Menu
Zoznámte sa s robocrow: Stroje, ktoré vystreľujú laserové lúče s dlhým dosahom na vydesenie vtákov, nahrádzajú strašiaky

Zoznámte sa s robocrow: Stroje, kto…

Lasery sa náhodne pre...

Vinár menia zbrane v boji so škorcov. Namiesto poplašných diel, používajú plašiče od Slovenského výrobcu.

Vinár menia zbrane v boji so škorco…

Vinári versus škorce. Prá...

Zlodeji automobilov môžu odomknúť 100 miliónov Volkswagenov s jednoduchým bezdrôtovým hackom

Zlodeji automobilov môžu odomknúť 1…

STRUČNEAsi 100 miliónov a...

Zlodeji používajú špeciálne čítačku na krádeže áut. BMW bolo za dve minúty preč. Keyless ? KEYLESS-GO

Zlodeji používajú špeciálne čítačku…

Zlodeji používajú špeciál...

Ako nainštalovať Linux po boku Windows (návod)

Ako nainštalovať Linux po boku Wind…

 Po zapnutí počítača si j...

Najjasnejší objekt na nočnej oblohe v roku 2018 Rocket Lab vypustili na orbitu The Humanity Star

Najjasnejší objekt na nočnej oblohe…

Rocket Lab vypustili na o...

Dravé vtáky vedia využívať oheň, boli nasadené plašiče t.j. rušiče.

Dravé vtáky vedia využívať oheň, bo…

Operení podpaľači ? Austr...

Varoval všetkých pred raketovým útokom - Havaj

Varoval všetkých pred raketovým úto…

Moderné technológie výraz...

Čo robiť so zraniteľným občianskym eID? Odporúčania - aktualizácia 1

Čo robiť so zraniteľným občianskym …

Štát konečne avizuje, k...

Každá siedma pokladnica má mať upravený softvér, daniari chystajú online evidenciu po vzore ČR

Každá siedma pokladnica má mať upra…

Kontroly colníkov ukazu...

Prev Next
Slovak Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian Persian Polish Portuguese Romanian Russian Serbian Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish

Verejná bezpečnostná analýza slovenského biometrického pasu

Prakticky sme demonštrovali načítanie nového slovenského biometrického RFID pasu. Pas je možné načítat ľubovoľnou ISO14443A RFID čítačkou (pre náš experiment sme použili lacnú touchatag čítačku).

Na prečítanie je potrebný MRZ kód, ktorý je uvedený na predposlednej strane pasu. MRZ sa skladá primárne z čísla pasu, dátumu narodenia a dátumu expirácie pasu. Na základe osobných údajov sa MRZ dá aj vypočítať. So znalosťou MRZ kódu je možné z pasu prečítať:

•všetky osobné data uvedené v pase (EF.DG1)
•fotografiu vlastníka (uloženú v JPEG) (EF.DG2)

MRZ kód ale nestačí na načítanie:
•odtlačku prstu vlastníka pasu (EF.DG3)
•"Active Authentication Public Key Info" (EF.DG15)

 

Pas nebol nijako chráneny špeciálnym puzdrom, takže ho bolo možné prečítať v zatvorenom stave zo vzdialenosti 5 cm. V prípade použitia silnej antény táto vzdialenosť môže byť podstatne väčšia (až 10 metrov a bude naďalej rásť).

Pas vracia náhodny unikátny identifikátor (UID), takže ho nie je možné na diaľku "fingerprintnúť" a teda odhadnúť výrobcu (toto správanie je možné emulovať čipovou kartou NXP JCOP 41 v2.2.1 72K RANDOM_UID).

Bez znalosti "Active Authentication Public Key Info" pas nie je možné jednoducho vyklonovať.

Potrebné overiť:
•ako sa správajú dostupné čítačky biometrických pasov na Slovensku pri chybnom hashi, digitálnom podpise, absencii AA informácie (je možné, že akceptujú aj nedokonalý klon)

•je možné vytvoriť nedokonalého klona na emulátor NXP JCOP 41 v2.2.1 72k RANDOM_UID, kedy sa EF.DG3 a EF.DG15 vyhodí z passport.indexu - bude tento klon akceptovaný slovenskými čítačkami biometrických pasov?
•overiť možnosť útoku cez postranné kanály (napr. analýza napäťovej stopy RSA v čase)
•analyzovať entropiu MRZ:
dátum expirácie pasu pri 10 rokoch = 3650 hodnôt
dátum narodenia (pri odhade +/- 5 rokov) = 3650 hodnôt
číslo pasu (2 alfaznaky + 7 číslic) = 25 * 25 * (10 ^ 7) = 6250000000 hodnôt
•je možné determinovať číslo pasu (akým spôsobom sa prideľuje?)

Máte právo byť informovaný o bezpečnosti technológií, ktoré sa týkajú vašich osobných údajov!
Projekt prebieha v spoločnosti Nethemba

Naposledy zmenenéštvrtok, 14 jún 2012 22:15
Pre písanie komentárov sa prihláste
návrat hore