RFID passit eivät ole vaarattomia

Olin torstaina eduskunnan hallintovaliokunnassa kuultavana uuden passilain tiimoilta. Paikalla oli lisäkseni Supon ja KRP:n edustajat. Esittelin edustajille miten uuden passilain mukanaantuomia rfid-siruja voidana käyttää hyväksi laittomissa puuhissa.

Kumosin samalla muutamia yleisiä väitteitä:

1. Rfid siruja voi lukea vain muutamien senttien päästä. Vale.

Siruja voi lukea muutaman kymmenen dollarin laitteella kymmenien metrien päästä. Jokainen radiotaajuus joka on tarkoitettu toimivaan “vain” X etäisyydellä on saatu toimimaan vähintään 100X etäisyydellä.
Tästä esimerkkinä bluetooth ja wifi. Myös RFID.

2. Siru on salattu eikä sen tietoja voi lukea ilman optisesti luettavaa avainta. Osatotuus.

Sirujen tieto voidaan tallentaa salattuna. Sen sijaan ne lähettävät sitä tietoa ja niiden tietoa voidaan käyttää yksilöimään ihminen. On lähes sama esittäydynkö Herkko Hietasena vai XNCMA DJ”!%HF:na, jos tienvarsipommi laitetaan räjähtämään sen rekisteröidessä passini.

Sirujen tiedot voidaan murtaa Brute force menetelmin. Yhden varastetun passin hinta markkinoilla on alle 10.000 dollaria. Uusien 200.000 euron mersujen avainten murtaminen käy minuuteissa. (via f-secure) Miten lie passien tietoturva?

3. Lukijoita ei ole kuin ammattilaisilla. No ei tietenkään totta.

Lukijoita tulee nykyään joka kindermunassa ja kännykkäkuoressa. Niin ja mitä tuli tuohon tienvarsipommiin niin sellaisen virittäminen ei ole kauhean kaukaa haettua.

5. Sirussa tieto säilyy ja sitä ei voi muuttaa. No joo ja ei.

Sirujen kopiointi on yhtä helppoa kuin muun passin. Tietojen muuttaminen taas vaatii vanhan sirun de-aktivoimista jonka voi tehdä vaikka laittamalla se mikroaaltouuniin. Uusien sirujen hinta on joitakin senttejä ja optinen avainhan onkin mukavasti passin mukana. Happy hacking! Uskoisin että pääsy passitietokantaan onnistuu dollarinipulla ja korruptoituneiden roistovaltioden viranomaisten avustuksella.

Herää kysymys miksi näitä sitten tarvitaan? Minulle tuli ensimmäisenä mieleen Yhdysvaltojen rajatarkastukset jossa ihmisten naamoja ja sormenjälkiä jo kerätään. Kaikki tuo herätti kauhean haloon muissa maissa ja maksaa USA:lle maltaita. Työ on huomattavasti helpompi ulkoistaa. Myös kulut pienenevät ja matkustus “nopeutuu”. Minä en kuitenkaan kovin mielelläni anna Nigerian tai Laosin viranomaisille tietojani rekisteriin. Näiden tietojen keräämistä ja rekisteröintiä säätelee kunkin maan omat lait. Kuultavana olleet poliisit eivät tienneet miten Suomessa näitä tietoja tullaan käsittelmään.

Tällä viikolla aloitan Liikenne- ja viestintäministeriön biotunniste-työryhmässä. Ryhmän tarkoituksena on valmistella lainsäädäntöä yksityissektorin biotunnisteiden käytölle.

EDIT: Ehdotin valiokunnalle, että passin kansiin kudottaisiin faradaynhäkit. Tämä estäisi passien etälukemisen niiden ollessa suljetuina ja myös vahingossa tapahtuvan tuhoamisen. Kukaan ei tuntunut tietävän passin toteuttamisen teknisistä yksityiskohdista. Hallituksen esitys itsessään oli hyvin valmisteltu ja tunnisti monet yksityisyysongelmat.

Liittenä EFFIn toimittama lausunto.