ACLU Комментарии по электронным паспортам для Государственного департамента
4 апреля 2005 г.
Начальник юридического отдела
Управление паспортной политики
Служба планирования и консультирования
2100 Pennsylvania Ave., N.W.
3rd Floor
Washington, DC 20037
Re: Electronic Passports, RIN 1400-AB93
Начальнику юридического отдела:
Американский союз гражданских свобод настоящим комментирует и официально возражает против предложения Государственного департамента правило создание «электронных паспортов» путем включения чипов радиочастотной идентификации (RFID) в паспорта США. [1] Предлагаемое правило изложено в 70 Fed. Рег. 8305-8309, «Электронные паспорта», RIN 1400-A893. Эти чипы нарушают конфиденциальность американцев, подвергают их опасности со стороны террористов и преступников и обеспечивают ограниченное преимущество в плане безопасности. Вместо этого в стандартах паспортов США должен использоваться контактный чип, который можно прочитать только при контакте между считывателем и чипом.
Это решение смягчит многие из проблем, поднятых ниже, и лучше послужит интересам конфиденциальности и безопасности владельцев паспортов США.
RFID — это крошечные компьютерные чипы, которые при приеме радиосигнала от считывателя RFID используют энергию этого сигнала для передачи данных, которые они хранят. Эта технология быстро становится знакомой американцам благодаря таким приложениям, как пропуски в пунктах взимания платы за проезд, ключи-карты для входа в здания и другие «бесконтактные» приложения. Хотя Закон об усиленной охране границ от 2002 г. предписывает включение в паспорта машиносчитываемых биометрических данных, в нем не указывается, что Соединенные Штаты используют чип RFID. Мы настоятельно призываем вас отозвать предложенное правило по соображениям безопасности и конфиденциальности, изложенным ниже, и предложить новое правило, соответствующее Закону об усиленной охране границ, согласно которому в паспортах США будет использоваться контакт вместо RFID-чипа.
Конфиденциальность
Скимминг
Департамент не рассматривает серьезной опасности, которую размещение RFID в паспортах представляет для конфиденциальности американцев.
Единственная цель бесконтактной технологии — позволить считывать эти чипы на расстоянии. Предлагаемое правило предполагает, что данные не будут зашифрованы. В результате паспорт США будет транслировать индивидуальную идентификационную информацию для любого, у кого есть считыватель RFID, для кражи, процесс, называемый «скиммингом».0003
Скимминг представляет реальную опасность в соответствии с действующими паспортными стандартами США. Стандарты Международной организации гражданской авиации (ИКАО) (которые составляют основу для регулирования США) четко указывают на это. В стандарте ИКАО «Использование бесконтактных интегральных схем в машиносчитываемых проездных документах» говорится: «[a] максимальная сила электромагнитного поля, создаваемого машинным (РЧ) считывателем, устанавливается правилами с учетом соображений безопасности, расстояния считывания более 1 м непрактичны». Версия 4.0, стр. 12. Явный вывод заключается в том, что RFID можно считывать на расстоянии, значительно превышающем 1 метр, если не учитывать соображения безопасности.
Худшие первоначальные испытания показали, что технология RFID, которую намеревается использовать Государственный департамент, читается с расстояния до 30 метров; несмотря на заявление Государственного департамента о том, что эта технология может иметь только «очень короткое расстояние считывания, примерно четыре дюйма». Рег. 8305; Дзюнко Ёсида, 9 лет0024 Тесты выявили брешь в безопасности электронного паспорта — США не беспокоятся о копировании незашифрованных данных, ELECTRONIC ENGINEERING TIMES, 30 августа 2004 г. Угрозы безопасности, связанные с этим нарушением конфиденциальности, вполне реальны. Террористы, иностранные правительства или преступники могут осуществлять дистанционное наблюдение или нацеливаться на американцев. По сути, эти паспорта будут изображать гигантские бычьи глаза на спинах всех, кто их носит.
Заявление Департамента о том, что эта информация не заслуживает защиты, поскольку она «просто состоит из информации, традиционно и наглядно отображаемой на странице паспортных данных» в лучшем случае лицемерно, а в худшем — опасно.
