Uporaba kriptografije v internetu
Kazalo   
 

Biometrični potni list

Tako imenujemo potni list, ki ima vstavljen brezkontaktni čip z biometričnimi podatki o lastniku potnega lista. Za zaščito čipa so uporabljeni kriptografski postopki.

Standarde zanj je začela razvijati skupina ekspertov pri ICAO že leta 1986, do aprila 2010 pa naj bi vse njene države članice (trenutno jih je 189) začele izdajati potne listine z brezkontaktnimi čipi. Najbrž večina držav res ne bi hitela s tem, če ne bi leta 2004 prišlo do odločitve ZDA, da bodo podaljšale veljavnost sporazuma Visa Waiver Program samo tistim državam, ki bodo najkasneje do 26.10.2006 začele izdajati biometrične potne liste. Tako je Svet Evropske unije januarja 2005 sprejel Uredbo 2252/2004, ki določa varnostne značilnosti in biometrične podatke v potnih listih za države članice. Tehnične specifikacije so natančneje določene v odločbi Komisije 28/06/2006. C(2006) 2909. Slovenija je začela izdajati take potne liste 28.8.2006 (vir MNZ), kot je bilo zahtevano v uredbi sveta EU.

Ker gre za projekt, ki se tiče toliko držav, razvoj poteka v več fazah in na čip se bo postopoma dodajalo nove varnostne elemente.

Običajni potni list ima vpisane podatke o lastniku, vsebuje njegovo sliko in dve vrstici strojno berljivih podatkov (MRZ - Machine Readable Zone) in mora ustrezati nekaterim fizičnim varnostnim standardom (poseben papir, vodni tisk, ...). Če odprete svoj potni list, boste MRZ našli na levem robu - to sta dve strojno berljivi vrstici po 44 znakov, ki vsebujeta med drugim ime in priimek lastnika, njegov rojstni datum in številko potnega lista. Več o tem najdete na strani http://www.highprogrammer.com/alan/numbers/mrp.html.

Čip pa vsebuje MRZ, biometrične podatke in elemente za digitalno zaščito podatkov na njem. Po specifikaciji ICAO, iz katere je vzeta slika na desni, so podatki na čipu razvrščeni v 16 skupin.

Kot vidimo, prvo skupino (DG1) predstavlja MRZ. V drugo skupino (DG2) spada slika obraza v formatu jpeg, v tretjo (DG3) prstni odtis in v četrto (DG4) slika šarenice. Zaenkrat sta na čipih potnih listov evropskih držav in ZDA samo prvi dve skupini - torej samo taki podatki, kot na običajnem potnem listu. V naslednji fazi bosta dodana tudi prstna odtisa obeh kazalcev, obenem pa se bo dogradil sistem zaščite podatkov na čipu.

Kako pa naj bi bili podatki na čipu zaščiteni?

To je opisano v dokumentih PKI For Machine Readable Travel Documents offering ICC read-only access in Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control, ki ga je pripravil Nemški urad za varnost in informatiko, ter v odločbi Komisije 28/06/2006. C(2006) 2909.

Na čipu se poleg podatkov imetnika nahaja "varnostni objekt" - Document Security Object (okrajšano SOD), ki vsebuje digitalno podpisane povzetke vseh skupin podatkov, ki so na čipu. Za digitalni podpis se uporabi zasebni ključ podpisnika dokumentov (Document Signer oziroma okrajšano DS). Podpisniku dokumentov pa izda digitalno potrdilo državni overitelj (Country Signing Certificate Authority oziroma okrajšano CSCA). Tako je morala vsaka država, ki izdaja biometrične potne liste po teh specifikacijah, ustanoviti posebnega izdajatelja digitalnih potrdil za biometrične potne listine. V Sloveniji je to CSCA-SI, ki izdaja potrdila DS. Z DS upravlja MNZ kot naročnik potnih listov, nameščen pa je v Cetisu, ki je izdelovalec potnih listov. Potrdilo DS je tudi zapisano na čipu, da se tako nadzornim sistemom na mejah olajša preverjanje digitalnega podpisa in nespremenjenost podatkov na čipu.

