Становище по проекта на Закон за изменение и допълнение на Закона за българските лични документи

Достъпно също на: ODT или PDF файл.

София 1166, ул. Рачо Петров-Казанджията номер 8, ет. 3

www.openprojectsfoundation.org
contact@openprojectsfoundation.org

Изх. номер 1/05.04.2016

СТАНОВИЩЕ

ОТНОСНО: Проект на Закон за изменение и допълнение на Закона за българските лични документи

Фондация “Отворени проекти” (ФОП) счита за нужно да сподели своето становище във връзка с обсъжданият проект на закон за изменение и допълнение на закона за българските лични документи заради специализацията си и натрупания опит в областта на ИТ и особено сигурността и отворените технологии. Членове на Фондацията са експерти по мрежова сигурност и водят курсове по мрежова сигурност във Факултета по математика и информатика към Софийския университет от 2002 година насам1.

Фондацията приветства приложението на технологиите в управлението и в комуникацията с гражданите и счита, че това ще спомогне за по-ефективна работа на всички страни. Прилагането и поддръжката на такива отворени технологии също така подкрепя и разработката на собствени съвместими решения и като цяло повишава конкурентоспособността на държавата и фирмите.

От друга страна, в проектозакона е записана опционална съвместимост със стандарта на ICAO (International Civil Association Organization) DOC 93032, наречен „Machine Readable Travel Documents“, за документи, съвместими с безконтактни четци за документи по летищата. В проектозаконът е записано, че всеки гражданин има право да поиска подобна функционалност от личните си документи.

Стандартът описва данните, които да бъдат достъпни безконтактно, което включва биометрични данни (задължително снимка, опционално информация и снимка на отпечатъците от пръсти и др.) и личните данни, които са достъпни в машинно-четимата част на документа. Има реализации в паспортите на някои държави – членки на ЕС, и има изградена инфраструктура по повечето летища в Европа и света, която да може да ги обработва.

Фондацията счита, че реализацията на изискванията по DOC 9303 и по-специално за безконтактно четене на информацията застрашава сигурността и личните данни на гражданите, понеже позволява отдалечено четене на информацията от безконтактната част без ограничение. Съществуват различни сценарии, включително:

  • Целево събиране на информация, чрез приближаване до притежателя на документа (на разстояние няколко метра) и прочитане на информацията от него, или

  • Генерално събиране на информация, чрез прослушване на ефира в достатъчна близост до четците на дадено летище.

Стандартът и реализациите му имат схеми за сигурност, които би трябвало да се справят с тези атаки, но за момента технологията не е достигнала подходящото ниво и общото експертно мнение е, че дори това да се случи, то няма да е в близкото бъдеще. Като примери могат да бъдат дадени следните случаи:

  • Технологията беше атакувана и пробита почти веднага след първите си приложения, в паспортите на Холандия, през 2005та година – експерти успяха да демонстрират пред национална телевизия3 записване и декриптиране на данните от паспорт от разстояния до 3 метра от целта.
  • Паралелно с паспортите, същата технология (като чипове, протоколи и т.н.) беше използвана за клиентите на метрото и градския транспорт в различни градове и държави, вкл. Лондон (т.нар. Oyster card), и през 2008 години други независими експерти успяха да пробият сигурността на чиповете, да прочетат, клонират и модифицират информацията по тях4.
  • В следващите години различните производители на чипове за безконтактни карти се опитаха да направят подобрения в схемите за комуникация и сигурността, но нито едно не успя да издържи дълго време без да бъде пробито5. През 2013 година,като репликиране на експериментите, проведени от други места, в София на OpenFest беше представено обобщение на технологиите и атаките върху тях, както и описание за колко лесно се провеждат6.
  • В последните пет години има нови атаки върху технологиите-наследници на тези от стандарта (NFC и др.), при безконтактните кредитни карти, като има демонстрирани атаки за извършване на транзакции с чужди карти7.

В момента технологиите не са успели решат основните технически проблеми на безконтактните карти. Факторите, които дават много повече възможности на атакуващите са следните:

  • Електричеството, което могат да получат картите/чиповете е много ограничено и лесно за контролиране от атакуващия. Това от една страна не дава възможност за по-сложна логика и по-добра защита (като добри алгоритми), от друга с вариации в захранването позволява чрез т.нар. странични канали(„side channels“) да се получи информация за вътрешното състояние на чипа.

  • Изчислителната мощност на чиповете е ниска, което води до премахване на важни мерки за сигурност.

  • Не е нужен физически контакт за прочитането на чиповете, което много улеснява атакуването отдалечено.

  • Също така, в момента на четене от четец близо до картата, от разсеяните радио-вълни може да се получи информацията, която се предава между чипа и четеца. Това е възможно най-вече заради слабите алгоритми за криптиране на информацията, които от своя страна се използват, понеже самият чип не може да се справи с по-сериозните такива.

Мерките, предлагани от привържениците на тези системи са неефективни и не покриват всички възможни проблеми:

  • Предлага се промяната и развитието на системите, така че да се стои по-напред от атакуващите. Това не може да се приложи в инсталирана и ползвана система от този вид, понеже не е практично да се подменят личните документи на гражданите всяка година;

  • Предлага се специална опаковка на личните документи, която да спира радио-вълните и по този начин да ограничава атаките на повечето публични места. Тази мярка не ограничава атаките около четящи устройства, както и в моментите, в които документите трябва да бъдат представени8. Също така достатъчно добра такава опаковка ще оскъпи допълнително документите, и все пак няма да има начин да се гарантира, че гражданите ще я използват, и разбира се ще се поврежда с времето и ще губи ефективността си;
  • Предлага се криминализирането на притежаването/използването на инструменти, които могат да се използват при атакуването на тези чипове и криминализиране на разпространението на информацията по въпроса. Първото е невъзможно поради тривиалността на нужните средства, второто, понеже противоречи на базовото човешко право за свободно слово (потвърждавано от съдилищата включително и в няколкото случая, свързани с безконтактни чипове).

По тези причини, в момента безконтактни чипове, карти и документи се срещат основно в среди, в които данните на тях не застрашават сигурността и личната неприкосновеност на потребителите им, и където компрометирането на сигурността на чиповете няма преки или непреки последствия за операторите и потребителите. Проучванията, правени от различни групи, имащи нужда от функционалността на безконтактните чипове в последните години винаги стигат до извода, че не съществува работеща и достатъчно сигурна система, която да може да се използва за целта и все повече преминават или към смарткарти с нормално захранване от последните поколения, или към решения, включващи мобилни телефони.

Самият законопроект също така не изяснява, по какъв начин ще се разделят удостоверението за електронна идентичност и удостоверението за квалифициран електронен подпис, както и дали и двете удостоверения ще трябва да бъдат достъпни безконтактно. Не става ясно, как ще се предпази удостоверението за квалифициран електронен подпис от нерегламентирано използване(подписване на документи) и копиране на самият подпис на друг носител, ако електронният подпис трябва да може да се използва безконтактно. И на последно място, не се гарантира точен срок в който институциите, издали удостоверението за квалифициран електронен подпис трябва да прекратят действието на удостоверението, което води до сериозни проблеми свързани със сигурността на всички документи и вещи на собственика на удостоверението.

Считаме, че интегрирането на такава функционалност излага на ненужен риск гражданите и по никакъв начин не дава в замяна каквото и да е, което да компенсира или ограничи риска.

.

05 Април 2016

гр. София

Председател на УС на ФОП:

/Васил Колев/

1https://web.archive.org/web/20050208095925/http://netsec.iseca.org/2002/

2Публично достъпен на http://www.icao.int/publications/pages/publication.aspx?docnum=9303

3http://www.theregister.co.uk/2006/01/30/dutch_biometric_passport_crack/ (английски)

4http://www.wired.com/2008/06/hackers-crack-l (английски), https://web.archive.org/web/20080619052439/http://webwereld.nl:80/articles/51540/radboud-onderzoekers-kraken-ook-oyster-card.html (холандски)

5https://en.wikipedia.org/wiki/MIFARE#Security_of_MIFARE_Classic.2C_MIFA…

6https://www.youtube.com/watch?v=sZCaglYWpSo

7https://conference.hitb.org/hitbsecconf2015ams/wp-content/uploads/2014/…

8http://www.youtube.com/watch?v=-XXaqraF7pI&eurl=