Un passaporto biometrico è un passaporto dotato di un microprocessore che contiene informazioni biometriche utilizzabili per accertare l'identità del possessore. Il passaporto biometrico utilizza la tecnologia RFID, con un microchip e un'antenna posti sulla copertina anteriore, posteriore, o nella pagina centrale del passaporto. Le informazioni critiche sono sia stampate sulla pagina dei dati che salvate elettronicamente. Per autenticare i dati salvati nel chip, viene utilizzata l'infrastruttura a chiave pubblica (PKI) che rende più difficile la falsificazione. Nel dicembre 2008 i Paesi che avevano implementato i passaporti biometrici erano più di 60,[1] nel giugno 2017 erano aumentati a 120.[2]
Gli standard biometrici attualmente utilizzati sono il riconoscimento facciale, delle impronte digitali e dell'iride o della retina. Le caratteristiche del documento e del chip sono indicate nel Documento 9303 dell'ICAO,[3] che definisce i formati dei file biometrici e i protocolli di comunicazione da usare nei passaporti. Solo l'immagine digitale (di solito in formato JPEG o JPEG 2000 ) di ciascun carattere biometrico è effettivamente salvata nel chip e il confronto dei dati avviene al di fuori del microprocessore dai sistemi di controllo elettronico di frontiera. Per contenere i dati nel chip contactless, viene utilizzata una memoria EEPROM di 32 KB ed esegue su un'interfaccia con lo standard internazionale ISO/IEC 14443[Non chiaro]
Alcune carte d'identità (per esempio quelle emesse in Italia, Paesi Bassi, Albania e Brasile) sono conformi allo standard ICAO 9303 e possono essere considerate documenti di viaggio biometrici.
Protezione dei dati
I passaporti biometrici utilizzano diversi sistemi per la protezione dei dati:
Chip non tracciabili
Vengono generati degli identificatori casuali dei chip che rispondo a ogni richiesta con un numero di chip differente, prevenendo così il tracciamento dei passaporti. L'utilizzo di tale sistema è opzionale.
Basic Access Control (BAC)
Il BAC (controllo d'accesso base) protegge il canale di comunicazione tra il chip e il lettore criptando le informazioni trasmesse e prima che i dati possano essere letti, viene fornita al lettore la chiave derivante dalla Machine Readable Zone: la data di nascita dell'utente, quella di scadenza del documento e il numero di quest'ultimo. Con il sistema BAC, un malintenzionato non riesce (facilmente) ad impossessarsi delle informazioni trasferite senza possedere la chiave di decriptazione corretta. Anche l'utilizzo del BAC è facoltativo.
Autenticazione passiva
L'autenticazione passiva serve per identificare eventuali modifiche ai dati elettronici del passaporto: il chip infatti contiene un file (SOD) che salva i valori hash dei file biometrici e la loro firma digitale, ottenuta utilizzando una firma chiave del documento a sua volta con una firma chiave del paese. Se un file del chip è stato cambiato, può essere individuato dal valore hash non corretto. I lettori necessitano dell'accesso a tutte le chiavi pubbliche dei paesi per controllare se la firma digitale è generata da un paese verificato.: In un documento della CIA del settembre 2011, pubblicato da Wikileaks nel dicembre 2014, si afferma che "Sebbene i passaporti elettronici falsificati non abbiano la firma digitale corretta, gli ispettori non possono individuare la frode se i passaporti provengono da stati che non partecipano alla Public Key Directory dell'ICAO".[4] A gennaio del 2017, 55 degli oltre 60 paesi che emettono passaporti biometrici non sono membri del programma PKD.[5]
Autenticazione attiva
L'autenticazione attiva previene la clonazione dei chip: questi contengono una chiave privata che non può essere letta né copiata ma solo individuata.
Extended Access Control (EAC)
L'EAC (controllo d'accesso esteso) aggiunge la funzionalità di controllare l'autenticità sia del chip sia del lettore. utilizzando una criptazione più forte di quella utilizzata nel BAC, e viene utilizzata per proteggere le impronte digitali e le scansioni dell'iride.
Supplemental Access Control (SAC)
Il SAC (controllo d'accesso supplementare) è stato introdotto dall'ICAO nel 2009 come supplemento alle vulnerabilità del BAC, ma in futuro verrà introdotto al suo posto.
Chip schermato
Schermare il chip consente di evitare le letture non autorizzate. Alcuni paesi hanno integrano una lamina metallica molto sottile all'interno della copertina del passaporto per schermare il chip quando il documento è chiuso.[6]
Per assicurare l'interoperabilità e la funzionalità dei meccanismi di sicurezza elencati, l'ICAO e il Bundesamt für Sicherheit in der Informationstechnik (BSI) hanno realizzato numerosi test aggiornati con ogni nuovo protocollo che analizzano ogni dettaglio, partendo dalla carta fino ad arrivare al chip incluso.[7]
Processo ispettivo
Attacchi
Da quando sono stati introdotti i passaporti biometrici, si sono verificati numerosi attacchi ai sistemi di protezione.
