Tutkijoiden väärentämä sirupassi läpäisi ICAO:n lukuohjelman

[Ilkka Mäkelä 1 231]

Etenkin USA:n vaatimuksesta käyttöön puoliväkisin ympäri maailmaa otettu mikrosirun sisältävä biopassi on todettu helpoksi väärentää. Muutamassa tunnissa kolmen ekspertin onnistui syöttää englantilaisen pikkupojan passin siruun uudet väärät tiedot ja Osama bin Ladenin kuva  ja ICAO:n lukuohjelma, jota käytetään lentokentillä eri puolilla maailmaa, hyväksyi passin. Miekkoset väittävät nyt, että vanhanmalliset paperikuvalliset passit ovat itse asiassa työläämpiä väärentää. Yksi eksperteistä on uusi-seelantilainen Peter Guttman.

 

http://www.stuff.co.nz/sundaystartimes/4658678a6442.html

 

Se niistä mikrosiruista. Meikäläisellä ei sirupassia ole ja saattaapa olla, ettei tulekaan olemaan?

[Petteri Järvinen 0]

Etenkin USA:n vaatimuksesta käyttöön puoliväkisin ympäri maailmaa otettu mikrosirun sisältävä biopassi on todettu helpoksi väärentää.

...

Se niistä mikrosiruista. Meikäläisellä ei sirupassia ole ja saattaapa olla, ettei tulekaan olemaan?

 

Sirupasseja on erilaisia. Ymmärtääkseni Suomen käyttämä tapa salata tiedot avaimella, joka pitää lukea passista optisesti, on varsin turvallinen. Lisäksi ihmetyttää, miten varmenteella vahvistettuja henkilötietoja voidaan peukaloida niin, että varmennetarkistus edelleen menee läpi. Tällainen temppu olisi vuosisadan uutinen kryptografiassa.

[Arne Wallen 72]

Tehtiinhän suomessa aikanaan irioottivarmoja passeja joita jotkut koulupojat rakentelivat sitten sopiviksi, uusista passeista irtosivat sivut, Pentagonin huippusalaisiin tiedostoihin pikkumuksut tunkeutuu.

Ihmisten suunnittelemia ja koneiden tekemiähän nuo.

En epäile hetkeäkään ettei voisi väärennellä.

[Ilkka Mäkelä 1 231]

Täällä on alkuperäinen Timesin artikkeli, jossa on enemmän detaljitietoa väärennöksestä:

 

http://www.timesonline.co.uk/tol/news/uk/crime/article4467098.ece

[Jukka Siirilä 80]

Sirupasseja on erilaisia. Ymmärtääkseni Suomen käyttämä tapa salata tiedot avaimella, joka pitää lukea passista optisesti, on varsin turvallinen. Lisäksi ihmetyttää, miten varmenteella vahvistettuja henkilötietoja voidaan peukaloida niin, että varmennetarkistus edelleen menee läpi. Tällainen temppu olisi vuosisadan uutinen kryptografiassa.

 

Ööh... Syöttämällä sinne uusi varmenne? Vai mikä tekniikka tuossa varmenteessa on?

 

Jos sinne joskus on syötetty henkilötiedot ja niitä vastaava varmenne, niin miksi ei voisi syöttää uusia henkilötietoja ja uutta varmennetta?

[Teemu Lokka 57]

Ööh... Syöttämällä sinne uusi varmenne? Vai mikä tekniikka tuossa varmenteessa on?

 

Jos olen ymmärtänyt oikein asian niin se varmenne on sekä passissa että viranomaisilla, joten passia lukiessa verrataan sitä passissa olevaa varmennetta siihen mikä on viranomasilla.

[Kate Alhola 0]

Ööh... Syöttämällä sinne uusi varmenne? Vai mikä tekniikka tuossa varmenteessa on?

 

Jos sinne joskus on syötetty henkilötiedot ja niitä vastaava varmenne, niin miksi ei voisi syöttää uusia henkilötietoja ja uutta varmennetta?

