Naše identifikačné doklady chránia našu identitu – preto musíme chrániť aj naše doklady. Dnes sú väčšina našich dokladov elektronické (preto sa používa aj pojem e-ID): integrované obvody RFID čipov sú tenké menej než milimeter a zabudované do osobných dokladov ako jednoduchá vložka. Ako bolo opísané v predchádzajúcom článku, čipy zvyšujú celkovú bezpečnosť našich dokladov a zohrávajú dôležitú úlohu aj v našom digitálnom ekosystéme – od cestovania až po štátnu administratívu.
Pridaná bezpečnosť však môže priniesť aj ďalšie hrozby zo strany falšovateľov a podvodníkov. RFID čipy musia byť chránené pred úpravami, kopírovaním alebo neoprávneným prístupom.
Tento článok vysvetľuje, aké bezpečnostné opatrenia RFID čip používa a ako fungujú v praxi. Pozor! Nasleduje množstvo skratiek – no všetky s vysvetlením.
Dvojitá bezpečnosť: prístup a autentifikácia
Ochrana RFID čipov má dve roviny:
- po prvé, čip musí byť chránený pred neoprávneným prístupom (tieto opatrenia sa nazývajú Chip Access Control) a
- po druhé, čip musí zabrániť kopírovaniu alebo úpravám (to sú opatrenia na autentifikáciu čipu).
Oba typy ochrany vyvinula ICAO v spolupráci s hlavnými výrobcami identifikačných dokladov, čipov a s BSI (Bundesamt für Sicherheit in der Informationstechnik – Nemecký spolkový úrad pre bezpečnosť informačných technológií). Tieto spôsoby ochrany sa vyvíjajú už niekoľko desaťročí, neustále sa prispôsobujú aktuálnym potrebám a robia doklady stále bezpečnejšími.
Autentifikačné protokoly pre kontrolu prístupu
Čo ak sa páchateľ pokúsi získať prístup k údajom RFID z pasu bez toho, aby ho mal fyzicky v ruke? Silná anténa to môže umožniť, pokiaľ pas nie je vybavený tzv. systémom kontroly prístupu.
Basic Access Control
Prvým takýmto mechanizmom bol Basic Access Control (BAC), zavedený v roku 2005 pre nemecké pasy. Tento mechanizmus umožňuje terminálu otvoriť čip iba vtedy, ak terminál preukáže, že dokument je fyzicky prítomný. Ak terminál dostane niektoré údaje z pasu, predpokladá, že prístup je autorizovaný: funguje to na základe MRZ (Machine Readable Zone). Najprv čítacie zariadenie načíta MRZ a porovná ju s digitálne uloženou MRZ (údaje čipu), ktorá je verejne dostupná. Ak sa údaje zhodujú, terminál povolí otvorenie ďalšieho obsahu čipu.
Supplemental Access Control
BAC sa musel stať bezpečnejším, keďže väčšina častí MRZ nie je natoľko jedinečná, aby sa nedali uhádnuť. Dokumenty chránené BAC bolo možné stále otvoriť pomocou hackerských algoritmov a správnych informácií. Preto ICAO definovalo novú sadu protokolov, ktoré majú zabrániť skimmingu a odpočúvaniu. Nasledujúc logiku BAC, ICAO zaviedlo PACE (Password-Authenticated Access Control) pre vyššiu úroveň bezpečnosti.
PACE
Ak má čip ochranu PACE, vyžaduje si okrem MRZ aj dodatočný kód. Tento kód je súčasťou dokladu a nedá sa tak ľahko uhádnuť ako MRZ. Dá sa implementovať rôznymi spôsobmi. Najčastejšie výrobcovia dokladov umiestňujú na dokument počas personalizácie špeciálny kód. Ide o Card Access Number, skrátene CAN. Pomocou MRZ a CAN sa vytvorí zabezpečený komunikačný kanál podobne ako v prípade BAC. V posledných rokoch sa výrobcovia dokladov jednoznačne prikláňajú k PACE.
EAC
Extended Access Control (EAC) bolo odporúčané ICAO ako voliteľný bezpečnostný prvok (doplnkový k Basic Access Control) na obmedzenie prístupu k citlivým biometrickým údajom v elektronických cestovných dokladoch (odtlačky prstov v dátovej skupine 3 a dúhovka v dátovej skupine 4). Namiesto presnej regulácie ICAO stanovilo iba požiadavky: čip musí obsahovať individuálne kľúče a spracovacie schopnosti a vyžaduje sa dodatočná správa kľúčov. ICAO však ponecháva finálne riešenie na implementujúcich krajinách: v EÚ sa napríklad EAC rieši kombináciou dvoch špeciálnych autentifikácií nazývaných Chip Authentication a Terminal Authentication. Čítajte ďalej, aby ste sa s nimi oboznámili.
