(Ne)bezpečnost elektronických pasů v ČR

Nové cestovní pasy, které jsou nyní v ČR vydávány, jsou opatřeny bezkontaktními čipy, které obsahují digitální fotografii a další údaje (například číslo pasu a další). Jedná se o tzv. první generaci pasů. V druhé generaci českých elektronických pasů, které budou vydávány od května 2008, bude v čipu obsažen i otisk prstu.

Principiální výhodou kontroly pasu na hranicích je to, že při přiblížení pasu ke čtecímu zařízení dojde k bezkontaktnímu přenosu informace (radiovými vlnami) z čipu do čtecího terminálu (čtečka). Do informačního systému pasové kontroly daného státu se tak přenese digitální informace o člověku - minimálně jeho osobní údaje, číslo pasu, fotografie. To pochopitelně umožní v mžiku zkontrolovat, zda člověk na fotografii není za prvé někdo jiný, než za koho se vydává (kontrolou v databázi digitálních fotografií), a za druhé, zda to není hledaná nebo nežádoucí osoba. To pochopitelně může sloužit zvýšení bezpečnosti letecké přepravy a státu obecně. Na druhé straně předpokladem efektivnosti takových systémů je víceméně trvalé uchovávání těchto dat a budování rozsáhlých databází, které obsahují osobní údaje, fotografie a v budoucnu i otisky prstů, eventuelně další biometrické prvky mnoha lidí. Vzniká obava o ochranu těchto údajů a obava o možnost jejich úniku, zneužití, výměně nebo obchodování s nimi apod. Dostáváme se do klasického rozporu všech bezpečnostních technologií - mohou sloužit i být zneužity. Tento rozpor si musí občané vyřešit prostřednictvím svých zákonodárců sami. 

Kromě principiální možnosti zneužití osobních a jiných údajů vlastními oprávněnými provozovateli systému tu existuje i možnost zneužití těchto dat neoprávněnými osobami, hackery, mafiemi apod. Hackeři se mohou dostat do interních systémů pasových orgánů různých států nebo mohou instalovat vlastní tzv. pirátské čtečky na letištích a dalších místech, kde se pohybují lidé s e-pasy. E-pasy jsou vyrobeny tak, aby umožnily bezkontaktní čtení údajů na určitou vzdálenost. Je lhostejné, jestli se jedná o několik centimetrů nebo decimetrů (záleží na typu bezkontaktního čipu), protože prakticky lze zcela nepozorovaně pirátskou čtečku do takové vzdálenosti dostat. Pirátské čtečky mohou být velmi malá zařízení, která se vejdou do kapsy u saka. Pokud si hacker přisedne k člověku, který má pas také v kapse, dojde k přiblížení čtečky k pasu na vzdálenost maximálně několika centimetrů. A jsou RFID čipy, které lze přečíst ze vzdálenosti několika metrů, proto scénář případného pirátského čtení je závislý na konkrétní technologii čipů, použitých v e-pasech. Charakteristiky čipu, použitého v českém e-pasu nejsou zatím veřejně známy. Proto zatím nelze upřesnit riziko hromadného sběru informací z e-pasů na letištích a pod. Pirátskému čtení se lze bránit používáním speciálního pouzdra, v kterém lze pas přenášet a pas se z něho vyjímá těsně před jeho předáním pasové kontrole. Tato ochrana je ale pro uživatele nepřirozená a vyžaduje další náklady.

