tiedetään, tiedetään. vanha juttu. :P

Kumpi sitten on haavoittuivaisempi, sähköinen passi vai perinteinen passi? Sitä voinee miettiä.

Molemmat passit ovat yhtä "haavoittuvaisia". Ehkäpä biopassi enemmän, koska tiedot ovat digitaalisessa muodossa..

eli voiko biopassin yleistyessä varastaa kokoihmisen! identiteettiä myöten??

"Onko passi haavoittuvainen?" On väärä kysymys. Vanhan vain "paperi"passin turvallisuudesta ei voi puhua samana päivänä "bio"passin aikaan. Sähköinen tai bio-passi sisältää PKI-sirun ja se juurivarmentajan allekirjoittamia tietoja, jotka voidaan täten todentaa oikeiksi.

Se mitä tulee sormenjälkien "varastamiseen" on taas vähän niin ja näin. Sormen jäljet voi saada sirulta ja niitä voi koittaa tunkea jollekin toiselle sirulle johonkin passiin, mutta jos oikea taho ei ole näitä allekirjoittanut, niin ei tätä mikään passintarkastuslaite hyväksy. Veikkaan kuitenkin tarkoituksen olevan se, että passin siru itse vertailee sormenjälkitietoja eikä siis luovuta niitä ja nyt jos tää Lapinp..saksalainen on saanut ne sieltä, niin kyseessähän on bugi korttikäyttiksessä ja siis ongelma.

Jpeg2000:lla varmaan voi kaataa järjestelmän ja ilo on se, että passintarkastus jonoutuu ja tullimiehet sormeilevat harmistuksissaan kumihanskalla kaatajan kehon aukkoja... ;-)

Uutta provoo odotellessa.

Tällaisia "tutkimustuloksia" ja uutisankkoja tulee aina silloin tällöin julkisuuteen. No, niiden kirjoittamisestahan osa "tutkijoista" ja toimittajista saa leipänsä.

Lähdetään siitä, että henkilön identiteettiin puuttuu kaikkein helpoimmin taskuvaras, joka varastaa hänen lompakkonsa. Rahatkin menee, kun varas katsoo ensin pankkiautomaatilla asioivan henkilön tunnusluvun selän takana. Ja kasvokuvankin saa suoraan www.treffisivustoilta tai otettua kännykkäkameralla *hieman* helpommin kuin yrittämällä salakuunnella jonkun passin rfid-liikennettä. Esimerkiksi lentoasemallahan tämä onnistuu, kunhan onnistuu ensin asentamaan salakuuntelulaitteen 10 sentin päähän passintarkastuksen työasemasta ja salauksen murtoa varten on käytettävissä supertietokone. Jokainen voi miettiä, kuinka helppoa tämä on, vai onko.

Se tekninen turvallisuus, mitä passin toteutukseen on jo nykyisellään rakennettu, ylittää tällä hetkellä moninkertaisesti kaikkien julkisessa käytössä olevien asiakirjojen turvallisuuden, mukaan luettuna setelit ja luottokortit. Näistä vaihtoehdoista en ensimmäisenä lähtisi huolestumaan passin turvallisuudesta.

Passin fyysiset turvatekijät ovat erittäin kehittyneitä, ja sähköinen turvallisuus (siru, jossa sähköisesti allekirjoitettu tieto ja *riittävän* turvallinen lukemisolosuhteiden hallinta) siihen lisättynä tekevät jo nykyisellään passin väärentämisen käytännössä mahdottomaksi. Minkä tahansa muun asiakirjan väärentäminen on helpompaa. Nukkukaa siis yönne rauhassa ilman passipainajaisia. Uneksikaa mielummin niistä etelämeren maista, joihin päästäkseen sitä turvallista passia voi käyttää.

Vielä yksi kommentti tuohon edellä olleeseen "Voi varastaa - virolaiset ja venäläiset ns yrittäjät tekevät tätä jo nykyään, maksamatta mitään verojakaan suomessa." Ainahan kaupunkitarinoihin voi uskoa jos haluaa. Niitä voi myös levittää, jos yhteiskunta tuntuu mädältä, elämässään ei koe mitään mielekästä ja muiden maiden kansalaisten haukkuminen on ainoa ilon lähde. Tarinoihin voi myös olla uskomatta ja yrittää hankkia itselleen oikeaa tietoa ja asiantuntemusta. Ehkä siitä oma elämänlaatukin paranee eikä kaikesta tarvitse syyttää valtiota tai ulkomaalaisia. Tai oikeastaan ketä tahansa paitsi itseään.

passeja oli ne millaisia vain voi aina väärentää. Miksei tehdä maailman kattava sormenjälki, iiris tms. rekisteri ja näyttöä lentoketillä/rajoilla koskemalla/katsomalla järjestelmä tarkistaa mikä henkilö kyseessä.
Tietoenator ja wm-data hommiin vaan niin järjestelmä saadaan n. 3000miljardilla jos vertaa suhteessa AKEn järjestelmän hintaan :)

Saksalainen tietoturvatutkija esitteli viime vuonna sähköisten passien kloonausta. Tänä vuonna hän sabotoi passinlukijoita muokatulla passilla ja väärentää sormenjälkiä.

Saksalaistutkija on myös löytänyt toisen haavoittuvuuden, jonka avulla sähköisestä passista voidaan kopioida passin omistajan sormenjäljet.

Niin varmaan. Miksei vaan lainaa hepun taskusta passia vähäksi aikaa ja lue niitä sormenjälkiä passin kannesta? Saa luultavasti samalla kaikki sormet eikä tarvitse sijoittaa biljardia euroa niihin salakuuntelulaitteisiin ja supertietokoneisiin.