Владельцы паспортов всегда имели возможность решать, кому показывать свои паспорта. Это дает им возможность защитить свою личную информацию от других людей, таких как террористы, преступники и любые другие лица, которые могут иметь к ним злые намерения. Паспорта содержат чрезвычайно ценную информацию, включая дату и место рождения человека. Эти данные были бы бесценны для похитителя личных данных, поскольку их можно было бы использовать для получения доступа к свидетельству о рождении человека. Недавнее раскрытие личной информации компанией ChoicePoint Inc. подчеркивает опасность, которая может возникнуть в результате ненадлежащего раскрытия этих типов личной информации. ChoicePoint — это агрегатор данных, который собирает обширные досье с информацией о гражданах США для использования бизнесом и правительством. Эта компания продала личную информацию о 145 000 американцев похитителям личных данных, что привело к более чем 7000 случаям кражи личных данных. Хотя ChoicePoint собирает большую часть своей информации из общедоступных записей, ясно, что сбор этой информации и ее раскрытие без надлежащего разрешения, тем не менее, нанесли большой ущерб.
Мягкое заверение Департамента о том, что «[b] к моменту выдачи первого электронного паспорта Департамент намеревается добавить в паспорт функцию защиты от скимминга»» не обнадеживает. Опасности скимминга уже стали предметом серьезного общественного беспокойства. Эксперты по безопасности, производители RFID и правозащитные группы возражали против отсутствия мер, принятых для обеспечения конфиденциальности и безопасности этой информации. См. Matthew L. Wald, . Новые паспорта высокотехнологичных компаний вызывают опасения по поводу слежки, THE NEW YORK TIMES, 29 ноября., 2004; John Carey, Big Brother’s Passport to Pry, BUSINESSWEEK, 5 ноября 2004 г. Точно так же ACLU опубликовал официальный документ, в котором резюмируются многие потенциальные проблемы с RFID в паспортах. Он доступен по адресу: www.aclu.org/passports. Функция, которая играет центральную роль в обеспечении безопасности документа, ежегодно приобретаемого более чем 7 миллионами американцев, должна быть предметом тщательного изучения и общественного обсуждения, а не навязываться с запозданием.
Подслушивание
Непродуманное решение Государственного департамента использовать незашифрованную технологию RFID не может быть улучшено за счет принятия каких-либо мыслимых мер по борьбе со скиммингом. Помимо скимминга, RFID подвержены проблеме перехвата информации третьими лицами при ее передаче от чипа к считывателю — то, что Государственный департамент называет подслушиванием. Обоснование безопасности Государственного департамента о том, что подслушивание трудно осуществить в порту въезда, потому что необходимое оборудование будет видно, неубедительно по трем причинам. Во-первых, это тот простой факт, что технологии неизбежно продолжают развиваться, и это развитие почти всегда приводит к появлению более компактных и мощных устройств, упрощающих тайное чтение.
Во-вторых, предложенное Государственным департаментом правило также не учитывает того факта, что порты въезда, скорее всего, не будут единственным местом, где паспорта будут считываться в электронном виде.
В других неконтролируемых условиях считыватели могут быть затенены или спрятаны, чтобы обеспечить непрерывное прослушивание. Как отметила Техническая консультативная группа ИКАО в своем отчете «Биометрическое развертывание машиносчитываемых проездных документов», эти новые паспорта, вероятно, будут использоваться и в других целях. В отчете отмечается, что «владельцы паспортов могут пожелать использовать свой паспорт в качестве удостоверения личности при открытии банковского счета и предложить банку проверить их [чип] на фоне их паспорта». Версия 2.0, стр. 51. Паспорта также часто используются для подтверждения личности при выполнении таких задач, как бронирование номеров в отелях. В целом вполне вероятно, что частный сектор будет чаще использовать эти документы, удостоверяющие личность, со временем, как это произошло с водительскими правами. Когда паспорт используется для функций, не связанных с границей, он особенно уязвим как для скимминга, так и для прослушивания.
В-третьих, предложенное Государственным департаментом правило подразумевает, что подслушивание будет затруднено из-за необходимости «специально разработанного считывателя, снабженного надлежащим открытым ключом».
подлинность документа путем расшифровки «хэша» исходных данных. Цифровая подпись может быть легко скопирована без открытого ключа, даже если она не может быть аутентифицирована. Использование ключа никак не предотвратит массовый просмотр паспортных данных — личной информации, цифровой подписи и всего остального. В любом случае, правильный открытый ключ будет нетрудно получить. Как отмечает ИКАО в своем отчете PKI для машиносчитываемых проездных документов Предлагая доступ к ICC только для чтения, ИКАО сделает эти ключи доступными на веб-сайте, и «НЕ ДОЛЖЕН осуществляться контроль доступа для чтения PKD [каталог открытых ключей] (например, с целью загрузки информации PKD). ).”” Версия 1.1, стр. 14 (выделено в оригинале). С тысячами считывателей, находящихся в обращении по всему миру, и открытым ключом для доступа к чипам, загружаемым с незащищенного веб-сайта, трудно согласиться с выводом Государственного департамента о том, что информация о паспортных RFID-чипах останется в безопасности.
