VIDEO Aveti pasaport electronic? Un expert roman in securitate IT sustine ca protectia datelor este slaba si cipul poate fi clonat / Ministerul Internelor spune ca datele necesare citirii pasaportului nu pot fi obtinute usor si ca timp de 4 ani nu s-au semnalat incercari de falsificare

de Adrian Vasilache     HotNews.ro
Joi, 31 ianuarie 2013, 17:33 Economie | Telecom

Cat de sigur este pasaportul electronic?
Foto: Arhiva personala
Datele primare (mai putin amprentele) inscrise pe cipul unui pasaport electronic romanesc pot fi citite in mod electronic, de la distanta, folosind produse legale disponibile public, iar nivelul de indemanare este unul mediu, avertizeaza Asociatia pentru Tehnologie si Internet (APTI), care prezinta demonstratia facuta de un expert roman in securitate IT. Totul cu un telefon cu tehnologia NFC (Near Field Communication), o aplicatie gratuita si o cheie de acces relativ usor de ghicit. Expertul sustine ca pe baza acestor date cipul ar putea fi clonat si s-ar putea intra fraudulos in unele tari. In replica, oficialii MAI spun ca datele necesare citirii pasaportului electronic nu ar fi usor de obtinut, ca ar fi imposibila clonarea cipului si ca nu au fost semnalate pana acum in tara cazuri de falsificare a datelor.

  • In Romania, pasaportul electronic a fost pus in circulatie la data de 31.12.2008 si nu este obligatoriu, existand alternativa obtinerii unui pasaport temporar, a carui valabilitate este de 12 luni. Pasaportul electronic are o valabilitate de 3 ani pentru persoanele cu o varsta de pana la 6 ani si 5 ani pentru persoanele care au implinit aceasta varsta. In cazul depunerii cererii la un serviciu public comunitar pentru eliberarea si evidenta pasapoartelor simple este de 276 lei (244 costul pasaportului si 32 lei taxa consulara).

"Dorim sa subliniem ca nu intentionam decat sa demonstram ca, in lipsa transparentei publice cu privire la programele guvernamentale din zona IT - si mai ales a celor care privesc elemente cheie de procesare de date personale, in lipsa unor standarde publice de securitate si protectie a datelor personale si fara o verificare regulata a indeplinirii acestor standarde, avem toate premisele ca aceste programe sa devina necredibile, din cauza unor erori majore de implementare si lacune de securitate evidente", explica Asociatia pentru Tehnologie si Internet (APTI), care a solicitat din partea unui expert independent in securitate IT o analiza a securitatii pasaportului electronic romanesc.

  • Cum se pot citi o parte din datele stocate pe cipul pasaportului electronic

Expertul IT Bogdan Alecu a demonstrat pe propriul pasaport electronic ca citirea datelor se poate face nu doar de catre aparate guvernamentale autorizate.

  • "Pentru a citi o parte din datele de pe cip e nevoie de un cititor NFC, softul pentru interpretarea datelor si informatiile din BAC (n.a. un mecanism de siguranta care protejeaza canalul de comunicatie dintre cip si cititor prin criptarea informatiilor transmise). Pentru ca nu avea rost sa ma complic cu un cititor performant, am ales sa folosesc propriul telefon cu NFC si softul celor de la Research Lab Hagenberg, NFC TagInfo. Dupa configurarea cheilor de acces din aplicatie, tot ceea ce a mai ramas de facut a fost sa pun telefonul peste pasaport. Dupa cateva secunde, cipul a fost citit si recunoscut a fi ePassport", explica Bogdan Alecu.

VIDEO Cum se pot citi anumite date de pe cipul pasaportului biometric:

Reading ePassport with phone from Msec Net on Vimeo.


"Realitatea e de fapt ca Basic Access Control (BAC) se face printr-o cheie ce se deriva din data nasterii detinatorului documentului, numarul pasaportului si data de expirare a acestuia. Acest lucru l-am putut afla urmarind diversele prezentari in cadrul conferintelor de securitate internationale", mentioneaza expertul.

Asa a putut sa acceseze toate informatiile privind:
  • Tipul documentului
  • Numarul documentului
  • Numele
  • Prenumele
  • Data nasterii
  • Nationalitatea
  • Sexul
  • Poza (cea facuta in momentul aplicarii pentru pasaport)
  • Tara emitenta
  • Data expirarii

I-au fost afisate apoi alte fisiere, dintre care si unele care sunt protejate suplimentar si despre care sustine ca "nu pot fi decodate, intrucat sunt protejate prin Extended Access Control (EAC) si ar fi nevoie de cheia privata. Aceasta cheie privata este emisa de catre fiecare autoritate guvernamentala".

  • Pe baza acestor date, cipul ar putea fi clonat - sustine expertul

De ce este grav ca a putut vizualiza aceste date?

  • "Din moment ce putem citi cipul, putem foarte simplu lua aceste date si modifica local, dupa care le scriem pe alt cip. Cu alte cuvinte, se poate clona acest cip. Singurul impediment il reprezinta datele protejate cu EAC (EF.DG3, EF.DG14) dar acestea se pot ignora pur si simplu si nu le mai scriem pe noul cip. Ganditi-va ca doar in cadrul Uniunii Europene este obligatorie prezenta acestor informatii, in celelalte tari emitente nu exista o astfel de cerinta", avertizeaza expertul.

Acesta subliniaza ca in tot mai multe tari se introduc la granita dispozitive care permit accesul automat.

  • "Ce reprezinta concret aceasta clonare? Din ce in ce mai multe tari introduc la granita asa numitele ￯porti inteligente - ce permit accesul automat in tara respectiva. Pentru a exista o compatibilitate cu celelalte tipuri de pasapoarte, majoritatea acestor porti citesc de pe cip doar acele elemente protejate prin BAC, dupa care compara imaginea stocata pe cip cu cea vazuta prin intermediul camerei. Daca cele doua se potrivesc, poarta se deschide si poti intra. Mai mult, unele se bazeaza pe raspunsul utilizatorului: ai doua butoane prin care confirmi sau infirmi daca cele doua imagini se potrivesc. Acum ganditi-va ca se face o clonare a unui chip si modificati numele si poza. Autoritatile locale vor sti ca a intrat in tara Elvis Presley", spune expertul care indica o situatie similara in Europa in care doi experti in IT au aratat ca se poate modifica informatia de pe cip astfel incat sa poti trece de 'portile inteligente'.

