Chữ ký số của hộ chiếu điện tử vẫn không thể xác minh được bởi CBP

Từ năm 2010, khi một cuộc kiểm toán của Cơ Quan Thẩm định Trách nhiệm của chính phủ (GAO) phát hiện ra sự mất an ninh, Cục Hải quan và Biên phòng Hoa kỳ (CBP) “vẫn không có công nghệ có khả năng xác thực dữ liệu có thể đọc dữ liệu của hộ chiếu điện tử,” các thượng nghị sỹ đảng dân chủ tuyên bố.  Claire McCaskill (bang Missouri ) và Ron Wyden (bang Oregon) trong một bức thư gần đây gửi đến Kevin McAleenan – Ủy viên hội đồng an ninh biên giới, cho biết ông cần phải “ngay lập tức hành động để sử dụng các tính năng chống giả mạo và chống phá hoại trên hộ chiếu điện tử, mà CBP không sử dụng từ khi họ triển khai năm 2007.”

McCaskill và Wyden nói: “Nếu không có phần mềm để xác minh chữ ký số được lưu trữ trên hộ chiếu điện tử” CBP “không thể xác định dữ liệu được lưu trữ trên các chip thông minh có bị xâm phạm hay giả mạo hay không”.

Nhân viên của CBP có thể tải và đọc thông tin về các con chip RFID trên hộ chiếu công dân Mỹ, nhưng họ không thể chứng thực nó. Đó là khoảng cách an ninh ngăn không cho CBP biết dữ liệu trên chip được xử lý bởi Bộ Ngoại Giao Mỹ có bị “thay đổi hoặc giả mạo” không, GAO tuyên bố trong báo cáo kiểm toán tháng 1/2010 – Việc Sử Dụng Các Tính Năng Bảo Mật Hộ Chiếu Điện Tử Có Thể Được Cải Thiện Việc Phát Hiện Gian Lận.

Khi Bộ Ngoại Giao bắt đầu phát hành hộ chiếu diện tử với các chip máy tính nhúng có lưu trữ thông tin khớp với thông tin được in trên hộ chiếu, một bộ kiểm soát toàn diện cũng đã được phát triển để điều hành và quản lý một hệ thống tạo và viết các tính năng bảo mật được gọi là chữ ký số trên chip của mỗi hộ chiếu điện tử khi được phát hành. Khi được xác minh, các chữ ký số cung cấp sự đảm  bảo hợp lý rằng các dữ liệu được đưa vào chip bởi Bộ Ngoại Giao không bị thay đổi hoặc giả mạo.

“Tuy nhiên” GAO chỉ ra, Bộ An ninh Quốc Gia (DHS) không có khả năng xác minh đầy đủ các chữ ký số bởi vì họ đã không triển khai các đầu đọc hộ chiếu điện tử tại các cửa khẩu nhập cảnh, và họ đã không triển khaicacs chức năng hệ thống cần thiết để thực hiện việc xác minh. Bởi vì giá trị của các tính năng bảo mật không chỉ phụ thuộc vào thiết kế

 

chắc chắn của chúng mà còn phụ thuộc vào quá trình kiểm tra sử dụng chúng, bảo mật bổ sung chống lại giả mạo và làm giả có thể được cung cấp bằng việc đưa các chip máy tính vào hộ chiếu điện tử của công dân Mỹ và các quốc gia khác, bao gồm cả những người tham gia vào chương trình miễn thị thực, không được thực hiện đầy đủ.”

“Chính phủ Mỹ đóng một vai trò trung tâm trong việc áp dụng hộ chiếu điện tử trên toàn cầu. Những quyển hộ chiếu công nghệ cao chứa những con chip thông minh – lưu trữ thông tin người du lịch – và chữ ký được mã hóa, một tính năng bảo mật quan trọng để kiểm chứng tính hợp lệ và hợp pháp của hộ chiếu và cơ quan chính phủ phát hành,” và “trong hơn một thập niên qua, Mỹ đã yêu cầu các quốc gia trong danh sách miễn thị thực  phát hành hộ chiếu điện tử có thể đọc được bằng đầu đọc chuyên dụng,” McCaskill và Wyden nói, lưu ý rằng “kể từ năm 2015, Mỹ đã yêu nữ “ tất cả các khách du lịch từ các nước trong danh miễn thị thực vào Mỹ đều phải sử dụng hộ chiếu điện tử.”

