fra reise.
+Det er mange hundre tusen grensevakter i verden, og de vil etter alt å
+dømme ha tilgang til informasjon om meg som også kan brukes til
+identitetstyveri.</p>
+
+<p>Norge gjør det enklere for land jeg besøker å samle en database
+over informasjon om hvordan jeg ser ut (bilde), hvor høy jeg er,
+hvilken hårfarge jeg har, hvordan fingeravtrykkene mine ser ut (bilde)
+og alt det andre som er lagret elektronisk og gjort tilgjengelig for
+fjernavlesning. Dette kan brukes til både identitetstyveri og
+planting av bevis. Og det trenger ikke være noen som er ute etter meg
+spesielt. Det kan være nok at jeg ligner på noen, eller har et
+reisemønster som passer. En har gjort det trivielt for
+etterrettingsorganisasjoner å samle profiler av alle landets besøkende
+(og innbyggere), og bruke dette til å finne noen som ligner agentene
+når de skal bruke kopierte eller falske pass i
+etterretningsoperasjoner (slik det kanskje ble gjort
+<a href="http://www.nrk.no/nyheter/verden/1.7169704">da Hamas-lederen
+Mahmoud al-Mabhouh ble drept</a> på et hotell i Dubai 20. januar 2010
+Mange både ekte og kopierte EU-pass var i bruk av "feil" person i den
+operasjonen).</p>
+
+<p>Det er ikke bare landene en besøker en har gjort det enklere for.
+I og med at RFID-brikker kan lese av på avstand, og med rett utstyr på
+minst 10 meters avstand, så kan en risikere å bli identifisert som
+nordmann på avstand. Hvis en beveger seg i områder der
+f.eks. kidnapping forekommer, eller i land der en ønsker å skade
+nordmenn slik det var antydninger til for noen år siden da religiøse
+galninger eglet opp til kritikk av tegnere og alle som støttet
+tegneres rett til å tegne det de ønsket, så vil en være mer sårbare
+hvis en kan identifiseres som nordmann med med bilde av potensielle
+angripere. Pass som kan spores opp med radiobølger (aka RFID) gjør
+det en jo også mye mer sårbar for tyveri av pass. Dette problemet kan
+dog reduseres ved å putte passet i et faraday-bur (metallboks, pose,
+etc), slik at det ikke kan leses av uten fysisk tilgang. Men det er
+vanskelig å vite om beskyttelsen fungerer uten tilgang til leseutstyr
+som kan bekrefte at avlesning er blokkert.</p>
+
+<p>Dette problemer er dessverre bare et av mange der
+overvåkningssamfunnet brer om seg. Jeg synes det er ubehagelig å bo i
+et samfunn som blir mer og mer en totalitært politistat, og i en
+verden som blir mer og mer full av totalitære politistater.</p>
+</div>
+
+ <div class="tags">Tags: <a href="http://people.skolelinux.org/pere/blog/tags/norsk">norsk</a>, <a href="http://people.skolelinux.org/pere/blog/tags/personvern">personvern</a>, <a href="http://people.skolelinux.org/pere/blog/tags/rfid">rfid</a>.</div>
+
+
+ </div>
+
+
+
+
+ <div id="sidebar">
+
+
+
+<h2>Archive</h2>
+<ul>
+
+<li>2012
+<ul>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/01/">January (7)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/02/">February (10)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/03/">March (17)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/04/">April (12)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/05/">May (12)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2012/06/">June (5)</a></li>
+
+</ul></li>
+
+<li>2011
+<ul>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/01/">January (16)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/02/">February (6)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/03/">March (6)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/04/">April (7)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/05/">May (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/06/">June (2)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/07/">July (7)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/08/">August (6)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/09/">September (4)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/10/">October (2)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/11/">November (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2011/12/">December (1)</a></li>
+
+</ul></li>
+
+<li>2010
+<ul>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/01/">January (2)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/02/">February (1)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/03/">March (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/04/">April (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/05/">May (9)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/06/">June (14)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/07/">July (12)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/08/">August (13)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/09/">September (7)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/10/">October (9)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/11/">November (13)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2010/12/">December (12)</a></li>
+
+</ul></li>
+
+<li>2009
+<ul>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/01/">January (8)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/02/">February (8)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/03/">March (12)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/04/">April (10)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/05/">May (9)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/06/">June (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/07/">July (4)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/08/">August (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/09/">September (1)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/10/">October (2)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/11/">November (3)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2009/12/">December (3)</a></li>
+
+</ul></li>
+
+<li>2008
+<ul>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2008/11/">November (5)</a></li>
+
+<li><a href="http://people.skolelinux.org/pere/blog/archive/2008/12/">December (7)</a></li>
+
+</ul></li>
+
+</ul>
+
+
+
+<h2>Tags</h2>
+<ul>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/3d-printer">3d-printer (13)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/amiga">amiga (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/aros">aros (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/bitcoin">bitcoin (2)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/bootsystem">bootsystem (12)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/bsa">bsa (2)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/debian">debian (54)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/debian edu">debian edu (103)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/digistan">digistan (8)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/drivstoffpriser">drivstoffpriser (3)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/english">english (132)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/fiksgatami">fiksgatami (16)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/fildeling">fildeling (12)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/intervju">intervju (27)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/kart">kart (16)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/ldap">ldap (8)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/lenker">lenker (4)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/ltsp">ltsp (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/multimedia">multimedia (16)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/norsk">norsk (170)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/nuug">nuug (128)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/open311">open311 (2)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/opphavsrett">opphavsrett (25)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/personvern">personvern (48)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/raid">raid (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/reprap">reprap (11)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/rfid">rfid (3)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/robot">robot (4)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/rss">rss (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/ruter">ruter (4)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/scraperwiki">scraperwiki (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/sikkerhet">sikkerhet (23)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/sitesummary">sitesummary (4)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/standard">standard (29)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/stavekontroll">stavekontroll (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/stortinget">stortinget (4)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/surveillance">surveillance (9)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/valg">valg (6)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/video">video (25)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/vitenskap">vitenskap (1)</a></li>
+
+ <li><a href="http://people.skolelinux.org/pere/blog/tags/web">web (20)</a></li>
+
+</ul>
+
+
+ </div>
+ <p style="text-align: right">
+ Created by <a href="http://steve.org.uk/Software/chronicle">Chronicle v4.4</a>
+</p>
+
+ </body>
+</html>
projects / homepage.git / commitdiff