網聞 - 電子護照安全問題浮現

[飛鳥]

新聞提要：

為了防止恐怖分子有機可乘，美國和一些國家紛紛推出了高科技電子護照(E-passport)。然而，電腦專家近日指出，由於這些電子護照存在嚴重漏洞，犯罪分子可通過複製護照內置RFID芯片並取得其中的密碼，潛入到這些國家。

德國一家電腦安全公司的顧問盧卡斯﹒格倫沃爾德在美國拉斯韋加斯舉行的Defcon安全大會上，示范了如何將電子護照內儲存的個人資料復制到電腦晶片上。為期3天的Defcon安全大會吸引了世界各地的電腦專家們出席，并成為他們公布有關電腦和網絡設備弱點及黑客技術的會議。

格倫沃爾德先是對英國生物識別護照中存儲的信息進行克隆，然後把這些信息轉移到一張空白芯片上，隨後再嵌入假護照。他說，一套復制設備只需200美元(約 1580元人民幣)，他從試圖復制到成功完成也只花了兩周時間。他舉起手上的一枚電腦晶片說：“如果有一個自動檢查系統，我就可以利用這張卡進入任何國家。”

格倫沃爾德還表示：“生物識別護照計劃只是浪費錢，根本沒有提高護照安全性。”這一發現首先令英國政府耗資4.15億英鎊(約合62.25億人民幣)的高科技護照計劃遭受質疑。電腦專家們發現，黑客可輕易攻擊英國及其他一些國家發行的新版生物識別護照。

英國從今年3月起頒發新版護照，其中存有持有人面部特征、指紋、虹膜照片等信息。格倫沃爾德發現的設計缺陷，還影響到英國身份證計劃，因為身份證中儲存的個人信息不少與護照中相同。英國下院科技委員會上星期呼籲政府重新考慮生物識別身份技術。

英國內政部官員6日說，生物識別護照是全世界最安全的護照之一，盡管護照芯片中的數據沒有加密，但在未告知政府部門的情況下，個人無法更改數據。也就是說，芯片中的數據可能遭復制，但是更改或偽造信息行不通。


http://news.sina.com.tw/articles/14/.../20060808.html


鑑於近年來恐怖攻擊事件不斷，致使全球安全意識抬頭，歐美國家紛紛推出了電子護照(E-passport)。

電子護照是內建一顆特製的晶片，儲存個人生物辨識資料，包括護照持有人的姓名、地址、國籍、相片、數位化的指紋檔、出生年月日和出生地等個人相關資料，透過生物特徵掃描辨識身分，能節省出入境時間與人力，並可有效管控偷渡客、恐怖份子等所衍生的社會問題。另外，邊防與機場海關官員可利用RFID來協助辨別偽造證件，並把審核國際旅客的程序自動化。

生物辨識掃瞄，虹膜掃描需3.5秒、指紋需2秒、面貌需1秒，此種不具侵入性且快速的方式，讓國際民航組織（ICAO）希望成為國際通用。故配合國際民航組織（ICAO）推動生物特徵辨識人別的國家，包括法國、澳洲、荷蘭、日本、加拿大、德國、英國、新加坡、香港等國家。英國政府推行的高科技生物識別護照計劃，耗資4.15億英鎊。美國也打算在今年10月開始使用電子護照。

RFID已普遍應用於人員出入大樓管制、高速公路電子收費系統上，然而日前卻衍生出易遭複製的問題，也就是說可複製個人護照上的RFID標籤，再將資料寫入附有RFID晶片的智慧卡上。

雖然尚未發現直接入侵電子護照的方法，目前僅只能將資訊內容完全複製到其他晶片上，然而，目前的設計是只要護照稍微打開即可被RFID標籤辨識器偵測到，故駭客和不法分子易獲取到電子護照用戶的個人資訊，暗中侵入進而衍生出竄改其中數據，形成另一個國土安全的隱憂。因此，為免電子護照資料外洩，持續強化其安全性，應加強在電子護照非全開的狀態下無法被判讀，避免持有者不知情的狀況下被遠距讀取。