智能卡聯(lián)盟稱電子護(hù)照復(fù)制沒有安全風(fēng)險

其中一個新聞報道發(fā)表在《wired》雜志的網(wǎng)站上，這則新聞中說，為了讀取他護(hù)照中的電子標(biāo)簽，Grunwald使用了各國邊境機(jī)構(gòu)采用的同一款讀寫器和由secunet安全網(wǎng)絡(luò)公司生產(chǎn)的電子護(hù)照軟件。他使用RFDump進(jìn)行復(fù)制。

RFID電子護(hù)照復(fù)制沒有安全風(fēng)險

然而，Grunwald僅僅復(fù)制了他護(hù)照內(nèi)IC卡上的數(shù)據(jù)。他并沒有偽造護(hù)照，也沒有利用這些數(shù)據(jù)。雖然Grunwald聲稱證實了RFID電子護(hù)照中基本的安全缺陷，但是許多RFID技術(shù)專家并不承認(rèn)其真實性。

智能卡聯(lián)盟是一個非盈利性的組織，其成員包括銀行業(yè)、金融服務(wù)業(yè)、計算機(jī)業(yè)和零售行業(yè)的超過185家公司，其中還包括Gemalto公司。Gemalto公司將提供美國電子護(hù)照中的RFID嵌入技術(shù)。該聯(lián)盟于周二進(jìn)行了電話會議，討論Grunwald的示范并就相關(guān)問題發(fā)表聲明。

為了保證協(xié)同性和基本級別的安全性，已經(jīng)或計劃簽發(fā)電子護(hù)照大約30個國家，都同意遵守由國際民用航空組織ICAO開發(fā)的協(xié)議規(guī)范，以創(chuàng)建必需的或可選的數(shù)據(jù)類型，并將其編碼嵌入每一個護(hù)照中。

ICAO的規(guī)范支持不同級別的保護(hù)，來降低電子護(hù)照中的數(shù)據(jù)在出入境讀取時遭到竊取的機(jī)率。只有在打開護(hù)照后，護(hù)照的網(wǎng)狀金屬內(nèi)層才放棄阻止護(hù)照內(nèi)嵌信息的讀取。為保護(hù)信息不被未授權(quán)方竊取，讀寫器的操作人員必須通過一個稱為基本訪問控制（注：Basic Access Control）的過程，即輸入已經(jīng)寫入護(hù)照上的密碼進(jìn)行解鎖，才能讀取標(biāo)簽。這個方法也用于對標(biāo)簽上的數(shù)據(jù)進(jìn)行加密。為訪問加密的標(biāo)簽數(shù)據(jù)，讀寫器也需要獲取正確的數(shù)據(jù)密鑰。據(jù)報道，Grunwald利用ICAO的網(wǎng)站上的規(guī)范得到了他所需要的信息來復(fù)制他的護(hù)照。

在電話會議中，智能卡聯(lián)盟的執(zhí)行官Randy Vanderhoof指出，電子護(hù)照芯片內(nèi)的編碼數(shù)據(jù)由簽發(fā)護(hù)照的國家進(jìn)行了數(shù)據(jù)簽名和加密，即便有人復(fù)制了這些數(shù)據(jù)也無法將其改變。按照Vanderhoof的說法，Grunwald所做的并不說明電子護(hù)照不安全，原因在于護(hù)照檢查人員仍能檢測護(hù)照芯片內(nèi)被編碼的照片信息，并將它與護(hù)照持有人進(jìn)行比較。他說，復(fù)制護(hù)照的內(nèi)嵌信息“在我們看來，和偷竊他人的護(hù)照把它作為自己的出入境證明一樣，沒有什么區(qū)別?！?/FONT>