Ochrana a autentifikácia čipu
Pri analýze bezpečnosti RFID technológie musíme hovoriť aj o šifrovaní čipov a položiť si niekoľko otázok, ako napríklad:
- Ako vieme, že uložené údaje sú pravé?
- Je čítací terminál oprávnený na prístup k údajom? Čo je na to potrebné?
- Ako sú uložené údaje chránené pred kopírovaním alebo úpravami?
Tieto otázky nás privádzajú k téme autentifikácie čipov.
Passive Authentication
Pasívna autentifikácia bola vyvinutá s cieľom zabezpečiť integritu údajov uložených v čipe. Vykonáva sa overením digitálnych podpisov. V čipe sa nachádza samostatná dátová časť (okrem dátových skupín), nazývaná EF.SOD. Obsahuje zašifrovanú reprezentáciu celého obsahu čipu. Na overenie obsahu čipu vytvorila každá krajina tzv. CSCA (Country Signing Certification Authority), ktorá certifikuje orgány zodpovedné za vydávanie pasov (napr. štátne tlačiarne, ambasády atď.). Tieto orgány sa nazývajú Document Signers. Údaje v pase sú následne podpísané jedným z týchto Document Signers. Na overenie podpisov musia byť k dispozícii CSCA certifikáty vydávajúcej krajiny a musí byť zaručená ich integrita. Štáty si vymieňajú CSCA certifikáty diplomatickou cestou.
Pasívna autentifikácia je vhodná na zabránenie úpravám obsahu čipu. Nemožno ju však použiť na zabránenie vytvoreniu identickej kópie (klonovania), takže tejto téme sa musíme venovať ďalej.
Active Authentication
Na zabránenie klonovaniu zaviedli e-ID doklady Active Authentication: kombináciu bezpečných kryptografických techník. Jej hlavným prvkom je asymetrická kľúčová dvojica uložená v čipe. Kým verejný kľúč je voľne čitateľný (uložený v DG15 a jeho hash je digitálne podpísaný), súkromný kľúč nie je z čipu čitateľný. Jeho existenciu možno overiť iba pomocou algoritmu výzva–odpoveď (na základe normy ISO 9796-2). Active Authentication sa nenachádza vo všetkých e-pasoch, pretože je voliteľná, nie povinná.
Chip Authentication
Chip Authentication (CA) bola vytvorená s cieľom zabezpečiť silnejšie šifrovanie než v prípade BAC (aby sa eliminovala nízka entropia BAC kľúča). CA sa vykonáva komunikáciou súkromných a verejných kľúčov pomocou bezpečnej logiky párových kľúčov Diffie-Hellman.
Toľko možností: ktorá je najlepšia?
Je jednoduché stratiť sa v toľkých typoch autentifikácie – a možno sa pýtate: používajú sa všetky metódy v tom istom doklade, alebo len niektoré? Závisí to od typu dokladu a regulácií krajiny vydavateľa. Napríklad v Európskej únii musia strojovo čitateľné cestovné doklady obsahovať PACE (BAC), Passive Authentication a Terminal Authentication podľa usmernení BSI.
Ako vybrať správny RFID čítací terminál
Kým optické bezpečnostné prvky možno overovať manuálnou kontrolou alebo digitálnym snímaním, na overenie (a čítanie) RFID čipov je potrebné digitálne zariadenie. V prípade medzinárodných cestovných dokladov však toto zariadenie musí byť zároveň schopné vykonávať OCR (Optical Character Recognition), aby mohlo vykonať prístupové kontroly opísané vyššie.
Tieto zariadenia, nazývané čítačky pasov alebo ID skenery, by mali byť v súlade s najnovšou RFID technológiou.
- Z hľadiska hardvéru by mala zabudovaná anténa a RFID kontrolér spĺňať požiadavky na čítaciu frekvenciu a poskytovať stabilný prenos údajov.
- Z hľadiska softvéru by automaticky vykonávané RFID kontroly mali spĺňať najnovšie normy a mali by byť schopné ukladať a používať požadované certifikáty.
Pri vývoji nášho najnovšieho zariadenia na čítanie pasov, Osmond, sme sa zamerali na súlad s RFID: keďže vieme, že naše produkty sa používajú aj v tých najnáročnejších aplikáciách, ako je hraničná kontrola, naším cieľom bol nekompromisný výkon pri čítaní RFID. Výsledkom je zariadenie, ktoré obsahuje niekoľko predinštalovaných RFID certifikátov na zjednodušenie komunikácie RFID a ponúka používateľsky prívetivé rozhranie na jednoduché nahrávanie najnovších súborov certifikátov do terminálu. Navyše Osmond – rovnako ako jeho predchodcovia – spĺňa aj najprísnejší RFID štandard: BSI TR-03105.
Máte nejaké otázky alebo požiadavky? Sme tu, aby sme vás podporili na každom kroku.Máte nejaké otázky alebo požiadavky? Sme tu, aby sme vás podporili v každom kroku.