VIDEO Reportaj CNN, despre hibele pasaportului electronic



"Aceasta nu inseamna ca pasaportul biometric este inutil si nici ca o persoana rau-voitoare poate sa scaneze sute de pasapoarte doar mergand cu un cititor de cipuri pe aeroport. Dar inseamna ca nivelul de securitate estimat de autoritati nu este nici pe departe atins. Si ca cineva care are cunostintee tehnice medii spre avansat si doreste sa va ia datele din pasaport, o poate face daca nu va protejati suficient de bine", atentioneaza Asociatia pentru Tehnologie si Internet (APTI).

Asociatia spune ca din datele pe care le detine in Romania nu sunt folosite astfel de porti inteligente.

Ce spun autoritatile: Ministerul de Interne asigura ca datele necesare citirii pasaportului "nu pot fi obtinute usor"

Contactati de HotNews.ro pe marginea acestor informatii, oficialii Directiei Generale de Pasapoarte (DGP) din Ministerul Afaverilor Interne (MAI) au tinut sa asigure ca "pasaportul electronic romanesc corespunde tuturor standardelor internationale aflate in vigoare" si ca fara sa stii anumite date personale citirea unui pasaport este sortita esecului.

  • "(...) asa cum admite si persoana care sustine ca a efectuat experimentul, pentru a se putea accesa informatiile stocate in mediul electronic, sunt necesare o serie de date inscrise doar in interiorul pasaportului (date de identificare ale titularului si ale documentului prezente in zona citibila optic-MRZ). Prin urmare, fara a se cunoaste aceste date personale, orice incercare de a citi un pasaport electronic va esua".

Bogdan Manolea, directorul executiv al APTI, avertizeaza insa ca aceste date nu sunt chiar atat de greu de obtinut.

  • "Cele 3 date de care ziceam ca fac cheia de acces (data nasterii detinatorului documentului, numarul pasaportului si data de expirare a acestuia) sunt obligatorii de dat companiilor aeriene (care le transmit statelor unde calatoresti sau tranzitezi) inca din momentul rezervarii unui bilet de avion in multe tari din lume (SUA, Canada, Mexic, Correa de Sud, Japonia, Australia, Noua Zeelanda, etc.)", spune juristul Bogdan Manolea.

Cum raspund oficialii DGP din MAI?

  • "Datele necesare citirii pasaportului (...) sunt date cu caracter personal, astfel incat toti operatorii care le prelucreaza sunt obligati sa se supuna reglementarilor in vigoare. Prin urmare, consideram ca aceste date nu pot fi obtinute usor si nu pot fi folosite la o citire aleatorie a pasapoartelor electronice", sustin oficialii Directiei Generale de Pasapoarte.

  • Clonarea datelor din mediul de stocare electronic este imposibila, spun oficialii MAI

Cum ramane cu posibilitatea clonarii cipului? Se poate pacali "o poarta inteligenta" pe baza unui cip falsificat care sa nu contina amprentele? Autoritatile romane sustin ca acest lucru ar fi imposibil.

  • "Informatia stocata in mediul electronic este semnata cu un certificat digital conform mecanismului de autentificare pasiva (Passive Authentication) care are rolul de a asigura integritatea si autenticiatea datelor. Astfel, in aceste conditii, clonarea datelor din mediul de stocare electronic este imposibila. Parcurgerea cu succes a etapelor care se desfasoara intr-un punct de control in cazul unui pasaport electronic este posibila doar daca mediul de stocare este cel emis de o autoritate guvernamentala. In acest sens, la nivel interguvernamental, pe cale diplomatica, se efectueaza un schimb de certificate digitale", au precizat pentru HotNews.ro oficialii DGP din MAI.

Bogdan Alecu ii contrazice: Standardul mentionat de MAI pe care se bazeaza continutul cipului nu exclude posibilitatea clonarii datelor

In replica, expertul roman in securitate IT le atrage atentia oficialilor MAI ca insusi standardul mentionat de ei nu exclude posibilitatea clonarii cipului.

  • "Pentru a face acest schimb de certificate digitale prin ICAO PKD trebuie ca tarile sa fie inscrise in acest sistem. (...) Nu toate tarile au astfel de acorduri diplomatice. Tocmai pentru ca nu toate tarile fac acest schimb de certificate, sistemul automatizat de la granita face doar verificarea asupra integritatii datelor inscrise pe cip. Astfel este posibila semnarea datelor stocate printr-un certificat digital propriu, nu printr-un certificat digital emis de catre o autoritate guvernamentala. Datele inscrise pe cip-ul din pasaport nu pot fi modificate (pe acelasi cip) insa pot fi copiate pe un altul si, intrucat se detine controlul total asupra noului cip, aceste date pot fi modificate si semnate cu propriul certificat digital. Mai mult, insusi standardul mentionat de MAI atrage atentia asupra acestor lucruri:

"Passive authentication proves that the contents of the Document Security Object (SOD) and
LDS are authentic and not changed. It does not prevent exact copying of the chip content or
chip substitution. (Sursa)"

Drept raspuns, oficialii Directiei Generale de Pasapoarte au precizat ca "ICAO PKD doar faciliteaza schimbul de certificate digitale si nu inlocuieste schimbul interguvernamental pe cai diplomatice. (...) intrucat toate organizatiile guvernamentale cu atributii in emiterea sau controlul documentelor de calatorie electronice sunt obligate sa respecte standardele in vigoare pe linie de securitate, controlul presupune in mod obligatoriu mai mult decat verificarea asupra integritatii datelor. (...) concluzionam ca prin orice punct de control se poate trece cu succes numai cu un document emis de catre o autoritate guvernamentala".

Oficialii MAI subliniaza si aspectele de securitate fizica: Din decembrie 2008 si pana in prezent nu ne-au fost semnalate incercari de falsificare a datelor


In raspunsurile oferite HotNews.ro. oficialii DGP din MAI insista si asupra elementelor de siguranta oferite de suportul fizic al pasaportului.

  • "Nu in ultimul rand trebuie reliefat faptul ca, pe langa inserarea in mediul electronic de stocare a imaginii faciale a titularului documentului, aceasta se regaseste repetata, pe fila informatizata si pe prima pagina a documentului, de patru ori, falsificarea sau contrafacerea acestui document necesitand interventii multiple asupra zonelor urmarite cu predilectie de catre falsificatori.