Безопасность
Помимо внутренней угрозы конфиденциальности, технология RFID представляет собой плохую меру безопасности по ряду других причин.
Сбой чипа
Государственный департамент не убедительно продемонстрировал, что чипы RFID будут работать в течение полных 10 лет, в течение которых действительны паспорта США. Как заявляет ИКАО, «большинство приложений для чипов предполагают, что срок действия чипа/смарт-карты составляет 2-3 года — то, как такая технология будет работать в течение 5-10 лет, еще предстоит проверить в реальных приложениях, поскольку технология, как правило, не была развернута с потребителей за этот период времени» 9 .0024 Биометрическое развертывание машиносчитываемых проездных документов, версия 2.0, стр. 47. Фактически, ИКАО рекомендует государствам рассмотреть вопрос об изменении срока действия своих проездных документов с 10 до 5 лет. Там же. США продолжают практику предоставления паспортам срока действия в течение 10 лет, и предлагаемое правило не требует, чтобы владельцы паспортов заменяли свои паспорта в случае выхода из строя их чипов.
Таким образом, если ИКАО права и количество отказов со временем резко возрастет, паспорта с неработающими чипами станут обычным явлением. Любой, кто хочет обойти эту меру безопасности, может просто отключить чип, не привлекая повышенного внимания со стороны сотрудников службы безопасности. Кроме того, пассажиры, которые не знают, что их паспортные RFID-чипы вышли из строя до прибытия в аэропорт или порт въезда, могут столкнуться со значительными задержками или сбоями в пути. Это может привести к существенному истощению экономики страны и сокращению туризма.
Клонирование
Ничто в предлагаемом правиле не препятствует «клонированию» этих паспортов – снятию данных с чипа паспорта, а затем их полному копированию на другой чип RFID. Таким образом, это предлагаемое правило является рецептом фальсификации катастрофы. Как мы отмечали выше, скимминг и подслушивание — вполне реальные возможности RFID. Таким образом, фальшивомонетчик может скопировать данные с чипа владельца паспорта и точно воспроизвести их.
Данные, снятые с паспорта, также могут быть использованы для подделки дубликата фактического физического паспорта, поскольку вся необходимая для этого информация, включая фотографию субъекта, будет храниться «свободно и четко» на метке RFID.
Стоимость
Предлагаемое правило не касается значительных новых затрат, связанных с включением RFID-чипа в паспорта. Согласно документам, полученным ACLU по запросу в соответствии с Законом о свободе информации, Фрэнк Мосс, заместитель помощника госсекретаря по паспортным службам, заявил в своей речи в 2003 году, что RFID-чипы, вероятно, увеличат расходы правительства на изготовление паспортов с 2,40 долларов до диапазона паспортов в 2,4 доллара. от 6 до 10 долларов. Кроме того, Государственный департамент заявил, что заменит любой паспорт со сбоем чипа. Это обязательство сопряжено со значительными неизвестными затратами, поскольку, как отмечалось выше, долгосрочная жизнеспособность чипов RFID еще не была проверена в реальных приложениях и может быть нереалистичной в течение 10-летнего периода.
Замена чипа, вероятно, будет реальной и постоянной стоимостью. Ограниченные преимущества безопасности и эффективности по сравнению со значительными затратами на конфиденциальность и безопасность, связанные с RFID, делают эту повышенную стоимость плохим компромиссом.
Заключение
Государственному департаменту США следует отказаться от использования RFID в паспортах. Эти опасные электронные паспорта передают личность, увеличивают риски для американцев за границей и обеспечивают лишь сомнительные преимущества в плане безопасности и эффективности. Вместо этого Государственному департаменту следует отозвать предложенное правило и предложить новое правило для паспортных стандартов, которое будет предусматривать использование контактного чипа, который может быть прочитан только при контакте между паспортом и считывателем. Такая технология могла бы смягчить большую часть проблем, высказанных выше, и значительно улучшить конфиденциальность и безопасность американцев.
С уважением,
Лаура Мерфи
Директор, Законодательное управление штата Вашингтон
Кристофер Калабрезе
Советник, программа «Технологии и свобода»
Барри Стейнхардт
Директор, программа «Технологии и свобода»
9000 2 Тимоти Спарапани
Законодательный советник, Законодательное управление штата Вашингтон
[ 1] Технически это не чипы RFID, а чипы «бесконтактной интегральной схемы». Настоящие RFID транслируют только идентификационный номер, а чипы, которые будут помещены в паспорта, будут содержать гораздо больше данных. Тем не менее, термин «RFID» быстро становится общеизвестным, поэтому в этих комментариях мы будем называть эти чипы RFID, несмотря на эту техническую разницу в определении.
