Αποτυγχάνοντας να εφαρμόσουν κατάλληλη αρχιτεκτονική ασφάλειας, οι Ευρωπαϊκές κυβερνήσεις ανάγκασαν ουσιαστικά τους πολίτες τους να υϊοθετήσουν τα νέα ταξιδιωτικά έγγραφα που είναι αναγνώσιμα από μηχάνημα (MRTDs) τα οποία όχι μόνο μειώνουν δραματικά την ασφάλεια και την ιδιωτικότητα των πολιτών, αλλά ταυτόχρονα αυξάνουν το ρίσκο για την υποκλοπή ταυτοτήτων. Το ζήτημα είναι απλό: η τρέχουσα εφαρμογή των Ευρωπαϊκών διαβατηρίων χρησιμοποιεί τεχνολογίες και πρότυπα που είναι ανεπαρκή για τον σκοπό αυτό. Στην παρούσα Διακήρυξη που συντάχθηκε στη Βουδαπέστη κατά την διάρκεια των εργασιών του ερευνητικού προγράμματος FIDIS2 τον Σεπτέμβριο του 2006, ερευνητές από το Ευρωπαϊκό αυτό έργο παραθέτουν την αξιολόγηση τους για τα MRTDs και προωθούν τις συστάσεις τους για την εφαρμογή τους, τόσο από κυβερνητικούς φορείς, όσο και από τον επιχειρηματικό κόσμο.
Ενώ τα νέα έγγραφα είναι ακόμη επιδεκτά στους παραδοσιακούς κινδύνους που απειλούν κάθε έγγραφο ταυτοποίησης, εισάγουν ταυτοχρόνως μια σειρά από επιπρόσθετες απειλές.
Σε αντίθεση με τα ήδη υπάρχοντα έγγραφα ταυτοποίησης, με τα νέα Ευρωπαϊκά έγγραφα μπορεί κάποιος να έχει πρόσβαση στα αποθηκευμένα δεδομένα με ασύρματο τρόπο και χωρίς τη γνώση ή/και τη συγκατάθεση του κατόχου του διαβατηρίου. Δυνατότητα απόκτησης πρόσβασης στα δεδομένα αυτά υπάρχει μέχρι και από αποστάσεις των 10 μέτρων.3 Στο τελευταίο έρχεται να προστεθεί η ύπαρξη τρωτών σημείων όσον αφορά στην ασφάλεια του ελέγχου πρόσβασης ο οποίος είναι δυνατό να παρακαμφθεί παρανόμως και να δεχθεί ηλεκτρονική επίθεση (hacking). Κατά συνέπεια ο έλεγχος πρόσβασης μέσω της πιστοποίησης της ταυτότητας του κατόχου με τα νέα έγγραφα μπορεί να είναι ευάλωτος, είτε από εγκεκριμένα άτομα είτε από τρίτους που δεν προβλέπεται καν η πρόσβαση τους. Καθώς είναι δυνατό και πιθανό τέτοια χρήση να περάσει απαρατήρητη, μπορεί να οδηγήσει στην παρακολούθηση ατόμων που μεταφέρουν το διαβατήριό τους, για παράδειγμα όταν βρίσκονται για τουρισμό σε μια ξένη χώρα.
Η χρήση βιομετρικών δεδομένων που αποθηκεύονται σε τέτοια έγγραφα μπορεί να γίνει προϊόν εκμετάλευσης τόσο από τον δημόσιο όσο και από τον ιδιωτικό τομέα για επιπρόσθετους σκοπούς, γεγονός που παραβιάζει τις Ευρωπαϊκές Αρχές της Ιδιωτικότητας. Επιπροσθέτως, καθώς η ίδια η βιομετρική τεχνολογία βασίζεται σε πιθανότητες, οι περιπτώσεις λανθασμένης πιστοποιήσης ταυτότητας (όταν δηλαδή κάποιος αναγνωρίζεται από το σύστημα ως κάποιος άλλος εγγεγραμένος στο σύστημα) καθώς και αρνητικών πιστοποιήσεων (άρνηση πρόσβασης – μη αναγνώριση) είναι αναπόφευκτες και είναι δυνατό να επηρεάζουν αρκετούς Ευρωπαίους πολίτες καθημερινά.
