(stále probíhá – v případě, že nám dokážete pomoct, neváhejte nás kontaktovat)
Prakticky jsme demonstrovali načtení nového slovenského biometrického RFID pasu. Pas je možné načíst libovolnou ISO14443A RFID čtečkou (pro náš experiment jsme použili levnou touchatag čtečku, kterou je možné zakoupit za 30 €).
Na načtení je potřebný MRZ kód, který je uveden na předposlední straně pasu. MRZ se skládá primárně z čísla pasu, datumu narození a datumu expirace pasu. Na základě osobních údajů lze MRZ i vypočítat. Se znalostí MRZ kódu je možné z pasu načíst:
- všechny osobní data uvedené v pase (EF.DG1)
- fotografii vlastníka (uloženou v JPEG) (EF.DG2)
MRZ kód ale nestačí na načtení:
- otisku prstu vlastníka pasu (EF.DG3)
- „Active Authentication Public Key Info“ (EF.DG15)
Pas nebyl nijak chráněný speciálním pouzdrem, takže ho bylo možné načíst v zavřeném stavu ze vzdálenosti 5 cm. V případě použití silné antény táto vzdálenost může být podstatně větší (až 10 metrů a bude nadále růst).
Pas vrací náhodný unikátní identifikátor (UID), takže ho není možné na dálku „fingerprintnout“ a tedy odhadnout výrobce (toto chování je možné emulovat čipovou kartou NXP JCOP 41 v2.2.1 72K RANDOM_UID).
Bez znalosti „Active Authentication Public Key Info“ pas není možné jednoduše vyklonovat.
Potřebné ověřit:
- jak se chovají dostupné čtečky biometrických pasů na Slovensku při chybném hash, digitálním podpisu, absenci AA informace (je možné, že akceptují i nedokonalý klon)
- je možné vytvořit nedokonalého klona na emulátor NXP JCOP 41 v2.2.1 72k RANDOM_UID, kdy se EF.DG3 a EF.DG15 vyhodí z passport indexu – bude tento klon nadále akceptovaný slovenskými čtečkami biometrických pasů?
- ověřit možnost útoku skrz postranní kanály (např. analýza napěťové stopy RSA v čase)
- analyzovat entropii MRZ:
datum expirace pasu při 10 letech = 3650 hodnot
datum narození (při odhade +/- 5 let) = 3650 hodnot
číslo pasu (2 alfaznaky + 7 číslic) = 25 * 25 * (10 ^ 7) = 6250000000 hodnot - je možné determinovat číslo pasu (jakým způsobem se přiděluje?)
Máte právo být informován o bezpečnosti technologií, které se dotýkají vašich osobních údajů!