Toate aceste elemente legate de conditiile de forma si continut ale pasapoartului simplu electronic romanesc coroborate cu capabilitatile tehnice ale mediului electronic de stocare ofera invulnerabilitatea acestui tip de document aspect care este sustinut si de faptul ca, de la punerea in circulatie a acestuia, la 31.12.2008, nu ne-au fost semnalate, de catre autoritatile cu competente pe linia controlului acestora, cazuri de incercare de falsificare, fie a datelor inscrise in mediul electronic de stocare (prin clonare sau prin orice alta metoda) fie a documentului in sine", au mai declarat oficialii Directiei Generale de Pasapoarte.  

Concluziile si solutiile propuse de expert/MAI spune ca mecanismul BAC va fi imbunatatit pana in decembrie 2014


Concluzia ar fi ca teoretic asa cum este implementat sistemul in tarile unde exista porti inteligente fara alte masuri suplimentare de detectie ar fi posibila trecerea frauduloasa a granitei.

  • "Modalitatea de protectie a datelor este una slaba si ar trebui ca toate pasapoartele sa contina aceleasi campuri (aceleasi fisiere) astfel incat un pasaport electronic din US sa nu difere de unul din UE - la portile inteligente sa fie verificate toate aceste informatii scrise pe cip. In prezent in tarile non-UE nu exista amprente stocate pe cip dar poarta inteligenta e aceeasi, astfel incat nu va verifica mereu si prezenta fisierului in care sunt stocate amprentele. Altfel spus este necesara fosirea unei infrastructuri de chei publice (PKI) la nivel global, astfel incat se va evita ca fiecare tara sa semneze cu propriul certificat datele stocate pe cip",a concluzionat Bogdan Alecu.

De altfel si oficialii DGP din MAI admit ca "standardele internationale privind documentele electronice de calatorie sunt supuse unui proces de imbunatatire, in conformitate cu progresul tehnologic. In acest sens, conform deciziei nr. 5499/04.08.2011, a CE, pana in decembrie 2014, mecanismul BAC va fi imbunatatit conform proiectului PACE".


Citeste mai multe despre   





Citeste pe Stirile ProTV

VIDEO "I-am caftit pana am obosit si eu". Educatoarele care isi dadeau sfaturi pe Facebook despre cum se snopesc orfanii

Apar acuzatii extrem de grave la adresa unor educatoare din Constanta, banuite ca ar fi snopit in bataie cativa orfani dintr-un centru de plasament. Femeile au intrat in atentia ''Directiei pentru Protectia Copilului'' dupa ce pe un site de socializare ar fi vorbit, fara frica, despre tratamentele socante aplicate elevilor.








11940 vizualizari
  • +10 (18 voturi)    
    Asta pentru ca (Joi, 31 ianuarie 2013, 18:41)

    Kappa [utilizator]

    la noi se pronunta intotdeauna niste birocrati inaintea specialistilor. Luati un specialist in criptografie (ii gasiti la facultatile de informatica sau matematica) si un inginer bun de la AC si o sa se vada c-asa-i. Adica exact pe invers decit spun specialistii Guvernului. Dar mintea costa, prostia-i pe gratis..
    • +9 (15 voturi)    
      (-1) Troll (Joi, 31 ianuarie 2013, 19:17)

      cristiroma [utilizator] i-a raspuns lui Kappa

      Daca ai fi citit TOT articolul, ai fi inteles ce se intampla:

      1. Toate pasapoartele similare au probleme (nu numai cele romanesti)
      2. Tehnologia a fost preluata, nu inventata de niste specialisti romani de la REMAT. Cu siguranta cei care au inventat-o erau cu mult mai destepti decat tine.
      3. Problema nu este in pasaport, ci in cititor, care nu contin cheile secrete pentru fiecare tara.
      4. Nu este clonare ci copiere. Deoarece datele private (criptate cu cheie simetrica) nu se pot copia. Deci poate fi detectata usor cu un cititor corect configurat.

      Du-te de te plimba!
      • +8 (8 voturi)    
        +1 (Joi, 31 ianuarie 2013, 22:33)

        Tovarasul_Mos_Craciun [utilizator] i-a raspuns lui cristiroma

        Cat ma bucur ca mai exista si oameni intregi la minte.
      • +2 (6 voturi)    
        Cine isi scrie BAC pe frunte ?! (Vineri, 1 februarie 2013, 9:30)

        Ritzi Pitzi [utilizator] i-a raspuns lui cristiroma

        "Basic Access Control (BAC) se face printr-o cheie ce se deriva din data nasterii detinatorului documentului, numarul pasaportului si data de expirare a acestuia."

        1. informatiile acestea sunt greu de aflat fara sa deschizi si sa citesti pagina de date a pasaportului.

        2. datele din cip sunt inutile atata timp cat nu exista si tiparite pe un alt pasaport cu cipul "copiat".

        3. controlul de frontiera nu se rezuma la a citi un cip si a pune o stampila.

        4. chiar nu s-a reusit falsificarea pasaportului electronic romanesc. Daca ar face-o cineva, fie si in scopuri experimentale, ar fi atat de bun, incat l-ar angaja orice producator de pasapoarte din lume.
        • +1 (1 vot)    
          Citeste de 100 de ori. (Vineri, 1 februarie 2013, 10:53)

          cristiroma [utilizator] i-a raspuns lui Ritzi Pitzi

          Si vei afla ca "Deriva" este cuvantul cheie in acea propozitie ...
          • 0 (0 voturi)    
            Stiu ce spun... (Vineri, 1 februarie 2013, 16:42)

            Ritzi Pitzi [utilizator] i-a raspuns lui cristiroma

            BAC este compus din fragmente ale datelor mentionate.

            Nu incerc sa conving pe nimeni, pentru ca sunt prea putini cei care ar intelege ca, acest sistem cu chip inclus in pasaport, nu a fost creat doar ca sa dea o tema de distractie hackerilor sau falsificatorilor, ci ca sa le dea cosmaruri...
  • +2 (10 voturi)    
    :)) (Joi, 31 ianuarie 2013, 19:05)

    artistul [utilizator]

    asadar s a plecat de la ideea cum ca noile pasapoarte nu pot fi falsificate daca au acest cip ... doar ca nu s-a ajuns acolo ci doar s-au cheltuit enorm de multi bani degeaba ... ca sa vina 2-3 IT-isti "plictisiti" sa se pipileasca pe marele lor proiect ...
    si ne mai intrebam cum draq am ajuns in criza ...

