Budimpeštanska deklaracija o Mašinski čitljivim putnim ispravama (MRTD)
Nadovezujući se na prethodno objavljeni tekst sa sajta evropske e-vlade (http://ec.europa.eu/idabc/en/document/6293/194), «Za život bez žiga» prenosi prevod celokupne Budimpeštanske deklaracije, donete u septembru 2006. od strane EU-finansiranje «elitne mreže» FIDIS (“Future of Identity in the Information Society” tj. “Budućnost identiteta u informatičkom društvu”), u kojoj ova organizacija upozorava na ozbiljne bezbednosne probleme sa novim evropskim pasošima - ali i biometrijskim podacima uopšte.
Izvorni tekst na: http://www.fidis.net/press-events/press-releases/budapest-declaration/
Budimpeštanska deklaracija o Mašinski čitljivim putnim ispravama (MRTD) Abstract
Zbog toga što nisu uvele odgovarajuću bezbednosnu arhitekturu, evropske vlade su faktički primorale građane da prihvate nove međunarodne Mašinski čitljive putne isprave (MRTD) koje dramatično smanjuju njihovu bezbednost i privatnost, a povećavaju rizike krađe identiteta. Jednostavno rečeno, sadašnje uvođenje Evropskog pasoša radi se uz pomoć tehnologija i standarda koji su loše prilagođeni svojoj nameni. U ovoj deklaraciji, istraživači u domenu identiteta i identifikacionog menadžmenta (uz podršku jednoglasne inicijative iznete tokom skupa Mreže FIDIS (“Future of Identity in the Information Society” tj. “Budućnost identiteta u informatičkom društvu”),[1] održanog septembra 2006. u Budimpešti, saželi su svoje nalaze zasnovane na analizi MRTD-a i preporučili konkretne mere koje zainteresovani u vladama i industriji treba da primene kako bi ublažili postojeće probleme.
Uvod
Mada su već sada podložne već dobro poznatim scenarijima zloupotrebe identifikacionih dokumenata, novi MRTD-ovi podložni su dodatnim pretnjama, među kojima podvlačimo sledeće: - Nasuprot tradicionalnim identifikacionim dokumentima, podaci sa evropskih MRDT-ova su daljinski, transparentno i ne-interaktivno čitljivi (sa stanovišta nosioca dokumenta) sa razdaljine od 2 do 10 metara.[2] Ove slabosti su pojačane merama kontrole pristupa koje su podložne zaobilaženju ili hakovanju (noseći rizik stalne, neprimećene autentifikacije podataka na MRDT od strane autorizovanih i neautorizovanih trećih lica, omogućavajući praćenje ljudi koji nose pasoše, na primer u svojstvu turista u stranim zemljama) - Upotreba biometrijskih podataka na identifikacionim dokumentima je podložna eksploataciji od strane javnih i privatnih sektora za dodatne svrhe - što predstavlja kršenje evropskih principa privatnosti. Štaviše, sama biometrija je zasnovana na verovatnoćama, što znači da su lažno-pozitivne i negativne autentifikacije neminovne i potencijalno mogu da utiču na svakodnevni život mnogih evropskih građana [ovo je problem koji neminovno čeka i Srbiju ako prihvati biometrijska lična dokumenta - Zžbž]. Na osnovu međunarodnih tehničkih (ICAO - tj. Međunarodna organizacija za civilni avio-saobraćaj) [3] standarda definisanih u dokumentu 9303 [4], i prateći Pravilo EC 2252/2004 [5] evropskog zakonodavstva, uvođenje Evropskog pasoša (tzv. “epass”) kao međunarodnog MRTD-a počelo je 2005. Ovaj pozicioni papir je zasnovan na analizi pravnih osnova za uvođenje MRTD-a, tehnologije koja se upotrebljava i sprovođenju mera zaštite podataka i bezbednosti. Ova analiza je urađena od strane FIDIS-a i dokumentovana u FIDIS-ovoj “Studiji o identifikacionim ispravama” [6]. Takođe je, u sastavljanju ovog pozicionog papira, korišćen i sledeći materijal: - Zaštitni profili za mehanizme biometrijske verifikacije i MRTD, uključujući i Osnovnu kontrolu pristupa (BAC - tj. “Basic Access Control”) [7], odobreni od strane nemačkog Saveznog ureda za informativnu bezbednost (BSI), Tehničko uputstvo V1.0 za Proširenu kontrolu pristupa (EAC - tj. “Extended Access Control”), izdato od strane nemačkog Saveznog ureda za informativnu bezbednost (BSI) u avgustu 2006. [8]
