{"id":1683,"date":"2022-08-08T11:25:23","date_gmt":"2022-08-08T11:25:23","guid":{"rendered":"https:\/\/adaptiverecognition.com\/the-security-of-ids-volume-3-how-rfid-chips-are-protected\/"},"modified":"2024-10-25T11:17:55","modified_gmt":"2024-10-25T11:17:55","slug":"the-security-of-ids-volume-3-how-rfid-chips-are-protected","status":"publish","type":"post","link":"https:\/\/adaptiverecognition.com\/pl\/blog\/identity-industry\/the-security-of-ids-volume-3-how-rfid-chips-are-protected\/","title":{"rendered":"Bezpiecze\u0144stwo dokument\u00f3w to\u017csamo\u015bci, tom 3: Jak chronione s\u0105 chipy RFID"},"content":{"rendered":"
Nasze dokumenty to\u017csamo\u015bci chroni\u0105 nasz\u0105 to\u017csamo\u015b\u0107 \u2013 dlatego musimy chroni\u0107 r\u00f3wnie\u017c same dokumenty. Obecnie wi\u0119kszo\u015b\u0107 naszych dokument\u00f3w jest elektroniczna (dlatego u\u017cywa si\u0119 tak\u017ce okre\u015blenia e-ID): uk\u0142ady scalone chip\u00f3w RFID maj\u0105 mniej ni\u017c milimetr grubo\u015bci i s\u0105 wbudowane w dokumenty osobiste jako prosta wk\u0142adka. Jak opisano w poprzednim artykule, chipy zwi\u0119kszaj\u0105 og\u00f3lne bezpiecze\u0144stwo naszych dokument\u00f3w i odgrywaj\u0105 wa\u017cn\u0105 rol\u0119 w naszym ekosystemie cyfrowym \u2013 od podr\u00f3\u017cowania po administracj\u0119 pa\u0144stwow\u0105.<\/p>\n\n\n\n
Jednak dodatkowe zabezpieczenia mog\u0105 r\u00f3wnie\u017c stanowi\u0107 okazj\u0119 dla fa\u0142szerzy i oszust\u00f3w. Chipy RFID musz\u0105 by\u0107 chronione przed modyfikacj\u0105, kopiowaniem lub nieautoryzowanym dost\u0119pem. <\/p>\n\n\n\n
W tym artykule wyja\u015bniamy, jakie \u015brodki bezpiecze\u0144stwa stosuje chip RFID i jak dzia\u0142aj\u0105 one w praktyce. Uwaga! Przed nami wiele skr\u00f3t\u00f3w \u2013 ale wszystkie zostan\u0105 wyja\u015bnione.<\/p>\n\n\n\n
Podw\u00f3jne zabezpieczenie: dost\u0119p i uwierzytelnianie<\/h2>\n\n\n\n
Ochrona chip\u00f3w RFID ma dwa g\u0142\u00f3wne aspekty: <\/p>\n\n\n\n
\n
po pierwsze, chip musi by\u0107 chroniony przed nieautoryzowanym dost\u0119pem (\u015brodki te okre\u015blane s\u0105 jako Chip Access Control), a <\/li>\n\n\n\n
po drugie, chip powinien zapobiega\u0107 kopiowaniu lub modyfikacji (s\u0105 to \u015brodki uwierzytelniania chipu). <\/li>\n<\/ul>\n\n\n\n
Oba typy zabezpiecze\u0144 zosta\u0142y opracowane przez ICAO we wsp\u00f3\u0142pracy z czo\u0142owymi producentami dokument\u00f3w to\u017csamo\u015bci i chip\u00f3w oraz z BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik \u2013 Niemiecki Federalny Urz\u0105d ds. Bezpiecze\u0144stwa Technologii Informacyjnych). Metody te rozwijaj\u0105 si\u0119 od kilku dekad, stale dostosowuj\u0105c si\u0119 do aktualnych potrzeb i zwi\u0119kszaj\u0105c bezpiecze\u0144stwo dokument\u00f3w.<\/p>\n\n\n\n<\/figure>\n\n\n\n
Protoko\u0142y uwierzytelniania dla kontroli dost\u0119pu<\/h2>\n\n\n\n