Tuy nhiên “Mặc dù đã có những nỗ lực như vậy” hai thượng nghị sẽ nói với McAleenan, “CBP thiếu các khả năng kỹ thuật để xác minh hộ chiếu điện tử mang chip”.

Họ nhấn mạnh rằng “CBP đã nhận thức được sự mất an ninh này ít nhất từ năm 2010” sau khi GAO trong một báo cáo kiểm toán đã nhấn mạnh khoảng trống trong công nghệ. “Tám năm sau khi phát hành, CBP vẫn không có công nghệ có khả năng chứng thực các dữ liệu có thể đọc được bằng máy của hộ chiếu điện tử.”

Vào thời điểm báo cáo kiểm toán, GAO khuyến cáo “DHS triển khai các hệ thống cần thiết để xác minh đầy đủ chữ ký điện tử trên hộ chiếu điện tử tại các cửa khẩu nhập cảnh của Mỹ, và phối hợp với nhà nước thực hiện việc tiếp cận để thu thập dữ liệu cần thiết để xác nhận chữ ký số trên hộ chiếu của Mỹ và các quốc gia khác.”

DHS đã đồng ý với khuyến nghị của cơ quan giám sát của chính phủ.

Hiện nay sau gần một thập kỷ, McCaskill và Wyden nói: “ Đã qua thời gian mà CBP sử dụng các tính năng bảo mật kỹ thuật số cần được xây dựng để đưa vào hộ chiếu điện tử.” và nói với McAleenan rằng CBP phải “làm việc với các chuyên gia liên quan tại Cơ quan dịch vụ công dể xác định chi phí thực sự để phát triển hoặc mua công nghệ để xác thực chữ ký số trên hộ chiếu điện tử,” và”phát triển một kế hoạch chứng thực hộ chiếu điện tử một cách hợp lệ trước ngày 1 tháng 1 năm 2019.”

GAO đã lưu ý rằng “việc bảo vệ được thiết kế trên chip máy tính sử dụng cho hộ chiếu điện tử hạn chế rủi ro của mã độc đang cư trú trên chip, điều kiện tiên quyết cần thiết cho một cuộc tấn công bằng mã độc xảy ra từ chip chống lại hệ thống máy tính có chức năng đọc chúng.”

Tuy nhiên, trong khi các bước đã được thực hiện “để giảm khả năng mã đọc có thể được đưa vào chip… các bước này không đảm bảo chắc chắn rằng các chip không có mã độc,” GAO tiết lộ, và lưu ý “việc hạn chế giao tiếp giữa chip trên hộ chiếu điện tử và các máy tính tại các cơ quan chức năng làm giảm đáng kể nguy cơ mã độc – nếu mã độc cư trú trên một con chip của hộ chiếu điện tử thì nó có thể lây lan sang các máy tính của các cơ quan chức năng. Cuối cùng, vì không có sự bảo vệ nào được xem là có thể đánh lừa được, DHS cần giải quyết những thiếu sót được ghi nhận trong các nghiên cứu trước đây của chúng tôi về hệ thống máy tính của họ để giảm nhẹ tác động của bất kỳ mã độc hại nào có thể đọc được từ các chip trên hộ chiếu điện tử và lây nhiễm vào các hệ thống đó.

Để đáp ứng, CBP đã tuyên bố “trong khi [nó] không xác minh chứng chỉ của một ePassport tại thời điểm này, CBP sẽ xác minh dữ liệu chứa trong chip và trong vùng có thể đọc được (MRZ) … dữ liệu trên chip và MRZ được so sánh, và bất kỳ sự mâu thuẫn nào được lập tức gắn cờ cho nhân viên của CBP “CBP cũng cho biết họ đã xác minh rằng các chip không bị sửa đổi hoặc làm giả mạo.

Để đáp trả, CBP đã tuyên bố “trong khi họ không xác minh chứng nhận quốc gia phát hành hộ chiếu điện tử tại thời điểm này, CBP sẽ xác minh dữ liệu chứa trong chip và trong vùng có thể đọc được (MRZ) .. dữ liệu trên chip và MRZ được so sánh, và bất kỳ có sự mâu thuẫn nào sẽ lập tức báo cáo cho các nhân viên của CBP.” CBP cũng cho biết họ đã xác minh rằng các con chip không bị sửa đổi hoặc làm giả mạo.

Theo Biometricsupdate.

Tin khác