導(dǎo)讀:雖然Grunwald聲稱證實(shí)了RFID電子護(hù)照中基本的安全缺陷,但是許多RFID技術(shù)專家并不承認(rèn)其真實(shí)性。智能卡聯(lián)盟認(rèn)為,電子護(hù)照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護(hù)照的國家進(jìn)行了數(shù)據(jù)簽名和加密,即便有人復(fù)制了這些數(shù)據(jù)也無法將其改變。
其中一個新聞報道發(fā)表在《wired》雜志的網(wǎng)站上,這則新聞中說,為了讀取他護(hù)照中的電子標(biāo)簽,Grunwald使用了各國邊境機(jī)構(gòu)采用的同一款讀寫器和由secunet安全網(wǎng)絡(luò)公司生產(chǎn)的電子護(hù)照軟件。他使用RFDump進(jìn)行復(fù)制。
RFID電子護(hù)照復(fù)制沒有安全風(fēng)險
然而,Grunwald僅僅復(fù)制了他護(hù)照內(nèi)IC卡上的數(shù)據(jù)。他并沒有偽造護(hù)照,也沒有利用這些數(shù)據(jù)。雖然Grunwald聲稱證實(shí)了RFID電子護(hù)照中基本的安全缺陷,但是許多RFID技術(shù)專家并不承認(rèn)其真實(shí)性。
智能卡聯(lián)盟是一個非盈利性的組織,其成員包括銀行業(yè)、金融服務(wù)業(yè)、計(jì)算機(jī)業(yè)和零售行業(yè)的超過185家公司,其中還包括Gemalto公司。Gemalto公司將提供美國電子護(hù)照中的RFID嵌入技術(shù)。該聯(lián)盟于周二進(jìn)行了電話會議,討論Grunwald的示范并就相關(guān)問題發(fā)表聲明。
為了保證協(xié)同性和基本級別的安全性,已經(jīng)或計(jì)劃簽發(fā)電子護(hù)照大約30個國家,都同意遵守由國際民用航空組織ICAO開發(fā)的協(xié)議規(guī)范,以創(chuàng)建必需的或可選的數(shù)據(jù)類型,并將其編碼嵌入每一個護(hù)照中。
ICAO的規(guī)范支持不同級別的保護(hù),來降低電子護(hù)照中的數(shù)據(jù)在出入境讀取時遭到竊取的機(jī)率。只有在打開護(hù)照后,護(hù)照的網(wǎng)狀金屬內(nèi)層才放棄阻止護(hù)照內(nèi)嵌信息的讀取。為保護(hù)信息不被未授權(quán)方竊取,讀寫器的操作人員必須通過一個稱為基本訪問控制(注:Basic Access Control)的過程,即輸入已經(jīng)寫入護(hù)照上的密碼進(jìn)行解鎖,才能讀取標(biāo)簽。這個方法也用于對標(biāo)簽上的數(shù)據(jù)進(jìn)行加密。為訪問加密的標(biāo)簽數(shù)據(jù),讀寫器也需要獲取正確的數(shù)據(jù)密鑰。據(jù)報道,Grunwald利用ICAO的網(wǎng)站上的規(guī)范得到了他所需要的信息來復(fù)制他的護(hù)照。
在電話會議中,智能卡聯(lián)盟的執(zhí)行官Randy Vanderhoof指出,電子護(hù)照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護(hù)照的國家進(jìn)行了數(shù)據(jù)簽名和加密,即便有人復(fù)制了這些數(shù)據(jù)也無法將其改變。按照Vanderhoof的說法,Grunwald所做的并不說明電子護(hù)照不安全,原因在于護(hù)照檢查人員仍能檢測護(hù)照芯片內(nèi)被編碼的照片信息,并將它與護(hù)照持有人進(jìn)行比較。他說,復(fù)制護(hù)照的內(nèi)嵌信息“在我們看來,和偷竊他人的護(hù)照把它作為自己的出入境證明一樣,沒有什么區(qū)別?!?/FONT>
“電子護(hù)照遠(yuǎn)比現(xiàn)在的打印文檔安全的多?!盫anderhoof說,因?yàn)镽FID通過可視化的檢查對護(hù)照持有者進(jìn)行認(rèn)證。在一期《Wired》雜志中,美國國務(wù)院國家護(hù)照服務(wù)副助理秘書長Frank Moss說,電子護(hù)照規(guī)范并不專為防止復(fù)制。他告訴《Wired》雜志,“Grunwald此人所做的既是預(yù)料到的,也不那么值得注意?!彼€補(bǔ)充說RFID嵌入技術(shù)作為對于護(hù)照持有者的額外的認(rèn)證才是其意義所在。
如果一個國家決定在邊境入口完全移除人工檢查,而只依賴讀寫器讀取的數(shù)據(jù)怎么辦呢?在這方ICAO的規(guī)范已經(jīng)考慮到,據(jù)說別的國家也正在考慮這樣做。那么,除了Grunwald本人,別人拿著復(fù)制的Grunwald的電子護(hù)照就能進(jìn)入一個國家,這就像偷走電子收費(fèi)器(EZPass)不用交費(fèi)駛過紐約收費(fèi)站那么容易。
“顯然,在“電子護(hù)照”上加上反復(fù)制功能會更好,但是具有RFID的電子護(hù)照可能比沒有RFID電子護(hù)照更安全。在沒有RFID的護(hù)照內(nèi),照片能被移植到真正的護(hù)照或者是插入一個偽造的護(hù)照中。”RSA實(shí)驗(yàn)室的首席科學(xué)家、RSA安全的研究專家,Ari Juels這樣說到。
Juels說,Grunwald的結(jié)果“是一個有用的示范,但是并不能真正的讓人領(lǐng)悟到新東西??蓮?fù)制的護(hù)照系統(tǒng)在安全性方面概略地等同于一個具有完整性保護(hù)的數(shù)據(jù)庫。任何人都可以宣稱是另外一個人,系統(tǒng)依靠物理的身份檢查獲得成功?!?/FONT>