211service.com
RFID:s säkerhetsproblem
Från och med i sommar kommer amerikaner att behöva pass för att resa till Kanada, Mexiko, Bermuda och Karibien – såvida de inte har passkort eller ett av de förbättrade körkorten som delstaterna Washington och New York har börjat utfärda.
Gäller endast för resor till lands och till sjöss, dessa nya former av identifiering är ett bekvämt och billigt alternativ för personer som inte behöver resa med flyg. Amerikanska passkort, som introducerades i juli, kostar ungefär hälften så mycket som ett helt pass, och den extra kostnaden för att få ett utökat körkort snarare än ett vanligt är ännu lägre. Förbättrade licenser har varit tillgängliga i Washington sedan januari 2008 och i New York sedan september; andra gränsstater, inklusive Michigan, Vermont och Arizona, har för avsikt att erbjuda dem också.
Den här historien var en del av vårt januarinummer 2009
- Se resten av frågan
- Prenumerera
Men alla är inte övertygade om att de nya legitimationerna är en bra idé. Passkortet och de utökade licenserna innehåller RFID-taggar, som är mikrochips försedda med antenner. En RFID-läsare kan skicka en fråga till taggen, vilket får den att returnera den information den innehåller – i det här fallet ett identifikationsnummer som låter tullombud hämta information om kortinnehavaren från en statlig databas. Tanken är att omedelbar tillgång till biografiska data, ett foto och resultaten av terrorist- och kriminella bakgrundskontroller kommer att hjälpa agenter att flytta människor genom gränsen på ett effektivt sätt. RFID-teknik har dock väckt integritetsproblem sedan den introducerades i produktetiketter i början av 2000-talet.
Samtidigt, även om experter säger att vissa RFID-tekniker är ganska säkra, analyserar en säkerhetsforskare från University of Virginia av NXP Mifare Classic (se Hack , november/december 2008) , ett RFID-chip som används i priskort för kollektivtrafiken i Boston, London och andra städer, har visat att säkerheten för smarta kort inte kan tas för given. Jag tror att vi är i växtvärkfasen, säger Johns Hopkins Universitys datavetenskapsprofessor Avi Rubin, en säkerhets- och integritetsforskare. Detta händer med många tekniker när de först utvecklas.
New York förbättrat körkort
$30 avgift, läggs till kostnaden för ett körkort
www.nydmv.state.ny.us/edl-main.htm
Washington State Enhanced Driver's License
$15 avgift, läggs till kostnaden för ett körkort
www.dol.wa.gov/about/news/priorities/edl.html
Amerikanska passkort
$45
travel.state.gov/passport/ppt_card/ppt_card_ 3926.html
Gränssäkerhet
Det första av de nya ID-korten som ska introduceras, de federala passkorten och Washington-körkorten använder liknande teknik, som har granskats och godkänts av det amerikanska departementet för inrikessäkerhet. Kortens RFID-enheter, så kallade elektroniska produktkoder (EPC), är ungefär som streckkoder. Taggarna är billiga och kan under idealiska förhållanden läsas på cirka 50 fots avstånd – en ovanligt lång räckvidd för RFID, säger Ari Juels, chef och chefsforskare vid RSA Laboratories i Bedford, MA, som samarbetade med forskare från University of Washington för att utvärdera båda korten.
Även om korten inte lagrar personlig information, drog forskarna slutsatsen att även att lagra ett unikt nummer väcker vissa integritetsproblem. Om du tänker på personnumret kan det någon gång ha funnits ett argument att det bara är ett nummer, inte personlig information, säger Tadayoshi Kohno, biträdande professor i datavetenskap vid University of Washington, som deltog i studien. Men siffror utvecklas över tiden, och användningsområden utvecklas över tiden, och så småningom kan dessa saker avslöja mer information än vi från början förväntade oss. Dessutom kan relativt vanliga RFID-läsare, som de som används för lagerkontroll, under vissa omständigheter läsa kortens nummer på ganska långt avstånd. Forskarna ansåg att det fanns en risk att korten kunde användas för att spåra människor, på det sätt som några köpcentra i Storbritannien har använt signaler från mobiltelefoner för att spåra kunders shoppingvanor och övervaka hur länge de stannar i butik. Även om människor bär andra kort och enheter som också kan användas för spårning, noterar forskarna att identifikationskorten kan läsas på längre räckvidd än många andra RFID-taggar och att människor sannolikt kommer att bära dem hela tiden, medan de kan lämna, säg, deras mobiltelefoner hemma. Och vanliga amerikanska pass, som också innehåller RFID-chips, använder teknik som gör integritetsproblem mindre sannolika. Pass måste, till skillnad från passkort, läsas på nära håll, och de har ett säkerhetssystem som kräver att en tjänsteman optiskt skannar tecken från dokumentet för att få tillgång till de personuppgifter som lagras i chippet.