Βάση των διεθνών τεχνικών προδιαγραφών ICAO4 όπως ορίζονται στο κείμενο 93035 και ακολουθούν την οδηγία ΕC 2252/20046 της Ευρωπαϊκής νομοθεσίας, η εφαρμογή του Ευρωπαϊκού διαβατηρίου (epass) ως ένα διεθνές κείμενο MRTDs ξεκίνησε το 2005. Η παρούσα ανακοίνωση πηγάζει από την ανάλυση των νομικών βάσεων για τα νέα έγγραφα, τη σχετιζόμενη τεχνολογία και την εφαρμογή των αρχών ιδιωτικότητας και ασφάλειας. Αυτή η ανάλυση πραγματοποιήθηκε απο το FIDIS και είναι στην ολότητα της διαθέσιμη στο παραδοτέο D3.6 ‘Study on ID Documents’7. Για την δημιουργία αυτής της ανακοίνωσης χρησιμοποιήθηκαν επίσης οι ακόλουθες αναφορές:
- Σχεδιαγράμματα προστασίας για τους βιομετρικούς μηχανισμούς επαλήθευσης και MRTDs συμπεριλαμβανομένου του βασικού ελέγχου πρόσβασης (Basic Access Control - BAC) που πιστοποιείται από το γερμανικό ομοσπονδιακό γραφείο για την ασφάλεια πληροφοριών (BSI)8
- Τεχνική οδηγία V1.0 για τον εκτεταμένο έλεγχο πρόσβασης (EAC) που εκδόθηκε από το γερμανικό ομοσπονδιακό γραφείο για την ασφάλεια πληροφοριών (BSI) τον Αύγουστο του 20069.
Καμία συγκροτημένη, ολοκληρωμένη άποψη ως προς την ασφάλεια των ταξιδιωτικών αυτών εγγράφων δεν έχει γνωστοποιηθεί στο κοινό ή σε ενδιαφερόμενους ειδικούς στο αντικείμενο. Τα κείμενα τα οποία είναι διαθέσιμα δημοσίως όπως οι τεχνικές οδηγίες και τα προφίλ προστασίας καλύπτουν μόνο μερικώς το ζήτημα της ασφάλειας10. Αρχικά, το κείμενο BAC παρουσιάστηκε ως μια αποτελεσματική λύση για τον έλεγχο πρόσβασης, ενώ πιο πρόσφατα το κείμενο EAC (Enhanced Access Control - Βελτιωμένος ‘Ελεγχος Πρόσβασης) παρουσιάστηκε ως μια βελτιωμένη έκδοση. Όμως, και τα δυο αυτά κείμενα κρίνονται ανεπαρκή (από την πλευρά ελέγχου πρόσβασης από τον χρήστη) σε πληθώρα περιπτώσεων11.
Ένας αριθμός απο θεωρητικώς αλλά και επιστημονικώς τεκμηριωμένες εργασίες έχει μέχρι στιγμής δημοσιευθεί σχετικά με τις αδυναμίες των νέων εγγράφων. Οι αδυναμίες αυτές ακόμη δεν καλύπτονται από προφίλ προστασίας, τεχνικές οδηγίες και πρότυπα ή υπάρχουσες υλοποιήσεις. Οι πιο σημαντικές αδυναμίες εντοπίζονται στα εξής:
Δεν είναι δυνατή η ανάκληση των βιομετρικών δεδομένων στα έγγραφα αυτά στην παρούσα φάση. Συνεπώς, καθώς η αλλαγή των βιομετρικών χαρακτηριστικών ενός ατόμου, όπως τα αποτυπώματα και τα χαρακτηριστικά προσώπου, δεν είναι εφικτή, ‘κλεμμένα’ βιομετρικά χαρακτηριστικά μπορεί να οδηγήσουν σε μακροπρόθεσμη κατάχρηση της ταυτότητας ενός ατόμου.
Ανεπαρκής διαχείριση κρυπτογραφικού κλειδιού με την μέθοδο BAC: Το κλειδί για τα στοιχεία πρόσβασης όσον αφορά στην ετικέττα Αναγνώρισης μέσω Ραδιοσυχνοτήτων (Radio Frequency Identity – RFID) αποθηκεύεται στο ίδιο το διαβατήριο και μπορεί να διαβαστεί τόσο από τους χειριστές (φυσικά πρόσωπα) όσο και από μηχανήματα. Αυτό σημαίνει ότι οποιοσδήποτε έχει φυσική πρόσβαση στο διαβατήριο και έχει παράγει ένα οπτικό αντίγραφο, θα μπορούσε να αποθηκεύσει τις βασικές πληροφορίες για το κλειδί και να τις χρησιμοποιήσει για να αποκτήσει πρόσβαση στην ετικέττα RFID.