    Idee pentru antreprenori ... port-pasaport-ul care bruiaza dispozitivele NFC ... pentru protectia datelor personale
    :))

    si uite asa ne jucam de-a rasu-plansu ...
    • +2 (4 voturi)    
      Cușcă Faraday (Vineri, 1 februarie 2013, 10:43)

      Alex Danilaƒ [utilizator] i-a raspuns lui artistul

      se poate face și din folie de aluminiu. E mai mult decît suficient pentru a opri comunicația radio, deși nu sunt în stare să arăt niște calcule.
    • +2 (2 voturi)    
      Falsificat / Clonat (Vineri, 1 februarie 2013, 14:36)

      Dr. Fly [utilizator] i-a raspuns lui artistul

      Una este falsificarea, adica modificarea datelor ca ele sa ramana valide, alta e clonarea, deci doar copierea lor.

      De exemplu cardurile de credit cu banda pot fi clonate dar nu falsificate. De ce? Pentru ca informatiile adevarate sunt la emitorul cardului care e interogat la fiecare tranzactie. Daca eu modific numele din Gheorghe in Ion e clar ca el nu va mai fi in baza de date a Mastercard sau Visa pentru ca nu a fost niciodata inregistrat.

      Veti fi surprins cate lucruri pot fi clonate si de fapt toata securitatea lor este nula: cardul de intrat in camere la hotel, cheia radio de la masina :) (aia cu care deschideti masina :)) si altele. Oamenii de rand le iau drept foarte sigure doar pt ca nu stiu cum functioneaza. Din pacate cand stii, ajungi sa te temi si de propria umbra :))
    • +1 (1 vot)    
      Bruiere (Vineri, 1 februarie 2013, 14:44)

      Dr. Fly [utilizator] i-a raspuns lui artistul

      Apropo de bruiere si de ideea geniala de acum ceva vreme de a se bruia telefoanele mobile din scoli la bacalaureat.

      Este ILEGAL sa transmiti pe frecvente pe care nu ai licenta si este ILEGAL sa bruiezi canalele publice, chiar si pe frecventele libere. Un aparat de bruiat pe Wifi este asadar ilegal in UE si in multe alte state. Chiar daca e canal liber, orice emitator ca sa fie legal trebuie sa primeasca stampilele acelea multe si frumoase de pe spate: FCC, CE, etc.

      Fereasca sfantul sa se puna statii de bruiaj in scoli, unuia sa i se faca rau si sa nu poti chema o ambulanta nici din fata scolii, doar pentru ca bruiaza canalul.

      Deci ras-plans, atentie cu bruiajul.
  • +9 (17 voturi)    
    sa nu te apuce dracii? (Joi, 31 ianuarie 2013, 19:28)

    ralu83 [utilizator]

    vine omul care stie ce vorbeste si le explica frumos cum se poate clona dracia aia. Raspunsul celor din guvern: "nu e adevarat".
    Nu ar fi spus: "e o posibilitate, o verificam si revenim cu un raspuns". Ei direct: "nu e adevarat, noi stim mai bine. Plus argumentul suprem si imbatabil in mintea lor: "nu s-a inregistrat nicio tentativa de frauda".
    Da baieti, nu s-a inregistrat nicio tentativa de frauda nereusita. Cum e cu alea reusite? Pe alea de unde le inregistrati, din moment ce sunt reusite si automat nu va anunta nimeni ca un cip clonat a trecut de protocoalele de securitate?
    Iti vine sa iei toti Excel boys astia si sa-i dai cu capul de toti peretii. In teorie sunt cei mai destepti, au impresia ca ei stiu tot. In realitate rade de ei si un pusti de 14 ani cu un Samsung S3 cu NFC.
    • +2 (4 voturi)    
      Neinformare = PROSTIE = MANIPULARE (Vineri, 1 februarie 2013, 11:03)

      cristiroma [utilizator] i-a raspuns lui ralu83

      Nu a fost CLONAT ci UNELE DATE POT FI COPIATE!

      Deci NU s-a reusit CLONAREA. Clonarea prespune o copie identica, ceea ce NU ESTE ADEVARAT!

      Urasc oamenii care scriu titluri senzationale. Si pe cei care citesc si iau de bun.

      -- Think for yourself, question reality!
      • +1 (1 vot)    
        greseala mea (Vineri, 1 februarie 2013, 19:16)

        ralu83 [utilizator] i-a raspuns lui cristiroma

        am spus clonare in loc de copiere, luat de vartej. Pentru asta nu trebuie sa incepi sa jignesti.
        Ideea insa ramane. M-a luat vartejul pt ca eu sunt unul din oamenii care a avut de suferit de pe urma furtului de date personale din baze de date "sigure". Norocul meu a fost ca am putut dovedi ca nu aveam cum sa fiu eu autorul unor mizerii facute de niste baieti pe net. Desi a durat ceva. Nu-ti doresc asa ceva.
        Ca nu cloneaza pasaportul ok, fie. Dar ei spun ca TOATE datele sunt in siguranta. Baiatul ala tocmai a dovedit ca se pot copia date importante. Dupa faza patita, am aflat si eu ce se poate face cu un nume, un prenume, data nasterii si o serie de act de identitate. Crede-ma ca nu iti doresti sa puna cineva mana pe datele din pasaportul tau, inclusiv poza.
  • +13 (13 voturi)    
    Ce ne invata istoria? (Joi, 31 ianuarie 2013, 19:36)

    Dr. Fly [utilizator]

    Istoria ne invata cateva lucruri elementare de criptografie. Primul: nici o metoda nu este 100% sigura. Cauzele pt caderea (spargerea) unei metode criptografice sunt multiple:
    - puterea de calcul. Pe vremea romanilor criptarea romana abia daca putea fi sparta. Azi se face in secunde;
    - faptul ca algoritmul a fost secret sau implementat prost in hardware iar puterea metodei era faptul ca nu era cunoscuta. De indata ce a ajuns "pe net", totul s-a terminat;
    - vointa. Algoritmii cu chei publice astazi pot cere mii de ani de procesare daca am avea toti atomii din univers ca procesoare. Ceea ce insa nu se spune este daca nu cumva matematic nu exista niste back doors necunoscute. Intrebarea este insa daca o autoritate chiar vrea sa sparga datele criptate. Daca da, e posibil sa si gaseasca resursele.
    - social engineering. Daca nu poti sparge, mituieste pe cineva. Este de cele mai multe ori mai usor si eficient.

