Biometrisessa passissa on tietosuojaongelmia

Jyväskylä 31.7.2006
Lehdistötiedote
Electronic Frontier Finland – EFFI ry
Vapaa julkaistavaksi heti

Euroopan unionin asetuksen mukaan uusissa matkustusasiakirjoissa tulee
olla siru, johon biometriset tunnisteet tallennetaan. Sisäministeriö
vakuuttelee tiedotteessaan, että Suomen passin tietoturva on kunnossa
ja että passin sirulle ei tallenneta mitään mitä ei tietolehdellä jo
ole.

Tiedotteessa sirupassien salausta kehutaan GSM-tasoiseksi.
Ministeriössä ei ilmeisesti tiedetä, että GSM-puhelimissa käytetty
salaus murtuu tavallisella pöytätietokoneella alle sekunnissa.
“Toivottavasti sisäministeriö on väärässä suojauksen laadun suhteeen”,
muotoilee oikeustieteen tutkija Ville Oksanen. Ministeriö on
aiemminkin niittänyt kyseenalaista mainetta kehnolla
tietoturvaosaamisellaan. Maaliskuussa ministeriö yritti kohottaa
profiiliaan kauhistelemalla verkkoonsa kohdistuvien
“murtautumisyritysten” määrää.

Hollantilaisen yliopiston (Radbound Universiteit Nijmegen)
turvallisuuden tutkimusryhmä SoS on tutkimuksissaan todentanut
mahdollisuudet sekä salakuunnella passien ja lukulaitteiden välistä
tietoliikennettä, valmistaa passista kopioita, että etälukea passin
tiedot haltijan tietämättä. Asiantuntijat eivät ole myöskään voineet
tutkimuksillaan sulkea ns. takaporttien mahdollisuutta pois. Kun
näitä passien etäluettavuudesta seuraavia ongelmia on ratkottu
pyrkimällä estämään etäluettavuus, herääkin kysymys, mihin
etäluettavuutta oikein tarvittiin?

EFFIn hallituksen jäsen Jukka Ruotsalainen valottaa lisää: “Suurin
ongelma on kuitenkin se, ettei biometrinen passi ole enää pelkkä
matkustusasiakirja vaan tietokone.” Niiden turvallisuutta aina
vakuutellaan samoin sanoin kuin sisäministeriö passien turvallisuutta
“tietoturvallisuudesta on huolehdittu eikä mitään puutteita ole
havaittu”. Kuitenkin tietoturva-aukkoja paikataan pahimmillaan
päivittäin ja kuulemme tietomurroista viikoittain. Miksi
mikroprosessorilla varustettu passi olisi poikkeus? Antti Miranto
heittää pallon, “Kuka korvaa passien uusinnat jos
tietoturva-aukkoja löytyy?”

Viitteet

Electronic Frontier Finland – EFFI ry

http://www.effi.org/

Sisäministeriön tiedote, “Biometrisessa passissa ei ole tietosuojaongelmia”

http://www.sisaministerio.fi/intermin/bulletin.nsf/HeadlinesPublicFin/36CE7DA5F6F7A7CAC22571B10041A3B8

GSM-salauksen murtamisesta

http://www.gsm-security.net/faq/gsm-a5-broken-security.shtml

Sisäasiainministeriön tietoturvaväitteistä

http://je.org/id/tietoturva/blogi/1142355242790316.html
http://je.org/id/tietoturva/blogi/1143011475776713.html

Sirupassien tietoturvasta

http://wiki.whatthehack.org/images/2/28/WTH-slides-Attacks-on-Digital-Passports-Marc-Witteman.pdf

http://wwwes.cs.utwente.nl/safe-nl/meetings/24-6-2005/bart-demo.pdf

http://wwwes.cs.utwente.nl/safe-nl/meetings/24-6-2005.html