@ Biopassi pro bono
Sähän se vaikutatkin olevan todellinen "asiantuntija".

Vilkaisepa vaikka:
- http://www.effi.org/julkaisut/tiedotteet/lehdistotiedote-2006-07-31.html
("Tiedotteessa sirupassien salausta kehutaan GSM-tasoiseksi. Ministeriössä ei ilmeisesti tiedetä, että GSM-puhelimissa käytetty salaus murtuu tavallisella pöytätietokoneella alle sekunnissa.")

- http://www.effi.org/blog/2005-04-13-Ville-Oksanen-2.html
(Tässä viitataan sinänsä olennaiseen kysymykseen, että miksi ihmeessä passeihin piti ottaa langaton tekniikka? Miksei esim. luottokorteissa käytetty sirutekniikka kelvannut?)

- http://www.schneier.com/blog/archives/2006/09/renew_your_pass.html

- http://www.theregister.co.uk/2006/11/10/fidis_budapest_mrtd_declaration/

Kun nyt kuitenkin olet passien turvallisuuden suhteen niin luottavainen ja tiedät kaiken passien turvatekijöistä, kerroppa mitä algoritmia ja avaimen pituutta sirun sisältämien tietojen suojaukseen on käytetty? Onko siru suojattu esim. Faradayn häkillä?

Olli,

oletko huomannut noiden effi:n artikkeleiden päiväyksiä? Vuoden 2005 ja 2006 artikkeleiden väärinkäsitykset oikaistu aikapäiviä sitten, jo viime vuoden puolella. Väärinkäsityksiä syntyy nimenomaan lausunnoista, kuten "salaus GSM-luokkaa". Tämähän ei tietenkään tarkoita, että kyseessä olisi teknisesti sama asia. Tällainen väärinkäsitys aiheuttaa lähes aina kärpäsestä härkänen -efektin, kuten tuolloin tapahtui.

Katsopas itse tätä:

http://www.effi.org/blog/2006-10-04-Herkko-Hietanen.html

Vielä vastauksia kysymyksiisi:

Langaton tekniikka on erittäin hyvä erityisesti sen takia, että siru ei luettaessa kulu fyysisesti lainkaan. Tarkoitushan on, että passiaan voi säilyttää kohtuullisilla säilytystavoilla, erityisiä suojataskuja ei kulumista varten tarvita, ja siru kestää koko passin voimassaoloajan myös erittäin paljon matkustavilla henkilöillä.

Sirua ei tietenkään edes voi suojata Faradayn häkillä, koska se on tarkoitus lukijalaitteessa lukea. Jokainen voi tietenkin säilyttää passiaan vaikka sopivassa metallitaskussa. Lyijytkin ympärille, niin gamma- ja muukin säteily tyssää. Tarvetta mihinkään tähän ei kuitenkaan ole. Passi ei nimittäin ole GSM-puhelin: lukuetäisyys on 10-15 senttiä. Teoriassa, ja vain teoriassa, suunta-antenneilla passin ja lukijan välistä liikennettä voi salakuunnella muutaman metrin päästä, mutta tällöinkin tarvittavan antennin rakenteelta vaaditaan niin paljon, että se ei jääne rajavalvojilta huomaamatta. Ja sen passin vieminen henkilön taskusta on varmasti helpompaa ja halvempaa kuin antennin asentaminen.

Kaiken päälle totuus nimittäin on, että salakuuntelua ei (vielä) ole onnistuneesti pystytty demoamaan laboratorio-olosuhteiden ulkopuolella. Enkä haluaisi, että verorahojamme tuhlataan sen asiakirjan lisäsuojaamiseen, joka varmasti on jo riittävän turvallinen. Vai haluatko sinä?

Joskus nimittäin virkamiehetkin osaavat tehdä työnsä, eivätkä he aina sorru kuluttamaan ylimääräistä.

Jos haluat oikeaa teknistä tietoa passin turvallisuudesta, kannattaa tutustua esimerkiksi ICAO:n julkaisuihin ja standardeihin (esimerkiksi http://mrtd.icao.int/). Muistaakseni allekirjoitusalgoritmeinä ovat mahdollisia sekä RSA että ECDSA, avainpituuksina riippuen käyttötarkoituksesta RSA:lla 1024-4096. ECDSA:sta en tähän hätään muista, mutta yritänpä selvittää, ihan harmittaa tämä epätietoisuuteni. Myös salausalgoritmeinä on käytettävissä erilaisia käyttötarkoituksesta riippuen esimerkiksi avaintenvaihtoa ja salausta varten. Tässäkin kohdassa minun täytyy nöyrtyä.

Palaan vielä edellisen kommenttini viimeiseen kappaleeseen, jonka voi itse kukin sieltä halutessaan lukea. Kappaleen tarkoitus oli käsitellä uutisankkoihin ja kaupunkitarinoihin uskomista ja niiden levittämistä, mutta ilmeisesti en sarkasmissani onnistunut, kun moinen vihamielinen purkauksesi oli vastineena. Tarkoituksenani ei todellakaan ollut ärsyttää, vaan verrata passin turvallisuutta
a. riskejä arvioiden siihen, mikä ylipäätään on järkevää (RIITTÄVÄ SUOJA)
b. muiden asiakirjojen turvallisuuteen (HUOMATTAVASTI KORKEAMPI)

Siis positiivisuutta ilmaan, sehän on nyt niin kauniskin!