Az Európai Bizottság által életre hívott FIDIS projekt keretében végzett felmérés szerint a több országban nemrég bevezetett biometrikus személyazonosító okmányok komoly biztonsági kockázatokat hordoznak magukban.

A FIDIS (Future of Identity in the Information Society) egy, az EU és a tagállamok kormányaival, továbbá multinacionális vállalatokkal közösen finanszírozott projekt, melyben a Budapesti Műszaki Egyetem is tevékeny részt vállal.

A FIDIS szeptemberben megfogalmazott Budapesti Nyilatkozata már foglalkozott az RFID azonosítókkal ellátott biometrikus okmányok kérdésével. A Nyilatkozat felszólította az érdekelteket, hogy a már kiadott okmányokkal való visszaélések korlátozása érdekében hozzák meg a szükséges jogszabályokat, továbbá az elkövetkező három év alatt dolgozzanak ki egy „új, meggyőző és egységes biztonsági koncepciót”.

A projekt legújabb jelentése szerint a „gépi leolvasást biztosító úti okmányok” (Machine Readable Travel Document, MRTD) már legalább 2, legfeljebb 10 méteres távolságról hozzáférhetők, és a jelenlegi biztonsági megoldások nem védik ezeket elég hatékonyan. Ennek következtében könnyen ki lehet játszani és meg lehet hekkelni az okmányokat, vagyis „az MRTD által hordozott adatok mindig hozzáférhetőek és harmadik személyek szabadon figyelhetik és rögzíthetik azok tulajdonosainak mozgását” – mondja a tanulmány.

A FIDIS a következő problémákra irányítja a figyelmet:

  • az okmányokon szereplő biometrikus adatok nem „vonhatóak vissza”, így az azokon tárolt arcképek és ujjlenyomatok esetleges ellopása hosszú időre megteremti a visszaélések lehetőségét;
  • a biometrikus adatokhoz való hozzáférést lehetővé tevő kulcsszavak magán az okmányon szerepelnek;
  • az okmányokon alkalmazott RFID technológia nem védett megfelelően a másolás ellen.

A FIDIS továbbá nem javasolja az ICAO (a légi közlekedési világszervezet) ajánlásának megfelelően elkészített okmányok alkalmazását a magánszektorban. Ezeket az utasok nemzetközi azonosítására tervezték és kiterjesztésük a magánszektorra csak további kockázatokat generálna. Nincs garancia arra, hogy egy szobafoglalásnál is biztonságosan lehetne megadni az okmányokon szereplő adatokat. Ha egy ország kormánya mégis szeretné az MRTD-ket a magánszektorban is alkalmazni, akkor ajánlott e kiterjesztést azonnal leszabályozni.

A szervezet szerint hosszú távú koncepcionális programokkal lehet növelni az MRTD-k biztonsági szintjét, de ez csak komplex, a számítógépes ipart is komolyan érintő, költséges módokon valósulhat meg. Ezek után kérdés marad, hogy megéri-e egyáltalán a biometrikus útleveleket alkalmazni, ha ezek biztonsági rendszere nem eléggé megbízható?