Sažetak nalaza
Ni široj javnosti ni zainteresovanim stručnjacima nije predstavljen nikakav koherentan, integrisan koncept bezbednosti za MRTD [po običaju, delovi naših vlasti prednjače u prihvatanju samo onog najgoreg u evropskoj praksi u koju se zaklinju - Zžbž]. Javno dostupni dokumenti, kao što su Zaštitni profili i Tehnička uputstva pokrivaju samo delove takvog jednog bezbednosnog koncepta. [9] BAC je na početku predstavljen kao jedna efektna mera kontrole pristupa, dok je u nešto skorije vreme EAC predstavljen kao ojačana verzija istog. Međutim, obe mere su jednostavno nedovoljne (kao mere kontrole pristupa na raspolaganju samom imaocu dokumenta) u mnogim situacijama. [10] Veći broj teorijski i naučno dokazanih pretnji i konceptualnih slabosti MRTD-ova već je objavljen. One još uvek nisu obuhvaćene Zaštitnim profilima, tehničkim uputsvima i standardima ili postojećim primenama. Među najznačajnijim pretnjama su sledeće: - Za sada nema mogućnosti da se biometrijski podaci u sadašnjim MRTD-ovima stave van snage i, pošto biometrijske oznake imalaca, kao što su otisci prstiju i crte lica, ne mogu lako da se promene, “ukradeni” biometrijski podaci se mogu zloupotrebljavati u dužem vremenskom roku (što takođe važi i za biometrijske podatke koji treba da budu skladišteni na novim ličnim kartama u Srbiji - Zžbž); - Neadekvatan menadžment ključa preko BAC-a: ključ za pristup podacima na RFID (Radio frekventna identifikacija) čipu skladišti se na samom pasošu i mogu ga očitavati i ljudi i mašinski skeneri. To znači da svako ko je imao fizički pristup pasošu i, npr. napravio optičku kopiju, potencijalno može da sačuva inforacije o ključu i upotrebi ih za pristup podacima na RFID čipu. - Prisluškivanje komunikacija između RFID čipa i čitača, kao i upotreba brutalne sile napada na sam BAC, upotrebljavajući njegove dokazane kriptografske slabosti radi pristupu podacima; [11] - Kloniranje RFID čipova u MRTD-ovima; [12] - Zloupotreba mogućnosti daljinskog očitavanja RFID čipova u pasošima, npr. za potrebe ljudsko-osetljivog aktiviranja “pametnih bombi”. Kombinacija ovih pretnji i slabosti donosi znatne rizike po bezbednost i privatnost evropskih građana. Ovo je posebno relevantno s obzirom na široku geografsku primenu i dug životni vek (do 10 godina) postojećih MRTD-ova.
Preporuke zainteresovanim stranama u Evropi
Na osnovu ovih nalaza, pripremili smo jedan broj preporuka za zainteresovane strane u Evropi (politčare, industriju i istraživačke institucije) u domenu MRTD-ova:
1. Pošto su MRTD-ovi sa ugrađenim slabostima već uvedeni i pošto će neminovno biti korišćeni u budućnosti [hajde da ne dozvolimo da i mi uvodimo tehnologiju koju kasnije moramo da ispravljamo, uz dodatne troškove - ako se uopšte da ispraviti - Zžbž], preporučujemo sledeće mere za hitnu primenu, radi smanjenja rizika provale bezbednosti i krađe identiteta. Ove preporuke uključuju i rezervne procedure i tehnologije koje zahtevaju razvoj i sporazum na međunarodnom nivou (npr. na nivou ICAO):
a. Organizacionu primenu i sprovođenje principa jasno određene svrhe, pogotovu kada je reč o biometrijskim podacima koji se upotrebljavaju u MRTD-ovima (u ovom slučaju, ta jasno definisana svrha bila bi autentifikacija za međunarodne putnike). Upotreba MRTD-ova ne bi trebalo da bude proširena na autentifikaciju u privatnom sektoru [dakle, da se ne koriste kao neka vrsta lične karte - Zžbž].