Co je\u015bli osoba o z\u0142ych zamiarach spr\u00f3buje uzyska\u0107 dost\u0119p do danych RFID z paszportu bez trzymania go w r\u0119ku? Mocna antena mog\u0142aby to umo\u017cliwi\u0107, o ile paszport nie ma tzw. systemu kontroli dost\u0119pu. <\/p>\n\n\n\n
Basic Access Control<\/h3>\n\n\n\n
Pierwszym mechanizmem tego typu by\u0142 Basic Access Control (BAC), wprowadzony w 2005 roku dla paszport\u00f3w niemieckich. Mechanizm ten pozwala terminalowi otworzy\u0107 chip tylko wtedy, gdy terminal udowodni, \u017ce dokument znajduje si\u0119 fizycznie w pobli\u017cu. Je\u015bli terminalowi zostan\u0105 podane okre\u015blone dane z paszportu, zak\u0142ada on, \u017ce dost\u0119p jest autoryzowany: dzia\u0142a to na podstawie MRZ (Machine Readable Zone). Najpierw terminal odczytuje MRZ i por\u00f3wnuje j\u0105 z cyfrowo przechowywan\u0105 MRZ (danymi z chipu), kt\u00f3ra jest publicznie dost\u0119pna. Je\u015bli dane si\u0119 zgadzaj\u0105, terminal umo\u017cliwia dost\u0119p do dalszej zawarto\u015bci chipu.<\/p>\n\n\n\n
Supplemental Access Control<\/h3>\n\n\n\n
BAC musia\u0142 sta\u0107 si\u0119 bezpieczniejszy, poniewa\u017c wi\u0119kszo\u015b\u0107 element\u00f3w MRZ nie jest na tyle unikalna, by nie da\u0142o si\u0119 ich odgadn\u0105\u0107. Dokumenty chronione BAC nadal mog\u0142y zosta\u0107 odczytane przy u\u017cyciu algorytm\u00f3w hakerskich i odpowiednich informacji. Dlatego ICAO zdefiniowa\u0142o nowy zestaw protoko\u0142\u00f3w maj\u0105cych zapobiega\u0107 skimmingowi i pods\u0142uchowi. Pod\u0105\u017caj\u0105c za logik\u0105 BAC, ICAO wprowadzi\u0142o PACE (Password-Authenticated Access Control) zapewniaj\u0105ce wy\u017cszy poziom bezpiecze\u0144stwa.<\/p>\n\n\n\n
PACE<\/h3>\n\n\n\n
Je\u015bli chip jest chroniony za pomoc\u0105 PACE, wymaga dodatkowego kodu opr\u00f3cz MRZ. Kod ten jest cz\u0119\u015bci\u0105 dokumentu to\u017csamo\u015bci i nie mo\u017cna go tak \u0142atwo odgadn\u0105\u0107 jak MRZ. Mo\u017ce by\u0107 implementowany na r\u00f3\u017cne sposoby. Najcz\u0119\u015bciej producenci dokument\u00f3w umieszczaj\u0105 na dokumencie podczas personalizacji specjalny kod \u2014 Card Access Number (CAN). Korzystaj\u0105c z MRZ i CAN, tworzony jest bezpieczny kana\u0142 komunikacji w spos\u00f3b podobny do BAC. W ostatnich latach producenci dokument\u00f3w zdecydowanie przechodz\u0105 na PACE.<\/p>\n\n\n\n
EAC<\/h3>\n\n\n\n
Extended Access Control (EAC) zosta\u0142o zalecone przez ICAO jako opcjonalna funkcja bezpiecze\u0144stwa (uzupe\u0142niaj\u0105ca Basic Access Control) w celu ograniczenia dost\u0119pu do wra\u017cliwych danych biometrycznych w elektronicznych dokumentach podr\u00f3\u017cy (odciski palc\u00f3w w grupie danych 3 i t\u0119cz\u00f3wka oka w grupie danych 4). Zamiast szczeg\u00f3\u0142owych regulacji ICAO okre\u015bli\u0142o jedynie wymagania: chip musi zawiera\u0107 indywidualne klucze i zdolno\u015bci przetwarzania, a tak\u017ce wymagana jest dodatkowa administracja kluczami. Jednak ICAO pozostawia spos\u00f3b realizacji poszczeg\u00f3lnym krajom: w UE EAC realizuje si\u0119 poprzez po\u0142\u0105czenie dw\u00f3ch specjalnych metod \u2014 Chip Authentication i Terminal Authentication. Czytaj dalej, aby pozna\u0107 te formy uwierzytelniania.<\/p>\n\n\n\n