    In criptare ideea este sa gasesti metode mai puternice mai repede decat se pot sparge ele. De aceea privesc cu multa suspiciune cazurile prezentate drept "criptare perfecta". Nimic nu e perfect. Eu nu sunt specialist in criptare insa am mare admiratie pentru cei care sunt - si cunosc cativa cu ani grei de munca in domeniu. Intotdeauna cand nu sunt sigur sa am unde pune o intrebare.
    • +2 (2 voturi)    
      Daca-mi permiteti, (Joi, 31 ianuarie 2013, 21:07)

      Kappa [utilizator] i-a raspuns lui Dr. Fly

      Exact in ultimul alineat este ideea. Si Dvs.trebuie sa stiti ca toate au fost analizate si le-au fost localizate punctele slabe, de catre toti cei interesati (matematicieni, informaticieni si ingineri AC cu devla)
      L-ai prins, l-ai trosnit in punctul slab.
      Ai nevoie de putina putere de calcul si-i al tau.
      Cu respect.
      • +3 (3 voturi)    
        Puterea de calcul (Joi, 31 ianuarie 2013, 23:14)

        Dr. Fly [utilizator] i-a raspuns lui Kappa

        Am fost la o conferinta unde se discuta despre "legea lui Moore". Ideea este ca in cam un secol nu vom avea suficienta putere electrica sa pornim un calculator care ar avea performantele date de Moore. Iar in 350 de ani nu ne vor ajunge toate stelele din Univers :)
    • +1 (1 vot)    
      de ce sa stea datele pe pasaport??!?!?!? (Vineri, 1 februarie 2013, 12:15)

      dan matei [anonim] i-a raspuns lui Dr. Fly

      nu e mai simplu sa stea doar un ID unic pe pasaport?
      si masina care verifica citeste poza/datele dupa acel IDunic si gata... se uita la persoana respectiva sa semene cu cel care a prezentat pasaportul si PA

      astfel nimeni nu poate modifica/face un pasaport falsificat pt. ca trebuie sa spargi serverul... si ar trebui sa spargi superserver ceea ce e mult mai greu sa spargi/clonezi/rescri date de pe un chip fie el si criptat...
      • +2 (2 voturi)    
        Cititi mai jos (Vineri, 1 februarie 2013, 12:52)

        Dr. Fly [utilizator] i-a raspuns lui dan matei

        Mai jos am scris un comentariu destul de lung care sa va dea idee de ce nu e posibil. Sunt oameni cu ani grei de munca in security si care cred ca s-ar fi gandit la asta intr-o secunda. Tehnic nu e nici o problema. Politic e imposibil.

        In orice sistem informatic TREBUIE sa aveti in vedere psihologia. Ea va poate face viata usoara sau un cosmar. Degeaba exista un sistem daca oamenii il vor evita, chiar daca nu poate fi spart.

        Tehnologia vine in sprijinul omului si nu invers. Deci daca ceva tehnologic e implementabil dar social nu merge, nu va fi pus in aplicare.

        Cu stima.
  • +12 (12 voturi)    
    Nimeni! (Joi, 31 ianuarie 2013, 19:38)

    RedGuard [utilizator]

    Nimeni, spun eu, nimeni daca vrea sa-si faca pasaport fals, nu si-l face cu cetatenie romana! :D
    • +2 (2 voturi)    
      ===================== (Vineri, 1 februarie 2013, 11:57)

      Zede [utilizator] i-a raspuns lui RedGuard

      :))))))) gluma este foarte buna

      Din pacate, chiar daca nu meritam, suntem (inca) cetateni UE, deci merge si un pasaport fals romanesc.
  • +4 (4 voturi)    
    se stie de mult (Joi, 31 ianuarie 2013, 22:25)

    josusl [utilizator]

    Olandezii a fost probabil primii care au constatat asta.
    Pasaportul romanesc este bazat pe aceleasi principii deci nu e nicio surpriza....

    Www.theregister.co.uk/2006/01/30/dutch_biometric_passport_crack/
  • -1 (5 voturi)    
    intrebare (Vineri, 1 februarie 2013, 10:21)

    i77 [utilizator]

    De ce nu se doreste posibilitatea de a alege intre varianta pasaport cu un astfel de cip sau pasaport fara cip ? De mentionat ca pasaportul fara cip este de fapt unul temporar (1an) fata de cel care are cip (3ani). Este intr-un fel o MARE discriminare si o MARE bataie de joc pe banii nostrii, ai contribuabililor! Multumesc.
    • 0 (0 voturi)    
      sa inteleg... (Vineri, 1 februarie 2013, 12:20)

      miniME_ [utilizator] i-a raspuns lui i77

      ca ai citit printre randuri : pasaportul electronic are o valabilitate de 3 ani pentru persoanele cu o varsta de pana la 6 ani...in rest...e valabil 5 ani.
      Daca nu s-ar fi implementat posibilitatea de a nu avea un pasaport electronic, altcine ar fi sarit in sus, urland : discriminare !
      Si uite asa...e cam greu sa impaci si capra...si varza...
  • +2 (2 voturi)    
    ce o fi asa greu? (Vineri, 1 februarie 2013, 12:03)

    dan matei [anonim]

    trebuie sa contina o singura informatie: un ID unic... apoi masina care verifica de fapt sa se logeze la o baza de date si sa intoarca poza si datele persoanei... astfel modificarile neautorizate pot fi facute numai spargand serverul, nu spargand un cip... spartul unui cip e mult mai usor decat spertul unui server... noul pasaport nu e mai sigur deloc... doar are alt mediu de stocare a informatiei...
    • +2 (2 voturi)    
      ===================== (Vineri, 1 februarie 2013, 12:19)

      Zede [utilizator] i-a raspuns lui dan matei

      Daca stam sa ne gandim, asa merge foarte bine si amprenta proprie.

      Punem amprenta, apare poza noastra din server etc.