Chip non tracciabili
Nel 2008 un team costituito da membri dell'Università Radboud di Nimega e Lausitz ha dimostrato che è possibile determinare da quale nazione proviene il chip di un passaporto senza conoscere la chiave richiesta per leggerlo.[9] Il gruppo aveva marcato i messaggi di errore dei chip di passaporti emessi da diversi stati e raccolto i dati una tabella: un hacker avrebbe potuto determinare così la provenienza di un chip. Nel 2010 Tom Chothia e Vitaliy Smirnov documentarono un attacco che consentiva il tracciamento di un passaporto individuale,[10][11] inviando specifiche richieste di autenticazione BAC . Nel 2016 "Avoine et al" ha pubblicato un sondaggio sui problemi di privacy e sicurezza nei protocolli dei passaporti, dove è stata introdotta una nuova tecnica di tracciamento basata sul tempo di risposta di comandi base.[12]
Basic Access Control (BAC)
Nel 2005 Marc Witteman dimostrò che il numero di ciascun passaporto olandese era prevedibile,[13] permettendo così ad un malintenzionato di indovinare e crackare la chiave di lettura del chip. Nel 2006 Adam Laurie ha sviluppato un software che generava tutte le chiavi conosciute dei passaporti in un determinato range, implementando una delle tecniche d'attacco di Witteman. Usando i siti di prenotazione online, buoni sconto o altre informazioni pubbliche è possibile ridurre significativamente il numero delle chiavi possibili: Laurie ha dimostrato questo tipo di attacco leggendo il chip del passaporto di un giornalista del Daily Mail contenuto nella sua custodia e senza aprirlo.[14] Da notare che in alcuni passaporti non veniva utilizzata per niente la tecnologia BAC, e i malintenzionati avrebbero potuto leggere i dati senza alcuna chiave.[15]
Autenticazione passiva
Nel 2006 Lukas Grunwald dimostrò che era possibile copiare i dati dal chip di un passaporto in una smart card con standard ISO/IEC 14443, utilizzando un'interfaccia standard contactless e un semplice strumento di trasferimento file.[16] Grunwald utilizzò un passaporto che non impiegava l'autenticazione attiva (anti-clonazione) e non cambiò i dati all'interno del chip copiato, così da mantenere valida la sua firma crittografica.
Nel 2008 Jeroen van Beek dimostrò che non tutti i sistemi d'ispezione dei passaporti controllavano la firma crittografica del chip: Van Beek alterò le informazioni di un chip e le firmò con la sua propria chiave firmata di un paese non esistente. Questa può essere individuata solo verificando le chiavi firmatarie del paese usate per certificare quelle del documento, utilizzando l'ICAO PKD[17]. Soltanto 5 degli oltre 60 paesi utilizzano questo database centrale.[18] Van Beek non aveva aggiornato il chip originale del passaporto: venne utilizzato invece un emulatore.[19]
Anche nel 2008, il gruppo internazionale The Hacker's Choice implementò tutte le tipologie di attacco e pubblicò i codici per verificare i risultati.[20] La distribuzione includeva un breve video che dimostrava i problemi avuti con un passaporto americano falso di Elvis Presley riconosciuto come valido.[21]
Autenticazione attiva
Nel 2005 Marc Witteman mostrò che la chiave segreta per l'autenticazione attiva poteva essere trovata utilizzando delle analisi di potenza,[13] permettendo così di violare i sistemi anti-clonazione dei chip se quest'ultimo è suscettibile a questo tipo di attacco
Nel 2008 Jeroen van Beek dimostrò che i meccanismi di sicurezza opzionali possono essere disattivati rimuovendo la loro presenza dall'indice dei file del passaporto,[22] permettendo così di eliminare l'autenticazione attiva e clonare il chip. Questo attacco è documentato del supplemento 7 del documento 9303 (R1-p1_v2_sIV_0006)[23] dell'ICAO e può essere evitato installando delle patch sul software del sistema ispettivo.
Nel 2014 Calderoni et al. illustrano una procedura che permette di aggirare il protocollo che garantisce l'autenticità del chip (active authentication) nei passaporti elettronici di prima generazione. La falla che abilita tale attacco è relativa ai file contenenti i metadati del chip (EF.COM, EF.SOD) e permette di nascondere all'inspection system le informazioni necessarie per l'esecuzione del protocollo[24]. Questa breccia può facilitare un malintenzionato nell'utilizzo di documenti contenenti chip clonati da documenti originali.
