Den britiske avis Daily Mail har bevist, at man kan stjæle en persons identitet fra de nye, sikre pas. Og man behøver ikke engang åbne konvolutten.
De nye britiske pas er udstyret med en RFID-chip (Radio Frequency IDentification). Den indeholder tre filer: En kopi af persondataene, en kopi af billedet, og en sikkerhedsfil, der checker, at de to andre filer ikke er blevet ændret.
Disse informationer ligger i den såkaldte »Machine Readable Zone«(MRZ), som er beskyttet af en krypteringsalgoritme. Dataene er beskyttet af MRZ-nøglen, som skal bruges for at kunne læse informationerne.
Daily Mail fik hjælp til hacket af it-sikkerhedskonsulenten Adam Laurie, som påpegede alvorlige fejl i sikkerheden i MRZ.
For det første har en cracker uendeligt mange forsøg til at bryde sig igennem koden. Det er i modsætning til mobiltelefoner og andet, hvor kortet spærrer sig selv, hvis man trykker forkert kode ind for mange gange.
Derudover er der let genkendelige mønstre i MRZ-nøglen. Både passets udløbsdato såvel som fødselsdatoen er altid en del af nøglen.
På to timer havde Daily Mail støvet deres forsøgspersons fødselsdato op på nettet. Og med denne var det ingen sag at bryde krypteringen og fiske de personlige data ud.
Adam Laurie havde selv skrevet koden til sit angrebsprogram, og RFID-modtageren var bygget af dele indkøbt lovligt over nettet.
Cracket tog i alt fire timer og understreger hvor vigtig sikring af personlige data er specielt i en tid, hvor identifikationskort og pas over hele Europa bliver udvidet med lignende beskyttelse.