b. Građane bi trebalo obavestiti o rizicima vezanim za posedovanje novih MRTD-ova, kao i o merama bezbednosti koje oni sami mogu preduzeti (na primer, izbegavanje davanja dokumenata privatnim organizacijama kao što su hoteli, itd.)
v. Dostupne, ali još uvek neprimenjene mere bezbednosti, kao što su Faradejevi kavezi, moraju odmah da budu integrisane u postojeće MRTD-ove od strane država-članica EU.
g. Potrebne su organizacione procedure koje bi se nosile sa slučajevima neuspele biometrijske autentifikacije zasnovanim u urođenim biometrijskim problemima kao što su stopa lažnih odbijanja (”false rejection rates” - FRR) i greške pri samom upisu podataka.
d. Potrebne su organizacione i tehničke procedure radi sprečavanja zloupotrebe ličnih podataka iz MRTD-ova.
đ. Potrebne su organizacione i tehničke procedure u vezi sa krađama identiteta kroz upotrebu podataka iz MRTD-ova, ili kroz upotrebu samih MRTD-ova [ako su se na nivou EU desili ovakvi propusti, pomislite kakvi su propusti mogući u Srbiji, gde i ne postoje nikakva tela za zaštitu ličnih podataka - Zžbž].
2. Srednjeročno gledano (u sledeće tri godine), potrebno je razviti i obznaniti jedan nov, ubedljiv i integrisan koncept bezbednosti MRTD-ova i srodnih sistema, koji u vidu naročito mora da ima sledeće:
a. Definiciju neophodnih nivoa bezbednosti.
b. Zaštitu ličnih podataka evropskih građana [uključujući i biometrijske podatke, ako još uvek budu bili u upotrebi /podvlačenje Zžbž/].
v. Multilateralne i organizacione bezbednosne obzire u vezi izdavanja MRTD-ova, koji imaju u vidu različite operatere u različitim državama, kao i same korisnike MRTD-ova (primerno pitanje: Kako se može sprečiti zloupotreba ličnih podataka od strane stranih država?).
g. Rizike i pretnje koji se pomaljaju iz kombinacije raznih tehnologija koje se primenjuju u kontekstu MRTD-ova, kao što su RFID, biometrija, kao i bezbednosne strane papirnih dokumenata.
d. Na osnovu definisanih nivoa bezbednosti i risk-analize, potrebno je primeniti ponovnu, sveobuhvatnu procenu i novo projektovanje tehničkih rešenja koja su usvojena za postojeće MRTD-ove, posebno kada je reč o RFID-u i biometriji [koja je “potpuno bezbedna” po rečima zvaničnika MUP-a Srbije - Zžbž]. Treba ispitati da li su ove tehnologije uopšte i potrebne [podvlačenje Zžbž], ili da li su bezbednije tehnologije, koje bolje čuvaju privatnost (kao što su kontaktne pametne kartice umesto beskontaktnih mehanizama /srpske kontaktne lične karte bi možda i bile prihvatljive bez biometrije i centralizovane elektronske baze podataka, po principu jedan-na-jedan - ali o tome se nikada nije vodila, niti se vodi diskusija - Zžbž/), dovoljne.
đ. Načini na koje primena datih tehnologija može biti poboljšana (npr. kroz biometriju putem korišćenja procesa poređenja podataka na samoj kartici, ili senzora na samoj kartici) treba takođe da budu ispitani.
e. Koncept bezbednosti treba da bude predmet javne debate od strane stručnjaka za bezbednost i privatnost na nivou Evrope.
3. Tehničke i organizacione mere koje budu razvijene treba da budu standardizovane (na nivou ICAO), uvedene u sledećoj generaciji MRTD-ova i podložne globalnoj reviziji.
