1. Oszustwa związane z weryfikacją tożsamości na podstawie dowodu elektronicznego
Dowód elektroniczny to plastikowa karta z wbudowanym komponentem elektronicznym. Tożsamość obywatela w elektronicznym dowodzie określają trzy typy atrybutów:
- identyfikatory urzędowe (nadane lub zatwierdzone przez urzędy): imię, nazwisko, data urodzenia, miejsce urodzenia, imiona rodziców, adres zameldowania, PESEL
- cechy charakterystyczne wyglądu: obraz twarzy, płeć, wiek, wzrost, kolor oczu
- cechy biometryczne(w postaci cyfrowej): geometria twarzy, linie papilarne, etc.
Identyfikatory urzędowe są umowne i większość z nich może być zmieniona. Dowód osobisty wiąże cechy charakterystyczne wyglądu i cechy biometryczne właściciela dowodu z jego identyfikatorami urzędowymi.
Sprawdzenie tożsamości na podstawie dowodu polega na porównaniu cech charakterystycznych wyglądu na dowodzie z rzeczywistym wyglądem osoby podającej się za jego właściciela. Jeśli cechy charakterystyczne osoby na dowodzie pokrywają się z jej wyglądem i dowód nie jest podrobiony, to uznajemy prawdziwość identyfikatorów urzędowych.
Jeśli dowód zawiera wzorzec cechy biometrycznej to można dodatkowo sprawdzić czy próbka biometryczna zeskanowana z osoby podającej się za właściciela dowodu jest zgodna z tym wzorcem.
Oszustwa fałszowania tożsamości bazujące na dowodzie można podzielić na dwa typy:
- Z użyciem dowodu oryginalnego. Oszust podobny do właściciela dowodu posługuje się jego dowodem.
- Z użyciem dowodu fałszywego. Na dowodzie cechy charakterystyczne wyglądu są zgodne z wyglądem oszusta. Identyfikatory urzędowe są fałszywe.
Zwiększanie szczegółowości cech charakterystycznych wyglądu przeciwdziała oszustwom pierwszego typu. Im większa czytelność cech charakterystycznych wyglądu na dowodzie tym trudniej oszukać. Silnym mechanizmem zabezpieczającym przed oszustwem tego typu jest weryfikacja cech biometrycznych.
Do dokonania oszustwa drugiego typu mogą być użyte różne rodzaje fałszywych dowodów:
- dowód oryginalny z przerobionymi danymi
- dowód oryginalny z nieprzerobionymi danymi, które są fałszywe (taki dowód można zdobyć przez wykorzystanie słabości procesu wydawania dowodów)
- dowód podrobiony (na podrobionym blankiecie)
2. Fałszowanie danych w dowodzie elektronicznym i fałszywe czytniki
Dowód elektroniczny jest personalizowany wizualnie i elektronicznie. Personalizacja wizualna może być wykonana tylko raz jeśli dowód ma być zabezpieczony przed przerabianiem nadruku. Dane elektroniczne można zapisać jednorazowo lub wielokrotnie w zależności od tego czy nośnik pamięci komponentu elektronicznego umożliwia kasowanie danych czy nie (ryzyka związane z nośnikami pamięci jednorazowego zapisu są pominięte).
Jeśli informacje zapisane elektronicznie są podzbiorem informacji nadrukowanych, to komponent elektroniczny jest tylko dodatkowym zabezpieczeniem przed podrabianiem nadruku. Pełna weryfikacja tożsamości osoby możne być przeprowadzona bez elektronicznego czytnika. Dodatkowe sprawdzenie polegające na porównaniu danych z komponentu elektronicznego z danymi nadrukowanymi warto wykonać gdy są wątpliwości co do prawdziwości samego dowodu. Gdy dane elektroniczne są podzbiorem danych nadrukowanych to występują te same problemy bezpieczeństwa co w przypadku dowodu spersonalizowanego tylko wizualnie.
Jeśli nadruk na dowodzie zawiera mniej informacji niż komponent elektroniczny to bez specjalnego czytnika nie można przeczytać informacji zapisanych tylko w postaci elektronicznej.