Gigi Zenk, talesman för Washington State Department of Licensing, säger att Washington har gjort det olagligt för tredje part att använda data från RFID-taggar utan taggägarnas medgivande. Hon och andra tjänstemän tillägger att alla som oroar sig för integritet kan använda sekretesshylsorna som följer med korten, som är designade för att blockera radiosignaler så att korten är svårare att läsa i smyg. Men Washington-studien visade att ärmarna inte alltid fungerade: de blockerade inte radiosignaler när de var skrynkliga, till exempel. Forskarna hävdade också att de flesta människor är osannolikt att använda ärmarna, ändå. Till och med några integritetsforskare som Juels konsulterade erkände att de förlorat dem, säger han.
Och integritet är inte det enda problemet här: forskarna säger att obehörig läsning också skulle hota gränssäkerheten. Om det är lätt att få ut identifikationsnumret från korten, är det relativt lätt att förfalska dem, helt enkelt genom att ladda ett stulet ID-nummer på ett tomt, off-the-shelf-chip. Om varje RFID-chip också hade ett unikt, fast serienummer, som måste motsvara det lagrade ID-numret, skulle det vara svårare att förfalska. Men varken Washington-licenserna eller passkorten har den extra säkerhetsfunktionen.
Washington-korten är öppna för ytterligare en typ av attack: EPC-taggar kan inaktiveras när en läsare utfärdar ett kill-kommando. Även om varje tagg är designad för att skyddas av en PIN-kod som tillåter endast auktoriserade användare att utfärda kommandot, ställer staten aldrig in PIN-koden på de kort den distribuerade, vilket tillåter alla med en RFID-läsare att ställa in den själv och börja döda kort. Om ett stort antal Washingtonbor med utökade licenser samlades vid en gränsövergång, skulle någon kunna orsaka störningar genom att döda ett stort antal kort. En angripare kan också använda denna taktik för att trakassera vissa individer, eftersom ett dödat kort sannolikt kommer att väcka misstankar.
Juels noterar snabbt att korten inte kommer att vara det enda som skyddar gränsen. Om gränsagenter gör allt som de ska göra [inklusive, till exempel, jämföra fotografierna som lagras i databasen med de som är tryckta på ID:t], borde de kunna upptäcka förfalskningar, säger han. Han tillägger dock att det är mänsklig natur att bli mindre vaksam när det finns teknik att luta sig mot.
När jag frågade Department of Homeland Security om dessa farhågor, svarade pressekreteraren Laura Keehner med ett uttalande som delvis sa: Även om riskerna som beskrivs i University of Washington/RSA-dokumentet kan vara tekniskt möjliga, tror vi att många är osannolika, och även om det realiseras, skulle det ha liten inverkan förutom att orsaka en enskild resenär mindre besvär vid gränsen. … När vi identifierar ytterligare begränsningsstrategier kommer vi att fortsätta att stärka kraven på … gränsöverskridande resedokument för att både förbättra gränssäkerheten och integriteten för dokumentinnehavaren.
New York License, and Beyond
Ingen oberoende forskare har ännu publicerat en utvärdering av New Yorks förbättrade körkort, men kortet undviker en del av de farhågor som tagits upp om de federala och Washington-korten. Chipsen i New York-licenserna har serienummer för att skydda dem mot förfalskning, och deras minnesbanker har låsts för att skydda dem mot obehörig användning av kommandon. Det är beundransvärt att Homeland Security och de stater det arbetar med är villiga att använda sig av bättre teknik än de valde från början. Men det är inte klart om dessa ansträngningar kommer att gå tillräckligt långt.
New York-licenserna presenterar samma integritetsproblem som de andra korten gör, och som Keehners kommentarer antyder, har tjänstemän en tendens att avfärda sådana farhågor – vilket mycket väl kan innebära att ingenting kommer att göras åt dem. Ändå är det säkert möjligt att skydda kortinnehavarnas integritet utan att de behöver hålla reda på sekretesshylsorna. Till exempel, säger Avi Rubin, kan varje kort förses med en knapp som låter användaren styra när information ska skickas. Om inte knappen trycktes in skulle ID:t inte svara på frågor. Sådana kort skulle kosta lite mer, men de skulle kunna erbjuda mer säkerhet och mer integritet.
Så länge som de återstående problemen ignoreras är det dock osannolikt att tekniken kommer att bli tillräckligt bra för att skydda internationella gränser utan att äventyra integriteten för tusentals eller miljoner människor. Tadayoshi Kohno, för en, säger att han vid det här laget inte är övertygad om att RFID ens erbjuder säkerhetsfördelar jämfört med de gamla ID:n. Teknik som används i denna skala, och för ändamål som är viktiga, borde vara klart bättre än vad den ersätter: USA:s erfarenhet av elektroniska röstsystem visar vad som kan hända när det inte är det. Om tjänstemän fortsätter att förespråka plåster som integritetshylsor snarare än att arbeta för att ta itu med kritikernas oro, kommer de i slutändan att undergräva själva tekniken som de hoppas främja. Även om ny ID-teknik troligtvis kommer att stanna, kan det bli ett fiasko om tjänstemän inte uppmärksammar hackares och säkerhetsforskares arbete. Dessa människor försöker avslöja svagheter innan de kan utnyttjas med uppsåt. Det är mycket mindre smärtsamt att svälja nyheterna från dem än att vänta tills ett problem blir pinsamt – eller förödande.
Erica Naone är en Teknikgranskning biträdande redaktör.
