Hopp til navigasjon Hopp til innhold

Biometriske pass hacket

Nederlandske sikkerhetseksperter har vist hvor enkelt det kan være å stjele biometri-informasjonen i det nye passet ditt.

Norsk pass
Etter terrorangrepene mot USA 11. september 2001 har strengere krav til reisedokumenter gjort at norske myndigheter har valgt å innføre såkalt biometriske pass. Det vil si at fysiske data som er unike for deg, som ansiktsform og fingeravtrykk, lagres i en liten brikke i passet.

Garanterer sikkerehten

Denne brikken er en såkalt RFID-brikke, som skal kunne lese trådløst på flyplasser rundt om i verden. Datatilsynet har tidligere uttrykt bekymring for om disse er sikre nok, og etterlyst dokumentasjon fra Politidirektoratet for hvilke sikkerhetsvurderinger som er gjort.

Politidirektoratet på sin side hevder at det ikke er noen problemer med sikkerheten til de nye passene, og garanterer at brikkene ikke kan leses på en avstand større enn 10 cm.

– Koden for lett å knekke

Nå har imidlertid et nederlandsk sikkerhetsselskap gått gjennom sikkerheten i forbindelse med testing av biometriske pass i Nederland. Denne har vist at de nederlandske brikkene kan leses på en avstand på opptil 10 meter, i tillegg til at krypteringen er langt enklere å knekke enn den burde være.

Forutsigbarheter i nummereringen av passene, ved at enkelte tall blant annet korresponderer med hverandre, gjør jobben langt enklere enn tilsiktet for en som vil knekke koden. Det nederlandske sikkerhetsselskapet Riscure har hittil avdekket denne svakheten ved tyske og nederlandske pass.

Trenger 30-40 passnummer for å knekke koden

– Denne måten å nummerere pass på er relativt vanlig. Et norsk sikkerhetslaboratorium vil kunne finne ut om dette er tilfelle ved å samle inn 30-40 passnumre og se om de finner tydelige mønstre, sier Harko Robroch i Riscure til ITavisen.

I Datatilsynet ser man på opplysningene fra Nederland med stor interesse.
– Vi har tidligere påpekt at disse brikkene har liten minneplass. Vi har derfor stilt spørsmål ved om det er plass til tilstrekkelig kryptering når de er fylt opp med den informasjonen som skal være der, sier informasjonssjef Ove Skåra i Datatilsynet til ITavisen.

Datatilsynet misfornøyd med sikkerheten

Datatilsynet har også stilt spørsmål ved om det er gjort tilstrekkelige sikkerhetsvurderinger i forhold til at de passene som utstedes i dag skal være hundre prosent sikre mot hacking og inntrenging i ti år framover.

Andre land som skal innføre de nye biometriske pass-standardene, for eksempel Storbritannia, har valgt å bruke langt mer tid på testing av sikkerheten enn hva man har gjort i Norge og Sverige. Justisdepartementet hevdet i en pressemelding i oktober at passene er sikre, men har ikke lagt frem noen dokumentasjon for å understøtte dette.

– Kan ikke bytte fingeravtrykk

Datatilsynet har derfor bedt politidirektoratet legge frem dokumentasjon på de sikkerhetsvurderingene som er foretatt innen 1. april.
– Dette handler om fingeravtrykk og ansiktsform, ikke en PIN-kode man kan bytte ut hvis den blir kompromittert, heter det i en tidligere presemelding fra tilsynet.

Datatilsynet reagerer også på at politidirektoratet og justisdepartementet avfeier alle invendinger mot de nye passene, og at de utsteder pass etter standarder som ennå ikke er vedtatt som bindende.

Politidirektoratet har ansvaret

Fra justisdepartementet understrekes det at det er Politidirektoratet som har ansvaret for sikkerheten til de nye passene. Man peker også på at kritikere av det nye systemet også kan være aktører som har økonomiske interesser i en forsinkelse eller omlegging.

ITavisen har gjentatte ganger vært i kontakt med Politidirektoratet, uten at det har lyktes oss å få noen kommentar.