reklama

Pasy s odtlačkami prstov

Zdá sa, že oznámenie o tom, že Slovenská republika začína vydávať pasy obsahujúce už aj odtlačky prstov, vyvolalo u nás pomerne slušnú pozornosť. Reakcie v diskusiách na Internete, ale aj otázky, ktoré som v tejto súvislosti dostal, ukazujú, že dosť ľudí vníma túto skutočnosť ako (ďalšie) ohrozenie ich súkromia. Na druhej strane si nemožno nevšimnúť, že značná časť ľudí sa v tejto oblasti orientuje skôr na základe emócií či pod vplyvom filmov a vízií, ktoré súčasnú realitu ešte neodrážajú. Skúsme sa teda na nové pasy pozrieť bez zbytočných emócií.

Písmo: A- | A+
Diskusia  (34)

V prvom rade je potrebné skonštatovať, že nejde o iniciatívu Slovenskej republiky, ale že zavádzanie čipových pasov obsahujúcich biometrické údaje pre nás vyplýva z členstva v Európskej únií. Presnejšie, ide o iniciatívu Európskej komisie z r. 2004, podľa ktorej sa zavedením tzv. biometrických identifikačných znakov do pasov malo skomplikovať falšovanie pasov, resp. malo sa vytvoriť spoľahlivé a overiteľné spojenie medzi osobou ktorej bol pas vydaný a pasom samotným (plus by to umožnilo členským štátom EÚ splniť požiadavky programu o odpustení vízovej povinnosti USA). Súčasné technológie predsa umožňujú do rozmerovo malého čipu uložiť dostatočné množstvo informácií, vrátane rôznych zabezpečovacích prvkov, a to všetko ešte pekne „zalisovať“ do obalu pasu. Čo nasledovalo potom je peknou ilustráciou ako sa pôvodne logický návrh dá zrealizovať tak, že sa vytvorí potenciál pre problémy, ktoré sme pri „klasických“ pasoch nepoznali.

Kľúčovým sa v tejto súvislosti ukázalo rozhodnutie použiť bezkontaktné čipy – čipy, ktoré s okolím komunikujú bezdrôtovo, teda vysielaním/príjmom na určitej frekvencii. Nejde pritom len o to, že takéto vysielanie možno nedetekovane odpočúvať, ale predovšetkým o riziko, že čip (pas) bude môcť komunikovať s okolím bez toho, aby o tom majiteľ pasu vôbec vedel (vysielač čipu nemá „vypínač“, zareaguje vždy, keď ho niekto „osloví“ vysielaním na danej frekvencii). Toto riziko sa sprvu bagatelizovalo ako čisto teoretické, nakoľko čipy mali byť schopné komunikovať len na malú vzdialenosť (do 10 cm), čo postačuje pri kontrole pasov pri prechode hraníc (policajt položí pas na zariadenie, ktoré bude s čipom komunikovať). Vážne sa začalo brať až po názornej ukážke na ktorejsi bezpečnostnej konferencii, kde sa demonštrovala schopnosť dostatočne spoľahlivo prijímať vysielanie čipu na vzdialenosť niekoľkých (tuším až desať) metrov. Keďže čip musí byť schopný pri legitímnom použití – napríklad pri vstupe do krajiny – poskytnúť (odvysielať) údaje o držiteľovi pasu, ktoré sú v ňom uložené, je potrebné zabezpečiť, aby od neho tieto údaje nezískal hocikto ... kto napríklad postaví aktovku s príslušným zariadením niekde v blízkosti miesta, kde sa pohybujú ľudia (prípadne len jeden konkrétny človek) vybavení čipovým pasom.

Technický popis čipu, jeho obsahu i bezpečnostných mechanizmov má ďaleko od stručnosti, naviac jeho pochopenie vyžaduje znalosti kryptografie, tak len v krátkosti popíšem kľúčové vlastnosti. Čip obsahuje niekoľko skupín údajov, ktoré majú rôznu úroveň zabezpečenia. Na to, aby čip poskytol obvyklé osobné údaje, ktoré sú uvedené aj v klasických pasoch (vrátane fotografie), postačí znalosť zopár údajov, ktoré sú v pase uvedené – dátum narodenia držiteľa pasu, číslo pasu a dátum ukončenia platnosti pasu. Na to, aby čip poskytol v ňom uložené obrázky odtlačkov prstov držiteľa pasu, je potrebné mať špeciálny certifikát, digitálne podpísaný špecializovanou inštitúciou krajiny, ktorá pas vydala. Z uvedeného vyplýva, že zatiaľ čo obrázky odtlačkov prstov z čipu získajú len inštitúcie tých krajín, ktorým to umožní krajina, ktorá pas vydala (prípadne ktoré majú kryptoanalytikov schopných prekonať použitú metódu zabezpečenia), získanie ostatných osobných údajov je jednoduchšie – postačí na chvíľu získať prístup k pasu, alebo odhadnúť/inak získať aspoň približné hodnoty dátumu narodenia, čísla pasu a dátumu vydania pasu (z čoho sa dá odvodiť dátum ukončenia platnosti) a počítačom vyskúšať možnosti „okolo“ týchto hodnôt. U prvých držiteľov nových pasov zrejme budú tieto hodnoty ľahšie uhádnuteľné, ako u neskorších...

