rk3745 rk3745
344
BLOG

Analiza ryzyka dla dowodu elektronicznego (1)

rk3745 rk3745 Technologie Obserwuj notkę 9
BLOG

1. Oszustwa związane z weryfikacją tożsamości na podstawie dowodu elektronicznego

Dowód elektroniczny to plastikowa karta z wbudowanym komponentem elektronicznym. Tożsamość obywatela w elektronicznym dowodzie określają trzy typy atrybutów:

  • identyfikatory urzędowe (nadane lub zatwierdzone przez urzędy): imię, nazwisko, data urodzenia, miejsce urodzenia, imiona rodziców, adres zameldowania, PESEL
  • cechy charakterystyczne wyglądu: obraz twarzy, płeć, wiek, wzrost, kolor oczu
  • cechy biometryczne(w postaci cyfrowej): geometria twarzy, linie papilarne, etc.

Identyfikatory urzędowe są umowne i większość z nich może być zmieniona. Dowód osobisty wiąże cechy charakterystyczne wyglądu i cechy biometryczne właściciela dowodu z jego identyfikatorami urzędowymi.

Sprawdzenie tożsamości na podstawie dowodu polega na porównaniu cech charakterystycznych wyglądu na dowodzie z rzeczywistym wyglądem osoby podającej się za jego właściciela. Jeśli cechy charakterystyczne osoby na dowodzie pokrywają się z jej wyglądem i dowód nie jest podrobiony, to uznajemy prawdziwość identyfikatorów urzędowych.
Jeśli dowód zawiera wzorzec cechy biometrycznej to można dodatkowo sprawdzić czy próbka biometryczna zeskanowana z osoby podającej się za właściciela dowodu jest zgodna z tym wzorcem.

Oszustwa fałszowania tożsamości bazujące na dowodzie można podzielić na dwa typy:

  1. Z użyciem dowodu oryginalnego. Oszust podobny do właściciela dowodu posługuje się jego dowodem.
  2. Z użyciem dowodu fałszywego. Na dowodzie cechy charakterystyczne wyglądu są zgodne z wyglądem oszusta. Identyfikatory urzędowe są fałszywe.

Zwiększanie szczegółowości cech charakterystycznych wyglądu przeciwdziała oszustwom pierwszego typu. Im większa czytelność cech charakterystycznych wyglądu na dowodzie tym trudniej oszukać. Silnym mechanizmem zabezpieczającym przed oszustwem tego typu jest weryfikacja cech biometrycznych.

Do dokonania oszustwa drugiego typu mogą być użyte różne rodzaje fałszywych dowodów:

  • dowód oryginalny z przerobionymi danymi
  • dowód oryginalny z nieprzerobionymi danymi, które są fałszywe (taki dowód można zdobyć przez wykorzystanie słabości procesu wydawania dowodów)
  • dowód podrobiony (na podrobionym blankiecie)

2. Fałszowanie danych w dowodzie elektronicznym i fałszywe czytniki

Dowód elektroniczny jest personalizowany wizualnie i elektronicznie. Personalizacja wizualna może być wykonana tylko raz jeśli dowód ma być zabezpieczony przed przerabianiem nadruku. Dane elektroniczne można zapisać jednorazowo lub wielokrotnie w zależności od tego czy nośnik pamięci komponentu elektronicznego umożliwia kasowanie danych czy nie (ryzyka związane z nośnikami pamięci jednorazowego zapisu są pominięte).

Jeśli informacje zapisane elektronicznie są podzbiorem informacji nadrukowanych, to komponent elektroniczny jest tylko dodatkowym zabezpieczeniem przed podrabianiem nadruku. Pełna weryfikacja tożsamości osoby możne być przeprowadzona bez elektronicznego czytnika. Dodatkowe sprawdzenie polegające na porównaniu danych z komponentu elektronicznego z danymi nadrukowanymi warto wykonać gdy są wątpliwości co do prawdziwości samego dowodu. Gdy dane elektroniczne są podzbiorem danych nadrukowanych to występują te same problemy bezpieczeństwa co w przypadku dowodu spersonalizowanego tylko wizualnie.

