Biometrisessa passissa on tietosuojaongelmia | EFFI.org

Jyväskylä 31.7.2006
Lehdistötiedote
Electronic Frontier Finland - EFFI ry
Vapaa julkaistavaksi heti

Biometrisessa passissa on tietosuojaongelmia

Euroopan unionin asetuksen mukaan uusissa matkustusasiakirjoissa tulee olla siru, johon biometriset tunnisteet tallennetaan. Sisäministeriö vakuuttelee tiedotteessaan, että Suomen passin tietoturva on kunnossa ja että passin sirulle ei tallenneta mitään mitä ei tietolehdellä jo ole.

Tiedotteessa sirupassien salausta kehutaan GSM-tasoiseksi. Ministeriössä ei ilmeisesti tiedetä, että GSM-puhelimissa käytetty salaus murtuu tavallisella pöytätietokoneella alle sekunnissa. "Toivottavasti sisäministeriö on väärässä suojauksen laadun suhteeen", muotoilee oikeustieteen tutkija Ville Oksanen. Ministeriö on aiemminkin niittänyt kyseenalaista mainetta kehnolla tietoturvaosaamisellaan. Maaliskuussa ministeriö yritti kohottaa profiiliaan kauhistelemalla verkkoonsa kohdistuvien "murtautumisyritysten" määrää.

Hollantilaisen yliopiston (Radbound Universiteit Nijmegen) turvallisuuden tutkimusryhmä SoS on tutkimuksissaan todentanut mahdollisuudet sekä salakuunnella passien ja lukulaitteiden välistä tietoliikennettä, valmistaa passista kopioita, että etälukea passin tiedot haltijan tietämättä. Asiantuntijat eivät ole myöskään voineet tutkimuksillaan sulkea ns. takaporttien mahdollisuutta pois. Kun näitä passien etäluettavuudesta seuraavia ongelmia on ratkottu pyrkimällä estämään etäluettavuus, herääkin kysymys, mihin etäluettavuutta oikein tarvittiin?

EFFIn hallituksen jäsen Jukka Ruotsalainen valottaa lisää: "Suurin ongelma on kuitenkin se, ettei biometrinen passi ole enää pelkkä matkustusasiakirja vaan tietokone." Niiden turvallisuutta aina vakuutellaan samoin sanoin kuin sisäministeriö passien turvallisuutta "tietoturvallisuudesta on huolehdittu eikä mitään puutteita ole havaittu". Kuitenkin tietoturva-aukkoja paikataan pahimmillaan päivittäin ja kuulemme tietomurroista viikoittain. Miksi mikroprosessorilla varustettu passi olisi poikkeus? Antti Miranto heittää pallon, "Kuka korvaa passien uusinnat jos tietoturva-aukkoja löytyy?"

Viitteet

Electronic Frontier Finland - EFFI ry
http://www.effi.org/

Sisäministeriön tiedote, "Biometrisessa passissa ei ole tietosuojaongelmia"
http://www.sisaministerio.fi/intermin/bulletin.nsf/HeadlinesPublicFin/36CE7DA5F6F7A7CAC22571B10041A3B8

GSM-salauksen murtamisesta
http://www.gsm-security.net/faq/gsm-a5-broken-security.shtml

Sisäasiainministeriön tietoturvaväitteistä
http://je.org/id/tietoturva/blogi/1142355242790316.html
http://je.org/id/tietoturva/blogi/1143011475776713.html

Sirupassien tietoturvasta
http://wiki.whatthehack.org/images/2/28/WTH-slides-Attacks-on-Digital-Passports-Marc-Witteman.pdf
http://wwwes.cs.utwente.nl/safe-nl/meetings/24-6-2005/bart-demo.pdf
http://wwwes.cs.utwente.nl/safe-nl/meetings/24-6-2005.html