向上的50个国家正在推出含有生物识别和个人数据的嵌入式RFID(射频识别)芯片的护照。此举旨在削减欺诈性护照并加强边境检查,但安全专家表示,这些系统存在一些缺陷。
荷兰研究人员Jeroen van Beek发布了一个软件工具包,可用于对带有虚假信息的RFID芯片进行编码。在演示视频中,van Beek展示了阿姆斯特丹机场的扫描仪如何读取他编码的护照芯片,并使用Elvis Presley的信息和照片。
这意味着欺诈者可能会使用看起来合法的RFID芯片制造伪造的护照。数据看起来合理的原因是由于政府建立系统处理电子护照的根本问题,与van Beek一起在演示中工作的自由安全研究员Adam Laurie说道。
RFID芯片的护照数据用签发护照的国家的数字证书签署。 Laurie说,电子护照系统应该在扫描护照时验证证书。
所有发放电子护照的国家都应该将他们的数字证书上传到公钥索引(PKD),这是一个应该被查询的数据库确保证书是正确的,Laurie说,但在50个左右的国家中,只有10个同意将这些证书上传到PKD,Laurie说。他说,只有五个国家正在为数据库做出贡献。“基本上,整个事情都会下降,”劳里说。他说,电子护照系统的安全性植根于对这些证书的后端数据库检查。在van Beek的演示中,含有欺诈数据的护照芯片显示其自己的证书,似乎来自合法授权机构,但并不是“T。由于荷兰没有使用PKD来验证护照证书,所以证书被接受,Laurie说。