Extended Access Control (EAC)
Nel 2007 Lukas Grunwald illustrò un attacco che poteva disattivare i chip EAC:[25] se una chiave EAC, (richiesta per la lettura delle impronte digitali e l'aggiornamento di certificati) è stata rubata o compromessa, un malintenzionato può caricare un falso certificato con una data di rilascio distante nel futuro, e i chip violati bloccano la lettura d'accesso fino al raggiungimento di tale data.
Critiche
I sostenitori della privacy in alcuni paesi criticano le scarse informazioni fornite riguardo all'effettivo contenuto dei chip e il loro impatto sulle libertà civili.
Il principale problema sul quale chiedono chiarimenti è il fatto delle possibili vulnerabilità nel trasferimento dei dati dei passaporti attraverso la tecnologia RFID: sebbene questo possa permettere ai computer di ottenere le informazioni di una persona senza una connessione fisica, consentirebbe a chiunque con il materiale necessario di fare la stessa cosa, soprattutto se i dati nel chip non sono criptati.
"Quasi tutti i paesi che emettono questi passaporti hanno alcuni esperti di sicurezza che urlano a pieni polmoni cercando di dire: 'Questo non è sicuro. Non è una buona idea usare questa tecnologia', citando uno specialista che afferma "È troppo complicato. Non è un buon metodo quello di leggere prima i dati, analizzarli, interpretarli e dopo verificare se sono corretti. Ci sono molte falle tecniche e molte cose che sono state dimenticate, quindi non sta praticamente facendo quello che dovrebbe fare. Dovrebbe aumentare il livello di sicurezza. Ma non è così."
Nell'articolo viene citata l'opinione della rete di ricercatori informatici della Future of Identity in the Information Society, "anch'essa contraria al metodo degli ePassport [affermando che] i governi europei hanno imposto al loro popolo un documento che diminuisce drasticamente la sicurezza e aumenta il rischio di subire un furto d'identità."[27]
Molte misure di sicurezza sono state realizzate contro i cittadini diffidati, ma la comunità di sicurezza scientifica ha recentemente parlato di possibili minacce ai sistemi elettronici da parte di controllori inaffidabili, come organizzazioni governative corrotte o paesi con tecnologie poco implementate e non sicure.[28]
Le nuove soluzioni crittografiche come i biometrici privati sono state proposte per mitigare le minacce di furti d'identità di massa: queste nuove tecnologie sono in fase di studi ma ancora non sono state implementate in nessun passaporto biometrico.
Tutti i passaporti UE possiedono i dati biometrici e le impronte digitali salvati nei loro chip,[29] le specifiche tecniche dei nuovi passaporti sono stabilite dalla Commissione europea[30] e sono validi per i paesi dell'area Schengen e della UE (tranne Irlanda) e tre dei quattro membri dell'associazione europea di libero scambio – Islanda, Norvegia e Svizzera.[31] Il garante europeo della protezione dei dati ha affermato che l'attuale quadro giuridico non è in grado di "coprire tutte le possibili e rilevanti problematiche causate dalle imperfezioni inerenti dei sistemi biometrici".[32] Attualmente, i passaporti biometrici britannici e irlandesi usano solo un'immagine digitale. I passaporti tedeschi stampati dopo il primo novembre 2007 contengono due impronte digitali una per ogni mano, come anche quello rumeno e in quello dei Paesi Bassi (l'unico paese UE a voler creare un database centrale delle impronte digitali).[33] Secondo gli attuali requisiti europei, solo i paesi firmatari dell'acquis di Schengen devono aggiungere le impronte digitali biometriche.[34]
Cina
Il 30 gennaio 2011, il Ministero degli Affari Esteri della Cina ha lanciato un periodo di prova dei passaporti biometrici per gli affari pubblici. Il volto, l'impronta digitale e altre caratteristiche biometriche verranno digitalizzate e salvate sui preinstallati chip senza contatto all'interno dei passaporti.[35][36] Il primo luglio 2011, il ministero ha iniziato a rilasciare passaporti biometrici ai singoli lavoratori impegnati in affari esteri per conto del governo cinese.[37]
I passaporti biometrici ordinari sono stati introdotti dal Ministero della Pubblica Sicurezza a partire dal 15 maggio 2012:[38] Il costo di un passaporto era di 200 yuan per la prima richiesta e di 220 yuan per i rinnovi e la stampa all'estero.
Dal primo luglio 2017, il prezzo di un passaporto ordinario è stato ridotto a 160 yuan sia per le prime richieste sia per i rinnovi.[39] Ad aprile 2017, la Cina ha emesso più di 100 milioni di passaporti biometrici ordinari.[40]
Giappone
Il governo giapponese ha iniziato a emettere i passaporti biometrici nel marzo 2006, rispettando i requisiti del Visa Waiver Program statunitense che chiedevano un rilascio di questi documenti prima del 26 ottobre 2006.
