Elektroniczne dowody tożsamości wydają się potencjalnie użyteczne, ale też mogą nam przysporzyć bardzo wiele kłopotów. Zanim wejdą do użytku, trzeba dołożyć starań, by nie odziedziczyły znanych dziś problemów, ale czy to możliwe?

We wszystkich poważniejszych atakach terrorystycznych były używane fałszywe paszporty. Takie są wnioski zawarte w opublikowanym niedawno raporcie zespołu ekspertów Komisji Europejskiej. Zdaje się, że informacja ta będzie potraktowana jako ostateczny argument za zmianami w systemie identyfikacji obywateli. Stosowne gremia już zastanawiają się nad wyborem odpowiednich technologii. Kolczykowania na razie nie będzie, ale...

Jak dotąd Amerykanie dla swoich nowych paszportów wybrali technologię RFID. Cienka siateczka z metalowej folii ma być wklejona w okładki paszportu i zaprogramowana przy jego wydawaniu. Będzie to wyglądać mniej więcej tak, jak stosowane w niektórych sklepach samoprzylepne zabezpieczenia antykradzieżowe. Niewielki układ scalony ma być odczytywany na bramce granicznej za pomocą fal radiowych.

Amerykańskie rozwiązanie identyfikacyjne ma dawać kilkupoziomowe bezpieczeństwo. Informacje wyświetlają się na ekranie funkcjonariuszowi straży granicznej, pozwalając naocznie potwierdzić tożsamość właściciela i porównać z tym, co jest wydrukowane na stronach paszportu. Paszport można oczywiście sprawdzić i bez czytnika radiowego. Wszystko to brzmi rozsądnie i bezpiecznie - układ RFID może być zapisany tylko raz, co uniemożliwia ponowne zapisanie fałszywych danych. Bardziej istotne jest jednak to, że informacja zawarta w chipie będzie podpisana cyfrowo, co pozwoli upewnić się, że zapisał ją faktycznie uprawniony urząd.

Nie wszyscy są jednak orędownikami nowych paszportów. Przeciw nim występują organizacje zajmujące się ochroną prywatności i nie chodzi tu wyłącznie o czepianie się dla zasady, ale o poważne zarzuty. Projektanci zapewniają na przykład, że paszportu nie da się odczytać z odległości większej niż kilka centymetrów, gdy tymczasem niezależni badacze sugerują, że jest to możliwe nawet z kilku metrów.

Potwierdzeniem tych obaw jest eksperyment, który w lutym br. przeprowadziło kilku młodych ludzi w Los Angeles. Pokazali, że łączność krótkiego zasięgu wykorzystująca radio Bluetooth można z powodzeniem podsłuchać z odległości znacznie większej niż kilometr. Producenci w swoich materiałach mówią o maksymalnym zasięgu rzędu 10 m, trudno się zatem dziwić tym, którzy mają wątpliwości. Oczywiście, kilka metrów to nie kilometr, powiedzą niektórzy. Ale do skutecznego zbierania danych z paszportów RFID wystarczy nawet pół metra, np. instalując niewielkie urządzenie w ścianie korytarza, którym przechodzą podróżni.

Komu mogą być potrzebne te dane? Tym, którzy nimi handlują dla zysku, lub tym, którzy chcą je wykorzystać do celów przestępczych. Komplet danych paszportowych na pewno znajdzie nabywców, tak jak wzięcie mają fałszywe prawa jazdy. Ich głównymi odbiorcami są wprawdzie spragnieni alkoholu licealiści, którzy w przeciwnym razie musieliby poczekać do 21 roku życia, niemniej można sobie wyobrazić poważniejsze konsekwencje fałszowania dokumentów, np. wyłudzanie kredytów, zakładanie kont bankowych (i nie tylko).

Departament Stanu USA przyznał w końcu, że odczytanie danych z układu RFID jest możliwe z odległości większej niż początkowo zakładano i zasugerował, by okładki paszportów zawierały ekranującą folię aluminiową, która uniemożliwi odczytanie zawartości chipa, jeśli paszport będzie zamknięty. Pomysł prosty i skuteczny, ale nie ulega wątpliwości, że jest to leczenie objawów, a nie przyczyn choroby.