 

Kun käytetään epäsymmetristä, eli siis julkisen avaimen salausta, salaus tehdään salaisella avaimella ja purkaminen

taasen julkisella avaimella. Varmenne siis toimii siten että salataan tiedosta laskettu tiiviste tai vaikka kok tieto salaisella

salausavaimella ja julkaistaan purkuavain. Varmennus voimii siten että tieto yritetään purkaa julkislla avaimella

ja jos se onnistuu niin silloin se ol allekirjoitettu(salattu) sillä salaisella avaimella. Uutta varmennetta taasen ei

pysty muodostamaan jollei ole hallussa sitä salaista salausavainta.

 

Tuntematta tätä passisysteemiä senverra tarkemmin mutta ihmettelen Suomen viranomaistem ylimielistä

suhtautumista. Security by obscurity kun lähionnä merkitsee pään pistämistä pensaaseen ja

avaimen piillottamista maton alle.  Jotta ne passinlukijat voisivat toimia, niissä pitää olla tiedossa

salaista avainta vastaava julkinen avain.  Nyt tutkijat ovat onnistuneet muodostamaan tai selvittämään

sellaisen salaisen avaimen jonka passinlukija hyväksyy.

 

Ihan kun puhutaan kryptografiasta. Hyvän menetelmän tunnus on että itse menetelmä voidaan ja tuleekin

julkaista erittäin julkisesti. Sen jälkeen kaikki mailman kryptografian analysoijat voivat arvioida menetelmän

vahvuudet ja heikkoudet. Jps se kestää heidän arvionsa niin sitten todennäköisesti rikollisetkaan

evät sitä saa murretuksi.

 

Taas tämä Security by obscurity eli kuvitellaan että kun ei kerrota menetelmää niin kukaan ei sitten sitä pääse

murtamaan on todistettu tostuvasti vääräksi. Joku selvitää menetelmän ja sen jälkeen löytää siitä haavoittovuuden

kun menetelmää ei ole altistettu julkiselle kritiikille. Valitettavan usein vian löytänyt taho on pahantahtoinen

mutta onneksi nuo tietoturvatutkijatkin niitä reikiä etsivät.

 

Ihan tästä vastaavasta syystähän juuri tietotekniikan asiantuntijat ovat kritisoineet RFID passeja,

sähköistä äänestystä tai vaikka suljetun ohjelmakoodin ohjelmistojen riskejä.

 

Kate

[Jukka Siirilä 80]

Kun käytetään epäsymmetristä, eli siis julkisen avaimen salausta, salaus tehdään salaisella avaimella ja purkaminen

taasen julkisella avaimella. Varmenne siis toimii siten että salataan tiedosta laskettu tiiviste tai vaikka kok tieto salaisella

salausavaimella ja julkaistaan purkuavain. Varmennus voimii siten että tieto yritetään purkaa julkislla avaimella

ja jos se onnistuu niin silloin se ol allekirjoitettu(salattu) sillä salaisella avaimella. Uutta varmennetta taasen ei

pysty muodostamaan jollei ole hallussa sitä salaista salausavainta.

evät sitä saa murretuksi.

 

Niinpä tietysti, se toimii julkisella ja salaisella avaimella kuten vaikka PGP. Nimitys varmenne (vaikka onkin hyvää suomea) ei tuonut heti mieleen tuota vaan ajattelin homman perustuvan johonkin tarkistussumman tai yksinkertaisen salausavaimen tyyliseen juttuun.

[Arne Wallen 72]

Kuten tuossa sanoin, ihmiset ja koneet näitä nysväävät joten samanlaiset ne avaavatkin, eli ihminen ja kone.

Jos joku turvaasiantuntija bunkkerissaan tuntee itsensä ja systeeminsä aukottomaksi kannattaisi aina mennä torille kahveille, näkis tavallisiakin ihmisiä ja huomaisi ehkä(toivottavasti) että muutkin osaa tietokoneita ja aivojaan käyttää.

Näinhän tämä menee.

Vaikken asiasta mitään tiedä.