Jeśli nadruk na dowodzie zawiera mniej informacji niż komponent elektroniczny to bez specjalnego czytnika nie można przeczytać informacji zapisanych tylko w postaci elektronicznej.
Powstaje zagrożenie użycia fałszywego czytnika, który będzie wyświetlał inne dane niż zapisane w komponencie elektronicznym. Łatwiej jest przerobić lub podrobić czytnik aby wyświetlał fałszywe dane niż sfałszować dowód. To zagrożenie można wyeliminować poprzez korzystanie tylko z własnego czytnika. Zatem każda osoba, która będzie sprawdzać informacje z dowodu na podstawie czytnika powinna dysponować własnym czytnikiem.

Ryzyko fałszywego odczytu danych elektronicznych powstaje także w przypadku gdy komponent elektroniczny w oryginalnym blankiecie dowodu został usunięty i w to miejsce wmontowany inny. Do podmiany można użyć podrobionego lub oryginalnego komponentu z innego dowodu.
Nie jest możliwe zabezpieczenie się przed tym oszustwem tylko za pomocą środków technicznych. Osoba odczytująca konkretną informację z komponentu elektronicznego powinna dodatkowo organoleptycznie sprawdzić czy nadrukowane identyfikatory urzędowe pokrywają się z ich kopiami w komponencie elektronicznym.

Źródłem największych problemów bezpieczeństwa w dowodzie elektronicznym jest funkcjonalność umożliwiająca kasowanie i wielokrotne zapisywanie danych w pamięci komponentu elektronicznego.


3. Zagrożenia dla danych w komponencie elektronicznym dowodu

W analizie zagrożeń dla danych w komponencie elektronicznym zostały przyjęte następujące ograniczenia:

  1. właściciel dowodu nie może zmieniać danych zapisanych w pamięci komponentu elektronicznego
  2. zmiany danych w pamięci komponentu elektronicznego mogą dokonywać tylko uprawnione urzędy
  3. zmiany danych mogą być dokonywane tylko w trakcie wizyty obywatela w urzędzie (pozbawienie obywatela dowodu na dłuższy okres czasu jest nieakceptowane). Zmiany danych w dowodzie będą wykonywane w co najmniej kilku tysiącach lokalizacji w Polsce (jest to konsekwencja wymogu 3)

3.1 PIN nie jest wystarczającym zabezpieczeniem przed nieautoryzowaną zmianą danych

PIN jest praktycznie jedynym sposobem kontroli dostępu do operacji kasowania i zapisu danych w kartach mikroprocesorowych. W przypadku kilkudziesięciu milionów dowodów powstaje realny problem zarządzania PINami. PINy mogą być generowane według dwóch polityk. W pierwszej dowody będą miały różne PINy a w drugiej takie same. Ponadto trzeba rozstrzygnąć czy PIN będzie dostępny urzędnikom czy tylko właścicielowi dowodu.

Gdy PIN we wszystkich dowodach jest taki sam to pojawia się poważne zagrożenie dla jego poufności. Jeśli byłby udostępniony urzędnikom w kilku tysiącach lokalizacji w celu dokonania zapisów w komponencie elektronicznym dowodu, to nie jest możliwe zachowanie jego poufności przez wiele lat. Takie rozwiązanie nie może być przyjęte.

Gdy dowody mają różne PINy i są one dostępne urzędnikom, to powstaje wiele skomplikowanych problemów organizacyjno-proceduralnych związanych z udostępnianiem PINów z centralnej bazy. Dodatkową komplikacją procesu zarządzania PINami jest możliwość ich wielokrotnego zmieniania w cyklu życia blankietu dowodu.

