Forskere fra University of Washington og IT-sikkerhetsselskapet RSA Security publiserte i forrige uke en rapport der de kartlegger sikkerheten rundt visse RFID-kort som USA er i ferd med å innføre: EPC RFID Tags in Security Applications: Passport Cards, Enhanced Drivers Licenses, and Beyond (pdf).

Av mest interesse for i Norge, er vurderingen av det elektroniske RFID-passet – United States Passport Card – som siden i sommer har vært brukt i grensekontrollen til lands og til sjøs, men som ikke aksepteres ved flyplasser.

Tanken er for eksempel at de som sitter i samme bil, tar fram sine RFID-pass, slik at de kan fjernleses. Dataene fra brikken får personopplysningene for hver passasjer opp fra grensekontrollens database, og vaktene kan sjekke at fotografiene de får opp, stemmer overens med ansiktene i bilen.

RFID-brikkene som er valgt til disse passene er av typen «Class-1 Gen-2». De koster mindre enn 0,10 dollar per stykk, og under gunstige forhold kan de avleses på mange meters avstand.

Brikkene lagrer ikke annen lesbar data enn et langt og unikt tall: Det er denne identifikatoren som brikken kringkaster når den aktiveres av en leser. For å få tak i personopplysningene knyttet til RFID-passet, må man også ha tilgang til innenriksdepartementets database. Kortene har påtrykt bærerens navn (dette er sladdet på bildet), men ikke et ansiktsfotografi.

For å verne mot uønsket avlesing, er de amerikanske RFID-passene utlevert med spesielle etuier som sperrer for radiosignaler.

I tillegg til de lesbare dataene, lagrer også brikkene en PIN-kode, slik at de kan brukes til å autentisere bæreren overfor visse tjenester. Denne PIN-koden spiller ifølge forskerne ingen rolle når kortene brukes som pass i grensekontrollen.

RFID-passenes store svakhet, er at den offentlig lesbare informasjonen kan fanges opp av en hvilken som leser. Det er nærmest trivielt å kopiere denne informasjonen til en blank brikke, og det er ikke spesielt vanskelig å skaffe seg store mengder med blanke brikker.

Det innebærer at det er lett for uvedkommende å stille opp med et falskt RFID-pass, og likevel bli godkjent av grensekontrollen. Ved en travel grensestasjon kan man vente at det vil være forholdsvis vanskelig å avsløre at fotografiet i basen ikke er identisk med ansiktet i bilen, forutsatt at man velger et offer som likner.

Brikkene som USAs innenriksdepartement har valgt, mangler en egenskap kjent som TID, for «tag identity». Dette er et tall som nedfelles fysisk i brikken, slik at man kan sjekke hvorvidt identifikatoren for personen passet gjelder, stemmer overens med identifikatoren for selve brikken. For å klone et RFID-pass med TID, må man altså endre brikkens nedfelte identifikator, noe som skal være svært vanskelig, ifølge forskerne. Men USAs RFID-pass har altså ikke denne ordningen.

Etuiene som skal beskytte passene fra uønsket avlesing, utgjør en betydelig svakhet. Erfaringen er at de krølles relativt lett: RFID-kort i krøllete etuier kan ofte avleses. Kortene inneholder ingen overbevisende forklaring på hvorfor etuiene er nødvendige – det står bare, slik det går fram av bildet ovenfor, at passkortet «bør oppbevares i sitt beskyttende etui når det ikke er i bruk». Folk vil naturlig nok tendere til å stappe passkortet sammen med andre kort, og følgelig miste vernet mot fjernavlesing.

En annen sosialt betinget svakhet knytter seg til grensekontrollørene. RFID-passene krever en like nitid ansiktskontroll som tradisjonelle pass. Kontrollører som opplever RFID-pass vesentlig som et effektiviserende tiltak, vil være tilbøyelige til å neglisjere den anstrengelsen denne kontrollen krever, og nøye seg med den automatiske registreringen av passene i det bilen kjører sakte gjennom kontrollen.

Forskerne peker videre på at det finnes flere måter å bruke falske RFID-pass på. Et falskt pass kan for eksempel plasseres i en bil uten at eieren vet om det. Ved neste grensepassering vil kontrollen registrere en identitet som ikke svarer til passasjerene i bilen, og sjåføren får et betydelig forklaringsproblem.

I tillegg til USAs RFID-pass, har forskerne undersøkt sikkerheten rundt et RFID-førerkort som er under innføring i flere delstater. Dette kortet har de samme svakhetene som passet, i tillegg til andre svakheter som ifølge forskerne gjør det særdeles lite egnet til formålet.