Back to Menu

Διακήρυξη Βουδαπέστης για τα νέα ταξιδιωτικά έγγραφα (MRTDs1)

Περίληψη

Αποτυγχάνοντας να εφαρμόσουν κατάλληλη αρχιτεκτονική ασφάλειας, οι Ευρωπαϊκές κυβερνήσεις ανάγκασαν ουσιαστικά τους πολίτες τους να υϊοθετήσουν τα νέα ταξιδιωτικά έγγραφα που είναι αναγνώσιμα από μηχάνημα (MRTDs) τα οποία όχι μόνο μειώνουν δραματικά την ασφάλεια και την ιδιωτικότητα των πολιτών, αλλά ταυτόχρονα αυξάνουν το ρίσκο για την υποκλοπή ταυτοτήτων. Το ζήτημα είναι απλό: η τρέχουσα εφαρμογή των Ευρωπαϊκών διαβατηρίων χρησιμοποιεί τεχνολογίες και πρότυπα που είναι ανεπαρκή για τον σκοπό αυτό. Στην παρούσα Διακήρυξη που συντάχθηκε στη Βουδαπέστη κατά την διάρκεια των εργασιών του ερευνητικού προγράμματος FIDIS2 τον Σεπτέμβριο του 2006, ερευνητές από το Ευρωπαϊκό αυτό έργο παραθέτουν την αξιολόγηση τους για τα MRTDs και προωθούν τις συστάσεις τους για την εφαρμογή τους, τόσο από κυβερνητικούς φορείς, όσο και από τον επιχειρηματικό κόσμο.

Εισαγωγή

Ενώ τα νέα έγγραφα είναι ακόμη επιδεκτά στους παραδοσιακούς κινδύνους που απειλούν κάθε έγγραφο ταυτοποίησης, εισάγουν ταυτοχρόνως μια σειρά από επιπρόσθετες απειλές.

Βάση των διεθνών τεχνικών προδιαγραφών ICAO4 όπως ορίζονται στο κείμενο 93035 και ακολουθούν την οδηγία ΕC 2252/20046 της Ευρωπαϊκής νομοθεσίας, η εφαρμογή του Ευρωπαϊκού διαβατηρίου (epass) ως ένα διεθνές κείμενο MRTDs ξεκίνησε το 2005. Η παρούσα ανακοίνωση πηγάζει από την ανάλυση των νομικών βάσεων για τα νέα έγγραφα, τη σχετιζόμενη τεχνολογία και την εφαρμογή των αρχών ιδιωτικότητας και ασφάλειας. Αυτή η ανάλυση πραγματοποιήθηκε απο το FIDIS και είναι στην ολότητα της διαθέσιμη στο παραδοτέο D3.6 ‘Study on ID Documents7. Για την δημιουργία αυτής της ανακοίνωσης χρησιμοποιήθηκαν επίσης οι ακόλουθες αναφορές:

- Σχεδιαγράμματα προστασίας για τους βιομετρικούς μηχανισμούς επαλήθευσης και MRTDs συμπεριλαμβανομένου του βασικού ελέγχου πρόσβασης (Basic Access Control - BAC) που πιστοποιείται από το γερμανικό ομοσπονδιακό γραφείο για την ασφάλεια πληροφοριών (BSI)8

- Τεχνική οδηγία V1.0 για τον εκτεταμένο έλεγχο πρόσβασης (EAC) που εκδόθηκε από το γερμανικό ομοσπονδιακό γραφείο για την ασφάλεια πληροφοριών (BSI) τον Αύγουστο του 20069.

Περίληψη Ευρημάτων

Καμία συγκροτημένη, ολοκληρωμένη άποψη ως προς την ασφάλεια των ταξιδιωτικών αυτών εγγράφων δεν έχει γνωστοποιηθεί στο κοινό ή σε ενδιαφερόμενους ειδικούς στο αντικείμενο. Τα κείμενα τα οποία είναι διαθέσιμα δημοσίως όπως οι τεχνικές οδηγίες και τα προφίλ προστασίας καλύπτουν μόνο μερικώς το ζήτημα της ασφάλειας10. Αρχικά, το κείμενο BAC παρουσιάστηκε ως μια αποτελεσματική λύση για τον έλεγχο πρόσβασης, ενώ πιο πρόσφατα το κείμενο EAC (Enhanced Access Control - Βελτιωμένος ‘Ελεγχος Πρόσβασης) παρουσιάστηκε ως μια βελτιωμένη έκδοση. Όμως, και τα δυο αυτά κείμενα κρίνονται ανεπαρκή (από την πλευρά ελέγχου πρόσβασης από τον χρήστη) σε πληθώρα περιπτώσεων11.

