在上周于拉斯維加斯舉行的黑帽計算機安全會議上，德國DN-Systems計算機安全公司的研究員Lukas Grunwald作了示范：使用RFDump的開源軟件包和RFID讀寫器，將他個人德國護照上的RFID標簽進行復制，然后將信息寫入附有RFID芯片的智能卡上。美國也即將加入使用嵌入式RFID標簽護照的行列，這個示范引起了緊張的氣氛。在最近的Google搜索統(tǒng)計中，有幾百個關于這個事件的報道。

其中一個新聞報道發(fā)表在《wired》雜志的網(wǎng)站上，這則新聞中說，為了讀取他護照中的電子標簽，Grunwald使用了各國邊境機構采用的同一款讀寫器和由secunet安全網(wǎng)絡公司生產(chǎn)的電子護照軟件。他使用RFDump進行復制。

RFID電子護照復制沒有安全風險

然而，Grunwald僅僅復制了他護照內IC卡上的數(shù)據(jù)。他并沒有偽造護照，也沒有利用這些數(shù)據(jù)。雖然Grunwald聲稱證實了RFID電子護照中基本的安全缺陷，但是許多RFID技術專家并不承認其真實性。

智能卡聯(lián)盟是一個非盈利性的組織，其成員包括銀行業(yè)、金融服務業(yè)、計算機業(yè)和零售行業(yè)的超過185家公司，其中還包括Gemalto公司。Gemalto公司將提供美國電子護照中的RFID嵌入技術。該聯(lián)盟于周二進行了電話會議，討論Grunwald的示范并就相關問題發(fā)表聲明。

為了保證協(xié)同性和基本級別的安全性，已經(jīng)或計劃簽發(fā)電子護照大約30個國家，都同意遵守由國際民用航空組織ICAO開發(fā)的協(xié)議規(guī)范，以創(chuàng)建必需的或可選的數(shù)據(jù)類型，并將其編碼嵌入每一個護照中。

ICAO的規(guī)范支持不同級別的保護，來降低電子護照中的數(shù)據(jù)在出入境讀取時遭到竊取的機率。只有在打開護照后，護照的網(wǎng)狀金屬內層才放棄阻止護照內嵌信息的讀取。為保護信息不被未授權方竊取，讀寫器的操作人員必須通過一個稱為基本訪問控制（注：Basic Access Control）的過程，即輸入已經(jīng)寫入護照上的密碼進行解鎖，才能讀取標簽。這個方法也用于對標簽上的數(shù)據(jù)進行加密。為訪問加密的標簽數(shù)據(jù)，讀寫器也需要獲取正確的數(shù)據(jù)密鑰。據(jù)報道，Grunwald利用ICAO的網(wǎng)站上的規(guī)范得到了他所需要的信息來復制他的護照。

在電話會議中，智能卡聯(lián)盟的執(zhí)行官Randy Vanderhoof指出，電子護照芯片內的編碼數(shù)據(jù)由簽發(fā)護照的國家進行了數(shù)據(jù)簽名和加密，即便有人復制了這些數(shù)據(jù)也無法將其改變。按照Vanderhoof的說法，Grunwald所做的并不說明電子護照不安全，原因在于護照檢查人員仍能檢測護照芯片內被編碼的照片信息，并將它與護照持有人進行比較。他說，復制護照的內嵌信息“在我們看來，和偷竊他人的護照把它作為自己的出入境證明一樣，沒有什么區(qū)別?！?/FONT>

“電子護照遠比現(xiàn)在的打印文檔安全的多。”Vanderhoof說，因為RFID通過可視化的檢查對護照持有者進行認證。在一期《Wired》雜志中，美國國務院國家護照服務副助理秘書長Frank Moss說，電子護照規(guī)范并不專為防止復制。他告訴《Wired》雜志，“Grunwald此人所做的既是預料到的，也不那么值得注意?！彼€補充說RFID嵌入技術作為對于護照持有者的額外的認證才是其意義所在。

如果一個國家決定在邊境入口完全移除人工檢查，而只依賴讀寫器讀取的數(shù)據(jù)怎么辦呢？在這方ICAO的規(guī)范已經(jīng)考慮到，據(jù)說別的國家也正在考慮這樣做。那么，除了Grunwald本人，別人拿著復制的Grunwald的電子護照就能進入一個國家，這就像偷走電子收費器（EZPass）不用交費駛過紐約收費站那么容易。

“顯然，在“電子護照”上加上反復制功能會更好，但是具有RFID的電子護照可能比沒有RFID電子護照更安全。在沒有RFID的護照內，照片能被移植到真正的護照或者是插入一個偽造的護照中?！盧SA實驗室的首席科學家、RSA安全的研究專家，Ari Juels這樣說到。

Juels說，Grunwald的結果“是一個有用的示范，但是并不能真正的讓人領悟到新東西?？蓮椭频淖o照系統(tǒng)在安全性方面概略地等同于一個具有完整性保護的數(shù)據(jù)庫。任何人都可以宣稱是另外一個人，系統(tǒng)依靠物理的身份檢查獲得成功?！?/FONT>