Biopassin murtaminen onnistui tutkijalta nopeasti
30
Amsterdamin yliopiston tietoturvallisuustutkija Jeroen van Beek mursi tietoturvallisena pidetyn biopassin alle tunnissa sanomalehti The Timesin pyynnöstä.
Murtautumista varten van Beek tarvitsi itse kehittämänsä tietokoneohjelman, yleisesti saatavilla olevan sovelluskoodin palasen, 50 euron kortinlukijan sekä kaksi 13 euron hintaista rfid-sirua.
The Timesin mukaan van Beek kloonasi kaksi passeista poistettua sirua, ja manipuloi niiden tietoja siten, että ne kelpasivat yhä kansainvälisen siviili-ilmailujärjestö ICAO:n lukijalle.
Pikkupojan passista tehdylle kloonisirulle tutkija vaihtoi terroristijohtaja Osama bin Ladenin kuvan; 36-vuotiaan brittinaisen passista tehty kloonisiru sai palestiinalaisen itsemurhapommittajan valokuvan.
– Emme väitä, että terroristit pystyvät tekemään tämän kaikille passeille tai että he pystyvät siihen huomenna. Tämä kuitenkin herättää huolia passien turvallisuudesta, joihin pitäisi tarttua julkisemmin ja avoimemmin.
Ministeriö luottaa
tietoturvaan
Tavalliseen passiin verrattuna biopassi eroaa siihen liitetyn rfid-mikrosirun ansiosta. Se sisältää passin kantajasta tietoja, joihin päästään käsiksi erityisellä lukijalla.
Syyskuun 11. päivän terrori-iskujen jälkeen käyttöön otettujen biopassien tarkoitus on parantaa passien luotettavuutta. Ne myös antavat viranomaisille aikaisempaa enemmän tietoja passien kantajista.
Kotimaisiin biopasseihin tallennetaan tällä hetkellä passinkantajan nimi, henkilötunnus, tieto kansalaisuudesta, passinhaltijan kasvokuva ja nimikirjoitus.
Tämän lisäksi jokaisessa sirussa on digitaalinen allekirjoitus, joka sisältää tietoturvaan liittyviä tietoja.
Sisäasiainministeriön biometriahankkeen projektipäällikkö Tero Tammisalon mukaan eri maiden biopasseissa on eroja.
Hän ei pidä suomalaispassien tietojen peukaloimista käytännössä mahdollisena.
– Passin sirulla olevien tietojen vaihtaminen siten, että meidän passin yksilöintivaiheessa tekemämme sähköinen allekirjoitus täsmäisi yhä, ei ole mahdollista.
Suomen valitsemat algoritmit ja salausavainten pituudet ovat sellaisia, etteivät passien peukaloiminen ole mahdollista, projektipäällikkö sanoo.
Suomalaispassien käyttämän, julkiseen avaimeen perustuvan pki-järjestelmän murtaminen vaatisi niin paljon laskentatehoa, että se on käytännössä mahdotonta, Tammisalo vakuuttaa.
Kommentit (30)
IT-maailman suurimmassa pyhätössä.
IT-maailman suurimmassa pyhätössä.
En ole perehtynyt, mutta voi se hyvin ollakin melkein mahdotonta. Kun salasanan pituus kasvaa, ratkaisemisen vaikeus kasvaa nopeasti (eksponentiaalisesti, jos oikein muistan).
Siitä väännetään kättä, jenkeissä ainakin, kuinka monta tavua salauksessa saa kulloinkin olla. Mitoitetaan sopivasti, jolloin valtio saa raa-alla CPU-voimalla salauksen tarvittaessa murtumaan muutamassa tunnissa, mutta hakkerilta menee joitakin kuukausia.
Toki artikkelissa käytetty tekniikka mahdollistaa passien kloonaamisen ja datan uudelleenkirjoittamisen, mutta kyseisen passin kuvasivu on kyllä tärviöllä kyseisen tempun jäljiltä ja rajaviranomaiset huomaavat passia "käpälöidyn". Suomen passeissa siru on sivun sisällä ja sitä ei pysty sieltä millään taikatempulla ulos ottamaan ja laittamaan "uudelleenkoodauksen" jälkeen takaisin ilman etteikö siitä jälkiä jäisi. Kyllä Suomen passi turvallinen on vielä tovin, ei syytä huoleen.......
Turvallisuutta ei voi viedä riittävälle tasolle jos se haittaisi mm. tiedustelupalveluiden "toimintaa"...
Höpöä tuollainen kädenvääntö on. Esim. 128-bittinen salaus on Turvallinen™ mitä väkipakkohyökkäyksiin tulee. 2^128 avaimen pelkkä läpikäyminen kuluttaisi teoriassakin energiaa vähintään > 260 TWh eli Olkiluodon ydinvoimalan reilun 18 vuoden sähköntuotannon verran. Tosielämässä tuollainen laskenta veisi energiaa miljoonia kertoja enemmän.
Jos nykyiset tehokkaimmat petaluokan superkoneet kykenesivät generoimaan ja testaamaan yhden avaimen kellojaksoa kohden (naurettava ajatus), aikaa kuluisi silti ≈ 10^16 vuotta eli noin 8 miljoonaa kertaa universumin tämänhetkisen iän verran.
Se salaliittoteorioista.
(Kokeilen vielä kerran lähettää, kaksi aikaisempaa postausta meni bittiavaruuteen.)
Mun muistikuva oli 11 vuoden takaa, jolloin 56-bittinen salaus osoitettiin haavoittuvaksi. Vähitellen salausten vienti USA:n ulkopuolelle sallittiin.
Lueskelin Wikipediasta, että nykyään vienti on kiellettyä lähinnä niihin maihin, jotka mieluiten ostaisivat salauksensa muualta muutenkin.
Tästä oli kyse kun passi uudistettiin: Automaattiseurannasta (rfid:llä yleensä seurataan karjaa tai muuta bulkkitavaraa) ja isomman tietomassan keräämisestä kansalaisten liikkumisesta.
Tammisalon väite laskentatehon tarpeesta ei päde kuin pc-tason laitteisiin, tarkoitukseen räätälöidyllä koneella salasana murtuu käytännössä välittömästi ja tästä on NSA jo antanut näytteitä.
Toisekseen, kun passista saa kloonin jollekin, joka etäisesti näyttää samalta, niin sehän riittää, ei ole mitään syytä "murtaa" passia sen enempää.