Navedene so naslednje možnosti zaščite, od katerih se pri sedaj izdanih potnih listih uporabljata samo prvi dve:

 • osnovni nadzor dostopa (Basic Access Control - BAC)
  Ta kontrola je pa obvezna po odločbi Evropske komisije.
  Kontrolor odpre potni list in ga položi na optični čitalec, da ta prebere MRZ in ga sporoči nadzornemu sistemu (terminalu). Ta iz MRZ izračuna ključ za simetrični algoritem trojni DES. Čip in terminal potem oba poznata ključ in vzpostavita zašifrirano povezavo po predpisanem postopku. Če čip ugotovi, da terminal ne pozna ključa, ne dovoli dostopa do podatkov.
  Čitalec mora torej poznati ključ, če hoče prebrati podatke na čipu, zato naj bi to preprečilo, da poljuben čitalec posname podatke iz čipa (skimming). Ker MRZ ne moremo prebrati, če je potni list zaprt, sklepamo, da je lastnik prostovoljno izročil svoj potni list v pregled. Ta kontrola pa ne more preprečiti, da bi čip kopirali.

 • pasivna avtentikacija (Passive Authentication)
  Ta kontrola je obvezna po dokumentu ICAO, torej za vse biometrične potne liste.
  Terminal preveri digitalni podpis SOD tako, da uporabi javni ključ podpisnika, ki je na čipu. Verodostojnost podpisnika preveri tako, da ugotovi, ali mu je potrdilo izdal ustrezni državni CSCA. Digitalna potrdila CSCA ne bodo javno dostopna, ampak si jih bodo države med seboj izmenjevale po diplomatski poti. Če bi torej nekdo hotel spremeniti podatke na čipu, bi moral poznati zasebni ključ podpisnika (izdelovalca potnih listov). Dokazuje, da podatki na čipu niso bili spremenjeni. Ne prepreči pa, da bi čip kopirali ali nadomestili z drugim.

 • aktivna avtentikacija (Active Authentication)
  Po ICAO specifikaciji ni obvezna, prav tako ne po specifikaciji EU.
  Vsak čip vsebuje poseben par asimetričnih ključev za aktivno avtentikacijo in sicer javni ključ v skupini 15 (DG15), zasebni ključ pa v zaščitenem delu spomina. Zasebni ključ lahko uporabi le čip v internih operacijah, ne da pa se ga prebrati. Ker je povzetek javnega ključa vključen v SOD, bi zamenjavo tega para ključev odkrili pri pasivni avtentikaciji. Terminal pošlje čipu v podpis naključno generirano število in z uporabo ključa v DG15 preveri, da je odgovor res podpisan z zasebnim ključem čipa. To dokazuje, da čip ni bil kopiran ali nadomeščen z drugim. Ker pa bi se ta sistem lahko zlorabilo za sledenje osebam in predstavlja grožnjo zasebnosti, kaže, da bodo države EU namesto njega uporabile "avtentikacijo čipa".

