blog/draft/2012-06-rfid-pass.txt

   1 Title: Norske pass med RFID og biometri - en sikkerhetsrisiko for borgerne
   2 Tags: norsk, personvern, rfid
   3 Date: 2012-06-03 11:40
   4
   5 <p>Jeg liker ikke de nye
   6 <a href="http://en.wikipedia.org/wiki/Biometric_passport">biometriske
   7 passene</a> som Norge har innført.  Passenes nye egenskaper gjør meg
   8 utrygg som bærer av pass, og gir innehaveren økt risiko for
   9 identitetstyveri og misbruk av informasjonen i passene, uten å gjøre
  10 det så mye vanskeligere å forfalske pass.</p>
  11
  12 <p>Det har vært forsket en god del i Norge på sikkerheten og
  13 personvernet rundt lagring av biometri i norske pass, og her er en
  14 liten oversikt over det jeg har funnet på bibsys.no så langt:</p>
  15
  16 <ul>
  17
  18   <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4307">"Passport
  19   of the Future: Biometrics against Identity Theft?"</a> (2004) av
  20   Marijana Kosmerlj</li>
  21
  22   <li><a href="http://brage.bibsys.no/hia/handle/URN:NBN:no-bibsys_brage_2287">"Evaluering
  23   av standardisert teknologi, biometriske verdier og
  24   utbedringspotensiale av ICAO standarden for elektroniske pass"</a>
  25   (2006) av Mona Forsbakk og Ingvar Narvestad</li>
  26
  27   <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4252">"Personvernspørsmål
  28   ved innføringen av biometri i norske pass"</a> (2006) av Kenneth
  29   Knashaug</li>
  30
  31   <li><a href="http://brage.bibsys.no/hig/handle/URN:NBN:no-bibsys_brage_4255">"Sårbarhetsanalyse
  32   av utvalgte deler av norske biometriske pass"</a> (2006) av Jon
  33   Fredrik Pettersen</li>
  34
  35 </ul>
  36
  37 <p>Det har også vært forsket på sikkerheten i passene internasjonalt
  38 (flere gode lenker i wikipedia-siden om biometriske pass), og det er
  39 for meg åpenbart at passene ikke er "sikre" sett fra innehaverens
  40 synspunkt.</p>
  41
  42 <p>Før det ble innført krav om lagring av fingeravtrykk i de norske
  43 passene i 2010
  44 <a href="http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2008/horing---forslag-om-endringer-i-passlove.html?id=526072">gjennomførte
  45 regjeringen en høring i 2008</a>.  Jeg anbefaler å lese
  46 <a href="http://www.regjeringen.no/upload/JD/Høringsuttalelser/PIA/Endringer%20i%20passloven/Datatilsynet.pdf">høringsuttalelsen
  47 fra Datatilsynet</a>.  I høringsbrevet kan en se
  48 <a href="http://www.regjeringen.no/upload/JD/H%C3%B8ringsuttalelser/PIA/Endringer%20i%20passloven/Vedlegg%20sikkerhetselementer%202.pdf">hvilke
  49 sikkerhetselementer</a> de norske passene skal ha og få.  Norske pass
  50 etter 2010 skal ha passiv autentisering (PA), grunnleggende
  51 tilgangskontroll (BAC) og utvidet tilgangskontroll (EAC + BAC).</p>
  52
  53 <ul>
  54
  55 <li>PA innebærer at en hash av informasjonen lagret elektronisk i
  56 passet er signert med en privat nøkkel (som tilhører utstederlandet)
  57 slik at en ved sjekk av signaturen kan oppdage om innholdet har endret
  58 seg.  Det er dog kjent at utstyr i bruk for sjekk av pass ikke alltid
  59 sjekker dette likevel, og i tillegg kan la seg lure av hvis signaturen
  60 som skulle vært der fjernes fra datalagret i passet.</li>
  61
  62 <li><a href="http://en.wikipedia.org/wiki/Basic_Access_Control">BAC</a>
  63 innebærer at kommunikasjon med passet over RFID er kryptert med en
  64 symmetrisk nøkkel utledet fra blant annet passnummer, fødselsdato og
  65 passets utløpsdato, informasjon som f.eks. hotell i hele EØS og EU
  66 samler inn for sine gjester ved innsjekking.  Det er demonstrert at
  67 pga. forutsigbare passnummer, fødselsdatoer og utløpsdatoer er det
  68 relativt enkelt å knekke koden som trengs også uten fysisk tilgang.
