Nasze dokumenty tożsamości chronią naszą tożsamość – dlatego musimy chronić również same dokumenty. Obecnie większość naszych dokumentów jest elektroniczna (dlatego używa się także określenia e-ID): układy scalone chipów RFID mają mniej niż milimetr grubości i są wbudowane w dokumenty osobiste jako prosta wkładka. Jak opisano w poprzednim artykule, chipy zwiększają ogólne bezpieczeństwo naszych dokumentów i odgrywają ważną rolę w naszym ekosystemie cyfrowym – od podróżowania po administrację państwową.
Jednak dodatkowe zabezpieczenia mogą również stanowić okazję dla fałszerzy i oszustów. Chipy RFID muszą być chronione przed modyfikacją, kopiowaniem lub nieautoryzowanym dostępem.
W tym artykule wyjaśniamy, jakie środki bezpieczeństwa stosuje chip RFID i jak działają one w praktyce. Uwaga! Przed nami wiele skrótów – ale wszystkie zostaną wyjaśnione.
Podwójne zabezpieczenie: dostęp i uwierzytelnianie
Ochrona chipów RFID ma dwa główne aspekty:
- po pierwsze, chip musi być chroniony przed nieautoryzowanym dostępem (środki te określane są jako Chip Access Control), a
- po drugie, chip powinien zapobiegać kopiowaniu lub modyfikacji (są to środki uwierzytelniania chipu).
Oba typy zabezpieczeń zostały opracowane przez ICAO we współpracy z czołowymi producentami dokumentów tożsamości i chipów oraz z BSI (Bundesamt für Sicherheit in der Informationstechnik – Niemiecki Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych). Metody te rozwijają się od kilku dekad, stale dostosowując się do aktualnych potrzeb i zwiększając bezpieczeństwo dokumentów.
Protokoły uwierzytelniania dla kontroli dostępu
Co jeśli osoba o złych zamiarach spróbuje uzyskać dostęp do danych RFID z paszportu bez trzymania go w ręku? Mocna antena mogłaby to umożliwić, o ile paszport nie ma tzw. systemu kontroli dostępu.
Basic Access Control
Pierwszym mechanizmem tego typu był Basic Access Control (BAC), wprowadzony w 2005 roku dla paszportów niemieckich. Mechanizm ten pozwala terminalowi otworzyć chip tylko wtedy, gdy terminal udowodni, że dokument znajduje się fizycznie w pobliżu. Jeśli terminalowi zostaną podane określone dane z paszportu, zakłada on, że dostęp jest autoryzowany: działa to na podstawie MRZ (Machine Readable Zone). Najpierw terminal odczytuje MRZ i porównuje ją z cyfrowo przechowywaną MRZ (danymi z chipu), która jest publicznie dostępna. Jeśli dane się zgadzają, terminal umożliwia dostęp do dalszej zawartości chipu.
Supplemental Access Control
BAC musiał stać się bezpieczniejszy, ponieważ większość elementów MRZ nie jest na tyle unikalna, by nie dało się ich odgadnąć. Dokumenty chronione BAC nadal mogły zostać odczytane przy użyciu algorytmów hakerskich i odpowiednich informacji. Dlatego ICAO zdefiniowało nowy zestaw protokołów mających zapobiegać skimmingowi i podsłuchowi. Podążając za logiką BAC, ICAO wprowadziło PACE (Password-Authenticated Access Control) zapewniające wyższy poziom bezpieczeństwa.
PACE
Jeśli chip jest chroniony za pomocą PACE, wymaga dodatkowego kodu oprócz MRZ. Kod ten jest częścią dokumentu tożsamości i nie można go tak łatwo odgadnąć jak MRZ. Może być implementowany na różne sposoby. Najczęściej producenci dokumentów umieszczają na dokumencie podczas personalizacji specjalny kod — Card Access Number (CAN). Korzystając z MRZ i CAN, tworzony jest bezpieczny kanał komunikacji w sposób podobny do BAC. W ostatnich latach producenci dokumentów zdecydowanie przechodzą na PACE.
EAC
Extended Access Control (EAC) zostało zalecone przez ICAO jako opcjonalna funkcja bezpieczeństwa (uzupełniająca Basic Access Control) w celu ograniczenia dostępu do wrażliwych danych biometrycznych w elektronicznych dokumentach podróży (odciski palców w grupie danych 3 i tęczówka oka w grupie danych 4). Zamiast szczegółowych regulacji ICAO określiło jedynie wymagania: chip musi zawierać indywidualne klucze i zdolności przetwarzania, a także wymagana jest dodatkowa administracja kluczami. Jednak ICAO pozostawia sposób realizacji poszczególnym krajom: w UE EAC realizuje się poprzez połączenie dwóch specjalnych metod — Chip Authentication i Terminal Authentication. Czytaj dalej, aby poznać te formy uwierzytelniania.
Ochrona i uwierzytelnianie chipu
Analizując bezpieczeństwo technologii RFID, musimy poruszyć także temat szyfrowania chipów i rozważyć kilka pytań, takich jak:
- Skąd wiemy, że zapisane dane są autentyczne?
