Onko sirupassi vaaraksi?

Elokuussa Suomessa käyttöön otettiin käyttöön uudet biometriset passit. Niiden tietosivun sisään on upotettu ns. rfid-siru, joka kommunikoi langattomasti radioaalloilla ympäristössä olevien lukulaitteiden kanssa. Sirulle on tallennettu passinhaltijan henkilötietojen lisäksi kasvokuva vektorigrafiikaksi muunnettuna.

Tuomas Kangasniemi

Uudessa passissa huolta on herättänyt tietoturva. Koska passi viestii langattomasti, tietoliikenne on periaatteessa mahdollista kaapata ulkopuolisella antennilla. Toisaalta digitaalista dataa on helppo tallentaa, monistaa ja levittää: jos tieto päätyy hakkerin koneelle tai lentokenttävirkailijoilta mafialle, sen väärinkäyttö on vaivatonta.

Sähköisen viestinnän oikeusturvakysymyksistä huolestunut kansalaisjärjestö Effi (Electronic Frontier Finland ry.) sanoo, että sirupassin tietoliikenteen kaappaus on myös käytännössä mahdollista. Tiedotustilaisuudessa 24.8. puhuivat järjestön varapuheenjohtaja Herkko Hietanen sekä sisäministeriön edustajana Tommi Rakshit, biometriahankkeen projektipäällikkö.
 
"Tietoturvan heikkouteen johtaa ennen kaikkea standardointi, joka sallii passia käyttäville valtioille tiettyjä vapauksia", totesi Hietanen. "Suomi on toteuttanut tietoliikenteen salauskoodit tiukimman mukaan, mutta esimerkiksi Saksa ja Alankomaat ovat jättäneet aukkoja."

Tommi Rakshit myönsi kritiikin osittain perustelluksi. "Tässä historia meni niin, että passistandardista vastaava ICAO päätti ensin tehdä langattoman sirun, ja vasta sitten huomattiin tietoturvaongelmat. Kontaktiton lukeminen oli perusteltua käytettävyyden vuoksi: se toimii nopeammin, lukulaitteen käyttö ei vaadi koulutusta, ja passin valmistus teollisesti on helpompaa."

Tekninen selvennys seuraa. "Salausavain perustuu tietosivulle kirjoitettuun, optisesti lukulaitteella skannattavaan alueeseen. Siinä on käyttäjän henkilötiedot, passin voimassaoloaika sekä sarjanumero. Suomessa sarjanumero on 15-numeroinen satunnaisluku, mutta monissa muissa maissa juokseva järjestysluku."

"Ilman salausavainta passin ja lukulaitteen välistä kommunikointia ei voi seurata. Keskieurooppalaisen passin suojaus on kuitenkin käytännössä vain 35-bittinen, koska järjestysnumerot ja henkilötiedot eivät tarjoa riittävän paljon vaihtoehtoja. Eräässä 120 prosessorin voimin tehdyssä brute-force -hyökkäyksessä tämä murrettiin 4 sekunnissa."

"Suomalaisessa passissa entropia on parempi, noin 48 bittiä, ja sen murtaminen veisi edellä mainitussa tapauksessa noin 10 tuntia", Rakshit jatkoi. "Sirun normaali lukuetäisyys on kuitenkin noin 10 cm. Metrin etäisyydeltä sitä on mahdollista lukea, mutta ei mitenkään kymmenen metrin päästä. Lisäksi tarvittavan antennin koko kasvaa suhteessa etäisyyden kolmanteen potenssiin."

Korruptio lieneekin käytännössä ongelmista suurin. Ministeriö korostaa elektronisen tiedontallennuksen ja passin monimutkaisen rakenteen tekevän väärentämisestä ja henkilötietojen kaappauksesta vaikeampaa, mutta tämä pitää paikkansa vain yksittäisten huijareiden tapauksessa. Järjestäytynyttä rikollisuutta ja valtiotason korruptiota vastaan suoja ei ole lainkaan aiempaa parempi.

"Passinkäyttäjistä muodostuu isoja tietokantoja, jotka jossakin vaiheessa varmasti vuotavat", Effin Herkko Hietanen arvioi. "Tällä hetkellä nämä markkinat ovat aika rajalliset, mutta ennemmin tai myöhemmin henkilötiedoista tulee kauppatavaraa."

Sisäministeriön Rakshit kuitenkin muistutti tähän, että passeja kopioidaan nykyisinkin lentokentillä.  Tiedotustilaisuuden yleisöä pointti ei täysin vakuuttanut: "Parametrisoidusta standardin mukaisesta kasvokuvasta on iso ero paperikopioon, varsinkin, jos viranomaiset haluavat myydä dataa vaikka 40 000 kappaleen erän."