يحمي وثائق الهوية هويتنا - لذلك يجب علينا حماية هوياتنا. اليوم، معظم وثائقنا الشخصية إلكترونية (لذلك يُستخدم أيضًا مصطلح e-ID): حيث أن الدوائر المتكاملة لرقائق RFID أقل من مليمتر ومُدمجة في وثائقنا الشخصية كبطاقة مجردة. كما وصف في مقال سابق، تُضيف الرقائق إلى الأمان الشامل لوثائقنا وتلعب دورًا هامًا في النظام البيئي الرقمي لدينا أيضًا - من السفر إلى الإدارة الحكومية.
ومع ذلك، قد تمثل الأمان الإضافي تهديدات إضافية أيضًا بسبب المزورين ومحتالي البيانات. يجب حماية رقائق RFID من التعديل أو النسخ أو الوصول غير المصرح به.
سيقوم هذا المقال بشرح التدابير الأمنية التي يتبعها رقاقة RFID وكيفية عملها في الواقع. انتباه! العديد من الاختصارات الآتية، لكن ليس دون تفسيرات.
الأمان المزدوج: الوصول والمصادقة
حماية رقائق RFID مزدوجة:
- أولًا، يجب حماية الرقاقة من الوصول غير المصرح به (تُسمى هذه التدابير مراقبة الوصول إلى الرقاقة)، و
- ثانيًا، يجب أن تمنع الرقاقة النسخ أو التعديل (هذه هي تدابير مصادقة الرقاقة).
تم تطوير كلاً من أنواع الحماية هذه من قِبل ICAO، بمشاركة كبار مصنعي وثائق الهوية والرقاقات و BSI (المكتب الفيدرالي الألماني لأمن تكنولوجيا المعلومات). تم تطوير هذه التدابير الوقائية على مدى العقود القليلة الماضية، متكيفة باستمرار مع الاحتياجات الحالية وجعل الهويات أكثر أمانًا.
بروتوكولات المصادقة لضبط الوصول
ماذا لو أراد المخطئ الوصول إلى بيانات RFID لجواز سفر دون أن يحمله في يده؟ يجعل هوائي قوي ذلك ممكنًا ما لم يكن للجواز نظام تحكم في الوصول المعروف باسم التحكم في الوصول.
التحكم الأساسي في الوصول
كانت أولى أنواعه تُدعى التحكم الأساسي في الوصول (اختصارًا BAC)، وتم تقديمها في عام 2005 لجوازات السفر الألمانية. تتيح هذه الآلية للمحطة فتح الشريحة فقط إذا أثبتت المحطة أن المستند موجود فعليًا. إذا تم تزويد المحطة ببعض بيانات جواز السفر، فستفترض المحطة أن الوصول مُصرَّح به؛ إذ يعمل ذلك بناءً على MRZ (المنطقة القابلة للقراءة آليًا). أولًا، تتعرّف محطة القارئ على MRZ وتقارنها بالـ MRZ المخزّنة رقميًا (بيانات الشريحة) والمتاحة علنًا. وإذا وُجد تطابق، تسمح المحطة بفتح بقية محتويات الشريحة.
التحكم الإضافي في الوصول
كان على BAC أن يصبح أكثر أمانًا، حيث أن معظم أجزاء MRZ ليست فريدة بما يكفي لعدم تخمينها. يمكن الوصول إلى المستندات المحمية بـ BAC باستخدام خوارزميات الاختراق والمعلومات الصحيحة. لهذا السبب، قامت الـ ICAO بتحديد مجموعة جديدة من البروتوكولات لتجنب السحب والتنصت. وباتباع منطق BAC، قدمت الـ ICAO بروتوكول PACE (التحكم في الوصول المصادق عليه بواسطة كلمة المرور) لمستوى أعلى من الأمان.
PACE
إذا كان الشريحة محمية بـ PACE، فإنها تتطلب رمزًا إضافيًا بجانب MRZ. هذا الرمز هو جزء من بيانات الهوية ولا يمكن تخمينه بسهولة مثل MRZ. يمكن تنفيذه بطرق مختلفة. في معظم الأحيان، يضع مصنعو بطاقات الهوية رمزًا خاصًا على المستند خلال عملية التخصيص الشخصي. هذا هو رقم الوصول إلى البطاقة، المعروف اختصارًا بـ CAN. باستخدام MRZ و CAN، يتم بناء قناة الاتصال الآمنة للبيانات بطريقة مماثلة كما هو الحال في حالة BAC. خلال السنوات القليلة الماضية، كان مصنعو بطاقات الهوية يتجهون بالتأكيد نحو PACE.
EAC
تم توصية بتوسيع التحكم في الوصول (اختصار EAC) من قبل الـ ICAO كميزة أمان اختيارية (بالإضافة إلى التحكم في الوصول الأساسي) لتقييد الوصول إلى البيانات البيومترية الحساسة في وثائق السفر الإلكترونية (بصمة الأصبع في المجموعة البيانية 3 والقزحية في المجموعة البيانية 4). بدلاً من التنظيم التفصيلي، وضعت الـ ICAO فقط المتطلبات: يجب أن تحتوي الشريحة على مفاتيح فردية وقدرات معالجة، ويتطلب إدارة المفاتيح الإضافية. ومع ذلك، تترك الـ ICAO الحل الفعلي مفتوحًا للدول المنفذة: في الاتحاد الأوروبي، على سبيل المثال، يتم حل EAC من خلال مزيج من مصادقتين خاصتين تسمى المصادقة الشريحة ومصادقة المحطة. اقرأ المزيد لتتعرف على هذه الأنواع من المصادقة.