 • razširjeni nadzor dostopa (Extended Access Control - EAC) sestavljata dve kontroli, ki bosta za potne liste držav EU obvezni najkasneje od 28.junija 2009, ko bodo na čipu prstni odtisi:
  • avtentikacija čipa (Chip Authentication)
   Čip vsebuje par asimetričnih ključev za avtentikacijo in sicer javni ključ v skupini 14 (DG14), zasebni ključ pa v zaščitenem delu spomina. Zasebni ključ lahko uporabi le čip v internih operacijah, ne da pa se ga prebrati. Čip in nadzorni sistem se z uporabo asimetričnega algoritma dogovorita za skupni simetrični ključ za nadaljnji dostop do občutljivih podatkov. Ker je povzetek javnega ključa vključen v SOD, bi zamenjavo tega para ključev odkrili pri pasivni avtentikaciji. To dokazuje, da čip ni bil zamenjan in da je SOD prebran z verodostojnega čipa. Nadomešča "aktivno avtentikacijo", je pa ta sistem boljši, ker čip pri vzpostavitvi komunikacije z nadzornim sistemom ne podpiše poslanega sporočila, poleg tega pa se zagotovi močno enkripcijo za dostop do občutljivih podatkov na čipu.
  • avtentikacija terminala (Terminal Authetication)
   Čip dovoli povezavo samo nadzornim sistemom (Inspection systems - IS), ki imajo digitalno potrdilo sistema za overjanje dokumentov ("Document Verifier - DV") in pripadajoči zasebni ključ. Sistemom za overjanje dokumentov pa potrdilo izda državni overitelj CVCA (Country Verifying Certificate Authority). Države bodo torej morale poleg CSCA vzpostaviti še eno infrastrukturo javnih ključev za nadzorne sisteme - državno CVCA, ki bo izdajala potrdila sistemom za overjanje dokumentov (DV), ti pa jih bodo izdajali posameznim nadzornim sistemom - terminalom na mejah (IS). CVCA izdaja potrdila tudi DV drugih držav. Digitalno potrdilo državne CVCA se shrani v zaščiteni del spomina čipa v fazi personalizacije. Potrdila iz performančnih razlogov niso po standardu X.509V3.
   To PKI prikazuje slika iz dokumenta http://www.bsi.bund.de/fachthem/epass/EACTR03110_v101.pdf:
   V Sloveniji bomo verjetno imeli en sam DV, s katerim bo najbrž upravljala policija. Ta bo izdajal digitalna potrdila vsem slovenskim IS, obenem pa bo moral zahtevati digitalna potrdila zase od CVCA drugih držav. Ko bo ta potrdila dobil, jih mora posredovati vsem slovenskim IS. Kot primer vzemimo, da se bo na mejni kontroli v Sloveniji pojavil državljan Avstrije. Čip na njegovem potnem listu bo zahteval od IS potrdilo , ki ga je DV Slovenije prejel od avstrijske CVCA. Ker čip vsebuje digitalno potrdilo avstrijske CVCA v svojem spominu, lahko preveri, ali IS pozna potrdilo DV, ki je bilo izdano od avstrijske CVCA in samo takim IS dovoli dostop do podatkov.
   Kako si bodo države izmenjevale digitalna potrdila in zahtevke za digitalna potrdila, še ni dorečeno. Tu bo treba zagotoviti interoperabilnost in neprekinjeno delovanje ustreznih strežnikov, s čimer se ukvarja posebna skupina ekspertov Brussels Interoperability Group (BIG). Problem je tudi v tem, da se veljavnost digitalnih potrdil in potnih listov ne pokrivajo. Zato je treba omogočiti, da čipi ob kontaktih z IS v katerikoli državi naložijo novo potrdilo svoje matične CVCA, ko staro potrdilo preteče ali postane neveljavno. Strokovnjaki BIG bodo imeli še precej dela, da bodo uskladili izmenjavo potrdil in stestirali povezljivost opreme in postopkov med toliko državami, bo pa to prva svetovna PKI.

Ko bodo na čipih občutljivi podatki, naj bi se stopnje preverjanja izvršile v naslednjem vrstnem redu:

 1. BAC - obvezno
 2. avtentikacija čipa - obvezno
 3. pasivna avtentikacija - obvezno
 4. branje manj občutljivih podatkov - opcijsko
 5. avtentikacija terminala - opcijsko
 6. branje občutljivih podatkov - opcijsko
Prve tri stopnje zagotavljajo, da čip ni bil kopiran ali zamenjan, da podatki na njem niso bili spremenjeni, poleg tega je prisluškovanje onemogočeno zaradi šifriranja povezave, ki se vzpostavi ob avtentikaciji čipa. Dostop do občutljivih podatkov je omogočen samo pooblaščenim nadzornim sistemom.


