在2006年8月份拉斯维加斯举行的计算机安全会议上,德国DN-Systems计算机安全公司的研究员LukasGrunwald使用自己开发的RFDump开源软件包和RFID读写器,将他个人德国护照上的RFID标签进行复制,然后将信息写入附有RFID芯片的智能卡上。这个示范引起了有关各方面的关注。
在2006年8月份拉斯维加斯举行的计算机安全会议上,德国DN-Systems计算机安全公司的研究员LukasGrunwald使用自己开发的RFDump开源软件包和RFID读写器,将他个人德国护照上的RFID标签进行复制,然后将信息写入附有RFID芯片的智能卡上。这个示范引起了有关各方面的关注。
日新月异的印刷技术正在冲击着传统的纸质证件管理方式,目前受到人们日益关注的就是各国纷纷计划和正在实施的电子护照项目。关于该项目的最新进展是:一些国家如德国,已率先在护照中使用无线射频识别技术,协助关卡人员提防罪犯以伪造护照入境,同时将国际旅客的入境手续自动化。美国也将在10月份发行数以百万计的电子护照。
德国安全顾问 LukasGrunwald,两年前就曾经因为制造了RFID 黑客装置RFDump 而引发了一场轰动,此次在最近的一次安全委员会上,他宣称有能力把德国电子护照上的内容拷贝、复制到不同的空白RFID 芯片中。据介绍,Grunwald 仅用了两周时间就研究出该数据克隆技术。他所使用的设备简单而且成本低廉,仅仅是一台笔记本电脑、一台价值200 美元的 RFID 阅读器以及一个智能卡阅读器。虽然Grunwald只是在德国的电子护照上演示了他的实验,但其他国家仍然因此受到一定程度的影响,因为他们的数据模式标准和德国一样,都是根据国际民用航空组织(ICAO)颁布的标准规则而制定的。一时间,“生物护照被黑”,“安全专家说,电子护照增加成本”等新闻标题见诸报端。在关系国家安全的护照问题上,即使最细微的检验漏洞,也会被认为是具轰动效应的灾难。RFID 安全方面的弱点似乎再一次显示出来。
拷贝、复制电子护照数据实验的最初假想情况是:黑客能够利用此技术伪造护照。在演示中,Grunwald 将电子护照的数据复制到一张普通门禁卡上。然后将新写入程序的卡片放在 RFID 阅读器前,结果显示,它被认为是一张有效合法的电子护照。但实际情况下,电子护照数据被“解锁”,并被原样复制,必须有一个被印刷在电子护照自身上的特殊密码才能进入可识数据。因此黑客要想阅读护照中的电子数据内容,就必须首先得到护照,得到这个印刷在护照上的经过防伪处理的特殊密码,而要想远距离“跳过”电子护照芯片并利用其内容进行复制是不可能的。即使通过这种拷贝,不法份子也仍然不可能使用伪造的护照,因为芯片上的信息与其外观不相符。发行电子护照的目的,不是全世界各国境边上的旅行者自动通道。正如美国国家护照服务处官员FrankMoss 所说:“它是一种辅助方法,用以判别护照持有人是否就是护照所有者”。
但对于澳大利亚等已开始考虑护照的自动检查方案的国家,这种情况确实显示了护照的安全隐患。但澳大利亚仅依照当前ICAO 数据安全标准制定应用方案,而没有进一步的防范措施也是不太可能的。正如有关专家所指出的:电子护照标准的设计者们会充分考虑克隆技术的潜在威胁。“人们现在要做的既不是无动于衷,也不是草木皆兵,”MOSS 说。
这次克隆实验演示实际上告诉我们:你给了我你的护照。我打开它,然后把你所有的个人资料匆忙抄写在一片纸上,然后我把护照交还给你。我可以用“克隆”下来的纸片作为你的护照,从而对你造成威胁。而事实上机场的边检官员会无动于衷吗?当然不会。电子数据克隆技术到底是否给世界上的恐怖分子提供了一次蒙混过关的机会?从这个角度考虑,电子护照确实有许多复杂的流程问题需要面对。