EFFI järjesti taiteiden yönä mielenkiintoisen tilaisuuden juuri käyttöön otettujen biometristen passien riskeistä ja mahdollisuuksista. Samalla esiteltiin EFFIn uusi visuaalinen ilme, jota hallitsee katkaistu piikkilanka: vapauden symboli.
Sisäministeriön biopassiprojektin projektipäällikkö Tommi Rakshit valisti kuulijoita passien tekniikasta. Voi miksei meillä ollut kaikkea Tommin kertomaa tietoa hallintovaliokunnassa kun laadimme mietintöä uudesta passilaista? En olisi ollut läheskään yhtä huolestunut passin tietoturvasta jos olisin tiennyt, miten suojaus on toteutettu.
Suomen passit nimittäin suojataan paljon paremmin kuin useimpien muiden maiden. Esimerkiksi Hollannista, Saksasta ja Yhdysvalloista kuuluneet uutiset ovat olleet todella pelottavia: passien RFID-sirun suojausten murtaminen ja tietojen kopioiminen on ollut jopa naurettavan helppoa. Yhdysvalloissa passit onkin jouduttu panemaan jo pari kertaa uusiksi.
Kun passilakia luki nämä uutiset luettuaan, niskakarvat olivat syystä pystyssä.
Suomessa on kuitenkin otettu käyttöön sellaisia suojauksia, joita kaikki maat eivät käytä. Valitettavasti passitekniikan määrittelevä ICAOn standardi ei kuitenkaan salli kaikkia suojauksia, jotka Suomessa olisi haluttu ottaa käyttöön, järjestelmästä olisi saanut vielä varmemmankin.
Kaikkia väärinkäyttömahdollisuuksia järjestelmä ei estä. Esimerkiksi jos passin tietojen salalukijalla on hallussaan passin tietosivun valokopio eli kopio passin tietojen avaimesta, tiedot voi lukea, tosin salakirjoitetussa muodossa. Tällä hetkellä tietokoneiden laskentateho ei salakirjoituksen avaamiseen vielä riitä, mutta avain on niin lyhyt, että muutaman vuoden päästä tilanne voi olla toinen.
Suuremman ongelman mielestäni muodostavat kuitenkin passeja lukevat raja-asemat. Niiden tietokoneisiin kertyy valtava tietokanta rajan ylittäneiden ihmisten henkilötietoja ja biometrisiä tunnisteita.1) Nämä tiedot ovat identiteettivarkaille kullan arvoista tavaraa, ja on vain ajan kysymys, ennen kuin näihin tietokantoihin yritetään murtautua. Raja-asemille kertyvien tietojen suojaamisesta ei ole kuitenkaan olemassa mitään kansainvälisiä sopimuksia. Totalitaaristen maiden viranomaiset voivat myös itse käyttää näitä tietokantoja tarkoituksiin, joita me pidämme sopimattomina.
Tilaisuudessa selvisi myös syy siihen, miksi biometriset passit ovat ylipäätään etäluettavia. Monelta tietoturvaongelmalta olisi vältytty, jos passien sisältämät tiedot olisi mahdollista lukea vain kontaktissa lukulaitteen kanssa sirupankkikortin tapaan. Alkujaan suunnittelun lähtökohtana oli passintarkastuksen nopeuttaminen ja helpottaminen eli etäluettavuus. Vasta myöhemmin havahduttiin tietoturvaan eli passin salaluvun estämiseen. Siksi passeihin lisättiin jälestäpäin tietoturvaominaisuuksia ja lukuetäisyyttä lyhennettiin kymmeneen senttiin (eli sekin lisäarvo menetettiin).
1) Itse asiassa näitä tietoja ei tarvitsisi kerätä, sillä passintarkastuksessa pitäisi riittää se, että henkilön ja hänen passinsa yhteensopivuus tarkastetaan. Turvallisuusviranomaisilla kautta maailman on kuitenkin kiihkeä rakkaussuhde kaikenlaisiin henkilötietokantoihin.
Oliko minulta siis virhetikki olla hakematta vanhaa passia, kun sitä vielä myönnettiin?
Kyösti Hagert (25.8.2006 20.05)
"passitekniikan määrittelevä ICANNin standardi" - kyseessä lienee kuitenkin ICAO, (The) International Civil Aviation Organisation. Ja standardi tarkemmin ICAO:n dokumentti 9303, osa 1.
Valitettavasti tätä ICAO:n dokumenttia ei ole vapaasti saatavissa luettavaksi, ainoastaan ostettavissa (64 USD). Sama pätee myös passien tekniseen toteutukseen liittyvään ISO 14443 standardiin, osien 1-4 yhteishinta 392 CHF, päälle vielä korjaus/täydennysdokumentit, á 16 CHF.
kj (25.8.2006 20.53)
Erityisen harmillinen tuo valokopio-ongelma on siksi, että sitä vastaan olisi ollut suhteellisen helppo keino, joka ei olisi rikkonut tätä 'lue passin tiedot etusivulta ja käytä sitä osoituksena autenttisuudestasi' formaattia.