Ένας αριθμός απο θεωρητικώς αλλά και επιστημονικώς τεκμηριωμένες εργασίες έχει μέχρι στιγμής δημοσιευθεί σχετικά με τις αδυναμίες των νέων εγγράφων. Οι αδυναμίες αυτές ακόμη δεν καλύπτονται από προφίλ προστασίας, τεχνικές οδηγίες και πρότυπα ή υπάρχουσες υλοποιήσεις. Οι πιο σημαντικές αδυναμίες εντοπίζονται στα εξής:

- Υποκλοπή της επικοινωνίας μεταξύ της ετικέττας RFID και του μηχανήματος αναγνώσης και επίθεση στην μέθοδο BAC χρησιμοποιώντας τις τεκμηριωμένες κρυπτογραφικές αδυναμίες για να ανακαλύψει στοιχεία12.

- Κατάχρηση της εξ αποστάσεως αναγνωσιμότητας των ετικεττών RFID στα διαβατήρια, π.χ. για την πρόσωπο-ευαίσθητη ανάφλεξη ‘έξυπνων βομβών’.

Ο συνδυασμός αυτών των απειλών και αδυναμιών θέτει σε σημαντικό κίνδυνο την ασφάλεια και την ιδιωτικότητα των Ευρωπαίων πολιτών, ειδικά αν κανείς αναλογιστεί την γεωγραφικά διασκορπισμένη χρήση τους, καθώς και τη μακροχρόνιας διάρκειας ζωή (μέχρι δέκα έτη) των εγγράφων αυτών.

Συστάσεις προς Ενδιαφερόμενους στην Ευρώπη

Υπό το φως των ευρημάτων αυτών έχουμε αναπτύξει πλήθος συστάσεων για τα διάφορα Ευρωπαϊκά ενδιαφερόμενα μέρη σε διαφορετικά επίπεδα (πολιτικούς, βιομηχανία και έρευνα) στην περιοχή των MRTDs.

  1. Δεδομένου ότι MRTDs με έμφυτες αδυναμίες έχουν ήδη εισαχθεί και αναπόφευκτα θα χρησιμοποιούνται στο μέλλον, προκειμένου να ελαττωθεί ο κίνδυνος αποτυχίας της ασφάλειας και κλοπής της ταυτότητας προτείνουμε τα ακόλουθα μέτρα προς άμεση υλοποίηση. Αυτές οι συστάσεις περιλαμβάνουν διαδικασίες λήψης αντιγράφων ασφαλείας βασισμένες σε σενάρια και τεχνολογίες οι οποίες απαιτούν ένα διεθνές επίπεδο ανάπτυξης και συμμόρφωσης (με άλλα λόγια ICAO):

α. Οργανωσιακή υλοποίηση και εφαρμογή της αρχής σύνδεσης σκοπού14 ιδιαιτέρως για βιομετρικά συστήματα που χρησιμοποιούνται στα νέα έγγραφα (με τον σκοπό να έχει οριστεί ως η πιστοποίηση των διεθνών ταξιδιωτών). Η χρήση των νέων εγγράφων δε θα πρέπει να είναι επεκτάσιμη στην πιστοποίηση στον ιδιωτικό τομέα.

β. Οι πολίτες πρέπει να ενημερώνονται για τους κινδύνους που προκύπτουν από την κατοχή των νέων εγγράφων και τα αντίστοιχα μέτρα ασφαλείας που μπορούν να ακολουθούν (για παράδειγμα, αποφυγή της διάθεσης των αρχείων σε ιδιωτικούς οργανισμούς, όπως ξενοδοχεία)

γ. Διαθέσιμα πλην μη υλοποιημένα μέτρα ασφαλείας όπως οι κλωβοί Faraday θα πρέπει να ενσωματώνονται άμεσα στα τρέχοντα νέα έγγραφα από τα κράτη μέλη της Ευρώπης.

δ. Οργανωσιακές διαδικασίες για την αντιμετώπιση απροόπτων είναι απαραίτητες για την κάλυψη των αναγκών που προκύπτουν από την αποτυχία της βιομετρικής πιστοποίησης εξαιτίας έμφυτων βιομετρικών θεμάτων όπως τα ποσοστά λανθασμένης απόρριψης (false rejection rates - FRR) και σφάλματος καταχώρησης.

ε. Οργανωσιακές και τεχνικές διαδικασίες απαιτούνται για την αποτροπή κατάχρησης των προσωπικών δεδομένων από τα νέα έγγραφα.

