其中一个新闻报道发表在《wired》杂志的网站上,这则新闻中说,为了读取他护照中的电子标签,Grunwald使用了各国边境机构采用的同一款读写器和由secunet安全网络公司生产的电子护照软件。他使用RFDump进行复制。
RFID电子护照复制没有安全风险
然而,Grunwald仅仅复制了他护照内IC卡上的数据。他并没有伪造护照,也没有利用这些数据。虽然Grunwald声称证实了RFID电子护照中基本的安全缺陷,但是许多RFID技术专家并不承认其真实性。
智能卡联盟是一个非盈利性的组织,其成员包括银行业、金融服务业、计算机业和零售行业的超过185家公司,其中还包括Gemalto公司。Gemalto公司将提供美国电子护照中的RFID嵌入技术。该联盟于周二进行了电话会议,讨论Grunwald的示范并就相关问题发表声明。
为了保证协同性和基本级别的安全性,已经或计划签发电子护照大约30个国家,都同意遵守由国际民用航空组织ICAO开发的协议规范,以创建必需的或可选的数据类型,并将其编码嵌入每一个护照中。
ICAO的规范支持不同级别的保护,来降低电子护照中的数据在出入境读取时遭到窃取的机率。只有在打开护照后,护照的网状金属内层才放弃阻止护照内嵌信息的读取。为保护信息不被未授权方窃取,读写器的操作人员必须通过一个称为基本访问控制(注:Basic Access Control)的过程,即输入已经写入护照上的密码进行解锁,才能读取标签。这个方法也用于对标签上的数据进行加密。为访问加密的标签数据,读写器也需要获取正确的数据密钥。据报道,Grunwald利用ICAO的网站上的规范得到了他所需要的信息来复制他的护照。
在电话会议中,智能卡联盟的执行官Randy Vanderhoof指出,电子护照芯片内的编码数据由签发护照的国家进行了数据签名和加密,即便有人复制了这些数据也无法将其改变。按照Vanderhoof的说法,Grunwald所做的并不说明电子护照不安全,原因在于护照检查人员仍能检测护照芯片内被编码的照片信息,并将它与护照持有人进行比较。他说,复制护照的内嵌信息“在我们看来,和偷窃他人的护照把它作为自己的出入境证明一样,没有什么区别。”
“电子护照远比现在的打印文档安全的多。”Vanderhoof说,因为RFID通过可视化的检查对护照持有者进行认证。在一期《Wired》杂志中,美国国务院国家护照服务副助理秘书长Frank Moss说,电子护照规范并不专为防止复制。他告诉《Wired》杂志,“Grunwald此人所做的既是预料到的,也不那么值得注意。”他还补充说RFID嵌入技术作为对于护照持有者的额外的认证才是其意义所在。
如果一个国家决定在边境入口完全移除人工检查,而只依赖读写器读取的数据怎么办呢?在这方ICAO的规范已经考虑到,据说别的国家也正在考虑这样做。那么,除了Grunwald本人,别人拿着复制的Grunwald的电子护照就能进入一个国家,这就像偷走电子收费器(EZPass)不用交费驶过纽约收费站那么容易。
“显然,在“电子护照”上加上反复制功能会更好,但是具有RFID的电子护照可能比没有RFID电子护照更安全。在没有RFID的护照内,照片能被移植到真正的护照或者是插入一个伪造的护照中。”RSA实验室的首席科学家、RSA安全的研究专家,Ari Juels这样说到。
Juels说,Grunwald的结果“是一个有用的示范,但是并不能真正的让人领悟到新东西。可复制的护照系统在安全性方面概略地等同于一个具有完整性保护的数据库。任何人都可以宣称是另外一个人,系统依靠物理的身份检查获得成功。”