      Macar scapam de cozi :)
      • +1 (1 vot)    
        Cititi un pic mai jos (Vineri, 1 februarie 2013, 12:39)

        Dr. Fly [utilizator] i-a raspuns lui Zede

        Si va veti lamuri de ce tehnic e posibil, politic nu si nici nu va fi. Ierarhia politica contrazice o cerinta matematica si deci un astfel de sistem nu poate fi pus la punct.

        Cu stima.
    • 0 (4 voturi)    
      Autentificarea (Vineri, 1 februarie 2013, 12:31)

      Dr. Fly [utilizator] i-a raspuns lui dan matei

      Este bazata pe 3 piloni (ca la pensii): ceva ce ai (cardul de credit), ceva ce stii (PIN-ul) si ceva ce esti (irisul sau amprenta). Ganditi-va un pic si veti vedea de ce e asa.

      De asemenea cu cat securitatea e mai mare cu atat produce frustrare in randul utilizatorului. Fireste, am putea face o retea complet securizata, deconectata de la Internet in care datele se scot doar pe USB-uri care sunt scanate la iesirea / intrarea din incinta, etc. Da, este sigur, insa si frustrant. Ideea e sa faci securitatea la un asa nivel incat sa nu incurci dar sa isi faca si treaba de a securiza. Am vazut o firma in care fiecare conexiune a fiecarui calculator era VPN, chiar in segmentul local. Da: extrem de sigur, dar cerea putere de calcul sa ai sute de VPN-uri simultane criptate. Dar era necesar: era nivelul minim de frustrare corespunzator nivelului de securitate necesar.

      Sa revenim: ce autoritate va mentine acea baza de date despre care vorbiti? Daca fiecare stat isi face propria autoritate, va dori statul X sa furnizeze informatii despre cetatenii sai statului Y doar pe baza unui ID? Daca da, inseamna ca un cetatean din statul Y va putea citi datele despre cetatenii statului X, de la distanta.

      Daca doriti ca aceasta baza sa fie globala, inseamna ca orice stat va putea introduce sau scoate date din ea. Teoretic doar proprii cetateni, dar ... cum veti putea sti ca nu injecteaza date false in baza, voluntar sau fara stiinta (un atac)?

      In fond totul se va reduce la cotarea unei tari pe baza unui indice de incredere. Daca tara X are indicele mai mare ca Y, atunci poate sa modifice datele in sectiunea tarii Y, insa Y nu va putea pe X. Apare insa o problema: increderea e tranzitiva - daca A are incredere in B si B in C, atunci A are in C. Asa spune matematica. Rezulta ca nivelele de incredere sunt C>=B>=A. Deci A care nu are acord cu C trebuie sa ii acorde incredere vrand-nevrand.

      Ganditi-va la cardul de credit. Autentificarea Dvs nu e facuta de banca de la care aveti cardul.
      • +1 (3 voturi)    
        Clarificare (Vineri, 1 februarie 2013, 13:30)

        embgra [utilizator] i-a raspuns lui Dr. Fly

        Nu este vorba despre mentinerea unei baze de date cu absolut toti cetatenii ce detin un pasaport electronic. Ai inteles gresit.

        Se doreste de fapt o singura autoritate globala care sa emita acele certificate fiecarui stat in parte, urmind ca statul sa foloseasca acel certificat pentru semnarea datelor scrise pe cip. Asadar nu e vorba despre a transmite informatiile personale ale cetatenilor ci despre verificarea autenticitatii acestor date scrise, prin semnatura cu certificatul digital. In acest mod nu va mai fi nevoie ca statele sa faca schimb de certificate prin acorduri diplomatice si nici nu va mai fi problema ca un stat sa nu detina certificatele celorlalte state.
        • +1 (1 vot)    
          Pe baza caror informatii (Vineri, 1 februarie 2013, 13:54)

          Dr. Fly [utilizator] i-a raspuns lui embgra

          Pe baza caror informatii certifica aceasta autoritate? Pe baza faptului ca unul din state i-a zis initial ca sunt corecte. Altfel ea independent nu stie cine e Ion Ion din Pomarla. Romania i-a spus initial ca da, el e. Daca in SUA intra cetateanul iranuan Abdul Ahmed care are id-ul 12345678 si baza spune ca e ok pe baza informatiilor primite din Iran, atunci il lasati sa intre?

          Ceea ce atu facut dvs este sa mai puneti un intermediar, autoritatea globala. El insa matematic nu face nici o modificate de principiu. Statele nu vor sa cedeze aceasta verificare locala catre nici o autoritate si de aceea e necesara prezenta informatiilor pe cip.
        • +1 (1 vot)    
          Autoritate globala (Vineri, 1 februarie 2013, 14:07)

          Dr. Fly [utilizator] i-a raspuns lui embgra

          Pe lantul ca statul A trebuie sa aiba incredere in informatiile statului B puteti pune un miliard de autoritati care au incredere unele in altele. In final insa ele nu schimba problema. Deci: avem noi romanii incredere ca toate informatiile introduse in baza de americani sunt corecte de fiecare data cand baza spune doar atat "OK"? Daca da, au si americanii ca ale noastre sunt bune? Daca nu, sistemul nu merge global.

          Inca ceva: o autoritate globala - ce facem cand nu merge (pana de curent)? Varianta 1: tinem milioane de calatori pe loc pana se rezolva. Varianta 2: Facem backup. Partea proasta este ca cetateanului XY i s-a retras certificatul de "OK" cu o secunda inainte de caderea curentului. In baza mare el e "NOK" iar in backup e "OK" care dintre variante e corecta? Varianta 3: Punem datele lui direct in pasaport si ii facem verificarea offline.
          • 0 (0 voturi)    
            raspuns (Vineri, 1 februarie 2013, 16:11)

            embgra [utilizator] i-a raspuns lui Dr. Fly

            Nu stiu de unde ideea cu baza de date cu toti cetatenii. Aici e vorba strict despre certificate!
            http://en.wikipedia.org/wiki/Public-key_infrastructure
            • +1 (1 vot)    
              Din nou repet (Vineri, 1 februarie 2013, 17:58)

              Dr. Fly [utilizator] i-a raspuns lui embgra

              PKI-ul functioneaza doar pe baza tranzitiei increderii. Daca eu va trimit un document semnat cu o semnatura electronica, aveti incredere in el?

