Bucovina Profundă

29 Ianuarie 2013

Cat de sigure sunt datele tale in pasaportul electronic? – Bogdan Manolea

Filed under: acte cu cip,atitudine,boicot,marea minciuna,ştiinţă - tehnologie — Mircea Puşcaşu @ 11:50

Cat de sigure sunt datele tale

in pasaportul electronic?

sursa: legi-internet.ro/blogs

Bogdan Manolea

Astazi, 28 ianuarie 2013 este ziua protectiei datelor personale. Un subiect care incepe sa te doara personal doar atunci cind, de obicei, este prea tarziu.

Cand ti-ai pierdut laptopul si iti dai seama ca oricine poate sa sparga parola ta de 5 caractere. Cand te-ai despartit de prietenul gelos si tot ce-ai scris vreodata pe Facebook se intoarce impotriva ta. Sau cand iti dai seama ca “every move you make” nu e doar versul unui cantec celebru, ci si o realitate pentru toti cetatenii in contextul pastrarii datelor de trafic – si incep sa fie folosite impotriva ta in cazul pe care l-ai fi crezut cel mai putin probabil.

Impreuna cu colegii de la ApTI ne propune sa publicam cinci materiale informative in aceasta saptamina referitoare la subiect, care sa mearga pe zona de informare, uneori inainte ca legislatia sa fie adopata – de la pasapoarte si cartile de identitate electronica, la cookie-uri si noua propunere de regulament a UE in domeniul datelor personale, care va guverna intreg domeniul.

Astazi – am scris despre pasaportul electronic. In 2007 scriam tot pe acest blog ca pasapoartele biometrice nu sunt suficient de sigure.

In 2013 ajungem la aceiasi concluzie. Cu ajutorul nepretuit al lui Bogdan Alecu am vrut sa vedem cit de sigur este un pasaport electronic romanesc. Cel pe care multi dintre romani il poarta in buzunar cind merg in afara UE. Nu putem, nu stim si nici nu avem voie sa verificam intreg proces de emitere al pasapoartelor (mai rau este nimeni nu o face!), dar macar putem sa incercam sa vedem cit de sigure sunt datele de pe cipul pasaportului nostru.

Rezultatele analizei primare facuta de Bogdan arata dezatruos pentru un sistem anuntat si promovat ca oferind “condiţii de maximă siguranţă”, iar “scanarea informaţiei depozitate (se poate face) numai de aparate guvernamentale autorizate”.

Ei bine – este exact pe dos: datele din pasaport, inclusiv imaginea digitala a fetei nu sunt criptate, iar accesul se poate face cu un smartphone, daca instalezi un soft public pe el. Ca sa fie si mai penibila situatia, cheia de acces la date este relativ usor de identificat, derivand “din data nașterii deținătorului documentului, numărul pașaportului și data de expirare a acestuia.”

Bogdan a putut sa-si citeasca relativ simplu datele de pasaport (mai putin zona de amprente, care pare bine securizata). La fel poate oricine care are minimele cunostiinte de securitate IT sa il citeasca pe al altuia.

Concluziile analizei empirice sunt penibile pentru imaginea publica de securitate a pasaportului electronic, dar nu sunt suprinzatoare, din pacate, pentru cei cunoscatori al lipsei de atentie pentru securitate si protectia reala a datelor personale din partea autoritatilor romanesti:

 

  • Informațiile cu privire la siguranța pașaportului electronic fie sunt vagi și exagerate, fie nu există pe site-urile publice ale emitenților. Lipsa informațiilor oficiale clare și corecte nu duce la creșterea încrederii în aceste documente, orice informație (chiar nedocumentată) din terțe surse putând deveni astfel credibilă.
  • Datele primare (mai puțin amprentele) care sunt înscrise pe cip pot fi citite în mod electronic, de la distanță, folosind produse legale disponibile public. Nivelul de îndemânare tehnică pentru a citi aceste date poate fi considerat unul mediu pentru o persoana familiarizată cu tehnologia informației.
  • Cheia de acces ce ar trebui să protejeze aceste date primare este relativ ușor de ghicit. Nivelul de îndemânare tehnică pentru a ghici cheia de acces la datele primare: mediu spre ridicat.
  • Datele primare pot fi citite de la distanță, chiar și printr-un rucsac.
  • Cipul poate fi clonat (mai puțin amprentele biometrice).
  • Dacă s-ar folosi un pașaport falsificat cu un cip clonat pe o „poarta inteligentă”, există posibilitatea de a intra în mod fraudulos într-o altă țară. (Din câte cunoaștem noi, în România NU sunt folosite astfel de porți inteligente.)

Citeva recomandari va pot ajuta ca sa mai diminuati unele din problemele aratate mai sus.

Asteptam cu interes ca autoritatile romane sa corecteze informatiile publice legate de siguranta pasapoartelor electronice. Macar atit!

Lasă un comentariu »

Niciun comentariu până acum.

RSS feed for comments on this post. TrackBack URI

Lasă un răspuns

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

Blog la WordPress.com.

%d blogeri au apreciat asta: