Strona główna

Dowód elektroniczny - zabezpieczenia. (3)

sob, 2009-11-07 08:54 | rk3745

1. Rodzaj zabezpieczeń a niezależność obywatela od państwa

Przekonanie o prawdziwości dowodu elektronicznego nie może opierać się na zapewnieniach urzędu państwowego, że dowody są dobrze zabezpieczone. Obywatel powinien mieć możliwość samodzielnego sprawdzenia czy dowód elektroniczny jest prawdziwy tak jak w przypadku dowodu książeczkowego.

Konstrukcja systemu zabezpieczeń dowodu elektronicznego musi bazować na kompromisie między prostotą a skutecznością. Współczesne technologie umożliwiają wbudowanie w komponent elektroniczny ogromnej liczby funkcji użytkowych i serwisowych. Ilości funkcji dowodu musi być ograniczona do niezbędnego minimum. Im więcej funkcji tym większe ryzyko pojawienia się nieprzewidzianych zastosowań dla dowodu i danych w nim zgromadzonych, które mogłyby być groźne dla jego właściciela lub uderzałyby w jego interesy (
szerzej omówiłem ten problem we wpisie o dowodzie wielofunkcyjnym).

Zabezpieczenia nie powinny być oparte na bardzo skomplikowanych technologiach. Konstrukcja systemu zabezpieczeń dla komponentu elektronicznego musi być jawna i zrozumiała dla przeciętnego specjalisty komputerowego. Komponent elektroniczny dowodu nie może być czarną skrzynką, której wnętrze jest utajnione.

2. Uszczelnienie operacji na danych osobowych

Ograniczenie zakresu danych osobowych na dowodzie jest najsilniejszym czynnikiem sprzyjającym prostocie konstrukcji oraz redukcji ryzyk związanych z fałszowaniem dowodu elektronicznego i nieprzewidzianymi zastosowaniami. Poza ograniczeniem ilości danych zostały nałożone restrykcje na zmiany danych w cyklu życia dowodu:

  • Dane związane z tożsamością obywatela nie mogą być zmieniane
  • Dane związane z statusem prawno-administracyjnym obywatela i „adnotacje urzędowe” mogą być zmieniane przez uprawnione podmioty

oraz restrykcje na miejsca i sposoby zapisywania danych:

  • Dane nadrukowane na dowodzie nie będą obejmowały danych o statusie prawno-administracyjnym obywatela. Zmiana danych nadrukowanych będzie pociągała za sobą wydanie nowego dowodu
  • Identyfikatory urzędowe i cyfrowe zdjęcie właściciela dowodu będą zapisane na stałe w dedykowanym obszarze pamięci komponentu elektronicznego. Jakakolwiek zmiana tych danych pociągnie za sobą wydanie nowego dowodu.
  • Informacje o statusie prawno-administracyjnym i adnotacje urzędowe będą mogły być kasowane i zapisywane wielokrotnie w pamięci komponentu elektronicznego.
  • Zapis danych o statusie prawno-administracyjnym będzie kontrolowany przez właściciela dowodu
  • Bez zgody właściciela dowodu nie można skasować danych o statusie prawno-administracyjnym

Pamięć komponentu elektronicznego będzie podzielna na obszar jednokrotnego zapisu i obszar wielokrotnego zapisu. W pamięci jednokrotnego zapisu będą umieszczone wszystkie rodzaje danych identyfikacyjnych właściciela dowodu (identyfikatory urzędowe i zdjęcie cyfrowe twarzy). W pamięci wielokrotnego zapisu będą umieszczone dane o statusie prawno-administracyjnym obywatela oraz adnotacje urzędowe.

Zakres danych identyfikacyjnych nadrukowanych (personalizacja wizualna):

1. Identyfikatory urzędowe
2. Zdjęcie twarzy
3. Obraz graficzny odręcznego podpisu właściciela

Zakres danych identyfikacyjnych w komponencie elektronicznym:

1. Identyfikatory urzędowe
2. Cyfrowe zdjęcie twarzy o dużej precyzji (co najmniej 100kb)

3. Zabezpieczenie integralności danych

Dane w pamięci jednokrotnego zapisu będą umieszczone w trzech niezależnych zbiorach Z1, Z2 i Z3 (np. w formacie XML). Integralność zawartości zbiorów Z1 i Z2 i będzie chroniona podpisem elektronicznym wystawcy dowodu.

Zbiór Z1 = {identyfikatory urzędowe, numer PESEL, numer dowodu, numer seryjny komponentu elektronicznego, data ważności dowodu}

Zbiór Z2 = {cyfrowe zdjęcie twarzy z nałożonymi na obraz graficzny: imieniem i nazwiskiem, numerem PESEL, dwoma cyframi oznaczającymi numer dowodu i numerem seryjnym komponentu elektronicznego}

Zbiór Z3 = {certyfikat klucza publicznego dowodu podpisany przez wystawcę dowodu}. (Zakładam, że w komponencie elektronicznym będzie umieszczony klucz prywatny)

Zbiór Z1 podpisany elektronicznie przez wystawcę dowodu będzie mechanizmem bezpieczeństwa, który:

  • Utrudni przerabiane danych nadrukowanych i danych w zbiorze Z1. Nawet przerobienie jednego znaku nadrukowanego będzie łatwo wykryte przez porównanie identyfikatorów urzędowych nadrukowanych z ich kopią w zbiorze Z1 oraz ewentualne sprawdzenie podpisu.
  • Utrudni klonowanie dowodu, „przenoszenie” komponentu elektronicznego między różnymi dowodami oraz wmontowywanie podrobionych komponentów elektronicznych. Związanie podpisem elektronicznym numeru seryjnego komponentu elektronicznego dowodu z numerem dowodu i z numerem PESEL powoduje, że podrobiony dowód musiałby mieć taki sam seryjny numer komponentu elektronicznego co inny legalny dowód.

Zbiór Z2 podpisany elektronicznie przez wystawcę dowodu będzie mechanizmem bezpieczeństwa, który:

  • Utrudni podszywanie się osób podobnych do właściciela dowodu. Jeśli na podstawie zdjęcia nadrukowanego nie będzie można rozstrzygnąć wątpliwości to wyświetlenie na dużym ekranie zdjęcia cyfrowego o znacznie większej szczegółowości zmniejszy ryzyko oszustwa
  • Radykalnie zmniejszy zagrożenie przerobienia lub podmiany zdjęcia nadrukowanego. Związanie podpisem elektronicznym cyfrowego zdjęcia twarzy z numerem PESEL, numerem seryjnym komponentu elektronicznego i innymi danymi będzie bardzo silnym środkiem zabezpieczającym przed podrobieniem zdjęcia nadrukowanego

Numer dowodu elektronicznego będzie się składał z numeru PESEL i dwóch znaków oznaczających ilość dowodów wydanych temu samemu obywatelowi. Unikalność dowodu z komponentem elektronicznym będzie zapewniona przez trzy parametry:

1. Numer PESEL (wydrukowany na dowodzie)
2. Dwa znaki oznaczające ilość wydanych dowodów (wydrukowanych na dowodzie)
3. Numer seryjny komponentu elektronicznego

4. Weryfikacja tożsamości na podstawie dowodu elektronicznego

Weryfikacja tożsamości osoby na podstawie dowodu obejmuje dwa sprawdzenia:

  • Sprawdzenie zgodności cech charakterystycznych wyglądu na dowodzie z wyglądem osoby podającej się jego właściciela
  • Sprawdzenie prawdziwości dowodu tj. oryginalności blankietu dowodu i komponentu elektronicznego, oryginalności nadruku i integralności danych cyfrowych

4.1 Sprawdzanie zgodności cech charakterystycznych wyglądu

Pewność sprawdzenia zgodności cech charakterystycznych wyglądu na podstawie dowodu elektronicznego będzie zależała od kilku czynników. Poniżej kilka scenariuszy sprawdzenia zgodności wyglądu (im niższy numer scenariusza tym większe ryzyko oszustwa).

1. Sprawdzenie tradycyjne (bez sprawdzania danych w komponencie elektronicznym)
2. Sprawdzenie tradycyjne oraz sprawdzenie zgodności ze zdjęciem w komponencie elektronicznym
3. Sprawdzenie tradycyjne, sprawdzenie zgodności ze zdjęciem w komponencie elektronicznym oraz sprawdzenie prawdziwości podpisu elektronicznego zbioru Z2

4.2 Sprawdzenie prawdziwości dowodu

Sprawdzenie prawdziwości elektronicznego dowodu będzie można przeprowadzić na wiele sposobów. Poniższe algorytmy sprawdzenia dowodu są uporządkowane wg wielkości ryzyka.

1. Sprawdzenie tradycyjne (obejmujące tylko sprawdzenie zabezpieczeń nadruku i ocenę oryginalności blankietu dowodu)
2. Sprawdzenie tradycyjne, porównanie danych nadrukowanych z danymi w zbiorze Z1 oraz porównanie zdjęcia nadrukowanego ze zdjęciem w zbiorze Z2
3. Sprawdzenie tradycyjne, porównaniem danych nadrukowanych z danymi w zbiorze Z1, porównanie zdjęcia nadrukowanego ze zdjęciem w zbiorze Z2 oraz sprawdzenie on-line statusu dowodu w centralnej bazie dowodów (centralna baza dowodów będzie omówiona w następnej części)
4. Sprawdzenie tradycyjne, porównaniem danych nadrukowanych z danymi w zbiorze Z1, porównanie zdjęcia nadrukowanego ze zdjęciem w zbiorze Z2, porównanie numeru seryjnego komponentu elektronicznego z jego wartością w zbiorze Z1, sprawdzenie on-line statusu dowodu oraz sprawdzenie on-line w bazie dowodów sum kontrolnych zbiorów Z1 i Z2 lub ich podpisów elektronicznych

Wybór właściwej metody sprawdzenia powinien zależeć od ryzyka decyzji podejmowanych na podstawie weryfikacji tożsamości. W większości przypadków będzie stosowane tylko sprawdzenie tradycyjne. Scenariusz 4 powinien być stosowany do weryfikacji prawdziwości dowodu przy zawieraniu transakcji o dużym ryzyku (np. u notariusza).

rk3745
inne teksty autora...

0
To jest: Wujek Dobra Rada

"...w trzech niezależnych zbiorach Z1, Z2 i Z3..."

sob, 2009-11-07 14:42 | Wujek Dobra Rada

Gwoli ścisłości: w plikach - a nie w "zbiorach".

A w ogóle to można odnieść wrażenie, że dziarsko zmierzamy ku umieszczaniu "znamienia na ręce prawej, lub na czole".

Cała sprawa jest raczej bzdurna, i niczego wykwalifikowanym przestępcom nie utrudni: przecież chyba Autor jest świadom, że więcej śladów po przeróbkach zostaje na "części materialnej" - zaś pliki można "dograć" już po spreparowaniu "kartonika" tak, aby wszystko się zgadzało (informacja zawarta w plikach ze "znamionami zewnętrznymi"); w końcu karty kredytowe też są "klonowane". Tak więc ta elektronika nic tu takiego specjalnego nie daje, jeśli chodzi o rzekome "bezpieczeństwo transakcji" - za to powiększanie objętości dokumentu, czyli zwiększanie zakresu zawieranej przezeń informacji, służy jedynie ściślejszej kontroli nad posiadaczem takiego dowodu.

--------------------------------
„Dobra rada złota warta”

Skąd Pan wie, że

sob, 2009-11-07 15:39 | rk3745

Skąd Pan wie, że profesjonalni przestępcy nie będą mieli problemu z podrobieniem dowodu mającego zabezpieczenia opisane we wpisie. Proszę to jakoś uzasadnić. Służę dodatkowymi wyjaśnieniami, jeśli jakiś wątek jest mętny.

Jeśli Pan nie potrafi przedstawić scenariusza, który prowadziłby do podrobienia dowodu z opisanymi zabezpieczeniami, to uznaje pański komentarz za awanturnictwo.

To jest: Wujek Dobra Rada

Może Pan sobie uznawać, za co Pan chce...

sob, 2009-11-07 16:10 | Wujek Dobra Rada

...skoro nawet nie zna Pan różnicy między zbiorem - a plikiem.

Skąd Pan wie, że profesjonalni przestępcy nie będą mieli problemu z podrobieniem dowodu mającego zabezpieczenia opisane we wpisie. Proszę to jakoś uzasadnić.

Drogi Panie:

1. Karty kredytowe też są podrabiane i "klonowane" - prawda?
2. Może faktycznie niezbyt precyzyjnie się wyraziłem: może faktycznie nieco utrudni - są przecież jakieś dodatkowe czynności do wykonania - wszelako nie uniemożliwi.
3. A dlaczego nie uniemożliwi? Ano z dwóch przyczyn:
a) Przecież jakieś procedury zapisu danych będzie musiał zastosować upoważniony do tego urzędnik, prawda? I w tak skorumpowanym państwie, jakim jest III RP, będzie można - za stosownym wynagrodzeniem - dowiedzieć się (najlepiej bezpośrednio od tegoż urzędnika), "co i jak"?
b) A więc wystarczy potem zrobić użytek z tej wiedzy.
c) Najistotniejsze jest to, co powoduje, że tak samo, jak łatwiej jest skopiować elektroniczne zdjęcie np. obrazu (czyli plik w formacie JPEG, dajmy na to) - a potem poprzerabiać go, powiedzmy, Photoshopem (np. dorobić Monie Lizie sardoniczny uśmiech) - tak samo łatwiejsze jest skopiowanie niematerialnych przecież plików, zmiana ich treści, a potem "zabezpieczenie" ich z zastosowaniem procedur (podpunkt 3b), uzyskanych sposobem opisanym w podpunkcie 3a.

Łatwiej, proszę Pana, przekopiować "jotpega", uzyskując kopię 100% zgodną z zawartością pliku źródłowego - niż mozolnie sporządzić materialny falsyfikat obrazu tak, aby był on trudny do odróżnienia od oryginału. Dlatego historie o "bezpieczeństwie" to bajki; chodzi o zwiększenie kontroli nad obywatelem. To jest tak samo, jak z zakazem posiadania broni: przestępca i tak się takim zakazem nie przejmuje, więc uderza on wyłącznie w nieszkodliwego obywatela.

A teraz niech Pan sobie mnie oskarża o "awanturnictwo". Można także o "szkodnictwo".

--------------------------------
„Dobra rada złota warta”

Proszę się nie obrażać :)

sob, 2009-11-07 16:33 | rk3745

Zgadzam się tylko z jednym, że najsłabszym ogniwem jest człowiek. Zawsze można przekupić urzędnika. Zwracam uwagę, że opisany przeze mnie system zabezpieczeń nie obejmował procesu wydawania dowodu (będę także o tym pisał w następnych postach).

Zatem ponawiam moją prośbę o opisanie scenariusza podrobienia dowodu dla przypadku kiedy przestępca nie korzysta ze skorumpowanego urzędnika.

1. Jeśli chodzi o karty kredytowe to karty z czipem (EMV) nie są klonowane. Klonuje się tylko te z paskiem magnetycznym.

2. Kopiowanie „jotpega” albo pliku/zbioru tekstowego nic nie wniesie, jeśli ich zawartość jest związana z numerem seryjnym komponentu elektronicznego i cyfrowym zdjęciem właściciela dowodu poprzez podpis elektroniczny wystawcy dowodu.

To jest: Wujek Dobra Rada

Proszę zrozumieć: elektronikę i dane skopiować będzie najłatwiej

sob, 2009-11-07 17:06 | Wujek Dobra Rada

Zatem ponawiam moją prośbę o opisanie scenariusza podrobienia dowodu dla przypadku kiedy przestępca nie korzysta ze skorumpowanego urzędnika.

Proszę Pana - odnosząc się do podanych przez Pana punktów:

1. Jeśli chodzi o karty kredytowe to karty z czipem (EMV) nie są klonowane. Klonuje się tylko te z paskiem magnetycznym.

Faktycznie: na razie jeszcze nie czytałem o klonowaniu kart "czipowych". Jednakże te karty również będą (jeśli już nie są) klonowane. Dlaczego? Bo ten wyścig nie ma końca. Być może pamięta Pan, jak wchodziły pierwsze CD-ROM-y - wtedy jedną z zalet podawano jako "zabezpieczenie przed skopiowaniem". Raptem niewiele lat minęło, kiedy nagrywarki CD stały się czymś powszechnym i tanim... Pan zakłada, że technologia dziś trudno dostępna dla przestępcy zawsze już trudno dostępna pozostanie. Życie dowodzi czegoś innego.