στ. Οργανωσιακές και τεχνικές διαδικασίες είναι απαραίτητες για την αντιμετώπιση της κλοπής ταυτότητας χρησιμοποιώντας δεδομένα από MRTDs ή και ολόκληρα MRTDs.

  1. Στο άμεσο μέλλον (εντός των επόμενων τριών ετών) μια νέα πειστική και ολοκληρωμένη έννοια ασφάλειας που θα καλύπτει τα νέα έγγραφα και τα σχετιζόμενα συστήματα είναι απαραίτητο να αναπτυχθεί και να γνωστοποιηθεί. Συγκεκριμένα, αυτή θα πρέπει να λαμβάνει υπ’όψιν :

α. Έναν ορισμό των απαραίτητων μέτρων ασφαλείας.

β. Προστασία των προσωπικών δεδομένων (συμπεριλαμβανομένων των βιομετρικών αν ακόμη εφαρμόζονται) των Ευρωπαίων πολιτών.

γ. Πολύπλευρες τεχνικές και οργανωτικές διαστάσεις ασφάλειας της εισαγωγής των νέων εγγράφων λαμβάνοντας υπ’όψιν διαφορετικούς χειριστές σε διαφορετικές χώρες και τους χρήστες των νέων εγγράφων (παράδειγμα ερώτησης : Πώς είναι δυνατή η αποτροπή της κατάχρησης των προσωπικών δεδομένων από χρήστες σε ξένες χώρες;)

δ. Κίνδυνοι και απειλές που προκύπτουν από τον συνδυασμό διαφορετικών τεχνολογιών που χρησιμοποιούνται στα πλαίσια των νέων εγγράφων, όπως RFIDs, βιομετρικά συστήματα και χαρακτηριστικά ασφάλειας των μη ηλεκτρονικών αρχείων.

ε. Με βάση τα ορισμένα επίπεδα ασφάλειας και την ανάλυση κινδύνων, μια πλήρης επαναξιολόγηση και ένας πλήρης επανασχεδιασμός των τεχνικών λύσεων που έχουν υιοθετηθεί για τα νέα έγγραφα, ειδικά για τα RFIDs και τα βιομετρικά, θα πρέπει να διεξαχθεί. Θα πρέπει να εξεταστεί αν αυτές οι τεχνολογίες είναι όντως απαραίτητες, ή αν οι τεχνολογίες οι οποίες είναι πιο ασφαλείς και προστατεύουν την ιδιωτικότητα (όπως έξυπνες κάρτες αντί για μηχανισμούς που δεν απαιτουν επαφή και λειτουργούν εξ αποστάσεως) είναι αρκετές. Τρόποι με τους οποίους η υλοποίηση των τεχνολογιών που εφαρμόζονται μπορεί να βελτιωθεί (π.χ. για βιομετρικά συστήματα μέσω της χρήσης αισθητήρων επί κάρτας και επεξεργασίας επί κάρτας) θα πρέπει επίσης να ερευνηθούν.

στ. Η έννοια της ασφάλειας που περιβάλει τα νέα έγγραφα θα πρέπει να συζητηθεί δημοσίως σε Ευρωπαϊκό επίπεδο από ειδικούς ασφάλειας και ιδιωτικότητας.

1 Machine Readable Travel Documents

2 FIDIS – ‘Future of Identity in the Information Society’ Για περισσότερες πληροφορίες: www.fidis.net

3 Τα τσιπ ISO 14443 του τύπου που χρησιμοποιούνται σε MRTDs βελτιστοποιούνται για να λειτουργήσουν με τον αντίστοιχο εξοπλισμό αναγνωστών από 10 έως 15 εκατ. Εντούτοις, υποκλοπή της επικοινωνίας μεταξύ τέτοιων διαβατηρίων και αναγνωστών από μεγαλύτερες αποστάσεις (2-10 μ) είναι δυνατή (δείτε Finke, Τ., Kelter, Χ., προσδιορισμός ραδιοσυχνότητας - Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO14443-Systems, Bonn 2004. Download: www.bsi.de/fachthem/rfid/Abh_RFID.pdf) και έχει παρουσιαστεί πρόσφατα από τον Robroch με ένα ολλανδικό διαβατήριο (δείτε Robroch, Χ., ePassport επίθεση μυστικότητας, το 2006, www.riscure.com/2_news/200604%20CardsAsiaSing%20ePassport%20Privacy.pdf), μελέτη που απαριθμεί επίσης τις αποστάσεις για την ανάγνωση και την υποκλοπή. Κάποια MRTDs είναι εξοπλισμένα με το πρόσθετο προστατευτικό κάλυμμα στην κάλυψή τους, π.χ., τα αμερικανικά διαβατήρια περιέχουν έναν ιστό από ίνες μετάλλων που ενσωματώνεται στην μπροστινή κάλυψη. Εντούτοις, οι Mahaffey και Hering κατέδειξαν ότι εάν ένα διαβατήριο ανοίγει μόνο μισή ίντσα, όπως μπορεί να συμβεί μέσα σε ένα πορτοφόλι ή σακίδιο μπορεί να αποκαλυφθεί σε έναν αναγνώστη τουλάχιστον δύο πόδια μακριά (δείτε www.flexilis.com/epassport.php).