- Υποκλοπή της επικοινωνίας μεταξύ της ετικέττας RFID και του μηχανήματος αναγνώσης και επίθεση στην μέθοδο BAC χρησιμοποιώντας τις τεκμηριωμένες κρυπτογραφικές αδυναμίες για να ανακαλύψει στοιχεία12.
Κλωνοποίηση των RFID των εγγράφων13.
- Κατάχρηση της εξ αποστάσεως αναγνωσιμότητας των ετικεττών RFID στα διαβατήρια, π.χ. για την πρόσωπο-ευαίσθητη ανάφλεξη ‘έξυπνων βομβών’.
Ο συνδυασμός
αυτών των απειλών
και αδυναμιών
θέτει σε σημαντικό
κίνδυνο την
ασφάλεια και
την ιδιωτικότητα
των Ευρωπαίων
πολιτών, ειδικά
αν κανείς αναλογιστεί
την γεωγραφικά
διασκορπισμένη
χρήση τους, καθώς
και τη μακροχρόνιας
διάρκειας ζωή
(μέχρι δέκα έτη)
των εγγράφων
αυτών.
Υπό το φως των ευρημάτων αυτών έχουμε αναπτύξει πλήθος συστάσεων για τα διάφορα Ευρωπαϊκά ενδιαφερόμενα μέρη σε διαφορετικά επίπεδα (πολιτικούς, βιομηχανία και έρευνα) στην περιοχή των MRTDs.
Δεδομένου ότι MRTDs με έμφυτες αδυναμίες έχουν ήδη εισαχθεί και αναπόφευκτα θα χρησιμοποιούνται στο μέλλον, προκειμένου να ελαττωθεί ο κίνδυνος αποτυχίας της ασφάλειας και κλοπής της ταυτότητας προτείνουμε τα ακόλουθα μέτρα προς άμεση υλοποίηση. Αυτές οι συστάσεις περιλαμβάνουν διαδικασίες λήψης αντιγράφων ασφαλείας βασισμένες σε σενάρια και τεχνολογίες οι οποίες απαιτούν ένα διεθνές επίπεδο ανάπτυξης και συμμόρφωσης (με άλλα λόγια ICAO):
α. Οργανωσιακή υλοποίηση και εφαρμογή της αρχής σύνδεσης σκοπού14 ιδιαιτέρως για βιομετρικά συστήματα που χρησιμοποιούνται στα νέα έγγραφα (με τον σκοπό να έχει οριστεί ως η πιστοποίηση των διεθνών ταξιδιωτών). Η χρήση των νέων εγγράφων δε θα πρέπει να είναι επεκτάσιμη στην πιστοποίηση στον ιδιωτικό τομέα.
β. Οι πολίτες πρέπει να ενημερώνονται για τους κινδύνους που προκύπτουν από την κατοχή των νέων εγγράφων και τα αντίστοιχα μέτρα ασφαλείας που μπορούν να ακολουθούν (για παράδειγμα, αποφυγή της διάθεσης των αρχείων σε ιδιωτικούς οργανισμούς, όπως ξενοδοχεία)
γ. Διαθέσιμα πλην μη υλοποιημένα μέτρα ασφαλείας όπως οι κλωβοί Faraday θα πρέπει να ενσωματώνονται άμεσα στα τρέχοντα νέα έγγραφα από τα κράτη μέλη της Ευρώπης.
δ. Οργανωσιακές διαδικασίες για την αντιμετώπιση απροόπτων είναι απαραίτητες για την κάλυψη των αναγκών που προκύπτουν από την αποτυχία της βιομετρικής πιστοποίησης εξαιτίας έμφυτων βιομετρικών θεμάτων όπως τα ποσοστά λανθασμένης απόρριψης (false rejection rates - FRR) και σφάλματος καταχώρησης.
ε. Οργανωσιακές και τεχνικές διαδικασίες απαιτούνται για την αποτροπή κατάχρησης των προσωπικών δεδομένων από τα νέα έγγραφα.
στ. Οργανωσιακές και τεχνικές διαδικασίες είναι απαραίτητες για την αντιμετώπιση της κλοπής ταυτότητας χρησιμοποιώντας δεδομένα από MRTDs ή και ολόκληρα MRTDs.