Zapewne rozpocznie się od nielegalnego kupowania (bądź kradzieży) "pustych" kart, ale potem zacznie się także ich "produkcja".

A słyszał Pan może o tym, jak to krajowi cwaniacy podrobili "niemożliwy do podrobienia" pasek platynowy w banknotach eurosów?

2. Kopiowanie „jotpega” albo pliku/zbioru tekstowego nic nie wniesie, jeśli ich zawartość jest związana z numerem seryjnym komponentu elektronicznego i cyfrowym zdjęciem właściciela dowodu poprzez podpis elektroniczny wystawcy dowodu.

Jaki problem? Należy wyliczyć "numer seryjny komponentu", zależny od zawartości "jotpega" i podpisu elektronicznego wystawcy dowodu - tak, aby stosowna "czeksuma" się zgadzała - i wprogramowanie tegoż numeru odłożyć na sam koniec. Albo przeprowadzić te wyliczenia - i stosowne operacje programowania/zapisu - w innej kolejności, tak, aby wszystko się ze sobą zgadzało.

--------------------------------
„Dobra rada złota warta”

Jak na razie nie chce się Pan

sob, 2009-11-07 17:38 | rk3745

Jak na razie nie chce się Pan odnieść do słabych punktów zaproponowanego przeze mnie zestawu zabezpieczeń dla dowodu elektronicznego. Zatem ciągnę tematy poboczne.

Klonowanie CD i kart chipowych do zupełnie inny problem. W przypadku CD jeśli każdy oryginalny krążek będzie miał taką samą zawartość, to złamanie zabezpieczeń przed nielegalnym kopiowaniem jest tylko kwestią krótkiego czasu. Co więcej, algorytm złamania zabezpieczeń w jednej kopii można zastosować do pozostałych egzemplarzy CD (tzw. class break).

W przypadku dowodu w postaci kart chipowych jest inaczej. Tu każda karta jest inna bo ma w czipie unikalny klucz prywatny (PKI, generowany wewnątrz chipa), numer PESEL i unikalny numer seryjny chipa, którego integralność i powiązanie z kluczem prywatnym i PESELem można chronić podpisem elektronicznym.
Ja nie twierdzę, że takiego zestawu zabezpieczeń karty chipowej nie da się przełamać dla konkretnej karty w rozsądnym okresie czasu. Jednak do tej pory nikt z wybitnych ekspertów nie uznał tego choćby za łatwe (lub łatwiejsze do załamania niż w przypadku nadruku) jak Pan.

To jest: Wujek Dobra Rada

CD-RW to przykład technologii, która kiedyś NIE BYŁA dostępna...

sob, 2009-11-07 18:54 | Wujek Dobra Rada

...dla każdego (po prostu w domu). A Pan "rozmienia na drobne" całe zagadnienie, udając, że nie rozumie (a może naprawdę nie rozumiejąc).

Co do reszty: vide post "Qrczaka" poniżej - z poprawką, że zawsze można użyć odpowiednio mocnej maszyny do próby dekryptażu "brute-force"... albo włamać się do sieci, gdzie trzymane są odpowiednie "klucze".

Proszę Pana: ja, jako obywatel tego faszystowskiego państwa zwanego "III RP" oświadczam, że nie chcę - i nie potrzebuję - aby urzędnicy państwowi gromadzili stale więcej i więcej danych na mój temat. Czy te dane będą pakowane w jakichś fikuśnych dowodach - potrzebnych najwidoczniej urzędnikom, a nie obywatelom - czy też w jakikolwiek inny sposób.

Poza tym: nie mam żadnej gwarancji, iż zawarta w dowodach elektronika nie będzie mogła być użyta do czegoś jeszcze. Np. do lokalizacji aktualnego położenia mojej skromnej osoby.