- Czy terminal odczytujący jest uprawniony do dostępu do danych? Co jest do tego wymagane?
- Jak dane są chronione przed kopiowaniem lub modyfikacją?
Te pytania prowadzą nas do tematu uwierzytelniania chipów.
Passive Authentication
Pastywna autentykacja została opracowana w celu zapewnienia integralności danych przechowywanych w chipie. Wykonuje się ją poprzez weryfikację podpisów cyfrowych. W chipie znajduje się osobny element danych (poza grupami danych), zwany EF.SOD, który zawiera zaszyfrowaną reprezentację całej zawartości chipu. Aby zweryfikować dane chipu, każde państwo utworzyło tzw. CSCA (Country Signing Certification Authority), które certyfikuje instytucje odpowiedzialne za wydawanie paszportów (np. państwowe drukarnie, ambasady). Instytucje te nazywane są Document Signers. Dane w paszporcie są podpisywane przez jednego z nich. Aby zweryfikować podpisy, muszą być dostępne certyfikaty CSCA kraju wydającego, a ich integralność musi być zagwarantowana. Kraje wymieniają certyfikaty CSCA drogą dyplomatyczną.
Pastywna autentykacja jest odpowiednia do zapobiegania modyfikacjom danych w chipie. Nie zapobiega jednak stworzeniu identycznej kopii (klonowaniu), dlatego należy omówić kolejne metody ochrony.
Active Authentication
Aby zapobiec klonowaniu, dokumenty elektroniczne wprowadziły Active Authentication: zestaw bezpiecznych technik kryptograficznych. Jej najważniejszym elementem jest para kluczy asymetrycznych przechowywana w chipie. Podczas gdy klucz publiczny jest ogólnodostępny (przechowywany w DG15, a jego hash jest cyfrowo podpisany), klucz prywatny nie jest możliwy do odczytania z chipu. Jego obecność można potwierdzić jedynie poprzez algorytm challenge–response (oparty na normie ISO 9796-2). Active Authentication nie występuje we wszystkich e-paszportach, ponieważ jest opcjonalna, a nie obowiązkowa.
Chip Authentication
Chip Authentication (CA) została opracowana w celu zapewnienia silniejszego szyfrowania niż w przypadku BAC (aby wyeliminować niską entropię klucza BAC). CA jest wykonywana poprzez wymianę kluczy publicznych i prywatnych z wykorzystaniem bezpiecznej logiki par kluczy Diffie-Hellman.
Tak wiele możliwości: która jest najlepsza?
Łatwo się pogubić w tylu rodzajach uwierzytelniania – i można zapytać: czy wszystkie metody są stosowane w jednym dokumencie, czy tylko niektóre? Zależy to od rodzaju dokumentu oraz przepisów kraju wydającego. Na przykład w Unii Europejskiej dokumenty podróży odczytywane maszynowo muszą zawierać PACE (BAC), Passive Authentication oraz Terminal Authentication zgodnie z wytycznymi BSI.
Jak wybrać odpowiedni terminal do odczytu RFID
Podczas gdy optyczne zabezpieczenia dokumentów można weryfikować zarówno manualnie, jak i cyfrowo, do sprawdzania (i odczytu) chipów RFID potrzebne jest urządzenie cyfrowe. W przypadku międzynarodowych dokumentów podróży urządzenie to musi dodatkowo obsługiwać OCR (Optical Character Recognition), aby mogło wykonywać funkcje kontroli dostępu opisane powyżej.
Urządzenia te, zwane czytnikami paszportów lub skanerami ID, powinny być zgodne z najnowszą technologią RFID.
- Pod względem sprzętowym wbudowana antena i kontroler RFID muszą spełniać wymagania dotyczące częstotliwości odczytu i zapewniać stabilną transmisję danych.
- Pod względem oprogramowania automatyczne kontrole RFID muszą być zgodne z najnowszymi standardami i umożliwiać przechowywanie oraz używanie wymaganych certyfikatów.
Podczas opracowywania Osmonda, naszego najnowszego czytnika paszportów, skupiliśmy się na pełnej zgodności RFID: wiedząc, że nasze produkty są używane nawet w najbardziej wymagających zastosowaniach, takich jak kontrola graniczna, naszym celem była bezkompromisowa wydajność odczytu RFID. W rezultacie urządzenie zawiera kilka wstępnie zainstalowanych certyfikatów RFID ułatwiających komunikację oraz oferuje przyjazny interfejs do łatwego przesyłania najnowszych plików certyfikatów do terminala. Co więcej, Osmond — podobnie jak jego poprzednicy — spełnia również najbardziej rygorystyczny standard RFID: BSI TR-03105.
Masz pytania lub potrzebujesz pomocy? Jesteśmy tu, aby wspierać Cię na każdym kroku.Masz pytania lub potrzebujesz pomocy? Jesteśmy tutaj, aby wspierać Cię na każdym etapie.