Στο άμεσο μέλλον (εντός των επόμενων τριών ετών) μια νέα πειστική και ολοκληρωμένη έννοια ασφάλειας που θα καλύπτει τα νέα έγγραφα και τα σχετιζόμενα συστήματα είναι απαραίτητο να αναπτυχθεί και να γνωστοποιηθεί. Συγκεκριμένα, αυτή θα πρέπει να λαμβάνει υπ’όψιν :
α. Έναν ορισμό των απαραίτητων μέτρων ασφαλείας.
β. Προστασία των προσωπικών δεδομένων (συμπεριλαμβανομένων των βιομετρικών αν ακόμη εφαρμόζονται) των Ευρωπαίων πολιτών.
γ. Πολύπλευρες τεχνικές και οργανωτικές διαστάσεις ασφάλειας της εισαγωγής των νέων εγγράφων λαμβάνοντας υπ’όψιν διαφορετικούς χειριστές σε διαφορετικές χώρες και τους χρήστες των νέων εγγράφων (παράδειγμα ερώτησης : Πώς είναι δυνατή η αποτροπή της κατάχρησης των προσωπικών δεδομένων από χρήστες σε ξένες χώρες;)
δ. Κίνδυνοι και απειλές που προκύπτουν από τον συνδυασμό διαφορετικών τεχνολογιών που χρησιμοποιούνται στα πλαίσια των νέων εγγράφων, όπως RFIDs, βιομετρικά συστήματα και χαρακτηριστικά ασφάλειας των μη ηλεκτρονικών αρχείων.
ε. Με βάση τα ορισμένα επίπεδα ασφάλειας και την ανάλυση κινδύνων, μια πλήρης επαναξιολόγηση και ένας πλήρης επανασχεδιασμός των τεχνικών λύσεων που έχουν υιοθετηθεί για τα νέα έγγραφα, ειδικά για τα RFIDs και τα βιομετρικά, θα πρέπει να διεξαχθεί. Θα πρέπει να εξεταστεί αν αυτές οι τεχνολογίες είναι όντως απαραίτητες, ή αν οι τεχνολογίες οι οποίες είναι πιο ασφαλείς και προστατεύουν την ιδιωτικότητα (όπως έξυπνες κάρτες αντί για μηχανισμούς που δεν απαιτουν επαφή και λειτουργούν εξ αποστάσεως) είναι αρκετές. Τρόποι με τους οποίους η υλοποίηση των τεχνολογιών που εφαρμόζονται μπορεί να βελτιωθεί (π.χ. για βιομετρικά συστήματα μέσω της χρήσης αισθητήρων επί κάρτας και επεξεργασίας επί κάρτας) θα πρέπει επίσης να ερευνηθούν.
στ. Η έννοια της ασφάλειας που περιβάλει τα νέα έγγραφα θα πρέπει να συζητηθεί δημοσίως σε Ευρωπαϊκό επίπεδο από ειδικούς ασφάλειας και ιδιωτικότητας.
Τεχνικά και οργανωτικά μέτρα που αναπτύσσονται θα πρέπει να προτυποποιηθούν (ICAO), να υλοποιηθούν στα εν λόγω έγγραφα επόμενης γενιάς και να ελεγχθούν οικονομικά παγκοσμίως.
1 Machine Readable Travel Documents
2 FIDIS – ‘Future of Identity in the Information Society’ Για περισσότερες πληροφορίες: www.fidis.net
3 Τα τσιπ ISO 14443 του τύπου που χρησιμοποιούνται σε MRTDs βελτιστοποιούνται για να λειτουργήσουν με τον αντίστοιχο εξοπλισμό αναγνωστών από 10 έως 15 εκατ. Εντούτοις, υποκλοπή της επικοινωνίας μεταξύ τέτοιων διαβατηρίων και αναγνωστών από μεγαλύτερες αποστάσεις (2-10 μ) είναι δυνατή (δείτε Finke, Τ., Kelter, Χ., προσδιορισμός ραδιοσυχνότητας - Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO14443-Systems, Bonn 2004. Download: www.bsi.de/fachthem/rfid/Abh_RFID.pdf) και έχει παρουσιαστεί πρόσφατα από τον Robroch με ένα ολλανδικό διαβατήριο (δείτε Robroch, Χ., ePassport επίθεση μυστικότητας, το 2006, www.riscure.com/2_news/200604%20CardsAsiaSing%20ePassport%20Privacy.pdf), μελέτη που απαριθμεί επίσης τις αποστάσεις για την ανάγνωση και την υποκλοπή. Κάποια MRTDs είναι εξοπλισμένα με το πρόσθετο προστατευτικό κάλυμμα στην κάλυψή τους, π.χ., τα αμερικανικά διαβατήρια περιέχουν έναν ιστό από ίνες μετάλλων που ενσωματώνεται στην μπροστινή κάλυψη. Εντούτοις, οι Mahaffey και Hering κατέδειξαν ότι εάν ένα διαβατήριο ανοίγει μόνο μισή ίντσα, όπως μπορεί να συμβεί μέσα σε ένα πορτοφόλι ή σακίδιο μπορεί να αποκαλυφθεί σε έναν αναγνώστη τουλάχιστον δύο πόδια μακριά (δείτε www.flexilis.com/epassport.php).