حماية الشريحة والمصادقة
عند تحليل أمان تقنية RFID، يجب علينا التحدث أيضًا عن تشفير الشرائح، مع مراعاة عدة أسئلة مثل:
- كيف نعرف أن البيانات المخزنة حقيقية؟
- هل المحطة القارئة مخولة بقراءة البيانات؟ ما الذي يلزم لذلك؟
- كيف يتم حماية البيانات المخزنة من النسخ أو التعديل؟
توجهنا هذه الأسئلة إلى موضوع المصادقة على الشريحة.
المصادقة السلبية
تم تطوير المصادقة السلبية لضمان سلامة بيانات الشريحة. يتم ذلك عن طريق التحقق من التواقيع الرقمية. يوجد قطعة بيانات منفصلة في الشريحة (بجانب مجموعات البيانات) تسمى EF.SOD. تحتوي على تمثيل مشفر للمحتوى الكامل للشريحة. للتحقق من محتوى الشريحة، قامت كل دولة بإنشاء ما يُسمى بـ CSCA (السلطة المعتمدة للتوقيعات البلدية) التي توجه الجهات المسؤولة عن إصدار جوازات السفر (على سبيل المثال، الطابعات الحكومية، السفارات، الخ). تُسمى هذه الجهات الموقعة على الوثائق. يتم توقيع البيانات في جواز السفر بواسطة أحد هؤلاء الموقعين على الوثائق. للتحقق من التواقيع، يجب أن تكون شهادات CSCA للدولة المانحة متاحة، ويجب ضمان سلامتها. تستخدم الدول التبادل الدبلوماسي لشهادات CSCA.
المصادقة السلبية مناسبة لمنع تحريف محتوى الشريحة. ومع ذلك، لا يمكن استخدامها ضد عملية إنشاء نسخة مماثلة لها (الاستنساخ)، لذا يجب أن نستكشف هذا الموضوع بشكل أعمق.
المصادقة النشطة
لمنع عملية الاستنساخ، قدمت بطاقات الهوية الإلكترونية المصادقة النشطة: وهي مزيج من تقنيات التشفير الأمنة. العنصر الرئيسي فيها هو زوج مفتاح تشفيري غير متماثل يتم تخزينه في الشريحة. بينما يمكن قراءة المفتاح العمومي بحرية (مخزن في DG15، وتوقيعه الرقمي محسوب عليه)، فإن المفتاح الخاص غير قابل للقراءة من الشريحة. يمكن التحقق من وجوده فقط باستخدام خوارزمية التحدي والاستجابة (بناءً على ISO 9796-2). لا يمكن العثور على المصادقة النشطة في جميع جوازات السفر الإلكترونية، حيث أنها اختيارية، وليست إلزامية.
المصادقة على الشريحة
تم إنشاء المصادقة على الشريحة (CA) لديها تشفير أقوى من حالة BAC (للقضاء على الإنتروبيا المنخفضة لمفتاح BAC). يتم تنفيذ CA عن طريق التواصل بين المفاتيح الخاصة والعامة، باستخدام منطق زوج مفاتيح ديفي-هيلمان الآمن.
الكثير من الخيارات: ما هو الأفضل؟
من السهل الضياع بين العديد من أنواع المصادقة - وقد تسأل: هل تستخدم جميع الطرق في نفس الهوية، أو ربما فقط بعضها؟ يعتمد ذلك على نوع الهوية وتشريعات بلد الإصدار. على سبيل المثال، في الاتحاد الأوروبي، يجب أن تتضمن وثائق السفر القابلة للقراءة بواسطة الآلات PACE (BAC)، والمصادقة السلبية، والمصادقة على المحطة، وفقًا لتوجيهات BSI.
كيفية اختيار محطة قارئ RFID المناسبة
بينما يمكن المصادقة على الميزات الأمنية البصرية سواء بالتفتيش اليدوي أو التصوير الرقمي، للتحقق (وقراءة) رقاقات RFID، يُطلب جهاز رقمي، مثل ماسح بطاقات الصعود أو قارئ جوازات السفر متخصص مثل Osmond. ومع ذلك، في حالة الوثائق الدولية للسفر، يجب أن يكون هذا الجهاز قادرًا على التعرف الضوئي على الحروف (OCR) أيضًا من أجل أداء وظائف التحكم في الوصول المشروحة أعلاه.
يُطلق على هذه الأجهزة، والتي تُعرف أيضًا باسم قارئات جوازات السفر أو ماسحات الهوية، اسم قارئات الجوازات أو ماسحات الهوية، ويجب أن تتوافق مع أحدث تكنولوجيا RFID.
- من الناحية الأجهزة، يجب أن تتوافق الهوائي المضمن ومتحكم RFID مع متطلبات تردد القراءة وتوفير نقل بيانات مستقر.
- من الناحية البرمجية، يجب أن تتوافق التحققات RFID التي تُجرى تلقائيًا مع أحدث المعايير ويجب أن تكون قادرة على تخزين واستخدام الشهادات المطلوبة.
عند تطوير جهاز القراءة الأخير لقراءة جوازات السفر Osmond الخاص بنا، ركزنا على الامتثال لتقنية RFID: وعلى علم بأن منتجاتنا تُستخدم حتى في أصعب التطبيقات مثل مراقبة الحدود، هدفنا إلى توفير أداء قراءة RFID غير المسبوق. ونتيجة لذلك، يتضمن الجهاز العديد من شهادات RFID المُثبتة مسبقًا لتسهيل الاتصال عبر RFID، ويقدّم واجهة سهلة الاستخدام لتحميل أحدث ملفات الشهادات إلى المحطة. علاوة على ذلك، يتوافق Osmond — تمامًا مثل سابقيه — مع أشد معايير RFID صرامة أيضًا: BSI TR-03105.
هل لديك أي أسئلة أو استفسارات؟ نحن هنا لدعمك في كل خطوة على الطريق.
