Pass med RFID-brikker kan knekkes fort

Den britiske avisen Daily Mail klarte å cracke britenes nye RFID-pass på bare fire timer.

Det nye britiske passet er utstyrt med RFID-brikke (Radio Frequency IDentification), som skal blant annet gjøre det sikkert. Den inneholder tre filer som kopi av persondata, kopi av bilder og en sikkerhetsfil som sjekker at de to andre filer ikke blir endret.

Men nå har den britiske avisen Daily Mail bevist at man kan stjele en persons identitet fra de nye sikre passene.

Informasjonen i RFID-brikken ligger i den såkalte »Machine Readable Zone«(MRZ), som er beskyttet av en krypteringsalgoritme. Dataene er beskyttet av MRZ-nøkkelen, som skal brukes for å kunne lese informasjonen.

Men med hjelp av IT-sikkerhetskonsulenten Adam Laurie kunne Daily Mail påpeke alvorlige feil i sikkerheten i MRZ, skriver Daily Mail.

For det første har en cracker uendelig mange forsøk til å bryte seg igjennom koden, i motsetning til for eksempel mobiltelefonen der kortet sperrer seg selv hvis man trykker feil kode for mange ganger.

I tillegg er det lett gjenkjennelig mønster i MRZ-nøkkelen. Både passets utløpsdato og fødselsdato er alltid en del av nøkkelen.

På bare to timer hadde Daily Mail sporet forsøkspersonenes fødselsdato på nettet. Deretter var det ingen sak å bryte krypteringen og få de personlige data ut.

Cracket tok i alt fire timer.

I Norge er det vedtatt at neste generasjons pass skal støtte ansiktsgjenkjenning med biometriske data. Både fingeravtrykk og bilder av ansikter skal oppbevares i et sentralt europeisk register som skal betjene hele Schengen-systemet. Dette skal gjøres tilgjengelig for politiet, som et virkemiddel for å bekjempe terrorisme og kriminalitet.

Til toppen