4 ICAO – International Civil Aviation Organization, www.icao.int.
5 Πληροφορίες διαθέσιμες στην διεύθυνση http://www.icao.int/MRTD/Home/Index.cfm
7 Διαθέσιμο στην διεύθυνση http://ww.fidis.net/fidis-del/period-2-20052006/#c961
8 Tα σχεδιαγράμματα προστασίας BSI-PP-0016-2005 and BSI-PP-0017-2005, είναι διαθέσιμα από την διεύθυνση http://ww.bsi.de/zertifiz/zert/report.htm
10 Παραδείγματος χάριν, τα προφίλ προστασίας είναι μόνο οδηγίες για τα μέτρα ασφάλειας όσον αφορά στα καθορισμένα προϊόντα (τεχνικά κομμάτια) στα πλαίσια των MRTDs. Ο βαθμός και η ποιότητα της εφαρμογής τους στην ύπαρξη MRTDs όπως το epassport δεν περιγράφονται στο κείμενο. Η τεκμηρίωση υπαρχόντων epassports σχετικά με την υλοποίηση αυτών των προφίλ προστασίας δεν είναι δημοσίως διαθέσιμη προς το παρόν. Οι υπάρχουσες τεχνικές οδηγίες, π.χ. η οδηγία για τον εκτεταμένο έλεγχο πρόσβασης (EAC) επίσης καλύπτουν μόνο μέρη της τεχνικής ασφάλειας.
11 Ο εκτεταμένος έλεγχος πρόσβασης (EAC) παραδείγματος χάριν θα εφαρμοστεί μόνο σε επιλεγμένα στοιχεία των προσωπικών στοιχείων που αποθηκεύονται στα epass (ειδικότερα στοιχεία που ταξινομούνται ως ιδιαιτέρως ευαίσθητα όπως τα βιομετρικά στοιχεία δακτυλικών αποτυπωμάτων), ενώ στοιχεία, όπως η ψηφιακή εικόνα προσώπου και άλλα προσωπικά στοιχεία όπως το όνομα, η ημερομηνία γέννησης κ.λπ. δεν καλύπτονται. Η χρήση EAC δεν μπορεί να επιβληθεί διεθνώς δεδομένου ότι το EAC δεν αποτελεί διεθνές πρότυπο αποδεκτό από το ICAO. Αυτό σημαίνει ότι στις μη ευρωπαϊκές χώρες μόνο ο βασικός έλεγχος πρόσβασης (BAC) με ένα εξαιρετικά χαμηλότερο επίπεδο ασφάλειας θα χρησιμοποιηθεί.
12 Το μήκος του ‘κλειδιού’ μπορεί να ελαττωθεί σε 35 ή ακόμα και 28 bit εάν π.χ. οι αριθμοί διαβατηρίων εξαρτώνται από άλλα στοιχεία στο διαβατήριο (όπως συμβαίνει π.χ. στην Ολλανδία και στη Γερμανία). (Beel, J., Gipp, B., ePass - der neue biometrische Reisepass, Shaker Verlag, Aachen 2005. , Βλέπε το κεφάλαιο 6 "Fazit": www.beel.org/epass/epass-kapitel6-fazit.pdf ).
14 Με βάση την αρχή σύνδεσης σκοπού, δεδομένα που συγκεντρώνονται για έναν σκοπό δεν δύναται να χρησιμοποιηθούν για άλλο σκοπό, εκτός εάν υπάρχει νομική συμφωνία που να προσδιορίζει το πλαίσιο (οπότε και να δημιουργεί έναν νέο σκοπό χρησιμοποίησης)