4 ICAO – International Civil Aviation Organization, www.icao.int.

5 Πληροφορίες διαθέσιμες στην διεύθυνση http://www.icao.int/MRTD/Home/Index.cfm

6 http://europa.eu.int/eur-lex/lex/LexUriServ/site/en/oj/2004/l_385/l_38520041229en00010006.pdf

7 Διαθέσιμο στην διεύθυνση http://ww.fidis.net/fidis-del/period-2-20052006/#c961

8 Tα σχεδιαγράμματα προστασίας BSI-PP-0016-2005 and BSI-PP-0017-2005, είναι διαθέσιμα από την διεύθυνση http://ww.bsi.de/zertifiz/zert/report.htm

9 http://www.bsi.bund.de/fachthem/epass/eac.htm


10 Παραδείγματος χάριν, τα προφίλ προστασίας είναι μόνο οδηγίες για τα μέτρα ασφάλειας όσον αφορά στα καθορισμένα προϊόντα (τεχνικά κομμάτια) στα πλαίσια των MRTDs. Ο βαθμός και η ποιότητα της εφαρμογής τους στην ύπαρξη MRTDs όπως το epassport δεν περιγράφονται στο κείμενο. Η τεκμηρίωση υπαρχόντων epassports σχετικά με την υλοποίηση αυτών των προφίλ προστασίας δεν είναι δημοσίως διαθέσιμη προς το παρόν. Οι υπάρχουσες τεχνικές οδηγίες, π.χ. η οδηγία για τον εκτεταμένο έλεγχο πρόσβασης (EAC) επίσης καλύπτουν μόνο μέρη της τεχνικής ασφάλειας.


11 Ο εκτεταμένος έλεγχος πρόσβασης (EAC) παραδείγματος χάριν θα εφαρμοστεί μόνο σε επιλεγμένα στοιχεία των προσωπικών στοιχείων που αποθηκεύονται στα epass (ειδικότερα στοιχεία που ταξινομούνται ως ιδιαιτέρως ευαίσθητα όπως τα βιομετρικά στοιχεία δακτυλικών αποτυπωμάτων), ενώ στοιχεία, όπως η ψηφιακή εικόνα προσώπου και άλλα προσωπικά στοιχεία όπως το όνομα, η ημερομηνία γέννησης κ.λπ. δεν καλύπτονται. Η χρήση EAC δεν μπορεί να επιβληθεί διεθνώς δεδομένου ότι το EAC δεν αποτελεί διεθνές πρότυπο αποδεκτό από το ICAO. Αυτό σημαίνει ότι στις μη ευρωπαϊκές χώρες μόνο ο βασικός έλεγχος πρόσβασης (BAC) με ένα εξαιρετικά χαμηλότερο επίπεδο ασφάλειας θα χρησιμοποιηθεί.


12 Το μήκος του ‘κλειδιού’ μπορεί να ελαττωθεί σε 35 ή ακόμα και 28 bit εάν π.χ. οι αριθμοί διαβατηρίων εξαρτώνται από άλλα στοιχεία στο διαβατήριο (όπως συμβαίνει π.χ. στην Ολλανδία και στη Γερμανία). (Beel, J., Gipp, B., ePass - der neue biometrische Reisepass, Shaker Verlag, Aachen 2005. , Βλέπε το κεφάλαιο 6 "Fazit": www.beel.org/epass/epass-kapitel6-fazit.pdf ).

13 http://www.wired.com/news/technology/1,71521-0.html

14 Με βάση την αρχή σύνδεσης σκοπού, δεδομένα που συγκεντρώνονται για έναν σκοπό δεν δύναται να χρησιμοποιηθούν για άλλο σκοπό, εκτός εάν υπάρχει νομική συμφωνία που να προσδιορίζει το πλαίσιο (οπότε και να δημιουργεί έναν νέο σκοπό χρησιμοποίησης)

Back to Menu