Elektroniczny wyścig

Przypadek amerykańskich paszportów pokazuje, że elektroniczny dokument tożsamości może stworzyć co najmniej tyle samo problemów, ile rozwiązuje. Zwłaszcza technologie radiowe są tutaj potencjalną puszką Pandory. Trudno dziś ocenić, czy technologia sieci WLAN faktycznie dała komukolwiek święty spokój i oszczędności na okablowaniu, czego oczekiwała większość jej odbiorców. Szybko okazało się, że firmy, które wdrożyły sieci WLAN, stały się lokalnymi rozgłośniami radiowymi nadającymi wewnętrzną korespondencję w promieniu do kilku kilometrów.

Nawet zresztą ci, którzy korzystali z technologii WLAN w sposób rozsądny, włączając szyfrowanie WEP, cieszyli się tym krótko. WEP został złamany. Tak zaczęło się łatanie, które trwa do dziś. Stare urządzenia trzeba było zastąpić nowymi, które "prawie na pewno" są bezpieczne. Tu też mamy do czynienia z usuwaniem skutków, a nie przyczyn problemu, z tą różnicą, że stawka w przypadku elektronicznej tożsamości sankcjonowanej przez prawo jest zasadniczo większa.

Sieci bezprzewodowe to nie jedyny przypadek, w którym rozwiązania opierające się na wątpliwych podstawach technicznych doprowadziły do kryzysu zaufania ich użytkowników. W erze przedinformatycznej bankierzy doprowadzili technologie zabezpieczeń do takiego poziomu, że wyczyny kasiarzy w rodzaju Kramera i Szpicbródki przeszły do historii. Napady na banki przestały być opłacalne. Tak było, dopóki nie pojawiła się bankowość elektroniczna.

Zabezpieczenia samych serwisów bankowych rzadko są łamane - głośno było o tym raptem kilka razy (kradzież 10 mln USD z Citibanku w 1994 r., udaremnione włamanie do londyńskiego banku Sumitomo w 2004 r.). Od tamtego czasu złodzieje zabrali się do roboty. Elektroniczna tożsamość, jeśli użyć tego słowa w odniesieniu do identyfikatorów używanych we współczesnej bankowości internetowej, każdego roku przynosi miliardowe straty na samych tylko wyłudzeniach opierających się na phishingu.

Bankowość internetowa miała być przyjemna, szybka i bezpieczna, tymczasem okazała się kopalnią złota (i to prawdziwego) dla złodziei, którzy wcześniej musieli ziębnąć w ciemnych zaułkach z kijami bejsbolowymi. Teraz siedzą w ciepłych mieszkaniach za klawiaturami, zbierając loginy, hasła i numery kart kredytowych, czyli elektroniczne tożsamości swoich ofiar. W bezdusznej sieci nie da się odróżnić, czy operacje na koncie wykonuje prawowity właściciel, czy przestępca.

I oto mamy niby-odpowiedź tych, którzy z racji funkcji odpowiadają na wyzwanie złodziei tożsamości. Mowa o uwierzytelnianiu wieloczynnikowym (multifactor authentication), czyli o połączeniu hasła z dodatkowym elementem zabezpieczającym. Jedni stosują tokeny generujące zmieniające się z czasem hasła jednokrotne, inni wprowadzają dodatkowe uwierzytelnienie innym kanałem (np. przez SMS). Mechanizmy te faktycznie chronią użytkownika, ale głównie przed atakami, które były znane... 10 lat temu.

Znany kryptolog Bruce Schneier prorokuje, że banki wydadzą w najbliższych latach miliony na wyposażenie klientów w tokeny i inne narzędzia wzmacniające uwierzytelnienie. Twierdzi przy tym, że zyskają tylko te z nich, które zrobią to jako pierwsze, i to tylko przejściowo, gdy złodzieje skupią się na łatwiejszych ofiarach. W ostatecznym rozrachunku, jak sugeruje Schneier, liczba kradzieży w bankowości elektronicznej spadnie nieznacznie.

Dlaczego? Ano dlatego, że potencjalny zysk z udanego włamania jest na tyle duży, że przestępcom opłaca się uciekać do stosunkowo zaawansowanych technicznie metod ataków, które do niedawna istniały tylko na papierze. Coraz powszechniejsze ataki z użyciem koni trojańskich, oprogramowania szpiegującego, czy też ataki typu man-in-the-middle nie są wrażliwe na stosowanie haseł jednorazowych czy potwierdzanie logowania przez SMS. Konstrukcja tych ataków polega bowiem na tym, że złodziej pozwala się użytkownikowi zalogować i dopiero wtedy przejmuje kontrolę.