美护照卡RFID安全风险大

【大纪元10月26日讯】（大纪元记者肖见综合编译）美国安全研究人员发现，最新推出的从陆路或海路过境美国海关所使用的电子护照卡或加强版驾照（enhanced driver’s licenses）上的无线电频身份（radio-frequency identification, RFID）芯片，非常容易被窃取或被修改。

《国际数据新闻》(IDG)23日报导，根据《西半球旅行动议》，美国要求公民出入境均须持护照等有效身份证件 。为方便经常出入境的旅客，今年初提出了从陆路和海路出入境可持电子护照或加强版驾照的计划。后者是为边境州的居民提供的，目前华盛顿州和纽约州有加强版驾照的计划。过境时，持卡人可以不需将卡交给边境检查员，而是通过一个边境读卡器。如果海关人员没有抽查到假冒的电子卡，冒牌持卡人就可蒙混过关。另一个危险是，芯片可在150英尺以外读取。犯罪分子可以在没有被发现的情况下读卡，还可以用来跟踪持卡人的行踪。

华盛顿大学(University of Washington)计算机科学和工程专业助理教授柯农(Tadayoshi Kohno)认为，有些可用于芯片的安全机制，联邦和州政府都没有使用。例如，每个芯片有两个专门的数字：访问密码（access PIN，即个人识别号码）和一个主密码。这些密码都比银行卡号码长，不是由持卡人选定的。访问密码可以用来验证芯片是否是合法的，而主密码可以用来使标签不可阅读。

电子护照卡和加强版驾照上都有访问密码，但研究人员认为政府部门没有使用更多安全措施。例如，安全人员可以从一个数据库测试访问密码。而主密码容易受到攻击，犯罪分子可以使所有的卡在某一关卡无法读取。这种攻击可能损害旅游持卡者的信心。

华盛顿邮报报导，目前有45个国家根据国际标准发行电子护照。芯片上的信息包括姓名、生日、护照号和持卡人照片等。阿姆斯特丹大学的安全研究者毕克（Jeroen van Beek）在演示中显示，他的软件可以用来复制和操纵芯片上的数据，并把数据转到一个假冒或被盗用的护照，用来掩盖假护照持有人的身份。

电子护照芯片中有护照发行国的数据编码加密。这样发行国可以得知持卡人的数据有无更改。问题是，45个国家中只有10个国家同意共享护照信息。而实际上只有5个国家正在积极地分享数据。因此，如果有人改换了卡上的姓名称或照片后用上自己的加密，只有几个国家将能够发现信息已被篡改。

研究人员已经向联邦和华盛顿州政府提出建议。国土安全部表示要改进安全措施。研究人员建议使用标准大小护照，而不是护照卡。因为标准大小的护照中的芯片有加密码保护。护照封面有金属保护可免于泄密。出于自我保护，使用者可在电子护照卡或驾照卡外配上保护套以帮助防止秘密扫描。

(http://www.dajiyuan.com)