【大紀元10月26日訊】(大紀元記者肖見綜合編譯)美國安全研究人員發現,最新推出的從陸路或海路過境美國海關所使用的電子護照卡或加強版駕照(enhanced driver’s licenses)上的無線電頻身份(radio-frequency identification, RFID)芯片,非常容易被竊取或被修改。
《國際數據新聞》(IDG)23日報導,根據《西半球旅行動議》,美國要求公民出入境均須持護照等有效身份證件 。為方便經常出入境的旅客,今年初提出了從陸路和海路出入境可持電子護照或加強版駕照的計劃。後者是為邊境州的居民提供的,目前華盛頓州和紐約州有加強版駕照的計劃。過境時,持卡人可以不需將卡交給邊境檢查員,而是通過一個邊境讀卡器。如果海關人員沒有抽查到假冒的電子卡,冒牌持卡人就可蒙混過關。另一個危險是,芯片可在150英尺以外讀取。犯罪分子可以在沒有被發現的情況下讀卡,還可以用來跟蹤持卡人的行蹤。
華盛頓大學(University of Washington)計算機科學和工程專業助理教授柯農(Tadayoshi Kohno)認為,有些可用於芯片的安全機制,聯邦和州政府都沒有使用。例如,每個芯片有兩個專門的數字:訪問密碼(access PIN,即個人識別號碼)和一個主密碼。這些密碼都比銀行卡號碼長,不是由持卡人選定的。訪問密碼可以用來驗證芯片是否是合法的,而主密碼可以用來使標籤不可閱讀。
電子護照卡和加強版駕照上都有訪問密碼,但研究人員認為政府部門沒有使用更多安全措施。例如,安全人員可以從一個數據庫測試訪問密碼。而主密碼容易受到攻擊,犯罪分子可以使所有的卡在某一關卡無法讀取。這種攻擊可能損害旅遊持卡者的信心。
華盛頓郵報報導,目前有45個國家根據國際標準發行電子護照。芯片上的信息包括姓名、生日、護照號和持卡人照片等。阿姆斯特丹大學的安全研究者畢克(Jeroen van Beek)在演示中顯示,他的軟件可以用來複製和操縱芯片上的數據,並把數據轉到一個假冒或被盜用的護照,用來掩蓋假護照持有人的身份。
電子護照芯片中有護照發行國的數據編碼加密。這樣發行國可以得知持卡人的數據有無更改。問題是,45個國家中只有10個國家同意共享護照信息。而實際上只有5個國家正在積極地分享數據。因此,如果有人改換了卡上的姓名稱或照片後用上自己的加密,只有幾個國家將能夠發現信息已被篡改。
研究人員已經向聯邦和華盛頓州政府提出建議。國土安全部表示要改進安全措施。研究人員建議使用標準大小護照,而不是護照卡。因為標準大小的護照中的芯片有加密碼保護。護照封面有金屬保護可免於洩密。出於自我保護,使用者可在電子護照卡或駕照卡外配上保護套以幫助防止祕密掃描。
(//www.dajiyuan.com)