Ochrona i uwierzytelnianie chipu<\/h2>\n\n\n\n
Analizuj\u0105c bezpiecze\u0144stwo technologii RFID, musimy poruszy\u0107 tak\u017ce temat szyfrowania chip\u00f3w i rozwa\u017cy\u0107 kilka pyta\u0144, takich jak:<\/p>\n\n\n\n
\n
Sk\u0105d wiemy, \u017ce zapisane dane s\u0105 autentyczne?<\/li>\n\n\n\n
Czy terminal odczytuj\u0105cy jest uprawniony do dost\u0119pu do danych? Co jest do tego wymagane?<\/li>\n\n\n\n
Jak dane s\u0105 chronione przed kopiowaniem lub modyfikacj\u0105?<\/li>\n<\/ul>\n\n\n\n
Te pytania prowadz\u0105 nas do tematu uwierzytelniania chip\u00f3w.<\/p>\n\n\n\n
Passive Authentication<\/h3>\n\n\n\n
Pastywna autentykacja zosta\u0142a opracowana w celu zapewnienia integralno\u015bci danych przechowywanych w chipie. Wykonuje si\u0119 j\u0105 poprzez weryfikacj\u0119 podpis\u00f3w cyfrowych. W chipie znajduje si\u0119 osobny element danych (poza grupami danych), zwany EF.SOD, kt\u00f3ry zawiera zaszyfrowan\u0105 reprezentacj\u0119 ca\u0142ej zawarto\u015bci chipu. Aby zweryfikowa\u0107 dane chipu, ka\u017cde pa\u0144stwo utworzy\u0142o tzw. CSCA (Country Signing Certification Authority), kt\u00f3re certyfikuje instytucje odpowiedzialne za wydawanie paszport\u00f3w (np. pa\u0144stwowe drukarnie, ambasady). Instytucje te nazywane s\u0105 Document Signers. Dane w paszporcie s\u0105 podpisywane przez jednego z nich. Aby zweryfikowa\u0107 podpisy, musz\u0105 by\u0107 dost\u0119pne certyfikaty CSCA kraju wydaj\u0105cego, a ich integralno\u015b\u0107 musi by\u0107 zagwarantowana. Kraje wymieniaj\u0105 certyfikaty CSCA drog\u0105 dyplomatyczn\u0105.<\/p>\n\n\n\n
Pastywna autentykacja jest odpowiednia do zapobiegania modyfikacjom danych w chipie. Nie zapobiega jednak stworzeniu identycznej kopii (klonowaniu), dlatego nale\u017cy om\u00f3wi\u0107 kolejne metody ochrony.<\/p>\n\n\n\n
Active Authentication<\/h3>\n\n\n\n
Aby zapobiec klonowaniu, dokumenty elektroniczne wprowadzi\u0142y Active Authentication: zestaw bezpiecznych technik kryptograficznych. Jej najwa\u017cniejszym elementem jest para kluczy asymetrycznych przechowywana w chipie. Podczas gdy klucz publiczny jest og\u00f3lnodost\u0119pny (przechowywany w DG15, a jego hash jest cyfrowo podpisany), klucz prywatny nie jest mo\u017cliwy do odczytania z chipu. Jego obecno\u015b\u0107 mo\u017cna potwierdzi\u0107 jedynie poprzez algorytm challenge\u2013response (oparty na normie ISO 9796-2). Active Authentication nie wyst\u0119puje we wszystkich e-paszportach, poniewa\u017c jest opcjonalna, a nie obowi\u0105zkowa.<\/p>\n\n\n\n
Chip Authentication<\/h3>\n\n\n\n
Chip Authentication (CA) zosta\u0142a opracowana w celu zapewnienia silniejszego szyfrowania ni\u017c w przypadku BAC (aby wyeliminowa\u0107 nisk\u0105 entropi\u0119 klucza BAC). CA jest wykonywana poprzez wymian\u0119 kluczy publicznych i prywatnych z wykorzystaniem bezpiecznej logiki par kluczy Diffie-Hellman.<\/p>\n\n\n\n