--------------------------------
„Dobra rada złota warta”

To jest: Qrczak

Klonowanie

sob, 2009-11-07 17:43 | Qrczak

Łatwo jest zrobić urządzenie, którego skopiowanie jest niemożliwe dla obecnej techniki. Wystarczy standardowa asymetryczna kryptografia: urządzenie udostępnia protokół wykonujący operację podpisu kluczem prywatnym, ale samego klucza nie eksponuje. Jeśli nigdzie indziej nie jest trzymana kopia klucza prywatnego, a znany jest odpowiadający mu klucz publiczny, to można zweryfikować, że na urządzeniu jest ten klucz, którego się spodziewamy, a nie można go skopiować.

Taki system nie jest odporny na skorumpowanego technika w momencie generowania danego egzemplarza. Ale jeśli zostanie stworzony zgodnie z regułami, to zweryfikowanie jego autentyczności w dowolnej chwili jest o wiele rzędów wielkości łatwiejsze niż jego skopiowanie.

CD-ROM niczego takiego nie zawiera: pełna informacja zawarta w nim jest dostępna do odczytu, nie ma żadnego aktywnego elementu kryptograficznego.

Personalizm = socjalizm

To jest: Wujek Dobra Rada

CD-ROM podałem jako coś...

sob, 2009-11-07 18:06 | Wujek Dobra Rada

...o czym kiedyś mówiono: "nie da się skopiować, bo facet musiałby mieć tłocznię CD-ROM-ów" (w sensie: informację da się pobrać, ale nie da się zrobić wiernej kopii w celu handlowania "piratami"). Czyli technologii, która kiedyś nie była dostępna w domu. A obecnie nagrywanie CD/DVD to nic nadzwyczajnego.

--------------------------------
„Dobra rada złota warta”

To jest: Qrczak

To jest zupełnie inna sprawa

sob, 2009-11-07 19:04 | Qrczak

Kopiowalność CD wymaga odczytania informacji, której odczytywalność była celem stworzenia CD, oraz wymaga posiadania urządzenia do zapisu, które tak czy siak musiało gdzieś istnieć, żeby CD stworzyć.

Kopiowalność klucza elektronicznego wymagałaby odczytania z niego informacji, która nie jest widoczna na zewnątrz niego ani nie jest udostępniana protokołem komunikacyjnym używanym do jego weryfikacji. Nie ma czym jej odczytać. Nie jest to kwestia posiadania w domu jakiegoś urządzenia, które istnieje np. u urzędnika.

Personalizm = socjalizm

To jest: Wujek Dobra Rada

To jest dokładnie ta sama sprawa

sob, 2009-11-07 19:20 | Wujek Dobra Rada

Kiedyś stosowna technologia była dostępna jedynie w laboratoriach - lub w przemyśle - a obecnie w domu.

Napisałem, poza tym w poście powyżej, o tym, że dostępność hi-tech się zmienia:
W epoce komputerków 8-bit nawet mi się nie śniło, że tak szybko będę mógł kupić po prostu w sklepie 8-rdzeniowe 64-bitowe "numbercrunchery" (i nawet lepsze, niż Intele, np. SPARC Niagara). A Pan zakłada, że skoro dzisiaj stosowne pary kluczy są pewnym zabezpieczeniem, to np. pojutrze nie będą dostępne w handlu maszyny, które mi wygenerują, co trzeba, metodą "brute-force". Zawsze też można próbować np. włamania do sieci, gdzie trzymają te klucze. Możliwości jest wiele - a Pan skupił się na jednej z nich.

Zna Pan tę historię? Jest to przykład użycia powszechnie dostępnego sprzętu do "roztrzaskania" zabezpieczeń, do których ma Pan tak nieograniczone zaufanie.

--------------------------------
„Dobra rada złota warta”

To jest: Qrczak

To jest inna sprawa

sob, 2009-11-07 20:08 | Qrczak

Nie mówię, że ufam nieograniczenie. Poszczególne algorytmy kryptograficzne mogą być z czasem złamane albo osłabione. Jednak są pewniejsze niż poleganie na odręcznym podpisie, więc tożsamość byłaby trudniejsza do podrobienia niż obecnie.

Personalizm = socjalizm

Można wyświetlać komentarze w różnych formach:

Wybierz i zachowaj swoje preferencje wyświetlania komentarzy. Kliknij "Zachowaj" po ustawieniu zmian.