              Depinde. Daca e valid si aveti incredere in aceeasi CA ca si mine, e valid. Daca nu, nu.

              DECI: pentru a implementa un PKI la nivel statal, e necesar ca statele care cer aceste pasapoarte (SUA in special) sa aiba incredere intr-o autoritate globala, acea Certification Authority. Cand se va intampla asta? Niciodata.
            • +1 (1 vot)    
              Haideti sa va intreb ceva (Vineri, 1 februarie 2013, 18:04)

              Dr. Fly [utilizator] i-a raspuns lui embgra

              Vad ca va place ideea cu PKI-ul. Pentagonul sau Department of Defense unde isi face certificatele? La Verisign? =))

              Evident ca au propria agentie de certificare. De ce ? Ca sunt scumpe ? Nu. Pentru ca nu vor sa tranziteze increderea fata de un tert.

              Deci ceea ce e problema cu biometricele astea este doar fluxul increderii. Cat timp statele nu vor externaliza increderea catre o agentie globala, nu se poate implementa un PKI iar politic si social aceasta tranzitie este momentan imposibila. Iar fara aceasta tranzitie un PKI nu poate functiona matematic.

              Daca A are incredere in B, B nu are in A, C are in B si B nu are in C atunci relatia de incredere intre A si C nu este decidabila. Deci daca statele nu au incredere unele in altele la nivel global sau exista suspiciunea ca datele venite de la un stat nu sunt corecte, atunci un PKI nu se poate construi sau este nedecidabil.
        • +1 (1 vot)    
          Inca ceva (Vineri, 1 februarie 2013, 14:30)

          Dr. Fly [utilizator] i-a raspuns lui embgra

          Faptul ca aveti incredere intr-un sir de date gen "inaltime, ochi, statura, par, semne particulare, etc" sau intr-unul de tip "ok/nok", este EXACT acelasi lucru. Deci problema in care Dvs verificati la autoritate intreg sirul semnalmentelor si problema ca verificati doar un rezumat al lor (ok/nok) este acelasi lucru: adica trebuie ca fiecare stat sa aiba incredere in autoritate si autoritatea trebuie sa aiba incredere in fiecare stat. Ceea ce matematic spune ca fiecare stat are incredere in informatiile fiecarui stat. Sunt neputincios in aceasta privinta, asa este.
    • 0 (4 voturi)    
      Continuare (Vineri, 1 februarie 2013, 12:37)

      Dr. Fly [utilizator] i-a raspuns lui dan matei

      Ganditi-va la cardul de credit. Autentificarea Dvs nu e facuta de banca de la care aveti cardul. OK-ul daca respectivul card e valid sau nu il dau Visa, Mastercard, etc. - autoritati globale. Banca Dvs. spune doar daca banii sunt sau nu in cont. Astfel orice banca din lume a cedat partea de autentificare unui tert (Visa, Mastercard, etc) in care are incredere. Dvs nu ati semnat nici un contract cu acea autoritate. Pur si simplu orbeste automat aveti incredere in Visa doar pt ca banca Dvs are, iar Dvs aveti incredere in banca.

      Daca O este cetatean al statului X si vrea sa calatoreasca in Y, O are incredere in X, insa Y nu este obligat sa aiba incredere in X. Pentru a facilita calatoria TREBUIE matematic sa cedeze increderea. Ceea ce SUA nu va face niciodata.

      Concluzii: din pacate sistemul actual nu e perfect, insa vedeti ca e mai complicat pentru ca matematica nu ne lasa alta portita. Exista doar 3 variante ca sa fie cum spuneti Dvs, simplu si eficient:

      1. Toate statele sa cedeze increderea in pastrarea datelor unei autoritati globale;
      2. Unul din state sa devina autoritate si ceilalti sa i se subordoneze;
      3. Toate statele sa aiba nivel egal de incredere.

      Si toate trei sunt momentan imposibile.
      • +1 (1 vot)    
        Si casa nu credeti (Vineri, 1 februarie 2013, 12:48)

        Dr. Fly [utilizator] i-a raspuns lui Dr. Fly

        Ca informatiile sunt abureli, am urmatoarele certificari: CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CCSP (Cisco Certified Security Professional), CWSP (Cisco Certified Wireless Security Professional).

        Atentie insa, nu suntun expert in domeniul securitatii. Stiu doar sa o aplic si i-am inteles principiile. Insa eu nu am facut design de metode, haking sau vulnerabilitati. Cand vine vorba de ele trebuie sa ii intreb pe cei care se ocupa cu ele. Eu trebuie sa protejez sistemele de vulnerabilitati cunoscute nu sa descopar unele noi. Cei care au PhD in security sau in matematica se ocupa cu gasirea unor vulnerabilitati noi.
  • +1 (1 vot)    
    veche (Vineri, 1 februarie 2013, 12:22)

    Vuck [utilizator]

    Treaba-i veche.
    Se pune problema numai vis-a-vis de datele confidentiale care pot fi aflate/copiate intrucat chip-ul nu poate fi contrafacut cu alte date intrucat contine si o cheie de verificare criptata.

    Oricum, deja exista contramasuri pe care oricine si le poate lua:
    http://www.tombihn.com/PROD/TB0932.html
    sau:
    http://www.privacyprotectionfoil.com/?p=clanky/tit-passport-covers
    • +1 (1 vot)    
      Exact (Vineri, 1 februarie 2013, 14:58)

      Dr. Fly [utilizator] i-a raspuns lui Vuck

      Foarte bine spus, cu o miiiica mica mentiune, cuvantul "momentan": "intrucat chip-ul momentan nu poate fi contrafacut cu alte date intrucat contine si o cheie de verificare criptata"

      Nu stim pe viitor. Poate ca in 25 de ani nu va fi nici o problema si chipurile vor ramane, asa cum AES e de peste un deceniu si merge f bine.