Přirozená je ochrana údajů v pasech kryptografickými prostředky. Ty by měly zajistit, že i když údaje z pasu jsou přečteny pirátskou čtečkou, jsou bezcenné, protože je nelze rozšifrovat. Pak bychom nemuseli používat přídavná krycí pouzdra a obávat se pirátských čteček, riziko zneužití provozovateli systému však zůstává. V současné době jsou podle údajů Ministerstva vnitra ČR realizovány některé kryptografické ochrany a další by se měly použít u druhé generace e-pasů. Ministerstvo také poskytlo základní údaje o těchto ochranách pro potřeby novinářů. Jako kryptolog, který se celý život zabývá navrhováním podobných ochran, zkoumáním jejich odolnosti a prolamováním, musím konstatovat, že je to poprvé, kdy se setkávám s takovým popisem, poskytnutým veřejnosti v ČR. V informaci je zřetelně vidět snaha ministerstva o poskytnutí informace, která by ozřejmila, že na zabezpečení informace se velmi pamatovalo, a že občané mohou být z tohoto hlediska klidní. Je také velmi pravděpodobné, že řešitelé celého systému e-pasů měli úmysl vykonat dobrou práci při ochraně dat. Bohužel z poskytnutých informací se nedá zjistit, jak byl tento úmysl naplněn. Aby to mohlo být zjištěno a řečeno, musí být k dispozici úplný technický popis jak e-pasů, tak celého systému. Data mohou totiž unikat nejen z e-pasů, ale ze čtecích terminálů, z pracovišť, kde se pasy tvoří, zkrátka ze všech míst systému. Útočník si bude vybírat tu nejjednodušší cestu, jak data získat, a tudíž bude hledat nejslabší článek v systému a toku dat. Může to být i optický kabel, kterým budou data proudit v lokální síti pasové kontroly nebo nějakého národního centra, může to být bezdrátová síť takového pracoviště apod. Pasy pak můžete mít třeba v trojitém obalu a je to úplně jedno, útočník může sedět v autě před letištěm a stahovat si data o právě odbavovaných cestujících z lokální sítě bezdrátově na svůj notebook. Pro ochranu dat je v celém světě realizováno ohromné množství systémů, které chrání data zašifrováním, integritními kontrolami, elektronickými podpisy apod., a k jejich rozvoji vznikla věda, která se nazývá kryptologie. Jistě si dovedete představit, že Pythagorova věta nebude platit, pokud místo druhé mocniny (čtverce nad přeponou) použijete třetí mocninu. Také nevhodná změna jediného bitu v kryptografickém systému může znamenat jeho totální kolaps a prolomení. Záleží proto na každém detailu v popisu systému, jak kvalitně je navržen, a co více, jak je zrealizován. O ochranách, které jsou navrženy a realizovány v systému e-pasů toho víme málo. Ministerstvo vnitra poskytlo dvě strany A4 povšechných novinářských  informací, z kterých pouze vyplývá, že zde je vážný úmysl určitým způsobem data chránit, a to i kryptografickými prostředky. Jestli má systém někde slabý článek, jestli jsou kryptografické mechanismy správně navrženy a použity, není možné odpovědně posoudit.

Státní orgány se budou bránit tomu, aby veřejnosti poskytly úplný popis systému, a to z obavy o to, aby právě hackeři neměli usnadněnu situaci při hledání slabého článku systému. V podobných případech je možné si nechat bezpečnostní analýzu systému udělat externí laboratoří (specializovanou bezpečnostní firmou). Ta se zaváže k mlčenlivosti o poskytnutých informacích, ale může se souhlasem zadavatele vydat veřejné stanovisko k bezpečnosti systému a k jednotlivým možnostem prolomení dílčích částí systému, například možnosti neoprávněně kopírovat e-pasy. V případě, že je později systém narušen a je prokázáno, v kterém místě, může se srovnat tvrzení laboratoře a skutečnost. Například, když bude tvrdit, že nelze kopírovat e-pasy a tato možnost je veřejně demonstrována, laboratoř by ztratila kredit. Proto je možné se do určité míry na tvrzení renomované externí laboratoře spolehnout. Mohla by to být cesta, jak přesvědčit i českou veřejnost, že systém zabezpečení našich elektronických pasů je dostatečně dobře chráněn.

Ministerstvo vnitra ČR slíbilo uspořádat v nejbližší době seminář pro odborníky, kde by osvětlilo některé prvky ochrany. To je jistě velmi dobrý záměr. Uvidíme, jak se ho podaří naplnit a co nového budeme moci občanům o ochraně jejich údajů sdělit.

Diskutujte s námi i mezi sebou: Vulgární, nevhodné a urážející příspěvky budou mazány bez předchozího upozornění. Děkujeme za pochopení a omlouváme se slušným diskutujícím. Dotazy vložené do diskuze nebudou zodpovězeny. Prosíme, vložte svůj dotaz do on-line poradny.
	6.9.06	Díky pane doktore Klímo  (Martin Kořistka)
	11.9.06	Konecne se o tom mluvi  (Honza)
	11.9.06	Totální kontrola  (Josef)
	25.9.06	Totální kontrola  (DAvid)