Безопасность электронных паспортов

C июля 2020 года получить электронный паспорт смогут жители Москвы. Далее этот проект распространится на всю территорию России. Рассказываем об особенностях новых паспортов и их защищенности.

Что такое электронный паспорт

То, что сейчас принято называть «электронным паспортом», — это сочетание документа и микропроцессора, который встраивается в толщу одной из его страниц. Документ может быть выполнен как в форме традиционной «красной книжки», так и в форме микропроцессорной пластиковой карты — последний вариант и был выбран в России. Сделать паспорт чисто электронным (например, в форме мобильного приложения) невозможно: данные, идентифицирующие человека, должны читаться другим человеком в том числе и без использования технических приспособлений.

На документ наносится информация, которую государство сочло достаточной для установления личности держателя паспорта:

  • фотография;
  • фамилия, имя и отчество;
  • дата и место рождения;
  • реквизиты самого документа,
  • личная подпись.

Ключевая особенность электронных паспортов заключается в использовании микропроцессора — используется он точно так же, как и в платежных картах.

Во-первых, в памяти микропроцессора содержится та же информация, что нанесена на карту. Можно научиться «переклеивать» фотографию или изменять надписи на самом документе, но, попав в электромагнитное поле считывателя, микропроцессор тут же передаст подлинные сведения, и подделка будет обнаружена. Изменить данные в микропроцессоре невозможно благодаря электронной подписи ведомства, выдавшего документ. В роли считывателя может выступать любое программируемое устройство, поддерживающее протокол NFC (например, смартфон со специальным мобильным приложением), которое будет специально для этого разработано.

Во-вторых, микропроцессор сам содержит уникальный ключ электронной подписи, который точно так же заверен электронной подписью ведомства, выдавшего документ. При этом ключ невозможно извлечь из процессора. Как только возникает необходимость проверить подлинность самого микропроцессора, с помощью все того же считывателя можно «попросить» микропроцессор сформировать электронную подпись и с ее помощью убедиться, что подпись подлинная. Можно раздобыть чистую «болванку» документа, но превратить ее в подлинный паспорт не получится.

В-третьих — и это самое интересное, — при изготовлении паспорта на микропроцессор можно устанавливать дополнительные приложения. Паспорт превращается в мини-терминал, который может дистанционно подтверждать личность человека в самых разных информационных системах, в него можно заносить различные сведения, можно подтверждать с его помощью электронные сделки, использовать его как водительское удостоверение или как региональную социальную карту. Получается один документ на все случаи жизни. Существование такой возможности требует от государства особой бдительности, поэтому говорить о том, какие именно функции будут заложены в паспорт в конечном варианте, еще рано.

Использование электронного паспорта

Есть разные сценарии, в которых может использоваться электронный паспорт. Самый простой — использование его как обычного удостоверения личности при проходе на охраняемую территорию. Как и сейчас, паспорт предъявляется охраннику, и он увидит ровно ту информацию, которую государство сочло достаточной для установления личности. Ту же информацию вместе с адресом постоянной регистрации охранник увидит при использовании считывателя. В отличие от современных бумажных паспортов, полистать странички и увидеть лишнюю информацию (семейное положение, наличие детей до 14 лет и т. п.) он не сможет, хотя она и будет храниться в памяти микропроцессора.

Полезен электронный паспорт будет тем, кто заключает договоры с физическими лицами, крупными организациям и индивидуальным предпринимателям. Правительство обещает опубликовать приложение для смартфонов, поддерживающих протокол NFC: используя его, можно будет не только получить хранящиеся в памяти микропроцессора персональные данные, необходимые для заключения договора (данные, идентифицирующие человека, и адрес постоянной регистрации), но заодно в режиме онлайн автоматически проверить статус паспорта («не выдавался», «утерян», «недействителен» и т. п.).

Еще одна полезная особенность электронного паспорта заключается в использовании в нем биометрических данных человека — прежде всего, биометрической фотографии. Если держатель паспорта разрешит, его можно сфотографировать, и при онлайн-проверке убедиться, что это действительно он. Биометрическая проверка исключает возможность использования электронного паспорта с биометрической информацией другим человеком, внешне похожим на держателя, даже его близнецом.

Электронный паспорт можно предъявить дистанционно при заключении электронных сделок, в том числе для выполнения банковских операций. Для этого может использоваться электронная подпись, которую формирует микропроцессор и с помощью все того же мобильного приложения передает на сервер. К сожалению, такой способ позволяет проверить подлинность паспорта, но не личность человека, который его дистанционно предъявляет. Предлагаются различные варианты, как можно усилить такую идентификацию биометрией, но их эффективность по ряду причин сомнительна.

Но есть нюансы

Паспорт защищен от подделки благодаря использованию электронных подписей, а данные на нем хранятся зашифрованными. Но при попадании микропроцессора в магнитное поле считывателя он начинает передавать данные, идентифицирующие держателя паспорта, что позволило бы нарушителю, имеющему такой считыватель, дистанционно получать паспортные данные втайне от держателей паспортов. Для решения этой проблемы на документ стали наносить специальный код, который используется как ключ шифрования при передаче данных по протоколу NFС. Расшифровать их можно только в том случае, если документ предъявлен держателем, и этот код находится в поле зрения камеры считывателя. К серверной составляющей предъявляются требования, установленные нормативными документами ФСТЭК России для информационных систем первого, наивысшего класса защищенности. Эти документы определяют около ста двадцати обязательных мер защиты, которые охватывают самые разные аспекты безопасности. Опыт использования биометрических паспортов показывает, что такие государственные системы достаточно сильно защищены от хакеров и мошенников. Тем не менее, вероятность взлома существует всегда: к примеру, можно вспомнить инцидент с Управлением кадровой службы США (US Office of Personnel Management), когда хакеры получили доступ к личным делам и отпечаткам пальцев почти шести миллионов госслужащих страны.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.