Zaenkrat torej na čipih potnih listih držav EU ni občutljivih podatkov, oziroma so samo taki podatki, kot na tradicionalnih potnih listih. Zato se smatra, da zadostuje, če se uporabljata samo osnovna kontrola (BAC) in pasivna avtentikacija, ki ne moreta preprečiti kopiranja čipa. Ko bodo na čipih potnih listov občutljivi podatki, bo dodatna kontrola EAC poskrbela za boljšo zaščito.

Že od začetka 2006 se pojavljajo članki z naslovi kot "Biometrični potni listi razbiti" (primer). Očitki so v glavnem treh vrst:

 • čip se da kopirati
  Dokler ne bo uveden razširjeni nadzor dostopa (EAC), čip ni zaščiten pred kopiranjem in to jasno piše v specifikacijah. Kaj pa dosežemo s kopiranjem oziroma kloniranjem čipa? Če se podatkov na čipu ne da spremeniti, bi moral biti novi lastnik fizično zelo podoben prvotnemu lastniku, da kontrolor ne bi opazil razlike. Lukas Grünwald, ki ga najpogosteje citirajo časopisi, ni naredil nič drugega, kot da je skopiral čip s svojega potnega lista na prazen čip (glej komentar). Za "razbitje čipa" bi bilo potrebno več:
  • na prekopiranem čipu bi spremenili podatke (recimo zamenjali sliko).
   Ker so digitalno podpisani, bi morali najti par ključev DS, s katerim je podpisan SOD, in tvoriti nov podpis, sicer bo kontrola BAC odkrila spremembo.
  • na kopirani čip bi dopisali zlonamerno kodo, ki bi povzročila nepravilno delovanje nadzornih sistemov
   O takih zlorabah ni poročil.

 • osnovna kontrola (BAC) je slabo zasnovana
  Simetrični ključ, s katerim se omogoči dostop do vsebine čipa, sestavljajo 10-mestna številka potnega lista, datum rojstva in datum veljavnosti potnega lista. Če bi prisluškovali komunikaciji med čipom in nadzornim sistemom ter posneli pakete, ki jih oddaja čip, obenem pa zabeležili približno starost lastnika potnega lista, bi lahko naknadno s poskušanjem ugotovili simetrični ključ in tako prišli do podatkov na čipu, ne da bi poznali MRZ. Število potrebnih poskusov se zelo zmanjša, če vemo za približno starost lastnika potnega lista, če lahko zožimo datume veljavnosti potnega lista in če država izdaja potne liste z zaporednimi številkami, kar so ugotovili za Dansko. Tudi prispevek v Guardianu govori o tej temi. To pa bi lahko bilo problematično kot vdor v zasebnost - če vemo, kje je nekdo bil v določenem času.
  Čeprav za čip velja, da deluje optimalno na razdalji do 15 cm, nekateri navajajo, da se mu da prisluškovati tudi z razdalje več metrov. Problematično bi bilo n.pr. če bi nevesten hotelir shranil podatke MRZ s potnih listov znanih osebnosti in jih potem prodajal. Kontakte neželenim čitalcem enostavno preprečimo tako, da potni list ovijemo v staniol.

 • razširjeni nadzor dostopa (EAC) ne bo veljal za vse podatke na čipu, ampak samo za občutljive podatke (prstne odtise, ...)
  Konzorcij FIDIS (Future of Identity in the Information Society) je opozoril na to, da EAC ni mednarodni standard (ni ga pripravil ICAO, ampak nemški BSI), zato ni obvezen za vse države. Izdali so poseben poziv, da je potrebno v naslednjih treh letih razviti nov varnostni koncept za biometrične potne liste, ki bi veljal po celem svetu.


Pavla Lah, januar 2007