Udostępnienie PINów urzędnikom dokonującym zmian danych w dowodach tworzy najpoważniejsze zagrożenia dla ich poufności. Jeśli kilka tysięcy urzędników będzie mogło poznać PIN konkretnego dowodu, to jego poufność będzie poważnie zagrożona. Uzyskanie PINu dowodu przez przekupienie wybranego urzędnika nie będzie problemem. Jeśli duża liczba urzędników może mieć dostęp do PINów to rozwiązanie z różnymi PINami ma także bardzo poważne wady. PIN powinien być znany tylko właścicielowi dowodu elektronicznego.

W przypadku kilkudziesięciu milionów dowodów sam PIN nie jest wystarczającym zabezpieczeniem przed nieautoryzowanymi zmianami danych w komponencie elektronicznym.

Koniec części pierwszej. W drugiej będą zaproponowane zabezpieczenia mitygujące omówione zagrożenia.
 

rk3745
O mnie rk3745

Kontakt: rk3745@gmail.com Pozostałe teksty: 1. Fotoradary: Automatyczny wymiar sprawiedliwości 2. Czy tajemnice państwowe służą Polsce? 3. Rola służb ochrony państwa w informatyzacji Polski 4. PESEL2 i e-PUAP pozbawią nas prywatności 5. PESEL i profilowanie 6. Korupcja w informatyzacji urzędów 7. Korupcja w informatyzacji urzędów (2) 8. Bezpieczne przelewy w bankowości internetowej 9. E-administracja wg MSWiA to raj tylko dla urzędników 10. Dowód biometryczny? Tak, ale ostrożnie! 11. Elektroniczne skrzynki podawcze, czyli lobbyści górą! 12. Prawo zamówień publicznych i projekty informatyczne 13. Obywatelska koncepcja e-usług 14. Równoważność dokumentu papierowego i cyfrowego 15. Uwolnijmy się od obowiązku meldunkowego 16. Anonimizacja jako ochrona prywatności pacjenta w systemach służby zdrowia 17. Głosowanie przez Internet 18. ePUAP bez wartości dodanej 19. Wielofunkcyjny dowód pl.ID będzie niebezpiecznym gadżetem 20. Plan Informatyzacji Państwa i projekty informatyczne 21. Dwa problemy polskiego e-podpisu 22. Branża kart płatniczych uznała dominujące standardy ochrony informacji za nieprzydatne 23. PIT przez Internet według urzędników i uwagi o użyteczności informatyzacji 24. Jak władza centralna psuje komputeryzację urzędów gminnych 25. Likwidacja meldunku szansą na lepsze państwo (1) 26. Likwidacja meldunku szansą na lepsze państwo (2) 27. Likwidacja meldunku szansą na lepsze państwo (3) 28. PIT przez Internet i bezpieczeństwo płatnika 29. Analiza ryzyka dla dowodu elektronicznego (1) 30. Analiza ryzyka dla dowodu elektronicznego. Rekomendacje. (2) 31. Dowód elektroniczny. Zabezpieczenia. (3) 32. Służby nie znają się na kryptografii 33. Dowód elektroniczny. Weryfikacja on-line. (4) 34. Dowód elektroniczny. Procesy. (5) 35. Dowód elektroniczny. E-podpis. (6) 36. Po co dowód osobisty 37. Dzisiejsze podejście do informatyzacji nie sprzyja wolności 38. Zmieńmy filozofię ochrony danych osobowych (1) 39. Zmieńmy filozofię ochrony danych osobowych (2) 40. Cloud computing kusi 41. Tradycyjne wybory mogą być uczciwe Ponadto polecam: 1. Czy PESEL2 jest potrzebny? Dokument Instytutu Sobieskiego 3. Stanowisko ISOC Polska w sprawie barier podpisu elektronicznego w Polsce 4. Poradnik inżyniera polskiej informatyzacji. Paweł Krawczyk

Nowości od blogera
Udostępnij Udostępnij Skomentuj9

Komentarze

Inne tematy w dziale Technologie