Takže ako sa používanie nových pasov dotkne nášho súkromia? Možností je viac. Použitie bezkontaktných čipov v pasoch znamená, že je možné na istú vzdialenosť zistiť, kto z okoloidúcich/stojacich ľudí má pri sebe čipový pas, za istých okolností aj číslo a výrobcu čipu (čo môže zúžiť okruh možných krajín, ktoré pas vystavili). Pri troche snahy/šťastia je možné zo vzdialenosti niekoľkých metrov prečítať osobné údaje (vrátane fotografie) držiteľa pasu bez toho, aby si to dotyčný vôbec uvedomil. To však neplatí – prinajmenšom kým niekto neprelomí použitú kryptografickú ochranu – pre obrázky odtlačkov prstov držiteľa pasu. Na tomto mieste je vhodné pripomenúť, že čipové pasy sa u nás už nejakú dobu vydávali – ale bez odtlačkov prstov, ktoré sa začali pridávať až tento týždeň.

Použitie odtlačkov prstov v nových pasoch však vyvoláva obavy z toho, že štát využije príležitosť a vytvorí centrálnu databázu odtlačkov prstov všetkých osôb, ktorým vystaví pas ... zatiaľ nám musí postačiť len ubezpečenie Ministerstva vnútra, že zosnímané odtlačky prstov sa použijú len na ich uloženie do čipu pasu, po čom budú z príslušného počítačového systému vymazané (ale bolo by pekné, keby toto tvrdenie bolo overiteľné napríklad pravidelnými nezávislými auditmi, o výsledkoch ktorých by boli občania informovaní). Nedá sa však vylúčiť, že niekedy v budúcnosti niekto príde s nápadom, podľa ktorého keď sa už tie odtlačky získajú, bolo by škoda to nevyužiť ... a keď sa taký zlepšovák pekne zabalí ako opatrenie „boja proti terorizmu“, pri súčasnom stave vnímania ochrany osobných údajov je slušná šanca že to získa aj legislatívnu podporu.

Je zaujímavé, že hoci sa u nás pasy s biometrickým prvkom vydavajú už vyše roka, väčšiu pozornosť vzbudila až úprava, ktorá k doteraz používaným osobným údajom pridáva aj odtlačky prstov. Tieto sú pritom v pase chránené lepšie ako ostatné osobné údaje – aj keď to neplatí pre vybrané krajiny, ktoré zo Slovenska dostanú údaje, potrebné pre prečítanie aj tejto časti údajov z čipu (bolo by zaujímavé vedieť, podľa akých kritérií sa bude Slovensko rozhodovať komu poskytne možnosť čítať zo slovenského pasu aj odtlačky prstov a teda aj potenciál vybudovať si databázu osobných údajov občanov SR, vrátane odtlačkov ich ukazovákov). Zdá sa, že aj keď u nás existuje isté povedomie o potrebe ochrany súkromia, ľudia sa v danej oblasti – obzvlášť ak ide o ochranu súkromia v súvislosti s používaním moderných technológií – ešte nevedia zorientovať. Vlastne to ani neprekvapuje – koho v tejto krajine vôbec zaujíma, či sa jej občania vedia náležite zorientovať v oblasti ochrany súkromia? Veď vládou nedávno schválený systém vzdelávania v informačnej bezpečnosti síce považuje za potrebné aby aj laici ovládali základy šifrovania, riadenia informačnej bezpečnosti, plánovania kontinuity činností atď., ale o potrebe aspoň základných poznatkoch z oblasti ochrany osobných údajov (súkromia) tam v súvislosti s laikmi nie je ani zmienka (daň za bezmyšlienkovité opisovanie zo zahraničného materiálu, vytvoreného na iné účely). No a o viditeľnejších vzdelávacích aktivitách Úradu na ochranu osobných údajov v tomto smere môžeme na základe doterajších skúseností iba snívať... Stačilo by pritom aj málo - napríklad odporúčanie, aby si ľudia pas obsahujúci biometrické údaje nosili v obale z vodivej fólie, by podstatne obmedzilo možnosť prečítať si z neho údaje bez vedomia majiteľa pasu.

Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  1x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Prémioví blogeri

Pavol Koprda

Pavol Koprda

10 článkov
Post Bellum SK

Post Bellum SK

74 článkov
Yevhen Hessen

Yevhen Hessen

20 článkov
Milota Sidorová

Milota Sidorová

5 článkov
Monika Nagyova

Monika Nagyova

295 článkov
reklama
reklama
SkryťZatvoriť reklamu