Läckage av biometrisk information från Holländska pass
Saturday, February 4th, 2006I en artikel från The register berättas det att säkerheten i dom nya pass med biometrisk information som införts i Holland innehåller säkerhetsbrister, brister som leder till läckage av den biometriska informationen.
En attack, som tar ungefär två timmar kan utföras mot passen på ett avstånd på tio meter. Den information som går att få ut är födelsedatum, ansiktsform och fingeravtryck.
Attacken går till så att kommunikationen mellan passet och en läsare fångas uppm vilket tydligen kan ske på ett avstånd på upp till tio meter. Sedan används en vanlig PC för att utföra en brute-force-attack mot den hemliga kryptonyckel som används för att skydda informationen lagrad på det inbyggda minnet i passet. Nyckel visar sig nämligen inte vara slumpmässig, utan består av:
- Datum då passet slutar går ut.
- Födelsedatum
- Passets nummer, ett nummer som visar sig vara ett sekventiellt nummer direkt kopplat till när passet gavs ut.
- Checksumma av den övriga informationen
Den effektiva nyckellängden visar sig bli 35 bitar, vilket en PC med lämpligt program kan gå igenom på cirka två timmar. Attacken inklusive en demo finns beskriven i två presentationer av Bart Jacobs och Ronny Wichers. Beskrivning av attacken, Demo av attacken.
Vad kan vi lära oss av detta? Jo några saker:
- Trådlös kommunikation kan nå mycket längre än man kan tro.
- Det spelar ingen roll om algoritmerna man valt är br om implementationen brister
- Nycklar skall aldrig, aldrig, aldrig byggas upp med delar av informationen den är till för att skydda.
Den stora frågan är hur Holland skall bära sig åt för att rätta till problemet. Återkalla passen och byta ut systemet är inte enkelt, men är kanske det som krävs om man tar sina medborgares säkerhet på allvar. Artikeln från The Register berättar att man från Holländska myndigheternas sida pratar om att förbättra systemet. Låter inte jättebra.