Tak wiele mo\u017cliwo\u015bci: kt\u00f3ra jest najlepsza?<\/h2>\n\n\n\n
\u0141atwo si\u0119 pogubi\u0107 w tylu rodzajach uwierzytelniania \u2013 i mo\u017cna zapyta\u0107: czy wszystkie metody s\u0105 stosowane w jednym dokumencie, czy tylko niekt\u00f3re? Zale\u017cy to od rodzaju dokumentu oraz przepis\u00f3w kraju wydaj\u0105cego. Na przyk\u0142ad w Unii Europejskiej dokumenty podr\u00f3\u017cy odczytywane maszynowo musz\u0105 zawiera\u0107 PACE (BAC), Passive Authentication oraz Terminal Authentication zgodnie z wytycznymi BSI.<\/p>\n\n\n\n
Jak wybra\u0107 odpowiedni terminal do odczytu RFID<\/h2>\n\n\n\n
Podczas gdy optyczne zabezpieczenia dokument\u00f3w mo\u017cna weryfikowa\u0107 zar\u00f3wno manualnie, jak i cyfrowo, do sprawdzania (i odczytu) chip\u00f3w RFID potrzebne jest urz\u0105dzenie cyfrowe. W przypadku mi\u0119dzynarodowych dokument\u00f3w podr\u00f3\u017cy urz\u0105dzenie to musi dodatkowo obs\u0142ugiwa\u0107 OCR (Optical Character Recognition), aby mog\u0142o wykonywa\u0107 funkcje kontroli dost\u0119pu opisane powy\u017cej.<\/p>\n\n\n\n
Urz\u0105dzenia te, zwane czytnikami paszport\u00f3w lub skanerami ID, powinny by\u0107 zgodne z najnowsz\u0105 technologi\u0105 RFID.<\/p>\n\n\n\n
\n
Pod wzgl\u0119dem sprz\u0119towym wbudowana antena i kontroler RFID musz\u0105 spe\u0142nia\u0107 wymagania dotycz\u0105ce cz\u0119stotliwo\u015bci odczytu i zapewnia\u0107 stabiln\u0105 transmisj\u0119 danych.<\/li>\n\n\n\n
Pod wzgl\u0119dem oprogramowania automatyczne kontrole RFID musz\u0105 by\u0107 zgodne z najnowszymi standardami i umo\u017cliwia\u0107 przechowywanie oraz u\u017cywanie wymaganych certyfikat\u00f3w.<\/li>\n<\/ul>\n\n\n\n\n\n
Podczas opracowywania Osmonda, naszego najnowszego czytnika paszport\u00f3w, skupili\u015bmy si\u0119 na pe\u0142nej zgodno\u015bci RFID: wiedz\u0105c, \u017ce nasze produkty s\u0105 u\u017cywane nawet w najbardziej wymagaj\u0105cych zastosowaniach, takich jak kontrola graniczna, naszym celem by\u0142a bezkompromisowa wydajno\u015b\u0107 odczytu RFID. W rezultacie urz\u0105dzenie zawiera kilka wst\u0119pnie zainstalowanych certyfikat\u00f3w RFID u\u0142atwiaj\u0105cych komunikacj\u0119 oraz oferuje przyjazny interfejs do \u0142atwego przesy\u0142ania najnowszych plik\u00f3w certyfikat\u00f3w do terminala. Co wi\u0119cej, Osmond \u2014 podobnie jak jego poprzednicy \u2014 spe\u0142nia r\u00f3wnie\u017c najbardziej rygorystyczny standard RFID: BSI TR-03105.<\/p>\n\n\n\n
Masz pytania lub potrzebujesz pomocy? Jeste\u015bmy tu, aby wspiera\u0107 Ci\u0119 na ka\u017cdym kroku.Masz pytania lub potrzebujesz pomocy? Jeste\u015bmy tutaj, aby wspiera\u0107 Ci\u0119 na ka\u017cdym etapie.<\/p>\n\n\n\n
![\"Passport](\"https:\/\/adaptiverecognition.com\/app\/uploads\/2022\/08\/08112212\/RFID-passport-control.jpg\")
<\/figure>\n\n\n\n