Паспорта становятся высокотехнологичными
Эти маленькие синие книжки становятся высокотехнологичными.
В августе прошлого года Государственный департамент начал вводить паспорта со встроенными компьютерными чипами.
«Электронные паспорта» предназначены для предотвращения подделки паспортов и ужесточения пограничного контроля, и, согласно прогнозам, к 2017 году каждый владелец паспорта США будет иметь такой паспорт.
делает граждан США уязвимыми для террористических атак и кражи личных данных.
Электронный паспорт работает следующим образом: чипы содержат ту же информацию, что и на внутренней стороне текущего документа: имя, место и дату рождения, номер паспорта, дату выдачи и срок действия, а также цифровую фотографию лица, первый биометрический образец, когда-либо включенный в официальные проездные документы США. Все зашифровано цифровым способом.
Когда путешественник приближается к пограничному контролю, официальные лица разблокируют информацию на чипе с помощью специализированных считывателей радиочастотной идентификации (RFID). Убедившись, что электронная информация совпадает с напечатанной обычными чернилами в паспорте и что ваша кружка совпадает с обеими фотографиями, чиновники проштампуют ваш паспорт и отправят вас в путь.
Звучит достаточно просто и безопасно.
«Электронный паспорт, вероятно, является самым безопасным документом, который мы когда-либо выпускали», — говорит Энн Барретт, исполняющая обязанности заместителя помощника секретаря по паспортным службам в Бюро консульских дел Государственного департамента США.
Но другие не так уверены. Барри Стейнхардт, директор проекта «Технологии и свобода» в Американском союзе гражданских свобод, утверждает, что, поскольку считыватели RFID легко найти и заплатить за них — быстрый онлайн-поиск показывает широкий ассортимент для продажи, начиная примерно с 600 долларов, — любой может просмотреть информацию. снять паспорт прохожего и использовать его для планирования кражи личных данных или громких похищений.
«Чип RFID может и будет скомпрометирован», — говорит Стейнхардт. «Его можно прочитать удаленно и клонировать, и поэтому он является приманкой для воров личных данных и террористов. Вы действительно хотите путешествовать по Амману, Иордания, с паспортом, который идентифицирует вас как американца?»
Барретт отмечает, что различные элементы безопасности, от металлического экрана против скимминга на обложке паспорта до базового контроля доступа, который ограничивает количество считывателей, с которыми будет связываться чип, «смягчили обстоятельства, при которых люди могут получить доступ к информацию.
И даже если бы они могли, это не данные, которые мы считаем конфиденциальными, такие как адрес или номер социального страхования», — продолжает она. «Эта книга — новое поколение безопасности».
Надежный или нет, электронный паспорт может стать неожиданной находкой для охранных фирм и их инвесторов. Базирующаяся в Вашингтоне исследовательская корпорация внутренней безопасности прогнозирует, что к 2015 году глобальный рынок внутренней безопасности и внутренней обороны утроится и составит почти 180 миллиардов долларов. Ожидается, что биометрия будет играть важную роль на этом растущем рынке.
Джоэл Шоу должен знать. Шоу созвал комитет для разработки электронного паспорта в сотрудничестве между Международной организацией гражданской авиации, базирующейся в Монреале организацией Организации Объединенных Наций, и Международной организацией по стандартизации, базирующейся в Женеве организацией, которая координирует разработку и внедрение стандартов во всех странах. разнообразные отрасли.
Электронный паспорт находится на пути к тому, чтобы стать глобальным требованием для путешествий — 26 октября США установили крайний срок для 27 стран Европейского Союза и других безвизовых стран, чтобы подготовить технологию для выдачи электронных паспортов своим гражданам. Если они пропустят срок, иностранные граждане, которые когда-то могли въезжать в США без визы, теперь могут быть обязаны подавать документы. Исключение из США — это высокая цена, поэтому технологические компании, которые могут разрабатывать и производить технологии для создания, защиты и считывания этих паспортов в сотнях аэропортов в десятках стран, будут в хорошем положении.
«Возможность получить существенную прибыль», — говорит Шоу.
К счастью, Шоу также является директором по стратегии частной компании Cryptometrics, расположенной в Такахо, штат Нью-Йорк, которая специализируется на предоставлении биометрических решений для обеспечения безопасности границ.
Cryptometrics подписала контракт на поставку Новой Зеландии технологии электронных паспортов, а также заключает сделки с другими странами.
Leave a Reply