Powstaje zagrożenie użycia fałszywego czytnika, który będzie wyświetlał inne dane niż zapisane w komponencie elektronicznym. Łatwiej jest przerobić lub podrobić czytnik aby wyświetlał fałszywe dane niż sfałszować dowód. To zagrożenie można wyeliminować poprzez korzystanie tylko z własnego czytnika. Zatem każda osoba, która będzie sprawdzać informacje z dowodu na podstawie czytnika powinna dysponować własnym czytnikiem.
Ryzyko fałszywego odczytu danych elektronicznych powstaje także w przypadku gdy komponent elektroniczny w oryginalnym blankiecie dowodu został usunięty i w to miejsce wmontowany inny. Do podmiany można użyć podrobionego lub oryginalnego komponentu z innego dowodu.
Nie jest możliwe zabezpieczenie się przed tym oszustwem tylko za pomocą środków technicznych. Osoba odczytująca konkretną informację z komponentu elektronicznego powinna dodatkowo organoleptycznie sprawdzić czy nadrukowane identyfikatory urzędowe pokrywają się z ich kopiami w komponencie elektronicznym.
Źródłem największych problemów bezpieczeństwa w dowodzie elektronicznym jest funkcjonalność umożliwiająca kasowanie i wielokrotne zapisywanie danych w pamięci komponentu elektronicznego.
3. Zagrożenia dla danych w komponencie elektronicznym dowodu
W analizie zagrożeń dla danych w komponencie elektronicznym zostały przyjęte następujące ograniczenia:
- właściciel dowodu nie może zmieniać danych zapisanych w pamięci komponentu elektronicznego
- zmiany danych w pamięci komponentu elektronicznego mogą dokonywać tylko uprawnione urzędy
- zmiany danych mogą być dokonywane tylko w trakcie wizyty obywatela w urzędzie (pozbawienie obywatela dowodu na dłuższy okres czasu jest nieakceptowane). Zmiany danych w dowodzie będą wykonywane w co najmniej kilku tysiącach lokalizacji w Polsce (jest to konsekwencja wymogu 3)
3.1 PIN nie jest wystarczającym zabezpieczeniem przed nieautoryzowaną zmianą danych
PIN jest praktycznie jedynym sposobem kontroli dostępu do operacji kasowania i zapisu danych w kartach mikroprocesorowych. W przypadku kilkudziesięciu milionów dowodów powstaje realny problem zarządzania PINami. PINy mogą być generowane według dwóch polityk. W pierwszej dowody będą miały różne PINy a w drugiej takie same. Ponadto trzeba rozstrzygnąć czy PIN będzie dostępny urzędnikom czy tylko właścicielowi dowodu.
Gdy PIN we wszystkich dowodach jest taki sam to pojawia się poważne zagrożenie dla jego poufności. Jeśli byłby udostępniony urzędnikom w kilku tysiącach lokalizacji w celu dokonania zapisów w komponencie elektronicznym dowodu, to nie jest możliwe zachowanie jego poufności przez wiele lat. Takie rozwiązanie nie może być przyjęte.
Gdy dowody mają różne PINy i są one dostępne urzędnikom, to powstaje wiele skomplikowanych problemów organizacyjno-proceduralnych związanych z udostępnianiem PINów z centralnej bazy. Dodatkową komplikacją procesu zarządzania PINami jest możliwość ich wielokrotnego zmieniania w cyklu życia blankietu dowodu.
Udostępnienie PINów urzędnikom dokonującym zmian danych w dowodach tworzy najpoważniejsze zagrożenia dla ich poufności. Jeśli kilka tysięcy urzędników będzie mogło poznać PIN konkretnego dowodu, to jego poufność będzie poważnie zagrożona. Uzyskanie PINu dowodu przez przekupienie wybranego urzędnika nie będzie problemem. Jeśli duża liczba urzędników może mieć dostęp do PINów to rozwiązanie z różnymi PINami ma także bardzo poważne wady. PIN powinien być znany tylko właścicielowi dowodu elektronicznego.
W przypadku kilkudziesięciu milionów dowodów sam PIN nie jest wystarczającym zabezpieczeniem przed nieautoryzowanymi zmianami danych w komponencie elektronicznym.
Koniec części pierwszej. W drugiej będą zaproponowane zabezpieczenia mitygujące omówione zagrożenia.