Connessioni / Next / Search / Sicurezza / Social
Il passaporto elettronico è inviolabile? Chiediamolo a Osama…
… Oppure a Elvis The Pelvis. Una boutade? No, un esperimento andato a buon fine di un ricercatore dell’Università di Amsterdam. Anche se non è il caso di fare (ancora) allarmismi inutili
Clonabile e modificabile: per Jeroen van Beek, ricercatore dell’Università of Amsterdam, questi sono gli aggettivi che meglio si addicono al passaporto elettronico. E van Beek lo ha dimostrato per conto del Times: prima cambiando il chip di un passaporto elettronico emesso nel Regno Unito, e poi ingannando un lettore belga con un analogo documento contraffatto.
A mo’ di nota di colore, in Inghilterra il passaporto contraffatto usava la foto di Osama bin Laden; in Belgio si è invece materializzato il compianto re del rock, Elvis Presley.
Van Beek non è nuovo a queste dimostrazioni; ma è la prima volta che viene verificata la possibilità di scrivere su un chip dati personali arbitrari e di immagazzinarvi immagini false. Ma al passaporto elettronico rimane un’arma per preservare la propria identità: la firma digitale. Un’alterazione dei dati si traduce nel rifiuto del lettore di convalidare il documento; van Beek, quindi, è dovuto intervenire creando una firma digitale - di fatto, una sorta di checksum - coerente con le modifiche fatte.
La convalida dei passaporti elettronici presuppone lo scambio di chiavi Pki tra le autorità nazionali a ciò preposte, oppure l’uso del sistema in vigore nell’Organizzazione Internazionale dell’Aviazione Civile (Icao). Quest’ultimo viene usato per fornire una soglia d’entrata alla convalida del documento, ma il sistema - chiamato Pkd, acronimo di Public Key Directory - è ben lungi dall’essere universale, e molte nazioni si affidano allo scambio bilaterale di certificati con le controparti.
Quindi, i risultati di van Beek vanno presi con le pinze - o meglio, con i dovuti distinguo: i lettori di prima generazione non sempre sono in grado di verificare la firma digitale; e anche il mancato scambio di certificati tra la nazione emittente e quella in cui è installato il lettore impedisce il controllo della firma, indebolendo il sistema di verifica dei passaporti elettronici. Più che una questione di tecnologia, quindi, si direbbe una questione di infrastrutture e di standard: ma sta di fatto che più di una crepa emerge vistosa nella sicurezza alla base dei passaporti elettronici.
Ancora nessun commento.