Passaporti elettronici a rischio sniffing

La società di sicurezza Riscure è riuscita a decifrare facilmente i codici dei passaporti elettronici distribuiti in Olanda: basta un'antenna e un normale PC per impossessarsi di tutti i dati sensibili
La società di sicurezza Riscure è riuscita a decifrare facilmente i codici dei passaporti elettronici distribuiti in Olanda: basta un'antenna e un normale PC per impossessarsi di tutti i dati sensibili


Roma – I passaporti elettronici con tecnologia wireless integrata non sono sicuri . Questa è l’ opinione non solo delle associazioni che difendono gli interessi e i diritti della privacy dei consumatori, ma anche della società di sicurezza Riscure .

L’azienda olandese, specializzata nel comparto smart card, ha dichiarato che una serie di test hanno dimostrato l’inefficienza del sistema di protezione degli e-passport RFID testati attualmente in Olanda. Per intercettare la comunicazione wireless fra i passaporti e i reader è sufficiente un’antenna e un dispositivo di rilevamento posizionato a circa dieci metri dalle postazioni di controllo. La decifrazione dei dati, poi, è possibile in non più di due ore con un comune PC dotato di un’applicazione specifica. Insomma, tutte le informazioni personali contenute negli e-passport sarebbero disponibili in poche ore a chiunque volesse appropriarsene.

Il “codice segreto” è anche piuttosto banale, composto com’è da data di scadenza del documento, data di nascita del possessore e numero identificativo del passaporto. Gli e-passport olandesi, che condividono con quelli degli altri paesi occidentali la maggior parte delle soluzioni tecnologiche adottate, avrebbero dimostrato di sfruttare uno schema di numerazione sequenziale altamente insicuro .

Harko Robroch, direttore di Riscure, è convinto che questo problema riguarderà la prima serie di e-passport che verranno distribuiti dal Governo olandese il prossimo agosto, e probabilmente anche gli analoghi documenti tedeschi e svizzeri .

“Tutto il gioco della decifratura, una volta scoperta la correlazione fra il codice identificativo e i dati del possessore, è quanto mai semplice. L’età, e quindi la data di nascita, può essere stimata ad occhio; il documento è valido per non più di cinque anni. La progressione sequenziale della numerazione dei passaporti può essere rilevata monitorando il numero di documenti rilasciati ogni giorno in Olanda. Tutto questo permette, con applicazioni specifiche, di raggiungere l’obiettivo”, ha spiegato Robroch a securitydocumentworld.com .

L’analista olandese per calcolare il numero di consegne giornaliere dei passaporti ha furbescamente studiato dozzine di e-passport e comparato il numero progressivo con la data di scadenza. Il risultato finale gli ha permesso di valutare una distribuzione quotidiana prossima alle 5mila unità.

“In presenza di questi dati, l’efficacia algoritmica della protezione scende dai 50/60 bit a circa 35 bit , rendendo possibile così il cracking in poche ore. Il Governo ha accolto le mie indicazioni e credo che la soluzione al problema sia possibile. La scelta, ad esempio, di utilizzare uno schema di numerazione non prevedibile potrebbe migliorare la sicurezza complessiva”, ha spiegato Robroch.

Dario d’Elia

Link copiato negli appunti

Ti potrebbe interessare

31 01 2006
Link copiato negli appunti