De biometriske passene som Norge har innført har egenskaper som gjør meg utrygg som bærer av pass, og gir innehaveren økt risiko for identitetstyveri og misbruk av informasjonen i passene, uten å gjøre det spesielt mye vanskeligere å forfalske pass.
XXX Hva lagres elektronisk i passene?Det har vært forsket en god del i Norge på sikkerheten og personvernet rundt lagring av biometri i norske pass, og her er en liten oversikt over det jeg har funnet på bibsys.no så langt:
Det har også vært forsket på sikkerheten i passene internasjonalt (flere gode lenker i wikipedia-siden om biometriske pass), og det er for meg åpenbart at passene ikke er "sikre" sett fra innehaverens synspunkt. RFID og biometri er innført til glede for utsteder og grensevakter, ikke for å sikre innehaveren.
Før det ble innført krav om lagring av fingeravtrykk i de norske passene i 2010 gjennomførte regjeringen en høring i 2008. Jeg anbefaler å lese høringsuttalelsen fra Datatilsynet. I høringsbrevet kan en se hvilke sikkerhetselementer de norske passene skal ha og få. Norske pass etter 2010 skal ha passiv autentisering (PA), grunnleggende tilgangskontroll (BAC) og utvidet tilgangskontroll (EAC + BAC).
Det er kjent at en kan identifisere hvilket land som har utstedt et pass ved å forsøke kommunisere med RFID-brikken i passet og se hvilke feilmeldinger som blir returnert.
Hva er det som gjør meg utrygg med biometriske pass med RFID-avlesning? Det er allerede kjent at informasjon som nå er elektronisk tilgjengelig i pass blir misbrukt av ansatte i grensekontrollen. F.eks. finnes en historie fra Canada der en grensevakt samlet biometri og kontaktinformasjon og brukte denne til å legge an på en gift dame etter at hun var kommet hjem fra reise. Det er mange hundre tusen grensevakter i verden, og de vil etter alt å dømme ha tilgang til informasjon om meg som også kan brukes til identitetstyveri.
Norge gjør det enklere for land jeg besøker å samle en database over informasjon om hvordan jeg ser ut (bilde), hvor høy jeg er, hvilken hårfarge jeg har, hvordan fingeravtrykkene mine ser ut (bilde) og alt det andre som er lagret elektronisk og gjort tilgjengelig for fjernavlesning. Dette kan brukes til både identitetstyveri og planting av bevis. Og det trenger ikke være noen som er ute etter meg spesielt. Det kan være nok at jeg ligner på noen, eller har et reisemønster som passer. En har gjort det trivielt for etterrettingsorganisasjoner å samle profiler med alle landets besøkende (og innbyggere), og bruke dette til å finne noen som ligner agentene når de skal bruke kopierte eller falske pass i etterretningsoperasjoner (slik det kanskje ble gjort da Hamas-lederen Mahmoud al-Mabhouh ble drept på et hotell i Dubai 20. januar 2010 Mange både ekte og kopierte EU-pass var i bruk av "feil" person i den operasjonen).
Det er ikke bare landene en besøker en har gjort det enklere for. I og med at RFID-brikker kan lese av på avstand, og med rett utstyr på minst 10 meters avstand, så kan en risikere å bli identifisert som nordmann på avstand. Hvis en beveger seg i områder der f.eks. kidnapping forekommer, eller i land der en ønsker å skade nordmenn slik det var antydninger om for noen år siden da religiøse galninger eglet opp til kritikk av tegnere og alle som støttet tegneres rett til å tegne det de ønsket, så vil en være mer sårbare hvis en kan identifiseres som nordmann med med bilde av potensielle angripere. Pass som kan spores opp med radiobølger (aka RFID) gjør det en jo også mye mer sårbar for tyveri av pass. Dette problemet kan dog reduseres ved å putte passet i et faraday-bur (metallboks, pose, etc), slik at det ikke kan leses av uten fysisk tilgang. Men det er vanskelig å vite om beskyttelsen fungerer uten tilgang til leseutstyr som kan bekrefte at avlesning er blokkert.
At biometriske pass gir økt risiko for innehaveren er dessverre bare et av mange problemer når overvåkningssamfunnet brer om seg slik det gjør i Norge. Jeg synes det er ubehagelig å bo i et samfunn som blir mer og mer en totalitært politistat, og i en verden som blir mer og mer full av totalitære politistater.
http://www.schneier.com/blog/archives/2004/10/rfid_passports.html http://www.papersplease.org/wp/2009/02/03/drive-by-reader-for-rfid-drivers-licenses-and-passport-cards/ http://hasbrouck.org/blog/archives/000869.html http://www.theregister.co.uk/2009/02/02/low_cost_rfid_cloner/ http://hasbrouck.org/blog/archives/001002.html http://www.cs.ru.nl/E.Poll/hw/slides/08b_ePassport.pdf - pass kan identifiseres i posten når de sendes ut - 2d barcode i stedet? http://yro.slashdot.org/story/12/10/15/1651216/the-uae-claims-to-hold-the-worlds-largest-biometric-database http://www.nrk.no/norge/30.000-pass-pa-avveie-hittil-i-ar-1.11421996 http://www.nrk.no/verden/nsa-samlet-inn-millioner-av-bilder-1.11753589 http://www.dn.no/tekno/2011/09/11/avslort-blant-75-millioner-ansikter http://www.nrk.no/hordaland/fleire-nordmenn-mistar-passa-sine-1.11843009 https://www.youtube.com/watch?v=kvCxlDPzuoI Adam Savage MythBusters RFID Question http://www.dagbladet.no/2014/09/20/nyheter/politi/innenriks/35365703/ http://www.aftenposten.no/digital/Kan-du-stole-pa-fingeren-7872826.html http://www.networkworld.com/article/2215057/wireless/bad-guys-could-read-rfid-passports-at-217-feet--maybe-a-lot-more.html http://www.theguardian.com/technology/2006/nov/17/news.homeaffairs http://www.icao.int/Security/mrtd/Pages/Document9303.aspx http://www.nrk.no/norge/slik-skal-kripos-identifisere-lovbrytere-raskere-1.12724904 http://www.aftenposten.no/nyheter/iriks/I-2010-ble-ulovlig-DNA-register-avslort---fortsatt-ligger-uskyldiges-DNA-profiler-ulovlig-lagret-8396631.html https://www.nrk.no/urix/fbi-har-bygd-opp-enorm-database-for-ansiktsgjenkjenning-1.13004826 https://www.3sat.de/page/?source=/ard/199766/index.html