Izvori:
§ en) Budapest Declaration [PDF-en] [URL] [Press Release (en)] § (de) Budapest Erklärung [PDF-de] [URL] [Press Release (de)] § (fr) Déclaration de Budapest [PDF-fr] [URL] § (se) Budapestdeklarationen [PDF-se] [URL] [Press Release (se) ]
Fusnote:
[1] FIDIS - “Future of Identity in the Information Society” . Vidi http://www.fidis.net
[2] ISO 14443 čipovi koji se upotrebljavaju u MRTD-ovima optimalno se mogu koristiti sa odgovarajućim čitačima u dometu od 10 do 15 cm. Međutim, moguće je prisluškivanje komunikacija između ovakvih pasoša i čitača sa većih razdaljina (2-10 m) (vidi Finke, T., Kelter, H., Radio Frequency Identification - Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO14443-Systems, Bonn 2004. Download: www.bsi.de/fachthem/rfid/Abh_RFID.pdf), što je nedavno pokazao i Robroh (Robroch) sa holandskim pasošima (vidi Robroch, H., ePassport Privacy Attack, 2006, www.riscure.com/2_news/200604%20CardsAsiaSing%20ePassport%20Privacy.pdf), a koji takođe navodi razdaljine sa kojih se može očitavati i prisluškivati. Neki MRTD-ovi su opremljeni dodatnom zaštitom na svojim koricama, npr. američki pasoši će imati mrežu metalnih vlakana ugrađenu u prednje korice. Međutim, Mahafi (Mahaffey) i Hering (Hering) su pokazali da ako se pasoš otvori na samo jedan centimetar - kao što se može desiti u tašni ili rancu - isti sebe može odati čitaču udaljenom bar 60 cm od njega (vidi www.flexilis.com/epassport.php).
[3] ICAO = International Civil Aviation Organization, www.icao.int
[4] Obaveštenja na www.icao.int/MRTD/Home/Index.cfm
[5] Vidi http://europa.eu.int/eur-lex/lex/LexUriServ/site/en/oj/2004/l_385/l_38520041229en00010006.pdf
[6] Dostupno na: http://www.fidis.net/fidis-del/period-2-20052006/#c961#c961
[7] Zaštitni Profil BSI-PP-0016-2005 i BSI-PP-0017-2005, dostupni na www.bsi.de/zertifiz/zert/report.htm
[8] Objavljeno na www.bsi.bund.de/fachthem/epass/eac.htm
[9] Na primer, Zaštitni profili su samo uputstva za mere bezbednosti vezane za definisane proizvode (tehničke komponente) u kontekstu MRTD-ova; stepen i kvalitet njihove primene u postojećim MRTD-ovima, kao što je Evropski pasoš (epassport) nisu opisani u tekstu. Dokumentacija sadašnjih pasoša vezana za primenu ovih Zaštitnih profila izgleda da trenutno nije javno dostupna. Postojeća tehnička uputstva, npr. uputsvo o Proširenoj kontroli pristupa (EAC) pokrivaju samo deo problema tehničke bezbednosti.
[10] Proširena kontrola pristupa (Extended Access Control - EAC) biće, na primer, primenjena samo na odabrane elemente ličnih podataka koji se čuvaju na epass-u (posebno na podatke koje spadaju pod kategoriju posebno osetljivih, kao što su biometrijski podaci otisaka prstiju), dok podaci kao što su digitalna fotografija lica i drugi lični podaci kao što su ime, datum rođenja, itd. ne podležu ovim merama. Upotreba EAC ne može da bude međunarodno kontrolisana, s obzirom da EAC nije međunarodni standard prihvaćen od strane ICAO. To znači da će u van-evropskim zemljama samo Osnovna kontrola pristupa (BAC), sa znatno nižim nivoom bezbednosti biti upotrebljena.
[11] Snaga ključa se može spustiti na 35 ili čak na 28 bitova ako su, na primer, brojevi pasoša međuzavisni sa drugim podacima na pasošu (kao što je slučaj, npr. u Holandiji i Nemačkoj). (Vidi Beel, J., Gipp, B., ePass - der neue biometrische Reisepass, Shaker Verlag, Aachen 2005. Download of chapter 6 “Fazit”: www.beel.org/epass/epass-kapitel6-fazit.pdf).
[12] Vidi e.g. www.wired.com/news/technology/1 ,71521-0.html