  69
  70 <li><a href="http://en.wikipedia.org/wiki/Extended_Access_Control">EAC</a>
  71 krever bruk av BAC, og har i tillegg mekanismer for å sjekke hvilken
  72 avleser som er i bruk og utvidede sjekker av RFID-brikken i passet for
  73 å avsløre ikke-offisielle brikker.</li>
  74
  75 </ul>
  76
  77 <p>Det er kjent at en kan identifisere hvilket land som har utstedt et
  78 pass ved å forsøke kommunisere med RFID-brikken i passet og se hvilke
  79 feilmeldinger som blir returnert.</p>
  80
  81 <p>Hva er det som gjør meg utrygg med biometriske pass med
  82 RFID-avlesning?  Det er allerede kjent at informasjon som nå er
  83 elektronisk tilgjengelig i pass blir misbrukt av ansatte i
  84 grensekontrollen.  F.eks. finnes en historie fra Canada der en
  85 grensevakt
  86 <a href="http://www.slaw.ca/2010/06/03/e-passport-a-privacy-concern/">samlet
  87 biometri og kontaktinformasjon</a> og brukte denne til
  88 <a href="http://www.nowpublic.com/health/border-guard-used-passport-details-hit-women">å
  89 legge an på en gift dame</a> etter at hun var kommet hjem fra reise.
  90 Det er mange hundre tusen grensevakter i verden, og de vil etter alt å
  91 dømme ha tilgang til informasjon om meg som også kan brukes til
  92 identitetstyveri.</p>
  93
  94 <p>Norge gjør det enklere for land jeg besøker å samle en database
  95 over informasjon om hvordan jeg ser ut (bilde), hvor høy jeg er,
  96 hvilken hårfarge jeg har, hvordan fingeravtrykkene mine ser ut (bilde)
  97 og alt det andre som er lagret elektronisk og gjort tilgjengelig for
  98 fjernavlesning.  Dette kan brukes til både identitetstyveri og
  99 planting av bevis.  Og det trenger ikke være noen som er ute etter meg
 100 spesielt.  Det kan være nok at jeg ligner på noen, eller har et
 101 reisemønster som passer.  En har gjort det trivielt for
 102 etterrettingsorganisasjoner å samle profiler av alle landets besøkende
 103 (og innbyggere), og bruke dette til å finne noen som ligner agentene
 104 når de skal bruke kopierte eller falske pass i
 105 etterretningsoperasjoner (slik det kanskje ble gjort
 106 <a href="http://www.nrk.no/nyheter/verden/1.7169704">da Hamas-lederen
 107 Mahmoud al-Mabhouh ble drept</a> på et hotell i Dubai 20. januar 2010
 108 Mange både ekte og kopierte EU-pass var i bruk av "feil" person i den
 109 operasjonen).</p>
 110
 111 <p>Det er ikke bare landene en besøker en har gjort det enklere for.
 112 I og med at RFID-brikker kan lese av på avstand, og med rett utstyr på
 113 minst 10 meters avstand, så kan en risikere å bli identifisert som
 114 nordmann på avstand.  Hvis en beveger seg i områder der
 115 f.eks. kidnapping forekommer, eller i land der en ønsker å skade
 116 nordmenn slik det var antydninger om for noen år siden da religiøse
 117 galninger eglet opp til kritikk av tegnere og alle som støttet
 118 tegneres rett til å tegne det de ønsket, så vil en være mer sårbare
 119 hvis en kan identifiseres som nordmann med med bilde av potensielle
 120 angripere.  Pass som kan spores opp med radiobølger (aka RFID) gjør
 121 det en jo også mye mer sårbar for tyveri av pass.  Dette problemet kan
 122 dog reduseres ved å putte passet i et faraday-bur (metallboks, pose,
 123 etc), slik at det ikke kan leses av uten fysisk tilgang.  Men det er
 124 vanskelig å vite om beskyttelsen fungerer uten tilgang til leseutstyr
 125 som kan bekrefte at avlesning er blokkert.</p>
 126
 127 <p>At biometriske pass gir økt risiko for innehaveren er dessverre
 128 bare et av mange problemer når overvåkningssamfunnet brer om seg slik
 129 det gjør i Norge.  Jeg synes det er ubehagelig å bo i et samfunn som
 130 blir mer og mer en totalitært politistat, og i en verden som blir mer
 131 og mer full av totalitære politistater.</p>