      Deci toata aceasta problema este doar in jurul citirii unor date confidentiale aflate pe cipul respectiv, date pe care oricine azi si le da de bunavoie pe Facebook :P

      PS: Daca comunistii acum 30 de ani ar fi avut acces la datele pe care azi le punem pe web de bunavoie, nu ar mai fi fost necesara Securitatea, KBG, etc.
  • -1 (1 vot)    
    Pasul urmator (Vineri, 1 februarie 2013, 12:47)

    unul-altul [utilizator]

    Unul spune ca se poate falsifica, cei din guvern, o sleata de incapabili si hoti, spun clar si cu siguranta sfertodoctilor ca este imposibil. Nu ma preocupa neaparat daca poate sau nu fi copiat, citit, falsificat, etc. ci ma ingrijoreaza viitorul pas. Daca poate fi falsificat, pai sa vedem unde il putem "ascunde" ca sa nu mai fie. Locuri se gasesc prin tot corpul, sub forma unui micro-cip, fireste.
  • -1 (3 voturi)    
    Legalitate (Vineri, 1 februarie 2013, 13:00)

    Dr. Fly [utilizator]

    Un sistem informatic, oricat de bine pus la punct este, TREBUIE sa respecte legile statului in care activeaza. Nu sunt avocat sa comentez pe baza logicii acelor legi, insa ele TREBUIE respectate.

    In cazul unor sisteme informatice globale (cum ar fi o baza de date cu cetatenii) ele TREBUIE sa respecte legile tuturor statelor care activeaza in acest sistem. Altfel nu poate fi certificat sa functioneze, sau legile trebuie modificate pentru a-i permite functionarea.

    Veti rade poate insa daca o baza de date este stocata numai ca backup (copie de siguranta) pe teritoriul altui stat care nu e membru la sistemul informatic, datele TREBUIE (teoretic) sa respecte legile statului X, iar daca legatura dintre servere (cablul) trece pe teritoriul statului Y, datele ce curg prin cablu pot fi restrictionate daca nu sunt fie protejate (criptate) fie nu respecta legile statului Y.

    Discutam nu de probleme tehnice, ci legislative. Pasaportul biometric in faza actuala TREBUIE sa respecte legea in primul rand si mai apoi nivelele de securitate. Da, este poate ilogic pt multi ingineri, dar asa functioneaza planeta noastra acum. Ineficient si nesigur. Dar dpdv profesional eu nu fac comentarii asupra acestor lucruri.
    • +1 (3 voturi)    
      Raspuns (Vineri, 1 februarie 2013, 13:32)

      embgra [utilizator] i-a raspuns lui Dr. Fly

      Nu este vorba despre baza de date globala cu toti cetatenii ce au un pasaport ci doar despre certificatele emise. In acest moment ele sunt emise de fiecare stat in parte iar ceea ce se propune in articol este existenta unei singure autoritati emitente de astfel de certificate. Atit!
      • +1 (1 vot)    
        Aceasta entitate (Vineri, 1 februarie 2013, 13:56)

        Dr. Fly [utilizator] i-a raspuns lui embgra

        Politic si legal nu poate functiona pt ca ea trebuie la randul ei sa aiba incredere ca fiecare stat ii va da corect initial informatiile. Deci ajungem iar la transferul de incredere al unui stat catre altul.
      • +1 (1 vot)    
        CA - Certification Authority (Vineri, 1 februarie 2013, 14:17)

        Dr. Fly [utilizator] i-a raspuns lui embgra

        Haideti sa ne facem doua certificate: eu unul si Dvs unul. Semnam cu ele fiecare din noi un pdf si ni-l trimitem.

        Eu il semnez azi la ora 12:00, la ora 12:01 certificatul expira, la ora 12:02 Dvs deschideti pdf-ul si va spune ca certificatul e expirat. Dpdv legal ceea ce am semnat eu cu acel certificat este valid sau nu? In fond, la ora la care eu am semnat toate referintele erau ok.

        La ora 12:05 expira certificatul autoritatii de certificare (am fost neatent si nu l-am actualizat). La 12:06 primesc pdf-ul de la Dvs si la 12:07 imi cade curentul deci nu mai pot actualiza certificatul autoritatii. La 12:08 deschid pdf-ul de la Dvs. Este el valid? Cum il verific? In fond, certificatul care semneaza semnatura Dvs digitala e expirat, deci eu nu mai pot avea incredere in autoritatea de certificare.

        Cat timp suntem oameni, ne mai uitam, sunam pe telefon - nu tocmai sigur. Dar noi aici vorbim de masini.

        PS: Stiti ce bine e intr-o companie sa expire un certificat pe un router care se deconecteaza si deci nu isi mai poate instala actualizarea? Cum se rezolva? Simplu: mergi in persoana la el, il mangai, si ii introduci manual noul certificat.

        DA: Oamenii gandesc inginereste si logic si simplu si eficient. Cand insa trebuie sa faci un sistem global, constati ca nu il poti face cu baietii din clasa / birou, ca trebuie sa asculti de legile fiecarui stat. Iar SUA nu doreste sa asculte de nici o baza care sa ii spuna ca Ahmed Abdul este "OK" fara sa vada nimic in plus. Si in fond este dreptul fiecarui stat, asa cum e dreptul Dvs absolut sa nu urmariti nici un cuvent din ce am scris si chiar daca il urmariti sa nu aveti incredere in el. De ce? Pentru ca nici o autoritate intre noi doi nu mediaza increderea.
  • +1 (1 vot)    
    Ion Gheorge (Vineri, 1 februarie 2013, 14:25)

    Dr. Fly [utilizator]

    In cazul existentei unei autoritati globale de certificare a persoanelor in care fiecare stat isi certifica proprii cetateni, sa luam cazul lui Ion Gheorge.

    A ajuns azi la Chicago la ora 12:00. Ion Gheorghe sufera un accident in urma caruia e desfigurat. Iese din coma 6 luni mai tarziu si amprentele lui sunt distruse, fata arata altfel. Iese sau nu din SUA?

    Daca ii permitem sa iasa biometric, nu va primi acordul pentru ca americanii nu ii pot modifica aparentele in baza de date, conform cu "fiecare stat isi certifica proprii cetateni", iar romanii nu pot sa i le modifice pentru ca nu le au inca (omul nu poate pleca).

    Cazul este extrem de rar, insa daca il multiplicati cu numarul de calatori, inseamna cativa oameni tinuti degeaba pe aeroport, ore, poate zile in sir.

    Solutia: pasaport pe hartie cu pozele si actele operatiilor, iar americanii pot decide "offline" ca da, el este si il lasa sa plece. Cipul nu poate inlocui toate hartiile pe care le caram cu noi, chiar daca e uneori neplacut.


Abonare la comentarii cu RSS

Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Sâmbătă