India
L'India ha reso disponibile i passaporti biometrici ai cittadini a partire dal 2017,[41] dopo aver iniziato la prima fase di emissione per i diplomatici. I nuovi passaporti sono stati progettati dalla Central Passport Organization, dall'India Security Press di Nashik e dall'IIT Kanpur. Il documento contiene un chip di sicurezza con i dati personali e le scansioni: nelle prime versioni era dotato di una memoria da 64 kB chip con salvate la fotografia del possessore e le sue impronte digitali. Il passaporto biometrico è stato testato con dei lettori all'estero ed è stato notato un tempo di risposta di 4 secondi (inferiore a quello di un passaporto americano con un tempo di 10 secondi). Il documento non deve essere portato in un rivestimento metallico per ragioni di sicurezza, dato che deve essere prima passato su un lettore che, in seguito, genera le chiavi d'accesso per sbloccare il chip e leggere i dati.[42]
L'autorità indiana per i passaporti ha emesso il primo passaporto elettronico Il 25 giugno 2008 in nome del presidente indiano in carica, Pratibha Patil.
Russia
I passaporti biometrici russi sono stati introdotti nel 2006 al prezzo di 3 500 rubli e nei chip sono salvati i dati stampati, la fototessera e le impronte digitali criptate BAC.[43] Quelli stampati dopo il primo marzo 2010 sono validi 10 anni.
Stati Uniti
Le versioni biometriche dei passaporti statunitensi contengono nel chip i dati del documento e la foto del possessore senza le impronte digitali, tuttavia la memoria è abbastanza grande (64 kB) per includere gli identificatori biometrici. Il Dipartimento di Stato degli Stati Uniti d'America stampa i biometrici dal 2006, abbandonando dall'agosto del 2007 quelli normali validi fino alla loro scadenza.[44]
A seguito degli attacchi dell'11 settembre 2001, vennero aumentati i livelli di sicurezza e si intensificò la lotta ai passaporti contraffatti: nell'ottobre 2004, incominciarono gli sviluppi di un passaporto tecnologico quando il governo istituì un concorso per i migliori progetti del programma. I premi erano di circa 1 milione $ per startup, sviluppo e test. Il motore principale di questa iniziativa è stato l' "Enhanced Border Security and Visa Entry Reform Act" del 2002 (riforma sulla sicurezza di frontiera e dei visti), che prevedeva la sostituzione dei visti con i nuovi documenti elettronici. Per gli stranieri in visita negli Stati Uniti, se scelgono di entrare senza il visto tramite il Visa Waiver Program, devono adesso possedere dei passaporti biometrici che aderiscono agli standard internazionali.
^ICAO PKD, su pkddownloadsg.icao.int, .icao.int. URL consultato il 18 ottobre 2014 (archiviato dall'url originale il 18 ottobre 2014).
^ Steve Boggan, Fakeproof e-passport is cloned in minutes, in The Sunday Times, UK, 6 agosto 2008. URL consultato il 6 ottobre 2010 (archiviato dall'url originale l'8 luglio 2010).
^ePassport emulator, su dexlab.nl. URL consultato l'8 settembre 2010 (archiviato dall'url originale il 12 aprile 2010).
^The Hacker's Choice ePassport tools, su freeworld.thc.org. URL consultato l'8 settembre 2010 (archiviato dall'url originale il 16 settembre 2010).
^EC News articleArchiviato il 9 gennaio 2009 in Internet Archive. about the relevant regulations: Council Regulation (EC) 2252/2004, Commission Decision C(2005)409 adopted on 28 February 2005 and Commission Decision C(2006)2909 adopted on 28 June 2006
^Opinion of the European Data Protection Supervisor on the proposal for a Regulation of the European Parliament and of the Council amending Council Regulation (EC) No 2252/2004 on standards for security features and biometrics in passports and travel documents issued by Member States, 6 August 2008
^Chinese passports to get chipped, su usa.chinadaily.com.cn, China Daily USA. URL consultato il 5 maggio 2012 (archiviato dall'url originale il 21 settembre 2018).
^ After US tests, India to get first e-passport, After US tests, India to get first e-passport, su ndtv.com, 16 maggio 2008. URL consultato l'8 settembre 2010 (archiviato dall'url originale il 2 luglio 2008).
^(RU) Читаем биометрический паспорт, su developers.sun.ru, 3 marzo 2009. URL consultato il 5 giugno 2010 (archiviato dall'url originale il 18 giugno 2009).
^The U.S. Electronic Passport, su travel.state.gov. URL consultato il 5 giugno 2010 (archiviato dall'url originale il 27 agosto 2010).