Yksinkertaisesti passi voisi sisältää pitkän satunnaisluvun, joka olisi tehty siten että valokopiointi tuottaa vain harmaata massaa, mutta oikein tehty lukulaite kykenee sen lukemaan.
Mikko (26.8.2006 10.33)
Eli siis homma lähti liikkeelle siitä, että haluttiin säästää rahaa laittamalla rajavartijoita kilometritehtaalle ja, kun huomattiin ettei kukaan tullut ajatelleeksi turvallisuuspuolta, laitettiin mukaan näennäisiä korjauksia ja alettiin puhua rajaturvallisuuden parantamisesta sen sijaan, että etälukemissuunnitelmista olisi vain luovuttu? Kivakiva.
Luottamus mihinkään päättäjien taholta tapahtuvaan järjelliseen toimintaan (puheet, valmistelu, päätökset, ...) vähenee entisestään.
Jeps (26.8.2006 14.30)
Joopa joo, kuinka moni uskoo tosissaan jonkun suomen viranomaisen olevan ammattitaitoinen vakuuttamaan, että ko. passin tietoturva on kunnossa? En ole kuullut vielä yhtään järkevää perustetta sille, miksi passin olisi alunperinkään pitänyt olla etäluettava (noista ko. tietoturvaongelmista joita on nyt yritetty jälkeenpäin "korjata" olisi jo alunperinkin vältytty käyttämällä normaalia kontaktisirukorttia).
Ari Heikkinen (26.8.2006 23.46)
"Esimerkiksi jos passin tietojen salalukijalla on hallussaan passin tietosivun valokopio eli kopio passin tietojen avaimesta, tiedot voi lukea, tosin salakirjoitetussa muodossa."
Totta, mutta eiköhän se tietosivun avulla sirunkin tiedot avaudu ihan standardin mukaisesti. Monikaan ei vielä ymmärrä mitä eroa on paperipassin ja sähköisenpassin vilauttelulla - mitä passin sirulla on tallessa ja mitä sielä saadaan ulos etäisesti - ihan laillisestikin. Jos joku alkaa valokopioimaan passia moni ymmärtää mikä on lopputulos, mutta miten onnistuu RFID tagin konsepti mummolta?
Suurin ongelma ei mielestäni ole etäluennassa eikä sen salauksessa - jos tietosivun ja sirun antaa luettavaksi voidaan sekunneissa tallentaa esim. nimi, syntymäaika ja kuva johonkin järjestelmään. Miettikään mihin kaikkeen tällä hetkellä käytetään passia - pakkohan se tietosivu on avata jos haluaa esim. sillä henkilöllisyytensä todistaa. Ehkä kaupallisia toteuksiakin alkaa tulla kun tämä mahdollisuus huomataan, etälukukaan ei ole enää mitenkään kaukaista tekniikkaa.
ePassihan ei ole vielä oikeasti biopassi, vaan askel siihen suuntaan: http://itpro.fi/blog/2006/08/epassin-tie toturva-kohti-biometrist_26.html
Sorm enjäljen tallennuksesta keskustellaan toivottavasti ENNEN kuin passit on teknisesti toteutettu - ja lainsäätäjille tarjotaan kattava esittely siihen liittyvästä suojaustekniikasta.
Petri Ala-Annala (27.8.2006 00.51)
kj: kiitos, noin käy kun naputtelee väsyneenä. Korjasin.
Jyrki J.J. Kasvi (27.8.2006 20.56)
Ehkä tämä keskustelu on jo ohi tällä palstalla. Lisään kuitenkin pari kommenttia, koska kuulin tästä blogista vasta tänään.
Kontaktittoman sirun valintaan oli toki muitakin syitä kuin ainoastaan käytettävyys. Esimerkiksi kontaktisirun istuttaminen passiin muodostaisi suuremman turvallisuusriskin (esim. sirun vaihtaminen) ja kestävyysriskin (esim. kontaktipinnan vaurioituminen). Muoviin kontaktisivun istutus onnistuu kohtuullisesti mutta melkein kaikki valtiot käyttävät vielä paperisia tietosivuja. Kontaktisirun valinta olisi myös vaatinut vakiopaikkaa sirun sijoittamiselle. Eri maiden materiaalit poikkeavat huomattavasti toisistaan ja nyt siru voidaan sijoittaa kunkin passin vahvimpaan rakenteeseen.
Järjestimme keväällä 2005 julkisen tilaisuuden, jossa kuvasimme passin tietoturvasuunnitelman varsin yksityiskohtaisesti. Kutsu lähetettiin moneen eri paikkaan esim. Effiin. Paikalle saapui kuitenkin aika vähän ihmisiä eikä tilaisuus herättänyt kiinnostusta mediassakaan.
Passin standardi sirun ja sen tietoturvan osalta löytyy ilmaiseksi seuraavasta osoitteesta: www.icao.int/mrtd
Tommi Rakshit (tommi.rakshit@poliisi.fi) (18.9.2006 14.41)
